Como decimosexta entrega de la serie de artículos sobre protección de datos personales en los bufetes de abogados, hoy les hablaré sobre algunas buenas prácticas en el despacho en lo referente a la gestión de datos personales.
Normas de uso de dispositivos y sistemas informáticos
El despacho deberá establecer una normativa de uso de dispositivos y sistemas informáticos por escrito, así como unos criterios de supervisión de su actividad, remitiendo ambos documentos a todos sus integrantes y haciendo que firmen una conformidad de la información recibida. Con ello se delimitarán las posibles responsabilidades del despacho jurídico en caso de un mal uso o actividad negligente por parte de su personal.
Además, para poder supervisar periódicamente los actos que con dichos dispositivos realicen los miembros del despacho es recomendable dotarles con equipos informáticos y dispositivos móviles propiedad del despacho. No es lícito supervisar dispositivos que no sean propiedad del despacho.
Los usuarios deberán utilizar únicamente las versiones de software y los dispositivos facilitados por el despacho jurídico, y seguir las normas de utilización establecidas. El Responsable de Seguridad será el responsable de definir los programas de uso estandarizado, de llevar un inventario de dispositivos electrónicos y de controlar las instalaciones pertinentes de software en esos dispositivos.
Los usuarios no deberán instalar, ni actualizar, ni borrar ningún tipo de programa informático en sus dispositivos corporativos salvo autorización expresa del Responsable de Seguridad.
El usuario en ningún caso podrá acceder físicamente al interior de los dispositivos que tiene asignado para su trabajo. En caso necesario se comunicará la incidencia, según el procedimiento habilitado, y únicamente el personal autorizado por el Responsable de Seguridad podrá acceder al interior del dispositivo para labores de reparación, instalación o mantenimiento.
Los usuarios no deberán manipular los mecanismos de seguridad y supervisión que el despacho jurídico implemente en los dispositivos de su propiedad. Sólo el personal autorizado por el Responsable de Seguridad podrá realizar tareas de mantenimiento y actualización en los dispositivos electrónicos de los usuarios.
Quedará terminantemente prohibido cualquier uso personal de las herramientas informáticas del despacho, tales como el uso de cuentas de correo electrónico ajenas al despacho o software instalado por los propios usuarios sin la debida autorización. Ello tiene su razón de ser en evitar posibles vías de salida de información del despacho que no estén debidamente supervisadas.
El incumplimiento de estas normas de uso de dispositivos y sistemas informáticos será la base para un despido disciplinario en caso de un uso negligente, además de limitar las posibles responsabilidades del despacho mediante la acreditación de la existencia de medidas suficientes para evitar en lo posible incidencias.
Acuerdos de confidencialidad
Para garantizar el deber de secreto que el despacho jurídico debe asumir para con los datos personales que gestiona será imprescindible que tanto el personal como terceros colaboradores suscriban sendos acuerdos de confidencialidad.
Los empleados y personal del despacho deberán aceptar que no usarán la información para sí, ni para otros fines distintos a los autorizados por el despacho, ni divulgará o comunicará por cualquier medio, directa o indirectamente, a otra persona, empresa o entidad cualquier información propiedad del despacho a las que haya tenido acceso durante su relación con el mismo.
El personal cumplirá con el deber de guardar secreto respecto a la información y los datos de carácter personal a los que tenga acceso durante el tiempo que dure la relación con el despacho, subsistiendo estas obligaciones aún después de finalizar su relación con la misma, comprometiéndose a acceder sólo y exclusivamente a la información que precise para el desarrollo de sus funciones y a la que está autorizado por el despacho.
Así mismo, los terceros colaboradores y/o proveedores se comprometerán a que durante la prestación de los servicios contratados, ni en los años posteriores a la finalización de los mismos, usarán para sí, ni divulgarán o comunicarán por cualquier medio, directa o indirectamente, información a la que haya tenido acceso. Tampoco usarán los datos para fines distintos a los estipulados en la cesión de datos o por razón de una prestación de servicios contratada por el despacho. Además estos terceros deberán declarar haber adoptado todas las medidas necesarias para dar cumplimiento a la normativa en materia de protección de datos personales, siendo su responsabilidad evitar incidencias y fugas de información.
