Teletreball i protecció de dades: consells per complir amb la normativa

Suport Tercer Sector - Jurídic
Cal disposar d'un protocol específic per complir amb la protecció de dades en cas de teletreball. Font: Unsplash. Font: Unsplash
Cal disposar d'un protocol específic per complir amb la protecció de dades en cas de teletreball. Font: Unsplash.
La llei de protecció de dades obliga a complir amb unes mesures de seguretat en funció del risc de les dades que tracti l'entitat. Font: Unsplash
Durant la crisi sanitària per la Covid-19, a les entitats els ha tocat ser imaginatives i reinventar els seus sistemes i processos, adaptant-se a les necessitats que requereix el teletreball. Font: Unsplash.

Teletreball i protecció de dades: consells per complir amb la normativa

Suport Tercer Sector - Jurídic
Resum: 

La generalització del treball a distància fa més necessari que mai estar al corrent de les implicacions que suposa en l'àmbit de la seguretat de les dades.

La declaració de l’estat d’alarma i el posterior confinament pel contagi de covid-19 ha obligat moltes associacions i fundacions a tancar les seves seus físiques i a treballar des de casa. A mesura que la desescalada avança d’una fase a l’altra, les entitats van tornant a la normalitat.

Algunes entitats ja han obert progressivament les seves portes perquè els treballadors/es treballin al seu lloc habitual, de manera rotativa i seguint les normes de seguretat. Unes altres, continuen promovent el teletreball. Aquesta pràctica, doncs, continua en auge i, algunes entitats es plantegen continuar amb el teletreball un cop finalitzi l’estat d’alarma.

Com es pot complir amb la protecció de dades treballant des de casa? Les entitats s’han d’encarregar que se segueixen certes mesures per complir amb la normativa.

Tenint en compte les particularitats de la realització de l’activitat a distància des del domicili, aquest recull presenta un seguit de recomanacions sobre les mesures de seguretat a adoptar respecte a la informació i protecció de dades.

Disposar d’una política de protecció de dades per a teletreball

Si l’entitat té correctament implementada la normativa de protecció de dades a la seva entitat, és possible que a la seva política de protecció de dades i seguretat de la informació tingui definides les mesures a prendre pel que fa al treball a distància.

Si no és així, s’hauria de fer un exercici per calcular les necessitats i riscos de l’entitat en relació al teletreball i definir algunes qüestions importants com poden ser les següents:

  • Quines fórmules d’accés remot estan permeses.
  • Quin tipus de dispositiu es considera vàlid per accedir a la informació.
  • Determinar els perfils i nivells d’accés a la informació.
  • Definir la responsabilitat i obligacions del personal relatives a la protecció de dades en aquesta fórmula de treball.
  • Donar la informació suficient a les persones treballadores que tracten dades perquè puguin desenvolupar la seva tasca amb totes les garanties.

A més, sempre s’ha de tenir present el compromís de confidencialitat que han de complir totes les persones treballadores respecte a la informació adquirida a causa de la seva feina i, per tant, s’han d’aplicar les mesures i controls necessaris per garantir aquesta confidencialitat.

Eines confiables i amb garantia

Durant la crisi sanitària per la Covid-19, a les entitats els ha tocat ser imaginatives i reinventar els seus sistemes i processos, adaptant-se a les necessitats que requereix el teletreball.

Per aquest motiu, les organitzacions estan utilitzant un gran nombre d’eines telemàtiques que els ajuden en el seu dia a dia, tant des d’un punt de vista de gestió i organització del treball com de comunicació entre equips i amb terceres persones.

Respecte a aquest creixement en la utilització d’eines que faciliten el treball a distància, les principals qüestions per complir a tenir en compte amb la protecció de dades són les següents:

  • Assegurar-se que les aplicacions i sistemes de teletreball utilitzats ofereixen les garanties suficients per no posar en risc l’exposició de dades personals. S’ha de prestar especial atenció als serveis de correu, missatgeria i eines col·laboratives.
  • Una qüestió important a tenir en compte és que si l'empresa proveïdora pot accedir a les dades personals, això el converteix en encarregada del tractament, per tant, s’hauria de signar un contracte que estableixi els paràmetres d’aquesta relació.

