Tras la publicación, por parte del Incibe, del documento “Políticas de seguridad para la Pyme: gestión de Recursos Humanos”, desde GRUPO DATA, nos hacemos eco de las siguientes medidas de seguridad y recomendaciones, orientadas a la gestión del personal y seguridad de la información. 

Para implementar correctamente las medidas de seguridad, en base a lo establecido en el art. 24 y 32 del RGPD, es importante asegurarse que todo el personal tiene conocimiento real sobre sus derechos, deberes y responsabilidades en relación a la información (y datos de carácter personal) que trata con motivo del desempeño de sus funciones, así como de las posibles sanciones que se les podrían imponer en virtud de una actuación negligente.

De este modo, a título ejemplificativo, a continuación, detallamos algunas recomendaciones a implementar en la gestión del personal:

1. Reflejar los aspectos más importantes, relativos a la seguridad de la información en el contrato de trabajo.

El empresario, con el departamento de recursos humanos, establecerán qué aspectos relevantes en relación a la seguridad de la información deben ser reflejados en el contrato de trabajo. Se considerarán todas las responsabilidades y derechos legales en lo relacionado con la propiedad intelectual o con datos de carácter personal.

2. Firmar acuerdos de confidencialidad con la empresa.

Los empleados y colaboradores firmarán acuerdos relativos a la confidencialidad de la información de la empresa, que contendrán la siguiente información: 

• Partes intervinientes;
• qué información tendrá carácter confidencial;
• compromisos por ambas partes;
• posibles sanciones y legislación aplicable.

3. Verificar las referencias de los candidatos y verificar los datos del CV. 

En ciertas ocasiones (sobre todo para puestos de especial criticidad o con acceso a información muy confidencial) detallaremos las comprobaciones a realizar antes de incorporar a algún candidato a la plantilla. Será necesario determinar las referencias que han de ser revisadas y qué datos del currículum tienen que verificarse. Además, indicaremos qué puestos concretos necesitarán una acreditación especial de estar libre de antecedentes penales.

4. Acciones de formación y concienciación en ciberseguridad y seguridad de la información.

Estableceremos las actividades oportunas para mantener a tu plantilla concienciada y formada en todo momento en aspectos relativos a la seguridad de la información. 

5. Establecer políticas para la imposición de sanciones en caso de actuarse negligentemente en relación con la seguridad de la información.

Elaboraremos un procedimiento disciplinario formal que recoja las sanciones a aplicar en aquellos casos en los que se haya producido una negligencia en relación con la seguridad de la información (fuga o pérdida de datos confidenciales o sensibles, actuaciones intencionadas, ataques a la reputación en redes sociales, permitir ataques de terceros como infecciones por malware, etc.). Este procedimiento debe ser notificado a los empleados y estar accesible en todo momento.

6. Informar sobre cómo deberán cumplir el deber de confidencialidad una vez finalizada la relación laboral y revocar los permisos de acceso. 

Para evitar fugas de información es importante comunicar a los empleados las responsabilidades y obligaciones de seguridad y confidencialidad que deberán cumplir una vez finalizada la relación contractual.

7. Otorgar permisos de acceso a la información en función de los roles desempeñados por cada uno.

Si queremos garantizar que cada empleado solo acceda a la información oportuna, deberemos darle de alta en los sistemas de acuerdo con las políticas de control de acceso (físico y lógico) correspondientes. 

En este punto, entre otras, realizaremos las siguientes acciones:

• Entregar las tarjetas de acceso físico; n asignar las cuentas de correo electrónico;
• conceder los permisos de acceso a servicios, aplicativos y recursos compartidos; 
• asignar el puesto de trabajo, los dispositivos y equipos.

8. Asegurarse de que los empleados aceptan y comprendes las políticas y cláusulas de seguridad de la información.

Del mismo modo que en su incorporación damos los accesos y permisos oportunos a los nuevos empleados para que puedan realizar su trabajo, al finalizar la relación contractual los revocaremos:

• Recogiendo las tarjetas de acceso y los dispositivos entregados;
• eliminando sus cuentas de correo;
• eliminando sus permisos de acceso a sistemas y aplicativos. 

Desde GRUPO DATA, como consultora especializada en materia de protección de datos y seguridad de la información, nos encontramos a su disposición para la implementación de las soluciones y medidas de seguridad en base a la situación de su compañía.

