BYOD: Un nou repte per a la protecció de dades a l’empresa
Si estàs al teu lloc de treball mentre llegeixes aquest article, prego facis l’exercici de mirar al teu voltant. Quants treballadors tenen telèfons intel·ligents? I tablets? En quants d’aquests dispositius hi ha dades responsabilitat de l’empresa? ¿Agendes amb dades d’altres companys o clients? ¿Documents de treball? Si t’has sentit identificat amb aquestes preguntes, a la teva empresa s’està produint el fenomen de què s’ha anomenat com Bring Your Own Device (BYOD en les seves sigles en anglès), concepte de difícil adaptació a l’espanyol però que es podria traduir com Porta el teu Propi Dispositiu.
Cada vegada són més els treballadors, que mitjançant dispositius propis, emmagatzemen i tracten dades personals responsabilitat de l’empresa; aquest fenomen, d’indubtables avantatges per a certs empleats, en afavorir la seva flexibilitat i eficiència, no pot fer oblidar el repte que suposa per a la política de seguretat de les organitzacions sotmeses al compliment de la normativa de protecció de dades.
En motiu de la recent publicació, aquest mateix mes de març, de l’informe del Information Commissioner’s Office (Autoritat de Protecció de Dades del Regne Unit), que analitza aquests riscos, volem donar algunes línies mestres sobre la manera com les empreses han de lluitar amb aquest fenomen, a efectes de que aquest es dugui a terme, en primer lloc, des del seu coneixement i posteriorment amb uns estàndards de seguretat adequats.
El primer criteri que al nostre parer ha de quedar clar, és que les dades responsabilitat de l’empresa que s’emmagatzemen o es tracten a través de dispositius propietat dels seus empleats, segueixen sent de l’empresa. Aquesta premissa ens porta a la primera qüestió que s’ha de plantejar una empresa en aquest àmbit:
He d’autoritzar l’ús de dispositius privats per a aquesta finalitat?
Com a responsable del fitxer l’empresa, ha de dir la forma en què durà a terme el tractament a efectes de complir la seva finalitat. Aquesta facultat també s’ha d’entendre prevista per als encarregats del tractament, que participen en la consecució d’aquesta finalitat, per encàrrec del responsable.
En definitiva és perfectament legítim i adequat que la política de l’empresa en relació al BYOD, sigui limitar aquest fenomen fins al punt de prohibir-lo, això implicaria, que sigui la pròpia empresa qui faciliti als seus empleats tots els dispositius electrònics de treball (fins i tot aquells portàtils) o en el cas que no ho fes, que s’abstingués de configurar en els dispositius propis dels empleats comptes de correu corporatives, accessos als recursos informàtics de l’organització o qualsevol altra funcionalitat que permeti als empleats l’accés o tractament a dades personals de la seva responsabilitat.
Conclusió 1: l’empresa ha de decidir si autoritza als empleats a utilitzar els seus dispositius privats per accedir a les dades personals de les que és responsable.
Presa aquesta primera decisió, si es decideix que els empleats podran accedir des de dispositius privats, a dades personals arxivades en fitxers titularitat de l’empresa, cal deixar clar, la plena aplicació de la normativa de protecció de dades, així l’article 79 del RLOPD estableix que “Els responsables dels tractaments o els fitxers i els encarregats del tractament han d’implantar les mesures de seguretat d’acord amb el que disposa aquest Títol, amb independència de quin sigui el seu sistema de tractament.”
Això implica que el sistema de tractament de les dades (com ara els dispositius privats d’empleats), no eximeix les empreses del compliment de les mesures de seguretat exigibles. Avançat en el RLOPD, el mateix text ja va preveure l’ús de dispositius portàtils (al principi propis de l’empresa) en el seu article 86.1“Quan les dades personals s’emmagatzemin en dispositius portàtils o es tractin fora dels locals del responsable de fitxer o tractament, o de l’encarregat del tractament, és necessari que hi hagi una autorització prèvia del responsable del fitxer o tractament, i en tot cas s’ha de garantir el nivell de seguretat corresponent al tipus de fitxer tractat.”
