BYOD: Un nuevo reto para la protección de datos en la empresa
Si estás en tu puesto de trabajo mientras lees este artículo, ruego hagas el ejercicio de mirar a tu alrededor. ¿Cuántos trabajadores tienen teléfonos inteligentes? ¿Y tabletas? ¿En cuántos de estos dispositivos hay datos cuya responsabilidad es de la empresa? ¿Agendas con datos de otros compañeros o clientes? ¿Documentos de trabajo? Si te has sentido identificado con estas preguntas, en tu empresa se está produciendo el fenómeno del que ha venido a llamarse como Bring Your Own Device (BYOD en sus siglas en inglés), concepto de difícil adaptación al español pero que podría traducirse como Trae Tu Propio Dispositivo.
Cada vez son más aquellos trabajadores, que mediante dispositivos propios, almacenan y tratan datos personales responsabilidad de la empresa; este fenómeno, de indudables ventajas para ciertos empleados, al favorecer su flexibilidad y eficiencia, no puede hacer olvidar el reto que supone para la política de seguridad de las organizaciones sometidas al cumplimiento de la normativa de protección de datos.
En motivo de la reciente publicación, este mismo mes de marzo, del informe del Information Commissioner’s Office (Autoridad de Protección de Datos del Reino Unido), que analiza dichos riesgos, queremos dar algunas líneas maestras sobre la forma en que las empresas deben lidiar con este fenómeno, a efectos de que el mismo se lleve a cabo, en primer lugar, desde su conocimiento y posteriormente con unos estándares de seguridad adecuados.
El primer criterio que a nuestro juicio debe quedar claro, es que los datos responsabilidad de la empresa que se almacenan o tratan a través de dispositivos propiedad de sus empleados, siguen siendo de la empresa. Esta premisa nos lleva a la primera cuestión que debe plantearse una empresa en este ámbito
¿Debo autorizar el uso de dispositivos privados para este fin?
Como responsable del fichero la empresa, debe decir la forma en que llevará a cabo el tratamiento a efectos de cumplir su finalidad. Esta facultad también debe entenderse contemplada para los encargados del tratamiento, que participan en la consecución de dicha finalidad, por encargo del responsable.
En definitiva resulta perfectamente legítimo y adecuado que la política de la empresa en relación al BYOD, sea limitar este fenómeno hasta el punto de prohibirlo, ello implicaría, que sea la propia empresa quien facilite a sus empleados todos los dispositivos electrónicos de trabajo (incluso aquellos portátiles) o en el caso que no lo hiciera, que se abstuviera de configurar en los dispositivos propios de los empleados cuentas de correo corporativas, accesos a los recursos informáticos de la organización o cualquier otra funcionalidad que permita a los empleados el acceso o tratamiento a datos personales de su responsabilidad.
Conclusión 1: la empresa debe decidir si autoriza a los empleados a usar sus dispositivos para acceder a los datos personales de los que es responsable.
Tomada esta primera decisión, si se decide que los empleados podrán acceder desde dispositivos privados, a datos personales archivados en ficheros titularidad de la empresa, es necesario dejar claro, la plena aplicación de la normativa de protección de datos; así el artículo 79 del RLOPD establece que “Los responsables de los tratamientos o los ficheros y los encargados del tratamiento deberán implantar las medidas de seguridad con arreglo a lo dispuesto en este Título, con independencia de cuál sea su sistema de tratamiento.”
Ello implica que el sistema de tratamiento de los datos (como por ejemplo los dispositivos privados de empleados), no exime a las empresas del cumplimiento de las medidas de seguridad exigibles. Avanzando en el RLOPD, el propio texto ya previó el uso de dispositivos portátiles (en un principio propios de la empresa) en su artículo 86.1 “Cuando los datos personales se almacenen en dispositivos portátiles o se traten fuera de los locales del responsable de fichero o tratamiento, o del encargado del tratamiento será preciso que exista una autorización previa del responsable del fichero o tratamiento, y en todo caso deberá garantizarse el nivel de seguridad correspondiente al tipo de fichero tratado.”
