En estos tiempos de crisis de salud pública a las empresas se le abren horizontes de incertidumbre derivados de un parón en la economía motivado por una pandemia mundial, y la adopción por parte de las autoridades de decisiones de gran calado como el confinamiento domiciliario de la mayor parte de la población, limitando derechos fundamentales (vg. derecho de asociación) pero sin que ello llegue a socavar los principios democráticos, pues los gobernantes deben de actuar seriamente bajo el principio del respeto a los derechos humanos y la protección de los ciudadanos.
Con carácter general la presidencia del Comité Europeo de Protección de Datos hizo pública el pasado 16 de marzo una declaración sobre el tratamiento de datos personales en el contexto de la crisis del Covid-19 en la que resalta, como no podía ser de otro modo, que la normativa sobre protección de datos y en particular el RGPD, no impiden tomar medidas en la lucha contra la pandemia del coronavirus, pero advierte que incluso en estas excepcionales circunstancias quienes traten datos personales deben asegurar su protección.
En el ámbito empresarial de aquellos sectores que no se han visto afectados por la decisión de suspensión de las actividades impuestas por el RD 463/2020, de 14 de marzo por el que se declara el Estado de Alarma, surge la duda de cómo continuar con su actividad sin poner en peligro la salud de los trabajadores y el resto de obligaciones impuestas a las empresas por la normativa aplicable, habiendo sido el teletrabajo la respuesta en la mayoría de ocasiones.
Las empresas, ya sea en su condición de responsables o de encargadas de tratamiento, deben de seguir garantizando la integridad, confidencialidad y disponibilidad de los datos que tratan, con el problema de que la urgencia de la situación y una posible falta de previsión de una situación tan imprevisible como la que se nos ha venido encima, puede provocar que nos lancemos a favorecer el teletrabajo de nuestros empleados sin detenernos en pensar si los medios informáticos y la infraestructura tecnológica que tenemos a nuestro alcance nos permiten cumplir con nuestros deberes para con la protección de datos, las empresas han tenido que implantar en un tiempo muy reducido soluciones de teletrabajo que abarcan un gran número de aspectos: dispositivos corporativos y no corporativos, conexión a internet, aplicaciones de chat y/o mensajería, videoconferencia, acceso remoto a la red, sistemas de la organización, correo electrónico etc. Todo ello, sin contar con las medidas de seguridad habituales dentro del dominio de la organización y que en un tiempo récord tiene que trasladar para seguir protegiendo la información.
Para ayudar tanto a las empresas como a las Administraciones Públicas, el Centro Criptológico Nacional ha publicado unas recomendaciones de seguridad para situaciones de teletrabajo, los ciberdelincuentes han aprovechado esta situación de vulnerabilidad para incrementar sus ataques de todo tipo: ransomware, phishing con el que obtener credenciales de acceso a sistemas, ejecución de código de forma remota, exfiltración de información, etc, como ya ha advertido la Agencia Española de Protección de Datos.
En esta situación no podemos olvidar una de las novedosas obligaciones que el RGPD impone a los responsables de tratamiento en sus arts. 33 y 34, se trata de la obligación de comunicar a las autoridades de control (en 72 horas) o los interesados (sin dilación indebida) la existencia de una violación de seguridad que entrañe un riesgo (autoridad de control) o alto riesgo (interesados) para los derechos y libertades de las personas físicas, y estos plazos no se han visto suspendidos por el RD 463/2020 como lo ha indicado expresamente la AEPD en una nota de prensa. Toda organización que se haya adaptado al RGPD deberá haber adoptado un procedimiento que permita cumplir con esta obligación en plazo, teniendo en cuenta además que su incumplimiento pueden conllevar ex art. 83.3.1.a) RGPD la imposición de una multa administrativa que puede llegar a 10.000.000 de euros o el equivalente al 2% como máximo del volumen de negocio total anual del ejercicio financiero anterior, por lo que las empresas, a la hora de optar por el teletrabajo deben de tener en cuenta las implementación de las debidas medidas de seguridad técnicas y organizativas a adoptar en cumplimiento del art. 32 RGPD y la debida implantación y conocimiento por parte de sus trabajadores del procedimiento de notificación de estas violaciones de seguridad, porque reitero, el Estado de Alarma no ha suspendido la aplicación de la normativa vigente de protección de datos.
