La Responsabilidad Demostrada en Materia de Tratamiento de Datos Personales o Accountability Frente al Teletrabajo

20. 05. 04

Como es bien sabido, actualmente el país y el mundo atraviesan por una situación que nos ha obligado a cambiar drásticamente la forma en la que desempeñamos nuestras labores habituales a raíz de la pandemia por el COVID-19.

En ese sentido, en Colombia muchas empresas y entidades públicas han adoptado el teletrabajo como una opción para continuar desarrollando sus actividades. Entendido este como una forma de organización laboral que consiste en el desarrollo de un contrato de trabajo o de prestación de servicios utilizando como soporte las TIC para el contacto entre el trabajador y la empresa o institución pública o privada, sin requerirse la presencia física del trabajador en un sitio específico de trabajo, en cualquiera de sus formas, autónomos, móviles o suplementarios.[1]

Por otro lado, en nuestro ordenamiento jurídico existen una serie de normas que buscan garantizar a los ciudadanos un tratamiento idóneo de su información personal por parte de las personas naturales o jurídicas que recolectan y tratan esta información.

Por consiguiente, con el objeto de reglamentar parcialmente la Ley 1581 de 2012 se expidió el Decreto 1377 de 2013, compilado en el Decreto 1074 de 2015, el cual hace mención en su capítulo VI al principio de la responsabilidad demostrada frente al tratamiento de datos personales. Principio que establece que los responsables del tratamiento deben contar con un programa integral de gestión de datos personales y estar preparados para demostrarle a la autoridad competente la implementación efectiva de esas medidas en la organización, y con ello además, el cumplimiento de la normativa vigente sobre protección de datos personales.

En ese sentido, planteamos la siguiente interrogante ¿será que las empresas o instituciones públicas o privadas que no han adoptado dentro de su política de tratamiento de datos personales los mecanismos internos que se deben aplicar cuando se ejecutan labores por medio del teletrabajo podrían en este momento cumplir con el principio de responsabilidad demostrada?

Ciertamente creemos que no podrían, y es que, los responsables del tratamiento tienen entre otras cosas, la obligación de definir un sistema de administración de riesgos asociados al tratamiento de datos personales y un protocolo de respuesta por violación y manejo de incidentes, dentro de los cuales, a nuestro parecer se deberían incluir los procesos a seguir en el caso del teletrabajo, ello por cuanto, debemos ser conscientes que los trabajadores o colaboradores de una organización son parte integrante de la misma, y que fuera de la sede o domicilio corporativo pueden no llegar a ejercer el control efectivo sobre el manejo seguro de los datos personales a los que tiene acceso en las labores que desempeñan.

Tal y como lo indicó la Superintendencia de Industria y Comercio en resolución que decide una reciente investigación administrativa contra el Banco Colpatria: “El éxito del [debido tratamiento de los datos personales] dependerá del compromiso real de todos los miembros de una organización[2] Por esa razón, resultará necesario que en cumplimiento del artículo 27 del Decreto 1377 de 2013 las empresas e instituciones públicas o privadas responsables del tratamiento ejecuten programas educativos que desarrollen las medidas que deben adoptar los trabajadores y colaboradores en el ejercicio del teletrabajo para el cumplimiento de las políticas.

Con relación al artículo 27 del Decreto 1377 de 2013 la Superintendencia de Industria y Comercio en su Guía para la Implementación del Principio de Responsabilidad Demostrada (Accountability) ha destacado su importancia al indicar:

“Esta disposición es especialmente relevante porque implica el reconocimiento expreso que debe hacer la autoridad de vigilancia frente a organizaciones que estén en capacidad de demostrarle que una eventual falla en el tratamiento de la información de un titular corresponde a una situación aislada dentro de un Programa Integral de Gestión de Datos Personales.”

Y es que, si una organización no ajustara sus políticas de tratamiento de datos personales a la realidad del teletrabajo, no podría de ninguna manera cumplir con la responsabilidad demostrada en vista que tales políticas estarían desactualizadas en relación al verdadero y novedoso funcionamiento de la empresa o institución pública y el simple hecho de que gran parte de los miembros se encuentran ejecutando teletrabajo, generaría la sospecha para la autoridad de vigilancia y control de que no se está ejerciendo una debida diligencia en el manejo de los datos personales por los cuales es responsable.

En ese mismo sentido se ha referido la Superintendencia de Industria y Comercio:

“El reto de las organizaciones frente al principio de responsabilidad demostrada va muchos más allá de la mera expedición de documentos o redacción de políticas. Como se ha manifestado, exige que se demuestre el cumplimiento real y efectivo en la práctica de sus funciones.

(…)

En ese orden de ideas, no resulta suficiente demostrar que se cuenta con medidas robustas conforme al tamaño empresarial del Banco, sino que adicionalmente se requiere que se materialice la adopción de esas medidas en la mitigación de los riesgos asociados a un indebido tratamiento de los datos y la consecuente afectación de los intereses jurídicamente tutelados por el legislador estatutario”[3]

Creemos que en este escenario, toda organización debe incrementar sus estándares de protección con un enfoque al teletrabajo.

En abril de 2020, la Agencia Española de Protección de Datos publicó una nota técnica titulada Recomendaciones para Proteger los Datos Personales en Situaciones de Movilidad y Teletrabajo[4], por medio de la cual se incluyen las medidas que han de adoptar los responsables de tratamiento y sus trabajadores y colaboradores para el tratamiento de datos personales.

La Agencia Española de Protección de Datos establece una serie de recomendaciones muy puntuales dirigida a los responsables del tratamiento de datos personales, las cuales dividió de la siguiente manera:

1.   Definir una política de protección de la información para situaciones de movilidad.

Esta deberá estar basada en la política de protección de datos y seguridad de la información de la entidad, definiendo una política específica para situaciones de movilidad que contemplen las necesidades concretas y los riesgos particulares introducidos por el acceso a los recursos corporativos desde espacios que no están bajo el control de la organización.

