Medidas de seguridad técnicas y organizativas en materia de protección de datos en situación de teletrabajo

En un artículo anterior, publicamos los criterios de la AEPD sobre el procesamiento de datos de salud de los empleados en el contexto de la pandemia de corona virus Covid-19 actualmente existente. A consecuencia de la pandemia causada por el corona virus Covid-19, con fecha 14 de marzo de 2020, el gobierno dictó el Real Decreto 463/2020, por el que se declara el estado de alarma para la gestión de la situación de crisis sanitaria ocasionada por el COVID-19.

Tanto por adopción de las medidas de prudencia y seguridad planteadas desde las instancias sanitarias, como por las propias medidas impuestas en el territorio nacional por dicho real decreto, muchas organizaciones han recurrido al teletrabajo como forma de cumplir con tales orientaciones y, al mismo tiempo, poder mantener la actividad.

El teletrabajo es una situación que debe analizarse también desde la perspectiva del cumplimiento normativo de protección de datos. De hecho, el anterior Reglamento de Medidas de Seguridad de protección de datos, que desarrollaba la anterior Ley Orgánica de Protección de Datos, prestaba especial atención a la “salida de datos personales” de la organización del responsable del tratamiento, mediante su regulación en el artículo 92, apartado segundo, de la salida de soportes y documentos que contengan datos de carácter personal, incluidos los comprendidos y/o anejos a un correo electrónico, fuera de los locales bajo el control del responsable del fichero o tratamiento deberá ser autorizada por el responsable del fichero o encontrarse debidamente autorizada en el documento de seguridad.

Tal norma se encuentra actualmente derogada y ha sido sustituida por otras y, en especial, por el general principio de diligencia debida, pero recordarla ya da cuenta de que este tipo de escenarios siempre se ha contemplado como de especial protección y vigilancia.

Dicho de otro modo, el teletrabajo obliga a los responsables del tratamiento de los datos personales a activar un protocolo compuesto por directrices de seguridad y procedimientos de actuación para preservar la integridad, confidencialidad

Efectivamente, el artículo 32 del Reglamento General de Protección de Datos Personales establece que, teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros, la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.

Por tanto, como se puede apreciar, al arbitrar medios para habilitar el teletrabajo de los empleados, es necesario que estos se implementen garantizando la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.

Por su parte, el precepto refiere también que las medidas que permitan alcanzar tales objetivos serán de una doble naturaleza, esto es: medidas de carácter técnico y medias de carácter organizativo, apropiadas al nivel de riesgo. Es decir, que; por un lado, hay que configurar técnicamente de forma correcta los sistemas y; por el otro, se deben adoptar determinadas pautas de actuación.

Cada organización, ya se trate de una pequeña o mediana empresa, una multinacional o el ámbito de un profesional por cuenta propia, requiere, como siempre en relación al cumplimiento normativo de privacidad, un análisis individualizado, pues cada organización tiene unas características únicas que requieren la adopción de medidas específicas correlativas a sus riesgos.

De forma genérica, pero con la obligación de incardinarlo de forma adecuada, según el caso en cada organización, podemos establecer algunas de las pautas organizativas y técnicas que deberían incoarse:

Medidas de protección de datos personales organizativas mínimas:

1. Crear un registro de usuarios, dispositivos utilizados y aplicaciones sobre las que se otorgan permisos a cada uno para realizar un trazado de procesamiento de datos.
2. Actualizar los ciclos de vida de datos y, en caso de ser preciso, la matriz de riesgos y medidas reductoras de los mismos que, en su caso, podría conllevar una revisión de la Evaluación de Impacto también.
3. Aplicar, y elaborar si no se tiene ya, un protocolo de actuación de teletrabajo en la organización.
4. Aplicar, y elaborar si no se dispone del mismo aún, una instrucción sobre directrices de seguridad y procesos de actuación en relación al uso de dispositivos personales (Conocidos como BYOD, bring your own device), para el procesamiento de informaciones personales.
5. Concienciar y formar a los empleados que vayan a trabajar en este régimen de servicios mediante plataformas de elearning, newsletters, mails o webinars, así como de cualquier otro modo que permita la correcta observación de las obligaciones de protección de datos en el procesamiento de datos y hacer especial énfasis en prácticas de estafa o phishing que utilicen como señuelo la temática del corona virus covid-19.
6. Si no se hizo firmar a los empleados cláusulas de confidencialidad, aprovechar para hacerlo. En otro caso, si ya se realizó, no está de más remitirles de nuevo el documento para que sean conscientes de aplicarlo en el nuevo espacio que supone su puesto de trabajo.
7. Limitar el número de personas autorizadas a realizar nuevas transferencias electrónicas y asegurarse de que todas las nuevas solicitudes estén sujetas a una confirmación expresa y escrita. Para evitar el fraude del CEO, formar sobre este tipo de estafa.

