En este tercer artículo os hablaremos de la afectación que puede tener el teletrabajo para el RGPD y algunas recomendaciones sobre cómo realizar las videoconferencias de manera más segura.
En relación al RGPD, vamos a resumir algunas pautas básicas para que los trabajadores puedan trabajar desde casa con unos niveles adecuados de ciberseguridad, y con todas las garantías que el RGPD establece. Comentar, que ya lo hicimos en la revisión de la política, el definir y concretar la responsabilidad del trabajador en relación con la información y su gestión y las herramientas para poder desempeñar su “teletrabajo”.
1º.- Cláusulas de confidencialidad. El empleado ha de quedar correctamente informado de los parámetros de su acceso remoto y las condiciones del mismo y de las consecuencias de no cumplir con los niveles de confidencialidad requeridos.
2º.- Los dispositivos de acceso en remoto han de ser facilitados por el empresario, así como el software que garantice la seguridad de la conexión externa. Para ello le tendrá que formar como establece El artículo 32.4 del RGPD, en relación a las medidas que han de tomarse medidas respecto al personal con acceso a datos que dependa tanto del responsable como del encargado, de forma que traten los datos siguiendo estrictamente sus instrucciones y lo establecido por el reglamento.
La formación también se debería establecer como pauta en relación a las medidas de seguridad humanas, conocimiento de técnicas de ciber delincuencia, y como destaparlas, el hecho de trabajar solo puede hacernos caer más fácilmente en estas actividades fraudulentas que si estamos en equipo, con los que podríamos consultar antes de tomar una decisión.
3º.- Se deben evitar las aplicaciones de control remoto, implanta una VPN
Si bien la tentación es instalar software de control remoto como TeamViewer o Anydesk en cada uno de los equipos, esta opción incumple el RGPD por diversos motivos, ya que estás usando proveedores con los cuales no dispones de un contrato de terceros que establezca los compromisos y obligaciones a los que están sujetos, y de los cuales además no sabemos si tienen un nivel de seguridad adecuado al reglamento. Esto también abre la posibilidad a tener puertas traseras en nuestros sistemas que den lugar a accesos no deseados (incluso de los propios desarrolladores de esas aplicaciones), e incluso de perder el control de cuándo y cómo acceden nuestros empleados, entre otros problemas.
En su lugar, lo más recomendable es utilizar sistemas de acceso cifrado seguro, como una VPN, la cual es controlada completamente por el Responsable/Encargado del tratamiento y permite poder acceder desde fuera de la empresa a todos los recursos internos.
4º.- Sistemas de almacenamiento. Si en tu negocio utilizáis proveedores de almacenamiento o copias de seguridad «en la nube» (cloud), también es necesario cumplir ciertos requisitos:
- Asegúrate de tener un contrato de prestación de servicios con el proveedor
- Ten firmado el contrato de terceros correspondiente, ya que ese proveedor pasa a ser un encargado del tratamiento
- Es necesario que los servidores del proveedor se encuentren dentro de la Unión Europea (recomendable que se especifique en el contrato de terceros)
- Busca un proveedor que facilite «control de versiones» para saber cuándo y quién ha modificado cada fichero (recuerda, estaréis todos en remoto), e incluso poder recuperar y consultar versiones anteriores de los ficheros.