Ir al contenido principal

Guía implantación LOPD en Pymes (III)

La Fase 1 que propongo para la adecuación de las pymes y micropymes a la LOPD consiste en la Regularización de los Ficheros manejados por la empresa y tiene como principal objetivo la declaración de estos a la Agencia Española de Protección de Datos (AEPD).


La primera actividad de esta fase será la de identificar los ficheros con datos de carácter personal que se utilizan.

Para ello, recomiendo pensar en conjuntos de datos que se utilizan para una finalidad concreta, con independencia de que estén centralizados o no (por ejemplo, que haya documentación de personal en dos oficinas diferentes) y del tratamiento informático que se pueda realizar de los mismos (por ejemplo, que los datos sean tratados por una o varias aplicaciones informáticas).

Lógicamente, la tipología de los ficheros dependerá mucho de la pyme o micropyme concreta de que se trate, pero casi seguro que se tiene los siguientes ficheros: “Personal y Nóminas”, “Clientes”, “Proveedores” y “Contactos”, sin olvidar que puede haber otros muchos más, tales como: “Candidatos a Empleo”, “videovigilancia” (sólo es un fichero si se graban las imágenes que captan las cámaras), etc.

Como resultado de esta actividad se obtendrá el “Inventario de Ficheros con datos de carácter personal” manejados por la organización.

A partir de ese inventario, la segunda actividad consiste en cumplimentar el contenido de las notificaciones a la AEPD. Una notificación para cada uno de los ficheros identificados.

El formulario de notificación para ficheros de titularidad privada se puede obtener de la página de la AEPD, www.agpd.es, en el canal de responsable de ficheros. Habrá que descargarse el formulario NOTA (Notificaciones Telemáticas a la AEPD) de titularidad privada. Se trata de un fichero pdf.

El formulario sirve para realizar notificaciones de Alta, Modificación y Supresión de Ficheros, y, además, en el caso de las Altas, facilita la elaboración de notificaciones Tipo (para aquellos casos en los que se trata de cumplimentar notificaciones de ficheros de uso frecuente en las organizaciones, tales como: Ficheros de “Nóminas – Recursos Humanos”, “Clientes y/o proveedores”, “Pacientes” (para consultas particulares de médicos),etc. Esta es la opción que recomiendo para los ficheros más habituales en pymes y micropymes, ya que se propone (se rellenan con valores apropiados) la mayoría de los campos.

La presentación de la declaración se puede realizar de tres maneras, yo recomiendo marcar la opción “Internet”, en la que el formulario de notificación se envía directamente a la AEPD por internet (con la opción de enviar que se habilita tras completar toda la información requerida en el propio formulario y cumplimentar la Hoja de Solicitud de inscripción). En este caso, hay que tener en cuenta que habrá que mandar la Hoja de Solicitud por correo ordinario, ya que sino el envío del formulario no tendrá validez.

La forma de cumplimentar la información es muy sencilla y, además, existe la correspondiente ayuda en cada apartado.

Únicamente comentar algún aspecto sobre el nivel de seguridad de los ficheros que entiendo importante para asignar a cada uno de ellos el nivel adecuado.

El nivel de seguridad de un fichero se refiere a las medidas de seguridad exigibles para el mismo, en función de la menor o mayor necesidad de garantizar la protección de los datos que contiene. Se deben implantar las medidas de seguridad de nivel “básico” para todos los ficheros con datos de carácter personal, las de nivel “medio” para los ficheros que contengan datos catalogados como de ese nivel y las de nivel “alto” para ficheros que contengan los datos que se consideran más sensibles (por ejemplo datos de salud y datos especialmente protegidos). El tipo de dato que hace que un fichero sea de un nivel u otro se indica en la ayuda del propio formulario en el apartado “Medidas de seguridad”.

Los niveles de seguridad son acumulativos, es decir, todos los ficheros deben cumplir las medidas de seguridad de nivel básico, los ficheros de nivel medio deben cumplir las medidas de seguridad de nivel básico y medio, y los ficheros de nivel alto deben cumplir las de nivel básico, medio y alto.

En el caso de disponer de datos tales como: el grado de discapacidad de algún empleado y/o la aptitud de los trabajadores para el desempeño del puesto de trabajo, aunque son datos de salud, se permite aplicar a los ficheros que los contengan las medidas de seguridad de nivel básico. Esto sólo es posible en el caso de disponer únicamente de estos datos, si se dispone de datos adicionales de salud se deben aplicar las de nivel alto.
También se podrá aplicar las medidas de seguridad de nivel básico a aquellos ficheros que contengan datos de salud que, recuerdo que deben ser pertinentes y no excesivos, no guarden una relación directa con la finalidad del fichero, aunque no recomendaría aplicar esto salvo que se esté muy seguro, ya que entiendo es muy interpretable. Por ejemplo, entiendo que se podría aplicar a un fichero de una guardería que contenga el dato de régimen especial de alimentación para dar de comer adecuadamente a aquellos niños con determinados problemas de salud.

