Dado que muchas empresas están optando (total o parcialmente) por el teletrabajo como una solución para mantener la actividad ante la situación generada por el coronavirus, a través del presente artículo queremos trasladar una serie de cuestiones que recomendamos tener en cuenta a la hora de organizar nuestra empresa para funcionar mediante el teletrabajo desde el punto de vista de protección de datos y seguridad de la información, laboral y contractual:
Recomendaciones desde una perspectiva de Protección de datos y seguridad de la información
Accesos remotos y videoconferencia
-
El Centro Criptológico Nacional, CCN-CERT acaba de hacer pública una guía que lleva por título: “Medidas de seguridad para Acceso Remoto” en el que se dan pautas para desplegar un sistema de teletrabajo. En concreto recoge “dos soluciones en función de las capacidades de la organización que debe implementarlo: solución basada en la nube o en sistemas locales.”
-
Muchas organizaciones utilizaremos más intensamente sistemas de colaboración o videoconferencia para comunicarnos. Las hay para todos los gustos y colores, como por ejemplo la solución de Teams de Microsoft. Te dejamos varios recursos para explicar y formar a los usuarios su funcionamiento por si no están familiarizados con la misma, unas pautas para el despliegue a nivel técnico y una guía de configuración segura del Centro Criptológico Nacional, CCN-CERT.
Relaciones con los trabajadores:
-
Resulta oportuno dar indicaciones a los trabajadores sobre como tienen que utilizar los medios de trabajo en remoto y como desenvolverse ante las diferentes casuísticas que se pueden producir. Es recomendable trasladar por medio de una instrucción las pautas de funcionamiento al respecto (por ejemplo, qué hacer ante una brecha de seguridad que pudiera suceder).
-
En el caso que se vayan a implantar mecanismos de supervisión y control de los dispositivos digitales, tendremos que tener en cuenta la adecuada ponderación entre la intimidad de los trabajadores y el legítimo control empresarial. Para ello lo recomendable es establecer criterios de utilización (en especial cuando se toleren su uso con fines privados).
-
Si vamos a elaborar directorios de teléfonos particulares y ponerlos a disposición de toda la organización o incluso clientes, deberemos obtener el consentimiento de los trabajadores al respecto.
Relación con proveedores:
Comoquiera que muchos de estos servicios que podamos utilizar en estas fechas van a tratar datos de carácter personal, debemos asegurarnos elegir a un proveedor con garantías al respecto. Afortunadamente hay muchas y buenas opciones para elegir en el mercado. Desde el punto de vista de protección de datos tendremos que asegurarnos suscribir los oportunos contratos de encargo de tratamiento (los que regulan el tratamiento de los datos de carácter personal). Si el proveedor es de fuera de la Unión Europea tendremos lo que se denomina “transferencia internacional de datos” y tendremos que verificar si está ubicado en un territorio considerado “seguro” por parte de la Comisión Europea o buscar alguna alternativa legal para dar las garantías adecuadas. En la página web de la Agencia Española de Protección de Datos puedes encontrar el listado de países como articular estas relaciones.
Recomendaciones desde una perspectiva mercantil
Tal y como ya recomendábamos en nuestros Consejos laborales y mercantiles en tiempos de coronavirus debemos analizar si como consecuencia de la situación existente, así como del teletrabajo, vamos a ser capaces de cumplir o no todos los contratos que tenemos con clientes, proveedores, etc. En caso de que haya algún contrato que no podamos cumplir (o, al menos, no totalmente) debemos estudiar dicho contrato y muy especialmente la regulación que en dicho contrato se hace de la fuerza mayor, para conocer el procedimiento que tenemos que seguir al respecto: de cuánto plazo disponemos para comunicar la existencia de la causa de fuerza mayor, cómo debemos actuar una vez realizada la comunicación, consecuencias que se pueden derivar de esta situación, de cuánto tiempo disponemos antes de que el contrato pueda ser resuelto, etc. Y, por supuesto, no nos olvidemos nunca de recopilar y conservar las pruebas que acrediten que estamos involucrados en una causa de fuerza mayor.Puesto que no nos encontramos ante una situación en la que únicamente determinados trabajadores van a hacer teletrabajo, sino en la que va a ser la totalidad (o una buena parte) de la empresa quien trabaje a distancia y muy posiblemente con un uso importante del correo electrónico, esta situación puede provocar un incremento notable de ataques de suplantación de identidad por parte de hackers, como por ejemplo mediante el conocido “Timo del Ceo”. Para evitarlo, resulta más que recomendable establecer para todo el personal que se vaya a encargar de hacer los pagos de la empresa una serie de reglas que deban ser tenidas antes de realizar cualquier pago. Entre dichas reglas debe destacar la necesidad de contar con autorización de un responsable que la empresa designe al efecto cuando concurran determinadas circunstancias, como, por ejemplo:
-
Cuando nos pidan que hagamos un pago que no responda a una operación habitual.
-
Cuando nos pidan que el pago se haga a una cuenta bancaria distinta a la habitual.
-
Cuando nos pidan hacer un pago desde una cuenta de correo electrónico distinta a la habitual.
-
Cuando nos pidan realizar un pago mediante una comunicación que contenga cualquier elemento que nos haga sospechar (tono o redacción del correo, características de la operación a la que se hace referencia, etc.)
No olvidemos nunca que estas peticiones pueden venir no sólo de nuestros proveedores, sino también de correos de personas pertenecientes a nuestra propia organización (y muy habitualmente de correos de nuestros propios jefes en los que además nos solicitan que no hablemos con nadie sobre el pago que nos piden que hagamos en dicho correo), pero no por ello debemos atender los mismos sin pedir antes una confirmación.Y, por último, dos reglas muy importantes para evitar este tipo de estafas:
-
Hay que estar siempre muy atento a la dirección de correo desde la que se nos pide el pago (no siempre, pero a veces es posible detectar que se trata de una estafa porque la dirección de correo no coincide exactamente con la correcta, sino que difiere en una letra, guion, etc.)
-
Cualquier confirmación, aclaración, etc. que pidamos ante un caso como los descritos, debe hacerse mediante una llamada telefónica a la persona que se haya designado como responsable de la empresa a estos efectos, nunca mediante correo electrónico (pues en dicho caso será al propio hacker a quien nos estaremos dirigiendo).
Recomendaciones desde una perspectiva laboral.
El Teletrabajo es una de las medidas estrella en la crisis sanitaria generada por el Coronavirus, siendo incluso recomendada por las autoridades públicas.Ahora bien, no por ello debe olvidarse que el teletrabajo regulado en el artículo 13 del Estatuto de los Trabajadores, debe acordarse con la persona trabajadora o al menos así lo dispone el precepto, cuestión distinta es que en la situación excepcional que estamos atravesando el precepto merezca otra interpretación más flexible.Por tanto, se aconseja bien firmar acuerdo con las personas trabajadoras o al menos la adhesión del trabajador o trabajadora a la medida de teletrabajo propuesta por la empresa, determinando la vigencia del acuerdo en función de la evolución de la crisis sanitaria.El acuerdo o la implantación de la medida de teletrabajo debe ser comunicada al servicio de prevención a los efectos de que se tenga en cuenta el cambio operado en el puesto de la persona trabajadora.Se adjunta un modelo básico de acuerdo de Teletrabajo.