El EDPS ha desarrollado varias Directrices para las instituciones de la UE que proporcionan recomendaciones sobre las mejores prácticas en el procesamiento de la información personal de un empleado. Con el uso de las nuevas tecnologías en el lugar de trabajo cada vez más comunes, nuestras Directrices sobre servicios web y dispositivos móviles son particularmente útiles para los empleadores.
El uso de big data y la creciente dependencia de la tecnología en el lugar de trabajo plantean riesgos significativos para los derechos de datos personales de los empleados. Estas tecnologías no solo son susceptibles a violaciones de seguridad y mal uso, sino que al ser supervisadas constantemente también cambian la forma en que nos comportamos, ya que tratamos de cumplir con las expectativas de quienes nos monitorean.
Como explican las Directrices, el monitoreo generalizado de los trabajadores a través de los medios digitales no es aceptable. Los empleadores deben ser conscientes de la diferencia entre supervisar el trabajo de los empleados y el monitoreo constante. También deben proteger a sus empleados teniendo en cuenta las amenazas y vulnerabilidades conocidas relacionadas con Internet relacionadas con los servicios web específicos y las tecnologías que utilizan. Deben identificar si estos servicios web procesan datos personales y exactamente qué datos se procesan, y garantizar que el usuario proporcione un consentimiento activo, explícito e informado antes de que se utilicen cookies. Todos los registros que contienen identificadores, en particular las direcciones IP, son datos personales y deben tratarse como tales.
Si bien el modelo Bring-Your-Own-Device ofrece una mayor flexibilidad de trabajo y es cada vez más común, los dispositivos móviles presentan riesgos específicos para los datos corporativos y privados que los empleadores deben evaluar. Para garantizar un nivel adecuado de protección, las instituciones de la UE deben llevar a cabo un proceso de gestión de riesgos, evaluando los riesgos de seguridad del uso de dispositivos móviles para procesar datos personales. Los empleadores deben implementar medidas para lidiar con los riesgos identificados. Estas medidas pueden ser organizativas, como la adopción de políticas de seguridad de la información, o técnicas, como las soluciones de gestión de dispositivos móviles y la implementación de las actualizaciones de software necesarias.
Para administrar adecuadamente el uso de dispositivos móviles, ya sea propiedad de las instituciones de la UE o de propiedad privada, las instituciones deben adoptar procedimientos escritos para administrar el ciclo de vida de estas herramientas. Dichos procedimientos deben tener en cuenta todas las operaciones que deben realizarse en el dispositivo.
FUENTE: EUROPEAN DATA PROTECTION SUPERVISOR