lunes, 30 de agosto de 2010

Guía implantación LOPD en Pymes (VII)

En este post trataré sobre los procedimientos que considero más relevantes implantar en la adecuación de pymes y micropymes a la LOPD.


Tal y como se indicó en el post anterior, el Documento de Seguridad constituye la entrada para las actividades a realizar en esta fase y, por tanto, todos los aspectos organizativos a implantar deberán estar convenientemente desarrollados en dicho documento.

Básicamente, esta segunda actividad consistirá en la implantación de los correspondientes procedimientos, incluyendo la creación de los registros y listas pertinentes (registro de incidencias, registro de entrada/salida de soportes, etc.). La implantación de las medidas y normas de seguridad asociadas se abordará en la tercera y última actividad de esta fase.

Los procedimientos más importantes que deberán ser necesariamente implantados son los siguientes:

1º) Acceso, rectificación, cancelación y oposición: este procedimiento tendrá como objetivo garantizar el ejercicio, ante la propia organización y por parte de los ciudadanos (incluidos los empleados), de los derechos que la Ley les reconoce a estos últimos y deberá observar lo indicado en el Título III de RDLOPD, en cuanto a: condiciones generales para su ejercicio, forma de ejercitarlos, plazos, respuesta, etc. Además, es importante crear el registro de acceso, rectificación, cancelación y oposición para recoger los derechos ejercidos por parte de los afectados.

2º) Control de acceso a recursos: este procedimiento tendrá como objetivo tanto garantizar que los usuarios tengan acceso únicamente a aquellos recursos que precisen para el desarrollo de sus funciones, como el control de dichos accesos autorizados.

Se trata por tanto de seguir los pasos establecidos en la organización, por parte de las personas autorizadas para ello, para autorizar, modificar o revocar los permisos asignados a los usuarios para el acceso a los recursos y, además y como resultado de ello, mantener permanentemente actualizada la relación de usuarios y perfiles de usuarios que exige el RDLOPD.

La palabra recurso debe entenderse en un sentido amplio y, como tal, referida tanto a recursos asociados a ficheros o tratamientos de información automatizados (cuyo control requerirá las actualizaciones correspondientes sobre códigos de usuario, contraseñas, permisos de acceso a aplicaciones o a funcionalidades de las mismas, etc.), como a elementos o dispositivos de almacenamiento de documentos, etc., y, si se dispone de datos a partir de nivel medio, a los lugares donde se hallen instalados los equipos físicos que den soporte a los sistemas de información (que requerirán de la puesta a disposición o retirada al usuario de los medios establecidos para el acceso a los mismos - llaves o dispositivos equivalentes, etc. - , en función de si se trata de una concesión o revocación de autorización de acceso, respectivamente).

3º) Notificación, gestión y respuesta ante incidencias: el objetivo de este procedimiento consistirá en mantener actualizado el registro de las incidencias que afecten o puedan afectar a los datos de carácter personal, de conformidad con lo establecido en el RDLOPD, y como herramienta imprescindible para subsanar y prevenir las anomalías que afecten o puedan afectar a su seguridad.

El detalle del contenido mínimo de dicho Registro se recoge en los artículos 90 (nivel básico) y 100 (nivel medio) del RDLOPD, siendo también de aplicación a las incidencias que se produzcan en los ficheros no automatizados.

Se iniciará con la detección y notificación de la incidencia por parte de un usuario, se continuará con el registro, análisis y resolución de la misma, y finalizará con la comunicación de su resolución y el cierre de la misma.

Una incidencia es cualquier anomalía que afecte o pueda afectar a la seguridad de los datos de carácter personal, entendida ésta bajo sus tres vertientes de confidencialidad, integridad y disponibilidad de los datos, y deberán incluirse entre las mismas cualquier incumplimiento de la normativa desarrollada en el Documento de Seguridad.

