Una pregunta que hacen muchos clientes es: de qué forma puedo limitar el acceso a los equipos, de forma que los usuarios únicamente accedan a los recursos necesarios para su trabajo.
Existen diversas maneras de identificación y autenticación del usuario en función del mecanismo o tecnología que se aplique.
Podemos clasificar los sistemas en estos tipos:
· Sistemas basados en algo que el usuario conoce (contraseña).
· Sistemas basados en algo que el usuario posee (DNI electrónico, token, etc.).
· Sistemas basados en una característica física del usuario, también denominados biométricos (reconocimiento de huella dactilar, voz, rostro, patrón ocular, etc.).
· Sistemas mixtos, que combinan dos o más de los descritos anteriormente.
En caso de que utilicemos el sistema más extendido, a través de contraseñas, para garantizar la seguridad se debe realizar una correcta gestión de las mismas:
· Evitar todas aquellas contraseñas deducibles por terceros y asociadas a parámetros comunes del usuario (fechas de nacimiento, nombre de familiares, matrículas de coches, aficiones, etc.).
· Emplear al menos 6 caracteres combinando mayúsculas, minúsculas, números y otros caracteres especiales.
· Establecer la periodicidad de cambio de las contraseñas a menos de 1 año.
· Limitar el número de intentos fallidos de acceso al sistema.
A TENER EN CUENTA
No tener implantadas las medidas de seguridad es una infracción grave, con sanción de entre 40.001 y 300.000€.
En el procedimiento sancionador de la AEPD PS/00733/2012, podemos ver qué ocurre cuando una organización graba imágenes de personas en la calle sin obtener el consentimiento de ellas y lo sube posteriormente a internet.
Con fecha 29 de febrero de 2012, la AEPD recibe una reclamación del denunciante poniendo de manifiesto que la asociación A.P.P.D.P.D.J. ha publicado dos grabaciones de vídeo en YouTube con imágenes y voz del denunciante y de sus hijos menores de edad, captadas sin su consentimiento.
La A.P.P.D.P.D.J. alegó, entre otras cosas, que es legal grabar en la calle sin pedir la autorización de las personas a las que se graba, así como la exhibición de las grabaciones en páginas web.
Según lo indicado por AEPD: "en el presente caso se trata de la difusión de imágenes de menores obtenidas mediante cámara oculta, es decir captadas directamente sin conocimiento, ni consentimiento, grabadas en un lugar próximo al colegio y referidas a la entrega de los mismos entre los progenitores, sin que ningún interés informativo se aprecie en la difusión de las imágenes de dichos niños, que son accesibles a un gran número de personas, como lo son los usuarios de la red internet, a los que es accesible en abierto, con lo cual, por mucho que pretenda justificar el carácter de periodístico por la razón de que en la web conste un apartado denominado "noticias", tal afirmación resulta inaceptable por simplista".
El resultado: una sanción de 1.000€ y otra de 2.000€ por infringir el artículo 6 de la LOPD al no disponer de consentimiento. La segunda sanción es más alta por tratarse, además, de datos de menores de edad.
IMPORTANTE
No podemos ir con una cámara en mano grabando personas en la calle y subir luego esas imágenes a internet sin haber recabado el consentimiento de ellas.
El artículo 107 del RD1720/2007 establece que:
Los dispositivos de almacenamiento de los documentos que contengan datos de carácter personal deberán disponer de mecanismos que obstaculicen su apertura.
Cuando las características físicas de aquéllos no permitan adoptar esta medida, el responsable del fichero o tratamiento adoptará medidas que impidan el acceso de personas no autorizadas.
Es decir, que todos los archivadores, carpetas, documentos, etc. que contengan datos personales deberán estar almacenados en armarios (u otro mobiliario) que dispongan de cerradura y deberán estar cerrados cuando no sea necesario acceder a ellos.
Excepción:
Cuando los armarios no dispongan de dichas cerraduras, se podrán almacenar soporten con datos personales siempre que se adopten otras medidas que impidan el acceso a los soportes por parte de personas no autorizadas.
Ejemplos de medidas alternativas:
· Que los soportes estén en un recinto cerrado con llave y se cierre cuando no se esté accediendo a dichos soportes.
· Que los soportes estén vigilados en todo momento por personal autorizado, no dejando sola a ninguna persona no autorizada.
A TENER EN CUENTA
Las medidas alternativas que indiquemos en el Documento de Seguridad han de cumplirse, no basta solo con describirlas.
A TENER EN CUENTA
El registro de incidencias puede estar en soporte papel o bien, puede registrarse de forma automatizada.
En el registro de incidencias que debe disponer la organización, se registrará cualquier incidente que afecte, o pueda afectar a la seguridad de los ficheros con datos personales.
Se deberán tener en cuenta, entre otras, las siguientes incidencias:
Pérdida de información de algún fichero con datos personales.
Modificación de datos personales por personal no autorizado o desconocido.
Existencia de sistemas sin las debidas medidas de seguridad.
Los intentos de acceso no autorizados a ficheros.
El conocimiento por terceros de la clave de acceso al sistema.
El intento no autorizado de salida de un soporte con datos personales.
La existencia de soportes con datos personales sin inventariar.
La destrucción total o parcial de un soporte que contenga datos de carácter personal.
La caída del sistema de seguridad informática, que posibilite el acceso a datos por personas no autorizadas.
LA LOPD EN EL DÍA A DÍA
Los beneficios de cumplir correctamente la LOPD para la empresa, (aparte de evitar cuantiosas sanciones) son diversos:
Ayuda a establecer pautas y procedimientos que de forma directa ayudan a la empresa a proteger su activo más valioso: sus clientes (copias de seguridad, custodia de documentación, etc.).