Conclusió 2: tots aquells empleats que utilitzin dispositius portàtils propis, que els permit el tractament de dades fora dels locals de l’empresa, han de tenir una autorització expressa que a la vegada, quedi reflectida en el Document de Seguretat.
Si has decidit que sí, que la teva empresa farà ús del BYOD i has actualitzat el teu Document de Seguretat per preveure aquesta situació, és més que recomanable que aprovis i difonguis entre els teus empleats una Política d’ús de Dispositius Portàtils Privats.
L’informe BYOD del ICO, anteriorment comentat i que en molts aspectes és perfectament adaptable a la realitat espanyola, inclou una sèrie de previsions a tenir en compte per qualsevol empresa que, com a responsable de fitxers o encarregada del tractament, decideixi autoritzar els seus empleats l’ús de dispositius privats per a l’accés a tractament de dades personals.
Una política eficient per tractar el BYOD ha d’incloure un anàlisi previ dels dispositius utilitzats pels empleats i posteriorment una correcta política de control dels riscos associats a aquesta situació. De forma concreta, les empreses, com a responsables de la seguretat de les dades accedides o tractades des de dispositius dels seus empleats, han de:
a. Decidir quin tipus de dades han d’emmagatzemar-se en aquests dispositius. Això ha de ser auditat i controlat, amb auditories periòdiques.
b. Descobrir en quin lloc s’allotgen les dades, si en el propi dispositiu, a la xarxa de l’empresa o en el núvol (privat, comunitari o públic) i prendre mesures adequades segons cada cas
c. Aplicar mesures de seguretat adequades al dispositiu. Això implica la implementació de contrasenya per al seu accés, bloqueig d’aquesta en cas de reiteració d’accessos no autoritzats o d’inactivitat de l’usuari o la separació física del dispositiu, de les dades privades de l’usuari, d’aquells responsabilitat de l’organització.
d. Controlar les mesures de transferència de les dades entre el dispositiu i la infraestructura informàtica interna de l’empresa. En aquest sentit és recomanable l’encriptació de la transmissió i l’aplicació de mesures que permetin monitoritzar aquestes transferències.
e. Aplicar altres mesures encaminades a decidir la política a seguir en el cas de finalització de la relació laboral amb l’empleat o que el mateix, es desprengui del dispositiu.
f. Implementar una política relacionada amb la pèrdua o robatori del dispositiu.
Conclusió 3: Elaborar i implementar una Política d’Ús de Dispositius Portàtils Privats.
En aquest breu article s’han volgut dibuixar les línies mestres d’un fenomen que no ha fet res més que començar i les seves implicacions en matèria de protecció de dades. La realitat de les relacions laborals actuals, on no se sap ben bé on acaba l’àmbit laboral i on comença el personal, juntament amb la progressiva i inesgotable implementació de múltiples formes d’accés a dades, implica que aquesta situació hagi de ser afrontada per les empreses de manera activa.
La presa de consciència del fenomen és la primera feina a fer i un cop conclosa aquesta fase indispensable, és important desenvolupar polítiques efectives per limitar els riscos que el BYOD té intrínsecament incorporats. I és que més enllà del repte per a la seguretat de les empreses, el BYOD té altres implicacions en matèria de protecció de dades:
Fins a quin punt les empreses poden monitoritzar l’ús que els treballadors fan dels seus dispositius privats emparant-se en la implementació de les polítiques aquí comentades? Com equilibrar el deure de les empreses de controlar les mesures de seguretat, amb la legítima expectativa de privacitat dels empleats en relació amb un dispositiu privat? De quina manera es pot controlar que les dades no siguin tractades més temps de l’ estrictament necessari en trobar allotjats en diferents dispositius? Com poden atendre als drets dels afectats sinó coneixem on són les seus dades?
Són només algunes de les preguntes, apuntades per l’informe del ICO, que aquest fenomen planteja actualment i als que les empreses han d’aportar solucions eficaces, que emanin de la normativa de protecció de dades que, a l’origen, no va entreveure aquest repte.
Si tens dubtes sobre aquest o qualsevol altra tema, no dubtis en contactar-nos!