Privacidad desde el Diseño
julio 13, 2020Conpes 3995 Política Nacional de Confianza y Seguridad Digital
julio 30, 2020Teletrabajo, trabajo en casa, trabajo remoto, home office, como lo quiera definir, tiene dos elementos fundamentales, por un lado, la casa como sitio de trabajo, y el uso de las tecnologías de la información y las comunicaciones (por lo menos, para el teletrabajo es clave este requisito). Estos dos elementos comportan de manera inmediata riesgos que se hacen difícil de gestionar, debido a que por obvias razones, son espacios y en muchas ocasiones herramientas que no son gestionadas directamente por el empleador.
A continuación, compartimos algunas recomendaciones en materia de protección de datos personales, que son fundamentales que tenga en cuenta al momento de adoptar esta forma de organización laboral:
Tenga en cuenta los requerimientos técnicos, tecnológicos, jurídicos y de seguridad al iniciar.
Cuando se arranca un proyecto de teletrabajo, se debe tener en cuenta diferentes consideraciones, entre esas, la evaluación de las funciones que tiene el cargo el cual va a teletrabajar. En esa medida, debemos evaluar aspectos relativos como: si las funciones se pueden desarrollar fuera de las oficinas, el tipo de información que el cargo tiene acceso, las restricciones que esa información tiene en cuanto a accesos y circulación, los riesgos asociados a esas funciones, las herramientas tecnológicas que requiere para desempeñar esas funciones, (desde una firma electrónica o digital, un computador, una impresora) las medidas de seguridad que deben adoptar para ese cargo. Estos anteriores aspectos, deberían estar definidos o establecidos dentro del análisis que se realiza del cargo, además de otros elementos comportamentales.
Tenga en cuenta la Política de Teletrabajo, el Reglamento Interno de Trabajo y el otro si las condiciones como va a operar la modalidad.
El artículo 3 del Decreto 884 de 2012, establece en su numeral 1 que las organizaciones deben indicar en el contrato de trabajo o en el otro si, «las condiciones de servicio, los medios tecnológicos y de ambiente requeridos y la forma de ejecutar el mismo en condiciones de tiempo y si es posible de espacio, también establece las medidas de seguridad informática que debe conocer y cumplir el teletrabajador
Por otro lado, el artículo 5 del mismo decreto, establece que el Empleador deben incluir en el reglamento interno de trabajo, lo relacionado con el adecuado uso de equipos, programas y manejo de la información. Así mismo, establece que el empleador debe informar al teletrabajador sobre las restricciones de uso de equipos y programas informáticos, la legislación vigente en materia de protección de datos personales, propiedad intelectual, seguridad de la información, y en general las sanciones que acarrea por su incumplimiento.
Incorpore directrices de gestión de datos personales en las Políticas y Procedimientos para el tratamiento de la información personal.
Este punto esta alineado con el anterior, en dicho sentido, es importante fortalecer la política de tratamiento de la información, así como la política de seguridad de la información, para estos escenarios de teletrabajo, teniendo en cuenta las modalidades de teletrabajo que haya adoptado la organización (suplementario, móvil, autónomo). De manera interna se deben definir, los tipos de acceso remoto que tiene la organización, nivel de acceso permitido conforme a los perfiles de usuarios existentes, asignación de responsabilidades y obligaciones. Así mismo, se le debe informar a las personas el área o persona de contacto en caso de un incidente que comprometa datos personales, y el procedimiento para formalizar dicha comunicación. La Agencia Española de Protección de Datos Personales, generó una guía denominada Recomendaciones para proteger los datos personales en situaciones de movilidad y teletrabajo en dicha guía encontrará más detalles al respecto.
Brinde recomendaciones a sus empleados sobre la gestión adecuada de los datos personales y el uso de los dispositivos móviles.
La organización deben adoptar una política de teletrabajo que de cuenta de su funcionamiento, obligaciones de las partes, entre otros aspectos. Es importante, socializar dicha política, de la mano con las responsabilidades que tienen los empleados en el uso de la información y de los dispositivos móviles. La Agencia Española de Protección de Datos Personales, también da luces al respecto, mencionando que se le debe brindar recomendaciones al empleado, en los siguientes aspectos:
- Respetar la política de protección de la información en situaciones de movilidad definida por el responsable
- Proteger el dispositivo utilizado en movilidad y el acceso al mismo
- Garantizar la protección de la información que se esta manejando
- Guardar la información en los espacios de red habilitados
- Si hay sospecha que la información ha podido verse comprometida comunicar con carácter inmediato la brecha de seguridad.
Medidas de seguridad cuando el dispositivo es del Empleado.
Algunos de los problemas en que se encuentran las organizaciones es que la pandemia tomó por sorpresa a más de uno, y muchas no contaban con planes de contingencia y continuidad del negocio, o las que tenían esta política, no tenían contemplado el teletrabajo, por lo que muchas organizaciones han continuado sus labores pero con el equipo personal del trabajador, lo cual, no sería inconveniente si tuviera soluciones de virtualización de escritorios. En este caso, es importante adoptar una política BYOD (Bring Your Own Device) Traiga su propio dispositivo. El Instituto Nacional de Ciberseguridad de España, ha sugerido las ventajas y riesgos de este tipo de estrategias, sin embargo, sigue siendo insuficiente para el contexto actual, por lo que nada mejor que el empleador entregue los elementos que el empleado requiera y así establecer sus políticas y condiciones, o establecer soluciones de virtualización de escritorios, acceso remotos con las medidas de seguridad pertinentes.