¿Cómo afecta la nueva realidad a la protección de datos personales?

La protección de los datos personales es un asunto al que la mayoría de gobiernos otorgan una especial importancia, habida cuenta de que se trata de información privada que debe ser utilizada de forma licita, leal y transparente. Buena muestra de su valor en los países democráticos es el ejemplo de la Unión Europea, una de las zonas donde se protegen esos datos personales con mayor recelo.

Con la pandemia que estamos viviendo en el mundo, todo lo relativo a este tema se ha visto afectado por una situación que ha llevado a algunos países a un estado de alarma que tendía a recortar las libertades personales con el objetivo de lograr un bien mayor: frenar el avance del virus.

Pues bien, en el escenario que se ha conformado después de algunos meses confinados y con países aún en el pico de contagios, hay varios focos que afectan a la protección de datos personales: ¿Cómo chocan las pruebas y controles médicos que se están llevando a cabo con este derecho? ¿Qué medidas han de tomar las empresas para respetar la normativa existente con la implantación del teletrabajo para muchos de sus empleados? Y finalmente, ¿qué deben hacer los pequeños negocios que hayan decidido apostar por abrir una tienda online para contrarrestar las pérdidas derivadas de la imposibilidad de vender de un modo físico tal y como venían haciendo?

Con respecto a la primera de estas cuestiones, en la situación actual, las empresas tienen la capacidad de tratar la información relativa a los datos de salud de sus trabajadores con el objetivo de proteger la salud y la seguridad en el trabajo. Esto se desprende de la Agencia Española de Protección de Datos (AEPD), la cual se rige por el Reglamento General de Protección de Datos (RGPD) desarrollado por la Unión Europea, uno de los más avanzados del mundo.

“En aplicación de lo establecido en la normativa sanitaria, laboral y, en particular, de prevención de riesgos laborales, los empleadores podrán tratar, de acuerdo con dicha normativa y con las garantías que establecen, los datos del personal necesarios para garantizar su salud y adoptar las medidas necesarias por las autoridades competentes, lo que incluye igualmente asegurar el derecho a la protección de la salud del resto del personal y evitar los contagios en el seno de la empresa y/o centros de trabajo que puedan propagar la enfermedad al conjunto de la población”, explica la AEPD al respecto.

Es más, el empresario podrá diseñar los planes de contingencia necesarios que hayan sido previstos por las autoridades sanitarias. Eso sí, cumpliendo en todo momento con la normativa de protección de datos ya que si bien es cierto, que la propia AEPD apunta que “para cumplir las decisiones sobre la pandemia de coronavirus que adopten las autoridades competentes, en particular las sanitarias, la normativa de protección de datos no debería utilizarse para obstaculizar o limitar la efectividad de las medidas que adopten dichas autoridades en la lucha contra la pandemia”,  tanto la AEPD como también el Comité Europeo de Protección de Datos (EDPB, por sus siglas en inglés) han señalado también que para la licitud de dichos tratamientos deberá escogerse una legitimación válida para ello y garantizar en cualquier caso la proporcionalidad de las medidas que el empresario vaya a adoptar, escogiendo siempre la menos intrusiva para el interesado y en cualquier caso cumplir con los principios que el Reglamento exige.

Una de las prácticas que ha vivido y vive un auge a causa del confinamiento es el teletrabajo, una modalidad que no solo mejora la conciliación laboral de los empleados, sino que minimiza el impacto en el medio ambiente e incluso proporciona ahorros a las empresas. De hecho, hasta un 40% de los asalariados de la UE han tenido que seguir con sus empleos de este modo durante los meses del confinamiento, de acuerdo con un estudio realizado por la Fundación Europea para la Mejora de las Condiciones de Vida y de Trabajo. De igual modo ha ocurrido en Hispanoamérica, donde el 40% de las organizaciones ha tenido al 80% de su plantilla teletrabajando, según se desprende de un estudio realizado por la consultora PageGroup y del que se hace eco el medio eltiempo.com.

