La promoción a través de las redes sociales se ha convertido en parte habitual del día a día de muchos autónomos y empresas. La foto de un cliente satisfecho, un antes y después en imágenes o el éxito de un evento son acciones comunes, pero pueden tener consecuencias legales serias si no se gestionan bien. 

Para la Ley de Protección de Datos, está claro: si no hay consentimiento explícito, estamos frente a una posible infracción. Así lo ha recordado, de nuevo, la Agencia Española de Protección de Datos (AEPD) en las últimas semanas: "las imágenes en las que una persona pueda ser identificada se consideran datos personales, y su uso con fines comerciales requiere autorización expresa." 

¿Qué dice la ley y a quién afecta?

La normativa que regula estos casos es el Reglamento General de Protección de Datos (RGPD) junto con la Ley Orgánica 3/2018 (LOPDGDD). Ambas exigen que el consentimiento sea libre, informado, específico y verificable. Eso implica que el cliente debe firmar un documento (o aceptarlo digitalmente mediante un formulario o check) en el que se indique para qué se usará su imagen, durante cuánto tiempo y en qué canales se difundirá.

En Pymes y Autonomos

El tiempo se agota y Bruselas pretende flexibilizar los fondos NextGen para dar una última oportunidad a las pymes

Más allá del espacio web del negocio, esto incluye cualquier publicación en Instagram, Facebook, TikTok e incluso en WhatsApp Business. Un simple “me gusta” o la aprobación verbal del cliente no es suficiente para cubrirse legalmente.

Este escenario afecta especialmente a sectores con una fuerte presencia en redes: peluquerías, centros de estética, entrenadores personales, formadores o negocios vinculados a eventos y celebraciones. También se producen casos en el ámbito sanitario, terapéutico o educativo, donde el uso de imágenes puede rozar terreno sensible, como cuando aparecen menores o personas en situación vulnerable.

En todos estos contextos, la buena intención no exime de responsabilidad. Incluso si el cliente aparece sonriente o ha manifestado su satisfacción, si no hay constancia escrita del consentimiento, se está incurriendo en una práctica sancionable. La AEPD ha impuesto ya multas a pymes y autónomos por este tipo de publicaciones, algunas superiores a los 3.000 euros, especialmente cuando se repite la conducta o hay menores implicados.

De hecho, en los últimos años la AEPD ha sancionado con multas de hasta 10.000 euros a negocios que publicaron imágenes de clientas o pacientes sin autorización, incluso cuando estas ya habían compartido esas fotos por su cuenta. En el caso de clínicas estéticas o sectores sensibles, las sanciones han sido especialmente severas.

Evitar sanciones y proteger tu negocio

Las sanciones no son automáticas, pero basta con que una persona afectada presente una reclamación para que la agencia inicie el procedimiento. A partir de ahí, será la empresa quien deba demostrar que tenía autorización válida. En el caso de que no pueda hacerlo, se enfrenta no solo a una sanción económica, sino también a posibles daños en su reputación.

La solución es más sencilla de lo que parece: basta con disponer de un documento de consentimiento informado donde el cliente autorice el uso de su imagen para fines concretos. Existen modelos adaptables para cada sector, que pueden firmarse en papel o digitalmente, y que deben guardarse junto a la documentación habitual del negocio. En caso de duda, lo mejor es no publicar o utilizar contenido en el que no aparezca ninguna persona identificable.

En definitiva, cumplir con la normativa de protección de datos no es solo una obligación legal, sino una forma de demostrar profesionalidad y respeto hacia la clientela. Las redes sociales seguirán siendo una herramienta clave para las pequeñas empresas, pero usarlas con cabeza es la mejor estrategia para evitar sustos.

No queda nada, el 1 de octubre los trabajadores al frente de alojamientos turísticos, deberán registrar en una nueva herramienta informática toda la información sobre sus huéspedes. Estos datos deberán enviarse a las Fuerzas y Cuerpos de Seguridad del Estado.

Esta normativa conlleva una serie de conocimientos y recursos con los que no cuentan muchos de los trabajadores del sector turístico. Otro de los problemas que encuentran va de la mano de pedir muchos más datos de los que se necesitaban hasta ahora, tal y como recogen en Autónomos y Emprendedores.

Curiosamente, esta norma llega justo cuando algunos alojamientos están siendo sancionados por fotocopiar el DNI de sus clientes, algo que la Agencia Española de Protección de Datos persigue y que se traduce en sanciones hasta de 100.000 euros.