4º) Gestión de soportes y documentos: el objetivo de este procedimiento será doble: por un parte, asegurar la salida fuera de la organización de soportes y documentos con DCP de una forma controlada, mediante la autorización previa, por parte de las personas autorizadas para ello, de aquellas salidas no autorizadas expresamente en el Documento de Seguridad; y, por otra parte, mantener actualizado el registro que reglamentariamente se exige en el caso entradas y salidas de soportes y documentos con DCP a partir de nivel medio.

El detalle de las exigencias respecto a la entrada y salida de soportes y documentos se encuentra recogido en los artículos 92 (nivel básico) y 97 (en lo que respecta al registro de entradas y salidas, caso de ser exigibles las medidas de nivel medio) del RDLOPD.

Se iniciará con la necesidad de envío fuera de la organización de soportes y documentos con datos de carácter personal cuya salida precise de autorización, o con la recepción o salida de soportes y documentos con datos de nivel medio o alto, y finalizará, en aquellos casos que proceda, con la correspondiente autorización o denegación de salida y/o con la actualización del registro de entrada y salida de soportes y documentos.

5º) Solicitud de pruebas con datos reales: el objetivo de este procedimiento será garantizar que las pruebas con datos reales que sea necesario realizar antes de la implantación o modificación de los sistemas de información se lleven a cabo garantizando el nivel de seguridad correspondiente al tratamiento y previa copia de seguridad de los datos de carácter personal afectados, además de llevar el registro de las mismas que se exige en el RDLOPD. Ver apartado 4 del artículo 94 del RDLOPD.

6º) Realización de copias de respaldo de los ficheros o tratamientos automatizados: el objetivo de este procedimiento será recoger la forma de actuación para la realización de las copias de respaldo, incluyendo su identificación e inventariado y su almacenamiento.

Deberá aplicarse tanto a las copias de seguridad planificadas como a aquellas que se generen como consecuencia de necesidades esporádicas (por ejemplo: pruebas con datos reales).

7º) Recuperación de datos de los ficheros o tratamientos automatizados: el objetivo de este procedimiento será recoger la forma de actuación para la realización de los procesos de recuperación de datos que sea necesario ejecutar como consecuencia de producirse incidencias que conlleven este tipo de actuaciones. Ver apartados 2 y 3 del artículo 94 (nivel básico), artículo 100 (nivel medio) y artículo 102 (nivel alto) del RDLOPD.

Se iniciará con el análisis de la recuperación de datos a efectuar y finalizará con la efectiva recuperación de los mismos garantizando su reconstrucción en el estado en que se encontraban al tiempo de producirse la pérdida o destrucción.


Además de los procedimientos citados, otros procedimientos que recomiendo implantar son los siguientes:

1º) Mantenimiento y reparación del parque informático: el objetivo de este procedimiento será, tanto asegurar la salida fuera de la organización de una forma controlada de los equipos con datos de carácter personal que sea necesario mantener o reparar en instalaciones ajenas, mediante la autorización previa por parte de la persona autorizada para ello, como asegurar que antes de su salida se realiza una copia de seguridad de dichos datos y se realiza el transporte adoptando las medidas necesarias para la protección de la información.

Se iniciará con la comunicación a la persona o personas designadas de la necesidad de mantenimiento o de reparación de un una avería hardware de un equipo con datos de carácter personal y finalizará con la realización de las tareas de mantenimiento que proceda o la reparación del mismo y, si se precisa la realización de dichas tareas en locales ajenos a la empresa, el registro de la entrada del equipo.

2º) Actualización del Documento de Seguridad: en el apartado 7 del artículo 88 del RDLOPD se exige la permanente actualización del Documento de Seguridad. Por tanto, este procedimiento se iniciará con la necesidad de actualizar el Documento de Seguridad, continuará con las actualizaciones pertinentes y, si se precisa, se llevarán a cabo las sesiones de formación que corresponda, y finalizará con la difusión de los cambios realizados entre el personal afectado.


