En este caso veremos las Funciones y
Obligaciones que tienen en el nivel básico de seguridad (Artículo
89) los ficheros de tratamiento de datos personales inscritos en la AEPD, en teoria deberiamos registrar en la AEPD nuestros ficheros que contengan datos personales, como pueden ser clientes, empleados, etc. Este es el nivel que normalmente deberemos cumplir a no ser que dispongamos de información especialmente sensible:
1. Las funciones y obligaciones de cada
uno de los usuarios o perfiles de usuarios con acceso a los datos de
carácter personal y a los sistemas de información estarán
claramente definidas y documentadas en el documento de seguridad.
También se definirán las funciones de control o autorizaciones
delegadas por el responsable del fichero o tratamiento.
2. El responsable del fichero o
tratamiento adoptará las medidas necesarias para que el personal
conozca de una forma comprensible las normas de seguridad que afecten
al desarrollo de sus funciones así como las consecuencias en que
pudiera incurrir en caso de incumplimiento.
Como ya imaginaran, hay que crear un
Registro de incidencias, según el Artículo 90. Pero no se
preocupen, vamos a no tener ninguna, ya que vamos a hacer bien las
cosas, pero en el supuesto que ocurriera, también es lógico crear
este registro ya que no sería viable llevar un control
correctamente.
Artículo 90:Registro de incidencias.
Deberá existir un procedimiento de
notificación y gestión de las incidencias que afecten a los datos
de carácter personal y establecer un registro en el que se haga
constar el tipo de incidencia, en el momento que se ha producido, o
en su caso, detectado, la persona que realiza la notificación, a
quién se le comunica, los efectos que se hubieran derivado de la
misma y las medidas correctoras aplicada.
La forma más sencilla es creando una
tabla, con los campos requeridos y cada vez que tengan una
incidencia, sea cual sea y de departamento que cometa, cumplimentar
dicha tabla, y que debe quedar registrada y adjuntada al Documento de
Seguridad.
Llego el momento de proteger los
accesos a los datos para que otras personas que no estén autorizadas
al tratamiento no puedan alterar ni tan siquiera acceder a ellos. En
el Artículo 91. Nos encontramos con el Control de acceso.
Artículo 91: Control de acceso.
1. Los usuarios tendrán acceso
únicamente a aquellos recursos que precisen para el desarrollo de
sus funciones.
Un técnico industrial de una empresa,
no tiene por qué tener acceso a la contabilidad ni a datos
personales del resto de empleados
2. El responsable del fichero se
encargará de que exista una relación actualizada de usuarios y
perfiles de usuarios, y los accesos autorizados para cada uno de
ellos.
Un listado donde se refleje el nombre y
apellido del usuario, cargo que desempeña y si es un contable,
seguro que tiene acceso a prácticamente todo, pero un comercial no
tendrá estos mismos privilegios de acceso. En el Documento de
seguridad que redactaremos más adelante, veremos que este listado
con la relación de usuarios, suele ser uno de los más dinámicos.
3. El responsable del fichero
establecerá mecanismos para evitar que un usuario pueda acceder a
recursos con derechos distintos de los autorizados.
Un poco más de lo mismo, Esto suele
solucionarse, no compartiendo según que carpetas en la red de su
empresa, también se pueden poner los accesos denegados o protegerlos
con una contraseña, que solo la persona autorizada conozca
4. Exclusivamente el personal
autorizado para ello en el documento de seguridad podrá conceder,
alterar o anular el acceso autorizado sobre los recursos, conforme a
los criterios establecidos por el responsable del fichero.
En el Documento de Seguridad, tendrán
que incluir quien es el responsable de seguridad, dicho responsable
del tratamiento será quien se encargue de las autorizaciones de
acceso a los usuarios, ninguna otra persona puede alterar estas
condiciones sin autorización.
5. En caso de que exista personal ajeno
al responsable del fichero y tengan acceso a los recursos protegidos,
deberá estar sometido a las mismas condiciones y obligaciones de
seguridad que el personal propio.
Este apartado será de interés para el
informático de la empresa por que La correcta gestión interna para
tratar los soportes y documentos lo especifica el Artículo 92 en 5
interesantes e importantes apartados
Artículo 92: Gestión de soportes y
documentos.
