Nº 13
| 2005 | |
Nº 13 |
 |
| PROTECCIÓN DE DATOS |
AGARRENSE QUE VIENEN CURVAS
En dicho seminario la AGPD (Agencia Española de Protección de Datos) ha pretendido, ante la perspectiva de la elaboración del Reglamento que desarrolle la LO 15/1999, organizar unas jornadas en las que se reúnan las diferentes partes afectadas por la publicación de este. Por lo tanto durante esos días de junio en Santander nos hemos reunido, la Agencia, representantes de asociaciones de consumidores, la patronal (UNESPA incluida), auditores, representantes de partidos políticos, etc. Por supuesto lo primero que debo de hacer es advertir que es un texto que se encuentra en una fase inicial, en borrador, y como bien saben los mediadores puede sufrir grandes modificaciones en su camino hasta su aprobación definitiva, por lo tanto es un texto provisional a fecha 1 de julio de 2005. Si ya el actual reglamento de medidas de seguridad era exigente, el borrador del nuevo lo es aun más. Ficheros no automatizados. Hasta ahora no se encontraban regulados, a pesar de ello si era aconsejable tenerlos reflejados tanto en el documento de seguridad como comunicárselos a la Agencia. No solo eso sino que, no se podrán almacenar en instalaciones con acceso al público y si no hay mas remedio, solo deben estar en las mesas los documentos indispensable para el trabajo diario, el resto deberán estar en armario o archivadores con cerradura. Nominas, retenciones, TC’s, etc. Hasta ahora este tipo de documentos eran considerados de nivel alto, ya que podían contener datos tales como, minusvalías, pertenencias a sindicatos, etc. El nuevo reglamento por cuestiones de “practicidad” en la gestión diaria de las empresas los pasa a considerar de nivel básico. Acceso de terceras empresas a los datos de nuestro negocio. Endurece dichos accesos tales como empresas informáticas o de mantenimiento de los programas de gestión, ya no vale eso de que es un amigo o el vecino, la empresa debe de estar auditada, inscritos sus ficheros en la Agencia, y quedar reflejada en el documento de seguridad. Llegamos a tales extremos que, en el caso de empresas de limpieza que accedan a locales donde existan datos deben figurar los datos de dichas empresas en el documento de seguridad. Dispositivos portátiles. Hoy en día cada vez es mas frecuente la utilización de ordenadores portátiles o dispositivos tipo Palm o PDA con datos de clientes, bueno pues a partir de la publicación del reglamento la información que se encuentre en dichos dispositivos deberá de estar cifrada. Personal temporal, tal como personas con contrato temporal o en practicas, hasta ahora bastaba con la regulación al respecto que se encuentra en el Estatuto de los Trabajadores, pero a partir de ahora, cada vez que se contrate personal temporal y/o en practicas deberá de modificarse el documento de seguridad con su alta o baja en la empresa. Claves, usuarios y contraseñas. Ante la pregunta a las empresas auditoras de cual es la debilidad mas habitual encontrada en la empresas auditadas, el 99% ha coincidido y es el tener un usuario o clave común para todos los trabajadores de la empresa o despacho. Por lo tanto se endurecen las medidas para la consecución que todos los ordenadores tengan limitación de accesos y que cada uno de los usuarios cuenten con su clave. Copias de seguridad. Se mantiene la periodicidad mínima de una semana para la realización de las copias de seguridad, a esto debemos de añadirle que a partir de la publicación del reglamento, el responsable de seguridad deberá comprobar la validez de la copia de seguridad cada 6 meses, eso quiere decir realizar un simulacro de restauración de la copia de seguridad, para comprobar que “realmente” tenemos una copia de seguridad y no hay errores en su elaboración. Autorización para el tratamiento de datos. Aunque en el caso de la mediación se continúa aplicando la excepción que la Ley Orgánica recoge en su Art.6.2, siempre es mejor tener autorización firmada por nuestros clientes ya que la doctrina que aplica la Audiencia Nacional en este tipo de contenciosos es que, en caso de duda, se pruebe que se tiene autorización firmada del titular de los datos para su tratamiento. Seguimiento de acciones de usuario. Hasta ahora era una medida solo aplicable a los ficheros de nivel alto, es una pequeña aplicación que se encuentra integrada en casi todos los programas de gestión de pólizas, o por lo menos los programas que AP&M Asesores tiene certificados. Esta aplicación registra que usuario ha accedido a que ficheros, y en que fecha. Además el fichero que con tales registros deberá ser inscrito en la Agencia y conservado hasta 2 años. Auditorias. Como ya saben en el caso de la mediación, al estar situados en datos de nivel medio-alto, es obligatoria la realización de una auditoria cada dos años, en este caso la Agencia ha detectado una muy baja incidencia de esta medida, por lo que a partir de la publicación del reglamento, no solo habrá que inscribir los ficheros sino cuando se ha realizado la auditoria y quien la ha realizado. De esta forma la agencia tendrá constancia de que empresa y/o profesionales hayan implementado esta medida y podrá realizar un seguimiento mas eficaz. Por lo tanto y como se puede ver si no cambia en mucho el borrador del Reglamento hasta su aprobación definitiva, se van a incrementar los factores a tener en cuenta respecto a la protección de datos. Todo esto unido al incremento en el afán inspector de la agencia y sobre todo a la mayor concienciación de los consumidores hacen que las acciones sancionadoras en este campo se incrementen. Implementar medidas de seguridad, que la mayoría de las veces no responden a una mayor inversión sino a simples medidas organizativas, y auditarnos correctamente es asegurar la continuidad de nuestro negocio. Por todo ello nos ponemos a disposición de los colegiados para solventar cualquier duda que se les puede plantear en la aplicación de la legislación vigente de protección de datos en lo relativo a su actividad en el 96 320 50 70 o bien, a través de nuestro correo electrónico info@apmasesores.com
|