En dicha política hay que determinar qué formas de acceso remoto se permiten, qué tipo de dispositivos son válidos para cada forma de acceso y el nivel de acceso permitido en función de los perfiles de movilidad previamente definidos.

A su vez, deben definirse las responsabilidades y obligaciones que asumen los trabajadores, los cuales además deben estar informados de las amenazas por las cuales pueden verse afectados al trabajar desde fuera de la organización.

2.   Elegir soluciones y prestadores de servicios confiables y con garantías:

En este punto la Agencia Española de Protección de Datos indica que hay que evitar utilizar aplicaciones y soluciones de teletrabajo que no ofrezcan garantías y seguridad.

3.   Restringir el acceso a la información:

Parámetros como perfiles con niveles de acceso a los recursos, con restricciones por categorías como el tipo de dispositivo y la ubicación desde la cual se accede son parte de las recomendaciones incluida en este punto.

4.   Configurar periódicamente los equipos y dispositivos utilizados en las situaciones de movilidad:

Aquí se recomienda revisar constantemente los servidores de acceso remoto, se indican las condiciones que deben cumplir los equipos o dispositivos corporativos utilizados por los trabajadores, dentro de los cuales destacamos:

a.   Estar actualizado a nivel de aplicación y sistema operativo.

b.   Tener una configuración por defecto de mínimos privilegios por los servicios TIC que no pueda ser desactivada ni modificada por el trabajador.

c.   Instalar únicamente aplicaciones autorizadas por la organización.

d.   Disponer de cortafuegos local activado.

En el caso de dispositivos personales de los trabajadores, al suponer un mayor riesgo por no incorporar los mismos controles de los equipos corporativos, hay que valorar la posibilidad de restringir la conexión a una red segregada que únicamente proporcione un acceso limitado a aquellos recursos que se hayan identificado como menos críticos y sometidos a menor nivel de riesgo.

5.   Monitorizar los accesos realizados a la red corporativa desde el exterior.

Hay que establecer sistemas de monitorización encaminados a identificar patrones anormales de comportamiento en el tráfico de red cursado en el marco de la solución de acceso remoto y movilidad con el objetivo de evitar la propagación de malware por la red corporativa y el acceso y uso no autorizado de recursos.

6.   Gestionar racionalmente la protección de datos y la seguridad.

Las medidas y garantías establecidas en las políticas definidas tienen que establecerse a partir de un análisis de riesgos en el que se evalúe la proporcionalidad entre los beneficios a obtener de un acceso a distancia y el impacto potencial de ver comprometido el acceso a la información de carácter personal.

Además de lo anterior, la Agencia Española de Protección de Datos emite recomendaciones dirigidas al personal que participa en las operaciones de tratamiento, las cuales se enumeran de manera general así:

1.   Respetar la política de protección de la información en situaciones de movilidad definida por el responsable.

2.   Proteger el dispositivo utilizado en movilidad y el acceso al mismo.

3.   Garantizar la protección de la información que se está manejando.

4.   Guardar la información en espacios de red habilitados.

5.   Si hay sospechas de que la información ha podido verse comprometida comunicar con carácter inmediato la brecha de seguridad.

En este sentido echamos de menos un pronunciamiento por parte de la Delegatura para la Protección de Datos Personales de la Superintendencia de Industria y Comercio que establezca unas recomendaciones y reconozca los riesgos que pueden existir ante este escenario.

Sugerimos a todos los responsables de tratamiento revisar a detalle las recomendaciones indicadas por la Agencia Española de Protección de Datos y recordamos que Itaca Abogados es una firma especializada en asesoría, capacitación y diagnóstico en asuntos relacionados con el régimen de protección de datos personales en Colombia.

Como conclusión, creemos que todos los responsables del tratamiento deben revisar su política de tratamiento de datos personales para de este modo saber si se ajustan a los acontecimientos actuales que atraviesa no solo el país sino el mundo, y al teletrabajo adoptado posiblemente como nueva forma de desarrollar sus actividades, todo ello a fin de poder demostrar una debida diligencia en el tratamiento de datos personales a la luz del principio de responsabilidad demostrada.

 

Ricardo Alfredo Chacón Hernández

Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

 

FUENTES:

1.https://www.andersentaxlegal.es/es/publicaciones-y-noticias/sobre-las-recomendaciones-y-medidas-a-adoptar-para-proteger-los-datos-personales-en-las-situaciones-de-movilidad-y-el-teletrabajo-en-el-contexto-.html

2.https://www.andersentaxlegal.es/es/publicaciones-y-noticias/recomendaciones-en-materia-de-ciberseguridad-en-el-entorno-del-teletrabajo-emitidas-por-el-centro-criptografico-nacional-y-la-agencia-europea-par.html?idCategoria=13&fechaDesde=&texto=&fechaHasta=&idArea=19&idSector=0

3.   https://www.aepd.es/sites/default/files/2020-04/nota-tecnica-proteger-datos-teletrabajo.pdf

4.   https://confilegal.com/20170212-consiste-llamado-principio-responsabilidad-demostrada/

5.   Superintendencia de Industria y Comercio, Resolución 10720 del 11 de marzo de 2020.

6.   Guía para la Implementación del Principio de Responsabilidad Demostrada (Accountability).

 



[1] Artículo 2 de la Ley 1221 de 2008.

[2] Superintendencia de Industria y Comercio, Resolución 10720 del 11 de marzo de 2020.

[3] Superintendencia de Industria y Comercio, Resolución 10720 del 11 de marzo de 2020.