En nuestro país hasta la llegada de la crisis sanitaria provocada por el COVID-19, no estaba extendida la modalidad de trabajo a distancia en la cultura organizativa de la mayoría de las empresas; no obstante, con la llegada de la pandemia, se ha acelerado el recurso a esta modalidad laboral. El uso de las herramientas tecnológicas de trabajo ha sido un recurso clave para la continuidad de los negocios en este contexto de trabajo. Esta nueva realidad ha puesto en relieve la necesidad de regular las peculiaridades de esta modalidad de trabajo con un mínimo de seguridad jurídica de forma más detallada que el propio artículo 13 ET.
Fruto del acuerdo entre el gobierno y los agentes sociales, el 23 de septiembre de 2020, ha sido publicado en el BOE el Real Decreto Ley 28/2020, de Trabajo a Distancia que entrará en vigor el próximo 9 de octubre de 2020.
Cuestiones a considerar por parte de las empresas en calidad de responsables de tratamiento
- Han de ser aprobadas políticas corporativas en materia de protección de datos y seguridad de la información que regulen las particularidades de esta modalidad de trabajo a distancia. Estas políticas formarán parte de las políticas corporativas generales en protección de datos y de seguridad de la compañía. En ellas se determinará las formas de acceso en remoto permitidas, la tipología de dispositivos permitidos para cada tipo de acceso, así como restringirse los perfiles de acceso. Es recomendable que se detallen las obligaciones y responsabilidades que asumen los empleados. Estas políticas han de ser debidamente informadas a los empleados que disfruten de este régimen laboral, asegurando su puesta a disposición permanente y la adecuada formación de los empleados, especialmente respecto al buen uso de las herramientas tecnológicas, incluyendo recomendaciones sobre el buen uso del tratamiento de los datos personales y datos confidenciales de la empresa.
- La empresa se asegurará de que sus empleados conocen el procedimiento de detección y comunicación de incidentes de seguridad a nivel interno, para ello resulta imprescindible que los empleados reciban una formación y concienciación respecto a este procedimiento interno, así como las principales amenazas en ciberseguridad y riesgos tecnológicos a las que la empresa por su actividad puede verse más expuesta.
- La empresa asegurará que sus herramientas y programas de gestión interna cumplen con la normativa de protección de datos, y estándares robustos en seguridad informática. Se recurrirá a proveedores de servicios confiables que ofrezcan garantías suficientes con relación a la exposición de datos personales del personal, interesados y servicios corporativos de la organización. Si estos proveedores de servicios IT acceden a datos personales, la relación contractual se regirá por un contrato de encargado de tratamiento de acuerdo con el art. 28.3. del RGPD.
- La empresa deberá inventariar el hardware y software que ponga a disposición de sus empleados. Asimismo, se configurarán los perfiles de acceso personalizados en función del rol del empleado, los dispositivos de acceso y la ubicación de estos.
- La empresa no podrá exigir la instalación de programas de gestión o aplicaciones en dispositivos que sean propiedad de la persona trabajadora, ni la utilización de estos dispositivos en el desarrollo del trabajo a distancia.
- Si se permite el uso de dispositivos personales de las personas empleadas, al suponer un mayor riesgo por no incorporar los mismos controles que los equipos corporativos, además de exigir unos requisitos mínimos para poder utilizarlos en el establecimiento de conexiones remotas, hay que valorar la posibilidad de restringir la conexión a una red segregada que únicamente proporcione un acceso limitado a aquellos recursos que se hayan identificado como menos críticos y sometidos a menor nivel de riesgo.
- Se recuerda la aplicabilidad del art. 88 de la Ley Orgánica 3/2018, de 5 de diciembre respecto a esta modalidad de trabajo a distancia. Las empresas han de aprobar una política interna de desconexión digital en las que se detallen las medidas técnicas y organizativas que aseguren el respeto a los derechos de desconexión digital de los empleados.
- Hay que establecer sistemas de monitorización encaminados a identificar patrones anormales de comportamiento en el tráfico de red en el marco de las políticas de acceso remoto y movilidad con el objetivo de evitar la propagación de malware por la red corporativa y el acceso y uso no autorizado de recursos. Se informará al personal, en la política de protección de la información para situaciones de movilidad, sobre la existencia y el alcance de estas actividades de control y supervisión.
- Si las actividades de monitorización se usaran además para verificar el cumplimiento de las obligaciones laborales del personal, el responsable del tratamiento deberá informar con carácter previo, y de forma clara, expresa y concisa a las personas empleadas y, en su caso a sus representantes, de la medida adoptada en el marco de las funciones de control previstas en el Estatuto de los Trabajadores que han de ejercerse dentro de su marco legal y con los límites inherentes al mismo. Se ha de realizar un análisis de riesgos en privacidad antes de aprobarse cualquier medida de control empresarial, optándose siempre por aquellas que resulten menos intrusivas para perseguir la misma finalidad. En la ponderación de los juicios de valor, se tendrán en cuenta los principios de necesidad, idoneidad y proporcionalidad.
Cuestiones a considerar por parte del personal laboral en la modalidad del trabajo a distancia
- Los empleados están sometidos a la observación y cumplimiento de todas las instrucciones y recomendaciones respecto a las políticas de protección de datos personales, información confidencial y medidas de seguridad técnica que hayan sido aprobadas por su empresa. Atenderán a los procedimientos de uso responsable de herramientas digitales y programas de gestión que la empresa ponga a su disposición. En especial, velará por la no exposición de la información corporativa, guardando la información en los espacios de red habilitados para ello.
- Si se permitiera el uso de equipos personales, los empleados bajo ningún concepto usarán aplicaciones no autorizadas en la política de la entidad para compartir información (servicios en nube de alojamiento de archivos, correos personales, mensajería rápida, etc.)
- El personal ha de firmar un acuerdo de teletrabajo que incluya los compromisos adquiridos al desempeñar sus tareas en situación de movilidad.
- Ante cualquier cuestión que pueda suscitarse en el contexto de las situaciones de movilidad y que puedan representar un riesgo para la protección de la información y el acceso a los recursos corporativos el empleado debe consultar con el Delegado de Protección de Datos y con el responsable de seguridad de la información, o los perfiles responsables designados al efecto, trasladándoles toda información de interés de la que tenga constancia.