 

 

Publicado el 28 de Enero de 2022
Por María González
Responsable del Departamento Jurídico

Como consecuencia del escenario actual, a consecuencia de la pandemia por la COVID19, una de las medidas adoptadas por parte de algunas CCAA consiste en la solicitud del Certificado COVID19 para la entrada en determinados establecimientos (ligados a ocio nocturno, restauración, espacios cerrados, etc.). En cualquier caso, se trata de medidas destinadas a la contención y control de la situación, y limitadas a fin anterior. 

El Certificado COVID Digital UE es un documento con lectura QR, que facilita la libre circulación segura de la ciudadanía dentro de la Unión Europea durante la pandemia del COVID-19.

En este sentido, son numerosas las Comunidades autónomas que han optado por la aprobación de esta medida que debe ser tratada con especial atención, con motivo de la incidencia en materia de protección de datos.

A continuación, detallamos algunas de las imposiciones que, de forma general, podemos resaltar y que todas aquellas entidades que deban solicitar el Certificado COVID19, a sus clientes, deberán tener en consideración.

• Los responsables de los establecimientos, eventos, actividades y lugares deberán garantizar el respeto a la normativa vigente en materia de protección de datos.
• Cumplir con el deber de información a los titulares de los datos.
• El acceso resulta limitado a la verificación, con la imposibilidad de conservar los datos en sistemas. 
• Medidas implantadas a la hora de solicitar el Certificado COVID19, garantizando la máxima protección del titular.
• Instrucciones sobre el tratamiento de datos, al personal de la entidad que solicite el Certificado COVID19 al cliente. 

Como todos sabemos, nos encontramos en una situación excepcional, en un contexto epidemiológico, en el que se adoptan medidas en ponderación de derechos fundamentales, como es la protección de datos. Pero en ningún caso, esta situación puede derivar en una vulneración de los mismos, es decir, se trata de adoptar medidas, pero bajo unas garantías y premisas.

 

 

Publicado el 30 de Diciembre de 2021
Por María González
Responsable del Departamento Jurídico

Con motivo de estas fechas navideñas, marcadas por las cenas de empresas, eventos con niños, compras a través de internet… debemos tener en cuenta la normativa de protección de datos, para que nuestra única preocupación sea disfrutar de esta festividad. En este sentido, a lo largo de este post, resolveremos algunas dudas, que resultan frecuentes. 

¿Envío de felicitaciones de navidad y límites de la normativa en protección de datos?

En primer lugar, debemos hacer distinción entre el envío de tarjetas o felicitaciones navideñas en el ámbito personal y profesional. En este sentido, la normativa vigente de protección de datos, no impide que los ciudadanos remitan estas tarjetas dentro de su ámbito personal, destinadas a amigos o familiares.

Cuestión distinta resulta el envío de felicitaciones corporativas, siendo exigible el cumplimiento de los requisitos que establece la normativa. En este supuesto, las organizaciones deben tener una justificación para realizarlo con base en algún tipo de legitimización en la que, dependiendo del caso, podría enmarcarse el interés legítimo. Además, si en estas comunicaciones se realiza algún tipo de oferta o publicidad, se deberá cumplir con las obligaciones que marca la legislación para este tipo de comunicaciones comerciales.

 

¿Vas a comprar en una tienda online?

Es una realidad afirmar que el comercio electrónico es uno de los canales principales de compraventa, y más en estas fechas navideñas, marcadas por el consumo.

En este sentido, en el informe de Ayden se sitúa al canal online como el segundo canal donde más ventas se generan. Además, también es interesante observar que las transacciones efectuadas a través de las aplicaciones y redes sociales suponen ya el 14% y 10%. De hecho, el comercio electrónico seguirá en forma de cara la próxima campaña de Navidad: según las predicciones que hace la compañía estadounidense de software Salesforce, las ventas online en todo el mundo se alzarán un 7%.

A lo largo del proceso de compra online, el consumidor puede ver comprometida su seguridad o privacidad, además de vulnerados sus derechos. En este sentido, a continuación, enumeramos una serie de consejos, facilitados por la autoridad de control, la Agencia Española de Protección de Datos.

