¿De qué tengo que informar a mis trabajadores?

A la hora de adaptar nuestra empresa o negocio a la LOPD debemos tener en cuenta que tenemos que informar a nuestros trabajadores sobre las obligaciones que tienen respecto a la información a la que tienen acceso y a los soportes que utilizan y debemos hacerlo de forma correcta.

Según la AEPD, “Todo el personal que acceda a los datos de carácter personal está obligado a conocer y cumplir las medidas, normas, procedimientos, reglas y estándares que se refieran a las funciones que desarrolla”.

El informar a tus trabajadores correctamente puede evitar brechas de seguridad en tu negocio y pérdidas de información de tus bases de datos.

¿Por qué los trabajadores deben conocer sus obligaciones en Protección de Datos?

Aparte de las amenazas externas a las que nos enfrentamos a la hora de proteger los activos de información de nuestro negocio, también existen amenazas internas para nuestros activos y son principalmente, la falta de formación de los trabajadores en temas de seguridad de la información  y la ausencia de hábitos de protección de datos que eviten prácticas peligrosas.

No nos damos cuenta de que damos accesos y recursos a nuestros trabajadores sin formarles adecuadamente sobre buenas prácticas para proteger la información y esto conlleva que puedan producirse pérdidas o robos de información y causarnos en nuestro negocio importantes pérdidas económicas y de reputación.

Todo el personal, tanto laboral como colaborador o externo, que tiene acceso a ficheros de datos de carácter personal de nuestro negocio, debe adoptar una serie de conductas para garantizar la confidencialidad, integridad y legalidad en el tratamiento de esos datos.

Debemos redactar un documento con las medidas de seguridad que los trabajadores deben observar y éstos deberán firmarlo.

¿De qué tenemos que informar?

No solo debemos informar a nuestros trabajadores sobre las medidas de seguridad que deben observar al acceder a la información sino que debemos formarlos adecuadamente para que puedan gestionar correctamente los recursos puestos a su disposición en el ejercicio de sus funciones. Además del documento mencionado anteriormente que los trabajadores deben firmar, también deben firmar un compromiso de confidencialidad en el que declaran haber sido informado y entendido todas sus obligaciones en materia de privacidad.

Es necesario difundir una cultura de protección de datos entre tus empleados. La empresa debe adoptar las medidas necesarias para que el personal sea consciente de las normas de seguridad que deben tener en cuenta al desarrollar sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento.

En concreto, todos los que puedan acceder a los datos del Fichero deben someterse al cumplimiento de lo establecido en el Documento de Seguridad que debe elaborar cada empresa, cualquiera que sea su tamaño, siempre que trate datos personales de cualquier persona física.

Obligación de la empresa a realizar formación LOPD a sus trabajadores

La empresa de proporcionar a todo su personal una formación sobre Protección de Datos que les permita:

• Conocer la privacidad de todos los datos a los que acceden y, por lo tanto, su obligación de guardar secreto sobre dicha información.
• Usar los datos únicamente para los fines para los cuales han sido recabados.
• No divulgar las contraseñas que tengan para acceder tanto a los sistemas informáticos como a los ficheros que contengan datos de carácter personal.
• Solicitar las autorizaciones necesarias para el tratamiento de dichos datos siempre que se refieran a salidas o entradas de soportes informáticos
• No utilizar con fines privados los sistemas informáticos de la empresa, sin autorización del empresario.

Debemos tener en cuenta que las principales causas de la imposición de sanciones en las empresas viene provocada por la falta de formación LOPD, es decir, formación e información de los trabajadores en cuanto al uso y tratamiento de los datos personales que manejan, en el desarrollo de sus funciones. Por eso es tan importante para la entidad el formar e informar adecuadamente a los trabajadores que tratan los datos.

Uso de Internet, correo electrónico y teléfono

Debes informar a tus trabajadores de unas normas que deben seguir en el uso de Internet, correo electrónico y teléfono como:

• Los aparatos y líneas telefónicas contratadas, la red informática, los terminales fijos y móviles, las aplicaciones, redes, conexiones y demás elementos de hardware y software utilizados por cada empleado, no deberán usarse para fines ajenos a los relacionados con la actividad que el usuario deba desempeñar para tu empresa. No se usarán para fines personales.

• Los dispositivos móviles

  Tablet, Ordenadores portátiles o Smartphones que pongas a disposición de tus empleados para realizar su trabajo, deberán ser custodiados por cada uno,  guardando las mismas medidas de seguridad y acceso que en el resto de equipos, teniendo que contar con la debida autorización de la empresa para utilizarlos fuera de sus instalaciones y notificando cualquier incidencia de seguridad que se produzca.

