1. Introducción

Teniendo en cuenta la situación excepcional en la que nos encontramos[1], el presente documento tiene el objetivo de recoger una serie de recomendaciones, sobre los aspectos legales y técnicos, para las organizaciones que hoy en día están continuando su negocio a través de la opción del teletrabajo.

El teletrabajo supone una serie de riesgos que son necesarios conocer para garantizar la seguridad, confidencialidad e integridad de la información corporativa, dado que es un activo principal de las organizaciones y despierta el interés de los ciberdelincuentes y, de este modo, asegurar la continuidad del negocio.

Esta guía es informativa y en ningún caso constituye un asesoramiento legal y técnico. En cualquier caso, se recomienda consultar previamente con sus asesores laborales, jurídicos y tecnológicos, y con el delegado de protección de datos -en caso de que disponga de esta figura-, para adecuar cada decisión a cada organización.

2. El teletrabajo

El teletrabajo se regula en nuestro ordenamiento jurídico a través de las siguientes normativas:

1. A estatuto de los trabajadores (ET), el Real Decreto Legislativo 2/2015, de 23-10;
2. El convenio colectivo aplicable; y
3. El Real Decreto-ley 8/2020, de 17 de marzo de medidas urgentes extraordinarias para hacer frente al impacto económico y social del COVID-19.

Las principales características del teletrabajo son:

1. Distancia física entre el trabajador respecto a la ubicación de la organización;
2. Uso de tecnologías de la información para la interacción entre el trabajador y la organización;
3. En principio es voluntario y reversible;
4. Es necesario formalizar por escrito, en forma de anexo, entregando al trabajador la información relativa a la obligación del empresario de informar al trabajador sobre las condiciones aplicables al contrato de trabajo, así como, las normas internas que regulan la opción del teletrabajo.

 

3. Protección de datos

Todas las organizaciones deben cumplir con la normativa de protección de datos:

1. El Reglamento 2016/679 de protección de datos (RGPD);
2. La Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales. (LOPDGDD).

El cumplimiento de esta normativa conlleva que todas las organizaciones establezcan unas obligaciones internas que todo trabajador/a debe cumplir para garantizar que los tratamientos vinculados a su trabajo se realicen de acuerdo al derecho de protección de datos. Por ello, es importante que cada organización haya llevado a cabo una adecuación a la normativa mencionada, así como haber realizado la formación al personal de las obligaciones y derechos que conlleva esta normativa.

Asimismo, en la presente guía se facilita un anexo al contrato de trabajo que se puede usar durante el estado de alarma vinculado a la COVID-19[2]. No obstante, siempre y cuando se adapte a cada organización, este modelo puede utilizarse para situaciones futuras en las que las organizaciones opten establecer el trabajo a distancia.

Otro aspecto fundamental que las organizaciones deben tener en cuenta es que la LOPGDD[3], Así como otras normativas laborales[4], regula el derecho de los trabajadores a la desconexión digital, ya sea de forma presencial o a través del teletrabajo.

Este derecho de desconexión digital comporta que:

1. Una vez finalizada la jornada laboral los trabajadores/as no tienen obligación de responder a ninguna comunicación;
2. Las formaciones no se alargarán más allá de la finalización de la jornada laboral, salvo circunstancias excepcionales;
3. Incluir un mensaje de aviso al correo electrónico del tipo “ausente” durante las vacaciones, asuntos propios, permisos, incapacidades, etc.
4. Imposibilidad de sancionar a los trabajadores/as por el ejercicio de este derecho.

 

4. Las obligaciones de seguridad para los trabajadores

 4.1.           Confidencialidad de la información

Los usuarios deberán guardar, por tiempo indefinido, la máxima reserva y no divulgar ni utilizar directamente ni a través de terceras personas o empresas, los datos, documentos, metodologías, claves y otros datos a los que tengan acceso durante su relación laboral, tanto en soporte material como electrónico. Esta obligación continuará vigente tras la extinción de la relación laboral.

4.2.           Accesos

Cada trabajador tendrá acceso autorizado, únicamente a los datos y los recursos que necesite para el desarrollo de sus funciones. Cualquier uso que no se haya autorizado expresamente está prohibido.

4.3.           Contraseñas

El usuario no podrá comunicarse ni compartir con otra persona su usuario ni la clave de acceso al sistema de la organización.

4.4.           Uso del correo electrónico e internet

El uso del correo electrónico e Internet como herramientas de trabajo, se ajustará al ámbito estrictamente laboral.