1. Los soportes y documentos que
contengan datos de carácter personal deberán permitir identificar
el tipo de información que contienen, ser inventariados y solo
deberán ser accesibles por el personal autorizado para ello en el
documento de seguridad. Se exceptúan estas obligaciones cuando las
características físicas del soporte imposibiliten su cumplimiento,
quedando constancia motivada de ello en el documento de seguridad.
Cuando se trata de servicios
informáticos es sumamente sencillo, ya que podemos titularlos,
filtrarlos y protegerlos con claves o encriptaciones, el problema
surge cuando están en formato papel, es posible que estén
archivados por expedientes y estos por orden alfabético, por lo que
para la gestión el día a día de la empresa, seguramente es más
que correcto. Pero por el volumen o por los pocos datos que tenemos
en las cabeceras de los expedientes, es imposible saber todos los
datos de carácter personal que contiene y por el volumen almacenado
se tardarían semanas o meses en inventariarlo. Por lo que estos
archivadores estarán cerrados bajo llave o en su defecto estarán
ubicados en un espacio restringido para el personal no autorizado a
su tratamiento. Esta imposibilidad en la seguridad de estos
archivadores, se hará constar en el Documento de seguridad, pero
incluyendo al final de la exposición referida, las medias de
seguridad que protegen estos datos, tales como “si los archivadores
o armarios tienen llave, o están en un despacho cerrado en ausencia
del responsable. etc.
2. La salida de soportes y documentos
que contengan datos de carácter personal, incluidos los comprendidos
y/o anejos a un correo electrónico, fuera de los locales bajo el
control del responsable del fichero o tratamiento deberá ser
autorizada por el responsable del fichero o encontrarse debidamente
autorizada en el documento de seguridad.
En un principio, casi nunca cedemos
datos de carácter personal a personal ajeno a su tratamiento, en la
práctica “en muchas ocasiones” SI cedemos datos a otras
compañías, tales como los datos de los empleados, para la
confección de nominas, seguros sociales, etc. Este acto no se
considerará cesión, puesto que ya tendremos un contrato de
prestación de servicios con dicha gestoría en el que estará
incluido la clausula de confidencialidad por parte de la gestoría.
Además es totalmente necesario para poder cumplir con los pagos de
los empleados etc. Etc.
En el caso que estos datos sean
comunicados a un perito o a un comercial o a un cobrador, etc., para
que visite o realice alguna gestión con los datos personales que
ustedes le han entregado. Ya sea personal propio, subcontratado o
ajeno, SI que tendremos que tener una clausula o contrato de
confidencialidad con los mismos (incluso trabajadores propios en sus
labores cotidianas) y se incluirá en el documento de seguridad y se
hará constar en el alta del registro del fichero en la AEPD. Para su
tranquilidad, esto solo lo tendrán que hacer una vez, a partir de
tenerlo contemplado en su Doc. de Seguridad y firmado la
confidencialidad, sus actividades cotidianas no sufrirán cambio
alguno.
3. En el traslado de la documentación
se adoptarán las medidas dirigidas a evitar la sustracción, pérdida
o acceso indebido a la información durante su transporte.
Es de sentido común, si le entregamos
a un individuo, un disco duro donde tenemos incluidos datos
personalísimos, por lo menos lo tendremos que proteger con claves de
acceso y un a encriptación de los datos que contiene.
4. Siempre que vaya a desecharse
cualquier documento o soporte que contenga datos de carácter
personal deberá procederse a su destrucción o borrado, mediante la
adopción de medidas dirigidas a evitar el acceso a la información
contenida en el mismo o su recuperación posterior.
En los caso más usuales, se eliminan
definitivamente del soporte informático, o en trituradora de papel,
en caso de poco volumen se destruirá minuciosamente a mano si es en
formato papel, los discos duros serán destruidos o formateados,
garantizando de tal modo la imposibilidad de acceso o recuperación.
5. La identificación de los soportes
que contengan datos de carácter personal que la organización
considerase especialmente sensibles se podrá realizar utilizando
sistemas de etiquetado comprensibles y con significado que permitan a
los usuarios con acceso autorizado a los citados soportes y
documentos identificar su contenido, y que dificulten la
identificación para el resto de personas. Ejemplo “usar un cifrado
interno” El colocar una etiqueta adhesiva a un ordenador en la que
incluyamos un código, por ejemplo FA.2101 y así sucesivamente en
todos los soportes, informatizados o no, podemos tener una relación
de conocimiento únicamente para el personal autorizado donde se
indique que FA.2101 Es el ordenador del departamento de contabilidad.
