Cumplir con la LOPD y no morir en el intento (III)

Lo siento, no es culpa mía, es que es "un coñazo": yo he tardado bastante en hacerme con los conceptos y tener claras todas las obligaciones. Pero tened confianza, sólo es cuestión de perseverar.

Después de leer "Cumplir con la LOPD y no morir en el intento I y II, tienes que tener claros los conceptos generales y cuáles son tus obligaciones, además de los ficheros y soportes que debes inscribir y las medidas de seguridad a adoptar, pero creo que hace falta detenernos un poco más en el "Documento de Seguridad".

Sí, tenéis el modelo a vuestra disposición en la página de la AEPD, pero cuando lo descarguéis descubriréis que parece redactado para que no lo entienda nadie. 

La estructura es muy sencilla (se corresponde con el índice del modelo de la AEPD):

1.   Ámbito de aplicación del documento: sólo debes consignar tu nombre en el espacio indicado y los ficheros, indicando el tipo y las medidas de seguridad aplicables.

2.   Medidas, normas, procedimientos, reglas y estándares:     

a) Identificación y autenticación: descripción de las medidas de seguridad concretas que hemos definido (obviamente, al sólo haber un usuario autorizado –el responsable del fichero– se reduce a la existencia de un usuario con clave en los soportes de ficheros automatizados).

b) Control de acceso: descripción de las medidas de seguridad definidas para el acceso a los ficheros (contraseña para los automatizados y llave para los manuales).

c)  Registro de accesos: no es necesario al ser el responsable del fichero una persona física y sólo tener él acceso y tratar los datos personales, pero ha de consignarse tal circunstancia expresamente.

d) Gestión de soportes y documentos: aquí describiremos el sistema de identificación y etiquetado de los ficheros, para el inventario de los soportes nos remitimos al Anexo V y consignamos las medidas de seguridad concretas para el traslado y los protocolos de eliminación. Incluiremos, además, los siguientes extremos:

a.   Para los soportes de ficheros automatizados:

1. Registro de entrada y salida de soportes automatizados: sólo una descripción de los protocolos, ya que el documento se encuentra en el Anexo VIII (básicamente hay que poner la teoría).

2.  Identificación, gestión y distribución de soportes: se define la manera de identificar y etiquetar los soportes y las medidas de seguridad para su gestión y distribución.

b.   Para los soportes de ficheros manuales:

1.   Criterio de archivo: describimos el criterio de archivo que hayamos definido.

2.  Almacenamiento de la información: descripción de las medidas de seguridad que se adoptan en los dispositivos de almacenamiento.

3.  Custodia de los soportes: previsión sobre la custodia de los datos que se encuentren en proceso de tramitación.

e) Acceso a datos a través de redes de comunicaciones: previsión sobre las medidas de seguridad que se adoptan (cifrado previo de los datos y establecimiento de contraseñas).

f)   Régimen de trabajo fuera de los locales de la ubicación del fichero:  sólo para el caso de que exista esa posibilidad.

g) Traslado de la documentación: medidas de seguridad concretas que se adopten para el traslado físico de documentación.

h) Ficheros temporales o copias de trabajo: previsión sobre el tratamiento y destrucción de los mismos.

i) Copia o reproducción: previsión sobre la realización de copias o reproducción de los documentos.

j)   Copias de respaldo y recuperación: previsiones aplicables a los ficheros automatizados, así como el procedimiento para su recuperación y verificación semestral, remitiéndonos al Anexo I para detallar los procedimientos de copia y recuperación, con la previsión, en caso de que para las copias de los ficheros de nivel alto no puedan ubicarse en lugar distinto, de cuáles son las medidas de seguridad concretas que se adoptan.

k) Responsable de seguridad: en nuestro supuesto coincide con el responsable del fichero y se hace constar sin más.

3.   Información y obligación del personal: en nuestro supuesto no existe personal.

4.   Procedimientos de notificación, gestión y respuesta ante las incidencias: básicamente hay que dejarlo como viene en el modelo, especificando que no existiendo ningún usuario autorizado además del responsable del fichero, no resulta necesaria la inclusión del documento de autorización relativo a la ejecución de procedimientos de recuperación de datos.

5.   Procedimientos de revisión: se refiere a la revisión de:

a)  Documento de seguridad: previsión genérica que viene en el modelo.

b) Auditoría: mantener la previsión genérica del modelo.

c) Informe mensual sobre registro de accesos: especificar que no es necesario de conformidad con el art. 103. 6 del Reglamento por darse las circunstancias de que el responsable del fichero es una persona física y que se garantiza que sólo él tendrá acceso y tratará los datos de carácter personal.

6.   Anexos:

a. Descripción de ficheros. Deberá contener la fecha de actualización y la descripción de los ficheros que tenemos registrados.

1. FICHERO: FICHERO NIVEL ALTO.

§ Identificador y nombre del fichero en el Registro General de Protección de Datos de la Agencia Española de Protección de Datos:

□    Identificador: Pendiente

□    Nombre: EXPEDIENTES DE NIVEL ALTO.

□    Descripción: ficheros m que contienen datos personales de nivel alto de clientes.