Mesures de seguretat

Respecte a les mesures de seguretat, és molt més senzill de tenir-ho tot previst si es tracta d’equips o dispositius corporatius.

En aquest cas, algunes de les principals recomanacions per complir amb la protecció de dades durant el teletreball serien les següents:

  • Establir perfils d’accés a la informació adequats, potser inclús de manera més restrictiva que els accessos habituals quan es treballa en xarxa, ja que es poden aplicar restriccions addicionals en funció del tipus de dispositiu utilitzat per accedir a la informació (equips personals, dispositius mòbils, etc.)
  • Configuració periòdica dels equips i dispositius des dels quals s’accedeix.
  • Revisió i actualització dels servidors d’accés remot per garantir el compliment de la política de protecció de dades.
  • Disposar d’una configuració amb els mateixos privilegis fixats pels serveis TIC que no pugui ser desactivada o modificada per les persones treballadores.
  • Instal·lació de les aplicacions autoritzades per l’organització.
  • Disposar d’un software antivirus o tallafocs.
  • Evitar la connexió dels dispositius en llocs públics, així com la connexió a xarxes WIFI obertes i no segures.

En cas de permetre la utilització de dispositius personals, s’haurà d’assumir un risc més gran, ja que no existeixen els mateixos controls que als equips corporatius.

Sobretot, algunes de les qüestions a tenir en compte en aquest cas és la possibilitat de monitoritzar els processos.

En cas que la monitorització també es vulgui utilitzar per verificar el compliment de les obligacions laborals, s’haurà d’informar amb caràcter previ i de manera clara i expressa al personal i a la representació dels treballadors/es, tal i com s’estableix a l’Estatut dels Treballadors.

Respecte a la monitorització via remota també s’ha de respectar el dret a la intimitat i el dret a la desconnexió digital regulat a la normativa, concretament a la LOPDGDD.

Tot i així, la configuració per accedir remotament ha de ser revisada periòdicament per garantir que no ha estat desactivada sense autorització.

La situació també serà diferent en funció de quina sigui la situació de cada entitat respecte a l’accés a la informació: si disposa d’un núvol, si disposa d’un servidor propi i tots els ordinadors estan en xarxa, si es volca tota la informació en un programari…

En relació amb aquest punt, també s’ha de prestar especial atenció a la possibilitat propagació de ‘malware’ per la xarxa corporativa i la utilització de recursos no autoritzats.

Altres consells per a la seguretat de les dades

  • Ús d'email corporatiu: Aquest correu ha de ser per un ús estrictament professional i no es s’hauria d’utilitzar per a cap altre tipus de comunicacions.
  • Utilització de contrasenyes i bloquejos de pantalles: Respectar les contrasenyes i en el cas d'haver d'usar dispositius personals per a la realització del treball, que sigui en una sessió pròpia i diferenciada a la d'altres persones que també puguin utilitzar el mateix recurs.

També és oportú utilitzar bloquejos de pantalla amb la finalitat que no es pugui accedir a la informació quan no s’estigui davant de l’ordinador.

  • Xifrat: Xifrar la informació sensible tant per al seu emmagatzematge com per al seu enviament per reduir els riscos que es produeixin violacions de seguretat.
  • Còpies de seguretat: Realitzar còpies de seguretat de la mateixa manera que en la seu, guardant la informació en les carpetes de les quals es té constància que s'estan realitzant.
  • Trasllat de documentació: Prestar especial cura en el trasllat de documentació en paper i en suports electrònics, que estigui completa abans i després del trajecte.
  • Comunicació d'incidències que afectin la seguretat de les dades de caràcter personal: Comunicar a l’entitat qualsevol incidència de seguretat que tingui coneixement, sobretot si afecta dades personals.