Estas recomendaciones están dirigidas tanto a responsables del tratamiento como al personal que participa en las operaciones de tratamiento.
Estas recomendaciones están dirigidas tanto a responsables del tratamiento como al personal que participa en las operaciones de tratamiento.
Para los responsables del tratamiento, la AEPD recomienda:
-La definición de una política de protección e la información para situaciones de movilidad que contemple las necesidades concretas, los riesgos particulares asociados al acceso a los recursos corporativos desde espacios que no están bajo el control de la organización y cómo debe ser ese acceso, definiendo las responsabilidades y obligaciones de los empleados a través de guías funcionales para que éstos puedan estar informados de las amenazas y las consecuencias en caso de incumplimiento.
-Establecer canales y formatos adecuados para la notificación en caso de que ocurra un incidente de seguridad.
-Elegir aplicaciones y soluciones de teletrabajo que ofrezcan garantías, en relación con el informe RBP/18 Recomendaciones de seguridad de situaciones de teletrabajo y refuerzo en vigilancia publicado por el CCN-CERT. Asimismo, para todos estos prestadores de servicios que tengan acceso a datos de carácter personal, se deberá firmar el correspondiente contrato de encargo del tratamiento.
-Correcta configuración de los perfiles o niveles de acceso a la información en función del tipo de dispositivo desde el que se acceda o su ubicación.
-Configurar de forma periódica los equipos y los dispositivos.
-Monitorizar los accesos que se realizan a la red corporativa desde el exterior.
-Realizar un análisis de riesgos que evalúe la proporcionalidad entre el beneficio del acceso a distancia y el impacto de ver comprometido el acceso a datos de carácter personal.
Para el personal que participe en las operaciones del tratamiento, la AEPD recomienda lo siguiente:
-Respetar la política de protección de la información que haya definido el responsable.
-Proteger el dispositivo utilizando contraseñas robustas y diferentes a las que se utilizan para acceder a cuentas personales, no descargar aplicaciones o software que no hayan sido autorizados de forma previa por el responsable, evitar acceder a la red corporativa desde lugares públicos, etc.
-Garantizar la protección de la información, extremando precauciones para evitar el acceso no autorizado a la misma.
-Guardar la información en los espacios habilitados por la organización como los recursos de almacenamiento compartido o en la nube.
-Comunicar inmediatamente una brecha de seguridad. Link al documento: https://www.aepd.es/sites/default/files/2020-04/nota-tecnica-proteger-datos-teletrabajo.pdf