El informe 0191/2010 de la AEPD aclara el plazo de conservación de los informes de auditoría que exige la LOPD para los ficheros de nivel medio y alto.

De dicho informe jurídico se extrae lo siguiente:

·         A partir de nivel medio, los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se someterán, al menos cada dos años, a una auditoría interna o externa.

·         Con carácter extraordinario deberá realizarse dicha auditoría siempre que se realicen modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptación, adecuación y eficacia de las mismas. Esta auditoría inicia el cómputo de dos años señalado en el párrafo anterior.

·         Teniendo en cuenta los plazos de prescripción y de obligación de sometimiento a la auditoría, el término durante el cual el informe debería estar a disposición de la Agencia Española de Protección de Datos o autoridad autonómica de control competente debería ser el de dos años.

·         Solo existe la obligación de guardar el último informe de auditoría.

IMPORTANTE

No realizar la obligada auditoría en los plazos que marca la Ley es una infracción grave, con sanción de entre 40.001 y 300.000€.

 

Una pregunta que hacen muchos clientes es: de qué forma puedo limitar el acceso a los equipos, de forma que los usuarios únicamente accedan a los recursos necesarios para su trabajo.

Existen diversas maneras de identificación y autenticación del usuario en función del mecanismo o tecnología que se aplique.

Podemos clasificar los sistemas en estos tipos:

·         Sistemas basados en algo que el usuario conoce (contraseña).

·         Sistemas basados en algo que el usuario posee (DNI electrónico, token, etc.).

·         Sistemas basados en una característica física del usuario, también denominados biométricos (reconocimiento de huella dactilar, voz, rostro, patrón ocular, etc.).

·         Sistemas mixtos, que combinan dos o más de los descritos anteriormente.

En caso de que utilicemos el sistema más extendido, a través de contraseñas, para garantizar la seguridad se debe realizar una correcta gestión de las mismas:

·         Evitar todas aquellas contraseñas deducibles por terceros y asociadas a parámetros comunes del usuario (fechas de nacimiento, nombre de familiares, matrículas de coches, aficiones, etc.).

·         Emplear al menos 6 caracteres combinando mayúsculas, minúsculas, números y otros caracteres especiales.

·         Establecer la periodicidad de cambio de las contraseñas a menos de 1 año.

·         Limitar el número de intentos fallidos de acceso al sistema.

 

A TENER EN CUENTA

No tener implantadas las medidas de seguridad es una infracción grave, con sanción de entre 40.001 y 300.000€.

 

En el procedimiento sancionador de la AEPD PS/00733/2012, podemos ver qué ocurre cuando una organización graba imágenes de personas en la calle sin obtener el consentimiento de ellas y lo sube posteriormente a internet.

Con fecha 29 de febrero de 2012, la AEPD recibe una reclamación del denunciante poniendo de manifiesto que la asociación A.P.P.D.P.D.J. ha publicado dos grabaciones de vídeo en YouTube con imágenes y voz del denunciante y de sus hijos menores de edad, captadas sin su consentimiento.

La A.P.P.D.P.D.J. alegó, entre otras cosas, que es legal grabar en la calle sin pedir la autorización de las personas a las que se graba, así como la exhibición de las grabaciones en páginas web.

Según lo indicado por AEPD: "en el presente caso se trata de la difusión de imágenes de menores obtenidas mediante cámara oculta, es decir captadas directamente sin conocimiento, ni consentimiento, grabadas en un lugar próximo al colegio y referidas a la entrega de los mismos entre los progenitores, sin que ningún interés informativo se aprecie en la difusión de las imágenes de dichos niños, que son accesibles a un gran número de personas, como lo son los usuarios de la red internet, a los que es accesible en abierto, con lo cual, por mucho que pretenda justificar el carácter de periodístico por la razón de que en la web conste un apartado denominado "noticias", tal afirmación resulta inaceptable por simplista".

El resultado: una sanción de 1.000€ y otra de 2.000€ por infringir el artículo 6 de la LOPD al no disponer de consentimiento. La segunda sanción es más alta por tratarse, además, de datos de menores de edad.