En Pymes y Autonomos

Menos papeleo para los autónomos: la Seguridad Social ofrece un nuevo servicio, toma nota

Problemas de los alojamientos turísticos a la hora de pedir el DNI

En X, la Policía Nacional publicó recientemente varios consejos a los ciudadanos por si se veían obligados a dar su Documento Nacional de Identidad en un hotel o en cualquier tipo de alojamiento turístico.

Entre ellos destacan: enviar una fotocopia del DNI siempre en blanco y negro, pixelar datos importantes como la firma, escribir un texto sobre la imagen del documento con el motivo por el que lo estás compartiendo.

Estos son los datos obligatorios que se deben pedir a los clientes

A pesar de lo que hemos visto, y que el DNI debe tratarse con mucho cuidado por parte de los propietarios de alojamientos turísticos, con la nueva norma será necesario que se comparta con las Fuerzas y Cuerpos de Seguridad los siguientes datos:

Datos de los huéspedes

• Nombre y apellidos.
• Sexo.
• Número de DNI.
• Número de soporte del documento.
• Tipo de documento DNI, pasaporte, TIE.
• Nacionalidad.
• Fecha de nacimiento.
• Lugar de residencia habitual.
• Número de teléfono.
• Correo electrónico.
• Número de viajeros.
• Relación de parentesco entre los viajeros, en el caso de que haya algún menor de edad.

Datos sobre el negocio y el alojamiento

• Nombre o razón social del titular.
• CIF o NIF.
• Municipio.
• Provincia.
• Número de teléfono.
• Dirección de correo electrónico.
• Web de la empresa.
• URL para identificar el anuncio.
• Tipo de establecimiento.
• Denominación.
• Dirección completa.
• Código postal.
• Localidad y provincia.

Sin olvidar que los responsables de los alojamientos deberán aportar datos sobre la estancia: fecha y hora de entrada y salida, método de pago utilizado y otros detalles relacionados con el contrato.

Es ahí donde entra la puesta en marcha de la nueva herramienta informática para que los datos de esos viajeros sean recogidos. A partir del 1 de octubre sólo se podrán compartir a través de ese método.

La protección de datos se ha convertido en un elemento a vigilar, sobre todo por las pequeñas empresas y autónomos, ya que un error puede derivar en una dura sanción económica.

Como sabes, todas las empresas, independientemente de su tamaño, deben cumplir el Reglamento general de protección de datos (Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016), por lo que ninguna está al margen de recibir una denuncia por alguno de sus clientes, incluso a veces como arma arrojadiza, y exponerse a un expediente sancionador.

En Pymes y Autonomos

Estas son las 11 sanciones más altas establecidas por protección de datos en un año de récord

Pedir el DNI si, escanearlo no

En ocasiones en la protección de datos, como en toda normativa hay aspectos interpretables, y en esos casos interviene la Agencia Española de Protección de datos (AEPD), como éste Informe 48/2023 que viene a decir que escanear un DNI es excesivo al tratarse de datos sensibles y no debe hacerse.

El caso analizado es el de un hotel, que como casi todos, realizan, en su proceso de check-in, el escaneo de DNI de los clientes, pues lo han sancionado con 2.000 euros por eso.

La importancia de esta resolución es que choca con aspectos preestablecidos de Seguridad Ciudadana, concretamente con la Orden INT/1922/2003, de 3 de julio, sobre libros-registro y partes de entrada de viajeros en establecimientos de hostelería y otros análogos, donde se obliga a los establecimientos a llevar un registro de clientes, y con el artículo 25 de Ley Orgánica 4/2015 de Seguridad Ciudadana.

Aún así, en esta resolución la AEPD concluye que la copia del documento de identificación no es un tratamiento necesario para realizar el registro, y dar cumplimiento a la Ley Orgánica 4/2015, constituyendo dicha actuación una vulneración del artículo 5.1.c) RGPD, ya que no se trataría de datos necesarios para el tratamiento que se realiza, considerando que se ha tratado datos excesivos que no son necesarios para la finalidad para la que deben destinar.

Pero ojo, que en esta resolución no se está poniendo en duda la posibilidad de solicitar el DNI para realizar una comprobación de los datos, sino la pertinencia de hacer un escaneo y tratamiento posterior del documento.

En Pymes y Autonomos

¿No sabes por donde empezar con el RGPD? Puedes seguir esta lista de la Agencia Española de Protección de Datos

Principio de minimización de datos en relación a la finalidad a conseguir

Este criterio se sustenta en algo que ya queda claro en el artículo 5.1.c del RGPD, donde se establece el principio de minimización de datos: “Los datos personales serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados”.

