Al cumplirse el plazo del Reglamento General de Protección de Datos (GDPR) de la UE, no solo hay que tratar los datos de los clientes como corresponde, sino que la comunicación interna también debe estar alineada con las nuevas directrices.
El 25 de mayo, el GDPR pasa a ser vinculante para todas las empresas europeas. "Sin embargo, no basta con asegurar la comunicación con los clientes o el sitio web. La comunicación corporativa interna también debe estar diseñada para cumplir con el GDPR", advierte Christian Heutger, experto en seguridad informática y director general de PSW Goup.
La comunicación interna de la empresa, en particular, implica la recopilación de datos personales de diversas maneras, por ejemplo, a través de la intranet, las redes sociales, las aplicaciones y los servicios en la nube. Numerosas herramientas y sistemas informáticos se cruzan con las direcciones IP, se concede el acceso a los documentos, se puede ver el paradero y los tiempos de uso de los empleados. "Esto se vuelve problemático con el GDPR de la UE. Para la seguridad y la protección de los datos, son precisamente las interfaces de estas aplicaciones y dispositivos uno de los puntos débiles más frecuentes", continúa Heutger. "Por lo tanto, todo empleado que se ocupe de la comunicación interna debe tratar el tema de la protección y la seguridad de los datos. Como mínimo, hay que crear una comprensión básica para que los cambios en la comunicación interna sean comprensibles y, por lo tanto, aplicables para cada empleado."
Caso problemático el trabajo móvil
En el mundo laboral digital, los empleados suelen ser móviles. Algunos ni siquiera tienen un puesto de trabajo fijo con PC, pero necesitan estar incluidos en la comunicación interna. Para ello, se suelen utilizar servicios como Google Drive, Dropbox u otros proveedores estadounidenses para editar conjuntamente documentos confidenciales. Los clientes también tienen acceso a algunos documentos. Y bastantes empresas confían en las aplicaciones para empleados: se puede acceder a las aplicaciones empresariales como apps en cualquier lugar y en cualquier momento.
Estas aplicaciones están equipadas con una serie de funciones para agrupar toda la comunicación interna de la empresa. "En la mayoría de los casos, se puede ver la comunicación de los distintos canales de medios sociales. Además, a menudo se integran sistemas externos. Los chats de grupo, así como los mensajes privados, permiten a las personas interactuar entre sí. Para decirlo en pocas palabras: Las aplicaciones de este tipo recogen mucha información personal y sensible. Por lo tanto, es fundamental comprobar que las posibles apps internas de los empleados cumplen con la EU-DSGVO", advierte el director general.
Los servicios de mensajería también se utilizan cada vez más no solo para la comunicación privada, sino también para la empresarial. Sin embargo, servicios como WhatsApp no son especialmente respetuosos con la privacidad: hace poco se supo que Facebook puede leer los mensajes de WhatsApp a pesar del cifrado de extremo a extremo. "El problema de estas soluciones es la transferencia de datos entre el respectivo proveedor y el dispositivo final. Algunos mensajeros, incluido WhatsApp, comparan automáticamente la libreta de direcciones con los datos del servidor. Sin embargo, los números de teléfono y las direcciones IP son datos personales", explica Heutger y aconseja el uso de servicios alternativos: "Threema Work, por ejemplo, es una de las pocas soluciones comerciales que hacen posible el uso conforme a la protección de datos en las empresas. Con Threema, por ejemplo, se pueden excluir contactos individuales de la comparación de datos. Toda la comunicación está encriptada de extremo a extremo y los chats y medios almacenados en el smartphone también están encriptados."
Las empresas también deberían comprobar qué tecnologías se están utilizando actualmente para la comunicación interna. Aquellos que han estado enviando correos electrónicos internamente sin encriptación deberían cambiar esto, por ejemplo con una solución de pasarela. "Para dar el primer paso hacia una cultura de seguridad integral, se recomienda un cifrado constante de extremo a extremo. Sólo los respectivos interlocutores de la comunicación pueden entonces descifrar el mensaje y los correos electrónicos y los archivos adjuntos están a salvo de lectores no invitados y de la manipulación", aconseja el experto.
Los empleados con puntos débiles
Además, los empleados cometen repetidamente diversos errores en relación con la protección de datos, como la informática en la sombra, las contraseñas fácilmente descifrables o la información sensible en su buzón privado. "No se puede establecer una comunicación interna conforme a la DSGVO sin formación, seminarios y el establecimiento de la conformidad. Sin embargo, la gente no cambia sus hábitos de la noche a la mañana. Por lo tanto, es indispensable apoyar intensamente a los empleados en la transición a la nueva era de la protección de datos. Mi consejo es tomar a los empleados de la mano, formarlos intensamente y darles la oportunidad de adaptarse a las nuevas condiciones que el GDPR de la UE impondrá a todos", es el último consejo de Heutger.