Seguridad digital en pymes: impacto laboral y datos

Seguridad digital en pymes: por qué también es un asunto laboral

La seguridad informática no queda limitada al departamento técnico. En una pyme, las contraseñas, los accesos a nóminas, el correo corporativo, el uso de móviles, las aplicaciones de gestión, la videovigilancia o los accesos remotos suelen depender de decisiones organizativas que afectan directamente a la plantilla.

El Estatuto de los Trabajadores reconoce el poder de dirección empresarial y permite medidas de vigilancia y control para verificar el cumplimiento de las obligaciones laborales, dentro del respeto a la dignidad y a los derechos fundamentales. En la práctica, cualquier medida de control empresarial de dispositivos, correos, cámaras o sistemas debe analizarse con proporcionalidad, información previa y encaje en la normativa de protección de datos.

Qué datos y herramientas debe revisar una empresa pequeña

Una pyme debe comenzar por un inventario realista. No basta con saber qué programa se utiliza: conviene identificar qué datos personales contiene, quién accede, desde dónde, con qué permisos y si intervienen proveedores tecnológicos.

• Datos laborales: contratos, nóminas, bajas médicas, partes de presencia, evaluaciones, sanciones o comunicaciones internas.
• Datos de clientes y contactos: formularios web, CRM, correo electrónico, facturación, presupuestos y soporte.
• Herramientas críticas: correo corporativo, gestor documental, ERP, aplicaciones de asesoría, almacenamiento en la nube, mensajería profesional y plataformas de videollamada.
• Sistemas de control: registro horario, videovigilancia, geolocalización, control de accesos, monitorización técnica o herramientas de productividad, si existen.
• Página web: formularios, usuarios administradores, plugins, certificados, copias de seguridad y mantenimiento. Si la empresa usa WordPress o ha recibido ayudas de digitalización, puede ser útil revisar criterios técnicos para preparar una web WordPress segura.

En protección de datos en empresas pequeñas, un error frecuente es conceder permisos generales por comodidad. Es una práctica arriesgada: el acceso debe estar vinculado a la función profesional y revisarse cuando cambian puestos, bajas, proveedores o herramientas.

Medidas de seguridad, brechas de datos y obligaciones básicas

El artículo 32 del RGPD exige aplicar medidas técnicas y organizativas apropiadas al riesgo. No impone una lista cerrada idéntica para todas las empresas, por lo que habrá que valorar el tipo de datos, el volumen, las herramientas, los accesos y las consecuencias posibles para las personas afectadas.

Entre las medidas habituales pueden estar las contraseñas robustas, doble factor de autenticación, copias de seguridad, cifrado cuando proceda, perfiles de usuario, formación de la plantilla, registro de incidencias, actualización de equipos y revisión de proveedores tecnológicos. Algunas serán obligaciones derivadas del RGPD en función del riesgo; otras actuarán como buenas prácticas organizativas o medidas recomendables.

Si se produce una brecha de seguridad que afecte a datos personales, el artículo 33 del RGPD obliga a notificarla a la autoridad de control competente, normalmente la AEPD en España, salvo que sea improbable que constituya un riesgo para los derechos y libertades de las personas físicas. La notificación debe realizarse, cuando proceda, sin dilación indebida y, de ser posible, en un plazo máximo de 72 horas desde que se tenga constancia.

Además, el artículo 34 del RGPD prevé la comunicación a las personas afectadas cuando la brecha pueda entrañar un alto riesgo para sus derechos y libertades. No toda incidencia exige comunicar a trabajadores o clientes, pero siempre conviene documentar el análisis realizado y las medidas adoptadas.

Control empresarial, dispositivos y derechos digitales de la plantilla

La empresa puede organizar sus medios de trabajo y establecer reglas de uso, pero debe hacerlo con transparencia, proporcionalidad y respeto a los derechos digitales de los trabajadores. La Ley Orgánica 3/2018 regula garantías específicas en el ámbito laboral, como el derecho a la intimidad en el uso de dispositivos digitales puestos a disposición por la empresa, la desconexión digital, la videovigilancia y la geolocalización.

• Dispositivos digitales: el artículo 87 de la LOPDGDD exige que la empresa establezca criterios de utilización respetuosos con los estándares mínimos de intimidad y que la plantilla sea informada.
• Desconexión digital: el artículo 88 de la LOPDGDD reconoce este derecho para garantizar, fuera del tiempo de trabajo, el respeto al descanso, permisos y vacaciones, en los términos que correspondan.
• Videovigilancia: el artículo 89 de la LOPDGDD permite el tratamiento de imágenes para funciones de control laboral dentro del marco legal, con información previa y límites específicos.
• Geolocalización: el artículo 90 de la LOPDGDD exige información expresa, clara e inequívoca sobre la existencia y características de estos dispositivos.