Los usuarios deben asegurarse de que se hace un uso correcto de todas las herramientas de uso corporativo (logotipos, firmas, etc.) para el desarrollo de las funciones inherentes a la posición. Asimismo, los usuarios deben evitar incidencias técnicas en la red como consecuencia de la entrada de correo contaminado con virus, troyanos, etc.

4.5.           Comunicaciones de violaciones de seguridad

Constituye una obligación de todo el personal notificar al responsable de IT y / o al DPD, las violaciones de seguridad que conozcan respecto de los recursos protegidos, según los procedimientos establecidos por la organización.

 

5. Consejos de seguridad para las organizaciones

 A continuación, se presentan una serie de recomendaciones que se deberían implementar para asegurar la información de la organización.

 5.1.           Ordenador corporativo

Esta es sin duda la mejor opción, ya que la empresa facilita el medio idóneo para trabajar, con las medidas de seguridad, tanto de acceso, conexión segura con los servidores del trabajo (VPN), copias de seguridad, etc. Ahora hay que ser cuidadoso con estos equipos, no dejarlos desatendidos e impedir que se utilicen por otras personas (puede resultar difícil, pero es imprescindible), ya que a pesar de que nos encontramos en una situación especial y a la que afortunadamente no estamos habituados, se debe mantener el nivel de confidencialidad, integridad y seguridad de nuestro puesto de trabajo que ahora se encuentra en casa.

 5.2.           Ordenador personal

En aquellas ocasiones en que no ha sido posible, por la razón que sea, disponer de un ordenador corporativo, se deben tomar un mínimo de medidas para evitar que el uso compartido ponga en compromiso la debida diligencia, secreto y / o confidencialidad de la tarea que llevamos a cabo desde casa, al tiempo de protegerla de virus y otro malware que lamentablemente está rondando junto al Coronavirus. Una medida puede ser crear un usuario nuevo, con contraseña, para aislar el trabajo de las tareas familiares o de estudiantes y crear un perfil para cada usuario de la familia.

El otro y no menos importante es dar una pequeña formación a los miembros de la familia sobre el uso del medio compartido y hacer ver que una acción aislada puede afectar a la comunidad.

En la oficina del internauta se pueden encontrar numerosos recursos. Han creado un apartado dedicado a “Quédate en casa, ¡pero ciberseguro!” que vale la pena visitar en familia: https://www.osi.es/es/quedate-en-casa-pero-ciberseguro

 5.3.           Tratamiento de los correos recibidos

El correo es una de las vías de entrada de malware, un correo no solicitado debe hacernos desconfiar y es una buena práctica borrarlo sin abrir. Los ciber criminales se están aprovechando de la buena fe de las personas para enviar correos suplantando centros de salud y dando consejos sobre cómo evitar la infección del COVID-19 que justamente lo que pretenden es infectar nuestros ordenadores, para sacar provecho, sea vendiendo nuestros datos o directamente extorsionando a nosotros.

Ojo, pues, al pulsar sobre enlaces recibidos, nos pueden infectar nuestros dispositivos y debemos pensar dos veces antes de pulsar ningún enlace.

5.4.           Tratamiento de las contraseñas

¿Las contraseñas son como las llaves del coche o de casa, se las daríamos a cualquiera?; si pensamos que alguien ha hecho una copia, ¿verdad que cambiaríamos la cerradura? Pues hay que hacer lo mismo, las contraseñas deben ser personales y actuar con las cuentas personales como con las profesionales, cambiando de paso cada seis meses (como mínimo).

¿Cómo debe ser una buena contraseña? Debe cumplir con el principio de ser fácil de recordar y difícil de adivinar, y creednos, el nombre del perro, las últimas cifras del DNI o fechas de nacimiento son las primeras que intentan los ciberdelincuentes. Seguro que conoces alguna palabra relacionado con una afición, una referencia de algo que se te ha quedado grabada en la mente, un código de una herramienta, una antigua cámara de fotos, etc. Cambie letras por números, por ejemplo, 3 es una E al revés, 6 una G, 7 una L, 0 una O, etc. y poner algún signo especial. ¡Tenemos para dar y vender! ¡¿? = … y poner siempre mayúsculas, minúsculas (y no debe ser la primera letra), etc.

 5.5.           Dispositivos externos

Podemos percibir que grabando nuestro trabajo con un disco duro externo o una memoria USB hacemos una buena acción (y así es). Ahora, si le damos un plus de seguridad y lo guardamos cifrado, nos hacemos un gran favor a nosotros mismos y a la empresa que queremos proteger. Todos tenemos herramientas gratuitas en nuestro ordenador, la mayoría con Windows, BitLocker viene instalado y es sencillo de utilizar y puede cifrar un lápiz USB con facilidad. 7Zip recurso gratuito que cifra archivos, carpetas, etc. Y además se puede poner contraseña, entre otros.

