Teletrabajo y la seguridad de la información

El teletrabajo ha sido una de las soluciones a la que se han acogido varias empresas para seguir operando durante la pandemia del Covid-19. Bajo esta figura, los trabajadores pueden desarrollar sus labores fuera de las instalaciones del empleador, siempre que las necesidades y naturaleza del trabajo lo permitan, haciendo uso de las tecnologías de la información y comunicación (“TICs”).

Más allá del aspecto laboral que implica adoptar esta figura, el objetivo de esta columna es analizar los riesgos del teletrabajo relacionados con uno de los principales activos de las empresas, la información, y brindar herramientas técnicas y jurídicas eficientes para poder mitigar estos riesgos.

En la actualidad existen empresas cuyo giro principal es el tratamiento de información, y otras empresas que, debido al giro de su negocio, necesitan de información para mejorar sus productos, ventas y procesos internos. El adecuado manejo y conservación de la información se ha convertido en un eje fundamental para el éxito de un negocio. Las empresas deben emplear medidas para proteger la información, ya que, cualquier fuga o uso indebido de la misma, puede resultar en que  la empresa  pierda valor y credibilidad. 

Durante la implementación del teletrabajo, el empleador no está en posibilidad de  realizar un seguimiento estricto a las actividades que realiza el trabajador, puesto que, éste no se encuentra físicamente en las instalaciones de la empresa. En esta situación aumenta la posibilidad que exista un uso inapropiado de la información de la empresa para proteger la información y las herramientas laborales entregadas, el empleador deberá tomar las medidas de seguridad adecuadas. 

En tal sentido, la seguridad de la información debe cumplir con tres parámetros esenciales: integridad, confidencialidad y disponibilidad. La integridad implica que la información sea correcta, y no haya sido eliminada o modificada sin la autorización del titular. Confidencialidad hace referencia a que la información pueda ser accedida únicamente por personas que tienen autorización para su acceso. Por último, la disponibilidad significa  que se pueda acceder a la  información cuando sea necesario. Se deben tomar en consideración estos tres parámetros para tomar las medidas técnicas y jurídicas para proteger la información.

Las medidas técnicas son  los programas, sistemas o dispositivos cuyo objetivo es preservar la información. El objetivo principal de estas medidas es evitar el acceso, modificaciones, eliminación y uso no autorizado. Para la adopción de las medidas técnicas, se deberá tener en cuenta: 

1. analizar la importancia de la información dentro de la empresa; 
2. identificar o clasificar el tipo de información que se quiere proteger; 
3. los diferentes controles a establecer; y, 
4. los costos de las medidas que se deben tomar. 

Algunos ejemplos de medidas técnicas que se pueden utilizar son los siguientes:

1. Asignación de usuarios y contraseñas: cada persona será responsable del manejo de su usuario y contraseña. Será  obligatorio  modificar la contraseña cada cierto tiempo.  
2. Encriptación de la información: con esta medida se puede proteger la información más importante, ya que impide que terceros no autorizados puedan leer la información.
3. Gestión de privilegios: los trabajadores podrán acceder a información que les competa de acuerdo a sus labores. No  debe haber acceso libre a la información de la empresa.
4. Monitorear el tráfico del acceso a la información.
5. Establecer mecanismos que impidan la impresión o descarga de la información.

Por otro lado, para tomar medidas jurídicas el empleador requiere de diferentes instrumentos para tener una política de protección de la información completa. Estos instrumentos establecerán un régimen de responsabilidades y sanciones aplicables a  un inadecuado manejo de la información. 

Algunas de las medidas legales que los empleadores deben tomar son las siguientes:

1. Acuerdo de confidencialidad: mediante este acuerdo se establece y se informa al trabajador de las medidas que debe tomar para evitar que la información sea divulgada a terceros o usada de una forma no autorizada. Adicionalmente se puede establecer la propiedad de la información, es decir a quién le pertenece la misma. La obligación de confidencialidad puede ser incorporada en el contrato de trabajo suscrito.
2. Reglamento interno de trabajo: se debe establecer la sanción para el uso no adecuado de las herramientas electrónicas de trabajo.
3. Acta de entrega y recepción de las herramientas: en esta acta se establecerá las condiciones en las que se entregan las herramientas.
4. Auditoría y monitoreo: establecer en el contrato de trabajo la facultad del empleador de realizar una auditoría a los instrumentos entregados al trabajador.

Para preservar el valor de la información de la empresa, es fundamental que se tomen  todas las medidas  técnicas y legales antes descritas. La falta de aplicación de dichas medidas podría derivar en un riesgo de protección de la información. Es importante, además,  que estas medidas sean notificadas a los trabajadores antes de implementar el teletrabajo. La falta de herramientas técnicas y jurídicas, podría poner en riesgo uno de los principales activos de la empresa: su información.
 
Rafael Serrano es asociado en CorralRosales, Ecuador, dirige el área de Protección de Datos, tiene experiencia en la industria de TMT, protección de datos personales, comercio electrónico y contratos electrónicos e informáticos. 

También te puede interesar:
— Herramientas tecnológicas en el ámbito laboral