Sumario: 1. Introducción; 2. Teletrabajo en el Estado como obligación legal; 3. ISO 27001 y teletrabajo: cumplimiento obligatorio; 4. El deber de gestionar la seguridad, no de invocarla como excusa; 5. Teletrabajo seguro y compatible con estándares internacionales, 6. Conclusiones.
1. Introducción
Este artículo analiza críticamente la negativa de diversas entidades públicas a implementar el teletrabajo bajo el argumento de la seguridad de la información. A partir del marco normativo vigente —especialmente la Ley N.º 31572, su Reglamento, y el Decreto Legislativo N.º 1412 sobre Gobierno Digital, la Norma Técnica Peruana NTP ISO/IEC 27001 vigente sobre los requisitos para implementar, mantener y mejorar continuamente un Sistema de Gestión de Seguridad de la Información (SGSI) — se evidencia que dicha justificación no solo resulta insuficiente, sino que revela una preocupante incapacidad institucional para modernizar sus procesos y garantizar condiciones mínimas de transformación digital.
Se expone que las entidades públicas tienen la obligación legal de priorizar el teletrabajo como parte de sus procesos de modernización institucional, conforme a los mandatos expresos de la Ley N.º 31572. En ese contexto, escudarse en limitaciones técnicas que debieron superarse desde la pandemia constituye una forma inadmisible de incumplimiento normativo. Finalmente, se plantea que denegar el teletrabajo con base en argumentos genéricos o sin sustento técnico verificable afecta los principios de razonabilidad, motivación suficiente y equidad en la gestión del talento humano, especialmente en relación con trabajadores que enfrentan situaciones de vulnerabilidad y para quienes esta modalidad constituye una herramienta efectiva de conciliación entre la vida personal, familiar y laboral.
2. Teletrabajo en el Estado como obligación legal
La Ley N.º 31572 (en adelante, la Ley), en su numeral 9.2 del artículo 9, establece que en la administración pública debe priorizarse la implementación del teletrabajo en los puestos y actividades teletrabajables. Asimismo, el artículo 18 precisa que el titular de la entidad es responsable de promover, dirigir y evaluar su despliegue (numeral 18.1), y que el Comité de Gobierno Digital debe impulsar la transformación digital para su aplicación (numeral 18.3). Esta normativa impone una obligación y no una facultad discrecional: el teletrabajo es un instrumento de modernización y eficiencia que forma parte del proceso de transformación digital en el Estado.
Respecto al uso del argumento de la “seguridad de la información” como causa para denegar el teletrabajo o limitarlo territorialmente, debe señalarse con firmeza que esta práctica constituye una inadmisible tergiversación de la ley. De acuerdo con el artículo 8.7 de la Ley, es obligación del empleador capacitar al teletrabajador en el uso de aplicativos informáticos, seguridad de la información y salud en el teletrabajo. Asimismo, el artículo 19.5 de la Ley establece de forma categórica que el empleador debe garantizar todas las facilidades necesarias para el acceso a sistemas, plataformas, herramientas y software de seguridad, además de brindar soporte tecnológico remoto.
Afirmar que el teletrabajo no es posible por problemas de seguridad de la información no solo es jurídicamente improcedente, sino que revela una grave omisión del empleador en el cumplimiento de sus propias obligaciones legales. En efecto, escudarse en la supuesta falta de condiciones tecnológicas para rechazar el teletrabajo equivale a una confesión institucional de incapacidad para implementar soluciones básicas de gobernanza digital. A más de cuatro años del inicio de la pandemia, resulta inadmisible que las entidades públicas no hayan fortalecido sus mecanismos de ciberseguridad y conectividad digital, conforme a las exigencias de la Ley N.º 31572 y del Decreto Legislativo N.º 1412, Ley de Gobierno Digital. Esta norma establece que las entidades están obligadas a adoptar tecnologías para mejorar sus servicios, procesos y sistemas de información. La seguridad digital, por tanto, no es un obstáculo: es una obligación técnica y jurídica ineludible.
