Con la llegada de la enfermedad conocida como Covid-19, provocada por el nuevo coronavirus SARS-CoV-2, nuestro modelo de relacionarnos como sociedad ha cambiado radicalmente. Se trata de un virus con un índice de propagación brutal que nos ha obligado a tomar una serie de medidas para tratar de minimizar el número de contagios y proteger a las personas con mayor riesgo de sufrir graves secuelas, incluso la muerte, en caso de exposición a virus.
Una de las medias principales ha sido decretar el estado de alarma que, entre otras medidas, ha supuesto el confinamiento de la mayoría de la población.
Este confinamiento ha provocado la suspensión de la actividad de muchas empresas, en otros casos, se está tratando de mantener la actividad a través de la implantación de modelos de teletrabajo.
En otros casos, algunos sectores, por ser servicios básicos o porque así lo han decidido, mantienen la actividad productiva.
Teniendo en cuenta estos dos aspectos, es importante conocer cómo podemos tratar los datos de salud de nuestros trabajadores cuando sus funciones se realizan físicamente en un centro de trabajo y qué medidas de seguridad debo tener en cuenta a la hora de adoptar el teletrabajo.
Tratamiento de datos de salud
El pasado jueves día 12 de marzo de 2020, la Agencia Española de Protección de Datos, emitió un informe muy esclarecedor, acerca de la posibilidad y necesidad de tratar datos de salud, que son datos especialmente protegidos, de los trabajadores de las organizaciones, por parte de los empleadores.
Este tratamiento de datos de salud, se circunscriben, solamente, a aquellos casos que estén relacionados con el COVID-19.
La agencia determina que, de acuerdo al RGPD, siempre que se deba proteger un interés esencial para la vida del interesado o de otra persona física, este tratamiento de datos está legitimado, en concreto;
«Ciertos tipos de tratamiento pueden responder tanto a motivos importantes de interés público como a los intereses vitales del interesado, como por ejemplo cuando el tratamiento es necesario para fines humanitarios, incluido el control de epidemias y su propagación, o en situaciones de emergencia humanitaria, sobre todo en caso de catástrofes naturales o de origen humano»
(Fuente AEPD).
Por lo tanto, además de lo relativo al cumplimiento legal en materia de prevención de riesgos laborales, existe una misión realizada en interés del bien público o en defensa de los intereses vitales del interesado u otras personas físicas.
El procedimiento de información se concreta en la obligación del trabajador de informar a su superior jerárquico o empleador, en caso de sospecha de contacto con el virus, a fin de salvaguardar, además de su propia salud, la del resto de trabajadores del centro de trabajo con los que haya tenido relación, de modo que la empresa pueda tomar las medidas oportunas para mitigar la posibilidad de contagios.
El empleador está, por tanto, legitimado para tratar dichos datos, pero deberá adoptar siempre, las medidas oportunas de seguridad y responsabilidad proactiva. El tratamiento de estos datos estará limitado exclusivamente para la finalidad que destacada anteriormente y se mantendrán los principios de minimización de la información, es decir, no tratar más datos de los necesarios, evitando que la difusión de dichos datos, trascienda del entorno del centro de trabajo o sanitario que deba tratar este tema.
Os detallo el enlace para acceder al resumen del informe de la Agencia y al propio informe.
Teletrabajo
La situación de teletrabajo ha sido sobrevenida a causa de fuerza mayor por la incidencia que está teniendo esta pandemia. Antes del Covid-19, tan sólo el 4% de los trabajadores tenías habilitadas herramientas suficientes y seguras para poder teletrabajar. Por este motivo, se sobreentiende que la mayoría de las organizaciones ha tomado la iniciativa pero sin estar bien preparadas.
Este hecho supone que las medidas de seguridad que se han aplicado no son las necesarias por lo que es fácil que se produzcan incidentes de seguridad en el desarrollo del teletrabajo.