Como hemos visto, la AEPD se ha manifestado, en relación al escaneo de los DNI por parte de un hotel, que por otro lado, está obligado por distintas normativas a mantener, por Seguridad Ciudadana, un registro de clientes, y aún así, es excesivo escanear el DNI de los huéspedes al ser un documento sensible respecto a los datos que contiene y que son tratados.

Esto trasládalo a tu negocio, en el que a lo mejor se te ha ocurrido escanear el DNI para  poner a funcionar una tarjeta de fidelización o simplemente para construir una base de datos, pues está claro, no es proporcional la medida con el fin a conseguir con el tratamiento de los datos. No lo hagas. Analiza qué datos son indispensables y solo pídelos en caso de ser indispensables para lo que quieras conseguir.

Las empresas que no cumplen la legislación, que se salten los convenios colectivos, los contratos, o todo aquel fraude o corrupción que puedan estar cometiendo ante Hacienda o Seguridad Social, tienen ahora una forma de ser detectadas más fácilmente: un canal de denuncias anónimas, implementadas por ellas mismas.

Cualquier persona que se relacione con la empresa, como empleados públicos o privados, clientes y proveedores ya pueden hacer uso de un lugar para tramitar una denuncia anónima manifestando cualquier irregularidad.

En Pymes y Autonomos

Esto es lo que podrá hacer Inspección de Trabajo con su algoritmo para controlar las horas extras de las empresas

En qué consiste la Ley Protección de los Denunciantes Anónimos

Con la entrada en vigor hace unos meses de la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, se establecieron unas medidas para facilitar la detección de fraudes.

Esta normativa, que apela al espíritu de la colaboración ciudadana para poner de manifiesto las situaciones más graves, de forma que se pueda investigar y sancionar, si fuera el caso, a las situaciones de mayor impacto en cuanto a la vulneración de derechos laborales, como puedas ser un concentración de muchos falsos autónomos como ya ha sucedido en ocasiones anteriores.

Si bien esta ley entró en vigor en marzo, es ahora, a partir del 13 de junio de 2023, que es cuando se ha cumplido el plazo para que las empresas apliquen una de sus medidas, la implementación de un sistema interno de información que abarca tanto el canal, entendido como buzón o cauce para recepción de la información, como el Responsable del Sistema y el procedimiento.

Se debe tener en cuenta que este canal anónimo no es una “brillante ocurrencia española”  de trasladar al ciudadano este “poder” como “personas informantes”, sino una transposición de una Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo de 23 de octubre de 2019, más conocida como Directiva Whistleblowing.

En Pymes y Autonomos

Hasta 10.000 euros de multa por contrato temporal en fraude, cuidado si recibes una carta de Inspección de Trabajo

¿En qué empresas y entidades se puede denunciar anónimamente?

Las empresas y administraciones públicas tendrán que contar con un sistema interno de información, gestionado por ella misma o por un tercero, que garantice el anonimato y la protección de datos, protegiendo al usuario de cualquier represalia como dice la ley

Este sistema lo deben aplicar:

• Personas físicas o jurídicas que tengan contratados 50 o más trabajadores.
• Las administraciones y entidades públicas.
• Universidades.
• Partidos políticos, fundaciones, etc.

Para la aplicación efectiva en las empresas existen dos plazos distintos: 

• El 13 de junio de 2023, para empresas de 250 trabajadores o más, administraciones y organismos públicos y municipios de más de 10.000 habitantes.
• El 1 de diciembre de 2023, para empresas con 249 trabajadores o menos y municipios de menos de 10 mil habitantes

Ventajas y peligros de este canal anónimo

El dedo acusador es un arma de doble filo muy peligrosa. Presenta una mezcla de ventajas y desventajas que hay que poner en una balanza. 

Por una lado, es positivo, ya que amplifica el alcance de la administración pública a la hora de detectar irregularidades, además del efecto disuasorio que tienen este tipo de medidas; el que sabe que alguien lo puede denunciar fácilmente, no es tan atrevido para delinquir.

Por otro lado, puede ser contraproducente el mal uso, ya que el anonimato puede favorecer que empleados sin motivo o los propios competidores generen denuncias falsas, lo puede suponer a las empresas que sean víctimas de esto en un bucle de inspecciones y requerimientos. Igualmente, seguro que dará problemas el garantizar el anonimato, sobre todo cuando se está denunciando a la empresa que gestiona la denuncia; ¡Qué peligro!.

Cuando una empresa necesita cubrir una vacante lo más habitual es publicar una oferta de trabajo, ya sea en escaparate de un comercio o a través de redes sociales o portales especializados de empleo. Si no tienen cuidado las empresas pueden cometer diferentes errores en el proceso de selección que pueden acabar con una sanción, que pueden ir de 7.500 a más de 225.000 euros.

