Teletrabajo en España: todo lo que hay que saber para controlar la seguridad y la protección de datos

Con la vuelta del aumento de contagios en toda Europa muchas empresas empiezan a pensar que tener a parte de la plantilla trabajando desde casa no es tan mala idea. Por eso es el momento de analizar el teletrabajo en España para controlar la seguridad y protección de datos.

Porque ya no se trata de una situación excepcional. Muchas empresas asumen que el teletrabajo ha llegado para quedarse, en mayor o menor medida, como una oportunidad para que los trabajadores puedan conciliar mejor, como una fórmula para no tener que alquilar oficinas tan grandes o para poder tener mucha más flexibilidad.

En Pymes y Autonomos

Ni remoto completo, ni presencial total: el modelo de teletrabajo híbrido con días de oficina y otros fuera, explicado

¿Qué debemos considerar a la hora de proteger los datos cuando teletrabajamos?

La propia Agencia Española de Protección de Datos, AEPD, marca en un documento algunas pautas según el cual la protección de datos debe ir más allá de la elección de una herramienta tecnológica que nos facilite el acceso y el trabajo de forma remota. Y el acceso remoto a los datos personales cambia algunas cuestiones pero no tanto como podemos pensar si lo hacemos de la forma adecuada.

Porque debemos tener en cuenta que siempre es necesario:

• Aplicar los principios de protección de datos desde el diseño, identificando los nuevos requisitos y rediseñando los procesos de teletrabajo, aplicándolo a las herramientas empleadas, aumentando la transparencia y el control sobre los datos, etc.
• Aplicar los principios de protección de datos por defecto, configurando correctamente las aplicaciones para minimizar los datos personales tratados.
• Implementar medidas de seguridad efectivas, orientadas a proteger los derechos y libertades.

Teniendo esto en cuenta y si pensamos en el trabajo remoto no deja de ser como cuando trabajamos en la nube la realidad es que, los equipos desde los que se conectan los usuarios o desde los que se trabaja en casa lo ideal es que, aunque sean propiedad de la empresa, no almacenen datos personales y solo se usen como una herramienta para acceder a los datos que están en nuestras oficinas.

Lo ideal sería crear una guía o documento para nuestra empresa donde especificamos cómo debemos conectarnos, identificar posibles riesgos e informar de esta manera a todos los empleados de las políticas de acceso remoto que vamos a llevar a cabo.

En las guías se debe identificar un punto de contacto para comunicar cualquier incidente que afecte a datos de carácter personal. El personal ha de firmar un acuerdo de teletrabajo que incluya los compromisos adquiridos al desempeñar sus tareas en situación de movilidad.

En Pymes y Autonomos

Cinco soluciones de VPN profesionales para empresas que cumplen con la seguridad necesaria

Asegurando el acceso a los datos

Las comunicaciones tienen que ir debidamente protegidas, a ser posible con una conexión VPN que establezca un túnel de cifrado que impida que la información que va desde nuestra casa a la oficina pueda ser interceptada y leída sin problemas. Evitamos también de esta forma agujeros de seguridad en la apertura de puertos en el router como el del escritorio remoto, uno de los elementos más atacados para introducir ransomware en las empresas.

El acceso a los datos en la oficina tiene que estar correctamente protegido, tanto con un usuario y una contraseña que sea introducido en cada caso por el trabajador. No debería almacenarse dichas credenciales para que se inicie sesión por defecto y se acceda a la oficina sin solicitarlas. Lo ideal si utilizamos un ordenador personal es crear un usuario diferente, que tenga un acceso diferente del que utilizamos en nuestra vida cotidiana para intentar separar ambos ámbitos.

No debemos descargarnos información de la oficina al ordenador de casa y viceversa, especialmente si se trata de datos personales. Es importante que el servicio informático revise y configure periódicamente los equipos y las conexiones remotas para asegurar un correcto funcionamiento.

Hay ciertos compromisos a los que tenemos que llegar si dejamos que se utilicen dispositivos personales, pero otros que, por sentido común, no deberíamos aceptar. Lo mínimo es que ese ordenador personal tenga sistema operativo actualizado y antivirus, pero también que no tenga aplicaciones de intercambio de archivos o acceso que comprometan que alguien pueda tomar fácilmente el control del equipo y a través del mismo llegar hasta nuestra red corporativa.

Hay que ir poniendo barreras y frenos para mantener aislados los accesos de manera que solo el propietario del equipo pueda acceder. Es la única manera de intentar mantener bajo control el acceso a los datos en la oficina.

En Pymes y Autonomos

Teletrabajo en España y sueldo, ¿se puede pagar menos a los que no acuden a la oficina?

Mejor no improvisar

Lo cierto es que ya tenemos experiencia suficiente como para ver pros y contras del teletrabajo. La protección de datos en un primer momento ha quedado en segundo plano. Puede que por una pequeña temporada no tenga demasiada importancia, pero la realidad es que a medio plazo tenemos que regularizar los accesos remotos a nuestra empresa si no queremos tener problemas.

Lógicamente no es lo mismo una pequeña empresa de 10 trabajadores que una mediana de 200 y las políticas de seguridad seguramente van a ser mucho más estrictas en la segunda. Pero todas ellas suelen disponer de consultores de protección de datos que les deben guiar para saber cómo deben actuar a la hora de implantar el teletrabajo de forma segura.