Una política interna de uso de medios digitales puede regular correo corporativo, almacenamiento en la nube, instalación de aplicaciones, uso de dispositivos personales, tratamiento de documentos, conexiones WiFi, mensajería profesional y comunicación de incidencias. Esta política no debe redactarse como una autorización genérica para cualquier control, sino como una herramienta clara que delimite usos permitidos, usos prohibidos, finalidad de los controles y responsables internos.

Si existe conflicto, pueden intervenir distintos cauces según el supuesto: la AEPD en materia de protección de datos, la Inspección de Trabajo en determinados incumplimientos laborales o la jurisdicción social cuando se discutan derechos laborales. La vía adecuada dependerá de los hechos, la documentación existente y la pretensión concreta.

Teletrabajo, accesos remotos y documentación interna

El teletrabajo y la seguridad informática deben planificarse juntos. La Ley 10/2021 de trabajo a distancia exige formalizar por escrito el acuerdo de trabajo a distancia cuando se den sus presupuestos legales, y documentar aspectos como medios, equipos, gastos, horario, porcentaje de presencialidad, centro de trabajo de referencia y reglas de disponibilidad, entre otros contenidos previstos legalmente.

Desde el punto de vista de seguridad digital, conviene que la documentación interna concrete cómo se accede a los sistemas, qué dispositivos se entregan, si se permite el uso de equipos personales, cómo se custodia la información, qué ocurre ante pérdida o robo de dispositivos y a quién debe avisarse en caso de incidente.

La prevención de riesgos puede aparecer vinculada a la organización del trabajo, especialmente por carga digital, disponibilidad permanente, aislamiento o estrés tecnológico. No obstante, el análisis debe ser proporcionado y conectado con las condiciones reales del puesto.

Cómo actuar ante un incidente de seguridad

Un incidente puede ser un correo con malware, un acceso indebido, el envío de nóminas a destinatario incorrecto, el robo de un portátil, la publicación accidental de documentos o la caída de un proveedor que aloja información. No todos los incidentes son brechas de datos personales, pero todos deberían registrarse y valorarse.

1. Contener el incidente: bloquear credenciales, aislar equipos, retirar accesos o contactar con el proveedor.
2. Identificar datos afectados: valorar si hay datos de plantilla, clientes, proveedores o terceros, y si incluyen categorías especialmente sensibles.
3. Evaluar el riesgo: analizar consecuencias previsibles para las personas afectadas, como fraude, suplantación, discriminación, perjuicio económico o exposición de información laboral.
4. Decidir sobre notificación: si procede conforme al artículo 33 RGPD, notificar a la AEPD; si hay alto riesgo, valorar comunicación a las personas afectadas conforme al artículo 34 RGPD.
5. Documentar todo: fecha de detección, hechos, sistemas afectados, decisiones adoptadas, medidas correctoras y comunicaciones realizadas.
6. Revisar causas: actualizar políticas, permisos, formación, contratos con proveedores o medidas técnicas.

La gestión de incidentes debe estar prevista antes de que ocurra el problema. Un protocolo de seguridad digital sencillo puede evitar improvisaciones y ayudar a demostrar diligencia si se inicia una reclamación, una inspección o un procedimiento ante la autoridad de control.

Checklist práctico para reducir riesgos laborales y de datos

Este checklist permite detectar puntos críticos sin sobredimensionar la gestión. Cada pyme deberá adaptarlo a su actividad, volumen de datos, plantilla, herramientas y proveedores.

• Existe una política interna de uso de medios digitales conocida por la plantilla.
• Los accesos a programas, carpetas y datos se asignan por función y se revisan periódicamente.
• Las cuentas corporativas tienen contraseñas robustas y doble factor cuando resulta razonable.
• Los dispositivos corporativos cuentan con bloqueo, actualización y medidas de protección adecuadas.
• Los proveedores tecnológicos están identificados y, si tratan datos por cuenta de la empresa, existe contrato de encargado del tratamiento.
• El teletrabajo cuenta con acuerdo o documentación aplicable cuando procede, incluyendo medios, condiciones y reglas organizativas.
• La plantilla sabe cómo comunicar un incidente, pérdida de dispositivo, phishing o acceso indebido.
• Hay copias de seguridad probadas y una persona responsable de coordinar la respuesta.
• Las medidas de videovigilancia, geolocalización o monitorización están informadas y justificadas.
• Se documentan las brechas, incluso cuando se concluye que no procede notificar a la AEPD.

Fuentes oficiales y marco de referencia

• Reglamento General de Protección de Datos, especialmente arts. 32, 33 y 34.
• Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales.
• Estatuto de los Trabajadores.
• Ley 10/2021, de trabajo a distancia.
• Guía de la AEPD para la gestión y notificación de brechas de seguridad.