IMPORTANTE

No podemos ir con una cámara en mano grabando personas en la calle y subir luego esas imágenes a internet sin haber recabado el consentimiento de ellas.

El artículo 107 del RD1720/2007 establece que:

Los dispositivos de almacenamiento de los documentos que contengan datos de carácter personal deberán disponer de mecanismos que obstaculicen su  apertura.

Cuando las características físicas de aquéllos no permitan adoptar esta medida, el responsable del fichero o tratamiento adoptará medidas que impidan el acceso de personas no autorizadas.

Es decir, que todos los archivadores, carpetas, documentos, etc. que contengan datos personales deberán estar almacenados en armarios (u otro mobiliario) que dispongan de cerradura y deberán estar cerrados cuando no sea necesario acceder a ellos.

Excepción:

Cuando los armarios no dispongan de dichas cerraduras, se podrán almacenar soporten con datos personales siempre que se adopten otras medidas que impidan el acceso a los soportes por parte de personas no autorizadas.

Ejemplos de medidas alternativas:

·         Que los soportes estén en un recinto cerrado con llave y se cierre cuando no se esté accediendo a dichos soportes.

·         Que los soportes estén vigilados en todo momento por personal autorizado, no dejando sola a ninguna persona no autorizada.

A TENER EN CUENTA

Las medidas alternativas que indiquemos en el Documento de Seguridad han de cumplirse, no basta solo con describirlas.

 

 

 

A TENER EN CUENTA

El registro de incidencias puede estar en soporte papel o bien, puede registrarse de forma automatizada.

En el registro de incidencias que debe disponer la organización, se registrará cualquier incidente que afecte, o pueda afectar a la seguridad de los ficheros con datos personales.

Se deberán tener en cuenta, entre otras, las siguientes incidencias:

 Pérdida de información de algún fichero con datos personales.

 Modificación de datos personales por personal no autorizado o desconocido.

 Existencia de sistemas sin las debidas medidas de seguridad.

 Los intentos de acceso no autorizados a ficheros.

 El conocimiento por terceros de la clave de acceso al sistema.

 El intento no autorizado de salida de un soporte con datos personales.

 La existencia de soportes con datos personales sin inventariar.

 La destrucción total o parcial de un soporte que contenga datos de carácter personal.

 La caída del sistema de seguridad informática, que posibilite el acceso a datos por personas no autorizadas.

 

LA LOPD EN EL DÍA A DÍA

Los beneficios de cumplir correctamente la LOPD para la empresa, (aparte de evitar cuantiosas sanciones) son diversos:

 Ayuda a establecer pautas y procedimientos que de forma directa ayudan a la empresa a proteger su activo más valioso: sus clientes (copias de seguridad, custodia de documentación, etc.).

 Inicia a la organización en la gestión de la seguridad de la información que poseen (imprescindible para la implantación efectiva de la factura electrónica, ya que las facturas dejarán de estar en papel para estar en los equipos informáticos).

 Clarifica el organigrama de la empresa, las funciones de cada individuo y a qué puede y no puede acceder.

 Ayuda a tener un conocimiento del inventario tecnológico de la empresa, de sus posibilidades y vulnerabilidades (muchos clientes no se habían planteado si sus empleados podían acceder desde casa al servidor de la empresa hasta que se les hizo la pregunta, a veces no sabiendo qué responder).

 Aporta una mejor imagen ante los clientes, ya que les demostramos que nos preocupamos por sus datos.

A TENER EN CUENTA

Cada vez más los ciudadanos están sensibilizados con sus datos personales y el uso que hacen las empresas y entidades de ellos.

 

 

EN LA EMPRESA

EL PROFESIONAL RESPONDE

5

El informe 0355/2010 de la AEPD da respuesta a la consulta planteada sobre si los delegados de prevención pueden acceder a los datos de salud de los empleados públicos contenidos en los partes de accidentes de trabajo y en la relación de accidentes de trabajo sin baja médica, de acuerdo con lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), y a su Reglamento de desarrollo.