En ese sentido, negar el teletrabajo por razones de seguridad de la información constituye una declaración implícita de que la entidad no está en capacidad de enfrentar los desafíos contemporáneos del sector público. Si una entidad no puede garantizar la ciberseguridad de su personal —función elemental dentro de la transformación digital— difícilmente podrá cumplir de manera eficaz otros mandatos institucionales de mayor complejidad. Resulta incluso vergonzoso que, en lugar de asumir la modernización como una responsabilidad estatal, se instrumentalicen sus propias carencias como excusas para restringir derechos laborales legítimos.
Asimismo, en virtud del artículo 11 de la Ley, se reconoce el derecho del teletrabajador a escoger libremente el lugar o lugares desde donde ejercerá sus funciones, dentro o fuera del territorio nacional, siempre que se cumplan los estándares de seguridad y condiciones del ambiente de trabajo. Este reconocimiento no es trivial: responde a la necesidad de garantizar una efectiva conciliación entre la vida personal, familiar y laboral. Por tanto, si una trabajadora decide alternar entre su domicilio y otros espacios donde reciba apoyo para el cuidado de menores o adultos mayores, la Entidad debe garantizar esa libertad como parte de su obligación legal. Cualquier restricción territorial debe estar debidamente justificada, y no puede sustentarse en supuestas limitaciones tecnológicas, cuya superación es precisamente responsabilidad de la propia Entidad.
3. ISO 27001 y teletrabajo: cumplimiento obligatorio
La normativa nacional reconoce expresamente la necesidad de garantizar un entorno digital seguro para el desarrollo del teletrabajo en el sector público. Conforme al artículo 24.2 del Reglamento de la Ley N.º 31572, corresponde a la Secretaría de Gobierno y Transformación Digital de la Presidencia del Consejo de Ministros emitir los lineamientos que aseguren la confianza digital, estableciendo como mínimo el uso obligatorio de redes de comunicación seguras y medidas específicas contra amenazas como la suplantación de identidad o la ingeniería social. Estas disposiciones no son meras recomendaciones, sino obligaciones de cumplimiento para todas las entidades públicas que implementan el teletrabajo, las cuales deben adaptar sus sistemas y procesos a dichos estándares mínimos de protección.
En este contexto, la aplicación de la norma técnica NTP ISO/IEC 27001:2022 resulta no sólo compatible sino esencial para cumplir con las exigencias del artículo 24.2. Este estándar internacional proporciona un marco robusto para la gestión de riesgos de seguridad de la información y contempla, de forma sistemática, controles orientados a la autenticación, el acceso seguro a redes, la protección contra el phishing y la ingeniería social, así como la respuesta ante incidentes de seguridad. La adopción de herramientas tecnológicas certificadas o alineadas con esta norma, como aquellas que permiten autenticación multifactor y geolocalización segura, constituye una buena práctica que traduce en hechos concretos el mandato legal de asegurar un teletrabajo protegido, supervisable y conforme con los principios de confianza digital establecidos por la administración pública.
4. El deber de gestionar la seguridad, no de invocarla como excusa
El argumento de la “seguridad de la información” utilizado por algunas entidades públicas para restringir o denegar el teletrabajo —en especial cuando se plantea desde fuera del territorio nacional— debe analizarse con rigor técnico y legal. En este punto, es importante recordar que mediante la Resolución de Secretaría de Gobierno y Transformación Digital N° 003-2023-PCM/SGTD se establece la implementación y mantenimiento del sistema de gestión de seguridad de la información en las entidades públicas. Así, el Estado peruano estableció la obligatoriedad del uso de la Norma Técnica Peruana NTP ISO/IEC 27001:2022 en todas las entidades del Sistema Nacional de Informática. Esta norma internacional constituye un estándar reconocido para la gestión de seguridad de la información y contempla un enfoque sistemático para identificar, evaluar y tratar riesgos, sin imponer restricciones geográficas a la ubicación del trabajador.
La ISO/IEC 27001:2022 no establece limitaciones territoriales para la gestión segura de la información. Por el contrario, promueve el desarrollo de controles técnicos y organizacionales que garanticen la confidencialidad, integridad y disponibilidad de los datos, independientemente de la ubicación del usuario. Entre estas medidas se encuentran el cifrado de datos, el uso de VPNs, autenticación multifactor y políticas de acceso remoto seguro. En consecuencia, cualquier afirmación genérica sobre la imposibilidad de implementar el teletrabajo desde el extranjero debido a supuestas vulnerabilidades debe ser objetivamente fundamentada y estar acompañada de un análisis detallado de riesgos, conforme lo exige dicho estándar.
