lunes, 12 de enero de 2015

Cumplir con la LOPD y no morir en el intento (II)

Si has llegado hasta aquí después de haber leído "Cumplir con la LOPD y no morir en el intento (I)", mi más sincera felicitación. No obstante, las ganas no minorarán la multa en caso de incumplimiento de la LOPD, así que vamos a lo importante. 

"Ya me sé la teoría, ¿y ahora qué?"

Si estás aquí es porque intentas cumplir tú solito con la Ley, cosa que me parece estupenda, porque, en realidad, la norma debería estar hecha para que un ciudadano medio pudiera cumplirla por su cuenta. Pero la teoría no suele coincidir con la práctica y si no, sólo hay que echar un vistazo a la cantidad de obligaciones formales que nos imponen y a la dificultad que entraña su cumplimiento. 

Imagino que serás un profesional que trabaja por cuenta propia, sin empleados, quizá en tu casa o en un despacho individual modesto. Muy bien, ¡vamos a cumplir con la LOPD! Si eres un empresario con empleados a tu cuenta que tienen acceso a datos de carácter personal, tienes algunas obligaciones más.

Primero has de saber que hay dos obligaciones: inscribir los ficheros y "todo lo demás". ¿Qué quiero decir? Nadie -en principio- va a comprobar que cumples materialmente tus obligaciones formales. No es muy difícil, así que te animo a hacerlo, pero es importante saberlo, para que no dejes de inscribir los ficheros por no meterte con "todo lo demás".

"Vale, primero, ¿qué ficheros tengo qué inscribir?"

Tenemos más o menos los conceptos claros, así que hay que empezar realizando un análisis de la clase de datos de carácter personal de terceros que utilizas, yendo al art. 81 del Reglamento, donde se establecen los niveles de seguridad, y haciendo un chequeo.

1) Nivel de seguridad básico: por defecto a todos los datos de carácter personal.

2) Nivel de seguridad medio (no incluyo los de administraciones, ya que eres un particular): 
    a) los relativos a la comisión de infracciones administrativas o penales;
    b) aquéllos que contengan un conjunto de datos sobre personalidad o comportamiento.

3) Nivel de seguridad alto:
    a) ideología;
    b) afiliación sindical; 
    c) religión; 
    d) creencias; 
    e) origen racial; 
    f) salud (salvo que sólo se refiera a grado de discapacidad) o vida sexual.

Es muy sencillo, pero voy a intentar simplificarlo más todavía:
  • Básicos: todos (esto incluye facturas -las tuyas y las de los demás-, los contratos, algunos modelos fiscales -el 347 ó 415 contienen datos de carácter personal de terceros, por ejemplo-, o incluso los propios Registros de entrada y salida de soportes que impone la LOPD). 
  • Medios: aquí entran, fijo, la mayoría de abogados, los procuradoes y los psicólogos, entre otros.
  • Altos: la mayoría de abogados y procuradores, los médicos, los psiquiatras...

"Hecho: tengo ficheros (automatizados y manuales) de los tres niveles. ¿Qué más?

Pues bien: o le aplicas a todos el nivel de seguridad más alto o le aplicas a cada uno su nivel de seguridad.

"Vale, a cada uno su nivel. ¿Cómo lo hago?" 

Lo   normal   es   que   estos   datos  de  carácter  personal  se  contengan  en  ficheros automatizados -informáticos- y manuales -documentos físicos-, así que los ficheros que crearemos y notificaremos a la AEPD serán 3 ficheros mixtos: "FICHERO BÁSICO", "FICHERO MEDIO" y "FICHERO ALTO". Ya, cuando Dios repartió la imaginación yo estaba en algún otro lado, pero para qué liarnos.

"Es que yo ya tengo organizados todas "mis carpetas" en "proveedores", "clientes", "asuntos penales", "reparaciones", "pedidos".

No pasa nada: el fichero automatizado que damos de alta viene a ser la "carpeta general", dentro puedes tener la división que quieras por carpetas y/o documentos.

Sobre los ficheros manuales: exactamente lo mismo, no tienes que cambiar el "archivador" que contiene las facturas, sólo saber que está incluido en el fichero manual "FICHERO BÁSICO". 

En ambos casos, puedes hacer un listado e incluirlo en el "Documento de Seguridad" -te adelanto que este documento es de carácter interno, vamos, para ti, no tienes que inscribirlo ni notificárselo a la AEPD-, pero te servirá para saber qué incluye cada fichero y qué medidas le corresponden.

"Bien, ya sé qué es un fichero, pero ¿qué quieren decir con "soporte"?".

En el caso de los ficheros automatizados, los soportes serán aquellos dispositivos informáticos que los almacenen. Puede que tengas un ordenador portátil, un disco duro o pendrive para hacer las copias de seguridad, tu smartphone con acceso al correo electrónico o con la agenda, un ordenador de sobremesa, cds... Todo ello son "soportes" y han de inventariarse en un Anexo en el Documento de Seguridad.

