La AEPD y el CCN-CERT lanzan recomendaciones para proteger los datos personales en situaciones de movilidad y teletrabajo

08-04-2020 — AR/2020/072

La situación excepcional originada por la pandemia del COVID-19 también ha abocado a muchas empresas a agilizar la implantación de teletrabajo por fuerza mayor, sin una planificación previa. Por ello, y dado que la situación se prolonga, la AEPD lanza una serie de recomendaciones para preservar la continuidad de los procesos de negocio, y también los derechos y libertades de los interesados cuyos datos personales se estén tratando. Asimismo, el CCN-CERT ha publicado una nueva versión de su informe de buenas prácticas para situaciones de teletrabajo y refuerzo en videovigilancia.

La Agencia Española de Protección de Datos (AEPD) emite sus recomendaciones para preservar la continuidad del negocio y los derechos y libertades de los ciudadanos cuyos datos personales se estén tratando.

Asimismo, el CCN-CERT (Centro Criptológico Nacional y Equipo de Respuesta ante Emergencias Informáticas, en siglas inglesas) ha publicado una nueva versión de su informe de buenas prácticas para situaciones de teletrabajo y refuerzo en videovigilancia.

A continuación, se resaltan las recomendaciones de la AEPD a las compañías.

 Recomendaciones de la AEPD

Política de protección de la información para situaciones de movilidad

Es una de las principales: la definición de una política de protección de la información para situaciones de movilidad, que contemple las necesidades específicas y los riesgos derivados del acceso a recursos de la organización fuera del entorno corporativo.

Esa política debe determinar perfiles de acceso, responsabilidades y obligaciones de los empleados o también pautas para evitar el uso de aplicaciones que no ofrezcan garantías, procedimientos de administración y monitorización de la infraestructura, entre otros.

Los empleados deben estar informados con estas políticas de teletrabajo de las principales amenazas por las que pueden verse afectados al trabajar desde fuera de la organización y las posibles consecuencias que pueden materializarse si se quebrantan dichas directrices.

A este respecto, la AEPD incluye una serie de directrices para que los empleados hagan un uso responsable de estas herramientas en situaciones de teletrabajo, que se centran en obligaciones de:

  • respeto a la política de protección de la información en situaciones de movilidad que se facilite,
  • protección de los dispositivos utilizados y el acceso a ellos,
  • garantía de protección de la información que se está manejando,
  • uso de los espacios de red habilitados, y
  • comunicación de los casos de sospecha de brecha de seguridad.

Uso de soluciones de confianza

Se deben implantar soluciones y prestaciones de servicios confiables y con garantías, recurriendo a proveedores y encargados de tratamiento que las hayan probado, así como establecer mediante contrato u acto jurídico la vinculación con el responsable, sus obligaciones y derechos de acuerdo con el artículo 28 del RGPD.1

Restricción del acceso a la información

Restringir el acceso a la información por niveles y roles de cada empleado.

El acceso puede ser incluso más restrictivo que el que se tiene en la red interna y con medidas adicionales de limitación según los dispositivos de acceso y la ubicación.

 Revisión periódica de equipos y dispositivos utilizados

Se trata de revisar periódicamente la configuración de los equipos y dispositivos utilizados en las situaciones de movilidad, tanto los servidores de acceso como los equipos corporativos.

Cuando se permita el uso de dispositivos personales, habrá que valorar la posibilidad de restringir la conexión a una red segregada que solo proporcione un acceso limitado a recursos identificados como menos críticos.

Monitorización de accesos a la red corporativa 

El seguimiento de los accesos a la red corporativa desde el exterior tiene la finalidad de identificar patrones anormales de comportamiento en el tráfico de la red corporativa.

Hay que informar a los empleados sobre la existencia de estas actividades de control y supervisión y, en los casos en los que la monitorización se utilice para verificar el cumplimiento de las obligaciones laborales del personal, el responsable de tratamiento ha de informar a los empleados conforme prevé el Estatuto de los Trabajadores y respetar los derechos digitales y el derecho a la desconexión digital en el ámbito laboral definidos en la LOPD-GDD.2

 Análisis de riesgos

En esa evaluación de los riesgos, conviene contemplar la proporcionalidad de los beneficios obtenidos de un acceso a distancia y el efecto potencial de ver comprometido el acceso a la información de carácter personal.

Documentación adicional

Para conocer en detalle el contenido de las recomendaciones, se puede acceder al contenido de las publicaciones de la AEPD y de CCN-CERT en el apartado de documentos vinculados.

Para ampliar información, también se incluyen en ese apartado enlaces a las recomendaciones que han realizado el CCN, el Instituto Nacional de Ciberseguridad de España (INCIBE) y el National Institute of Standards and Technology (NIST) de EE. UU., sobre cuestiones a tener presentes en el teletrabajo y la movilidad.


1 Siglas del reglamento general de protección de datos, que es el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE.

2 Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.