Como duodécima entrega de la serie de artículos sobre protección de datos personales en los bufetes de abogados, y continuando con el artículo anterior, hoy les hablaré sobre nuevos procedimientos de seguridad a implementar en el despacho.
Control de acceso
Unos de los procesos a implementar en el despacho jurídico es el del control de acceso a los lugares del despacho donde se almacenan datos personales. Este procedimiento contiene la normativa a aplicar para el acceso de personas a los locales y dependencias donde se almacenen los datos automatizados o no automatizados.
Los ficheros automatizados se almacenarán en sistemas de información o en servidores que deberán estar ubicados en lugares seguros y que no tengan acceso libre. A estos lugares se les denomina normalmente Centro de Procesos de Datos (CPD).
Los ficheros no automatizados se almacenarán en armarios, archivadores u otros elementos que deberán encontrarse en zonas en las que el acceso esté protegido con puertas de acceso dotadas de sistemas de apertura mediante llave u otro elemento equivalente.
Las zonas donde se ubiquen los ficheros automatizados (CPD) como no automatizados deberán permanecer cerradas cuando no sea preciso su acceso.
AUTORIZACIÓN DE ACCESO
- La concesión de autorización de acceso corresponderá al Responsable Delegado del Fichero o a la persona en la que éste delegue.
- Las autorizaciones tendrán carácter individual y se concederán a aquellas personas que por razón de su trabajo necesiten acceder a los ficheros, bien sea de forma permanente o durante un periodo de tiempo determinado. Habrá dos tipos de autorización:
- Permanente: sin límite en el tiempo.
- Temporal: con fecha de caducidad.
- Solamente al personal autorizado le estará permitido acceder y permanecer de forma continua en las dependencias de los Centros de Procesos de Datos donde se ubiquen ficheros con datos de carácter personal.
- Solamente al personal autorizado le estará permitido acceder y consultar la información en ficheros no automatizados.
- Solamente al personal autorizado le estará permitido realizar copia o reproducción de los documentos y ficheros no automatizados.
- Los centros de proceso de datos dispondrán, siempre que sea posible, de un área intermedia para la entrega de equipos, material, listados, etc., de modo que para ello no se precisará autorización de acceso.
- Las visitas de corta duración tendrán carácter excepcional y no requerirán autorización formal. Sin embargo, habrán de comunicarse y justificarse previamente al responsable o persona en quien éste delegue. El visitante estará acompañado en todo momento durante su estancia.
MODIFICACIONES DE LAS AUTORIZACIONES DE ACCESO
- El Responsable Delegado del Fichero o la persona en quien éste delegue se encargará de que exista una relación actualizada de personas autorizadas.
- Para los centros de proceso de datos donde exista un sistema de control de acceso, deberá tenerse especial cuidado en dar de baja de dicho sistema a las personas que habiendo estado autorizadas, ya no necesiten el acceso al mismo.
- Cuando una persona cause baja en el acceso al centro de proceso de datos, deberá devolver los elementos de identificación o de acceso.
GESTIÓN DEL CONTROL DE ACCESO
- Todas las puertas de acceso a los centros de proceso de datos deberán estar permanentemente cerradas. Las personas autorizadas accederán única y exclusivamente a través de la puerta habilitada para tal fin.
- Los ficheros ubicados en un sistema de tratamiento no automatizado estarán ubicados en armarios, archivadores o salas donde las puertas de acceso deberán permanecer cerradas. Solamente las personas autorizadas podrán acceder a la documentación.
- En el caso que por las características del local no se pudiera asegurar que los sistemas de tratamiento automatizados o no automatizados estén en lugar diferenciado y bajo llave, todo el lugar se convertirá en centro de proceso de datos y en dispositivo de almacenamiento seguro, por lo que la puerta de entrada al local será el punto de acceso.
- Para acceder, el personal autorizado deberá pasar previamente por los sistemas de control de acceso físico habilitados.