La denegatoria de teletrabajo sustentada únicamente en expresiones ambiguas sobre “riesgos de seguridad” sin un análisis técnico riguroso carece de validez jurídica y técnica. La gestión de riesgos en seguridad de la información, conforme a la ISO/IEC 27001:2022, exige identificar activos, amenazas, vulnerabilidades y controles asociados, evaluando su impacto y probabilidad en el contexto específico de la organización. Asimismo, este análisis debe contemplar la identificación y aplicación de salvaguardas, incluyendo aquellas relacionadas con acceso remoto seguro, autenticación multifactor y supervisión continua del entorno digital del teletrabajador. La falta de dicho análisis no solo contraviene las buenas prácticas internacionales, sino que revela una omisión en el cumplimiento de la propia normativa estatal, al no aplicar adecuadamente los estándares que la administración pública está obligada a implementar, vulnerando inclusive los principios del SGSI conforme al ciclo PHVA (Planificar – Hacer – Verificar – Actuar), al no establecer salvaguardas proporcionales ni actualizar controles en función de la realidad operativa. Esto resulta especialmente grave si se considera que el teletrabajo ya se encuentra implementado de manera efectiva en múltiples entidades públicas y privadas. Por tanto, cualquier análisis serio de riesgos conforme a la NTP ISO/IEC 27001:2022 debe partir de dicha realidad operativa. Además, tanto la Ley N.º 31572 como el Decreto Legislativo N.º 1412 exigen explícitamente que las entidades públicas adopten tecnologías seguras que garanticen servicios digitales resilientes, sin establecer restricciones geográficas para el trabajo remoto. Más aún, la Ley N.º 31572 no restringe el teletrabajo al ámbito nacional, permitiéndolo expresamente desde el extranjero. Negar esta posibilidad bajo argumentos de seguridad generalistas, sin evidencias técnicas específicas, resulta jurídicamente insostenible y técnicamente deplorable.
Además, el Decreto Legislativo N.º 1412, Ley de Gobierno Digital, establece que las entidades deben adoptar tecnologías que permitan la mejora continua de sus procesos, servicios y sistemas de información. Por tanto, alegar limitaciones técnicas para impedir el teletrabajo desde fuera del país, sin haber desarrollado las capacidades mínimas de ciberseguridad, equivale a admitir una grave incapacidad institucional que, lejos de justificar restricciones, evidencia el incumplimiento de obligaciones legales.
5. Teletrabajo seguro y compatible con estándares internacionales
Desde una perspectiva de gestión moderna de la información, el teletrabajo —incluso desde el extranjero— no constituye en sí mismo un riesgo para la seguridad digital. Su viabilidad depende fundamentalmente del nivel de implementación de políticas, procesos y herramientas destinados a proteger la información institucional. En este sentido, la norma ISO/IEC 27001:2022 ofrece un marco técnico integral para la gestión de riesgos en materia de seguridad de la información. Por ello, resulta inconsistente e injustificable que una entidad invoque supuestas deficiencias en seguridad digital para limitar o negar la aplicación del teletrabajo, sin haber acreditado previamente la implementación de los mecanismos de gestión exigidos por dicha norma y por la normativa nacional vigente en materia de transformación digital.
Por tanto, en lugar de utilizar la seguridad informática como una barrera para el teletrabajo, las entidades públicas deben asumirla como una responsabilidad activa y permanente. Invocar genéricamente un riesgo sin detallar ni sustentar técnicamente su existencia constituye una vulneración del deber de motivación administrativa, además de desconocer el derecho de los servidores a trabajar en entornos protegidos —sin importar su ubicación geográfica— siempre que se cumplan los controles definidos en la normativa vigente.