Conclusión 2: todos aquellos empleados que usen dispositivos portátiles propios, que les permitan el tratamiento de datos fuera de los locales de la empresa, deberán contar con una autorización expresa que a su vez, quede reflejada en el Documento de Seguridad.
Si has decidido que sí, que tu empresa va a hacer uso del BYOD y has actualizado tu Documento de Seguridad para prever esta situación, es más que recomendable que apruebes y difundas entre tus empleados una Política de Uso de Dispositivos Portátiles Privados.
El informe BYOD del ICO, anteriormente comentado y que en muchos aspectos es perfectamente adaptable a la realidad española, incluye una serie de previsiones a tener en cuenta por cualquier empresa que, como responsable de ficheros o encargada del tratamiento, decida autorizar a sus empleados el uso de dispositivos privados para el acceso a tratamiento de datos personales.
Una política eficiente para abordar el BYOD deberá incluir un análisis previo de los dispositivos utilizados por los empleados y posteriormente una correcta política de control de los riesgos asociados a esta situación. De forma concreta, las empresas, como responsables de la seguridad de aquellos datos accedidos o tratados desde dispositivos de sus empleados, deberán:
a. Decidir qué tipo de datos van a almacenarse en dichos dispositivos. Esto deberá ser auditado y controlado, con auditorías periódicas.
b. Averiguar en qué lugar se alojan los datos, si en el propio dispositivo, en la red de la empresa o en la nube (privada, comunitaria o pública) y tomar medidas adecuadas según cada supuesto.
c. Aplicar medidas de seguridad adecuadas al dispositivo. Ello implica la implementación de contraseña para su acceso, bloqueo de la misma en caso de reiteración de accesos no autorizados o de inactividad del usuario o la separación física en el propio dispositivo, de los datos privados del usuario, de aquellos responsabilidad de la organización.
d. Controlar las medidas de transferencia de los datos entre el dispositivo y la infraestructura informática interna de la empresa. En este sentido es recomendable la encriptación de la transmisión junto con la aplicación de medidas que permiten monitorear dichas transferencias.
e. Aplicar otras medidas encaminadas a decidir la política a seguir en el caso de finalización de la relación laboral con el empleado o de que el mismo, se desprenda de su dispositivo.
f. Implementar una política relacionada con la pérdida o robo del dispositivo.
Conclusión 3: Elaborar e implementar una Política de Uso de Dispositivos Portátiles Privados.
En este breve artículo se han pretendido dibujar las líneas maestras de un fenómeno que no ha hecho nada más que empezar y sus implicaciones en materia de protección de datos. La realidad de las relaciones laborales actuales, dónde no se sabe muy bien dónde acaba el ámbito laboral y dónde empieza el personal, junto a la progresiva e inagotable implementación de múltiples formas de acceso a datos, implica que esta situación deba ser afrontada por las empresas de forma activa.
La toma de conciencia del fenómeno es el primer trabajo a llevar a cabo y una vez concluida esta fase indispensable, es importante desarrollar políticas efectivas para limitar los riesgos que el BYOD tiene intrínsecamente incorporados. Y es que más allá del reto para la seguridad de las empresas, el BYOD tiene otras implicaciones en materia de protección de datos:
¿Hasta qué punto las empresas pueden monitorizar el uso que los empleados hacen de sus dispositivos privados amparándose en la implementación de las políticas aquí comentadas? ¿Cómo equilibrar el deber de las empresas de controlar las medidas de seguridad, con la legítima expectativa de privacidad de los empleados en relación a un dispositivo privado? ¿En qué forma puede controlarse que los datos no son tratados más tiempo del estrictamente necesario al hallarse alojados en distintos dispositivos? ¿Cómo pueden atenderse a los derechos de los afectados sino conocemos dónde están sus datos?
Son solo algunas de las preguntas, apuntadas por el informe del ICO, que este fenómeno plantea actualmente y a los que las empresas deberán aportar soluciones eficaces, que emanen de la normativa de protección de datos que, en su origen, no vislumbró este reto.
Si tienes dudas sobre este o cualquier otro tema, ¡no dudes en contactarnos!