Depende del punto del proceso en el que se encuentre el candidato la sanción puede ser de un tipo u otro. Y de diferentes organismos, desde Inspección de Trabajo a protección de datos pueden tener algo que decir si no se ha sido escrupuloso en el proceso de selección.

En Pymes y Autonomos

Publicar el salario ofrecido junto a la oferta laboral será obligatorio próximamente y eso lo cambia todo en muchas empresas

Publicar una oferta segregada por sexos

No hace mucho sancionaron a un obrador de Barcelona por publicar una oferta segregada por sexos. Por un lado buscaban maestros pasteleros y por otro dependientas. El problema es que tal y como estaba publicado parecía que solo los hombres podían optar al primero y el segundo iba destinado a las mujeres.

Inspección de Trabajo sancionó el hecho como una infracción muy grave por establecer condiciones, mediante la publicidad, difusión o por cualquier otro medio, que constituyan discriminaciones para el acceso al empleo por motivos de sexo. La sanción mínima para ese supuesto era de 7.500 euros.

El error de no contestar a todos los inscritos

Otro error habitual es abrir un proceso de selección. Recibir una gran cantidad de solicitudes con los curriculum de los candidatos y no contestar a aquellos que hemos descartado.

En Pymes y Autonomos

Hasta 20.000 euros de sanción si la empresa no contesta a todos los candidatos que envían su currículo para cubrir una oferta de trabajo

El problema aquí es que aunque los hayamos descartado, tenemos que tratar sus datos personales, por lo que lo menos tenemos que mandar un mensaje tipo indicando que sus datos se incorporan para su tratamiento en el proceso de selección e informar de cómo pueden ejercer sus derechos en caso de querer eliminar dicho curriculum. 

En estos casos la sanción impuesta por la AEPD puede llegar a los 20.000 euros. Además sería recomendable que una vez finalizado el proceso se informara a todos los inscritos de que sus datos se eliminan, o por el contrario, se van a mantener para futuras vacantes donde puedan encajar los perfiles de estos candidatos. 

Realizar preguntas que vulneran la privacidad

Por último, durante la entrevista personal hay que tener mucho cuidado con las preguntas que se realizan, ya que traspasar el límite para pedir datos personales o privados puede ser motivo también de sanción. Algo tan común como si un candidato está soltero o casado o si en el futuro tiene pensado tener hijos. 

En Pymes y Autonomos

De 7.501 a 225.018 euros, la sanción que nos pueden poner por preguntar lo que no debemos en una entrevista de trabajo

Con todas estas premisas no es raro que muchas empresas antes de hacer un proceso prefieran asesorarse por expertos o externalizar el proceso para que sean ellos los que presenten una terna de candidatos finales a la empresa y les ayuden a tomar la decisión final. 

Hace unos días, un informe de Xnet alertaba de que el domicilio personal, teléfono o NIF de muchos trabajadores autónomos estaban al alcance de cualquiera en la Red, a cambio de un módico precio.

Esto, que nos resulta cuanto menos llamativo, se considera normal por parte de algunos expertos. El motivo que dan es que se dicha información es de interés profesional desde el momento en el que una persona se registra como autónomo en la Agencia Tributaria, cediendo así los datos que hemos comentado.

¿Por qué hay un libre acceso a los datos personales de algunos autónomos?

Como siempre, los pequeños son los que acaban teniendo más problemas. El libre acceso a estos datos afecta de manera especial a los autónomos que no cuentan con un domicilio fiscal diferente al personal.

Es en estos casos donde es más fácil acceder, además de a datos como el DNI o su número de teléfono a la ubicación de su domicilio.

Desde Xnet, y gracias a su investigación sabemos que el acceso es más sencillo si los datos personales pertenecen a determinadas empresas:

• El pequeño comercio, el transporte, cuidados y servicios personales son actividades que tienen sus datos más expuestos en Internet.
• Sin embargo, los trabajadores por cuenta propia que cuentan con colegios profesionales oficiales, se ven menos afectados por esta situación.

En Pymes y Autonomos

Estas son las 11 sanciones más altas establecidas por protección de datos en un año de récord

¿Qué ocurre con los datos personales de los autónomos afectados?

A partir del momento en el que se dan de alta en la Agencia Tributaria, se comparten con Hacienda y pasan a ser considerados información de interés profesional se transfiere a las diferentes cámaras de comercio.

Las cámaras de comercio ceden los datos a un directorio elaborado por Camerdata. A través de este, algunas empresas compran las bases de datos para llevar a cabo acciones comerciales, procesando la información y poniéndola a disposición de cualquiera en Internet por un precio asequible.

