Las empresas de todo el mundo se enfrentan a diversos retos debido al brote de la COVID-19. Con el fin de apoyar la lucha contra la pandemia de la corona y adaptar sus actividades diarias a esta situación excepcional, muchas de ellas han comenzado o planean comenzar a implementar el trabajo a distancia en un corto plazo. Sin embargo, es importante que las empresas -especialmente en la Unión Europea, donde deben observar las normas de la RPI- no descuiden sus deberes de protección de los datos personales de sus clientes y empleados. Allí, las violaciones de la protección de los datos personales no sólo pueden dar lugar a medidas delicadas y a multas impuestas por las autoridades de protección de datos, sino que también dañan la imagen de la empresa ante los clientes y en el mercado de posibles trabajadores cualificados. En este contexto, cada vez es más importante la selección cuidadosa de programas informáticos que garanticen la comunicación interna incluso cuando se trabaja desde el hogar. El artículo presenta lo que las empresas deben tener en cuenta a la hora de implementar el trabajo desde casa y las aplicaciones de software correspondientes desde el punto de vista de la protección de datos y por qué es esencial implicar al responsable de la protección de datos (RPD) en el proceso.

Artículo completo

Introducción del trabajo telemático: Desafíos de la protección de datos durante el COVID-19

Las empresas de todo el mundo se enfrentan a diversos retos debido al brote de Covid-19. Con el fin de apoyar la lucha contra la pandemia de la corona y adaptar sus actividades diarias a esta situación excepcional, muchas de ellas han comenzado o planean comenzar a implementar el trabajo a distancia en un corto plazo. Sin embargo, es importante que las empresas -especialmente en la Unión Europea, donde deben observar las normas de la RPI- no descuiden sus deberes de protección de los datos personales de sus clientes y empleados. En este artículo se presentan los riesgos de las medidas no preparadas y se muestran posibles soluciones para que la introducción del trabajo a distancia y la selección y el uso del software de comunicación adecuado puedan ser jurídicamente seguros desde el punto de vista de la protección de datos. 

Debido a la pandemia de Covid-19 y cuando el modelo de negocio lo permite, muchas empresas han decidido permitir que sus empleados trabajen desde casa. Trabajar desde casa parece ser una gran manera de mantener el negocio funcionando lo más posible incluso durante este período inusual, mientras se protege la salud del personal y de la sociedad en general. En países europeos como Alemania, los gobiernos incluso dan recomendaciones oficiales para apoyar el trabajo desde el hogar como empleador a fin de promover la salud y la capacidad de trabajo de los empleados y, por lo tanto, de su empresa. 

Sin embargo, la implementación del trabajo a distancia debe estar bien preparada: dado que las soluciones espontáneas no suelen aplicar plenamente todos los requisitos de seguridad, el trabajo desde el hogar sin preparación específica no es una medida de bajo riesgo desde el punto de vista de la protección de datos. Además, es posible que las empresas tengan que seleccionar una herramienta de videoconferencia para mantener la comunicación entre sus empleados mientras trabajan a distancia. Dado que no se puede descuidar la confidencialidad, la disponibilidad y la integridad de los sistemas de información, se aconseja a los empleadores que busquen el apoyo de sus funcionarios de protección de datos. A fin de lograr un nivel mínimo de protección de datos y seguridad de la tecnología de la información, los administradores están obligados a adoptar numerosas medidas básicas. De lo contrario, las empresas pueden enfrentarse a graves desventajas.

Las empresas de la Unión Europea están obligadas a proteger los datos personales de sus clientes, empleados y socios comerciales de acuerdo con el Reglamento General de Protección de Datos (GDPR). De acuerdo con el Art. 32 GDPR, todo controlador de datos debe garantizar la seguridad de los datos personales mediante la aplicación de medidas técnicas y organizativas adecuadas. Dado que estas medidas técnicas y organizativas suelen estar adaptadas al trabajo en la oficina en el lugar de trabajo, no se aplican totalmente al trabajo desde el hogar. Así pues, una preparación insuficiente en este contexto puede dar lugar a medidas correspondientes por parte de las autoridades de control de la protección de datos o a reclamaciones de daños y perjuicios por parte del interesado (Art. 82 GDPR). La facultad de las autoridades de control de la protección de datos abarca desde la amonestación al responsable del tratamiento de que una operación de tratamiento ha infringido las disposiciones de la GDPR hasta la imposición de una multa administrativa o incluso la prohibición del tratamiento (Art. 58 GDPR).

