Circulars

#1001

COVID-19. Protecció de dades: privacitat en reunions en línia

L’informem que al blog de l’Agència Estatal de Protecció de Dades (AEPD) s’ha publicat una informació sobre les mesures de protecció en les reunions virtuals en línia mitjançant veu, vídeo o a través de serveis web que són una constant del treball actual i del teletreball, que s’ha vist enormement potenciat per motiu de la pandèmia de la COVID-19.

Si bé cada vegada som més conscients de la necessitat de protegir la nostra privacitat i seguretat en el món en línia, amb les reunions virtuals hem d’adoptar mesures específiques.

En aquest sentit, assenyala l’AEPD que descurar l’organització de reunions virtuals, i preparar-les sense tenir en compte els riscos de privacitat, pot facilitar la pràctica de conductes deslleials per part dels interlocutors, antics companys de feina, empleats descontents o, fins i tot, que ciberdelinqüents puguin espiar-les o sabotejar-les. Simplement prenent algunes precaucions bàsiques es pot garantir que les reunions en línia siguin un espai de treball eficaç i segur, evitant incidents que puguin arribar a constituir una bretxa de seguretat de les dades personals o comprometre d’una altra forma la privacitat.

Consells bàsics

A continuació, s’inclouen una sèrie de consells bàsics per mantenir reunions en línia amb privacitat i seguretat:

  • Observi i segueixi les polítiques establertes per la seva organització per a les reunions en línia. Això inclou la utilització exclusiva del proveïdor tecnològic aprovat per l’organització.
  • En reunions amb un nombre elevat d’assistents i de diverses organitzacions, és convenient designar almenys un participant que ajudi a l’organitzador durant el seu desenvolupament en el control dels assistents i qüestions relatives a la privacitat i seguretat.
  • Pensi per endavant en la sensibilitat dels temes a tractar, la identitat dels participants i la possible difusió en cas que la reunió sigui gravada.
  • Limiti la reutilització dels codis/enllaços d’accés. Si s’ha usat el mateix codi/enllaç durant un temps, probablement l’ha compartit amb més persones de les que pot imaginar o recordar.
  • Si l’assumpte de la reunió és sensible, bé pel tema a tractar, la identitat dels participants o qualsevol altra qüestió, utilitzi codis, URLs d’enllaç i/o pins d’accés d’un sol ús. A més, consideri la necessitat d’utilitzar autenticació de doble factor. Això evitarà que algú pugui unir-se simplement esbrinant l’URL d’enllaç o el codi d’accés.
  • Deshabiliti les funcionalitats no necessàries com, per exemple, el xat, l’intercanvi de fitxers o la compartició de pantalla.
  • En el seu cas, limiti qui pot compartir pantalla per evitar qualsevol imatge no desitjada o inesperada. Abans que algú comparteixi la seva pantalla, recordi-li el risc de compartir informació sensible.
  • Realitzi la convocatòria únicament a contactes concrets, evitant l’enviament de convocatòries a grups o llistes de correus, que incloguin enllaços que siguin vàlids tan sols per la seva possessió.
  • Utilitzi una ‘sala d’espera’ per poder anar admetent els participants, i no permeti que la reunió comenci fins que s’uneixi l’amfitrió.
  • Habiliti la notificació per a quan els assistents s’uneixen a la reunió. Podria ser mitjançant un to característic o anunciant el seu nom. Si el seu proveïdor no ho permet, asseguri’s que l’amfitrió demana als nous assistents que s’identifiquin.
  • Si està disponible, usi un panell per comprovar els assistents i identificar aquells que siguin genèrics.
  • No gravi la reunió tret que sigui necessari. En aquest cas, informi adequadament als assistents de la finalitat de l’enregistrament i en quin moment s’inicia/deté l’enregistrament. Alguns proveïdors realitzen aquests avisos de manera automàtica.
  • Abans d’iniciar la reunió, comprovi quina àrea és visible darrere de vostè i quina informació personal està revelant. Consideri la utilització d’un fons virtual que emmascari el segon pla.
  • Avisi a possibles convivents que s’iniciarà una reunió i prengui les mesures perquè la seva activitat no estigui a l’abast del micròfon i la càmera.
  • Més enllà de temes d’eficiència en la comunicació, durant la reunió desactivi el micròfon i la recollida de vídeo quan no sigui necessari. En particular, si realitzarà alguna acció fora del focus de la càmera. Presti especial atenció als micròfons sense fils
  • Sigui conscient que la captura de vídeo i àudio podria continuar, per alguna mena d’error humà o de sistema, quan vostè creu que la reunió s’ha acabat.
  • Quan s’acabi la reunió, asseguri’s d’utilitzar un dispositiu que inhabiliti físicament la càmera (pestanya, adhesiu o similar). No retiri el dispositiu fins no s’hagi d’iniciar la connexió.

La llista presentada no té un caràcter exhaustiu, sinó que es tracta d’una sèrie de consells bàsics que s’han de tenir en compte i aplicar-se quan escaigui.

Com a conclusió general, és necessari recordar que obligatòriament s’han de conèixer i complir les polítiques de la seva organització, tenir en compte la logística de la reunió i triar les mesures apropiades per a cada situació.

En aquells casos en els quals s’hagin de tractar dades o informació molt sensible, és convenient consultar amb un professional de seguretat i TI de la seva organització i, si escau, prendre precaucions addicionals:

  • Utilitzi únicament serveis de reunions virtuals aprovats per la seva organització per a aquestes situacions, amb xifratge d’extrem a extrem i que utilitzin pin o contrasenyes úniques per a cada assistent. Doni instruccions perquè no siguin compartides.
  • Utilitzi els panells d’assistents per tenir controlat qui hi ha a la reunió en tot moment.
  • Bloquegi l’accés a la reunió una vegada que tots els participants estiguin identificats.
  • Permeti únicament als amfitrions compartir pantalla.
  • En cas de realitzar enregistraments, han de ser xifrats mitjançant un algorisme robust i utilitzant contrasenyes fortes. Elimini qualsevol enregistrament que hagi pogut quedar emmagatzemat al proveïdor.
  • Sol·liciti explícitament als assistents que únicament utilitzin dispositius proporcionats i/o aprovats per l’organització.

Es poden posar en contacte amb aquest despatx professional per qualsevol dubte o aclariment que puguin tenir sobre aquest tema.

Compartir a