A la hora de adaptar nuestra empresa o negocio a la LOPD debemos tener en cuenta que tenemos que informar a nuestros trabajadores sobre las obligaciones que tienen respecto a la información a la que tienen acceso y a los soportes que utilizan y debemos hacerlo de forma correcta.
Según la AEPD, “Todo el personal que acceda a los datos de carácter personal está obligado a conocer y cumplir las medidas, normas, procedimientos, reglas y estándares que se refieran a las funciones que desarrolla”.
El informar a tus trabajadores correctamente puede evitar brechas de seguridad en tu negocio y pérdidas de información de tus bases de datos.
En este artículo hablamos de:
- ¿Por qué los trabajadores deben conocer sus obligaciones en Protección de Datos?
- ¿De qué tenemos que informar?
- Obligación de la empresa a realizar formación LOPD a sus trabajadores
- Uso de Internet, correo electrónico y teléfono
- Cláusula de confidencialidad para empleados
- Instalación de programas por cuenta propia
- Control de accesos
- Contraseñas de los equipos
- Copias de seguridad
- Destrucción de documentación
- Uso de soportes informáticos y documentales fuera de la empresa
- Ejercicio de los derechos de Acceso, Rectificación, Cancelación y Oposición
¿Por qué los trabajadores deben conocer sus obligaciones en Protección de Datos?
Aparte de las amenazas externas a las que nos enfrentamos a la hora de proteger los activos de información de nuestro negocio, también existen amenazas internas para nuestros activos y son principalmente, la falta de formación de los trabajadores en temas de seguridad de la información y la ausencia de hábitos de protección de datos que eviten prácticas peligrosas.
No nos damos cuenta de que damos accesos y recursos a nuestros trabajadores sin formarles adecuadamente sobre buenas prácticas para proteger la información y esto conlleva que puedan producirse pérdidas o robos de información y causarnos en nuestro negocio importantes pérdidas económicas y de reputación.
Todo el personal, tanto laboral como colaborador o externo, que tiene acceso a ficheros de datos de carácter personal de nuestro negocio, debe adoptar una serie de conductas para garantizar la confidencialidad, integridad y legalidad en el tratamiento de esos datos.
Debemos redactar un documento con las medidas de seguridad que los trabajadores deben observar y éstos deberán firmarlo.
¿De qué tenemos que informar?
No solo debemos informar a nuestros trabajadores sobre las medidas de seguridad que deben observar al acceder a la información sino que debemos formarlos adecuadamente para que puedan gestionar correctamente los recursos puestos a su disposición en el ejercicio de sus funciones. Además del documento mencionado anteriormente que los trabajadores deben firmar, también deben firmar un compromiso de confidencialidad en el que declaran haber sido informado y entendido todas sus obligaciones en materia de privacidad.
Es necesario difundir una cultura de protección de datos entre tus empleados. La empresa debe adoptar las medidas necesarias para que el personal sea consciente de las normas de seguridad que deben tener en cuenta al desarrollar sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento.
En concreto, todos los que puedan acceder a los datos del Fichero deben someterse al cumplimiento de lo establecido en el Documento de Seguridad que debe elaborar cada empresa, cualquiera que sea su tamaño, siempre que trate datos personales de cualquier persona física.
Obligación de la empresa a realizar formación LOPD a sus trabajadores
La empresa de proporcionar a todo su personal una formación sobre Protección de Datos que les permita:
- Conocer la privacidad de todos los datos a los que acceden y, por lo tanto, su obligación de guardar secreto sobre dicha información.
- Usar los datos únicamente para los fines para los cuales han sido recabados.
- No divulgar las contraseñas que tengan para acceder tanto a los sistemas informáticos como a los ficheros que contengan datos de carácter personal.
- Solicitar las autorizaciones necesarias para el tratamiento de dichos datos siempre que se refieran a salidas o entradas de soportes informáticos
- No utilizar con fines privados los sistemas informáticos de la empresa, sin autorización del empresario.