De hecho se está constatando un repunte en los ataques de ciberseguridad por parte de delincuentes que tratan de aprovechar este periodo de indefensión. El último conocido, el ataque a nuestra red sanitaria a través de correo que incorporaba un Ransomware que trataba de bloquear la información de los hospitales con el fin de cobrar un rescate por ello.
Es importante que, si tenemos que optar por un modelo de teletrabajo, seamos asesorados por nuestro técnico especialista en IT, si se dispone de uno en plantilla, y en el caso de la mayoría de las empresas que no disponen de esta figura, por una empresa especializada en aportar este tipo de soluciones.
Los aspectos más importantes a tener en cuenta a la hora de preparar un modelo de teletrabajo, son los siguientes que enumeramos a continuación:
- Escoger una solución de acceso remoto a la información de la empresa. Para esto, se puede optar por soluciones Cloud de proveedores (más sencillas de implantar), o soluciones de red privada vitual (VPN), más complejas de implantar pero que nos dan un mayor control de lo que se hace con nuestra información.
- Revisemos los correos corporativos para ver que no hayan sufrido ataques previos o que puedan sufrirlos al acceder a ellos en remoto. Es muy importante que si recibimos un correo sospechoso, nunca debemos abrir los enlaces o documentos que lleve anexos. Ante esto, debemos ponerlo en conocimiento de nuestro interlocutor de seguridad en la organización o borrarlo directamente.
- Establecer los medios, herramientas y aplicaciones que faciliten las videoconferencias con clientes, trabajadores y proveedores. Estas deben cumplir con una serie de medidas de seguridad que garanticen que no hay accesos no autorizados a las mismas, ni suplantación de identidades.
- Se debe reforzar la seguridad de los accesos remotos a las organizaciones mediante autenticación de doble factor y filtrar los accesos a través de firewalls.
- Los equipos informáticos o móviles que se vayan a utilizar para teletrabajar deben incorporar las medidas de seguridad necesarias. Si estos equipos son propios de la organización deben entregarse previamente configurados con las medidas establecidas por la empresa. En el caso de que los equipos para acceder sean propios de los trabajadores, se deben establecer una política de medidas de seguridad que minimicen la posibilidad de incidentes. Estas medidas pueden ser, entre otras, las siguientes:
- Mantenga la seguridad de su equipo. Desde la organización debe establecerse un resumen de medidas a implantar si el equipo va a acceder de manera remota a la organización. Comprobar las actualizaciones del sistema operativo, activar el antivirus, bloqueo de pantalla mediante contraseña, etc.
- Evite abrir el correo personal, u otro tipo de operaciones personales, mientras esté conectado de manera remota a los servidores de la organización.
- En caso de detectarse correo sospechoso, no abrirlo y, por supuesto, nunca abrir enlaces o anexos que puedan estar contenidos en el mismo.
- Para conectarse a Internet, utilice siempre redes seguras, nunca redes públicas ni abiertas.
- Evite el intercambio de información confidencial o sensible por correo electrónico. En caso necesario, esta debe codificarse antes de enviarla.
- Los datos confidenciales o sensibles almacenados en las unidades del equipo, deben codificarse para evitar acceso a las mismas a personas no autorizadas.
- Nunca informe de sus datos de usuario y contraseña a nadie que nos los solicite. Se trata de prácticas de phising que tratan de conseguir nuestro acceso a aplicaciones.
Para finalizar, debemos recordar que todas las medidas y soluciones que se implanten, deben hacerse bajo el marco de la normativa aplicable en materia de protección de datos, desde su principio de “Privacidad desde el diseño”, de manera que se protejan los datos y derechos de clientes, trabajadores y colaboradores.
En el siguiente enlace podéis acceder al informe publicado por el Centro Criptológico Nacional, acerca de las medidas a tomar. Espero os sea de utilidad.https://www.ccn-cert.cni.es/informes/informes-ccn-cert-publicos/4691-ccn-cert-bp-18-recomendaciones-de-seguridad-para-situaciones-de-teletrabajo-y-refuerzo-en-vigilancia-1/file.html
[pb_builder]