En esta última entrada de la serie vamos detallar las medidas organizativas mínimas dirigidas a la protección de datos en el teletrabajo.
Estas medidas organizativas afectan a la estructura y a la toma de decisiones en la empresa, estableciendo las políticas y procedimientos a seguir.
Especialmente importante es centrarse en el eslabón más débil de la cadena de la seguridad de la información, los trabajadores, ya que están expuestos tanto a los riesgos tecnológicos como a los ataques de ingeniería social (engaños por medio de llamadas, emails o redes sociales).
Entre las medidas organizativas se incluye la política de seguridad de la empresa que debe contemplar de forma clara:
- El marco legal y regulatorio en el que se va a desarrollar el teletrabajo.
- Los roles de seguridad, definiendo para cada uno, los deberes y responsabilidades del cargo, así como el procedimiento para su designación y renovación.
- La gestión y coordinación de la seguridad, detallando su ámbito de responsabilidad.
Además, establecerá una normativa de seguridad específica para el teletrabajo, donde se establecerá el uso correcto de los equipos facilitados por la empresa y la responsabilidad del personal con respecto al cumplimiento o violación de estas normas.
Por otra parte, detallará cómo llevar a cabo las tareas habituales, quién debe hacer cada tarea y cómo identificar y reportar comportamientos anómalos.
Algunas de las medidas organizativas que deben tenerse en cuenta serían:
Concienciación, sensibilización y formación a los trabajadores de la empresa sobre ciberseguridad y protección de datos
Es responsabilidad de la empresa formar a los trabajadores para que hagan un tratamiento de datos con garantías, especialmente en el caso del teletrabajo.
Ante la implantación del teletrabajo la empresa debe formar a los teletrabajadores mediante la realización de cursos, charlas o talleres.
Documento de confidencialidad
La empresa debe entregar a los trabajadores un documento donde se recojan sus funciones y obligaciones en cuanto a la protección de datos, con especial incidencia en el compromiso de confidencialidad que adquieren al tratar los datos personales a los que tienen acceso por el desempeño de su trabajo.
Dicho documento deberá ser firmado para que quede constancia de que se ha informado debidamente al personal.
Ante la implantación del teletrabajo, no está de más revisarlo para adaptarlo a esta nueva circunstancia de ser necesario, y aclarar las posibles dudas al respecto.
También deberán contemplarse los procedimientos de actuación o delegación de funciones para casos de ausencia, muy importante en estos momentos en los que no podemos “ver” si el compañero se encuentra en su puesto de trabajo o no.
Control de acceso
El teletrabajador sólo debe acceder a aquellos datos y recursos que precise para el desarrollo de sus funciones fuera del centro de trabajo.
La empresa establecerá mecanismos para evitar que un trabajador acceda a recursos no autorizados a través de los accesos remotos a los sistemas de información de la entidad.
Solamente la persona designada por la empresa podrá conceder, alterar o anular el acceso sobre los datos, conforme a los criterios establecidos por la empresa.
Contratación de proveedores externos
Es posible que, para implantar el teletrabajo, la empresa necesite contratar un nuevo proveedor externo, por ejemplo, servicios de almacenamiento en la nube.
Antes de proceder a la contratación se debe comprobar que el posible proveedor cumple con los requisitos de cumplimiento exigidos por el RGPD. Además, se debe firmar el correspondiente contrato de encargo de tratamiento antes de comenzar la prestación del servicio.
Inventario de activos
Es importante llevar a cabo un inventario de los soportes donde se almacenan datos personales.
Este inventario debe realizarse de tal forma que facilite el control, almacenamiento y localización de todos los soportes, ya sean automatizados (pen drive, discos duros externos, etc.) como documentación.
Gestión de la entrada y salida de activos
La salida de soportes fuera de las instalaciones de la empresa deberá ser previamente autorizada por la empresa.
La implantación del teletrabajo conlleva la necesidad para el teletrabajador, en caso de no tener acceso remoto a los sistemas de información de la empresa, de llevarse a su domicilio aquello necesario para el desempeño de sus funciones, para lo cual la empresa deberá analizar cuáles son esas necesidades y otorgar las autorizaciones pertinentes.
En el traslado se adoptarán las medidas necesarias para evitar la sustracción, pérdida o acceso indebido a la información.
Protocolos de información al interesado y de atención al ejercicio de derechos
La empresa debe seguir cumpliendo con sus obligaciones respecto a los interesados de los cuales trata datos personales que le conciernen.
Esto significa que las políticas de información a los interesados así como los procedimientos de solicitud y respuesta a los ejercicios de derechos conforme al RGPD sean revisados.
En caso de ser necesario, dichas políticas se adaptarán al hecho de que los trabajadores no estén desarrollando sus funciones en el centro de trabajo.
Protocolo de gestión de brechas de seguridad
La empresa debe asegurarse de que el procedimiento para la gestión de incidentes de seguridad sigue siendo válido ante la implantación del teletrabajo.
Este procedimiento debe permitir responder de forma rápida, ordenada y eficaz ante un incidente de seguridad que afecte a datos personales, minimizando sus consecuencias.
La empresa debe verificar que el teletrabajador conoce el procedimiento y dispone de un canal de comunicación adecuado ante una posible brecha de seguridad.
Canales de comunicación
Es muy importante que exista una comunicación fluida entre todos los miembros de la empresa, tanto entre los teletrabajadores y sus supervisores, como entre los propios trabajadores entre si.
A pesar de trabajar a distancia, hay que mantener la sensación de equipo. Además es imprescindible implantar un servicio adecuado de apoyo técnico para los teletrabajadores.
Política de protección del puesto de trabajo
El teletrabajador debe seguir aplicando las normas de protección establecidas por la empresa. Lo único que ha cambiado es la situación del puesto, que pasa del centro de trabajo al domicilio del trabajador.
En el caso del teletrabajo, el cumplimiento de estas normas es fundamental ya que, las personas que se encuentran en el domicilio serán, por regla general, terceros ajenos a la empresa y, por tanto, personas no autorizadas para acceder a los datos responsabilidad de la misma.
El teletrabajador, siempre que se ausente del lugar donde ha instalado su puesto de teletrabajo, deberá asegurarse de no dejar información confidencial de ningún tipo al alcance de otras personas, guardando en lugar seguro cualquier documento o soporte (política de mesas limpias).
En cuanto a los ordenadores, tablets y móviles, deberá tener aplicado el estándar relativo a protector de pantalla. De esta forma el protector definido se activará ante un tiempo sin uso y se tendrá que introducir la contraseña para su desbloqueo.
Si tienes alguna duda sobre estas medidas organizativas puedes llamarnos al 958 415 736 o hacérnosla llegar a través de cualquiera de los otros canales que ponemos a tu disposición.