A lo largo de este último año el número de reuniones empresariales que se están realizando vía telemática ha crecido rápidamente, y esta necesidad apremiante de las empresas ha provocado que en la mayoría de las situaciones se concierten reuniones online sin tener en cuenta que éstas deben estar protegidas con medidas de seguridad específicas para evitar que terceros no autorizados a ellas puedan acceder y boicotearlas o espiarlas.

Esta falta de proactividad, en muchas ocasiones, se debe al desconocimiento empresarial y a una falsa sensación de privacidad que otorgan estas reuniones no presenciales. Por ello, para que las reuniones online sean, no solo efectivas, sino también seguras para la empresa, es totalmente necesario poner en marcha las siguientes 10 pautas de seguridad, recomendadas por la propia AEPD:

1º.- Antes de crear la convocatoria o plantear la operativa de continuidad de las reuniones online, la empresa deberá implantar unas medidas de seguridad básicas destinadas a la protección de los datos personales:

• Tener implantada una política de contraseñas y accesos a los dispositivos
• Tener una trazabilidad de los usuarios con contraseñas y los tipos de accesos que disponen en la organización
• Tener implantado un plan de continuidad (copias de seguridad) adaptado a la operativa de la empresa
• Tener actualizados los sistemas operativos y los programas que se utilicen en la operativa diaria de la empresa
• Control de los accesos remotos

2º.- La organización debe crear un grupo de trabajo permanente que sea siempre el encargado de organizar las reuniones online y controlar la seguridad de estas. Una persona fija de este grupo, o de forma rotativa entre ellos, deberá designarse como el anfitrión de las reuniones online e identificar a todos los asistentes antes de darles paso a la conferencia (para ello es recomendable incorporar una “sala de espera”).

3º.- Una vez que el anfitrión ha identificado a todos los asistentes la reunión deberá ser bloqueada para impedir la entrada de terceros no autorizados.

4º.- Las plataformas para el desarrollo de las reuniones online antes de su utilización deberán ser valoradas por el responsable de la empresa en esta materia y por el equipo de trabajo. De esta podrán valorar la idoneidad de cada una de las plataformas y establecer el listado de las herramientas permitidas por la organización, no pudiendo ser utilizadas otras distintas a estas.

5º.- La reutilización de los códigos y/o enlaces de acceso a las reuniones online debe estar limitada por la organización para evitar que se encuentre en posesión de más personas de las que en un principio la empresa ha designado. Especial atención se deberá tener a las url de acceso o los códigos si la información a tratar en la reunión es de carácter sensible o confidencial, en ese caso se deberán utilizar códigos de un solo uso con doble autenticación.

6º.- Si se quiere grabar la reunión, deberá procederse de forma previa a esta a avisar de forma fehaciente a todos los asistentes. Las grabaciones deberán cifrase y almacenarse fuera de la plataforma de reuniones online.

7º.- Es recomendable deshabilitar o limitar a ciertos asistentes de la reunión, las siguientes funciones:

• Compartir archivos
• Chat
• Compartir pantalla (preferiblemente que sea únicamente el anfitrión quien pueda compartir la pantalla)

8º.- Los micrófonos y las cámaras dependiendo del tipo de reunión online que vaya a desarrollarse podrán estar o no habilitados, siendo desactivados cuando no sea estrictamente necesario para el desarrollo de la reunión online.

9º.- Los fondos de pantalla deberán estar difuminados o ser fondos virtuales con el fin de evitar de forma indirecta comunicar datos personales o información confidencial.

10º.- Los dispositivos que se utilicen para acceder a la reunión deben ser los autorizados por la organización o, en caso de dispositivos personales, tener implantadas las medidas de seguridad informáticas fijadas por la empresa.

En caso que en el desarrollo de alguna reunión online se detecte una brecha o incidencia interna de seguridad, en cumplimiento del Art. 33 del RGPD, la empresa en un plazo de 72 horas deberá ponerlo en conocimiento de la autoridad de control. Para controlar este tipo de incidencias el grupo de trabajo designado para las reuniones online deberá de forma periódica realizar auditorías de seguimiento del desarrollo de las éstas, y si detectan algo extraño poner en marcha el plan de actuación de la empresa, resolviéndola y minimizando sus consecuencias para evitar que pueda volver a ocurrir en próximas reuniones online.