Qué y Cómo informar a tus trabajadores

¿Qué y Porqué deberías informar a tus trabajadores?

Uno de los puntos mas relevantes que debes considerar a la hora de adecuar tu negocio a la LOPD es informar a tus trabajadores sobre sus obligaciones en relación a la información a la que tienen acceso y los soportes que utilizan, algo que no siempre se hace de la manera adecuada.

«Todo el personal que acceda a los datos de carácter personal está obligado a conocer y observar las medidas, normas, procedimientos, reglas y estándares que afecten a las funciones que desarrolla» Guía de seguridad, AGPD.

Quizás no conozcas todos los puntos que deberías incluir en esa comunicación y esta es la misión de este post.

Informar a tus trabajadores de manera adecuada es un punto crucial para trabajar de forma proactiva en la seguridad de tu negocio y no de forma reactiva, cuando ya se ha producido la brecha de seguridad o cuando ya  ha sido comprometida la confidencialidad de tus bases de datos.

Una de las mayores amenazas para la seguridad de cualquier negocio es interna y está relacionada con  la escasa formación en materia de seguridad que tienen los empleados y la ausencia de hábitos imprescindibles de protección de datos que sea capaz de evitar prácticas potencialmente peligrosas.

Le administras recursos y acceso a tus empleados sin formarlos sobre las consecuencias que pueden acarrear algunas prácticas y cual es tu política interna en materia de seguridad y luego toca llorar sobre la leche derramada y llevarnos las manos a la cabeza.

En este post quiero explicarte todos los puntos que deberías incluir en el documento donde debes informar a tus  trabajadores y que estos deberán firmar y acordar desde el momento en que acceden a datos personales que están bajo tu responsabilidad.

Por tanto, todo el personal laboral, colaborador o externo con acceso a los ficheros con datos de carácter personal de tu negocio, deberá adoptar las siguientes normas de conducta para garantizar la confidencialidad, integridad y legal tratamiento de los datos de carácter personal.

Obligaciones y medidas que debes informar a tus trabajadores

Cada empresa tiene su singularidad y deberá expresar sus condiciones particulares, es este post pretendo comentar las medidas comunes a toda empresa u organización a la hora de informar a sus trabajadores.

Las siguientes obligaciones deben ser expresadas  siempre por escrito y contar el consentimiento de tus trabajadores, no basta con informar a tus trabajadores, es importante formarlos adecuadamente para sean capaces de gestionar adecuadamente los recursos que pones a su disposición para el ejercicio de sus funciones y crear una cultura empresarial ligada a la responsabilidad y el compromiso con la información personal.

Todo el personal laboral, colaborador o externo que pueda tener acceso a los ficheros con datos de carácter personal, deberá suscribir además, un compromiso de confidencialidad en el que reconocerá haber tomado conocimiento y comprendido sus obligaciones en materia de privacidad.

Confidencialidad, el deber capital de un trabajador

Este es sin duda el punto clave a la hora de establecer una cultura laboral en torno a la protección de datos: debes exponer de manera clara que significa para ti, como responsable de un negocio, la confidencialidad. Determinar que engloba y cuáles son las consecuencias del incumplimiento.

Cuando un empleado no cumple con este principio, no solo perjudica gravemente tu negocio, también compromete seriamente el derecho fundamental de las personas afectadas: se está vulnerando su derecho a la intimidad y el honor.

Por esto, el punto clave que debes informar a tus trabajadores radica en la importancia de la confidencialidad respecto a los datos a los que tienen acceso.

Sigue siendo práctica común el que los comerciales se lleven datos de clientes como si fuesen de su propiedad, que hagan campañas comerciales sin que se les proporcione información clara sobre como realizar campañas de marketing legalmente, que no tengan clara sus obligaciones en materia de secreto y confidencialidad, como mandar correos multirremitente sin copia oculta, por ejemplo.

La Ley Orgánica 15/1999, de 13 de Diciembre, de Protección de Datos de Carácter Personal  contempla en el artículo 10 el deber de secreto profesional en el que se dispone que:

“El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo”.

El trabajador tiene la obligación legal de guardar secreto sobre los datos personales a los que tenga acceso en el ejercicio de sus funciones y no transmitir esos datos a  nadie, incluso una vez que haya dejado de prestar servicios en tu empresa.

Debes informar a tus trabajadores de manera clara sobre esta obligación y exigir un compromiso de tus trabajadores.

Por otra parte, la vulneración del deber de secreto es constitutiva de infracción grave en materia de protección de datos. Precisamente, para evitar estos riesgos frente la apertura de un procedimiento sancionador por parte de la Agencia Española de Protección de Datos con motivo de alguna denuncia contra tu empresa, es imprescindible disponer de acuerdos de Confidencialidad para su firma por cada uno de tus empleados y/o terceros que tengan acceso a los datos personales  responsabilidad de tu empresa.

Gracias a estos acuerdos, tu empresa (y tu como responsable) podrá acreditar medios documentales de prueba válidos en Derecho que, en caso de robo de datos de clientes por ejemplo, podrás  acreditar diligencia y derivar la responsabilidad contra el empleado o el tercero que ha vulnerado el deber de secreto y confidencialidad de los datos de carácter personal.

Estos Acuerdos de Confidencialidad pueden incluirse como Anexo al Contrato de Trabajo suscrito entre el empleado y la empresa, o bien en documento aparte.

Uso del teléfono, correo electrónico e Internet, los puntos críticos de tu negocio

Un punto crítico en la seguridad de tu negocio reside en el uso que hacen tus trabajadores del móvil, el correo e Internet en el ámbito laboral.

Por tanto, debes informar a tus trabajadores sobre las siguientes normas que deben adoptar:

•  Los aparatos y líneas telefónicas contratadas, la red corporativa informática, los terminales fijos y móviles, las aplicaciones, redes, conexiones y demás elementos de hardware y software utilizados por cada empleado, no deberán utilizarse para propósitos ajenos a los relacionados con la actividad que el usuario deba desempeñar para tu empresa.
•  Debes prohibir terminantemente  cualquier uso con fines comerciales propios o personales de dichos recursos.
• Respecto al uso del teléfono para fines privados , deberás exigir a tus trabajadores uso diligente y responsable del mismo, advirtiendo  a estos que puedes revisar la factura telefónica para control desu gestión.
• Los dispositivos móviles: Tablet, Ordenadores portátiles o SMARTPHONE que pongas a disposición de tus empleados para realizar su trabajo, deberán ser custodiados por cada uno,  guardando las mismas medidas de seguridad y acceso que el resto de equipos, teniendo que contar con la debida autorización de la empresa para utilizarlos fuera de sus instalaciones y notificando cualquier incidencia de seguridad que se produzca. Si el dispositivo es personal, su uso deberá ser aprobado por el Responsable de Seguridad.
• El titular de la cuenta de correo electrónico asignado por tu empresa será responsable del uso de la misma y deberá usarla de manera profesional.  Debes informar al trabajador que las acciones realizadas una cuenta corporativa son responsabilidad del usuario y por tanto, es fundamental que el titular de la cuenta observe las pautas de buena conducta en la gestión de las contraseñas asignadas para acceder a su equipo y aplicativos.
• Debes ser muy elocuente en la prohibición del empleo del correo electrónico (interno o externo) para el envío de información de carácter personal de nivel alto, salvo que cuenten con autorización expresa del Responsable de seguridad. En cualquier caso, debes advertir que el envío de esta información se realizará siempre cifrando el correo, o bien adoptando cualquier otro tipo de medida que evite el acceso o manipulación de la información por terceros.
• También debes advertir que el envío de un correo electrónico a varias personas, se debe usar la casilla CCO (con copia oculta) ya que de lo contrario, se considerará una vulneración del deber de secreto (artículo 10 de la LOPD), salvo que obviamente todas sean internas de la compañía o pertenezcan a un mismo grupo de trabajo.
• También debes prohibir enviar o reenviar mensajes en cadena, de tipo piramidal o con fines comerciales o publicitarios sin el consentimiento del destinatario ni del responsable, como también  intentar leer, borrar, copiar o modificar los mensajes de correo electrónico o archivos de otros usuarios.
•  En cuanto a la navegación por Internet,  debes permitir exclusivamente la navegación Web por páginas relacionadas con la actividad que se ejerza en tu empresa y para el desempeño de las tareas laborales asignadas al usuario o trabajador.
• Debes exigir un  uso razonable del acceso a Internet y pedirles a tus trabajadores que informen al Responsable de Seguridad de cualquier incidencia que pueda comprometer la seguridad del sistema y de los datos de carácter personal.
• Debes prohibir el acceso a páginas que supongan una actividad ilegal, o de contenido no relacionado con el trabajo, también el acceso a páginas de dudosa procedencia.
• Debes impedir que tus trabajadores accedan a programas de Chat o participe en foros o grupos de noticias, al ser especialmente peligrosos en la revelación de información confidencial y en la instalación de utilidades que permiten accesos no autorizados al sistema, por lo que su uso debe quedar estrictamente prohibido.
• También debes impedir a tus trabajadores la descarga de Software de Internet.

En este sentido,también puedes advertir al trabajador que su gestión del correo corporativo puede ser objeto de control y supervición y que eso puede implicar el acceso a su correo si tienes indicios de uso inadecuado, algo que está contemplado por el estatuto de los trabajadores.

Instalación de programas por cuenta propia

Debes prohibir acciones voluntarias que puedan comprometer los soportes que almacenan información de tu negocio y este es otro aspecto que tienes que informar a tus trabajadores.

Uno de los puntos mas críticos reside en la instalación de programas  por decisión propia  del trabajador sin contar con la autorización del Responsable de la empresa o responsable de Seguridad.

No se debería permitir la instalación de ningún tipo de programa o aplicación informática en los ordenadores de LA EMPRESA.

Control de accesos ¿que debes informar a tus trabajadores?

El control de acceso implica  conocer quién tiene acceso a sistemas informáticos específicos y recursos en un momento dado.

Este es un punto crucial que debes implantar en tu negocio y que deberás informar a tus trabajadores.

Asumir el control de accesos supone:

• La identificación.
• La autenticación.
• La autorización.

Por tanto, lo primero que deberás hacer es establecer un sistema de privilegios para que cada trabajador, colaborador o externo solo tenga acceso a los ficheros de datos que sean necesarios para el cumplimiento de las funciones que tenga encomendadas dentro de tu empresa.

El control de acceso es sin duda un tema clave en la seguridad de tu negocio que persigue muchos objetivos como:

• Impedir el acceso no autorizado a los sistemas de información, bases de datos y servicios de información de un negocio.
• Implementar seguridad en los accesos de usuarios por medio de técnicas de autenticación y autorización.
• Controlar la seguridad en la conexión entre la red del Organismo y otras redes públicas o privadas.
• Registrar y revisar eventos y actividades críticas llevadas a cabo por los usuarios en los sistemas.

Deberás informar de esa circunstancia y de la prohibición de intentar acceder a áreas restringidas de los sistemas informáticos de tu empresa o de intentar aumentar su nivel de privilegios como usuario en el sistema.

Cuidado de la contraseña asignada y del equipo informático

La asignación de contraseñas es un tema básico y tus trabajadores deben conocer la responsabilidad asociada a la gestión de estas claves de acceso, por eso motivo, debes también informar a tus trabajadores  respecto de su responsabilidad frente a la utilización de contraseñas y equipos.

Para ello, es imperioso comunicar a tus trabajadores una serie de normas que garanticen un adecuado uso y cuidado de las contraseñas de acceso a los sistemas de información, que gestionan datos de carácter personal, tales como:

• Las contraseñas serán personales y los trabajadores tienen la obligación salvaguarda y custodia.
• Quedará expresamente prohibido tratar de descifrar contraseñas o algoritmos de cifrado y cualquier otro elemento de seguridad que intervenga en los procesos telemáticos de tu empresa.
• Las contraseñas serán cambiadas con la periodicidad óptima establecido por la persona responsable.
• Los Puestos de Trabajo estarán bajo la responsabilidad del usuario autorizado que garantizará que la información que muestran no pueda ser visible por personas no autorizadas, debiendo al término de su jornada laboral, proceder al apagado de su equipo informático o poner término al acceso autorizado.
• Quedará expresamente prohibido intentar distorsionar o falsear los registros del sistema, destruir, alterar, inutilizar o dañar los datos, programas o documentos electrónicos de tu empresa o de terceros.

Copias de seguridad, no las dejes al azar

En este punto debes informar con total claridad que  exclusivamente  las personas por ti habilitadas podrán realizar copias de seguridad de los ficheros con datos de carácter personal en los soportes informáticos  que hayas establecido y acceder a las ya realizadas y almacenadas. El uso de CD, DVD, discos duros externos, pendrive, etc. han de estar autorizados.

Incidencia de seguridad, como gestionar las urgencias

Una brecha o incidencia de seguridad en tu negocio puede ser contenida a tiempo si se sabe detectarla a tiempo y reaccionar adecuadamente, sobre esto también debes informar a tus trabajadores.

La primera obligación es informar: Toda incidencia en materia de seguridad informática y física deberá comunicarse inmediatamente a la persona que hayas establecido como responsable de seguridad.

¿Qué se consideran incidencias?

Una incidencia es cualquier tipo de anomalía que afecten o pudieran afectar a la seguridad de los datos. Por ejemplo: son incidencias la penetración de virus, intentos de acceso a los ficheros de datos no autorizados, revelación de contraseñas, un borrado o envió de datos accidentales, etc.

Realizada la comunicación, el Responsable de Seguridad cumplimentará el procedimiento de notificación y registro de incidencias en colaboración con el usuario.

Gestión de soportes informáticos y documentales fuera de la empresa

Tienes que comunicar también a tus trabajadores que no podrán disponer fuera de la empresa de cualquier soporte con datos de carácter personal relativos a clientes, salvo autorización expresa de los responsables.

Destrucción de documentación en papel

Respecto de los documentos en papel que vayan a destruirse, debes informar a tus trabajadores de su obligación de cerciorarse de que no sea posible una posterior recuperación de la información contenida en ellos, para lo cual,  se utilizarán las máquinas destructoras de papel ya existentes o cualquier otro medio para tal fin.

Copias de bases de datos : como hacerlas correctamente

La manera de gestionar las copias de datos debe estar también regulada, tanto si se trata de  crear copias de documentos o una copia temporal de un fichero ofimático que implican un tratamiento de datos de carácter personal.

Tus empleados deberán asumir las siguientes normas:

• Sólo se crearán ficheros temporales o copias de trabajo de documentos cuando resulta estrictamente necesario para el desarrollo del trabajo.
• Inmediatamente después de acabar con la tarea que ha dado lugar a la creación del fichero se procederá al borrado del fichero temporal. El usuario deberá verificar el correcto borrado del fichero y su no inclusión en otros directorios del ordenador o en la papelera de reciclaje.
• Si el fichero temporal es objeto de impresión documental, concluido el trabajo deberá procederse a su destrucción a través de la máquina trituradora de papel sita en el departamento respectivo o cualquier otro medio para tal fin.
• Al fichero temporal creado mientras permanezca activo deberán implementarse las medidas de seguridad acordes con la naturaleza de los datos personales tratados o los tipos de tratamientos realizados. Para ello el usuario lo comunicará al Responsable de Seguridad para que procedan a la implantación de las medidas de seguridad que correspondan.

Como informar a tus trabajadores sobre la gestión de los derechos ARCO

Todo trabajador debe conocer los derechos que tienen las personas vinculadas a tu negocio sobre su propia información personal y saber responder adecuadamente ante el ejercicio de cualquiera de ellos.

El procedimiento a informar a tus trabajadores al respecto es el siguiente:

Ante la recepción por carta, email, telefónicamente o de cualquier otra forma habilitada por la empresa de una solicitud de un clientes, empleado o proveedor del ejercicio de su derecho de acceso, rectificación, cancelación u oposición a sus datos personales, deberá informarse inmediatamente al Responsable de Seguridad, quien se ocupará de dar trámite a dicha solicitud conforme a las normas que rigen el ejercicio de los derechos de los afectados.

No obstante, cuando un trabajador reciba una consulta verbal o petición de ejercicio de derechos deberá actuar siguiendo el procedimiento establecido por la empresa o cuando menos de las siguientes formas:

Ante la consulta (por ejemplo, una llamada) sobre algún ejercicio de derechos por parte de algún interesado:

• Ofrecer información sobre en qué consiste el Derecho, plazos, etc. es decir, sobre el procedimiento.
• No ofrecerle datos sobre la persona, sobre el fondo del asunto, etc.
• Tomar nota (sólo tomar nota) de la persona de que se trata (de su identidad) y del motivo.
• Hacerle llegar (si lo pide) el impreso correspondiente para ejercitar el derecho por una vía que permita dejar constancia (reporte de fax o copia email).

Tratamientos dudosos de datos personales

En el tratamiento de datos pueden surgir dudas sobre la legalidad en el tratamiento de datos de carácter personal que esté efectuando.

En este caso, deberá ponerlo en conocimiento del Responsable de Seguridad, que procederá a informarse sobre la cuestión planteada.

Para toda contratación de servicios a terceras empresas que impliquen un acceso a los datos personales de los que es responsable tu empresa,  el trabajador requerirá siempre autorización al responsable.

¿Que mas cosas debería informar a tus trabajadores?

Cada empresa o negocio tiene su singularidad y en función de ella debe establecer nuevas condiciones, por ejemplo, las empresas que trabajan actualmente con modalidad BYOD (Bring your own device, “trae tu propio dispositivo”) que consiste en que el empleado utilice sus propios dispositivos tecnológicos como herramientas de trabajo, desde las que tendrá acceso a recursos de la empresa como correos electrónicos, aplicaciones, sistemas, bases de datos o archivos, y por ende a información con datos de carácter personal, necesitan medidas especiales que desarrollaré en otro post.

Lo mismo ocurre con aquellas que traten datos especialmente sensibles o con determinados  sistemas de seguridad internos.

¿Estás informando correctamente a tus trabajadores?