PROTECCIÓN DE DATOS PERSONALES EN TIEMPOS DEL COVID19
Durante esta situación de pandemia se está dando una disyuntiva asociada a la priorización de los derechos fundamentales de las personas y parece existir una necesidad de elección entre la salvaguarda del derecho vital y los derechos de protección de datos personales, cuando entiendo que es factible que ambos derechos sean conservados a la hora de determinar las políticas de seguridad tanto en la utilización de sistemas que permitan el teletrabajo, como las asociadas a la necesidad de confirmar la posible interacción con personas en los casos en los podamos estar o haber estado en contacto con personas que estén infectadas por COVID 19.
Precisamente para favorecer el alineamiento de ambos derechos, tanto la Agencia Española de Protección de Datos (AEPD) como la Comisión Europea de Protección de Datos han publicado sendos documentos desde los que clarifican ambas situaciones:
- Protección de datos personales en situaciones de movilidad y teletrabajo: En su nota técnica (ver enlace) la AEPD aboga por una serie de recomendaciones asociadas tanto a:
- Políticas de protección de la información ante situaciones de movilidad vinculadas a la necesidad de formalización de los riesgos asociados a las formas de acceso remoto, los dispositivos desde los que se realizan y niveles de acceso a los recursos corporativos y que en todo caso han de ser puestas en conocimiento de los usuarios susceptibles de dichas amenazas, así como evidenciar la adhesión a los compromisos expresados en las mismas por parte de dichos usuarios, poniendo a disposición de éstos un punto de contacto que permita comunicar cualquier incidente susceptible de ser considerado brecha de seguridad.
- Selección de proveedores confiables en base a la formalización de contratos y aportación de garantías suficientes que permitan acreditar la debida diligencia de la entidad en su responsabilidad “in eligendo” asociada a la selección de encargados de tratamiento, conforme a los requerimientos establecidos en el artículo 28.3 del RGPD.
- Restricciones en el acceso a la información, revisando los privilegios de acceso asociados a cada perfil de usuario respecto a los concedidos en los accesos desde la red interna y en base a dispositivos y ubicaciones desde los que se accede.
- Configuración de equipos y dispositivos, actualizados y configurados en base a las necesidades requeridas para su uso y acceso en condiciones de seguridad (aplicaciones autorizadas, antivirus, aplicaciones autorizadas, mecanismos de cifrado, ..) para conexiones remotas limitadas a aquellos recursos menos críticos o sometidos a un menor nivel de riesgo.
- Monitorización de accesos a la red corporativa, vinculados a la identificación de patrones anormales en el tráfico de red, brechas de seguridad, …pero sobre todo a las actividades de monitorización del cumplimiento de las obligaciones laborales del personal que han de ser orientados al contexto, respetando los derechos digitales establecidos en la LOPDGDD, pudiendo acreditar en todo caso la información con carácter previo a su implementación en el marco de las funciones de control previstas en el Estatuto de Trabajadores.
- Gestión racional de seguridad y protección de datos, que confirmen que las medidas de seguridad establecidas son consecuencia de un análisis de riesgos y en proporcionalidad con los derechos de los afectados, aplicando los principios de privacidad desde el diseño y por defecto en la implementación de soluciones de acceso remoto.
- Tratamiento de datos por parte de los usuarios, con pautas establecidas para el respeto de las políticas de protección de datos, la protección de dispositivos de acceso (contraseñas, descarga de aplicaciones, conexiones wifi, certificados, usos particulares, antivirus, correos electrónicos, desconexiones, almacenamiento en espacios habilitados, políticas de copias de seguridad, …) conforme a los criterios establecidos en las guías del Instituto Nacional de Ciberseguridad (INCIBE) al respecto.
- Notificación de brechas de seguridad, con indicación concisa de los protocolos establecidos por la organización para la comunicación de anomalías que puedan afectar a la seguridad de la información y a los datos personales a fin de gestionar con el Responsable o Delegado de Protección de Datos.
- Protección de datos personales en el uso de aplicaciones móviles de rastreo de contactos y envío de advertencias: En su Recomendación (ver enlace) la Comisión Europea de Protección de Datos establece una serie de pasos y medidas que permitan un enfoque común en la UE en el uso, modelización y predicción asociada a datos personales de localización captados por aplicaciones móviles:
- Enfoque para el uso de aplicaciones de seguimiento, con pautas de uso de aplicaciones para teléfonos inteligentes sin infringir las normas de protección de datos de la UE asociadas a las especificaciones de alerta y seguimiento desde el punto de vista médico y técnico de dichas aplicaciones, la incompatibilidad en términos de interoperabilidad, mecanismos de gobernanza aplicables por parte de las autoridades públicas sanitarias en cooperación con el Centro Europeo para la Prevención y el Control de Enfermedades (ECDC), así como en la identificación de buenas prácticas y mecanismos de intercambio de la información entre los distintos organismos epidemiológicos públicos pertinentes.
- Enfoque para la predicción y modelización de la propagación, con recomendaciones asociadas al uso de los datos de localización móvil agregados y anonimizados para el análisis de patrones de desplazamiento, el cumplimiento de las medidas de confinamiento en la intensidad de contactos y, por tanto, los riesgos de contaminación, que supongan una contribución, en cumplimiento de lo establecido en la normativa vigente de protección de datos, al desarrollo de estrategias de reapertura de las entidades.
En conclusión, textos que no vienen sino a confirmar que es factible la seguridad y el uso de datos tanto en el acceso a sistemas de información en condiciones de movilidad y en el uso de dichos datos para el desarrollo de estrategias en el interés vital de lucha contra la pandemia, pero siempre sin perder los enfoques asociados al respeto de los derechos de protección de datos personales.
Por: Mónica Pomar
monicapomar@pfsgrupo.com
