Con el auge de la movilidad y el teletrabajo, el uso de dispositivos móviles y portátiles se ha consolidado en muchas empresas. Esta nueva realidad, aunque favorece la flexibilidad y la productividad, conlleva un incremento significativo de los riesgos en materia de seguridad de la información y protección de datos personales.
Organismos como la Agencia Española de Protección de Datos ya han elaborado documentos específicos para guiar a las organizaciones en este ámbito. Para más información, consulta la Nota técnica (PDF) de la AEPD sobre cómo proteger los datos en entornos de teletrabajo.
Y es que, cuando se trabaja fuera de la oficina —a través de redes domésticas, conexiones públicas o dispositivos sin la configuración adecuada—, los datos son más vulnerables a accesos no autorizados, pérdidas o ataques.
Todo ello hace imprescindible disponer de una política de gobernanza y uso de dispositivos corporativos que regule claramente las condiciones de uso y las medidas de seguridad aplicables, especialmente cuando estos equipos son utilizados por personal que accede o trata datos confidenciales.
¿Para qué sirve la política de uso de dispositivos?
El objetivo principal de esta política es prevenir riesgos asociados al uso indebido de los dispositivos —como por ejemplo pérdidas de información, accesos no autorizados, instalación de software malicioso o exposición a redes inseguras—, así como delimitar responsabilidades y garantizar el cumplimiento del marco legal.
La política de uso de dispositivos debería contemplar, entre otros:
- Los dispositivos que pueden ser asignados y sus condiciones de uso.
- Los criterios de seguridad aplicables: contraseñas, cifrado, actualizaciones, antivirus, etc.
- Los usos permitidos y prohibidos.
- Las responsabilidades de la persona usuaria.
- El procedimiento de devolución o sustitución del dispositivo.
En ausencia de una política clara, la empresa o entidad puede verse expuesta a incidencias de seguridad que afecten datos personales y, por lo tanto, a consecuencias legales y reputacionales graves. Estas medidas no solo son recomendables, sino que también están recogidas en el marco normativo vigente.
¿Qué marco normativo lo exige?
Disponer de una política de uso de dispositivos no solo es una buena práctica: es una obligación legal si se tratan datos personales. Esto queda recogido en dos normativas fundamentales:
- Reglamento (UE) 2016/679, General de Protección de Datos (RGPD): obliga a los responsables del tratamiento a aplicar medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad adecuado al riesgo, incluyendo la protección frente a accesos no autorizados o la pérdida de datos. Una política de uso de dispositivos es una de estas medidas.
- Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD): refuerza la obligación de establecer políticas internas y medidas que aseguren el cumplimiento del RGPD y protejan los derechos digitales del personal.
Estos dos textos son claros: las empresas deben controlar cómo se gestionan los datos personales dentro y fuera de sus instalaciones, también a través de los dispositivos que asignan.
Una guía para empezar con garantías
Para muchas empresas que quieren implantar una política de uso de dispositivos, una buena base es la guía elaborada por el Instituto Nacional de Ciberseguridad (INCIBE). Entre otros aspectos, la guía recomienda:
- Mantener un inventario actualizado de los dispositivos asignados.
- Establecer normas de configuración y protección (contraseñas, antivirus, cifrado…).
- Delimitar el uso profesional respecto del uso personal.
- Definir cómo se deben gestionar las incidencias (software malicioso, pérdida, robo).
- Formar al personal en relación con buenas prácticas y riesgos de seguridad asociados a los dispositivos.
Además de mejorar la seguridad de la información, tener una política basada en estas directrices demuestra el compromiso de la empresa o entidad con la protección de datos, tanto ante auditorías como en la gestión cotidiana de los riesgos. Si quieres ver un ejemplo real, puedes consultar la Política de uso de dispositivos móviles y PDA (Personal Device Assistant) del Cambridge College.
¿Cómo implementarla con garantías?
Si asignas portátiles, móviles u otros equipos a personas que acceden a datos personales o información sensible, es imprescindible disponer de una política clara y adaptada a la realidad y a los riesgos concretos de tu empresa y ser entendida y aceptada por todas las personas que harán uso de los equipos.
En ON4 te asesoramos en todo el proceso: desde el análisis de riesgos hasta la redacción, validación jurídica y formación del personal. Contacta con nosotros y protege la información de tu empresa, desde el dispositivo más pequeño hasta el sistema más complejo.