 5.6.           Imprimir, o no, documentos de trabajo

Una buena idea es imprimir lo mínimo posible, y en caso de necesitar hacerlo, destruir de manera segura. No todos tenemos en casa una trituradora de documentos o una chimenea para quemarlos. Ahora, si tenemos algún documento confidencial, vale la pena que dediquemos un tiempo a romperlo en muchos trozos lo más pequeños posibles o guardarlo para llevarlo al trabajo, cuando volvamos, para destruirlo adecuadamente.

 5.7.           Incidentes de seguridad

En caso de que se produzca un incidente de seguridad, se pondrá inmediatamente en conocimiento del responsable de seguridad de la empresa y dependiendo del tipo que sea, también de las Fuerzas y Cuerpos de Seguridad.

 

6. Recursos disponibles de fuentes fiables

• Oficina de Seguridad del Internauta, encontraremos recursos gratuitos (seguridad, privacidad, mantenimiento, prevención -antivirus-) https://www.osi.es/es/herramientas
• Avisos de seguridad: https://www.osi.es/es
• Especialmente por COVID19: https://www.osi.es/es/quedate-en-casa-pero-ciberseguro
• Top 10 de fraudes: https://www.osi.es/es/actualidad/blog/2020/03/27/top-10-fraudes-que-utilizan-covid-19-para-enganar-los-usuarios
• Instituto Nacional de Ciberseguridad (INCIBE):https://www.incibe.es
• Recursos para detectar y prevenir los fraudes: https://www.incibe.es/sala-prensa/notas-prensa/detectar-y-prevenirse-los-fraudes-y-bulos-circulan-relacion-al-covid-19
• Teletrabajar de forma segura:https://www.incibe.es/sala-prensa/notas-prensa/teletrabaja-forma-cibersegura-durante-crisis-del-coronavirus
• Proteger las empresas, kit de concienciación: https://www.incibe.es/protege-tu-empresa/kit-concienciacion

7. Anexo 1

Anexo al contrato de trabajo

 Cláusulas Adicionales al Contrato de Trabajo entre

[Empresa] y [D./Dª.] [Nombre y apellidos]

[Ciudad], a [día] de marzo de 2020

Considerando

1. Dada la situación actual de emergencia de salud pública ocasionada por el COVID-19, el Consejo Interterritorial del Sistema Nacional de Salud ha recomendado “la realización de teletrabajo siempre que sea posible”.
2. Que, atendiendo a dicha recomendación, [Razón Social] (en adelante “la Empresa”) se ha dotado de los medios técnicos suficientes para que la totalidad o parte de su plantilla puedan prestar su actividad laboral en su propio domicilio, de modo alternativo a su desarrollo presencial en el centro de trabajo de la Empresa.
3. Que, en aras a salvaguardar la salud de los trabajadores y contener la progresión de la enfermedad, y al amparo de lo previsto en el artículo 13 del Estatuto de los Trabajadores, las Partes han acordado realizar temporal y excepcionalmente la prestación laboral a distancia, mientras perdure la situación de emergencia sanitaria provocada por el COVID-19.
4. Que [/Dª.] [Nombre y Apellidos] (en adelante, la Persona Trabajadora) manifiesta que su domicilio reúne las condiciones de seguridad e higiene adecuadas para prestar su actividad laboral, por lo que se obliga a realizar dicha prestación únicamente desde su domicilio.
5. Que, de acuerdo con lo anterior, las Partes, libre y voluntariamente, convienen en obligarse mediante la suscripción del presente Anexo al Contrato de Trabajo, que se regirá por las siguientes

Cláusulas

Primera. Objeto

Las Partes acuerdan que el desarrollo de la relación laboral que las une sea realizado a distancia, en tanto en cuanto perdure la situación de emergencia sanitaria provocada por el COVID-19.

Mientras el presente Anexo permanezca vigente, la prestación de la actividad laboral se realizará de manera exclusiva en el domicilio de la Persona Trabajadora. En dicho contexto, en particular, la Persona Trabajadora:

• Cumplirá con las obligaciones concretas de su puesto de trabajo, para el cual realizará las tareas que le sean asignadas por la Empresa y seguirá las órdenes e instrucciones que ésta le traslade, en ejercicio de sus facultades directivas; y
• Respetará en todo momento las recomendaciones y obligaciones dictadas por las autoridades sanitarias.

En caso de que la Persona Trabajadora desee variar el lugar de la prestación de la actividad laboral, requerirá de la previa conformidad, expresa y por escrito, de la Empresa.