Debemos tener en cuenta que las principales causas de la imposición de sanciones en las empresas viene provocada por la falta de formación LOPD, es decir, formación e información de los trabajadores en cuanto al uso y tratamiento de los datos personales que manejan, en el desarrollo de sus funciones. Por eso es tan importante para la entidad el formar e informar adecuadamente a los trabajadores que tratan los datos.
Uso de Internet, correo electrónico y teléfono
Debes informar a tus trabajadores de unas normas que deben seguir en el uso de Internet, correo electrónico y teléfono como:
- Los aparatos y líneas telefónicas contratadas, la red informática, los terminales fijos y móviles, las aplicaciones, redes, conexiones y demás elementos de hardware y software utilizados por cada empleado, no deberán usarse para fines ajenos a los relacionados con la actividad que el usuario deba desempeñar para tu empresa. No se usarán para fines personales.
-
Los dispositivos móviles
Tablet, Ordenadores portátiles o Smartphones que pongas a disposición de tus empleados para realizar su trabajo, deberán ser custodiados por cada uno, guardando las mismas medidas de seguridad y acceso que en el resto de equipos, teniendo que contar con la debida autorización de la empresa para utilizarlos fuera de sus instalaciones y notificando cualquier incidencia de seguridad que se produzca.
-
Correo electrónico
El titular de la cuenta de correo electrónico asignado por tu empresa será responsable del uso de la misma y deberá usarla de manera profesional. Es importante que el trabajador observe las pautas de buena conducta en la gestión de las contraseñas asignadas para acceder a su equipo. Debes prohibir el envío de correo electrónico con datos personales y, si se hace, la información deberá cifrarse. Debes advertir que el envío de un correo electrónico a varias personas, se debe utilizar la casilla CCO (con copia oculta) ya que si no, se entiende como una vulneración del deber de secreto y prohibir enviar o reenviar mensajes en cadena o con fines comerciales o publicitarios sin el consentimiento del destinatario.
-
Uso de Internet
Debes advertir de un uso seguro de Internet y pedirles que informen al Responsable de Seguridad de cualquier incidencia que pueda comprometer la seguridad del sistema y de los datos de carácter personal. Prohibir el acceso a páginas que supongan una actividad ilegal, o de contenido no relacionado con el trabajo, también el acceso a páginas de dudosa procedencia.
Cuentas de usuario
Las cuentas de usuario son utilizadas para ayudar en la gestión de los datos de los usuarios que utilizan el equipo y las acciones que pueden desarrollar en el mismo.
Las cuentas de usuario se asocian a un nombre y una contraseña que por causas de seguridad solo el usuario debe conocer.
Desde el punto de vista de seguridad, con una cuenta de usuario se tiene un mayor control del sistema, ya que cada usuario solo puede hacer aquellas tareas según su nivel de privilegios. Esto ayuda a que un ordenador que es utilizado por varias personas sea más seguro. Un usuario puede tener también varias cuentas según el uso que le vaya a dar a cada una.
Las cuentas de usuario pueden ser de varios tipos:
- La cuenta de administrador otorga control total, por lo que se puede hacer todo tipo de cosas como instalar programas o configurar un dispositivo de hardware. La cuenta de administrador servirá para activar las demás cuentas de usuario.
- Una cuenta limitada permite el uso de actividades normales pero no permitirá hacer algo que pueda interferir en el buen funcionamiento del ordenador.
- La cuenta de invitado es parecida a la cuenta limitada pero no está protegida por una contraseña por lo que se puede usar en un momento puntual para un usuario que no tenga una cuenta. No se recomienda su uso en la medida de lo posible.
Cláusula de confidencialidad para empleados
Los trabajadores deben firmar un contrato de confidencialidad que incluya las clausulas de confidencialidad y el deber de secreto que exige la LOPD. Todas las personas que intervienen en el tratamiento de los datos de carácter personal (en la recogida, en el almacenamiento o en la utilización) están obligadas por ley al secreto profesional respecto de los mismos. También están obligadas a guardarlos y custodiarlos adecuadamente, de forma que alguien no autorizado, no tenga acceso a dichos datos. Pero, no te preocupes, nosotros te facilitamos estos contratos.
Por el contrato de confidencialidad los trabajadores se comprometen a no revelar ningún dato, incluso después de finalizada la relación laboral.
Este protocolo se debe seguir siempre porque hay que tener en cuenta que aunque un trabajador vulnere el deber de secreto y revele datos a terceras personas, la sancionada por la Agencia de Protección de Datos será la entidad responsable del fichero, es decir, la empresa y no el trabajador en cuestión.
Instalación de programas por cuenta propia
Instalar aplicativos por cuenta propia y sin autorización y/o conocimiento de la Organización puede generar riesgos innecesarios para la Organización y para nosotros mismos.
Los aspectos que debemos tener en cuenta a la hora de instalar un programa son:
- Licencia y derechos de uso del programa.
- Certificación del programa para su compatibilidad con el sistema operativo y los demás aplicativos.
- Instalación y mantenimiento de parches y actualizaciones.
- Garantía del código para evitar posible presencia de virus, troyanos y otros programas espías.
Por esto la instalación de programas por nuestra propia cuenta debe estar expresamente autorizada por la Organización. Esta circunstancia, además, libera al trabajador de cualquier responsabilidad en caso de daños ocasionados al equipo informático y/o a la información en él contenida como consecuencia de dicha instalación.
Control de accesos
El objetivo principal de un Sistema de Control de accesos e identificación de personal es el de controlar y monitorizar el flujo del personal en una empresa, decidiendo quien entra o sale, a donde y a que horas lo puede hacer, etc.
Actualmente la identificación del personal se logra mediante tarjetas personales ó mediante identificación biométrica que comprende diversas opciones, como reconocimiento de huella, de iris, de rostro , etc. Esto permite la protección de tus empleados y tu negocio frente a robos, daños y otros posibles perjuicios.
Con el control de accesos se pretende:
- Impedir el acceso no autorizado a los sistemas de información, bases de datos y servicios de información.
- Implementar seguridad en los accesos de usuarios por medio de técnicas de autenticación y autorización.
- Controlar la seguridad en la conexión entre la red del Organismo y otras redes públicas o privadas.
- Registrar y revisar eventos y actividades críticas llevadas a cabo por los usuarios en los sistemas.
- Concienciar a los usuarios respecto de su responsabilidad frente a la utilización de contraseñas y equipos.
- Garantizar la seguridad de la información.
Contraseñas de los equipos
Las contraseñas continúan siendo hoy en día el principal mecanismo para controlar el acceso a nuestros equipos y redes informáticas, además de ser la “primera línea de defensa” contra la entrada de software malintencionado a través de la Red. Pese a ello, muchas veces, ya sea por desconocimiento o dejadez, dejamos nuestros ordenadores sin contraseña o no conocemos realmente su importancia.
Una contraseña es más fuerte cuando ofrece mayores dificultades para que el atacante la identifique. Por el contrario, será más débil cuando sea relativamente simple descubrirla. Tanto si se trata de una empresa grande, como si estamos hablando de una Pyme con pocos ordenadores, o de un autónomo que utiliza sólo su portátil, cualquier contraseña que esté en uso debería contar con algún grado de complejidad. Un estándar común para asegurar contraseñas es tener un mínimo de ocho caracteres que mezclen letras (mayúsculas y minúsculas), números y símbolos.
Entre las medidas de seguridad que debemos tener en cuenta está que no debemos entregar nuestra contraseña a nadie, ni escribirla en un lugar visible en la oficina o el entorno de trabajo.
Copias de seguridad
Una copia de seguridad es la copia de los datos originales que se realiza con el fin de disponer de un medio para recuperarlos en caso de su pérdida. Las copias de seguridad son útiles ante distintos eventos y usos: recuperar los sistemas informáticos y los datos de una catástrofe informática, natural o ataque; restaurar una pequeña cantidad de archivos que pueden haberse eliminado accidentalmente o infectado por un virus informático u otras causas; guardar información histórica de forma más económica que los discos duros y además permitiendo el traslado a ubicaciones distintas de la de los datos originales.