Además, es importante que las empresas cumplan las normas de seguridad informática para evitar el chantaje de los ataques de ciberseguridad, así como para proteger sus secretos comerciales y empresariales. Los atacantes invaden los sistemas informáticos para chantajear el dinero de las empresas amenazando con paralizar su sistema informático o con utilizar o vender datos personales o comerciales sin autorización. Especialmente para las empresas industriales es extraordinariamente importante proteger sus secretos comerciales y de negocios contra el acceso no autorizado. Si los secretos comerciales y empresariales no están sujetos a las medidas de seguridad adecuadas de carácter técnico, organizativo y jurídico, la información de la empresa no podrá ser protegida como secretos comerciales y empresariales de acuerdo con la legislación subyacente de la UE (véase el art. 2 Subs. 1 lit. c de la Directiva 2016/943/UE del Parlamento Europeo y del Consejo). En ese caso, el uso no autorizado de la información secreta de la empresa no puede ser perseguido. 

Existen numerosas medidas básicas para que las empresas logren la seguridad y la protección de los datos al implementar el trabajo desde el hogar. 

En primer lugar, es esencial establecer reglamentos claros, inequívocos y vinculantes sobre la tecnología de la información y la seguridad de los datos para su personal, a fin de que sepan exactamente qué normas deben seguir y qué pasos deben dar para reducir al mínimo los riesgos para la seguridad de los datos. Los empleados pueden ser informados personalmente por correo electrónico acerca de esas regulaciones. También es útil establecer una lista de control que contenga las normas de conducta más importantes que ofrezcan autocontrol a los empleados. Siempre que sea posible, los empleados deben recibir formación sobre las normas establecidas. Las autoridades de supervisión de la protección de datos proporcionan una gran cantidad de información específica de cada país sobre la introducción de sistemas de trabajo desde el hogar que puede ser utilizada por los RPD que buscan ayuda para elaborar esas normativas, listas de control y documentos de formación. 

Para proporcionar seguridad informática, es especialmente importante acceder a los recursos internos de una empresa sólo sobre la base de un canal de comunicaciones seguro, una Red Privada Virtual (VPN) criptográficamente segura. El hardware de la empresa, como los ordenadores portátiles, los teléfonos móviles y otros portadores de datos, también debe estar encriptado. En este contexto, también es esencial que los empleados utilicen una red LAN protegida o una conexión de red inalámbrica mientras trabajan desde su casa.

Es esencial establecer reglamentos claros, inequívocos y vinculantes sobre la tecnología de la información y la seguridad de los datos para su personal

Además, los empleados deben disponer de puntos de contacto y canales de comunicación claros que puedan verificar, como una herramienta de videoconferencia claramente determinada. De este modo se evita que los ataques de phishing, así como los empleados, utilicen herramientas de comunicación privadas como WhatsApp, que son inseguras para las empresas en lo que respecta a la protección de datos. 

En el contexto del phishing, se puede observar que los estafadores intentan aprovecharse de las laxas medidas de ciberseguridad al establecer el trabajo desde casa. Mediante correos electrónicos de phishing, sitios web falsos o mensajes cortos, intentan capturar datos sensibles de la empresa o del usuario. Por lo tanto, las empresas deben hacer saber a sus empleados en particular que no deben transmitir datos de usuarios o contraseñas bajo ninguna circunstancia, instalar programas informáticos en el equipo de la empresa sin autorización o abrir archivos adjuntos o enlaces de correos electrónicos con remitentes desconocidos. En particular, debería comprobarse siempre la identidad de la dirección del remitente en caso de correos electrónicos inusuales.

Es especialmente importante acceder a los recursos internos de una empresa sólo sobre la base de un canal de comunicaciones seguro, una Red Privada Virtual (VPN) criptográficamente segura

Además, es importante que las empresas establezcan reglamentos para la utilización de dispositivos privados y comerciales. Los dispositivos privados, como las computadoras portátiles o los teléfonos móviles, sólo deben utilizarse si existe una práctica correspondiente de "traer su propio dispositivo" en la empresa que establezca claras restricciones al uso de aplicaciones, nubes o servicios de mensajería privados que no cumplan con las leyes de protección de datos. De lo contrario, los empleados deben abstenerse de subir datos empresariales a dispositivos privados o a una nube privada y de conectar medios de almacenamiento privados, como memorias USB, al dispositivo empresarial. El uso de dispositivos empresariales privados sin más regulación constituye un alto riesgo de pérdida de datos, transferencia no autorizada de datos personales o empresariales o introducción de malware. Por lo tanto, tampoco deben utilizarse canales de comunicación privados como WhatsApp o Facebook para intercambiar información empresarial. 

