Nuestro Blog

Niveles de seguridad en ficheros de tratamiento de datos personales LOPD : Nivel Medio

En este caso veremos las Funciones y Obligaciones que tienen en el nivel medio de seguridad, ademas de los requisitos basicos,para ficheros de tratamiento de datos de caracter personal, no tratamos las medidas de seguridad en ficheros no informatizados, como el papel, por ser casi inexistentes::

Artículo 95: el responsable de seguridad

En el documento de seguridad deberán designarse uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en el mismo. Esta designación puede ser única para todos los ficheros o tratamientos de datos de carácter personal o diferenciado, según los sistemas de tratamiento utilizados, circunstancia que deberá hacerse constar claramente en el documento de seguridad. En ningún caso esta designación supone una exoneración de la responsabilidad que corresponde al responsable del fichero o al encargado del tratamiento de acuerdo con este reglamento.

Después de adecuar la empresa a la LOPD y “mantenerla al día” según la LOPD, tendremos que realizar una auditoría obligatoria bianual. Véase el Artículo 96.

Artículo 96. Auditoría:

1. A partir del nivel medio, los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se someterán, al menos cada dos años, a una auditoría interna o externa que verifique el cumplimiento del presente título. Con carácter extraordinario deberá realizarse dicha auditoría siempre que se realicen modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptación, adecuación y eficacia de las mismas. Esta auditoría inicia el cómputo de dos años señalado en el párrafo anterior.

2. El informe de auditoría deberá dictaminar sobre la adecuación de las medidas y controles a la Ley y su desarrollo reglamentario, identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias. Deberá, igualmente, incluir los datos, hechos y observaciones en que se basen los dictámenes alcanzados y las recomendaciones propuestas.

3. Los informes de auditoría serán analizados por el responsable de seguridad competente, que elevará las conclusiones al responsable del fichero o tratamiento para que adopte las medidas correctoras adecuadas y quedarán a disposición de la Agencia Española de Protección de Datos o, en su caso, de las autoridades de control de las comunidades autónomas.

Su empresa de informática y Software o su departamento interno de informática entran en acción de nuevo. El incumplimiento de esta medida de seguridad conlleva desastrosas consecuencias.

Artículo 97. Gestión de soportes y documentos.

1. Deberá establecerse un sistema de registro de entrada de soportes que permita, directa o indirectamente, conocer el tipo de documento o soporte, la fecha y hora, el emisor, el número de documentos o soportes incluidos en el envío, el tipo de información que contienen, la forma de envío y la persona responsable de la recepción que deberá estar debidamente autorizada.

En el caso que la documentación se reciba por correo electrónico es mucho más fácil de cumplir estos requisitos.

Para llevar un registro exhaustivo, nada mejor que tener actualizado un libro de registros de entrada de soportes que contengan datos de carácter personal. Este libro puede ser una tabla en su ordenador donde incluya en las casillas a tal efecto, los datos solicitados en el párrafo anterior.

2. Igualmente, se dispondrá de un sistema de registro de salida de soportes que permita, directa o indirectamente, conocer el tipo de documento o soporte, la fecha y hora, el destinatario, el número de documentos o soportes incluidos en el envío, el tipo de información que contienen, la forma de envío y la persona responsable de la entrega que deberá estar debidamente autorizada. El control es exactamente igual que el punto número 1.

No se preocupen en exceso de tales controles, pues por norma la mayoría de empresas no tienen esta obligación ya que no ceden ni salen documentos con datos de nivel medio de las instalaciones de su empresa. Pero ojo en el caso que si cedan datos o se dediquen a la cesión o tratamiento de datos de nivel medio, tendrán que llevar estos controles. Aunque como veremos más adelante, en el proceso de adecuación podemos tenerlo todo correcto a golpe de clic. Siempre es mas cómodo en todos los aspectos tenerlo informatizado.

Al igual que en Artículo 93 nos indicaba el tratamiento a seguir para la correcta autentificación e identificación, el Artículo 98 añade el siguiente punto.

Artículo 98: Identificación y Autentificación.

El responsable del fichero o tratamiento establecerá un mecanismo que limite la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de información.

La forma más usual para conseguir este propósito es una contraseña que al tercer intento fallido bloquee el ordenador, también puede dar un aviso automático al responsable de fichero.

Al Artículo 91. Tal y como indica el Artículo 99 de Control de acceso físico. Se le aplicara el siguiente apartado:

Artículo 99: Control de acceso físico.

Exclusivamente el personal autorizado en el documento de seguridad podrá tener acceso a los lugares donde se hallen instalados los equipos físicos que den soporte a los sistemas de información.

Pongamos como ejemplo, un despacho donde están los archivadores que contienen expedientes de clientes, en los que existen datos relacionados a la solvencia, penales, etc. Este despacho tiene que permanecer cerrado en ausencia del responsable para evitar intrusiones no autorizadas, o un archivador que solo tengan la llave las personas autorizadas, estas personas serán relacionadas en el Documento de Seguridad.

Atención al Registro de incidencias ya que el Artículo 100, añade 2 apartados:

Artículo 100: Registro de incidencias.

1. En el registro regulado en el artículo 90 deberán consignarse, además, los procedimientos realizados de recuperación de los datos, indicando la persona que ejecutó el proceso, los datos restaurados y, en su caso, qué datos ha sido necesario grabar manualmente en el proceso de recuperación.

Estos nuevos requerimientos en el caso de nivel medio de seguridad, los incluiremos en la “tabla” comentada en el Art.90

2. Será necesaria la autorización del responsable del fichero para la ejecución de los procedimientos de recuperación de los datos.

No podemos recuperar datos de carácter personal que ya están eliminados, ya que es muy posible que estén eliminados cumpliendo con la normativa que nos indica que cuando los datos han cumplido su finalidad, ya no son necesarios o son inexacto Etc. Deberán ser eliminados. Es normal pedir esta autorización para recuperar lo eliminado por error.
Si tenéis cualquier duda o necesitais ayuda no dudeis en contactar con nosotros .

No hay comentarios:

Publicar un comentario

E&E Consultores
y Asesores Designed by Templateism | MyBloggerLab Copyright © 2014

Free Blogger Themes

Diseñado con por E&E Consultores
y Asesores
Copyright © 2014

Imágenes del tema: richcano. Con la tecnología de Blogger.