El mundo se encuentra en medio de una emergencia sanitaria sin precedentes, que -entre otras muchas cosas- amenaza con tener un importante impacto económico.
Para contrarrestarlo, los gobiernos y las empresas están tomando una serie de medidas extraordinarias, y muchos han recurrido a las nuevas tecnologías para acelerar su proceso de transformación digital. Se trata de una transformación que no sólo es inesperada en muchos casos, sino que plantea una serie de cuestiones relacionadas con la productividad, la prevención de riesgos laborales, la protección de datos y la ciberseguridad.
En este documento, discutiremos algunas de estas cuestiones para considerar dos aspectos: Por un lado, los riesgos penales de los que podrían ser responsables las empresas y organizaciones que hayan decidido continuar su actividad en el ciberespacio si no cumplen la normativa.
Por otro lado, analizaremos los riesgos a los que pueden enfrentarse estas entidades como víctimas de hackeos u otro tipo de ciberataques que comprometan la privacidad de sus datos.
Trabajo a distancia
La situación actual ofrece una oportunidad única para aprender e innovar en el campo de la estrategia digital. El teletrabajo puede ser una característica permanente en muchos sectores o áreas de actividad, pero hoy en día trabajar desde casa es algo nuevo e incluso difícil para muchos.Según la legislación española sobre trabajo y prevención de riesgos, los empresarios están obligados a proteger a los trabajadores de los riesgos laborales, a facilitar las condiciones de prestación de sus servicios y a vigilar periódicamente el estado de salud de los trabajadores en relación con los riesgos asociados al trabajo. Todo ello respetando el derecho de los empleados a la privacidad y confidencialidad de sus datos.
Ante este escenario, es aconsejable que las empresas que opten por mantener operaciones en forma de teletrabajo, desde el punto de vista de la gestión del cumplimiento o compliance, se aseguren en la medida de lo posible de que todos los trabajadores disponen de los recursos necesarios (ordenador, teléfono, acceso a internet, etc.) y de las condiciones que faciliten su concentración.
Para ello, existen numerosas herramientas que se ponen a disposición de las empresas de forma gratuita mientras dure la alerta sanitaria. Es el caso de Microsoft, por ejemplo. Desde el 11 de marzo, ofrece seis meses de acceso gratuito a su plataforma "Teams", un espacio para que los equipos puedan chatear y hacer videollamadas de forma segura (ya que sólo acepta usuarios registrados con un nombre de dominio profesional) e inclusiva (ya que permite opciones de accesibilidad para personas con discapacidad). También han publicado una guía para trabajar desde casa, que incluye consejos prácticos para aumentar la productividad.
Sin embargo, para facilitar que los trabajadores hagan su trabajo desde casa, en muchos casos hay que tener en cuenta aspectos que van más allá de la eficiencia. Para ilustrar esto, me gustaría citar a Jeff Weiner, director general de LinkedIn, que escribió recientemente en las redes sociales: "Los empleados que trabajan desde el exterior buscarán no sólo herramientas que faciliten la productividad y la colaboración, sino también un software que les haga sentirse vistos y escuchados, realmente conectados con sus colegas y apoyados por su empresa: la oficina virtual como comunidad". En estas difíciles circunstancias, el tono desde arriba que requiere cualquier sistema de cumplimiento significa que los líderes de las empresas y organizaciones deben centrarse en garantizar el bienestar de sus empleados manteniendo un diálogo abierto, asegurándose de que se toman el tiempo que necesitan y fomentando pequeñas iniciativas que les ayuden a sentirse menos aislados.
La forma de hacerlo ya ha sido expuesta en la Circular 1/2016 del Fiscal General, que señala que la unidad de cumplimiento encargada de gestionar y supervisar el programa de cumplimiento puede solicitar la ayuda de otros departamentos como el de RRHH o el de TI.
