PROTECCION DE DATOS Y VIDEOCONFERENCIAS

Ciberseguridad, Covid19

 

La situación que estamos viviendo a causa del coronavirus ha hecho que tengamos que adaptarnos a nuevas condiciones de vida, tanto sociales como laborales. Por ello, hemos adoptado hábitos que conllevan el uso de herramientas digitales que nos harán comprender con éxito que el teletrabajo es posible y efectivo.

Asimismo, las reuniones presenciales se han sustituido por videoconferencias, que se desarrollan a través de diferentes aplicaciones existentes en el mercado. Poder tener una reunión online con tus compañeros de trabajo o con tus clientes en cualquier momento parece que es algo que, ahora que está resultando obligatorio, muchos parecen valorar y se muestran decididos a implementarlo como método de trabajo habitual. Ciertamente supone un ahorro de coste y de tiempo. Pero…son seguras estas aplicaciones? ¿Qué implicaciones tienen en materia de protección de datos?

En primer lugar, la aplicación que se utilice debe respetar unos mínimos que aseguren el cumplimiento de los principios de protección de datos, tanto del Reglamento General de Protección de Datos (RGPD) como de la LOPD. Cuestiones como el encriptado de datos, no permitir la grabación sin consentimiento previo de los intervinientes, o contemplar las cláusulas necesarias para los Encargados del Tratamiento (en este caso la aplicación sería la Encargada del Tratamiento) son necesarias.  Algunas cumplen de manera adecuada con todos estos principios mencionados, tienen una Política de Privacidad clara y completa y unos buenos Términos y Condiciones. Sin embargo otras carecen de los requisitos legales y técnicos mínimos.

Por tanto, lo primero que debemos hacer es acertar en la elección de la aplicación a través de la cual vamos a llevar a cabo la videoconferencia.

Lo segundo, tener en cuenta que, ante la recomendación y el consiguiente aumento del teletrabajo, la mayoría se conectarán desde sus hogares, y, claro está, estas redes no cumplen las medidas de seguridad más adecuadas, lo que hace que puedan aumentar los ataques por parte de ciberdelincuentes, conscientes de la mayor vulnerabilidad de las empresas a través de los empleados que trabajan y se conectan a la red desde cas.

En cuanto a las videoconferencias, el Instituto Nacional de Seguridad de la Información (INCIBE) aconseja establecer las siguientes medidas generales para garantizar una seguridad mínima en este tipo de comunicaciones:

  • Cifrar por defecto todas las comunicaciones, utilizando el protocolo SSL, para establecer un canal seguro.
  • No establecer comunicaciones con desconocidos.
  • Verificar la identidad de los nuevos contactos por otros medios, sobre todo cuando se inicie una videoconferencia por primera vez con ellos.
  • Utilizar perfiles de usuario con autenticación mediante contraseña segura.
  • Mantener actualizado el software de los sistemas de videoconferencia.
  • Deshabilitar la opción de compartir el escritorio por defecto.
  • Deshabilitar la recepción de video por defecto. Habilitar solo cuando sea necesario.
  • Cubrir la cámara cuando el sistema no está en uso y configurar la cámara para que, al comenzar una videoconferencia, muestre una imagen neutra que no muestre información comprometida, en caso de establecer una conexión errónea
  • Apagar o silenciar los micrófonos cuando el sistema no está en uso.
  • Concienciar y formación a los empleados sobre la necesidad de aplicar estas medidas de seguridad.
  • Por último, si la videoconferencia va a ser grabada, debe antes informarse y solicitar autorización de todos los asistentes, no siendo válido grabar por defecto sin informar previamente.

http://Equalprotecciondedatos.com

Comentarios(2)

  1. REPLY
    comment Carla says

    Entonces, si se graba un webinar y luego se publica en youtube, ¿se debería pedir el consentimiento a todos los asistentes? ¿Valdría con poner un banner al inicio de la sesión diciendo que al unirse se da el consentimiento para que se grabe?

    • REPLY
      comment Equal Consulting says

      Buenas tardes Carla

      Una cosa es grabar el webinar para un uso privado, para lo cual sería suficiente con avisar a los asistentes de dicha grabación, y otra cosa es la difusión que se le puede dar. Si el objetivo es subirlo a youtube, podría entenderse válido un banner al inicio siempre y cuando los asistentes deban aceptar las condiciones. Ahora bien, esas condiciones que se aceptan deben recoger expresamente que se le dará difusión pública, la identidad del Responsble del Tratamiento (quién graba la sesión), y cómo y dónde poder llevar a cabo el ejercicio de los derechos de los interesados en materia de proteccion de datos.

      Un saludo.

Publicar un comentario

Resuelva la operación para continuar *