Los dispositivos empresariales, como los ordenadores portátiles o los teléfonos móviles, deben ser mantenidos a salvo por cada empleado en su espacio de trabajo en casa. Se debería aspirar a un nivel de seguridad comparable al de una sala de oficina, por ejemplo, cerrando puertas y ventanas al salir del lugar de trabajo. En particular, el equipo debería protegerse contra el acceso de terceros. Esto incluye el bloqueo de la pantalla al salir del lugar de trabajo, la colocación del equipo de trabajo de modo que la pantalla no pueda verse desde el exterior y, de ser posible, el bloqueo del equipo de trabajo cuando no esté en uso. 

Por último, se debe exigir a los empleados que no impriman documentos mientras trabajen en su casa. No obstante, si fuera necesario, los documentos impresos deberán destruirse adecuadamente y en ningún caso se eliminarán en el cubo de la basura doméstica. A fin de reducir al mínimo el riesgo de pérdida de datos, también se deben hacer regularmente copias de seguridad de los datos mientras se trabaja desde el hogar. Si se pierde un dispositivo de la empresa, documentos de papel o un dispositivo móvil, los empleados deben informar inmediatamente de la pérdida a una unidad central. Estas medidas también evitan las violaciones de la protección de los datos personales y los secretos comerciales por el acceso no autorizado de terceros. 

En este contexto, es esencial que las empresas se aseguren de que todos los empleados sepan a quién contactar en caso de cualquier violación de los datos personales y cómo ponerse en contacto con la persona responsable. Los empleados deben ser conscientes del breve plazo de notificación del Art. 33 GDPR relativo a las violaciones de datos personales, porque si no se puede cumplir el plazo de 72 horas con la autoridad de supervisión de la protección de datos, pueden amenazarse medidas graves. Por lo tanto, la primera persona de contacto para los empleados debe ser siempre el RPD. 

En tiempos en que la gran mayoría del personal de una empresa trabaja a distancia y es necesario sustituir las reuniones presenciales, las herramientas de videoconferencia para las reuniones en línea adquieren una enorme importancia. Pero con un cambio rápido, las empresas pueden carecer de tiempo para seleccionar cuidadosamente una herramienta de videoconferencia adecuada y segura entre la amplia gama de proveedores. Sin embargo, la seguridad informática y de los datos es de suma importancia a la hora de elegir una herramienta de este tipo. Por lo tanto, es muy importante que la dirección no vaya sola, sino que involucre estrechamente al RPD en el proceso de selección.

Se debe exigir a los empleados que no impriman documentos mientras trabajen en su casa

Varios requisitos deben ser cumplidos por una herramienta de videoconferencia, como el cumplimiento de las regulaciones de la GDPR cuando son usadas por los empleados en la UE. Por lo tanto, al elegir entre una gran variedad de herramientas de videoconferencia, los proveedores de terceros países deben ser rechazados si no hay una decisión de adecuación sobre el estado de la sede del proveedor según el Art. 45 GDPR - como por ejemplo el escudo de privacidad UE-EE.UU. - o la transferencia de datos personales no está sujeta a una protección adecuada según el Art. 46 GDPR como las cláusulas de protección estándar o las normas corporativas vinculantes. 

Un factor de conexión esencial en la elección de una herramienta de videoconferencia que cumpla con todos los requisitos de la GDPR es el Art. 25 DE LA LEY DE PROTECCIÓN DE DATOS. En consecuencia, un controlador debe considerar los defectos de protección de datos del software, así como el nivel de protección de datos posible mediante ajustes técnicos individuales ("protección de datos por diseño" y "protección de datos por defecto"). 

Los programas adecuados utilizan la encriptación de transporte y la encriptación de extremo a extremo. Además, las salas de conferencias en línea deben estar protegidas por contraseñas o invitaciones personalizadas. El software no debe grabar las conferencias con fines de mejora de la calidad o cualquier otra forma de evaluación, ni permitir al empleador grabar la videoconferencia. Además, el programa que se utilice no debe permitir al anfitrión de la conferencia encender la cámara o el micrófono de los demás usuarios, ni siquiera compartir las pantallas de los demás usuarios por control remoto. Estas configuraciones de privacidad individuales deben estar a disposición de cada usuario. También se puede lograr un mayor nivel de protección de los datos ofreciendo una función de desenfoque en la que cada usuario individual pueda desenfocar su fondo. 