En este sentido, tanto las grandes compañías como las pymes y los autónomos han de tener en cuenta que no se trata de proporcionar un ordenador portátil al trabajador y que realice sus tareas habituales desde su domicilio, sino que se han de tomar las medidas de seguridad oportunas que garanticen la protección de los datos y eviten cualquier tipo de brecha de seguridad

Basta recordar que el citado RGPD ya de por sí establece una serie de medidas que cualquier organización ha de tomar, tales como la designación de un delegado de protección de datos en determinados supuestos, la elaboración del registro de actividades de tratamiento, el análisis de riesgos o el establecimiento de mecanismos y procedimientos de gestión de quiebras de seguridad, entre otras muchas.

Así pues, resulta de vital importancia que los empleados que teletrabajan cuenten con las herramientas adecuadas para que su labor sea totalmente segura, especialmente para aquellos que tratan datos de clientes o de la propia plantilla. En ese caso, cualquier pérdida o trato inapropiado de la información podría conllevar importantes sanciones (hasta un 4% de la facturación anual de la empresa).

Por esta razón, tanto las agencias dedicadas a la salvaguarda de la protección de datos, como los especialistas tecnológicos y de seguridad inciden en la utilización de herramientas laborales que cuenten con todas las garantías de seguridad, sobre todo aquellas que se empleen para el envío de mensajes e información, así como en las que se comparten archivos.

En esta línea se ha pronunciado la AEPD emitiendo unas recomendaciones en situaciones de teletrabajo donde, recomienda a los responsables del tratamiento, definir una política de protección de la información para situaciones de movilidad, elegir soluciones y prestadores de servicio confiables y con garantías, restringir el acceso a la información, configurar periódicamente los equipos y dispositivos utilizados en las situaciones de movilidad, monitorizar los accesos realizados a la red corporativa desde el exterior y gestionar racionalmente la protección de datos y la seguridad.

En cuanto al personal que participa en las operaciones de tratamiento, es decir los empleados, la AEPD recomienda respetar la política de protección de la información definida por el responsable en situaciones de movilidad, proteger el dispositivo utilizado en movilidad y el acceso al mismo, garantizar la protección de la información que se está manejando, guardar la información en los espacios de red habilitados y, si hay sospecha de que la información operada ha podido verse comprometida, comunicar con carácter inmediato la brecha de seguridad.

Otra de las consecuencias de la pandemia de COVID-19 ha sido la evolución de numerosas empresas hacia nuevos modelos de negocio en los que todo lo digital adquiere una especial importancia. Y es que, las restricciones de movimiento y de aforo ha llevado a la apertura de tiendas online con las que compensar la menor afluencia de clientes.

Tal y como ocurre con el teletrabajo, las empresas que apuestan por el eCommerce han de cumplir en todo momento tanto con las normativas que regulan el tratamiento de datos personales como la regulación de los servicios de sociedad de la información y comercio electrónico.

En el caso del RGPD, establece que estos sitios web deben tener una Política de Privacidad que explique cómo se tratan los datos que se obtienen de clientes y empleados y con qué finalidad, identificar a un responsable del tratamiento, justificar en base a que se legitima el tratamiento, , contar con un Delegado de Protección de Datos que se encargue del cumplimiento normativo, detallar si se comunicarán los datos incluso de forma internacional a países que no tengan una normativa equivalente, los derechos de los interesados, …

Para lograr estos objetivos es necesario contar con apoyos tecnológicos que faciliten la labor. En el caso de las pymes y autónomos suelen disponer de menores recursos, pero no por ello deben descuidar dicho cumplimiento. Tal y como explica Borja Pérez, CEO de ITWISE Technology Services, “las tecnologías más recomendables para cumplir con los diferentes aspectos del RGPD y que las empresas deberían adoptar sería disponer como mínimo de una copia de datos local (backup on-premise) y en la nube (cloud backup) para poder recuperar los datos que sean manipulados o borrados en caso de intrusión o pérdida de los mismos; utilizar una herramienta de videoconferencia para el teletrabajo que sea segura y siempre cumpliendo las recomendaciones de seguridad pertinentes (control de accesos a las reuniones, precaución al compartir documentos, etc.); disponer de una conexión VPN para un acceso remoto seguro y que proteja de posibles intrusiones; instalar un antivirus o antimalware correctamente actualizado en todos los puestos de trabajo, y por supuesto, que usuarios tengan contraseñas seguras para un control de acceso y legitimidad adecuado”.

En definitiva, se trata de adaptarse a los nuevos tiempos del mejor modo posible, al tiempo que se respetan las normativas ya establecidas.