Las seis claves del teletrabajo según la agencia española de proteccion de datos

Las seis claves del teletrabajo según la agencia española de proteccion de datos

La situación excepcional originada por la pandemia del COVID-19 también ha abocado a muchas empresas a agilizar la implantación de teletrabajo por fuerza mayor, sin una planificación previa.


La AEPD  ofrece a las entidades que traten datos de carácter personal  estas importantes recomendaciones: 

1. Definir una política de protección de la información para situaciones de movilidad

Definir una política que contemple las necesidades específicas y los riesgos derivados del acceso a recursos de la organización fuera del entorno corporativo.

Esa política debe determinar perfiles de acceso, responsabilidades y obligaciones de los empleados o también pautas para evitar el uso de aplicaciones que no ofrezcan garantías, procedimientos de administración y monitorización de la infraestructura, entre otros.

Los empleados deben estar informados con estas políticas de teletrabajo de las principales amenazas por las que pueden verse afectados al trabajar desde fuera de la organización y las posibles consecuencias que pueden materializarse si se quebrantan dichas directrices.

A este respecto, la AEPD incluye una serie de directrices para que los empleados hagan un uso responsable de estas herramientas en situaciones de teletrabajo, que se centran en obligaciones que van desde el respeto a la política de protección de la información en situaciones de movilidad que se facilite, pasando por la protección de los dispositivos utilizados y el acceso a ellos (contraseñas, antivirus, seguridad de las redes, la garantía de protección de la información que se está manejando, el uso de los espacios de red habilitados y la comunicación de los casos de sospecha de brecha de seguridad).

También se indica que el personal ha de firmar un acuerdo de teletrabajo que incluya los compromisos adquiridos al desempeñar sus tareas en situación de movilidad.

2. Elegir soluciones y prestadores de servicio confiables y con garantías

Se deben implantar soluciones y prestaciones de servicios confiables y con garantías, recurriendo a proveedores y encargados de tratamiento que las hayan probado, así como establecer mediante contrato u acto jurídico la vinculación con el responsable, sus obligaciones y derechos de acuerdo con el artículo 28 del Reglamento General de Protección de Datos (RGPD). Hace referencia al llamado contrato de encargado de tratamiento. 

Este contrato debe establecer el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados y las obligaciones y derechos del responsable, de acuerdo con los términos establecidos en el artículo 28.3 del RGPD y art. 33 de la Ley Orgánica 3/2018 de 5 de diciembre, de Protección de Datos y Garantía de los Derechos Digitales. 

La normativa de protección de datos señala que no nos podemos relacionar con empresas que no tengan implantada y al día la política de protección de datos de carácter personal. 

3. Restringir el acceso a la información por niveles y roles de cada empleado

Otro elemento que el regulador español recomienda es que el acceso puede ser incluso más restrictivo que el que se tiene en la red interna y con medidas adicionales de limitación según los dispositivos de acceso y la ubicación.

A su vez, hay que aplicar restricciones de acceso adicionales en función del tipo de dispositivo desde el que se acceda a la información (equipos portátiles corporativos, equipos personales externos y dispositivos móviles como ‘smartphones’ o ‘tablets’) y también dependiendo de la ubicación desde la que se accede.

Recomiendan aplicar restricciones de acceso adicionales en función del tipo de dispositivo.

4. Revisión periódica de equipos y dispositivos utilizados

Se trata de revisar periódicamente la configuración de los equipos y dispositivos utilizados en las situaciones de movilidad, tanto los servidores de acceso como los equipos corporativos.

Cuando se permita el uso de dispositivos personales, habrá que valorar la posibilidad de restringir la conexión a una red segregada que solo proporcione un acceso limitado a recursos identificados como menos críticos.

La AEPD señala que dichos equipos utilizados como clientes tienen que estar actualizados a nivel de aplicación y sistema operativo o tener deshabilitados los servicios que no sean necesarios.

También sería necesario tener una configuración por defecto de mínimos privilegios fijada por los servicios TIC que no pueda ser desactivada ni modificada por el empleado o instalar únicamente las aplicaciones autorizadas por la organización.

Otra cuestión necesaria que el regulador propone es contar con ‘software’ antivirus actualizado, disponer de un cortafuegos local activado o tener activados solo las comunicaciones (wifi, bluetooth, NFC, etc.) y puertos (USB u otros) necesarios para llevar a cabo las tareas encomendadas o incorporar mecanismos de cifrado de la información.

5. Monitorización de accesos a la red corporativa

Otra cuestión que se plantea desde el regulador español de privacidad es que el seguimiento de los accesos a la red corporativa desde el exterior tiene la finalidad de identificar patrones anormales de comportamiento en el tráfico de la red corporativa.

Hay que informar a los empleados sobre la existencia de estas actividades de control y supervisión y, en los casos en los que la monitorización se utilice para verificar el cumplimiento de las obligaciones laborales del personal, el responsable de tratamiento ha de informar a los empleados conforme prevé el Estatuto de los Trabajadores y respetar los derechos digitales y el derecho a la desconexión digital en el ámbito laboral definidos en la LOPD y GDD.

Desde la AEPD también se pide que las brechas de seguridad que afecten a datos personales han de comunicarse a la autoridad de control y/o a los interesados, con el propósito de crear un entorno de teletrabajo resiliente.

Otra cuestión que la empresa debe hacer  es  informar a los trabajadores  sobre la existencia y el alcance de estas actividades de control y supervisión.


Las medidas y garantías establecidas en las políticas definidas tienen que establecerse a partir de un análisis de riesgos en el que se evalúe la proporcionalidad entre los beneficios a obtener de un acceso a distancia y el impacto potencial de ver comprometido el acceso a la información de carácter personal.

En la política deben contemplarse los procedimientos internos para provisionar y auditar los dispositivos de acceso remoto, los procedimientos de administración y monitorización de la infraestructura, los servicios proporcionados por encargados y la forma en que la política es revisada y actualizada a los riesgos existentes.

Los recursos que pueden ser accedidos se han de limitar en función de la valoración del riesgo que represente una pérdida del dispositivo cliente y la exposición o acceso no autorizado a la información manejada.

Hay que planificar y evaluar la aplicaciones y soluciones de acceso remoto teniendo en cuenta los principios de privacidad desde el diseño y por defecto a lo largo de todas las etapas de despliegue de la solución: desde la definición de los requisitos y necesidades hasta la retirada de la misma o de alguno de sus componentes. Fte: AEPD. 


Si tiene dudas o necesita un plan de riesgos en esta materia no dude en acudir a nosotros: Queipo y Riego Abogados. 985 96 54 63.