Defensa del móvil: Privacidad y seguridad
Las tabletas, computadoras portátiles y teléfonos inteligentes pueden ayudar a las personas intercesoras a comunicarse con las personas sobrevivientes, acceder a los archivos, enviar y recibir correo electrónico y completar el papeleo mientras están fuera de la oficina, incluso trabajando desde casa. A pesar de las muchas comodidades y ventajas que nos proporcionan estas herramientas, es imperativo que demos prioridad a la privacidad y seguridad de las personas sobrevivientes. Es importante contar con políticas y procedimientos claros y, al mismo tiempo, cumplir con las obligaciones de confidencialidad. Todas las personas empleadas, incluido el personal voluntario, deben comprender estas políticas y procedimientos y la importancia de proteger la privacidad y la seguridad de las personas sobrevivientes.
Visite este enlace para obtener más información sobre los teléfonos y dispositivos móviles de las personas sobrevivientes.
Buenas prácticas
Los programas deben proporcionar dispositivos para las personas intercesoras
Los programas deben gestionar y ser los propietarios de los teléfonos y otros dispositivos móviles. En caso de pérdida o robo de un dispositivo, los programas deben tener la capacidad de borrar el contenido del dispositivo o transferirlo a otra persona defensora.
Esto ayuda a garantizar la seguridad y privacidad de la información personal de las personas sobrevivientes. También da al programa más control sobre las cuentas que se conectan, las aplicaciones que se descargan o los sitios web que se visitan en el dispositivo.
Si los dispositivos que se proporcionan son propiedad del programa, esto favorece el equilibrio entre el trabajo y la vida personal de las personas intercesoras, porque separa el trabajo de sus dispositivos personales y les permite desconectarse del trabajo más fácilmente cuando no están de turno.
El personal no debe añadir cuentas, números de teléfono o aplicaciones personales a un teléfono de trabajo.
Utilizar dispositivos personales o añadir cuentas personales a dispositivos de trabajo pone en peligro la intimidad de las personas sobrevivientes y la confidencialidad del programa.
Los amigos o familiares podrían ver la información de contacto de las personas sobrevivientes o esta podría ser revelada si el dispositivo se pierde, lo roban o si se exige su entrega a través de una orden judicial.
Cuando una persona intercesora abandona el programa, la información de las personas sobrevivientes podría revelarse o resultar inaccesible para el programa.
Si las personas intercesoras tienen que utilizar dispositivos personales… (aunque se recomienda encarecidamente que los programas proporcionen dispositivos de la agencia para obtener el máximo nivel de privacidad y seguridad)
Las personas intercesoras pueden mantener su número de teléfono privado mediante números de teléfono proporcionados por el programa a través de una aplicación VoIP (teléfono por Internet), una aplicación de marcación, un número virtual u otros medios. Si el programa no puede pagar aplicaciones VoIP/números de teléfono para las personas intercesoras, pueden obtener un número VoIP gratuito (Google Voice) a través de una cuenta de Google controlada por el programa. Es muy importante que este número de Google Voice esté conectado a una cuenta de Google propiedad del programa y exclusiva para el trabajo, y no a la cuenta personal de Google de la persona defensora.
En el pasado, las personas intercesoras han tratado de evitar que su número aparezca en el identificador de llamadas del receptor mediante el bloqueo de su identificador de llamadas, ya sea a través de la configuración de su teléfono o marcando un código como *67. Sin embargo, estas opciones son poco fiables. Además, esto no hace nada para mantener la información de contacto de las personas sobrevivientes fuera del resto de la información almacenada en el teléfono de las personas intercesoras.
En los dispositivos Android que lo admiten, las personas intercesoras pueden tener un perfil de trabajo gestionado que separa los datos personales de los del trabajo. El perfil de trabajo separado no viene con un número de teléfono separado, por lo que los programas tendrán que especificar una aplicación de marcación para que las personas intercesoras la utilicen.
iOS no admite perfiles de la misma manera, pero hay servicios como Microsoft Intune que permiten a las organizaciones que utilizan otros servicios de la empresa (en el caso de Microsoft, Outlook, Teams, etc.) crear un perfil de trabajo gestionado en un dispositivo Android, iOS, Windows o Mac. Revise siempre cuáles podrían ser las implicaciones de un servicio para la privacidad de la persona defensora.