Una aplicación concreta de cómo las entidades pueden cumplir con las exigencias de seguridad digital establecidas en la Ley N.º 31572, su reglamento y los estándares como la ISO/IEC 27001:2022, es el uso de soluciones tecnológicas como Ironchip. Esta herramienta de autenticación fuerte sin contraseñas permite implementar controles técnicos avanzados —como autenticación multifactor basada en biometría, dispositivo y geolocalización— que aseguran el acceso exclusivo de usuarios autorizados a sistemas y plataformas institucionales. Además, su capacidad para detectar en tiempo real actividades sospechosas, robos de cuentas o cambios no autorizados en la ubicación del teletrabajador permite cumplir no solo con el artículo 19.5 de la Ley (facilidades y soporte tecnológico), sino también con las disposiciones sobre verificación del lugar habitual de trabajo sin necesidad de fiscalizaciones físicas invasivas. De este modo, soluciones como Ironchip demuestran que es técnicamente viable garantizar un teletrabajo seguro, incluso desde el extranjero, desmontando el mito de que la seguridad informática es un impedimento estructural para su implementación en el sector público.
6. Conclusiones
Negar el teletrabajo bajo el argumento genérico de “seguridad de la información” no solo constituye un acto jurídicamente improcedente, sino una demostración palpable de incompetencia institucional. En pleno 2025, una entidad pública que afirma no poder garantizar entornos digitales seguros para sus propios trabajadores, simplemente está confesando su fracaso en cumplir funciones elementales del servicio público. Si no es capaz de implementar las condiciones mínimas de ciberseguridad que exige la normativa vigente —como las previstas en la Ley N.º 31572, su Reglamento, la Ley de Gobierno Digital y la NTP ISO/IEC 27001:2022—, entonces no está en condiciones de asumir ninguna responsabilidad crítica en la administración del Estado.
La transformación digital del sector público no es una aspiración futura: es una obligación actual, exigible y legalmente vinculante. Una entidad que justifica su falta de modernización tecnológica para evitar implementar el teletrabajo demuestra una alarmante desconexión con su rol dentro del Estado moderno. Más grave aún, perpetúa una gestión ineficiente y resistente al cambio, afectando de manera directa el principio de equidad en el acceso a condiciones laborales más flexibles y adaptativas, especialmente para quienes podrían beneficiarse de esta modalidad por razones personales o familiares. Quienes hoy no pueden garantizar siquiera un entorno digital seguro para el desempeño remoto de sus trabajadores, difícilmente podrán responder a los desafíos más complejos del servicio público contemporáneo. En consecuencia, las autoridades que no estén en capacidad —o no tengan la voluntad— de cumplir con el mandato legal y técnico del teletrabajo seguro, simplemente no deberían dirigir una entidad pública por lo que deben replantear su compromiso con la gestión pública moderna y orientada a resultados. Porque no se trata solo de infraestructura tecnológica: se trata de responsabilidad institucional, visión de futuro y capacidad de gestión.
Referencias
- Congreso de la República del Perú. (2018). Decreto Legislativo N.º 1412 – Ley de Gobierno Digital. Diario Oficial El Peruano.
- Congreso de la República del Perú. (2022). Ley N.º 31572, Ley de Teletrabajo. Diario Oficial El Peruano.
- Presidencia del Consejo de Ministros. (2023). Decreto Supremo N.º 002-2023-TR, Reglamento de la Ley N.º 31572. Diario Oficial El Peruano.
- Instituto Nacional de Calidad. (2022). NTP ISO/IEC 27001:2022. Tecnología de la información. Técnicas de seguridad. Sistemas de gestión de seguridad de la información. Requisitos (3.ª ed.). Lima: INACAL.
- Secretaría de Gobierno y Transformación Digital. (2023). Resolución de Secretaría de Gobierno y Transformación Digital N.º 003-2023-PCM/SGTD que establece la implementación y mantenimiento del Sistema de Gestión de Seguridad de la Información en las entidades públicas. Diario Oficial El Peruano. https://www.gob.pe/institucion/pcm/normas-legales/3960096-003-2023-pcm-sgtd
Sobre la autora: Lucía Martina Pesantes Luna es abogada con Máster en Protección de Datos (UNIR) y en Análisis Económico del Derecho (URJC). Especialista en compliance y ciberseguridad con experiencia en España y Perú, certificada como Auditora Líder ISO 27001 por AENOR.