Segunda. Horario y registro de jornada

La actividad laboral se desarrollará en los horarios previstos en el Contrato de Trabajo, sin perjuicio de la flexibilidad horaria prevista en la normativa vigente.

La Empresa garantizará el registro diario de la jornada, conforme a lo previsto en el Estatuto de los Trabajadores, que será llevado a cabo por medios telemáticos y con las medidas de seguridad apropiadas a efectos de garantizar los derechos de la Persona Trabajadora en materia de protección de datos.

Tercera. Medios materiales

A efectos de que la Persona Trabajadora pueda prestar adecuadamente su actividad laboral, la Empresa le hace entrega en este acto de los siguientes medios materiales, teniendo el presente documento el carácter de recibo:

• [Describir equipo], con número de serie [número];
• [Otros elementos entregados (teclados, ratones, pantallas, teléfono móvil, cargadores…)];
• […].

En relación a los medios materiales entregados, la Persona Trabajadora asume las siguientes obligaciones:

• A prestarles la atención y cuidado necesarios;
• A no utilizarlos para fines privados o personales;
• A utilizarlos únicamente dentro de los horarios previstos en el Contrato de Trabajo;
• A mantenerlos en todo momento en el interior de su domicilio, salvo para entregarlos a la Empresa al finalizar la vigencia del presente Anexo o del Contrato de Trabajo, por cualquier causa;
• A no instalar aplicaciones ni programas informáticos en los dispositivos digitales sin la autorización de la Empresa;
• A no eliminar o desinstalar ninguna de las aplicaciones o programas instalados por la Empresa en los dispositivos digitales;
• A mantener en secreto los identificadores de usuario y las claves de acceso (contraseñas) que le facilite la Empresa. En caso de que la Persona Trabajadora detecte, o simplemente sospeche, que alguna persona ha podido acceder a dicha información, lo pondrá inmediatamente en conocimiento de la Empresa, a fin de que ésta pueda adoptar las medidas que considere oportunas;
• A no utilizar los medios materiales entregados para acceder a redes públicas de comunicaciones electrónicas, como Internet, para fines no relacionados directamente con la prestación de su actividad laboral;
• A comunicar a la Empresa, en el menor plazo posible y sin dilaciones indebidas, todas aquellas incidencias que se produzcan en el uso de los medios materiales entregados y, en particular, de cualquier anomalía que afecte o pudiera afectar a la seguridad de la información o de los datos personales a los que tenga acceso o dar lugar al incumplimiento de las obligaciones detalladas en este documento.

La Empresa podrá controlar y supervisar la actividad de la Persona Trabajadora mediante medios telemáticos, informáticos y electrónicos, si bien respetando en todo momento los derechos a la inviolabilidad del domicilio y a la intimidad personal y familiar. Las Partes acuerdan que la realización de reuniones a distancia, a través de videoconferencia, en ningún caso se entenderá como intrusión ilegítima en los derechos fundamentales antes mencionados.

Cuarta. Medidas de seguridad

Sin perjuicio de las demás medidas de seguridad establecidas por la Empresa para el desarrollo de su actividad, las Partes acuerdan adoptar las siguientes:

• [Definir normas de seguridad] (por ejemplo, conectarse con el equipo a Internet, y en todo caso mediante VPN, con claves de acceso que no deben ser guardadas de forma automática en los equipos, etc.);
• [Definir forma de guardado o entrega de documentación] (por ejemplo, la documentación que se cree deberá quedar almacenada en la carpeta del servidor de la Persona Trabajadora, ordenada según número de expediente y versión según los sistemas de identificación de la Empresa).
• [Definir sistema de control de teletrabajo] (por ejemplo, la Persona Trabajadora deberá hacer un breve informe diario / cada dos días / semanal de las actividades que ha realizado para su evaluación).

Quinta. Comunicaciones durante el período de trabajo a distancia

A efectos de la prestación de la actividad laboral y durante los horarios previstos en el Contrato de Trabajo, la Empresa y la Persona Trabajadora podrán comunicarse por medios electrónicos o telemáticos. En este sentido, se usarán preferentemente los medios materiales entregados a la Persona Trabajadora.

No obstante, en caso de urgencia o de fallos en el funcionamiento de dichos medios materiales o de las redes públicas de comunicaciones electrónicas, la Empresa podrá comunicarse con la Persona Trabajadora mediante llamada telefónica, a cualquiera de los siguientes números: [definir].

En todo caso, la Empresa garantizará el derecho a la desconexión digital en el ámbito laboral, y respetará el tiempo de descanso, permisos y vacaciones de la Persona Trabajadora, así como su intimidad personal y familiar.