Los programas también deben considerar tener un Acuerdo de Usuario de Teléfono Móvil específico de la agencia que incluya prácticas básicas de privacidad y seguridad para las personas intercesoras.
No comparta dispositivos móviles
Nadie, salvo los usuarios autorizados, debe tener acceso a un dispositivo móvil utilizado con fines laborales si en él se almacena información de las personas sobrevivientes. Permitir que amigos o familiares lo hagan puede quebrantar las leyes y obligaciones de confidencialidad.
Políticas de dispositivos móviles
No todas las personas empleadas necesitan un dispositivo móvil. Las responsabilidades de la persona empleada dictarán si un dispositivo de la agencia, y qué tipo, es necesario para esa función.
Las políticas deben describir la(s) finalidad(es) del uso de dispositivos móviles para el trabajo. Las políticas deben ser claras en cuanto a las expectativas de disponibilidad de las personas intercesoras por teléfono cuando estén fuera de la oficina, y las personas supervisoras deben comprobar periódicamente el equilibrio entre la vida laboral y personal, los límites y los signos de trauma indirecto o agotamiento.
Cada persona defensora debe firmar un acuerdo.
Utilizar cuentas controladas por el programa
Los dispositivos que son propiedad del programa deben configurarse con cuentas en la nube controladas por el programa (ya sea Google para un dispositivo Android o iCloud para un dispositivo Apple).
Una persona supervisora debe poder acceder a estas cuentas o eliminarlas de forma remota en caso de que la persona intercesora abandone el programa.
Reduzca al mínimo la información almacenada en cuentas en la nube, en particular la relativa a las personas sobrevivientes. (Los teléfonos y las aplicaciones pueden permitir a los usuarios determinar qué datos, si los hay, se guardan en la nube o en otros dispositivos conectados).
Comprobar y purgar regularmente los datos de las personas sobrevivientes de la copia de seguridad. (Asegúrese de que las actualizaciones de los sistemas operativos o las aplicaciones no hayan restablecido estos ajustes).
Limite quién tiene acceso a los registros e información de las cuentas en la nube. Las cuentas en la nube pueden revelar información personal sobre la persona usuaria del dispositivo, incluida la ubicación del teléfono e incluso los mensajes que contiene.
Si el dispositivo dispone tanto de memoria interna como de tarjeta de memoria, guarde los datos solamente en una de ellas y bórrelos regularmente. Guardar los datos en una tarjeta de memoria puede ser lo más fácil, ya que una tarjeta de memoria se puede extraer y destruir.
Antes de deshacerse de un teléfono o actualizar el dispositivo para dárselo a una nueva persona intercesora, restablezca el teléfono a los ajustes de fábrica para borrar cualquier dato.
Seguridad de dispositivos y cuentas
Los dispositivos deben ser configurados por personal informático cualificado para mejorar la seguridad y deben ser revisados periódicamente por dicho personal. La revisión debe incluir las actualizaciones necesarias, un análisis en busca de malware, una comprobación de todas las aplicaciones instaladas y cualquier otro problema de seguridad.
Medidas básicas de seguridad
Códigos de acceso u otros bloqueos de dispositivos - No utilice el mismo código de acceso para todos los dispositivos de la agencia. Las personas supervisoras y el personal de tecnología e informática (IT) deben siempre poder desbloquear el dispositivo. Cada dispositivo debe bloquearse automáticamente tras un breve período de inactividad. Mantenga actualizados el software y las aplicaciones. Las actualizaciones deben ser automáticas.
Instale software o aplicaciones antimalware. Existen programas o aplicaciones para todo tipo de dispositivos móviles. Algunos programas de seguridad, además de la configuración, permiten localizar el dispositivo en caso de pérdida o robo y borrarlo a distancia. El software antimalware evitará que se instalen programas maliciosos en el dispositivo, lo que aumentará su privacidad y seguridad.
Borrado remoto. Los programas deben tener la capacidad de borrar a distancia el contenido de un teléfono perdido o robado.
Controles parentales o de supervisión. Los programas deben evitar aplicaciones o funciones que controlen o supervisen el teléfono de una persona defensora. Este mismo tipo de software suele ser utilizado por personas acosadoras y agresoras.
Medidas de seguridad adicionales
Evite las configuraciones telefónicas que envían una grabación de audio o una transcripción por correo electrónico o mensaje de texto.