• Correo electrónico

  El titular de la cuenta de correo electrónico asignado por tu empresa será responsable del uso de la misma y deberá usarla de manera profesional. Es importante que el trabajador observe las pautas de buena conducta en la gestión de las contraseñas asignadas para acceder a su equipo. Debes prohibir el envío de correo electrónico con datos personales  y, si se hace, la información deberá cifrarse.  Debes advertir que el envío de un correo electrónico a varias personas, se debe utilizar la casilla CCO (con copia oculta) ya que si no, se entiende como una vulneración del deber de secreto y  prohibir enviar o reenviar mensajes en cadena o con fines comerciales o publicitarios sin el consentimiento del destinatario.

• Uso de Internet

  Debes advertir de un uso seguro de Internet y pedirles que informen al Responsable de Seguridad de cualquier incidencia que pueda comprometer la seguridad del sistema y de los datos de carácter personal.  Prohibir el acceso a páginas que supongan una actividad ilegal, o de contenido no relacionado con el trabajo, también el acceso a páginas de dudosa procedencia.

Cuentas de usuario

Las cuentas de usuario son utilizadas para ayudar en la gestión de los datos de los usuarios que utilizan el equipo y las acciones que pueden desarrollar en  el mismo.

Las cuentas de usuario se asocian a un nombre y una contraseña que por causas de seguridad solo el usuario debe conocer.

Desde el punto de vista de seguridad, con una cuenta de usuario se tiene un mayor control del sistema, ya que cada usuario solo puede hacer aquellas tareas  según su nivel de privilegios. Esto ayuda a que un ordenador que es utilizado por varias personas sea más seguro. Un usuario puede tener también varias cuentas según el uso que le vaya a dar a cada una.

Las cuentas de usuario pueden ser de varios tipos:

• La cuenta de administrador otorga control total, por lo que se puede hacer todo tipo de cosas como instalar programas o configurar un dispositivo de hardware. La cuenta de administrador servirá para activar las demás cuentas de usuario.
• Una cuenta limitada permite el uso de actividades normales pero no permitirá hacer algo que pueda interferir en el buen funcionamiento del ordenador.
• La cuenta de invitado es parecida a la cuenta limitada pero no está protegida por una contraseña por lo que se puede usar en un momento puntual para un usuario que no tenga una cuenta. No se recomienda su uso en la medida de lo posible.

Cláusula de confidencialidad para empleados

Los trabajadores deben firmar un contrato de confidencialidad que incluya las clausulas de confidencialidad y el deber de secreto que exige la LOPD. Todas las personas que intervienen en el tratamiento de los datos de carácter personal (en la recogida, en el almacenamiento o en la utilización) están obligadas por ley al secreto profesional respecto de los mismos. También están obligadas a guardarlos y custodiarlos adecuadamente, de forma que alguien no  autorizado, no tenga acceso a dichos datos. Pero, no te preocupes, nosotros te facilitamos estos contratos.

Por el contrato de confidencialidad los trabajadores se comprometen a no revelar ningún  dato, incluso después de finalizada la relación laboral.

Este protocolo se debe seguir siempre porque hay que tener en cuenta que aunque un trabajador vulnere el deber de secreto y revele datos a terceras personas, la sancionada por la Agencia de Protección de Datos será la entidad responsable del fichero, es decir, la empresa y no el trabajador en cuestión.

Instalación de programas por cuenta propia

Instalar aplicativos por cuenta propia y sin autorización y/o conocimiento de la Organización puede generar riesgos innecesarios para la Organización y para nosotros mismos.

Los aspectos que debemos tener en cuenta a la hora de instalar un programa son:

• Licencia y derechos de uso del programa.
• Certificación del programa para su compatibilidad con el sistema operativo y los demás aplicativos.
• Instalación y mantenimiento de parches y actualizaciones.
• Garantía del código para evitar posible presencia de virus, troyanos y otros programas espías.

Por esto la instalación de programas por nuestra propia cuenta debe estar expresamente autorizada por la Organización. Esta circunstancia, además, libera al trabajador de cualquier responsabilidad en caso de daños ocasionados al equipo informático y/o a la información en él contenida como consecuencia de dicha instalación.

Control de accesos

El objetivo principal de un Sistema de Control de accesos e identificación de personal es el de controlar y monitorizar el flujo del personal en una empresa, decidiendo quien entra o sale, a donde y a que horas lo puede hacer, etc.

Actualmente la identificación del personal se logra mediante tarjetas personales ó mediante identificación biométrica que comprende diversas opciones, como reconocimiento de huella, de iris, de rostro , etc. Esto permite la protección de tus empleados y tu negocio frente a robos, daños y otros posibles perjuicios.

Con el control de accesos se pretende:

• Impedir el acceso no autorizado a los sistemas de información, bases de datos y servicios de información.
• Implementar seguridad en los accesos de usuarios por medio de técnicas de autenticación y autorización.
• Controlar la seguridad en la conexión entre la red del Organismo y otras redes públicas o privadas.
• Registrar y revisar eventos y actividades críticas llevadas a cabo por los usuarios en los sistemas.
• Concienciar a los usuarios respecto de su responsabilidad frente a la utilización de contraseñas y equipos.
• Garantizar la seguridad de la información.

Contraseñas de los equipos

Las contraseñas continúan siendo hoy en día el principal mecanismo para controlar el acceso a nuestros equipos y redes informáticas, además de ser la “primera línea de defensa” contra la entrada de software malintencionado a través de la Red. Pese a ello, muchas veces, ya sea por desconocimiento o dejadez, dejamos nuestros ordenadores sin contraseña o no conocemos realmente su importancia.

Una contraseña es más fuerte cuando ofrece mayores dificultades para que el atacante la identifique. Por el contrario, será más débil cuando sea relativamente simple descubrirla. Tanto si se trata de una empresa grande, como si estamos hablando de una Pyme con pocos ordenadores, o de un autónomo que utiliza sólo su portátil, cualquier contraseña que esté en uso debería contar con algún grado de complejidad. Un estándar común para asegurar contraseñas es tener un  mínimo de ocho caracteres que mezclen letras (mayúsculas y minúsculas), números y símbolos.

Entre las medidas de seguridad que debemos tener en cuenta está que no debemos entregar nuestra contraseña a nadie, ni escribirla en un lugar visible en la oficina o el entorno de trabajo.

Copias de seguridad

Una copia de seguridad es la copia de los datos originales que se realiza con el fin de disponer de un medio para recuperarlos en caso de su pérdida. Las copias de seguridad son útiles ante distintos eventos y usos: recuperar los sistemas informáticos y los datos de una catástrofe informática, natural o ataque; restaurar una pequeña cantidad de archivos que pueden haberse eliminado accidentalmente o infectado por un virus informático u otras causas; guardar información histórica de forma más económica que los discos duros y además permitiendo el traslado a ubicaciones distintas de la de los datos originales.

Para evitar la pérdida de nuestros datos debemos:

• Realizar copias de seguridad periódicamente de la información más importante en distintos dispositivos o soportes para que si por algún motivo, uno de ellos falla, podamos seguir teniendo acceso a dicha información desde otros.
• Utilizar una aplicación fiable que nos proporcione seguridad al realizar las copias.
• Conocer las ventajas e inconvenientes de la nube si vamos a utilizarla para salvaguardar información y valorar su conveniencia.
• Utilizar sistemas de cifrado robustos si vamos a copiar o almacenar información sensible o privada, para impedir su lectura a otras personas.

Destrucción de documentación

La destrucción de la documentación física o impresa que genera una empresa, sobre todo cuando contiene Datos de Carácter Personal, tiene una labor previa que si no se realiza correctamente puede incurrir en incumplimiento de la normativa de Protección de Datos, dando lugar a importantes sanciones.

¿Cómo destruir la documentación física de forma segura y cumpliendo la LOPD? No se pueden tirar los documentos directamente a la basura o romperlos en trozos. Los métodos seguros para destruir documentación con datos personales son:

• Subcontratar a una empresa especializada en destrucción de papel
• Triturar el papel con una trituradora de papel
• Quemar el papel

Uso de soportes informáticos y documentales fuera de la empresa

Debemos informar también a los trabajadores de que no podrán disponer fuera de la empresa de cualquier soporte con datos de carácter personal relativos a clientes, salvo autorización expresa de los responsables.

Lo que se pretende es asegurar que la salida de soportes informáticos y documentos fuera de la organización con datos de carácter personal se organiza de una forma controlada, cumpliendo con la Medida de Seguridad LOPD, mediante la autorización previa, por parte de las personas autorizadas para ello, de aquellas salidas de datos personales no autorizadas expresamente en el Documento de Seguridad.

Ejercicio de los derechos de Acceso, Rectificación, Cancelación y Oposición

Ante la recepción por carta, email, telefónicamente o de cualquier otra forma habilitada por la empresa de una solicitud de un cliente, empleado o proveedor del ejercicio de su derecho de acceso, rectificación, cancelación u oposición a sus datos personales, deberá informarse inmediatamente al Responsable de Seguridad, quien se ocupará de dar trámite a dicha solicitud conforme a las normas que rigen el ejercicio de los derechos de los afectados. Si solo se recibe una consulta sobre el ejercicio de alguno de estos derechos, el trabajador debe informar del procedimiento para ejercerlo.

Por tanto, debemos tener en cuenta todas estas cuestiones a la hora de informar a nuestros trabajadores ya que así evitaremos sanciones por incumplimientos de la LOPD y conseguiremos una mejora en nuestro negocio, tanto económica como de confianza.

Si necesitas asesoramiento personalizado, puedes contactarnos en el teléfono 91 489 64 19 o en el correo electrónico lopd@atico34.com.