Una vez finalizada la prestación de servicios o colaboración, estas terceras partes, se comprometerán a devolver al despacho todos los datos personales origen del contrato y a eliminarlos de sus instalaciones y, en todo caso, mantendrán los datos debidamente bloqueados únicamente con fines históricos y legales.
Despacho sin papeles
Un gran volumen de documentos, como los que suelen intervenir en los procesos judiciales, suponen un coste elevado tanto de espacio de almacenamiento, como de gestión y de seguridad.
Necesitará salas específicas en su despacho para almacenar la información, control de acceso, armarios con llave, criterios de archivo, etc. Además, no es precisamente sencillo manejar expedientes de un lado a otro, controlando su ubicación en todo momento, o realizar copias de seguridad por si los documentos se deterioran o se sufre la pérdida accidental de los mismos, como por ejemplo en un incendio.
Por ello, le recomiendo digitalizar toda la información que llegue a su despacho, usando escáneres de documentos, y almacenarla mediante un software de archivo digital, o en su defecto, usando un servidor de datos.
Con ello tendremos toda la información centralizada, pudiendo gestionar y auditar el acceso a los documentos, además de poder hacer copias de seguridad regularmente sin que suponga una gran dificultad.
Así mismo, es mucho más fácil trasladar documentación en una memoria USB cifrada que expedientes en papel usando maletines con llave, por poner un ejemplo gráfico.
Poner fin a los expedientes desperdigados
Seguramente les pasará en su propio despacho, o en el de algún compañero/a, que se acumulan expedientes judiciales en sus mesas de trabajo. Yo mismo al acudir a algunos despachos jurídicos, en el momento de recibirme podía ver perfectamente la identidad y naturaleza del expediente judicial de terceras personas por el simple hecho de estar apilados en las mesas.
Como se imaginará, esto no es admisible e incumple la normativa en materia de protección de datos. Los expedientes deben estar en sus respectivos archivadores, bajo llave, cuando no están en inmediato uso por parte del personal, y cuando lo estén, deben estar contenidos en carpetas que no permitan identificar fácilmente la identidad de las personas sobre las que versa.
Este es otro motivo por el que les recomiendo la filosofía de “Despacho sin papeles”.
Inventario de su parque informático
Otra buena práctica es la de llevar un inventario de todos los dispositivos informáticos y teléfonos propiedad del despacho. El objeto no es otro que tener controlada la situación de cada uno de estos dispositivos, por ser susceptibles de contener datos personales.
Las salidas del despacho de estos dispositivos deberán ser autorizadas por el Responsable de Seguridad, bien con permisos puntuales, bien con permiso de una duración determinada en el tiempo.
También le recomiendo que en aquellos dispositivos que se usen regularmente fuera del despacho jurídico contenga la información justa y necesaria para el trabajo a llevar a cabo fuera de las dependencias, y que este esté cifrado o bien protegido con contraseña.
Lo ideal es que los documentos permanezcan en el servidor de datos del despacho y se acceda a ellos vía conexión de internet, sin que deban permanecer en el dispositivo localizado fuera del despacho. Ello minimiza mucho los riesgos ante cualquier pérdida o sustracción.
Recomendaciones
Mi principal recomendación es, una vez más, el sentido común. Le recomiendo implementar todas aquellas acciones que le permitan saber qué datos está usando en cada momento cada miembro de su despacho y en qué lugar. Puede parecer complicado, y lo es si la información está en soporte papel, no así en digital.
Le invito a que contemple la opción de digitalizar su despacho jurídico como principal buena práctica para la protección de datos personales, y a que lo haga con criterio y primando la eficiencia y la seguridad de la información.
Les espero en la próxima entrega: “Caso práctico: cesión de datos personales a procuradores”
ElDerecho.com no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación