Durante la pandemia del 2020, el 69% de las empresas en México se vio obligada a habilitar la modalidad de teletrabajo. Bajo este contexto, el pasado 11 de enero de 2021, se publicó una reforma en materia de teletrabajo.

En principio, esta reforma define al teletrabajo como «una forma de organización  laboral subordinada que consiste en el desempeño de actividades remuneradas, en lugares distintos al establecimiento o establecimientos del patrón, por lo que no se requiere la presencia física de la persona trabajadora, bajo la modalidad de teletrabajo, en el centro de trabajo; utilizando, primordialmente, las tecnologías de la información y comunicación para el contacto y mando entre la persona trabajadora bajo la modalidad de teletrabajo y el patrón». Este régimen solo es aplicable a las relaciones laborales que se desarrollen más del 40% del tiempo en el domicilio y no a aquellas que se realicen de forma ocasional o esporádica.

Así, tenemos que los elementos del teletrabajo son:

ADVERTISEMENT

Cassie IAPP Leaderboard - AI Checklist-041024-WP
  • Subordinación;
  • Actividades remuneradas;
  • Más del 40% del tiempo trabajando desde un lugar distinto al centro de trabajo;
  • El uso primordial de las tecnologías de la información y la comunicación para desempeñar el trabajo;
  • Que sea voluntario y por escrito, salvo en casos de fuerza mayor.

Lo relevante de esta reforma, en materia de privacidad y datos personales, es que incorpora conceptos como seguridad de la información y datos, y los impone como una obligación bidireccional.

Estos son los comentarios (en cursiva) que tenemos respecto de las obligaciones del teletrabajo, relacionadas con la privacidad y protección de datos personales:

  1. Debe «proporcionar, instalar y encargarse del mantenimiento de los equipos necesarios para el teletrabajo, como equipo de cómputo, sillas ergonómicas, impresoras, entre otros».
  • Bajo este supuesto, necesariamente se tendrá que contar con el domicilio del trabajador, quizá un dato personal con el que ya se contaba; sin embargo, el dato será utilizado para una nueva finalidad, por lo que será necesario que sus avisos de privacidad sean actualizados.
  • Si la instalación y el mantenimiento de equipos se realizan a través de un proveedor, se debe cumplir con las reglas de remisión de datos personales y verificar que el proveedor (encargado del tratamiento) solo utilice los datos para las finalidades indicadas por el responsable del tratamiento.
  • Para documentar el cumplimiento del proceso, recomendamos grabar videos, tomar fotografías, monitorear los equipos y monitorear cómo los usan los trabajadores, quienes deberán cumplir con los principios aplicables al manejo de datos personales descritos en la reforma.
  1. Deberá asumir los costos de los servicios de telecomunicaciones y parte proporcional de la electricidad.
  • Un mecanismo que pueden utilizar los empleadores para realizar este cálculo es solicitar a los empleados los recibos de los consumos mencionados. Esto conlleva tratamiento de más datos personales, lo que puede involucrar a terceros, además del empleado, en cuyo caso, el empleador deberá tomar las medidas correspondientes.
  1. Deberá «implementar mecanismos que preserven la seguridad de la información y datos utilizados por las personas trabajadoras en la modalidad de teletrabajo». A su vez, el trabajador deberá «atender las políticas y mecanismos de protección de datos utilizados en el desempeño de sus actividades, así como las restricciones sobre su uso y almacenamiento».
  • La reforma señala en su artículo 330–I que «los mecanismos, sistemas operativos y cualquier tecnología utilizada para supervisar el teletrabajo deberán ser proporcionales a su objetivo, garantizando el derecho a la intimidad y respetando el marco jurídico aplicable en materia de protección de datos personales». Además, señala que la supervisión del trabajo a través de cámaras de video y micrófonos debe ser excepcional, «cuando la naturaleza de las funciones desempeñadas» así lo requiera.
  • Esta obligación está íntimamente relacionada con el cumplimiento del deber de seguridad a que hace referencia la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, así como su Reglamento, pues se trata de las medidas físicas, técnicas y administrativas para conservar la confidencialidad, integridad y disponibilidad de los datos personales.
  • Esta obligación podrá cumplirse mediante políticas de/para:
    1. Privacidad
    2. Seguridad de la información
    3. Prevención de pérdida de datos (DLP, por sus siglas en inglés)
    4. Conservación y almacenamiento de datos personales
    5. Monitoreo de los empleados, códigos de ética y conducta
  • Estos reglamentos pueden, a su vez, ir acompañados de herramientas técnicas; entre otros, instrumentos o mecanismos que permitan preservar la seguridad de la información frente a un constante uso de tecnologías por parte del empleado. Es altamente recomendable que los empleados trabajen de la mano con expertos en privacidad y seguridad de la información.

Estas son algunas medidas para cumplir con estándares de seguridad, recomendadas por la autoridad de protección de datos de Francia, la Commission nationale de l'informatique et des libertés (CNIL):

  • Asegurarse de contar con una política de seguridad de la información (IT Charter) que cubra el teletrabajo o, al menos, un conjunto de normas mínimas que debe cumplir cada empleado bajo la modalidad de teletrabajo. Dicha política o norma debe ser vinculante para los empleados.
  • Si tiene que modificar las normas de gestión de su sistema de información para permitir el teletrabajo (cambio de reglas de autorización, acceso del administrador remoto, etc.), mida los riesgos que conlleva y, si es necesario, tome las medidas necesarias para mantener el nivel de seguridad o mitigar riesgos.
  • Deberá garantizar que todos los puestos de trabajo de los empleados estén equipados, como mínimo, con un cortafuegos, protección antivirus y una herramienta que bloquee el acceso a sitios maliciosos.
  • Deberá implementar una solución de red privada virtual (VPN) para evitar la exposición directa de los servicios de la organización en Internet. En la medida de lo posible, las organizaciones deberían habilitar la autenticación de dos factores para el inicio de sesión en la VPN.

Como hemos visto, el teletrabajo supone tres grandes retos: la privacidad de los trabajadores, la protección de los datos personales tratados al interior de la organización y la seguridad de la información de la organización. Todo lo expuesto nos permite concluir que el empleador debe realizar una evaluación de impacto en materia de datos personales y de seguridad de la información antes de implementar el modelo de teletrabajo en su organización. Para esto, se debe llevar a cabo una revisión exhaustiva de los datos personales sometidos a tratamiento bajo esta modalidad, con el fin de dar un debido cumplimiento a los principios de información, finalidad, proporcionalidad y calidad, y estimar su impacto en los campos de consentimiento, lealtad, licitud y responsabilidad, así como de los deberes de confidencialidad y seguridad.