A tenor de dicho informe jurídico se deben tener en cuenta lo siguiente:

 Tanto la relación de accidentes de trabajo como la información sobre los daños en la salud que aparezcan en los partes de accidentes de trabajo de los trabajadores que determinen una ausencia al trabajo superior a un día, podrá facilitarse a los delegados de prevención de forma disociada. Es decir, sin hacer referencia a qué trabajador corresponden dichos datos.

 Que los datos suministrados sean adecuados, pertinentes y no excesivos para esa finalidad.

 Que no se utilicen para ninguna otra finalidad.

 En todo caso, los delegados de prevención deberán guardar secreto respecto de la información así obtenida (artículo 10 de la LOPD).

La LOPD dice en su artículo 10:

 

"El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo".

Es decir, todas las personas que intervienen en el tratamiento de los datos de carácter personal (en la recogida, en el almacenamiento, en la utilización, etc.) están obligadas por ley al secreto profesional respecto de los mismos.
También están obligadas a guardarlos y custodiarlos adecuadamente, de forma que no tenga acceso a dichos datos alguien no autorizado.
Para dar a conocer esto a todos los trabajadores involucrados, además de formarlos y concienciarlos, es conveniente darles a firmar un compromiso de confidencialidad y deber de secreto, a través del cual se comprometen a no revelar ningún dato incluso después de finalizada la relación laboral, de forma que podamos acreditar que les hemos informado adecuadamente.
A TENER EN CUENTA
Aunque un trabajador vulnere el deber de secreto y revele datos, la sancionada a priori será la entidad responsable del fichero, no el trabajador en cuestión.
 
 
 
 
LA LOPD EN EL DÍA A DÍA

Cuando instalamos una cámara de videovigilancia, estamos realizando un tratamiento de datos personales en cuanto a las imágenes recogidas.

Para que podamos emplear, llegado el caso, en un procedimiento judicial dichas imágenes, es preciso que dicha instalación se encuentre debidamente legalizada.

Para esto, debemos que realizar las siguientes acciones:

a)      Inscribir el fichero relativo a la videovigilancia en el Registro General de Protección de Datos (normalmente se llama VIDEOVIGILANCIA).

b)      Elaborar o completar el Documento de Seguridad con los detalles de la instalación (número de cámaras, especificaciones, lugar de grabación, días grabados, etc.).

c)       Indicar en el Documento de Seguridad las personas que tienen acceso a las imágenes, así como los usuarios que pueden acceder por vía remota.

d)      Si la empresa que nos ha instalado el sistema puede tener acceso remoto o presencial a las imágenes, firmar con ella un contrato de acceso a datos por cuenta de terceros.

e)      Instalar carteles informativos en los accesos a la zona videovigilada, indicando en ellos la identidad del responsable y el domicilio ante el que deben ejercerse los derechos ARCO.

 

El artículo 88.7 del RD1720/2007 dice:

 

El documento de seguridad deberá mantenerse en todo momento actualizado y será revisado siempre que se produzcan cambios relevantes en el sistema de información, en el sistema de tratamiento empleado, en su organización, en el contenido de la información incluida en los ficheros o tratamientos o, en su caso, como consecuencia de los controles periódicos realizados.

 

Estas son algunas de las situaciones en las que debemos actualizar el documento de seguridad:

 

 Se incorpora un nuevo trabajador que va a tratar datos personales a la empresa. Deberá añadir a la lista de usuarios y accesos permitidos.

 

 Se va de la empresa un trabajador que tenía acceso a datos personales. Deberá eliminar de la lista de usuarios y accesos.

 

 Se compra nuevo equipamiento informático. Se deberá añadir al inventario de equipamiento de la sede.

 

 Se adquiere un nuevo software. Se deberá añadir el software en su sección así como los perfiles que tienen acceso a mismo.

 

 Se recogen nuevos tipos de datos. Se deberá modificar, además, la inscripción del fichero.

 

 Se incorpora o cambia algún encargado del tratamiento. Se deberá suscribir el contrato y modificar la inscripción del fichero, si es caso.

 

 Cuando se produzcan otros cambios en la organización que puedan afectar a los datos.

Página 4 de 4