Evite desviar automáticamente los mensajes de voz de la oficina a un teléfono. Si se reenvían los mensajes de voz, elimine las grabaciones de audio, los correos electrónicos y los mensajes de texto de los mensajes de voz de las personas sobrevivientes tan pronto como se hayan escuchado.
Utilice un código de acceso seguro para el buzón de voz de un teléfono móvil.
No guarde las citas de las personas sobrevivientes en calendarios personales. Procure tener un calendario solamente para citas que se purgue periódicamente y que no incluya datos identificativos de las personas sobrevivientes. Cuando use el calendario de citas, considere solo referirse a las personas sobrevivientes con un número de identificación generado por el programa.
Para obtener más información lea La comunicación telefónica con las personas sobrevivientes.
Tenga cuidado al utilizar las aplicaciones
Descargue solo las aplicaciones necesarias para el trabajo.
Por su diseño, algunas aplicaciones solicitan acceso a los datos almacenados en el dispositivo, incluida la información de las personas sobrevivientes si está almacenada en correos electrónicos, contactos, fotos u otras áreas del dispositivo.
Revise la configuración de privacidad del dispositivo y limite el acceso de las aplicaciones a los datos del dispositivo. No deben utilizarse aplicaciones de localización o seguimiento de ningún tipo para vigilar al personal. En su lugar, el personal debe participar en conversaciones sobre cualquier preocupación de seguridad que puedan tener mientras están de servicio y se debe acordar la manera de poner un plan en marcha.
Nunca deben guardarse en las aplicaciones o en el teléfono ubicaciones específicas como el domicilio, el trabajo o los lugares de reunión de las personas sobrevivientes.
Desactive la localización en las aplicaciones de la cámara, lo que impedirá que se almacene información sobre la ubicación en fotos o vídeos digitales.
No descargue aplicaciones provenientes de fuentes diferentes a las tiendas de aplicaciones oficiales. Las aplicaciones externas pueden hacer que el dispositivo sea más vulnerable al malware o al spyware. Los teléfonos Android tienen ajustes de seguridad que limitan la capacidad del dispositivo para descargar e instalar apps de "fuentes desconocidas".
Aplicaciones de mensajería
Los textos y los mensajes pueden aumentar el acceso de algunas personas sobrevivientes y ayudar a que puedan participar y estar al tanto. Por otro lado, pueden utilizarse para transmitir información cuando una persona sobreviviente no puede hablar por teléfono. Para obtener más información lea enviando mensajes de texto a las personas sobrevivientes.
Cuando envíe mensajes de texto a las personas sobrevivientes, elimínelos lo antes posible de todos los dispositivos, así como de las cuentas en la nube donde pudieran estar almacenados.
Consideraciones sobre el trabajo de la agencia a distancia: Correo electrónico, Wifi y acceso a archivos
Si es necesario acceder al correo electrónico en un teléfono inteligente, asegúrese de que las políticas y prácticas de confidencialidad incluyan el acceso al correo electrónico en teléfonos inteligentes. Para obtener más información, lea El envío de correo electrónico a las personas sobrevivientes
Conexiones Wifi
En general, las redes públicas Wifi son inseguras y vulnerables a la piratería o la interceptación de información. Las redes que no tienen contraseña, o tienen contraseñas que se publican, son redes inseguras.
Una Red Privada Virtual (VPN) protege los datos mientras están en tránsito y evita que se acceda a ellos o que sean controlados.
Utilice una VPN cuando cargue archivos con información de clientes.
Otros métodos seguros de conexión incluyen utilizar el plan de datos del dispositivo o esperar hasta que el dispositivo esté conectado a una conexión segura a Internet.
Acceso remoto a archivos
Compartir y acceder a archivos remotos puede hacerse de forma segura utilizando servicios en la nube.
Busque opciones de cifrado que no permitan a la empresa tecnológica ver el contenido de los archivos, ya que solo el programa posee la clave de cifrado. Esto se denomina a veces cifrado de conocimiento cero, sin conocimiento o del lado del cliente. EmpowerDB (una herramienta de bases de datos diseñada para proveedores de servicios para víctimas) y Proton Drive (un servicio general de almacenamiento en la nube y uso compartido de archivos) son ejemplos de servicios con este tipo de cifrado.
Elija un servicio que permita a los programas controlar el acceso a los archivos usuario por usuario, de modo que el acceso de las personas empleadas pueda añadirse o revocarse en cualquier momento. Para obtener más información sobre la elección lea los servicios en la nube o internos.