Guía para la protección de datos¿Puede el desorden de nuestra mesa de trabajo comprometer el cumplimiento con la protección de los datos por parte de la empresa? Financial Times expone que el hecho de tener nuestro escritorio lleno de papeleo puede provocar que informaciones importantes de la organización caigan en manos no deseadas. Algunas empresas británicas se han dado cuenta que el nuevo RGPD no solamente afecta al ámbito digital y han empezado a despejar las oficinas.

Los trabajadores de toda la Unión Europea se han pasado los últimos meses controlando hojas de cálculo protegidas y procedimientos de doble autenticación tras la entrada en vigor a finales de mayo del Reglamento General de Protección de Datos. Pero algunos expertos creen que, a pesar de dicho control, a las empresas las pueden seguir pillando en falso, por ejemplo, con el desorden de las mesas de trabajo.

Barcroft Media, una compañía de creación de contenidos, está implementando una política de escritorios de trabajo limpios como parte de sus nuevas estrategias para evitar filtraciones de información ante la regulación general europea de protección de datos. Sus 50 empleados ya no pueden dejar el papeleo libremente encima de la mesa. Los documentos, incluidos los cuadernos de notas, tarjetas de visita y los papeles con anotaciones, se guardan cerrados en cajones durante la noche.

Las mesas ordenadas reducen el riesgo de que la información personal caiga en manos equivocadas y de infringir las nuevas reglas que otorgan mayores derechos a las personas sobre cómo se almacenan y utilizan sus datos. Dave Wheels, Jefe de Operaciones de la compañía, explica que las oficinas ordenadas también envían un mensaje claro al equipo. Les recuerda que la nueva regulación ha traído "cambios visibles e indiscutibles."

Según Peter Wright, Presidente del grupo de trabajo sobre protección de datos de la UK Law’s Society, el enfoque de 'tolerancia cero' de Barcroft Media hacia el desorden de papeles puede no ser tan extremo. La nueva ley no concreta lo que las empresas deberían o no deberían hacer. "Está redactada específicamente de ese modo por lo que seguirá siendo relevante mientras van cambiando las prácticas laborales," opina.

Wright reconoce que la mayoría de las organizaciones dan por hecho que la regulación de protección de datos solo tiene que ver con los datos digitales, la información en la nube y los sistemas informáticos. Y eso es incorrecto, afirma. Las reglas están destinadas a salvaguardar todos los datos privados, ya sean en formato digital o físico.

No son solo son las pymes las que interpretan las normas de esta manera. Las principales compañías de servicios financieros también están poniendo orden en sus oficinas, según Deloitte. Con graves consecuencias para las incumplidoras (multas de hasta 20 millones de euros o el 4% del volumen de facturación de la empresa, la cifra que sea mayor), muchas prefieren no arriesgarse.

Para los empleados, declara Peter Gooch, Socio de Servicios de Riesgo Cibernético en Deloitte, eso significa: "Que debes asegurarte de no matar a la empresa para la que trabajas."

La mayoría de las empresas conservan algún tipo de documentos en papel sobre antiguos empleados, dice Alan Calder, CEO de la consultora de seguridad IT Governance, que ofrece formación a las empresas en la regulación de la protección de datos. "El almacenamiento físico de datos a menudo se remonta a décadas atrás en forma de currículums, descripciones de puestos de trabajo y contratos."

"En muchas oficinas sería fácil para un empleado descontento sacar un archivo de un cajón abierto de la oficina y denunciarlo como una violación de la protección de datos." Tal acción, sugiere Calder, podría incluso constar como denuncia de una irregularidad, es decir, que el empleado no se metería en ningún problema legal por hacerlo.

Guía para la protección de datos

IT Governance opera una estricta política de escritorios despejados, impuesta por unos auditores que visitan las oficinas por la noche para fotografiar las mesas de trabajo con documentos encima.

Cuando se le pregunta si dicho enfoque es demasiado severo, Calder responde: "Nadie va a fotografiar tu escritorio si no dejas datos a la vista."

Otro defensor de medidas drásticas para reforzar la seguridad de los datos es Daragh O Brien, Director General de Castlebridge, una consultora de privacidad de datos con sede en Irlanda. En trabajos anteriores, O Brien se había dado cuenta de que los miembros de su equipo anotaban las contraseñas en la parte de atrás de los cuadernos. Él respondió arrancando esas últimas páginas de los diarios de los trabajadores.

"Olvidaron el hábito," dice. "Si sale humo de una papelera, un empleado no se limitará a pasar por al lado -ese es el tipo de concienciación que estamos tratando de plantear con respecto a la protección de datos."

Wheels cree que en el futuro las empresas y los empleados mirarán hacia atrás con respecto al cumplimiento de la protección de datos y pensarán: "No sé a qué venía tanto alboroto. Te darán un ordenador portátil y tendrás que utilizarlo de una determinada manera -se convertirá en una acción automática."

Sin embargo, el orden no es algo natural para todo el mundo. "Trabajamos con mucha gente creativa a la que le gusta trabajar en un entorno desordenado," asegura Wheels. "Es difícil la adaptación para ellos."

Pero no hay vuelta atrás. "Seguirán escuchando el mismo mensaje."

 


Nueva ley de protección de datos: ¿son importantes los escritorios desordenados?

Peter Wright, de la Law’s Society de Reino Unido, dice que depende de cada empresa el modo de interpretar la nueva regulación sobre datos, incluyendo la implementación o no de una política de "limpieza de los escritorios”. En caso de incumplimiento, el regulador -en Reino Unido es la Oficina del Comisionado de Información- buscará pruebas de los esfuerzos realizados para cumplir con la ley.

Los estándares deberían implementarse y anotarse en un manual para el empleado, afirma Wright. Recomienda a las empresas con más de 250 empleados designar a un responsable de la protección de datos que reporte a la alta dirección. "Las actas de estas reuniones se pueden convertir en parte del registro para demostrar después el cumplimiento," asegura.

"Si dices que tiene una política de escritorios despejados, tendrás que demostrar que el personal realmente entiende lo que eso significa," añade.
Una empresa que sufre una brecha en el cumplimiento de la política tiene 72 horas desde la fecha de conocimiento para informar al regulador, por lo que Wright dice que a los representantes de la compañía les interesará tener a mano todas las pruebas posibles de cumplimiento. Una política de escritorios limpios podría contribuir a dichos esfuerzos.

 

Nilsson, Patricia. "Untidy desks may be a GDPR risk". Financial Times, 03/07/2018 (Artículo consultado online el 08/07/2018).

Acceso a la noticia: https://www.ft.com/content/4f51f064-73bb-11e8-b6ad-3823e4384287

Suscríbete gratuitamente a nuestros boletines

Recibe noticias e ideas en Recursos Humanos.
Suscripción

Utilizamos cookies para ofrecer a nuestras visitas una mejor experiencia de navegación por nuestra web.
Si continúas navegando, consideramos que aceptas su utilización.