 

Comprobar información legal del comercio: 

La información de la tienda online, requerida por distintas normas legales, suele incluirse en páginas con denominaciones como “Aviso legal”, “Términos de uso” o “Política de privacidad”. Éstas suelen ser accesibles mediante enlaces ubicados en los extremos superior o inferior de la página principal del comercio online. 

La información legal es fundamental porque: 

• Ante un posible conflicto permite saber contra quién debemos reclamar.
• Determina las leyes aplicables y las autoridades de control competentes.
• Permite conocer los derechos que asisten a los usuarios. Es obligatorio que el comercio online proporcione, entre otros, estos datos
  • Nombre completo de la entidad (persona física, sociedad, fundación, etc.)
  • Número de identificación fiscal (NIF, NIE o CIF)
  • Datos de su inscripción en el registro mercantil
  • Dirección postal

Si recaban datos personales, deberán informar, entre otros datos: 

• Quién es el responsable del tratamiento de datos, la finalidad del mismo y la legitimación para tratarlos.
• El plazo de conservación de los datos, y la posibilidad de ejercitar los derechos de protección de datos.

¿Una de tus compras será un juguete conectado a Internet? 

En este sentido, a la hora de adquirir juguetes conectados a Internet, debemos tener en cuenta que estos intercambian información con fuentes externas y que, además requieren la instalación de una aplicación en el dispositivo móvil. La consecuencia es que, este tipo de juguetes, son capaces de recopilar información sobre el menor que lo usa, implicando que debamos prestar especial atención a qué pueden hacer, qué información recogen, etc., para poder proteger la privacidad del menor. 

En el caso de que te hayas decidido a regalar un juguete de estas características, a continuación, indicamos una serie de recomendaciones de la autoridad de control:

Su uso suele requerir la descarga de una aplicación en un dispositivo móvil. Pero, ¿cómo funcionan? Cuando captan imágenes o voces las envían a la aplicación, que a su vez las transmite a través de internet. Cuando se procesa la información, la contestación -ya sea una frase pregrabada o información obtenida en la Red- viaja de vuelta al juguete, que ofrece al usuario una respuesta.

Para completar este proceso, el juguete cuenta con herramientas como micrófono, cámara, altavoces o pantalla, que recopilan información sobre los usuarios -en su mayor parte menores- lo que puede suponer un riesgo para su privacidad y la protección de sus datos.

También es aconsejable saber qué datos se transmiten por internet, con qué objetivo y su destino final, así como los datos que se reciben de la Red y de dónde proceden. Es igualmente importante plantearse cómo se protegen los datos recogidos, el lugar donde van a almacenarse y si se van a enviar a terceros.

 

¿Captar imágenes de la obra de navidad del Colegio?

Decenas de padres, madres y familiares acuden estos días a colegios para presenciar funciones, conciertos u otro tipo actos en los que los más pequeños de la casa son los protagonistas y, como es lógico, aprovechan las cámaras de sus teléfonos móviles para conseguir un recuerdo de este momento en forma de foto o vídeo.

No existe ningún problema en tomar estas imágenes siempre y cuando se realice un uso personal y privado de las mismas. Si se difunden fuera de este ámbito familiar o de amistad como en redes sociales o páginas de Internet de acceso público, se podrían estar vulnerando los derechos de otros niños que aparecen, ya que para publicarlas se necesita el consentimiento de sus padres y tutores o de los propios menores si tienen más de 14 años.

 

¿Y las de la cena de empresa?

Del mismo modo, es habitual tomar fotos y vídeos de la cena de navidad de la empresa y que terminen en alguna red social. Debemos tener en cuenta que lo que hoy nos parece muy gracioso, puede afectarnos de manera negativa en un futuro. Piénsalo dos veces dos veces antes de compartir este contenido.

Si eres el autor de la imagen, recuerda que necesitas el permiso de las personas que aparecen para subirlas a Internet y que si lo haces sin ese consentimiento podrías estar cometiendo una infracción que, incluso, y dependiendo de las circunstancias, podría llegar a ser delito.

Desde GRUPO DATA, como especialistas en materia de protección de datos y seguridad de la información, le animamos a que, si desea obtener mayor información o asesoramiento, no dude en contactar con nosotros.

 

 

Publicado el 26 de Noviembre de 2021
Por María González
Responsable del Departamento Jurídico