La regulación del teletrabajo y su impacto

El pasado 23 de septiembre el BOE publicaba el Real Decreto-ley 28/2020, de 22 de septiembre, de trabajo a distancia. Una normativa que, consciente de los retos que ya se planteaban en el ámbito laboral español y que debe lidiar ahora con los nuevos a consecuencia de la pandemia, pretende establecer un marco legal suficiente para otorgar garantías necesarias sin distorsionar las relaciones laborales.

En este artículo me centraré única y exclusivamente en el impacto de la norma mencionada para la protección de datos y la seguridad de la información. Y para dotarlo de mayor practicidad y utilidad, ofreceré un decálogo de buenas prácticas para que tanto empresas como personas trabajadoras puedan desempeñas sus funciones preservando la protección de datos y la seguridad de la información.

El derecho a la desconexión digital

El derecho a la desconexión digital implica que las empresas deben respetar el tiempo de descanso, permisos, vacaciones y la intimidad personal y familiar de las personas trabajadoras y empleadas públicas; de modo que la utilización de dispositivos digitales se debe ceñir a la duración máxima de la jornada laboral.

A pesar de que este derecho viene regulado por primera vez en el art. 88 de la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de derechos digitales (LOPDGDD), posiblemente es uno de los derechos que resulta más afectado en el ámbito del teletrabajo y lamentablemente, la normativa en cuestión no ha aprovechado (o no ha sabido aprovechar) la oportunidad para aportar alguna novedad o una regulación más amplia y específica que la que nos ofrece la propia LOPDGDD.

Sobre la seguridad de la información y las condiciones e instrucciones de uso y conservación de equipos informáticos

Únicamente se prevé que las personas trabajadoras deberán cumplir las instrucciones que la empresa haya establecido para el cumplimiento de la normativa de protección de datos y para preservar la seguridad de la información. Esto implica que, desde la óptica de la privacidad, se deberá potenciar la proactividad. Las empresas deben reforzar el cumplimiento del principio de responsabilidad proactiva y ofrecer por un lado, formación adecuada a todo el personal que trate información confidencial o que contenga datos personales; y, por el otro, elaborar protocolos sobre el uso de los equipos informáticos que presta al personal así como el uso de los dispositivos personales en el ámbito laboral, estableciendo los usos permitidos y prohibidos en este contexto así como los derechos y las obligaciones de ambas partes (protocolos que se conocen como políticas Bring Your Own Divice).

Las facultades de control empresarial

Finalmente, la norma prevé que la empresa puede adoptar las medidas que estime oportunas de vigilancia y control para verificar que la persona trabajadora cumple sus obligaciones y deberes laborales.

Esta facultad de control de la empresa ya se reconocía en virtud del art. 20.3 LET. Ahora bien, es importante destacar que, si se utilizan medios telemáticos para ejercer facultades de control empresarial debe mediar una fase de información previa a las personas trabajadoras a los efectos de preservar y hacer respetar su intimidad; lo que implica a su vez, cumplir con lo dispuesto en el art. 87 LOPDGDD.  

En concreto, se prevé que las empresas deberán establecer criterios para la utilización de los dispositivos respetando los derechos a la intimidad y a la protección de datos de las personas trabajadoras, sin exigir instalar programas o aplicaciones en los dispositivos propiedad del personal, ni utilizar dichos dispositivos en el desarrollo del teletrabajo.

Puesto que la regulación del teletrabajo es poco precisa en relación con la protección de datos y la seguridad de la información, he considerado necesario facilitar unas primeras y básicas orientaciones en forma de decálogo para favorecer la proactividad de las empresas para que las hagan llegar a todo su personal, en su condición de responsables del tratamiento de datos.

Decálogo de buenas prácticas para teletrabajar con seguridad

• Sigue las instrucciones tecnológicas de las personas responsables. Si tu departamento dispone de una persona que es tu referente tecnológico, es imprescindible que conozcas el canal de comunicación para la notificación de incidencias y de resolución de las dudas que aparezcan.

• Para evitar el descontrol de la información, es primordial que solo se utilicen las herramientas y aplicaciones que tu empresa ha autorizado. Aunque conozcas programas o páginas web que puedan permitirte realizar determinadas tareas, no las utilices si no te han dato el visto bueno.

• Sigue los protocolos de tu empresa para intercambiar información. Recuerda que muchos delitos informáticos suelen falsificar identidades para enviar mensajes a personas trabajadoras y confundirlas para robarles información, contraseñas, etc. Desconfía también de los hipotéticos mensajes que te solicitan renovar contraseñas si no los has confirmado con tus referentes técnicos, ni descargues ficheros de orígenes desconocidos.

• Verifica el nombre de los destinos a los que conectes tus dispositivos cada vez que realices una conexión a los servidores de tu empresa. Confiar que el diseño y la interfaz son la misma, ya no es suficiente porque los ciberdelincuentes la pueden replicar para generar engaño y estafas.

• Protege las contraseñas de tu empresa. Si la empresa habilita accesos remotos y nuevas aplicaciones, configura contraseñas que sean verdaderamente complejas. Para obtener contraseñas que cumplan los estándares mínimos de seguridad, puedes utilizar generadores de contraseñas como este: https://www.lastpass.com/password-generator

• Revisa si las contraseñas que has utilizado anteriormente se han visto comprometidas en alguna fuga de información o violación de seguridad. Esta página web te ofrecerá toda la información que necesitas: https://haveibeenpwned.com/

• Utiliza un segundo factor de autentificación para mejorar el control de acceso remoto. De esta forma te aseguras de que, aunque acierten o te roben la contraseña, también será necesario tu dispositivo móvil, tarjeta inteligente, llave USB, etc.

• Si debes utilizar ordenadores personales para teletrabajar (en el caso que así se haya pactado), procura que solamente lo utilicen los usuarios autorizados. Pues, recuerda que son dispositivos con acceso a información confidencial de tu empresa. Por tanto, durante el período de teletrabajo evita que lo utilicen otros miembros de la familia.

• Limita el acceso a Internet para prevenir descargar contenido peligroso. Esto implica también asegurarse que tus ordenadores tengan un sistema de antivirus activado y el sistema y aplicaciones actualizadas a las últimas versiones.

• Realiza copias de seguridad en memorias USB privadas para toda la documentación ofimática que se genere en tu ordenador, puesto que posiblemente no disponga de un sistema de copia de seguridad automatizada (como puede suceder con un equipo informático cedido y propiedad de la empresa)

• Evita el uso de redes wifi que no sean de confianza. Si no es imprescindible, no te conectes a redes wifi públicas que no conozcas ni se hayan autorizado. Además, la red wifi de casa debe tener una contraseña compleja y robusta para prevenir, entre otros, un sabotaje externo.

Cristina Ribas Casademont

Abogada especialista en protección de datos

Directora de Ribas Casademont advocats®

Noticias Relacionadas: