Teletrabajo y protección de datos

Delegado de protección de datos > El Blog del DPD/DPO > GDPR Legal > Teletrabajo y protección de datos

Teletrabajo y protección de datos

18 junio, 2020 | GDPR Legal

El teletrabajo es una modalidad laboral recogida en el Estatuto de los Trabajadores en el artículo 38.4 en el que se señala la importancia de poder solicitar a la empresa la adaptación de la duración y distribución de jornada, en la ordenación del tiempo de trabajo y en la forma de prestación, incluida la prestación de su trabajo a distancia, para hacer efectivo su derecho a la conciliación de la vida familiar y laboral.

Además, se recoge en el  Artículo 13 del Estatuto de los Trabajadores la figura del teletrabajo como trabajo a distancia, en los siguientes términos:

<<1. Tendrá la consideración de trabajo a distancia aquel en que la prestación de la actividad laboral se realice de manera preponderante en el domicilio del trabajador o en el lugar libremente elegido por este, de modo alternativo a su desarrollo presencial en el centro de trabajo de la empresa”.

No obstante, de ser un derecho, se convierte en una obligación al producirse situaciones excepcionales como la pandemia que ha golpeado nuestro entorno.

Así se ha puesto de manifiesto por las empresas que se han visto obligadas a adoptar las medidas pertinentes y prestar los servicios de manera telemática, si bien deben de cumplir con una serie de requisitos.

En nuestra normativa en protección de datos podemos encontrar una referencia a la desconexión digital en el artículo 88.1 de la Ley Orgánica de Protección de Datos y Garantías de Derechos Digitales (LOPDGDD) al precisar que las empresas deberán garantizar el tiempo de descanso, permisos y vacaciones, así como su intimidad personal y familiar, debiendo potenciarse en las modalidades del ejercicio laboral el derecho a la conciliación de la actividad laboral, vida personal y familiar (artículo 88.2 LOPDGDD).

Las condiciones de ejercicio de este nuevo derecho deberán establecerse en el marco de una negociación colectiva o entre lo acordado entre la empresa y los representantes de los trabajadores, eso sí adoptando previamente, una normativa o política interna o protocolo en el que se desarrollen las modalidades de ejercicio a la desconexión y especial atención medidas de sensibilización del personal laboral para impedir la fatiga informática laboral, especialmente cuando el trabajo se realiza a distancia, en el domicilio o a través del teletrabajo (artículo 88.3 de la LOPDGDD).

Es difícil reconocer el derecho a la desconexión digital, se complica aun más si cabe cuando el trabajador/a se encuentra teletrabajando en su propio domicilio con cargas familiares, no obstante,  estos protocolos de actuación deberán incluir garantías adicionales que consistan en preservar el derecho a la intimidad y desconexión digital así como preservar la seguridad de la información adoptando las medidas técnico organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo (artículo 32 Reglamento Europeo de Protección de Datos, RGPD)

Entre las medidas de seguridad adoptadas por la empresa podemos considerar las siguientes:

  • Se utilizarán los canales de comunicación para el establecimiento de VPN (Virtual Private Network).
  • Vigilancia y control del dispositivo físico facilitado por la empresa, así como precaución en el transporte y traslado de los mismos.
  • Implantación de contraseñas fuertes y robustas, así como el doble factor de autenticación en correos corporativos y particulares.
  • Uso de plataformas Mobile Device Management (gestión de dispositivos móviles) en los terminales aportados a los empleados. MDM es un conjunto de software que permite monitorizar, controlar y asegurar dispositivos móviles, que incluso permitan el borrado remoto de los dispositivos.
  • Evitar el acceso a terceros a la información y documentación existente en nuestros dispositivos, así mejoramos la confidencialidad de la información.
  • Realizar copias de seguridad de nuestros dispositivos y equipos informáticos en nuestra red corporativa, y evitar las copias en unidades locales.
  • Comunicar a nuestra organización cualquier incidencia o brecha de seguridad Ante la pérdida o robo de un dispositivo móvil, infectada por un virus u otro software malicioso o acceso no autorizado de conformidad con el Protocolo de nuestra organización, así se podrá valorar la notificación a la AEPD.
  • Actualiza el antivirus y firmware de tu dispositivo o equipo para evitar agujeros de seguridad o vulnerabilidades en nuestro sistema.
  • Reuniones periódicas del comité de control y seguimiento de la crisis sanitaria creado en la empresa, que asuma tareas de formación y concienciación del personal que resuelvan todas las dudas que se puedan plantear en la gestión de la crisis.

En definitiva, el artículo 88 de la LOPDGDD instaura un nuevo derecho para los trabajadores y empleados públicos  que nos permite disponer de herramientas para compatibilizar el escenario laboral con el familiar, entre las que destacamos a modo de resumen, según la normativa de protección de datos:

  • Obligación a las empresas de la aprobación formal de una política interna que regule el derecho a la desconexión digital, previa audiencia de los representantes de los trabajadores.
  • La política deberá aplicar también al personal directivo acompañada de un plan de formación y de concienciación del personal.
  • La política debe tener en cuenta la naturaleza, objeto de la relación laboral así como las excepcionalidades actuales tipo accidentes, emergencias o crisis sanitarias como la que estamos atravesando.

Y entre las medias de seguridad adoptadas deberán implementarse las siguientes:

-Continuidad de las empresas en la notificación de brechas de seguridad a la autoridad de control, en nuestro caso la Agencia Española de Protección de datos. (https://www.aepd.es/es/prensa-y-comunicacion/blog/notificacion-de-brechas-de-seguridad-de-los-datos-personales-durante-el)

-Adopción de medidas técnico-organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo entre las que podemos resaltar la utilización de herramientas corporativas que nos permitan realizar el teletrabajo, el uso de dispositivos personales Bring your own device (BYOD) con plataformas MDM, conexión VPN, actualización de antivirus y firewalls, revisión de permisos de usuarios, contraseña doble factor de autenticación. Entre algunas herramientas, guías y recomendaciones de buenas prácticas a destacar consideramos las realizadas por la AEPD en el siguiente enlace: https://www.aepd.es/es/areas-de-actuacion/recomendaciones/medidas 

Con todos estos mecanismos podremos teletrabajar de forma segura garantizando la seguridad o cualquier evento venidero  con una mayor seguridad y protección de nuestra intimidad en este “nuevo” entorno denominado teletrabajo, ya que no se trata sólo del cumplimiento formal de la LOPDGDD sino de equilibrar el uso de las nuevas tecnologías con la gestión más eficiente de los tiempos de descanso aumentando la productividad, reduciendo el estrés y mejorando la imagen corporativa interna y externa de nuestras organizaciones.

Equipo Govertis