La cuestión más grave para nosotros es que haya unos terceros que se lucren con esos datos sin saberlo los afectados.

En Pymes y Autonomos

Solo nos acordamos de la protección de datos cuando truena

¿Existe algún tipo de protección para los datos personales de los autónomos?

Según la Agencia Española de Protección de Datos (AEPD) se está desarrollando una investigación. Es decir, ha tenido que ser Xnet quien realizara ese informe a raíz de que algunos autónomos vieran sus datos personales expuestos en la Red, para que se tomen medidas.

La exposición de datos personales no es ilegal porque los trabajadores autónomos están obligados a notificar una dirección, pero nos queda la duda de las consecuencias que este gesto tiene.

Y que los trabajadores por cuenta propia con ingresos inferiores a 3,5 veces el Indicador Público de Renta de Efectos Múltiples o Iprem (2000 euros brutos) que son los que no pueden pagar una oficina para realizar su labor, no estén obligados a usar su domicilio particular.

Para las empresas en su día a día son muchas las amenazas o noticias que les llegan de compañías que han sufrido una brecha de seguridad, datos de clientes que han quedado expuestos o archivos que se han cifrado para pedir un rescate entre otros. Aprovechando esta ola hay otro tipo de ataque que tratan de engañar a muchas empresas amenazando con publicar datos confidenciales que no tienen.

El vector de ataque suele ser el correo electrónico, donde en muchos casos suplantando una dirección de la propia organización para tratar de dar veracidad al mensaje. En el mismo se explica que han encontrado una vulnerabilidad en los sistemas de la empresa y se han hecho con el control de sus datos, extrayendo información de sus bases de datos, de clientes, financieros o mensajes de correos.

En Pymes y Autonomos

Estas son las 11 sanciones más altas establecidas por protección de datos en un año de récord

Se exige el pago de un rescate en critomonedas

Lo que buscan es que la persona que reciba el mensaje se ponga nervioso y realice el pago para evitar que la reputación de su compañía se vea comprometida. Por eso suelen dar un ultimatum para realizar el pago en pocas horas.

Tratan de evitar que las empresas realicen las comprobaciones oportunas para saber si realmente han sufrido una brecha de seguridad o no. Tampoco aportan pruebas reales de que tengan en su poder datos de clientes, confidenciales, o que puedan resultar comprometedores para la empresa.

El coste del rescate que suelen exigir no es demasiado alto, asumible para la mayoría de las empresas y con instrucciones muy claras de cómo deben realizar el pago a través de criptomonedas.

Para empresas pequeñas que no tienen un servicio técnico propio, ya sea interno o externo, no hay gran diferencia entre realizar el pago y contratar a alguien que verifique si se ha producido una brecha de seguridad o han accedido a sus sistemas.

Un spam moderno que busca intimidar a las empresas

Es fácil detectar este tipo de engaños pero la realidad es que también tiene un coste de ejecución y propagación muy bajo, por lo que para los ciberatacantes acaba por resultar rentable. Es la misma técnica del spam que inundaba los buzones de correo en el pasado, pero utilizando el miedo de las empresas.

En Pymes y Autonomos

Comunica–Brecha RGPD, la herramienta de la AEPD para saber como actuar ante un problema de seguridad

Además, muchas de ellas no están tomando las medidas de precaución adecuadas para asegurar sus datos y no recuerdan la última vez que un consultor de protección de datos les realizó un estudio sobre esta cuestión.

Si a esto le sumamos que la multas que pueden sufrir por no cumplir con la LOPDGDD son muy elevadas, tenemos todos los ingrediente como para que en algún caso alguien llegue a picar y pagar por recuperar unos datos que nunca han estado en poder de los ciberatacantes.

Cuando toca hoy en día montar una nueva empresa o negocio uno de las primeras decisiones a nivel de infraestructuras que debemos tomar es cómo montar la red de la empresa. Y en el año 2022 todavía muchos dudan si fiar todo al WiFi o seguimos usando cable. Vamos a intentar despejar algunas dudas al respecto.

¿Todo son ventajas con el WiFi?

Porque el WiFi cuenta con una gran ventaja inicial. Ponerlo en marcha requiere menos trabajo, basta con poner las antenas o puntos de acceso que nos permitan cubrir el espacio de nuestra oficina de forma adecuada y con la velocidad de conexión que nos facilite trabajar con agilidad.

En Pymes y Autonomos

Seis errores que cometemos con el WiFi en los negocios

Por el contrario una conexión cableada va a necesitar que llevemos las conexiones de cable de datos hasta cada puesto de trabajo, lo cual si la oficina está preparada con suelo técnico que podamos ir desmontando puede ser sencillo, pero en un local normal, puede ser un quebradero de cabeza.