Para evitar la pérdida de nuestros datos debemos:
- Realizar copias de seguridad periódicamente de la información más importante en distintos dispositivos o soportes para que si por algún motivo, uno de ellos falla, podamos seguir teniendo acceso a dicha información desde otros.
- Utilizar una aplicación fiable que nos proporcione seguridad al realizar las copias.
- Conocer las ventajas e inconvenientes de la nube si vamos a utilizarla para salvaguardar información y valorar su conveniencia.
- Utilizar sistemas de cifrado robustos si vamos a copiar o almacenar información sensible o privada, para impedir su lectura a otras personas.
Destrucción de documentación
La destrucción de la documentación física o impresa que genera una empresa, sobre todo cuando contiene Datos de Carácter Personal, tiene una labor previa que si no se realiza correctamente puede incurrir en incumplimiento de la normativa de Protección de Datos, dando lugar a importantes sanciones.
¿Cómo destruir la documentación física de forma segura y cumpliendo la LOPD? No se pueden tirar los documentos directamente a la basura o romperlos en trozos. Los métodos seguros para destruir documentación con datos personales son:
- Subcontratar a una empresa especializada en destrucción de papel
- Triturar el papel con una trituradora de papel
- Quemar el papel
Uso de soportes informáticos y documentales fuera de la empresa
Debemos informar también a los trabajadores de que no podrán disponer fuera de la empresa de cualquier soporte con datos de carácter personal relativos a clientes, salvo autorización expresa de los responsables.
Lo que se pretende es asegurar que la salida de soportes informáticos y documentos fuera de la organización con datos de carácter personal se organiza de una forma controlada, cumpliendo con la Medida de Seguridad LOPD, mediante la autorización previa, por parte de las personas autorizadas para ello, de aquellas salidas de datos personales no autorizadas expresamente en el Documento de Seguridad.
Ejercicio de los derechos de Acceso, Rectificación, Cancelación y Oposición
Ante la recepción por carta, email, telefónicamente o de cualquier otra forma habilitada por la empresa de una solicitud de un cliente, empleado o proveedor del ejercicio de su derecho de acceso, rectificación, cancelación u oposición a sus datos personales, deberá informarse inmediatamente al Responsable de Seguridad, quien se ocupará de dar trámite a dicha solicitud conforme a las normas que rigen el ejercicio de los derechos de los afectados. Si solo se recibe una consulta sobre el ejercicio de alguno de estos derechos, el trabajador debe informar del procedimiento para ejercerlo.
Por tanto, debemos tener en cuenta todas estas cuestiones a la hora de informar a nuestros trabajadores ya que así evitaremos sanciones por incumplimientos de la LOPD y conseguiremos una mejora en nuestro negocio, tanto económica como de confianza.
Si necesitas asesoramiento personalizado, puedes contactarnos en el teléfono 91 489 64 19 o en el correo electrónico lopd@atico34.com.
Buenas tardes, mi pregunta es la siguiente, en la empresa para la que trabajo han hackeado el correo electrónico ( un Gmail) y han robado todos los datos personales de los empleados, cabe algún reclamo a la empresa?
Gracias
Citar Comentario
Citar Comentario
Buenas tardes Sonia, la empresa debe notificar esa violación de seguridad a la AEPD. Si no lo ha hecho podría denunciarse.