O etiquetar el portátil de un comercial con “CO1001”, este
listado con los códigos estará custodiado por el responsable de los
ficheros.
Ahora se complica un poco, pero como
viene siendo habitual, cuando apliquen estas medidas de seguridad, su
tratamiento habitual mejorará. Otras de las medidas a adoptar es la
correcta Identificación y Autentificación de lo que estamos
tratando, esta medida la agradeceremos mucho ya que nos hará ahorrar
tiempo. En el Artículo 93 observaremos lo siguiente.
Artículo 93: Identificación y
autenticación.
1. El responsable del fichero o
tratamiento deberá adoptar las medidas que garanticen la correcta
identificación y autenticación de los usuarios. El listado de
usuarios y autorizados que comentábamos antes.
2. El responsable del fichero o
tratamiento establecerá un mecanismo que permita la identificación
de forma inequívoca y personalizada de todo aquel usuario que
intente acceder al sistema de información y la verificación de que
está autorizado.
Si cada usuario tiene su propio
ordenador y tiene los accesos permitidos o no en la red comercial, no
hay problema, pero si tiene acceso a un servidor el cual contiene
documentación, carpetas, informes etc., que contienen datos de
carácter personal y dicho usuario no tiene autorización de acceso,
se complica un poco pues tendrán que instalar, por ejemplo un
software que registre quien ha accedido, a que ha accedido, fecha y
hora del acceso o de la negación de acceso. Además que para el
acceso deberá introducir una contraseña.
3. Cuando el mecanismo de autenticación
se base en la existencia de contraseñas existirá un procedimiento
de asignación, distribución y almacenamiento que garantice su
confidencialidad e integridad.
4. El documento de seguridad
establecerá la periodicidad, que en ningún caso será superior a un
año, con la que tienen que ser cambiadas las contraseñas que,
mientras estén vigentes, se almacenarán de forma ininteligible.
Copias de seguridad, apartado muy
sensible dentro de las pymes donde radican los errores más
frecuentes dentro de la aplicación correcta de la LOPD, el Artículo
94 hace referencia a las copias de respaldo y recuperación.
Artículo 94: Copias de respaldo y
recuperación.
1. Deberán establecerse procedimientos
de actuación para la realización como mínimo semanal de copias de
respaldo, salvo que en dicho período no se hubiera producido ninguna
actualización de los datos. Existen procedimientos automáticos de
copias de seguridad, o pueden realizarlas manualmente, de todas
formas estas copias garantizaran la recuperación total, por lo que
el consejo es que realicen copias de seguridad/respaldo, cada vez que
modifiquen los ficheros.
2. Asimismo, se establecerán
procedimientos para la recuperación de los datos que garanticen en
todo momento su reconstrucción en el estado en que se encontraban al
tiempo de producirse la pérdida o destrucción. Únicamente, en el
caso de que la pérdida o destrucción afectase a ficheros o
tratamientos parcialmente automatizados, y siempre que la existencia
de documentación permita alcanzar el objetivo al que se refiere el
párrafo anterior, se deberá proceder a grabar manualmente los datos
quedando constancia motivada de este hecho en el documento de
seguridad.
3. El responsable del fichero se
encargará de verificar cada seis meses la correcta definición,
funcionamiento y aplicación de los procedimientos de realización de
copias de respaldo y de recuperación de los datos. Esto es necesario
para la verificación de no solo que se realizan las copias, también
que esté funcionando el sistema, pues en muchas ocasiones, ya sea
por descuido humano o por un fallo en el Software no se realizan
correctamente y cuando se den cuenta ya es demasiado tarde.
4. Las pruebas anteriores a la
implantación o modificación de los sistemas de información que
traten ficheros con datos de carácter personal no se realizaran con
datos reales, salvo que se asegure el nivel de seguridad
correspondiente al tratamiento realizado y se anote su realización
en el documento de seguridad. Si está previsto realizar pruebas con
datos reales, previamente deberá haberse realizado una copia de
seguridad.
Las medidas de seguridad de nivel
medio están reflejadas en 6 artículos del 95 al 100, donde inciden
otras responsabilidades y recaen en personas especificas.
En este nivel la figura del Responsable
de Seguridad adopta una función fundamental, como indica el Artículo
95.
Si tenéis cualquier duda o necesitais ayuda no dudeis en contactar con nosotros .
No hay comentarios:
Publicar un comentario