Blogosfera Navas & Cusí

Nuestro bufete de abogados Navas & Cusí con sedes en Madrid y Barcelona posee carácter multidisciplinar y con una vocación internacional (sede en Bruselas), está especializado en derecho bancario , financiero y mercantil.
Contacta con nosotros
Para garantizar la calidad y la atención personalizada, atendemos con cita previa presencial o videoconferencia. No trabajamos a resultados.

La crisis sanitaria provocada por la Covid-19 junto a los esfuerzos gubernamentales por la digitalización de la sociedad, han dado lugar a que las empresas se reinventen e implementen nuevas alternativas para continuar con su actividad productiva. Dentro de las nuevas alternativas, el teletrabajo, ha alcanzado su cifra récord, siendo muchas las empresas que a día de hoy plantean mantenerlo.

Sin embargo, esta nueva realidad coloca a las empresas en una situación complicada en la que tendrán que regular todo lo relativo a la situación del teletrabajo.

Entre todos los aspectos que se deberán regular, como son los de la normativa laboral, horarios, entorno de trabajo, dispositivos de trabajo…, existe un aspecto fundamental que las empresas deberán tratar, y es la protección de datos personales. Esta protección de se entenderá respecto a la información que manejan y su finalidad será la de garantizar a sus trabajadores: la seguridad, integridad y confidencialidad de sus datos personales.

Recomendaciones de la Agencia Española de Protección de Datos.

La nueva situación a las que se enfrentan las empresas, ha dado lugar a que la autoridad de control, la Agencia Española de Protección de Datos, se haya pronunciado enumerando una serie de recomendaciones:

  1. Definir una política de protección para trabajo a distancia. Estableciendo formas de acceso remoto, dispositivos validos de acceso, definir responsabilidades u obligaciones que asumen los trabajadores, recomendaciones y guías dirigidas a personal respecto a la recogida de datos, firma de acuerdo de teletrabajo…
  2. Elección de prestadores de servicios que ofrezcan unas garanticas adecuadas de protección. Celebración de un contrato entre el responsable y el encargado del tratamiento donde se establezcan las responsabilidades que cada uno asume.
  3. Regulación del acceso a la información. Garantizar un acceso limitado a la información de acuerdo al rol de cada trabajador y dependiendo del dispositivo al que se tenga acceso.
  4. Revisión regular de la información, de la política de seguridad y de los dispositivos utilizados. Los equipos o dispositivos mediante los cual se tenga acceso a la información deberán estar actualizados.
  5. Seguimiento y monitoreo de los accesos virtuales que tengan lugar desde el exterior de la organización, con la finalidad de poder detectar cualquier patrón anormal de comportamiento de la red y evitar la propagación de programas malignos (malware)
  6. Análisis de riesgos, a través del cual se evalué la proporcionalidad entre el acceso a distancia a la información y el impacto de ese acceso a la información de carácter personal.

 

Estas recomendaciones establecidas por la AEPD siguen la línea del principio de Responsabilidad Proactiva o Accountability, el cual establece la necesidad de realizar un estudio basado en el riesgo, de manera que, cuanto mayor sea el riesgo del tratamiento, mayor será las medidas de protección de datos que serán necesarias implantar para contrarrestarlos.

Incidencias de seguridad

Respecto a las incidencias de seguridad que pueden darse en el seno de una organización, acudimos al RGPD, donde define una brecha de seguridad como:

«toda violación que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales trasmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizado a dichos datos»

Las brechas de seguridad se encuentran reguladas en los artículos 33 y 34 del RGPD, y establecen la responsabilidad de las empresas frente a las violaciones de seguridad de los datos que manejan, así como los mecanismos de actuación frente a estas violaciones:

  • Notificación a la Autoridad de control (AEPD) en el plazo máximo de 72 horas desde que se haya tenido conocimiento de la violación, de producirse la notificación en un tiempo superior, se deberá acompañar la notificación de la correspondiente justificación de las razones que lo impidieron hacerla en el plazo establecido.
  • Comunicación a los interesados de las violaciones de seguridad sin dilación indebida para las violaciones seguridad que supongan un alto riesgo para los derechos y libertades de los individuos.

Estamos ante un cambio de paradigma en el trabajo que ha llegado, y en muchos casos, para quedarse, y ante una realidad con los riesgos asociados con la gestión de los datos y de la información que debe ser tomada muy en serio, por las implicaciones tanto empresariales como legales que conlleva, que hace necesario contar con asesoramiento legal especializado que proteja a nuestra organización como a nosotros mismos en este nuevo escenario.

En Navas Cusí abogados contamos con un equipo de abogados expertos en ofrecer un asesoramiento legal para las empresas en la implantación y regulación del teletrabajo.

Author
Navas & Cusí Abogados
Artículo anterior Artículo siguiente