Citar Comentario
Citar Comentario
SOY TELEOPERADORA EN UN CALL CENTER. EL OTRO DIA EN UN CHAT PUNTUAL CUYOS MIEMBROS ERAN TODOS LOS AGENTES TRABAJANDO EN ESE MOMENTO UN CORDINADOR E LE OCUURIO BUSCARME UNA LLAMADA QUE HABIA REALIZADO A UN CLIENTE PARA OFRECERLE EL PRODUCTO EN LA CUAL EL CLIENTE INDICABA QUE NO LE INTERESABA Y NO SE LLEGO A CONCLUIR NADA MAS QUE LA DESPEDIDA. PUEDE ESTE CORDINADOR PUBLICAME UNA LLAMADA EN UNA RED SOLICAL LA CUAL ESCUCHARON TODOS LOS EMPLEADOS QUE ESTABAN TRABAJANDO EN ESE MOMENTO DESDE SUS CASAS?
Citar Comentario
Citar Comentario
Buenas tardes, no se pueden publicar esas grabaciones sin consentimiento. Podrías denunciar ante la AEPD.
Citar Comentario
Citar Comentario
Buenos días. Tras finalizar el contrato de un empleado, este devuelve el smartphone a la empresa, este teléfono se usaba para emails, fichar entradas teléfono salidas, Geolocalización, firmar documentos para enviarlos a la empresa y hasta recibir nóminas.
La consulta es.
Tiene la empresa la obligación de formatear ese teléfono?? Y a que artículo de la ley de protección de datos hace referencia??
Citar Comentario
Citar Comentario
Buenos días Manolo, si la empresa va a entregar ese teléfono a otro trabajador, sí debe formatearlo para borrar toda información personal del anterior trabajador. La LOPDGDD impide que terceros no autorizados tengan acceso a datos personales sin consentimiento del titular de esos datos
Citar Comentario
Citar Comentario
A QUE SANCIONES SE PUEDE VER EXPUESTO UN TRABAJADOR QUE REVELE SUS CONTRASEÑAS DE ACCESO A MEDIOS TELEMATICOS DADOS POR LA EMPRESA , EL PROTOCOLO DE EMPRESA SEÑALA QUE ESTA PROHIBIDO PERO NO TIENE UNA SANCION O NO CALIFICA LA FALTA COMO GRAVE O LEVE.
Citar Comentario
Citar Comentario
Buenos días Martín, esas sanciones debe establecerlas la empresa.
Citar Comentario
Citar Comentario
Si un empleado con acceso a la información por su actividad pública el listado del personal de ka empresa con su nombre y número de empleado en un chat privado de WhatsApp, ¿está cometiendo una infracción de Ley de Protección de Datos?
Citar Comentario
Citar Comentario
Buenas tardes Yago, si esa publicación se hace sin el consentimiento de los empleados sí supone una infracción de la ley de Protección de datos
Citar Comentario
Citar Comentario
La empresa publica en la intranet y envía información por email a todos los empleados (más de 4.000) con información sobre movilidades internas y desvinculaciones de la empresa de empleados. Si un empleado informa a personal ajeno a la empresa de la desvinculación de uno de estos empleados publicada en la intranet ¿puede ser sancionado por la empresa? ¿es información protegida la publicada en la intranet?
Citar Comentario
Citar Comentario
Buenos días Ana, los datos de los empleados no pueden facilitarse a terceros sin su consentimiento, esto infringe la ley de protección de datos.
Citar Comentario
Citar Comentario
Hola buenas, el otro día presentaron en la tienda donde trabajo una hoja de reclamación, y la clienta le pidió a la compañera que la atendió su nombre y apellidos. ¿Por ley, estamos obligados a facilitar esa información a cualquier cliente que nos la pida, o podemos negarnos?
Citar Comentario
Citar Comentario
Buenos días Judit, la hoja de reclamaciones debe presentarse contra la empresa pero puede indicarse el nombre del empleado (sus apellidos no son necesarios)
Citar Comentario
Citar Comentario
Hola,
Mi pregunta es si la empresa y antiguo jefe puede contactarte a tu teléfono personal después de hacer finalizado el contrato.
Gracias
Citar Comentario
Citar Comentario
Buenas tardes Rox, la empresa puede guardar esos datos pero el ex trabajador puede solicitar que se eliminen sus datos de contacto para cualquier tipo de comunicación.
Citar Comentario
Citar Comentario