Política de Protección de datos y seguridad de la información, específicamente aplicables al trabajo a distancia
En el Acuerdo de Trabajo a Distancia se deben incluir políticas específicas en materia de protección de datos, condiciones de uso de las herramientas corporativas e instrucciones relativas a la seguridad de la información que afecten a esta modalidad de trabajo.
Para que estas políticas de cumplimiento sean efectivas, más allá del deber de información, la empresa debe velar por la adecuada formación de sus empleados, asegurándose que los mismos conocen los procedimientos y pautas de actuación de acuerdo con los requisitos exigidos por normativa de protección de datos y medidas de seguridad de la información aprobadas por la organización.
Inventario de soportes
En el Acuerdo, se incluirá un inventario de aquellas herramientas tecnológicas y dispositivos corporativos que se faciliten a los empleados para realizar su trabajo a distancia. Se indicarán los límites en su uso, incluyendo el criterio o plazo de renovación de los dispositivos facilitados.
Se facilitará la persona de contacto para situaciones de dificultades técnicas, así como para el caso en que se detecten incidencias de seguridad.
Medios de control empresarial
Si la empresa tuviera previsto realizar acciones de control empresarial, se detallará en el Acuerdo, tanto el alcance como los usos previstos para cada una de estas herramientas de control, asegurando que los empleados cuentan con unas expectativas razonables sobre las mismas. Asimismo, se detallarán las posibles consecuencias disciplinarias en caso de detectar incumplimientos laborales a través de dichas herramientas de control laboral.
En este sentido, es imprescindible que la empresa conozca los procedimientos y pautas en materia de protección de datos para que las herramientas implementadas se doten de las garantías jurídicas que le permitan cumplir su cometido dentro de la legalidad, esto es, realizar un análisis previo de riesgos para la privacidad de las herramientas planteadas, y escoger solo aquellas que superen el juicio de ponderación de los principios de necesidad, idoneidad y proporcionalidad.
Adecuación de herramientas, programas de gestión y soportes corporativos
La empresa debe asegurarse que las herramientas tecnológicas, software y programas de gestión cumplen con los requisitos mínimos de seguridad de la información y con la normativa de protección de datos.
Se recurrirá a aquellos proveedores de servicios confiables que ofrezcan garantías suficientes con relación a la exposición de datos personales tratados por la organización. Si estos proveedores de servicios IT acceden a datos personales, la relación contractual se regirá por un contrato de encargado de tratamiento de acuerdo con el art. 28.3. del RGPD.
Uso de dispositivos personales para desempeño laboral
La empresa no podrá exigir la instalación de programas de gestión o software corporativo en los dispositivos personales de sus trabajadores, ni exigir el uso de dispositivos personales para la prestación del trabajo a distancia.
En caso de que la empresa prevea esta facultad, los empleados que voluntariamente accedan a realizar estos usos, atenderán las instrucciones específicas y recomendaciones recibidas, en especial, se asegurarán de que no utilizan herramientas no autorizadas para compartir información corporativa (servicios en nube de alojamiento de archivos, correos personales, mensajería rápida, etc.).
El uso de dispositivos personales con fines profesionales aumenta los riesgos corporativos en ciberseguridad al no incorporar dichos dispositivos los mismos controles que los equipos corporativos; por tanto, se recomienda que las empresas exijan unos requisitos mínimos para su uso en conexiones remotas.
Desconexión digital
La empresa debe aprobar medidas específicas que garanticen el derecho a la desconexión digital de sus empleados, incluyendo los puestos directivos, que realicen su trabajo en la modalidad a distancia. Para ello se tendrá en cuenta los tiempos de descansos, el horario de la jornada laboral y los periodos de vacaciones.
La política de desconexión digital irá acompañada de formaciones específicas de concienciación y sensibilización sobre el uso responsable de las herramientas digitales por parte de los empleados que deberán de compatibilizar con sus tiempos de descanso y jornada de trabajo.