VIGILANCIA DE LAS PERSONAS EN LUGARES DE ACCESO RESTRINGIDO.
- Los visitantes de corta duración, que no dispongan de autorización formal (por escrito) de entrada a lugares restringidos, estarán acompañados en todo momento por una persona perteneciente al despacho.
- Cuando se detecte la presencia de una persona no autorizada en las dependencias restringidas o indicios de que se ha producido un acceso no autorizado, se deberá reportar este hecho como incidencia de seguridad.
COPIA O REPRODUCCIÓN DE DOCUMENTOS.
- La generación de copias o la reproducción de los documentos únicamente podrá ser realizada bajo el control del personal autorizado.
- Deberá procederse a la destrucción de las copias o reproducciones desechadas siguiendo el procedimiento de desechado y reutilización de soportes.
ACCESO A LA DOCUMENTACIÓN CON DATOS DE NIVEL ALTO.
Los ficheros almacenen datos de carácter personal de nivel alto deberán seguir las siguientes normas:
- El acceso a la documentación se limitará exclusivamente al personal autorizado.
- Se establecerán mecanismos que permitan identificar los accesos realizados en el caso de documentos y archivos electrónicos que puedan ser utilizados por más de una persona.
- Se mantendrá un registro con datos de los dos últimos años donde por cada persona que acceda se registrará la siguiente información:
a) Nombre de la persona o usuario que accede.
b) Fecha y hora en que realizó el acceso y si éste se realizó con éxito.
c) Fichero accedido.
d) Tipo de acceso (lectura, copia o reproducción, borrado).
Almacenamiento de ficheros no automatizados
Los archivos y documentos que contengan datos de carácter personal o información sensible propiedad del despacho jurídico deberán estar almacenados en lugares tales como armarios o archivadores que deberán tener mecanismos que obstaculicen su apertura, por ejemplo una cerradura con llave u otro mecanismo.
Si los documentos contienen datos sobre los que hay que aplicar un nivel de seguridad medio, deberán estar además en áreas donde el acceso esté protegido mediante puerta de acceso que tenga algún sistema de apertura. Estas áreas restringidas deberán estar permanentemente cerradas y solamente accederá a ellas el personal autorizado por el responsable del fichero.
Si por las características de las oficinas del despacho jurídico, no se dispusiera de una habitación donde se pudieran almacenar los archivos y documentos de nivel medio, éstos permanecerían almacenados en archivadores que estarían cerrados con llave y todo el local del despacho jurídico, donde se encuentre esta documentación, se convertiría en área de acceso restringido.
Gestión de soportes y documentos
Otro de los procesos a implementar en el despacho jurídico es el de la gestión de soportes y documentos que contienen datos personales. Los soportes informáticos y documentos que contengan datos de carácter personal deberán permitir identificar el tipo de información que contienen, ser inventariados y sólo deberán ser accesibles por el personal autorizado para ello.
Cuando las características físicas del soporte imposibiliten su inventariado se hará constar en el anexo correspondiente del documento de seguridad.
AUTORIZACIÓN PARA LA GESTIÓN DE SOPORTES
- Existirá una relación de personas autorizadas a identificar, inventariar y desechar soportes que contengan datos de carácter personal.
ETIQUETADO DE SOPORTES CON DATOS DE CARÁCTER PERSONAL
- Cualquier soporte que sea susceptible de contener datos de carácter personal y que vaya a ser utilizado en dependencias del despacho jurídico deberá ser debidamente etiquetado e inventariado.
- La identificación de los soportes que contengan datos de carácter personal que la organización considerase especialmente sensibles se podrá realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido, y que dificulten la identificación para el resto de personas.
INVENTARIO DE SOPORTES CON DATOS DE CARÁCTER PERSONAL
- El inventario de soportes que contengan datos de carácter personal estará catalogado y almacenado en un lugar con acceso restringido al personal autorizado.
