La actual situación de extensión del virus COVID-19 a nivel mundial ha desencadenado un nuevo escenario económico caracterizado por la volatilidad, la incertidumbre, la complejidad y la ambigüedad. Es lo que, en lenguaje empresarial, se conoce como «entorno VUCA».
En este complicado escenario, una de las pocas certezas que ha dejado la pandemia para el tejido empresarial español es el espaldarazo definitivo por parte del Gobierno al establecimiento y reafirmación del teletrabajo, que ya se venía esbozando desde hace años a raíz de la desbordante permeabilidad de las tecnologías de la comunicación en todos los ámbitos de nuestra sociedad. No en vano, la extensión del virus COVID-19 ha abierto la espita de la consolidación del teletrabajo en España mediante la aprobación del «Real Decreto-ley 28/2020, de 22 de septiembre, de trabajo a distancia».
En principio, y sin entrar en el contenido del citado Real Decreto-ley, esta parece ser una buena noticia, pues con la aprobación de dicha norma se dota de regulación jurídica a una realidad social aparentemente necesitada de ella. Vaya ello, pues, en beneficio de la necesaria seguridad jurídica para empresas y personas trabajadoras.
En cualquier caso, el objeto del presente artículo no es otro que poner el acento en la cuestión relativa a la protección de la información responsabilidad de la empresa que será objeto de tratamiento en este nuevo ecosistema de teletrabajo, y respecto a la cual el nuevo Real Decreto-ley dedica su artículo 20.
En un entorno VUCA como el actual, la transformación digital de las empresas es un eje evolutivo muy importante para el presente y el futuro de las mismas. Parte de ese proceso de cambio lo constituye una nueva mentalidad empresarial en relación con el teletrabajo.
Ahora bien, dicho proceso de transformación incluye indefectiblemente la toma en consideración por parte del empresario de las cuestiones relativas a la protección de datos y la seguridad de la información, pues la generalización del teletrabajo plantea un nuevo escenario de riesgos que las empresas deben gestionar adecuadamente.
Un dato muy revelador a este respecto, y que ha de servir de referencia para el tejido empresarial segoviano, es que, según el Instituto Nacional de Ciberseguridad de España (INCIBE), la mayor incidencia de estos riesgos se da «en pequeñas y medianas empresas, que por lo general no cuentan con personal especializado en ciberseguridad, llegando a representar casi el 43% de los ciberataques».
En el mundo de la ciberdelincuencia, la batalla es manifiestamente desigual: mientras que el ciberatacante solo necesita acertar una única vez, la empresa que tiene que defenderse de sus ataques está obligada a acertar absolutamente todas las veces, so pena de poner en riesgo su propia continuidad.
Se trata esta de una cuestión que va mucho más allá de la mera protección de los datos personales responsabilidad de la empresa o de una posible sanción de la Agencia Española de Protección de Datos, pues a raíz de un ciberataque puede verse comprometida cualquier información secreta, ya sea de carácter tecnológico, científico, industrial, comercial, organizativo o financiero: el daño causado a la empresa puede ser irreparable.
Un dato demoledor: según un informe elaborado por la empresa global de ciberseguridad Kaspersky Lab junto al prestigioso centro de investigación Ponemon Institute, el 60% de las pymes europeas que son víctimas de ciberataques desaparece en los seis meses siguientes al incidente, muchas veces lastradas por el coste medio del ataque, que suele rondar los 35.000 euros.
En lo tocante a este particular, la palabra clave es «PREPARACIÓN», o lo que en terminología jurídica se denomina «responsabilidad proactiva»: la descentralización de los sistemas de información de las empresas es un caldo de cultivo perfecto para posibles violaciones de la seguridad de los datos tratados en las mismas, lo que exige una especial diligencia y cuidado en dicho proceso, debiendo aplicarse las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado a los riesgos inherentes a un ecosistema de teletrabajo, y respecto del cual los ciberdelincuentes explotarán todas las posibles vulnerabilidades de que adolezca. Ergo, hay que estar suficientemente «preparados» ante dicha amenaza.
En este sentido, interesa subrayar que el usuario del sistema –en este caso, la persona teletrabajadora– es el eslabón más débil y uno de los grandes agujeros de seguridad en las empresas. La Agencia Española de Protección de Datos, consciente de esta circunstancia, recomienda definir una política específica para situaciones de movilidad y teletrabajo, que contemple las necesidades concretas y los riesgos particulares introducidos por el acceso a los recursos corporativos desde espacios que no están bajo el control de la empresa.
Seamos, pues, extremadamente diligentes e inteligentes en la toma de decisiones en este complejo escenario, que está poniendo a prueba la capacidad de resiliencia y la propia continuidad de las pequeñas y medianas empresas. La ausencia de dificultades es ahora la excepcionalidad: demostremos que podemos superarlas con flexibilidad, liderazgo y orgullo segoviano.
—
(*) AUDIDAT Protección de Datos.
