- Gestión de accesos y autorizaciones
- Desactivación inmediata de todos los accesosBloquee las cuentas de usuario, VPN, correo electrónico, software de la empresa y el acceso a sistemas sensibles (ERP, CRM, herramientas de RRHH) el último día de trabajo del empleado.
- Cambios de contraseñaPara las cuentas genéricas o compartidas, cambie las contraseñas inmediatamente después de que el empleado se marche.
- Revisión sistemáticaComprobación y revocación de autorizaciones en sistemas operativos (Windows, Linux, etc.), aplicaciones (registro de tiempos, aplicaciones especializadas), servicios en la nube (Microsoft 365, Google Workspace) y otras plataformas.
- DocumentaciónRegistre todas las medidas de retirada y desactivación para garantizar el cumplimiento de las auditorías y la trazabilidad.
- Gestión del correo electrónico profesional
- Desactivar o redirigir la cuenta de correo electrónicoBloquear la cuenta de correo electrónico del trabajo inmediatamente después de dejarla o redirigirla a una cuenta alternativa. Reenvío permanente sólo si es absolutamente necesario y en cumplimiento de la transparencia.
- Correos electrónicos privados:
- Si se permitió el uso privado, los correos electrónicos privados deben ser vistos por personas autorizadas y coordinados con el (antiguo) empleado (si aún está disponible).
- Entrega correos electrónicos privados a los empleados o entrégalos de forma segura en soportes de datos.
- Todos los correos electrónicos privados deben borrarse de la cuenta profesional.
- Garantizar que no se produzca ningún acceso no autorizado a los datos personales de terceros.
- Correos electrónicos de interés para la empresa:
- Archivo o transferencia ordenada a sucesores para cumplir los plazos de conservación legales (por ejemplo, HGB, AO).
- Publicación de recursos de la empresa
- Control de inventarioGarantizar la devolución de todos los dispositivos proporcionados (ordenador portátil, teléfono inteligente, memorias USB, fichas de hardware, tarjetas de acceso).
- Transferencia de datos: Compruebe los datos almacenados en los dispositivos devueltos para asegurarse de que toda la información relevante está disponible de forma actualizada o más actualizada que en las unidades de red existentes. Compruebe si hay datos que deban transferirse o integrarse en sistemas centralizados.
- Borrado seguro de datosElimine de forma segura los datos confidenciales de la empresa en los dispositivos devueltos (por ejemplo, utilizando herramientas certificadas) para evitar accesos no autorizados.
- Certificados y fichas personalesElimine o invalide los certificados de los servidores y los tokens de hardware que ya no sean necesarios.
- Transmisión de datos y copias de seguridad
- Transferencia de datos relevantes para la empresaTodos los documentos, archivos y datos relevantes para las operaciones empresariales se transfieren a los compañeros, sucesores o superiores responsables de forma estructurada.
- Prevención de transferencias de datos no autorizadasAsegúrese de que ningún dato relevante de la empresa permanece en dispositivos privados, medios de almacenamiento externos o servicios en la nube no autorizados.
- Comprobación de las copias de seguridadComprobar si los datos personales del empleado están disponibles en las copias de seguridad. Los datos personales que ya no sean necesarios deben, en la medida en que sea técnicamente posible y legalmente permisible, eliminarse de las copias de seguridad o tratarse de forma controlada utilizando conceptos de supresión adecuados.
- Comunicación
- Información interna y externaInformar al personal y, en su caso, a los clientes sobre la marcha para garantizar una información clara sobre los nuevos contactos.
- Nota de fuera de la oficinaEstablezca una nota de ausencia en el sistema de correo electrónico que indique la ausencia permanente y nombre a la nueva persona de contacto.
- Aspectos de protección de datos (incl. Art. 15 GDPR)
- Comprobar consentimientosRevocar y documentar cualquier consentimiento dado (por ejemplo, uso de fotos, perfiles en el sitio web o la intranet).
- Supresión de datos personales:
- Los datos personales privados del antiguo empleado que estén almacenados en la empresa y que ya no sean necesarios deberán suprimirse de conformidad con el artículo 17 del RGPD. Previamente, deberá ofrecerse al empleado la entrega de sus datos personales previa solicitud.
- Respetar las obligaciones legales de conservación (por ejemplo, las nóminas): Consérvelas sólo durante el plazo establecido. Elimínelas o destrúyalas inmediatamente después de que hayan expirado los plazos.
- Derecho a la información y a la transferencia de datos de conformidad con el artículo 15 del RGPD:
- El empleado tiene derecho a recibir información sobre los datos personales almacenados sobre él. Previa solicitud:
- Suministro en un formato estructurado, común y legible por máquina (por ejemplo, CSV, PDF).
- Antes de la transmisión, compruebe cuidadosamente que no se revelan ilegalmente datos personales de terceros. Si es necesario, minimice o redacte los datos.
- Documentar el proceso de divulgación y transferencia de datos para cumplir las obligaciones de rendición de cuentas en virtud del GDPR.
- Medidas de seguridad de la información
- Informática forense en caso de sospechaSi hay indicios de uso indebido de datos o de infracciones de la normativa, inicie análisis forenses informáticos antes de que el empleado se marche.
- Registro del proceso de bajaRegistre todas las acciones realizadas (desactivaciones, renuncias, supresiones).
- Debate final y sensibilizaciónInforme al empleado de que las obligaciones de secreto y confidencialidad siguen vigentes después de dejar la empresa. Señale las posibles consecuencias legales en caso de infracción.
- Medidas conformes a la IT-Grundschutz
- Seguridad físicaComprobar los derechos de acceso a edificios y salas de servidores; desactivar o retirar tarjetas de bloqueo, llaves y fichas de hardware.
- Supervisión de redes y sistemasTras desactivar todos los accesos, asegúrese de que no se produce ningún uso no autorizado de los recursos (controle los registros, utilice la detección de anomalías).
- Lista de control para la incorporación
- Desactivar accesosCuentas de usuario (AD, ERP, CRM, correo), acceso remoto (VPN, nube).
- Recuperar los recursos de la empresaHardware, licencias de software, documentos.
- Garantizar la transferencia de datosTransferir archivos e información de interés para la empresa a los colegas pertinentes.
- Gestione su cuenta de correo electrónicoReenvío a sustitutos, creación de notas fuera de la oficina, eliminación de correos electrónicos privados.
- Comunicación interna/externaInformación sobre dimisiones, nombramiento de nuevas personas de contacto.
- Protección de datos y seguridad de la información:
- Comprobar y revocar consentimientos
- Respetar el derecho a la información de conformidad con el artículo 15 del GDPR (proporcionar datos en caso necesario)
- Borrar o transferir datos privados
- Cumplir las obligaciones de retención
- Documentar y comprobar las medidas de seguridad
- DocumentaciónRegistre todos los pasos, decisiones y traspasos relacionados con la incorporación.