Errores más frecuentes en el cumplimiento de la normativa sobre cookies
9 abril, 2020
¿Qué es un Plan de Prevención de Delitos y para qué sirve?
11 mayo, 2020

Debido a la actual situación motivada por el COVID-19, muchas empresas se han visto obligadas a implantar el teletrabajo. La casuística es muy variada: unas ya tenían implantado el teletrabajo en algunos puestos aunque solo fuese determinados días de la semana y otras han tenido que ir improvisando sobre la marcha. También las hay que no pueden ni plantearse esta opción.

En aquellas empresas que vienen cumpliendo la normativa de protección de datos personales (RGPD y LOPDGDD) y hayan instaurado el teletrabajo, al menos, durante el periodo que se mantenga el vigente estado de alarma, sus empleados (usuarios) deberán tener en cuenta una serie de medidas de seguridad, independientemente de que el dispositivo utilizado sea propiedad de la empresa o del usuario. Todo ello, habida cuenta de que el usuario debe tener presente que en su momento firmó un documento que recoge sus funciones y obligaciones respecto a los sistemas de información de la empresa («Manual de Uso y Política de Privacidad»). Por tanto, debe seguir respetando las medidas de seguridad que se recogen en dicho documento aunque sea desde su domicilio y que, junto a otras, se exponen a continuación.

  • El usuario debe disponer de claves de acceso individuales y confidenciales. Es importante que en caso de que se utilicen distintas aplicaciones o sistemas para trabajar, las claves sean también diferentes. Al menos, debe diferenciarse entre las claves de acceso a sistemas propios de la empresa por VPN o web, y las claves de acceso a, por ejemplo, redes sociales o aplicaciones externas.
  • El usuario debe bloquear su sesión de trabajo en caso de que se ausente del mismo (aunque esté en su domicilio, si convive con otras personas).
  • El usuario debe acceder únicamente a la información de carácter personal que necesite tratar para el desarrollo de su labor.
  • El tratamiento de datos personales en soporte papel debe realizarlo de forma segura (evitando que esté accesible a terceros no autorizados, aunque sea en su domicilio). No debe dejar a la vista documentos que contengan datos personales de clientes, empleados, etc.
  • El empleado deberá utilizar única y exclusivamente las aplicaciones autorizadas por la empresa y no deberá modificar su configuración salvo indicación expresa de ésta. En caso de darse de alta como usuario en nuevas aplicaciones indicadas expresamente por la empresa por considerarlas adecuadas para teletrabajar, se registrará facilitando los datos mínimos y estrictamente necesarios, en aras de proteger también su propia privacidad.
  • Si los dispositivos que utiliza el usuario son propiedad de la empresa, debe abstenerse de utilizarlos con fines personales y no deberá modificar su configuración en ningún caso.
  • Si los dispositivos que utiliza el usuario son de su propiedad, debe implementar dos perfiles o cuentas de usuario: una personal y otra profesional, para acceder desde esta únicamente a todo lo necesario para teletrabajar.
  • Se debe disponer de antivirus
  • Se deben actualizar los dispositivos
  • No se deben utilizar redes públicas.
  • Si el usuario tiene conocimiento de que se ha producido una brecha de seguridad (evento que pone en riesgo la seguridad de los datos personales), deberá comunicarlo inmediatamente al Responsable de Seguridad y/o al Delegado de Protección de Datos. Hay que tener especial cuidado con prácticas conocidas como «phishing».
  • Si el usuario tiene conocimiento de que algún interesado (cliente, proveedor, etc.) quiere ejercer alguno de sus derechos en materia de protección de datos (acceso, rectificación, supresión, oposición, etc.) deberá comunicarlo inmediatamente al Responsable de Seguridad y/o al Delegado de Protección de Datos.
  • Si el usuario va a realizar algún tratamiento (recogida, almacenamiento, comunicación a terceros, etc.) de datos personales no contemplado hasta ahora en su empresa, debe enviar antes una consulta al Responsable de Seguridad y/o al Delegado de Protección de Datos. Especialmente, en casos que impliquen la comunicación de datos personales a terceros ajenos a la empresa.
Mamen Fernández
Mamen Fernández
Abogada TIC & Compliance