Hasta aquí este post sobre la implantación de los procedimientos que recomiendo implantar en pymes y micropymes. Como se ha indicado al principio, todos ellos deberán estar convenientemente detallados en el Documento de Seguridad (elaborado en la fase 2) y, por tanto, esta actividad consistirá en la puesta en marcha de dichos procedimientos (puesta a disposición de los usuarios de formularios de solicitud, registros, etc. que correspondan) y en la exigencia de su utilización y verificación del correcto uso de los mismos.

Hay que tener en cuenta que la implantación de estos procedimientos implicará la implantación de ciertas normas de seguridad asociadas, tales como: permisos sobre recursos, etiquetado de soportes y documentos, transporte de soportes y documentos, etc., y que deberán también estar convenientemente reflejadas como tales en el Documento de Seguridad.


Para finalizar esta serie de posts, en el siguiente y último trataré sobre la implantación de las principales medidas de seguridad, tanto de índole físico como lógico, y de otros aspectos asociados de la normativa de seguridad.

lunes, 2 de agosto de 2010

Guía implantación LOPD en Pymes (VI)

Finalmente, la última fase que propongo para la implantación de la LOPD en pymes y micropymes es la Fase 4, cuyo objetivo es la implantación de todos los procedimientos, medidas, normas, reglas y estándares recogidos en el Documento de Seguridad elaborado en la fase 2.

Por tanto, el Documento de Seguridad constituye la entrada para las actividades a realizar en esta fase, es decir, todos los aspectos a implantar deberán estar convenientemente desarrollados en dicho documento.

En la primera actividad a llevar a cabo se trata de regularizar aspectos generales exigidos por la normativa en lo que respecta a los tratamientos de datos de carácter personal, tales como:

1.- Deber de información y consentimiento del afectado: consiste en implantar la normativa en lo que se refiere al derecho de información de los interesados sobre los extremos para los que se exige información previa (art. 5 de la LOPD) y, en el caso que así se requiera, solicitar su consentimiento para el tratamiento y/o cesión de sus datos (art. 6 de la LOPD).

Aspectos necesariamente a considerar para ello serán los siguientes:

1.1.- Tratamiento y cesión de datos de los empleados: se debe informar a los trabajadores, por ejemplo mediante un anexo al contrato de trabajo, básicamente, de la existencia de un fichero o tratamiento, de su finalidad, de los posibles destinatarios de la información, de la posibilidad de ejercer los derechos que la Ley les reconoce (acceso, rectificación, cancelación y oposición), y de la identidad y dirección del Responsable del Fichero o Tratamiento.

Cabe recodar, como ya se ha indicado en un post anterior, que el deber de informar subsiste siempre, es decir, hay que cumplirlo con independencia de si se precisa o no el consentimiento para el tratamiento o cesión de los datos.

Ejemplos de cesiones de los datos de los empleados son aquellas que tienen como destinatarios a: administraciones tributarias, organismos de la seguridad social, entidades bancarias para el pago de los salarios, etc., pero es importante revisar todas las comunicaciones que se realizan para informar convenientemente de ellas a los interesados (por ejemplo, si es el caso, a clientes que contraten a la empresa para la realización de determinados trabajos, etc.).

En cuanto al consentimiento de los trabajadores para el tratamiento o cesión de sus datos, sería en el citado anexo donde propongo que se recabe también éste, cuando así se precise. La mayoría de los tratamientos y cesiones que se realizan de los datos de los empleados no requieren de su consentimiento, por estar amparados en una Ley (caso de las cesiones a las administraciones tributarias y organismos de las seguridad social) o pertenecer los datos a una de las partes de una relación contractual, en este caso laboral, y ser estos necesarios para su control, desarrollo o mantenimiento (como es el caso de las cesiones a las entidades bancarias para el pago de los salarios), pero es muy importante recabar el consentimiento de los trabajadores en aquellos supuestos en los que éste es exigible, por lo que habrá que prestar especial atención a este aspecto.