Este dolor de cabeza se puede trasladar a la red WiFi si tenemos unas oficinas con una arquitectura complicada, sobre todo muros gruesos que limiten el paso de la conexión, zonas que no quedan bien cubiertas, o una saturación en los canales por otras redes ya generadas que crean interferencias en nuestra red.

Sin embargo hay una cuestión que hoy por hoy sigue siendo importante para muchas organizaciones. Como norma la velocidad de transmisión que conseguimos a través de la red cableada es superior a la que logramos a través de conexión inalámbrica. Y sobre todo es mucho más fiable y seguro. Es raro que nos encontremos con problemas de conexión una vez montada.

¿Con qué tipo de equipos vamos a conectar?

Las empresas que apuestan por la conexión WiFi normalmente trabajan con equipos portátiles y por lo general en movilidad. Es más raro, aunque también es factible, que empresas que trabajan con equipos de sobremesa convencionales vayan a un modelo WiFi puro.

En Pymes y Autonomos

Guía de compra de ordenador portátil para la empresa 2021: todo lo que tienes que mirar

En todo caso si ya disponemos de equipos de sobremesa y al cambiar de oficina no tenemos red cableada y vamos a trabajar a través de red inalámbrica es fácil buscar adaptadores que nos faciliten dicha conectividad.

Lo que si es importante es que estos adaptadores WiFi no queden escondidos, en la parte trasera del ordenador, debajo de una mesa y una estantería, lo que va a mermar de forma notable la calidad de la conexión. En un equipo portátil no existen estos inconvenientes ya que suelen estar sobre el propio escritorio.

¿Vamos a utilizar VoIP?

Muchas empresas hoy en día trabajan con centralitas de VoIP, por lo que cada puesto de trabajo ya tiene un teléfono al que le llega un cable de datos. En estos casos, lo habitual ya es utilizar el propio teléfono como puente para que lleve datos a nuestro ordenador, con un cable de datos UTP que conecte ambos.

Esto tiene una gran ventaja, puesto que nos ahorramos tener que llevar dos cables, uno para teléfono y otro para datos para cada puesto de trabajo. Y un inconveniente, ya que si por cualquier motivo el teléfono deja de funcionar, también lo hará la conexión a Internet y la red interna de nuestro ordenador.

La realidad es que el uso del teléfono es una limitación si se requiere tener un teléfono fijo en cada puesto de trabajo. Pero también depende de la operadora que tengamos contratada o si contamos o no con centralita física o utilizamos una centralita virtual. Algunos operadores facilitan un teléfono fijo, pero con una tarjeta SIM, por lo que la conexión cableada ya no es necesaria.

En Pymes y Autonomos

Centralita virtual, qué es y cómo puede ayudar a la digitalización de las pymes

Un modelo híbrido que nos de flexibilidad

Lo interesante es realizar un estudio previo. Sentarse a revisar qué puestos de trabajo necesitan una infraestructura cableada, dónde es más sencillo ubicarlos o cuáles pueden trabajar perfectamente a través de conexión WiFi.

Si lo hacemos bien podemos ahorrar mucho dinero en la puesta en marcha de la empresa o su traslado a unas nuevas oficinas. En todo caso hay que tener en cuenta que siempre vamos a necesitar conexiones eléctricas, donde conectar nuestros portátiles, pantallas o impresoras, aunque en la mayoría de los casos ya se cuenta con cierta infraestructura previa que se puede utilizar.

Imagen | Bru-nO | lhennen en Pixabay

Con la vuelta del aumento de contagios en toda Europa muchas empresas empiezan a pensar que tener a parte de la plantilla trabajando desde casa no es tan mala idea. Por eso es el momento de analizar el teletrabajo en España para controlar la seguridad y protección de datos.

Porque ya no se trata de una situación excepcional. Muchas empresas asumen que el teletrabajo ha llegado para quedarse, en mayor o menor medida, como una oportunidad para que los trabajadores puedan conciliar mejor, como una fórmula para no tener que alquilar oficinas tan grandes o para poder tener mucha más flexibilidad.

En Pymes y Autonomos

Ni remoto completo, ni presencial total: el modelo de teletrabajo híbrido con días de oficina y otros fuera, explicado

¿Qué debemos considerar a la hora de proteger los datos cuando teletrabajamos?

La propia Agencia Española de Protección de Datos, AEPD, marca en un documento algunas pautas según el cual la protección de datos debe ir más allá de la elección de una herramienta tecnológica que nos facilite el acceso y el trabajo de forma remota. Y el acceso remoto a los datos personales cambia algunas cuestiones pero no tanto como podemos pensar si lo hacemos de la forma adecuada.