- Existirá un inventario de soportes que facilite su control, almacenamiento y localización. En este inventario se registrarán los siguientes datos:
Para soportes automatizados
a) Nombre de la máquina o del sistema (respaldos) u otra información que identifique el contenido (descripción).
b) Breve descripción de los datos almacenados.
c) Nivel de los datos de carácter personal (el del nivel más alto del conjunto de datos de carácter personal contenidos).
- Tipo de soporte (cinta, cartucho, disco, etc.).
- Numero de soportes que forma el juego
- Lugar donde se almacena (dependencia, armario, estante, etc.).
- Fecha de alta o creación.
- Fecha de baja o de caducidad.
Para soportes no automatizados:
- Código del juego de soportes.
- Información del contenido:
A) Descripción.
B) Nivel de los datos de carácter personal (el del nivel más alto del conjunto de datos de carácter personal contenidos).
- Lugar donde se almacena (dependencia, armario, estante, etc.).
- Fecha de alta o creación.
- Fecha de baja o de caducidad.
- Cuando un soporte se prepare para ser reutilizado, la información que contiene será eliminada siguiendo la Normativa de Desechado de Soportes. Además el soporte será eliminado del inventario.
- Cuando un soporte vaya a ser desechado, se borrará la información contenida y se destruirá físicamente siguiendo la Normativa de Desechado de Soportes. Además el soporte será eliminado del inventario.
Desechado y reutilización de soportes
Este procedimiento define la normativa a aplicar en el despacho jurídico al objeto de destruir toda la información de carácter personal contenida en soportes automatizados y no automatizados cuya vigencia haya caducado.
Los motivos de su caducidad pueden ser muy variados: la información se dispone repetida en otros soportes alternativos, la información se almacenaba con carácter puntual y para un uso esporádico, la información ha quedado desactualizada, la información ha caducado, la información ha llegado al final de los criterios de archivo (legales o criterios propios establecidos por el despacho) etc.
- Cuando la información que contenga un soporte ya no sea necesaria para el fin para el que se guardó, el soporte será desechado o, en su caso, preparado para ser reutilizado.
- El soporte no podrá ser reutilizado y habrá de ser obligatoriamente desechado si se da alguna una de estas circunstancias:
- Cuando haya finalizado la vida útil del soporte.
- Si el tipo de soporte no permite el borrado de la información que contiene.
- Si se trata de soporte en formato no automatizado.
- Cuando un soporte se prepare para ser reutilizado, se destruirá la información contenida en él aplicando el sistema de borrado adecuado:
- Para soportes magnéticos: formateado en profundidad (utilizando la opción que proporciona el fabricante para el borrado de los datos).
- Para soportes ópticos (CD-RW, regrabable): borrado completo del soporte.
- En primer lugar, siempre que el tipo de soporte lo permita, se destruirá la información contenida aplicando el sistema adecuado.
- A continuación se procederá a la destrucción física de la información utilizando dispositivos desmagnetizadores o cualquier otro medio mecánico.
- En caso de formato no automatizado se deberán tomar las medidas en su destrucción que eviten el acceso a la información contenida en el mismo o su posible recuperación posterior, preferiblemente mediante destructoras de documentos.
- Cuando un soporte vaya a ser desechado, se procederá de esta manera:
- Las únicas personas autorizadas para desechar o reutilizar un soporte que contenga datos de carácter personal serán las mismas que estén autorizadas a identificar e inventariar este tipo de soportes.
Recomendaciones
Le recomiendo que sea sistemático en la implantación de estos procesos en su despacho jurídico y riguroso en su aplicación y seguimiento del cumplimiento de dichos procesos. Además deberá concienciar al personal de su despacho de la importancia que tiene para la seguridad de la información seguir estos procedimientos, y de las graves consecuencias tanto para el personal como para el despacho en caso de que se dé una incidencia grave sin haber adoptado unas medidas de seguridad adecuadas
Les espero en la próxima entrega: “Procedimientos de seguridad (Parte III)”
ElDerecho.com no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación