El teletrabajo tras la pandemia: recomendaciones para cumplir la normativa de protección de datos

Por Rosa Lozano Egeda, abogada del despacho

Uno de los cambios que ha tenido que afrontar el tejido empresarial a nivel mundial con la llegada de la COVID-19, ha sido la necesidad de realizar una inmersión total en la digitalización en un corto espacio de tiempo, y ello incluye el hecho de tener que plantearse en la propia empresa unas políticas adecuadas de teletrabajo.

Durante la pandemia, la Agencia Española de Protección de Datos (AEPD), realizó unas recomendaciones para adaptar el teletrabajo al cumplimiento de la normativa de protección de datos. Asimismo, otros organismos como el Instituto Nacional de Ciberseguridad (INCIBE), elaboraron una serie de herramientas para trabajar en un entorno ciberseguro, ya que la  información que maneja la organización en su día a día es considerada como un bien intangible y de gran valor para la empresa, como podría ser la cartera de clientes, por lo que debe protegerse convenientemente para evitar su pérdida, sustracción o acceso por parte de terceros, y esto puede darse en situaciones de teletrabajo donde utilizamos portátiles y teléfonos móviles, para conectamos a través de la nube a la organización. Pero además de generar ese entorno de trabajo seguro, se debe tener presente la normativa de protección de datos personales para su cumplimiento durante el teletrabajo.

En este sentido, las recomendaciones elaboradas por la AEPD se realizaron durante el confinamiento y su objetivo principal era orientar a las empresas en cuanto a las medidas que debían tomar como responsables de tratamiento pues determinan los fines y medios del tratamiento de los datos personales (tanto de trabajadores, como de clientes y terceros), así como también para orientar a los propios trabajadores en aquella obligada situación de teletrabajo.

Por tanto, en cuanto a clientes y terceros, la empresa deberá:

• Definir una política de protección de la información para situaciones de movilidad, en las que se determinen las formas de acceso remoto permitidas, los tipos de dispositivos que son válidos, el nivel de acceso que se permite, así como definir las responsabilidades y obligaciones que asumen los empleados.
• Elegir prestadores de servicios confiables y con garantías, evitándose el uso de aplicaciones de teletrabajo que no ofrezcan dichas garantías, y por tanto puedan exponer los datos personales.
• Limitar el acceso a la información, incluyendo más restricciones de acceso desde los dispositivos móviles desde los que se acceda a la red de la organización.
• Configurar de forma periódica los equipos y dispositivos que se utilicen en situaciones de movilidad.
• Monitorizar los accesos realizados a la red corporativa desde el exterior.
• Gestionar la protección de datos y la seguridad.

En cuanto al trabajador, deberá:

• Respetar la política de protección de la información en situaciones de movilidad definida por la empresa.
  En este sentido el trabajador deberá tener presente las medidas que recoja la guía y la política de protección de datos realizada por la empresa, haciéndose un inciso en el deber de confidencialidad del trabajador en cuanto a los datos personales a los que pudiera tener acceso en su trabajo.
• Proteger el dispositivo utilizado en movilidad y su acceso, ello se conseguiría estableciendo contraseñas de acceso robustas, no descargándose aplicaciones o software que no se haya autorizado por la empresa, evitar conectarse a la red de la organización a través de conexiones WIFI abiertas, o en lugares públicos. Si se trabaja con un dispositivo corporativo, cuando termina la jornada laboral deberá desconectarse de la sesión de acceso remoto, y apagar el dispositivo.
• Garantizar la protección de la información con la que esté trabajando. En los entornos públicos y domésticos se deberán tomar las medidas necesarias para garantizar la confidencialidad de la información que maneje el trabajador.
  Si se trabajase en papel, en situaciones de movilidad deberá minimizar su uso, evitando la entrada y salida de documentos. De igual forma, si la información, borrador estuviera en papel, deberá asegurarse que se destruye completamente.
• Guardar la información en los espacios de red habilitados, utilizando los recursos de almacenamiento dados por la organización.
• En el momento en que se pueda sospechar que la información se haya podido ver comprometida hay que comunicarlo inmediatamente al responsable de seguridad de la organización, o al responsable designado al efecto.

Recientemente la AEPD ha revisado sus recomendaciones, pues las circunstancias han cambiado desde el inicio de la pandemia, y lo que en un principio parecía una medida excepcional, finalmente se ha instaurado en nuestra realidad laboral, y por ello es necesario que se tomen las medidas organizativas necesarias para que el teletrabajo pueda implementarse correctamente.

En el teletrabajo la empresa, como hemos dicho, además de proteger los datos personales de los trabajadores, deberá proteger los datos de las personas con las que se relaciona la organización. En esta nueva revisión que realiza la AEPD, se concreta que si el teletrabajo implica un tratamiento de datos adicional con respecto al trabajo presencial que se realizaba, se deberá respetar siempre el principio de licitud, es decir, que los datos personales se deben tratar de manera lícita, leal y transparente, y a su vez, la empresa deberá tener en cuenta las siguientes circunstancias:

• El trabajo a distancia deberá ser voluntario, y así lo establece el art. 5.1 de la Ley 10/2021 de 9 de julio, de trabajo a distancia, que expresamente indica: “El trabajo a distancia será voluntario para la persona trabajadora y para la empleadora y requerirá la firma del acuerdo de trabajo a distancia regulado en esta Ley, que podrá formar parte del contrato inicial o realizarse en un momento posterior, sin que pueda ser impuesto en aplicación del artículo 41 del Estatuto de los Trabajadores, todo ello sin perjuicio del derecho al trabajo a distancia que pueda reconocer la legislación o la negociación colectiva.”
• La AEPD señala que no es aplicable el consentimiento del trabajador como base jurídica para el tratamiento de sus datos personales por parte de la empresa, sin embargo la AEPD expone las distintas circunstancias que pueden legitimar el tratamiento de datos del trabajador:
  • El tratamiento de estos datos personales estaría legitimado por la propia relación contractual que media entre las partes, art. 6.b) del Reglamento General de Protección de Datos (RGPD) junto con el art. 20.3 del Estatuto de los Trabajadores (ET), que dispone que el empresario puede adoptar las medidas más oportunas de vigilancia y control para verificar el cumplimiento por parte del trabajador, de sus obligaciones y deberes laborales, siempre de acuerdo con el principio de proporcionalidad.
  • Si la empresa opta como base jurídica para el tratamiento de estos datos, la satisfacción del interés legítimo del empleador (art. 6.1.f del RGPD) ello podrá ser posible siempre que frente a este derecho del empleador no prevalezcan los intereses o derechos y las libertades fundamentales del interesado; por lo tanto, esta cuestión tendrá que ser evaluada con carácter previo mediante una “prueba de ponderación o contrapreso”.
  • Otra base jurídica para el tratamiento de estos datos personales por parte de la empresa se corresponde con el cumplimiento de una obligación legal, art. 6.1.c del RGPD, como sería el hecho de garantizar el registro horario de la jornada laboral, al que se le obliga a tener legalmente, incluyendo un horario de entrada y salida de cada empleado (art. 34.9 del ET).
    En este caso, la empresa debe valorar si el registro se va a usar conforme al único efecto del registro horario del 34.9 del ET o también se va a emplear como medida de control, debido a las circunstancias concretas del trabajo a distancia.  En este último caso, la empresa ha de informar al trabajador de esta doble finalidad.
• El levantamiento de la prohibición del tratamiento de categorías especiales de datos, como serían los datos biométricos relacionados con la identificación unívoca del trabajador, únicamente quedará amparada por el art. 9.2 b del RGPD, cuando sea necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho Laboral y de la seguridad y protección social, siempre que así lo autorice el Derecho o un convenio colectivo con arreglo a Derecho
• Asimismo, la empresa deberá respetar los derechos relacionados con el uso de los dispositivos en el ámbito laboral: derecho a la intimidad, el uso de dispositivos digitales en el ámbito laboral y el derecho a la desconexión digital.

En el supuesto de los tratamientos de datos personales que ya están en curso, y que son  objeto de la actividad de negocio del responsable del tratamiento, la AEPD señala que  no requiere de ninguna base jurídica distinta a la que ya estaba legitimado cuando realizaba este trabajo de forma presencial, no habiéndose modificado los medios que se hubiesen empleado.

Resulta obvio que el teletrabajo ha venido para quedarse, y precisamente por esta razón la empresa debe establecer unas medidas organizativas que generen un entorno de trabajo ciberseguro, así como coherente con el cumplimiento de la normativa de protección de datos personales por lo que recomendamos contar con el asesoramiento especializado a la hora de implantar o mantener esta útil modalidad de trabajo.