§ Nivel de medidas de seguridad a adoptar: ALTO.

§ Responsable de seguridad: coincide con el responsable del fichero.

§ Administrador: coincide con el responsable del fichero.

§ Estructura del fichero principal: se incluirán en este fichero los datos de carácter personal que incluyan: datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual.

§ Información sobre el fichero o tratamiento

□ Finalidad y usos previstos: los relacionados con el ámbito profesional del responsable del fichero, respecto a gestiones ante Administraciones y particulares en el ámbito jurídico, de conformidad con el encargo realizado por el cliente.

□   Personas o colectivos sobre los que se pretenda obtener o que resulten obligados a suministrar los datos personales, y procedencia de los datos: los datos serán facilitados directamente por los clientes.

□  Procedimiento de recogida: mediante entrega directa y personal de los titulares de los datos personales.

□    Cesiones previstas: sólo las expresamente autorizadas por el titular de los datos personales.

□    Transferencias Internacionales: no se prevén transferencias internacionales.

□    Sistema de tratamiento: mixto.

□ Servicio o Unidad ante el que puedan ejercitarse los derechos de acceso, rectificación, cancelación y oposición: en la dirección postal C/ … o en el correo electrónico …@....com.

□  Descripción detallada de las copias de respaldo y de los procedimientos de recuperación: se realizará una copia de seguridad/respaldo semanalmente de los ficheros automatizados; no se prevé ninguna copia para los ficheros manuales.

□ Información sobre conexión con otros sistemas: podrá existir conexión con los ficheros “FICHEROS NIVEL MEDIO” y “FICHEROS NIVEL BÁSICO”, pero conteniendo cada fichero los datos personales del nivel de seguridad que le corresponden, cuando el titular de los datos personales aparezca en uno o más ficheros.

□    Funciones del personal con acceso a los datos personales: sólo el responsable del fichero tendrá acceso a los datos de carácter personal y a los sistemas de información específicos de este fichero.

□    Descripción de los procedimientos de control de acceso e identificación: los genéricos para los ficheros de nivel de seguridad alto ya detallados.

□   Relación actualizada de usuarios con acceso autorizado: sólo el responsable del fichero tendrá acceso a los datos de carácter personal y a los sistemas de información específicos de este fichero

b.  Nombramientos. En nuestro caso especificaríamos que no existen otros perfiles a parte del Responsable del fichero.

c.  Autorizaciones de salida o recuperación de datos.  Especificaríamos que no existiendo otros usuarios autorizados además del responsable del fichero, no procede la incorporación de autorizaciones.

d.   Delegación de autorizaciones: especificaríamos que no se han realizado.

e.  Inventario de soportes. A modo de ejemplo:

1. SOPORTE: FICHEROS NIVEL ALTO.

§ Tipo de soporte físico: armario.

§ Datos que contiene: ficheros manuales “FICHEROS NIVEL ALTO”.

§ Personal con acceso: el responsable del fichero.

§ Datos que contiene: los relacionados en el ANEXO I del DOCUMENTO DE SEGURIDAD.

§ Detalle del soporte: dotado de cerradura.

§ Lugar de ubicación: habitación de acceso restringido al responsable del fichero por llave.

2. SOPORTE: ORDENADOR 1.

§ Tipo de soporte informático: Ordenador portátil Macbook.

§ Datos que contiene: ficheros automatizados “FICHEROS NIVEL ALTO”, “FICHEROS NIVEL MEDIO” y “FICHEROS NIVEL BÁSICO”.

§ Personal con acceso: el responsable del fichero.

§ Datos que contiene: los relacionados en el ANEXO I del DOCUMENTO DE SEGURIDAD.

§ Detalle del soporte: dotado con contraseña alfanumérica de 12 caracteres, con al menos una mayúscula,.

§Lugar de ubicación: cuando no se esté procediendo a su uso por el responsable del fichero, se almacenará en el soporte “EXPEDIENTES DE NIVEL ALTO” ubicado en habitación de acceso restringido al responsable del fichero por llave.

e.  Registro de incidencias: viene a ser una tabla con todos los datos que se especifican en la propia normativa.

f.  Encargados de tratamiento: especificaremos que sólo el responsable del fichero tratará los datos de carácter personal. Recordad que si utilizas el servicio de un asesor fiscal o de una empresa de destrucción de documentos, éstos serán considerados encargados de tratamiento, pero esta guía no prevé esta circunstancia.

g. Registro de entrada y salida de soportes: debes incluir una tabla que recoja todos los requisitos que establece la normativa e ir actualizándola.

h.  Medidas alternativas: en el caso de que no sea posible adoptar las medidas exigidas por el RLOPD en relación con la identificación de los soportes, los dispositivos de almacenamiento de los documentos o los sistemas de almacenamiento de la información, indicar las causas que justifican que ello no sea posible y las medidas alternativas que se han adoptado.

Espero que ahora veas el modelo de la AEPD con "otros ojos".

Aviso a navegantes: la imagen utilizada en este post pertenece a Mr. Wonderful. Tengo pendiente hablaros de la utilización de material con derechos de autor.