Ciberseguridad en el trabajo en movilidad y a distancia (teletrabajo)
| Autor | Sagardoy de Simón, Iñigo; Núñez-Cortés Contreras, Pilar |
| Páginas | 125-146 |
CAPÍTULO V.
CIBERSEGURIDAD EN EL TRABAJO EN MOVILIDAD Y A
DISTANCIA (TELETRABAJO)
MIGUEL RECIO GAYO
Profesor Asociado de la Facultad de Derecho de la Universidad CEU San Pablo
1. INTRODUCCIÓN
A pesar de que el Real Decreto-ley 28/20201 regula el trabajo a distancia en el
sector privado y el Real Decreto-ley 29/20202 regula el teletrabajo en las Admi-
nistraciones Públicas, ambos hacen referencia a la seguridad de la información.
En el primer caso, ya en la Exposición de Motivos se indica que el real decreto-
ley “se refiere de manera específica a las facultades de organización, dirección y
control empresarial en el trabajo a distancia, incluyendo la protección de datos
y seguridad de la información”, debiendo entenderse esta última en un sentido
amplio de manera que incluye también a la ciberseguridad. Y en el segundo caso,
también en la Exposición de Motivos, se indica que se debe prestar “una especial
atención a los deberes en materia de confidencialidad y protección de datos”.
Las divergencias entre ambos sectores se producen también por lo que se
refieren a las previsiones en materia de seguridad de la información. En el sector
privado no existe una norma específica, sin perjuicio de algunas medidas técnicas
y organizativas para garantizar un nivel de seguridad adecuado al riesgo inclui-
1 Real Decreto-ley 28/2020, de 22 de septiembre, de trabajo a distancia, publicado en el Boletín O cial
del Estado núm. 253, de 23 de septiembre de 2020. En relación con este Real Decreto-ley deben tenerse
en cuenta tanto la Resolución de 15 de octubre de 2020, del Congreso de los Diputados, por la que se
ordena la publicación del Acuerdo de Convalidación, publicado en el Boletín O cial del Estado núm. 279,
de 22 de octubre de 2020, como el Proyecto de Ley de trabajo a distancia, presentado el 15 de octubre de
2020 y publicado en el Boletín O cial de las Cortes Generales, XIV Legislatura, serie A, 23 de octubre de
2020.
2 Real Decreto-ley 29/2020, de 29 de septiembre, de medidas urgentes en materia de teletrabajo en
las Administraciones Públicas y de recursos humanos en el Sistema Nacional de Salud para hacer frente
a la crisis sanitaria ocasionada por la COVID-19, publicado en el Boletín O cial del Estado núm. 259, de
30 de septiembre de 2020. En relación con este Real Decreto-ley debe tenerse en cuenta la Resolución de
15 de octubre de 2020, del Congreso de los Diputados, por la que se ordena la publicación del Acuerdo
de Convalidación, publicado en el Boletín O cial del Estado núm. 279, de 22 de octubre de 2020.
MIGUEL RECIO GAYO
126
Pero en el sector público, las Administraciones Públicas, salvo “los sistemas que
tratan información clasificada regulada por Ley 9/1968, de 5 de abril, de Secretos
Oficiales y normas de desarrollo”4, tienen que cumplir con el Esquema Nacional
de Seguridad (ENS). El ENS es también aplicable en el caso del teletrabajo.
En ambos casos, una nota esencial es que el trabajo se lleva a cabo fuera de
las instalaciones de la organización lo que supone un cambio relevante. Y
esto es importante también porque la organización tendrá que adoptar medidas
adecuadas para reducir el riesgo derivado de amenazas a las que se encuentran
expuestos sus activos de información como consecuencia de que los usuarios
puedan trabajar en un entorno no controlado por aquélla.
Identificar el riesgo al que dan lugar las amenazas, tales como el phishing,
y adoptar medidas adecuadas, en particular en materia de ciberseguridad, son
esenciales. Una de estas medidas es la relativa a la posibilidad de que la infor-
mación viaje cifrada a través de una red privada virtual, de manera que se evite
el acceso no autorizado a la información. Además, estas medidas pueden quedar
recogidas en una política de seguridad de la información o ciberseguridad, que
debe complementarse con procedimientos.
Por otra parte, la adopción y aplicación de medidas de ciberseguridad pueden
implicar un tratamiento de datos personales, lo que supone que la organización
tenga que adoptar también medidas para cumplir con la normativa aplicable.
2. TRABAJO EN MOVILIDAD Y A DISTANCIA (TELETRABAJO)
La posibilidad de trabajar en movilidad o a distancia no es algo nuevo en
España, tal como pone de manifiesto la Exposición de Motivos del Real Decreto-
3 En concreto, la lista de medidas de seguridad técnicas y organizativas a las que se re ere el citado
artículo son:
“a) la seudonimización y el cifrado de datos personales;
b) la capacidad de garantizar la con dencialidad, integridad, disponibilidad y resiliencia permanentes
de los sistemas y servicios de tratamiento;
c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en
caso de incidente físico o técnico;
d) un proceso de veri cación, evaluación y valoración regulares de la e cacia de las medidas técnicas
y organizativas para garantizar la seguridad del tratamiento.”
Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo
a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre
circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección
de datos). Publicado en el Diario O cial de la Unión Europea L 119, de 4 de mayo de 2016.
4 Véase el artículo 3 del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional
de Seguridad en el ámbito de la Administración Electrónica, publicado en el Boletín O cial del Estado
núm. 25, de 29 de enero de 2010. Este Real Decreto fue modi cado por el Real Decreto 951/2015, de 23
de octubre, publicado en el Boletín O cial del Estado núm. 236, de 2 de octubre de 2015.
Para continuar leyendo
Solicita tu prueba