Medidas de protección de datos personales técnicas mínimas:

De forma general aplicar las directrices de seguridad previstas en la organización que queden afectadas:

1. Sobre dispositivos portables
2. Sobre conexiones remotas
3. Sobre navegación en Internet
4. Sobre uso de correo electrónico
5. Sobre sistemas de autenticación
6. Sobre conexiones inalámbricas

De forma más específica, si se traba en un terminal personal BYOD, no corporativo por tanto, algunas recomendaciones, podrían ser:

1. Comprobar con los responsables de IT de la organización antes de empezar a usar la colaboración aplicaciones/servicios.
2. Intentar desconectar los dispositivos conectados de la red doméstica para evitar amenazas IoT si no es posible aislar el terminal de otro modo.
3. Configurar, en remoto si hace falta, el router doméstico para comprobar su seguridad y ajustarla si es posible.
4. Actualizar el sistema operativo del terminal a la última versión recomendable.
5. Si es posible, cifrarlo entero o, al menos una unidad de nueva creación.
6. Crear una cuenta de usuario específicamente sin permisos de administrador e independiente del directorio personal del usuario.
7. Dicha cuenta tendrá contraseña.
8. Limitar los puertos accesibles al terminal y, en su caso, autorizar los dispositivos que podrán utilizarse (impresoras domésticas, USB, llaves wifi). Prohibir los genéricos, de publicidad, los aleatorios o, en definitiva, permitir únicamente los que se deberían encontrar indexados en los registros de hardware de la organización.
9. En la medida posible, evitar la impresión de papel para no hacer uso de las impresoras. De ser preciso su uso, conectarlas solamente cuando se vayan a imprimir.
10. Escanear el sistema en busca de software malicioso, de forma remota si es preciso.
11. Limitar los archivos de trabajo a una carpeta centralizada si no es posible lo anterior.
12. Dentro de dicha carpeta, crear un baúl cifrado para encriptar su contenido, especialmente si se va a trabajar con sistemas de sincronización que no estaban previamente implementados y securizados.
13. Al eliminar archivos, cifrarlos antes con una solución confiable para que no se puedan recuperar en el disco duro después.
14. No compartir los archivos de trabajo usando el almacenamiento personal en la nube mediante enlaces sin cifrar o limitados a mails previamente autorizados.
15. Sustituir Whatsapp por un chat cifrado de extremo a extremo confiable como Wire o Signal o soluciones empresariales de pago acreditadas.
16. En todo caso, no usar Whatsapp para cuestiones profesionales pues la Comisión de la Unión Europea así lo ha recomendado a sus miembros.
17. Bloquear el acceso a la pantalla cuando el usuario no esté delante de la misma y existan otras personas en el entorno de teletrabajo. En Windows se lleva a cabo mediante la combinación de teclas Windows + L
18. Habilitar la autenticación de dos factores si es posible.
19. Utilizar gestores de contraseñas online confiables como Bitwarden y no almacenarlas nunca en el navegador doméstico pues el administrador del sistema podrá acceder a su historial.
20. Configurar el navegador para impedir que recuerde contraseñas y mantenga las sesiones abiertas de los servicios online utilizados profesionalmente como SAAS de cualquier tipo.
21. Evitar el correo electrónico personal para el trabajo, en todo caso, y utilizar preferiblemente la versión webmail del mismo antes que instalar un cliente local sin cifrado en la carpeta que almacena los mails.
22. No compartir archivos de trabajo usando cuentas personales de almacenamiento en la nube o cualquier servicio no autorizado por los responsables IT.
23. Usar el VPN de la organización y, si no existe, contratar uno que no sea gratuito puesto que los servicios gratuitos se usan como señuelo para robar información.
24. Cifrar/proteger con contraseña el almacenamiento USB externo si llegara a usarse para algún supuesto.
25. Los administradores de sistemas, si es el caso, deberían actualizar los firewalls de los servicios remotos para actualizar las IP autorizadas a acceder a los mismos.
26. Dado que implementar procesos nuevos no previstos inicialmente, en un corto espacio de tiempo, multiplica los riesgos técnicos y las amenazas, hacer una copia de seguridad previa a todo ello es medida de primera necesidad.
27. No usar wifis públicas en ningún caso, ni comunitarias. Tampoco enlazarse a la wifi del vecino. Si es de extrema necesidad, hacerlo con VPN.
28. Tapar la webcam, así como desconectar los micrófonos, mientras no se estén utilizando.

Si no dispone de protocolos y directrices de seguridad en este ámbito o tiene dudas sobre aspectos legales y organizativos de implementación, puede consultarnos.