Protección de datos
La legislación en materia de protección de datos proporciona un conjunto de directrices para el tratamiento de datos personales en un contexto como el de COVID-19. En particular, en el contexto de una epidemia en la que se ve afectada la salud pública, el Reglamento General de Protección de Datos (RGPD) de la UE permite a las autoridades sanitarias y a los empresarios tratar datos personales sin el consentimiento del interesado. Esto está en consonancia con el informe de la AEPD del 12 de marzo, que afirma que en el contexto de las relaciones entre empleadores y empleados, los artículos 6.1.c) y 9.2.b) del RGPD pueden proporcionar bases jurídicas pertinentes y excepciones para el tratamiento de datos de salud y otros datos personales. Sin embargo, el 19 de marzo de 2020, el Consejo Europeo de Protección de Datos ("EDPB") publicó una breve nota aclarando algunas cuestiones relacionadas con la protección de datos en el contexto de COVID-19, haciendo hincapié en el carácter temporal y excepcional de muchas de las medidas adoptadas.
Aunque son legítimas, estas medidas ponen a las empresas y organizaciones en una situación en la que existe un mayor riesgo de violar las normas de protección de datos e incluso de cometer el delito de traición de secretos (artículo 197 y siguientes del Código Penal). Por lo tanto, desde el punto de vista del cumplimiento, es aconsejable tener en cuenta una serie de recomendaciones, como las siguientes:
Deberá quedar documentado y explícito que las medidas de emergencia adoptadas por el empresario -de acuerdo con la ley- se limitan estrictamente a la duración del estado de emergencia que las justifica.
Los datos personales necesarios para alcanzar los fines previstos deben ser tratados con fines específicos y explícitos.Además, los interesados deben recibir información transparente sobre las actividades de tratamiento realizadas y sus principales características, incluido el periodo de conservación de los datos recogidos y los fines del tratamiento. La información proporcionada debe ser fácilmente accesible y estar redactada en un lenguaje claro y sencillo.
Es importante contar con las medidas de seguridad y las políticas de confidencialidad adecuadas para garantizar que los datos personales no se revelen a personas no autorizadas.Para ello hay que asegurarse de que las medidas adoptadas para hacer frente a la emergencia actual y el proceso de toma de decisiones subyacente estén debidamente documentados.
Ciberseguridad
Con los casos de coronavirus registrados en más de 150 países, la creciente dependencia de las herramientas digitales y la incertidumbre provocada por la crisis del COVID-19 han contribuido a aumentar el riesgo de ciberataques. De hecho, varias empresas de ciberseguridad como FireEye, Recorded Future, Check Point o Agari ya han informado de un aumento de los ataques en los últimos meses.
En este contexto, las medidas sólidas de ciberseguridad son más importantes que nunca. Desde el punto de vista del cumplimiento de la normativa, las empresas tienen la especial obligación de concienciar a sus empleados de que los virus digitales se propagan de forma similar a los virus físicos y que sus errores en Internet pueden afectar gravemente a otros. Por último, no hay que olvidar que las personas jurídicas pueden ser consideradas penalmente responsables de los delitos de traición de secretos (artículo 197 quinquies del Código Penal), espionaje industrial (artículo 288 del Código Penal) y daños informáticos (artículo 264 quater del Código Penal).
Para prevenir estos riesgos y garantizar que el cumplimiento de la empresa se adapte a la excepcional situación actual, pueden ser útiles las recomendaciones de un reciente artículo del Foro Económico Mundial. En particular, deben fomentarse las siguientes medidas básicas de ciberseguridad:
- Utilice una VPN fiable para acceder a Internet siempre que sea posible.
- Asegúrate de que tienes una contraseña de router larga y compleja para tu WLAN doméstica y que los cortafuegos de tu sistema están activos.
- Evite reutilizar las contraseñas en Internet (un gestor de contraseñas es una buena inversión).
- Tenga más cuidado que nunca a la hora de instalar programas o hacer clic en los enlaces de los correos electrónicos.
- Actualice regularmente el software y las aplicaciones del sistema.
No obstante, los expertos creen que la década de 2020 traerá consigo cambios normativos fundamentales en el mundo de la tecnología, y que las empresas y los gobiernos tendrán que trabajar juntos. Brad Smith, presidente de Microsoft y coautor de un libro que explora las promesas y los peligros de la era digital en el entorno empresarial (Tools & Weapons: The Promise and the Peril of the Digital Age), dijo esto en este reciente artículo. En una situación tan extraordinaria como la que vivimos, el comportamiento personal es crucial para evitar la propagación de infecciones peligrosas, tanto en línea como en el mundo real.
Fuente: Molins