1.2.- Otros temas a considerar con respecto al deber de informar a los interesados y al consentimiento por parte de los mismos, son los siguientes:

- Textos a incluir en formularios de recogida de datos: Se trata de incluir en este tipo de formularios los textos correspondientes para informar y, si se precisa, solicitar el consentimiento de las personas pertenecientes a otros colectivos de los que se recabe y trate datos de carácter personal (clientes, candidatos de empleo, etc.). La idea es la misma que para lo expresado en el punto 1.1. con relación a los empleados, pero, lógicamente, adaptado a las finalidades y tratamientos de los datos de cada colectivo concreto.

- Textos a incluir en formularios web: de forma análoga que en el caso de los formularios en soporte papel, habrá que incluir los correspondientes textos en aquellos formularios web en los que se recaben datos de carácter personal (un ejemplo típico de esto son aquellos formularios web en los que se solicitan curriculums de los candidatos a un puesto de trabajo, o se pueden introducir sugerencias y comentarios, etc.).

- Textos a incluir en los mensajes de correo electrónico: Ídem que lo anterior para los mensajes de correo electrónico, es decir, incluir la leyenda correspondiente en el píe de los mensajes, aunque en estos casos la finalidad suele ser genérica.

- Carteles de videovigilancia: Si es el caso, ubicar en lugar claramente visible los carteles de zona videovigilada y tener a disposición de los interesados que así lo soliciten el correspondiente texto informativo (los modelos de cartel y cláusula informativa se pueden obtener en la página web de la AEPD - www.agpd.es - en el canal de responsable de ficheros).

2.- Deber de secreto: Es importante resaltar que el Responsable del Fichero y quienes intervengan en cualquier fase del tratamiento de los datos están obligados por Ley (art. 10 de la LOPD) al secreto profesional de los mismos y al deber de guardarlos.

Se puede utilizar el anexo a contrato, citado en el punto 1.1., para recodar a los trabajadores con acceso a datos de carácter personal el deber de secreto respecto a aquellos datos que pudieran conocer en el ejercicio de sus funciones y, al mismo tiempo, obtener su compromiso en lo que se refiere al cumplimiento de la normativa interna en esta materia, es decir, en cuanto al acceso y tratamiento de los datos, normativa que se les habrá comunicado y en la que se les habrá formado convenientemente en la fase anterior.

3.- Regularizar contratos de prestación de servicios con los Encargados de Tratamiento: Se trata de incluir las cláusulas pertinentes (con aquellos extremos que el art. 12 de la LOPD indica que se deben establecer expresamente) en los contratos de servicios con terceros vigentes y cuyo cumplimiento implique un acceso por parte de estos últimos a datos de carácter personal de la empresa (ejemplo típico en pymes o micropymes son los contratos con asesorías).

Por tanto, habrá que revisar todos los contratos de este tipo existentes para incluir dichas cláusulas. Esta actividad es importante, ya que, como se indicó en un post anterior, el acceso a datos por parte de terceros para la prestación de un servicio al Responsable del Fichero no se considera cesión, pero de no hacerse así dicho acceso podría ser considerado como una comunicación para la que no se ha obtenido el consentimiento del afectado y, por tanto, se estaría expuesto a la correspondiente sanción.

4.- Regularizar contratos de prestación de servicios sin acceso a datos de carácter personal: de igual forma que en el caso del acceso a datos por cuenta de terceros, habrá que revisar todos los contratos de servicios cuyo cumplimiento no implique el acceso a datos de carácter personal (ejemplos típicos de este tipo de servicios son: limpieza, mensajería, etc.), con objeto de incluir una cláusula que prohíba el acceso a los datos y recursos que los contengan y establezca el deber de secreto de aquellos datos que pudieran conocerse como consecuencia de la prestación del servicio.


Hasta aquí este post, con objeto de no hacerlo excesivamente largo, en el que he tratado los principales aspectos “formales” de la implantación (no de forma exhaustiva, pero sí, de aquellos que considero más relevantes). En mi opinión, muchas pymes y micropymes se quedan exclusivamente en esto, sin prestar atención a la implantación de los aspectos organizativos y técnicos que en la práctica son los que garantizan una adecuada protección de los datos de carácter personal manejados por la organización. En los siguientes y últimos posts trataré sobre la implantación de estos últimos aspectos.