Además, el empleador debe poder ajustar los parámetros relativos a los datos de telemetría y la recopilación de datos biométricos, como el reconocimiento de la atención. Esas funciones deberían desactivarse para garantizar la reducción al mínimo de los datos. Dado que los datos biométricos están especialmente protegidos por el Art. 9 GDPR y sólo pueden recogerse por razones jurídicas limitadas, ese procesamiento de los datos personales de los empleados sería ilegal en virtud del GDPR. 

Además, una empresa de procesamiento de datos debe cumplir las disposiciones fundamentales de la GDPR, como la protección de los derechos del interesado, es decir, de los empleados. Tan pronto como un empleador quiera darles instrucciones para utilizar la herramienta de videoconferencia de su elección, los empleados deben ser informados adecuadamente de acuerdo con el Art. 13 DE LA LEY DE PROTECCIÓN DE DATOS. Asimismo, el responsable del tratamiento no debe olvidar incluir la utilización del nuevo programa informático en el registro de las actividades de tratamiento de acuerdo con el Art. 30 GDPR. Dado que la obligación de cumplir las normas de protección de datos no termina con la introducción del software, sino que debe supervisarse constantemente y, si es necesario, adaptarse, esto también establece la importancia de incluir al RPD en todo el proceso. Aunque una presentación más básica en el registro del procesamiento puede ser adecuada en momentos en que se necesita una acción rápida, es importante recuperar el margen de maniobra tan pronto como la situación lo permita. El registro de procesamiento también debe contener información sobre la finalidad del procesamiento de los datos y, de ser posible, los plazos previstos para la eliminación de los datos personales. A los efectos de la minimización de los datos, los datos personales deben borrarse tan pronto como termine la conferencia. 

Dado que la seguridad de los datos es siempre también una cuestión relacionada con el usuario, es de suma importancia capacitar a los empleados en el uso seguro de los instrumentos de videoconferencia. Debido a las limitadas opciones de formación presencial, la OPD puede ayudar ofreciendo directrices y códigos de conducta simplificados. Los empleadores también deben pedir a los empleados que den su opinión sobre la configuración de la seguridad de los datos en relación con el software de videoconferencia elegido. 

Otra especificidad relacionada con la RPD es la posible necesidad de una evaluación del impacto de la protección de datos (DPIA) según el Art. 35 DE LA LEY DE PROTECCIÓN DE DATOS. Siempre que se apliquen nuevas tecnologías que puedan suponer un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento tiene que llevar a cabo una evaluación de las repercusiones del tratamiento previsto en la protección de los datos personales. Según el Art. 39 de la Ley de Protección de Datos, una de las principales tareas del responsable de la protección de datos es prestar apoyo y asesoramiento cuando se solicite una evaluación de la protección de datos. El RPD debe tener en cuenta que tiene que dejar constancia suficiente de la consideración de si debe llevarse a cabo una DPIA para poder justificar la decisión ante la autoridad supervisora. El hecho de que se deba llevar a cabo una DPIA depende de cada programa informático y no puede evaluarse de forma concluyente desde el principio. Pero como puede suponerse que, en el contexto de la crisis de Covid-19, el procesamiento de datos personales por un software de videoconferencia también tiene lugar en el entorno privado de los empleados debido a que trabajan a distancia, hay razones de peso para llevar a cabo una DPIA. 

Conclusión

En tiempos de transformación digital, las empresas no deben descuidar los requisitos de seguridad y protección de datos. Esto es especialmente cierto durante la pandemia Covid-19, donde es esencial una acción rápida para mantener las operaciones comerciales de la mejor manera posible. La obligación de cumplir las leyes de protección de datos comienza con la preparación del trabajo a distancia, así como con la selección de proveedores de programas informáticos adecuados, y debe observarse y supervisarse continuamente durante el período de utilización. Por consiguiente, al introducir el trabajo a distancia y seleccionar las aplicaciones necesarias en poco tiempo, los empresarios deben buscar el apoyo de su RPD interno o externo. De ese modo, se pueden reducir al mínimo los riesgos y proteger de manera óptima los datos de la empresa, sus empleados, clientes y socios comerciales. Los RPD deben prepararse para estas nuevas tareas buscando información y apoyo de las autoridades de protección de datos y a través de otros canales.