Ojo a los datos de currículums de candidatos a empleo. Si se dispone de información relativa a aficiones u otros similares, este tipo de datos podría hacer que el nivel de seguridad a aplicar al fichero sea medio.

Lo habitual, salvo consultas privadas de médicos, despachos de abogados, etc., es que se tengan sólo ficheros catalogados como de nivel básico, salvo la excepción apuntada de los currículum, que se puede evitar (las medidas establecidas para el nivel medio son, evidentemente, más complicadas de implantar que las de nivel básico) no guardando lo currículum originales y almacenando sólo los datos de los mismos de nivel básico necesarios para la selección del personal.

Una vez enviado el formulario de notificación por internet, uno por cada fichero, y las respectivas Hojas de Solicitud debidamente firmadas y por correo ordinario, la AEPD procederá a contestar transcurrido un tiempo. Lo habitual es que lo haga con una resolución de inscripción de los ficheros, en la que se indicará el código de registro de los mismos en el Registro General (es importante guardar el código, ya que cualquier modificación o supresión de un fichero requerirá indicar dicho código).

La información sobre las notificaciones y el código de inscripción pasarán a formar parte del "Inventario de Ficheros con datos de carácter personal" manejados por la organización.

Comentarios

Entradas populares de este blog

Criptografía (I): cifrado Vigenère y criptoanálisis Kasiski

Hace unos días mi amigo Iñaki Regidor ( @Inaki_Regidor ), a quien dedico esta entrada :), compartió en las redes sociales un post titulado "Criptografía: el arte de esconder mensajes"  publicado en uno de los blogs de EiTB . En ese post se explican ciertos métodos clásicos para cifrar mensajes , entre ellos el cifrado de Vigenère , y , al final del mismo, se propone un reto consistente en descifrar un mensaje , lo que me ha animado a escribir este post sobre el método Kasiski  para atacar un cifrado polialfabético ( conociendo la clave descifrar el mensaje es muy fácil, pero lo que contaré en este post es la forma de hacerlo sin saberla ). El mensaje a descifrar es el siguiente: LNUDVMUYRMUDVLLPXAFZUEFAIOVWVMUOVMUEVMUEZCUDVSYWCIVCFGUCUNYCGALLGRCYTIJTRNNPJQOPJEMZITYLIAYYKRYEFDUDCAMAVRMZEAMBLEXPJCCQIEHPJTYXVNMLAEZTIMUOFRUFC Como ya he dicho el método de Vigenère es un sistema de sustitución polialfabético , lo que significa que, al contrario que en un sistema de

Criptografía (XXIII): cifrado de Hill (I)

En este post me propongo explicar de forma comprensible lo que he entendido sobre el cifrado de Hill , propuesto por el matemático Lester S. Hill , en 1929, y que se basa en emplear una matriz como clave  para cifrar un texto en claro y su inversa para descifrar el criptograma correspondiente . Hay tres cosas que me gustan de la criptografía clásica, además de que considero que ésta es muy didáctica a la hora de comprender los sistemas criptográficos modernos: la primera de ellas es que me "obliga" a repasar conceptos de matemáticas aprendidos hace mucho tiempo y, desgraciadamente, olvidados también hace demasiado tiempo, y, por consiguiente, que, como dice  Dani , amigo y coautor de este blog, me "obliga" a hacer "gimnasia mental"; la segunda es que, en la mayoría de las ocasiones, pueden cifrarse y descifrase los mensajes, e incluso realizarse el criptoanálisis de los criptogramas, sin más que un simple lápiz y papel, es decir, para mi es como un pasat

¿Qué significa el emblema de la profesión informática? (I)

Todas o muchas profesiones tienen un emblema que las representa simbólicamente y en el caso de la  informática: " es el establecido en la resolución de 11 de noviembre de 1977  para las titulaciones universitarias superiores de informática, y  está constituido por una figura representando en su parte central  un  núcleo toroidal de ferrita , atravesado por  hilos de lectura,  escritura e inhibición . El núcleo está rodeado por  dos ramas : una  de  laurel , como símbolo de recompensa, y la otra, de  olivo , como  símbolo de sabiduría. La  corona  será la  de la casa real  española,  y bajo el escudo se inscribirá el acrónimo de la organización. ". Veamos los diferentes elementos tomando como ejemplo el emblema del COIIE/EIIEO (Colegio Oficial de Ingenieros en Informática del País Vasco/ Euskadiko Informatikako Ingeniarien Elkargo Ofiziala ) . Pero no sólo el COIIE/EIIEO adopta el emblema establecido en dicha resolución, sino que éste se adopta también como im