Inicia a la organización en la gestión de la seguridad de la información que poseen (imprescindible para la implantación efectiva de la factura electrónica, ya que las facturas dejarán de estar en papel para estar en los equipos informáticos).
Clarifica el organigrama de la empresa, las funciones de cada individuo y a qué puede y no puede acceder.
Ayuda a tener un conocimiento del inventario tecnológico de la empresa, de sus posibilidades y vulnerabilidades (muchos clientes no se habían planteado si sus empleados podían acceder desde casa al servidor de la empresa hasta que se les hizo la pregunta, a veces no sabiendo qué responder).
Aporta una mejor imagen ante los clientes, ya que les demostramos que nos preocupamos por sus datos.
A TENER EN CUENTA
Cada vez más los ciudadanos están sensibilizados con sus datos personales y el uso que hacen las empresas y entidades de ellos.
EN LA EMPRESA
EL PROFESIONAL RESPONDE
5
El informe 0355/2010 de la AEPD da respuesta a la consulta planteada sobre si los delegados de prevención pueden acceder a los datos de salud de los empleados públicos contenidos en los partes de accidentes de trabajo y en la relación de accidentes de trabajo sin baja médica, de acuerdo con lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), y a su Reglamento de desarrollo.
A tenor de dicho informe jurídico se deben tener en cuenta lo siguiente:
Tanto la relación de accidentes de trabajo como la información sobre los daños en la salud que aparezcan en los partes de accidentes de trabajo de los trabajadores que determinen una ausencia al trabajo superior a un día, podrá facilitarse a los delegados de prevención de forma disociada. Es decir, sin hacer referencia a qué trabajador corresponden dichos datos.
Que los datos suministrados sean adecuados, pertinentes y no excesivos para esa finalidad.
Que no se utilicen para ninguna otra finalidad.
En todo caso, los delegados de prevención deberán guardar secreto respecto de la información así obtenida (artículo 10 de la LOPD).
La LOPD dice en su artículo 10:
"El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo".
Cuando instalamos una cámara de videovigilancia, estamos realizando un tratamiento de datos personales en cuanto a las imágenes recogidas.
Para que podamos emplear, llegado el caso, en un procedimiento judicial dichas imágenes, es preciso que dicha instalación se encuentre debidamente legalizada.
Para esto, debemos que realizar las siguientes acciones:
a) Inscribir el fichero relativo a la videovigilancia en el Registro General de Protección de Datos (normalmente se llama VIDEOVIGILANCIA).
b) Elaborar o completar el Documento de Seguridad con los detalles de la instalación (número de cámaras, especificaciones, lugar de grabación, días grabados, etc.).
c) Indicar en el Documento de Seguridad las personas que tienen acceso a las imágenes, así como los usuarios que pueden acceder por vía remota.
d) Si la empresa que nos ha instalado el sistema puede tener acceso remoto o presencial a las imágenes, firmar con ella un contrato de acceso a datos por cuenta de terceros.
e) Instalar carteles informativos en los accesos a la zona videovigilada, indicando en ellos la identidad del responsable y el domicilio ante el que deben ejercerse los derechos ARCO.
El artículo 88.7 del RD1720/2007 dice:
El documento de seguridad deberá mantenerse en todo momento actualizado y será revisado siempre que se produzcan cambios relevantes en el sistema de información, en el sistema de tratamiento empleado, en su organización, en el contenido de la información incluida en los ficheros o tratamientos o, en su caso, como consecuencia de los controles periódicos realizados.
Estas son algunas de las situaciones en las que debemos actualizar el documento de seguridad:
Se incorpora un nuevo trabajador que va a tratar datos personales a la empresa. Deberá añadir a la lista de usuarios y accesos permitidos.
Se va de la empresa un trabajador que tenía acceso a datos personales. Deberá eliminar de la lista de usuarios y accesos.
Se compra nuevo equipamiento informático. Se deberá añadir al inventario de equipamiento de la sede.
Se adquiere un nuevo software. Se deberá añadir el software en su sección así como los perfiles que tienen acceso a mismo.
Se recogen nuevos tipos de datos. Se deberá modificar, además, la inscripción del fichero.
Se incorpora o cambia algún encargado del tratamiento. Se deberá suscribir el contrato y modificar la inscripción del fichero, si es caso.
Cuando se produzcan otros cambios en la organización que puedan afectar a los datos.
Independientemente del nivel de seguridad de los ficheros, se debe realizar una copia de respaldo al menos una vez a la semana, que permita restablecer los ficheros al momento anterior al producirse la pérdida.
Obviamente, si no se han modificado datos de los ficheros esa semana, no es necesario realizar la copia de seguridad, ya que con la anterior será suficiente.
De los ficheros de nivel alto, además de realizarse la copia de seguridad semanal debe existir otra copia fuera de las instalaciones principales, de forma que si ocurre una catástrofe (incendio, inundación, etc.) no se pierdan todos los datos, y podamos recuperarlos de la copia remota.
En este aspecto, debemos tener en cuenta que dicha copia remota deberá estar cifrada, de forma que sólo puedan acceder a la información contenida en la misma las personas autorizadas para ello.
De cara a la recuperación de los datos debemos tener en cuenta lo siguiente:
1. Debemos anotar en el registro de incidencias dicha pérdida de datos y su recuperación posterior.
2. En el caso de que sean copias de respaldo de ficheros de nivel medio o alto, deberá ser autorizada por el responsable del fichero y en el registro de incidencias deberán consignarse, además, los procedimientos realizados de recuperación de los datos, indicando la persona que ejecutó el proceso, los datos restaurados y, en su caso, qué datos ha sido necesario grabar manualmente