Sexta. Prevención de riesgos laborales

La Persona Trabajadora tiene derecho a una adecuada protección en materia de seguridad y salud laboral, por lo que la Empresa, en la evaluación de riesgos, tendrá en cuenta las condiciones de los trabajadores a distancia, siendo de aplicación la normativa general y sectorial vigente en la materia.

A fin de proteger la salud de todo el personal de la Empresa, así como de terceros, se recuerda a la Persona Trabajadora su obligación de comunicar a la Empresa si tiene sospechas de haber contraído el COVID-19, conforme a la Ley 31/1995, de 8 de noviembre, de prevención de Riesgos Laborales.

Séptima. protección de datos de carácter personal

Los datos de carácter personal relativos a la salud de la Persona Trabajadora serán tratados, en su caso, por ser necesarios para la protección del interés vital de las personas, el cumplimiento legal de lo establecido en la normativa vigente en materia de prevención de riesgos laborales y el interés público esencial en el ámbito de la salud publica frente a amenazas graves para la salud.

Tales datos serán comunicados, en su caso, a los servicios médicos y de prevención para actuar de conformidad con los protocolos establecidos por las autoridades sanitarias, siendo ésta la única finalidad del tratamiento de estos datos. Al respecto, serán tratados únicamente en la medida en que resulte necesario para dar respuesta a tales finalidades; y conservados durante los plazos legalmente establecidos, transcurridos los cuales serán suprimidos.

La Persona Trabajadora, en cualquier momento, podrá ejercitar sus derechos de acceso, rectificación, supresión, portabilidad, limitación u oposición al tratamiento de sus datos, dirigiéndose a la dirección [definir]. Asimismo, tiene derecho a presentar reclamación ante la Agencia Española de Protección de Datos.

Octava.

Toda la información que trate la Persona Trabajadora de la Empresa es considerada Información Confidencial.

La Persona Trabajadora se compromete únicamente a utilizar la Información Confidencial con la finalidad encomendada por la Empresa, en virtud de la relación laboral existente.

La Persona Trabajadora reconoce que la Información Confidencial que trate de la Empresa es y seguirá siendo de ésta, y que el presente Acuerdo no otorga, en ninguna circunstancia, ningún derecho de propiedad intelectual de manera exprés o implícita sobre la Información Confidencial de la Persona Trabajadora, así como que tampoco constituye ningún tipo de cesión de la misma.

Por lo tanto, la Persona Trabajadora se obliga a no divulgar, copiar, utilizar o revelar la Información Confidencial a terceros, en todo o en parte, salvo que cuente con la previa y expresa autorización de la Empresa.

La Persona Trabajadora restringirá el uso de la Información Confidencial exclusivamente a las funciones que tiene encomendadas por el desarrollo de su trabajo, llevando a cabo todas las acciones necesarias para que este deber de confidencialidad sea respetado, haciéndose por eso responsable de cualquier eventual incumplimiento del mismo.

El incumplimiento total o parcial de las obligaciones de confidencialidad por parte de la Persona Trabajadora contenidas en el presente Acuerdo determinarán la resolución del mismo por parte de la Empresa, otorgándole al mismo tiempo el derecho a exigir los correspondientes daños y los perjuicios que se deriven del mismo.

Novena. Duración

Las Estipulaciones previstas en el presente Anexo permanecerán vigentes mientras perdure la situación de emergencia sanitaria provocada por el COVID-19. Finalizada dicha situación, este Anexo dejará de ser aplicable, por lo que la relación laboral volverá a regularse conforme a lo originalmente previsto en el Contrato de Trabajo entre las Partes.

Décima. Imprevistos

En todo lo no previsto expresamente en este Anexo se estará a lo regulado en el Contrato de Trabajo entre las Partes, al Convenio Colectivo de aplicación y a la legislación vigente.

Y en prueba de conformidad suscriben las partes el presente Anexo en duplicado ejemplar y a un solo efecto en el lugar y fecha expresados al encabezado.

Razón Social                                                                      Empleado

Representante y cargo                                                 Nombre y apellidos

[1] Así como, situaciones de conciliación familiar que cada organización tenga establecida o establecerá en un futuro.

^[2] Este anexo 1 es un modelo para anexar al contrato de trabajo, donde se informa y regula las normas básicas del teletrabajo.

[3] Artículo 88 de la LOPDGDD.

^[4] Artículo 20 del estatuto de los trabajadores (ET), y el artículo 14.j.bis del Real Decreto Legislativo 5/2015, de 30 de octubre, ley del estatuto básico del empleado público.