Porque debemos tener en cuenta que siempre es necesario:

• Aplicar los principios de protección de datos desde el diseño, identificando los nuevos requisitos y rediseñando los procesos de teletrabajo, aplicándolo a las herramientas empleadas, aumentando la transparencia y el control sobre los datos, etc.
• Aplicar los principios de protección de datos por defecto, configurando correctamente las aplicaciones para minimizar los datos personales tratados.
• Implementar medidas de seguridad efectivas, orientadas a proteger los derechos y libertades.

Teniendo esto en cuenta y si pensamos en el trabajo remoto no deja de ser como cuando trabajamos en la nube la realidad es que, los equipos desde los que se conectan los usuarios o desde los que se trabaja en casa lo ideal es que, aunque sean propiedad de la empresa, no almacenen datos personales y solo se usen como una herramienta para acceder a los datos que están en nuestras oficinas.

Lo ideal sería crear una guía o documento para nuestra empresa donde especificamos cómo debemos conectarnos, identificar posibles riesgos e informar de esta manera a todos los empleados de las políticas de acceso remoto que vamos a llevar a cabo.

En las guías se debe identificar un punto de contacto para comunicar cualquier incidente que afecte a datos de carácter personal. El personal ha de firmar un acuerdo de teletrabajo que incluya los compromisos adquiridos al desempeñar sus tareas en situación de movilidad.

En Pymes y Autonomos

Cinco soluciones de VPN profesionales para empresas que cumplen con la seguridad necesaria

Asegurando el acceso a los datos

Las comunicaciones tienen que ir debidamente protegidas, a ser posible con una conexión VPN que establezca un túnel de cifrado que impida que la información que va desde nuestra casa a la oficina pueda ser interceptada y leída sin problemas. Evitamos también de esta forma agujeros de seguridad en la apertura de puertos en el router como el del escritorio remoto, uno de los elementos más atacados para introducir ransomware en las empresas.

El acceso a los datos en la oficina tiene que estar correctamente protegido, tanto con un usuario y una contraseña que sea introducido en cada caso por el trabajador. No debería almacenarse dichas credenciales para que se inicie sesión por defecto y se acceda a la oficina sin solicitarlas. Lo ideal si utilizamos un ordenador personal es crear un usuario diferente, que tenga un acceso diferente del que utilizamos en nuestra vida cotidiana para intentar separar ambos ámbitos.

No debemos descargarnos información de la oficina al ordenador de casa y viceversa, especialmente si se trata de datos personales. Es importante que el servicio informático revise y configure periódicamente los equipos y las conexiones remotas para asegurar un correcto funcionamiento.

Hay ciertos compromisos a los que tenemos que llegar si dejamos que se utilicen dispositivos personales, pero otros que, por sentido común, no deberíamos aceptar. Lo mínimo es que ese ordenador personal tenga sistema operativo actualizado y antivirus, pero también que no tenga aplicaciones de intercambio de archivos o acceso que comprometan que alguien pueda tomar fácilmente el control del equipo y a través del mismo llegar hasta nuestra red corporativa.

Hay que ir poniendo barreras y frenos para mantener aislados los accesos de manera que solo el propietario del equipo pueda acceder. Es la única manera de intentar mantener bajo control el acceso a los datos en la oficina.

En Pymes y Autonomos

Teletrabajo en España y sueldo, ¿se puede pagar menos a los que no acuden a la oficina?

Mejor no improvisar

Lo cierto es que ya tenemos experiencia suficiente como para ver pros y contras del teletrabajo. La protección de datos en un primer momento ha quedado en segundo plano. Puede que por una pequeña temporada no tenga demasiada importancia, pero la realidad es que a medio plazo tenemos que regularizar los accesos remotos a nuestra empresa si no queremos tener problemas.

Lógicamente no es lo mismo una pequeña empresa de 10 trabajadores que una mediana de 200 y las políticas de seguridad seguramente van a ser mucho más estrictas en la segunda. Pero todas ellas suelen disponer de consultores de protección de datos que les deben guiar para saber cómo deben actuar a la hora de implantar el teletrabajo de forma segura.

Trabajar desde cualquier lugar cada vez se ha convertido en una práctica más habitual en las empresas. Lo cierto es que con la pandemia del coronavirus y los confinamientos, muchos se vieron obligados casi a la fuerza a hacerlo. Descubrieron inconvenientes, pero también ventajas. Ahora con la situación algo más estable, es el momento de sacarle, partido pero hacerlo bien. Por eso vamos a explicar por qué es crítico para la seguridad de la empresa tener una VPN para empleados en remoto.