En el caso de los ficheros manuales, los dispositivos de almacenamiento o soportes son "los contenedores" en los que se almacenan los documentos (sería imposible llevar un registro de cada papel o carpeta que hay, así que basta con definir los dispositivos de almacenamiento). Igualmente habrán de inventariarse.

"Así que tenemos ficheros y soportes o dispositivos de almacenamiento, entendido. Pero habrá algo más que hacer, ¿no?

Sí, claro, adoptar las medidas de seguridad, crear el Documento de Seguridad, llevar los Registros pertinentes y realizar una Auditoría. Te cuento:

1.   Medidas de seguridad:

a)  Ficheros automatizados: como regla básica hay que crear un usuario con contraseña –que hay que cambiar cada 6 meses– en los ordenadores. Además, cuando contengan ficheros de nivel medio o alto, debe establecerse un límite de intentos de acceso no autorizados y todos los soportes tendrán que estar en una habitación de acceso exclusivo a los autorizados. Cuando se trasladen, tendrán que establecerse medidas dirigidas a evitar la sustracción pérdida o acceso indebido: por ejemplo utilizar un maletín con llave y con el cifrado de los datos. Tened en cuenta que traslado también es el envío mediante correo electrónico, así que deberán cifrase bien los mails o bien los documentos cuando el texto del e-mail no contenga datos de carácter personal, sino que se contengan en un documento adjunto. En todos los casos deben realizarse copias de seguridad semanales, que en el caso de ficheros deberá estar en un lugar diferente a aquél en el que se ubican los soportes y al que solo tendrá acceso el responsable –u autorizados–. Atento: si no es posible esto último, pueden ubicarse en el mismo lugar utilizando otros elementos (por ejemplo, ubicarlos en un armario ignífugo con llave), debiendo justificarlo en el documento de seguridad. Antes de desecharse los soportes debe verificarse que no contenga datos personales.

b) Ficheros manuales: los dispositivos de almacenamiento tienen que tener acceso mediante llave –u otro–. Cuando almacenen datos de nivel alto deben ubicarse en una habitación cerrada de acceso exclusivo a los autorizados. Igualmente, en su traslado, habrá que adoptar medidas tendentes a impedir el acceso o manipulación –aunque la Ley sólo lo prevé expresamente para el traslado de documentación con nivel de seguridad alto (art. 114 Rgto.), hace una remisión genérica a las medidas de nivel básico de los ficheros automatizados, en la que sí se establece esta previsión–. Para desechar los ficheros manuales habrá que utilizar medios que impidan su posterior reconstrucción. Normalmente se utiliza una destructora de papel, pero no es imprescindible, pues existen otras formas: quemar los documentos, cortarlos manualmente, etc. 

2.  Documento de Seguridad: como os decía antes, es un documento interno, en el que deberemos consignar todos los aspectos referentes a ficheros, tratamiento, procedimientos, soportes y medidas de seguridad. La AEPD nos ofrece un modelo. Echadle imaginación en las explicaciones y mantenedlo “actualizado”. Lo importante es que las medidas, protocolos, autorizaciones e inventario consignados en él, después se implementen correctamente.

3.  Registros: es necesario llevar, al menos –como he dicho es sólo para el caso de que sólo el responsable del fichero, persona física, tenga acceso a los datos de carácter personal–, dos registros, que pueden incluirse en el Documento de Seguridad o encontrarse en otro documento automatizado o manual:

a.  Registro de incidencias: para todos los ficheros automatizados y manuales. Deberá recoger las incidencias relacionadas con los mismos, los efectos producidos y las medidas correctoras aplicadas y, para ficheros de nivel medio y alto, los procedimientos de recuperación de datos, si se realizasen. Este Registro no se notifica a la AEPD, sino que es de carácter interno, así que en caso de “incidencia” lo importante es “apagar el fuego rápidamente” para que nadie nos denuncie. Sí, qué queréis que os diga, todos podemos cometer un error -está a un click- y si la AEPD no se entera, será como si no hubiera ocurrido.

b. Registro de entrada/salida de soportes y documentos: para los ficheros automatizados y manuales de nivel medio y alto. En él deberá constar la entrada y salida de soportes y documentos, el tipo de información, la forma de envío y la persona responsable de la entrega/recepción, que deberá estar debidamente autorizada. Esto significa, que cada document, mail, fax, pdf, cd, etc., que entre o salga de nuestro despacho, deberá estar correctamente relacionado. "¿Eso significa que tengo que hacerlo a mano?" Al menos, guardar las relaciones del fax que suelen imprimirse periódicamente y un registro de los documentos físicos, pues para los mails, el propio registro del servidor parece que sería suficiente.

4.  Auditoría bianual: para ficheros de nivel medio o alto. se trata de un documento interno que hemos de elaborar cada dos años o cada vez que se produzca un cambio sustancial. Tenemos que evaluar si las medidas de seguridad aplicadas se adecúan a las establecidas por la ley.
   
"¿Y ya está todo?"

Casi: ahora hay que inscribir los ficheros y explicar bien cómo elaborar el documento de seguridad, pero ya te lo explico otro día.

No hay comentarios:

Publicar un comentario