Y vamos a intentar hacerlo en un lenguaje que no sea demasiado técnico, al alcance de cualquiera que no necesariamente necesita tener conocimientos de redes entender su utilidad. Hablamos siempre que existan empleados o los propios responsables que quieran trabajar desde sus hogares, por lo general fuera de horas de oficina.

En Pymes y Autonomos

Cómo preparar a mi empresa contra ataques ransomware: ciberseguridad y copias de seguridad

¿Qué es una VPN y por qué tu empresa la necesita?

La VPN, o Virtual Private Network, no es otra cosa que una conexión de forma segura entre el despacho de tu casa y la empresa. Dicho de otra manera, nos habilita la posibilidad de trabajar en casa, o cualquier lugar donde tengamos conexión a internet, con acceso a los recursos que podemos tener en nuestro escritorio dentro de la empresa.

Existe la posibilidad de utilizar estas VPN para conectar varias sedes u oficinas diferentes para que compartan recursos. El modelo no solo nos sirve para teletrabajo, sino que en muchos casos nos ayuda a trabajar mejor si tenemos sucursales y oficinas dispersas que necesitan operar conectados a la central, o utilizar parte de sus recursos.

Esto implica que se puede acceder a información en carpetas de red compartidas, pero también acceso a ordenadores, servidores, aplicaciones, etc. Todo de forma segura y sin exponer ni poner en peligro los datos o el acceso por parte de terceros.

La VPN se encarga de crear un túnel de comunicación segura, cifrada, entre diferentes sedes o entre un ordenador y una sede. Una vez establecida la comunicación, el equipo, sea ordenador, móvil o tablet, desde el que nos conectamos ya se encontraría virtualmente dentro de la empresa.

En Pymes y Autonomos

Día de la protección de datos en la era del teletrabajo, hay que redoblar esfuerzos

¿Por qué necesita la empresa una VPN?

Vamos a poner un ejemplo sencillo. Un trabajador que quiere conectarse desde el ordenador de su casa al de su despacho para terminar o adelantar trabajo. En muchos casos lo que se hace es una conexión a través del escritorio remoto, para lo que necesitamos saber una serie de datos y redirigir la información el el router de acceso de internet de la empresa para llegar hasta dicho equipo.

Es lo que se conoce como la apertura de un puerto, que encamina la petición de información desde el router hasta el equipo del usuario. Dicho de forma más sencilla, dejamos una puerta abierta por si tenemos que conectarnos. Y esto tiene cierto riesgo, ya que esta puerta abierta en Internet hacia nuestra empresa puede ser atacada por ciberdelincuentes, con los riesgos que esto  tiene asociado.

Haciendo una similitud, sería como dejar la llave de la puerta de la oficina debajo de la alfombra. Es posible que no se les ocurra mirar a los ladrones, pero si lo hacen tienen muchas posibilidades de entrar. Es cierto que se pueden poner diferentes barreras, pero la puerta queda abierta.

Y esto no es solo un problema a la hora de la seguridad de nuestro negocio, sino también en lo que se refiere al  cumplimiento del LOPDGDD. Si se determina que hemos tenido un fallo de seguridad por falta de medios, la multa puede ser bastante grave en el caso de que los datos de los clientes se vean afectados. 

Para el usuario final todo tiene que ser transparente

Con la puesta en marcha de la VPN, ya sea por software o por hardware, para abrir el túnel, nos va a solicitar un usuario y una contraseña, además de un protocolo, por lo que es muy complicado si se han tomado las medidas adecuadas que se pueda forzar el acceso por dicha puerta.

Para el usuario final es bastante sencillo de utilizar. Simplemente tendrá un acceso directo en su escritorio que le conectará con la VPN, le solicitará las credenciales de acceso y si todo es correcto, crea el túnel cifrado en cuestión de segundos y el ordenador se conectará.

En Pymes y Autonomos

Muchas empresas necesitan mejorar sus herramientas para trabajar en movilidad

A partir de aquí ya tiene acceso a carpetas compartidas en la empresa, impresoras o se puede conectar por Escritorio remoto a su equipo del despacho o al servidor en función de cómo quiera operar cada negocio. Si todo está bien configurado, apenas son un par de clic de ratón empezar a trabajar de forma segura. Una vez finalizado el trabajo, se desconecta y listo.

Próximamente explicaremos un poco más en detalle diferentes tipos de VPN que se pueden utilizar en las empresas, ya sean de software o hardware y como ponerlas en marcha de forma sencilla.

Imagen | StefanCoders en Pixabay