LOPD EN DESPACHOS DE ABOGADOS

Medidas de seguridad para ficheros automatizados

Tribuna
Pedro-Torre-Rodriguez_EDEIMA20160302_0004_1.jpg

Como novena entrega de la serie de artículos sobre protección de datos personales en los bufetes de abogados hoy les comentaré lo relativo a las medidas de seguridad para ficheros automatizados del despacho.

Ficheros automatizados y niveles de seguridad

Como ya les comenté anteriormente los ficheros automatizados consisten en conjuntos de datos personales organizados de forma automática y gestionados mediante, programas, soportes, y equipos informáticos. 

Conviene también recordar someramente los tres niveles de seguridad relativos a la tipología de los datos que contiene el fichero automatizado:

1.- Nivel de seguridad alto

Todos los ficheros automatizados de datos personales sobre ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual y respecto de los que no se prevea la posibilidad de adoptar el nivel básico. Se aplica también a los datos personales con fines policiales recabados sin consentimiento del afectado y los derivados de violencia de género.

2.- Nivel de seguridad medio

Todos los ficheros automatizados de datos personales sobre comisión de infracciones administrativas o penales, prestación de servicios de solvencia patrimonial o de crédito, los relativos a potestades tributarias de la Administración, los relativos a servicios financieros y de mutuas de accidentes de trabajo, los que ofrezcan información sobre la personalidad y el comportamiento, y los operadores de comunicaciones electrónicas respecto de los datos de tráfico y localización.

3.- Nivel de seguridad bajo

Todos los ficheros automatizados de datos personales sobre el resto de datos que no se engloben en las categorías anteriores.

Ficheros automatizados de seguridad básica

Respecto de los ficheros automatizados de datos personales con un nivel de seguridad básica, hay que tener en cuenta las siguientes disposiciones:

  • Las funciones y obligaciones de cada uno de los usuarios o perfiles de usuarios con acceso a los datos de carácter personal y a los sistemas de información estarán claramente definidas y documentadas en el documento de seguridad. También se definirán las funciones de control o autorizaciones delegadas por el responsable del fichero o tratamiento.
  • Deberá existir un procedimiento de notificación y gestión de las incidencias que afecten a los datos de carácter personal y establecer un registro en el que se haga constar el tipo de incidencia, el momento en que se ha producido, o en su caso, detectado, la persona que realiza la notificación, a quién se le comunica, los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas.
  • Los usuarios tendrán acceso únicamente a aquellos recursos que precisen para el desarrollo de sus funciones en el despacho jurídico.
  • Se establecerán mecanismos en el despacho para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados. Exclusivamente el personal autorizado para ello en el documento de seguridad podrá conceder, alterar o anular el acceso autorizado sobre los recursos, conforme a los criterios establecidos por el responsable del fichero.
  • Los soportes y documentos electrónicos que contengan datos de carácter personal deberán permitir identificar el tipo de información que contienen, ser inventariados y solo deberán ser accesibles por el personal autorizado para ello en el documento de seguridad.
  • La salida de soportes y documentos electrónicos que contengan datos de carácter personal, incluidos los comprendidos y/o anejos a un correo electrónico, fuera del despacho jurídico deberá ser autorizada por el responsable del fichero o encontrarse debidamente autorizada en el documento de seguridad
  • En el traslado de la información se adoptarán las medidas dirigidas a evitar la sustracción, pérdida o acceso indebido a la información durante su transporte, incluida la comunicación electrónica.
  • Se deberán adoptar en el despacho jurídico las medidas que garanticen la correcta identificación y autenticación de los usuarios. Se establecerá un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado.
  • Cuando el mecanismo de autenticación se base en la existencia de contraseñas existirá un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad. El documento de seguridad establecerá la periodicidad, que en ningún caso será superior a un año, con la que tienen que ser cambiadas dichas contraseñas.
  • Deberán establecerse procedimientos de actuación para la realización, como mínimo semanal, de copias de seguridad de los datos personales, salvo que en dicho período no se hubiera producido ninguna actualización de los datos.
  • Asimismo, se establecerán procedimientos para la recuperación de los datos personales que garanticen en todo momento su reconstrucción en el estado en que se encontraban al tiempo de producirse la pérdida o destrucción.
  • Deberá llevarse un registro donde deberán consignarse, además, los procedimientos realizados de recuperación de los datos, indicando la persona que ejecutó el proceso, los datos restaurados y, en su caso, qué datos ha sido necesario grabar manualmente en el proceso de recuperación. Será necesaria la autorización del responsable del fichero para la ejecución de los procedimientos de recuperación de los datos sobre el mismo.
  • Las pruebas anteriores a la implantación o modificación de los sistemas de información que traten ficheros con datos personales no se realizarán con datos reales, salvo que se asegure el nivel de seguridad correspondiente al tratamiento realizado y se anote su realización en el documento de seguridad.

Ficheros automatizados de seguridad media

Respecto de los ficheros automatizados de datos personales con un nivel de seguridad media, además de las consideraciones aplicables a los ficheros automatizados de datos personales de nivel y bajo, hay que tener en cuenta las siguientes disposiciones:

  • En el documento de seguridad deberán designarse uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en el mismo. Esta designación puede ser única para todos los ficheros o tratamientos de datos de carácter personal o diferenciada según los sistemas de tratamiento utilizados, circunstancia que deberá hacerse constar claramente en el documento de seguridad.
  • Cuando gestionen datos personales de nivel medio, los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se someterán, al menos cada dos años, a una auditoría interna o externa que verifique el cumplimiento de las medidas consignadas en el documento de seguridad. Igualmente deberá efectuarse una auditoría ante cambios sustanciales en los sistemas de información
  • Deberá establecerse en el despacho jurídico un sistema de registro de entrada de soportes informáticos que permita, directa o indirectamente, conocer el tipo de documento o soporte, la fecha y hora, el emisor, el número de documentos o soportes incluidos en el envío, el tipo de información que contienen, la forma de envío y la persona responsable de la recepción que deberá estar debidamente autorizada.
  • Igualmente, se dispondrá en el despacho de un sistema de registro de salida de soportes que permita, directa o indirectamente, conocer el tipo de documento o soporte, la fecha y hora, el destinatario, el número de documentos o soportes incluidos en el envío, el tipo de información que contienen, la forma de envío y la persona responsable de la entrega que deberá estar debidamente autorizada.
  • Se deberá establecer un mecanismo que limite la posibilidad de intentar reiteradamente el acceso no autorizado a los sistemas de información.
  • Exclusivamente el personal autorizado en el documento de seguridad podrá tener acceso a los lugares donde se hallen ubicados los equipos informáticos que den soporte a los sistemas de información.

Ficheros automatizados de seguridad alta

Respecto de los ficheros automatizados de datos personales con un nivel de seguridad alta, además de las consideraciones aplicables a los ficheros automatizados de datos personales de nivel medio y bajo, hay que tener en cuenta las siguientes disposiciones:

  • La transmisión de datos de carácter personal a través de redes públicas o redes inalámbricas de comunicaciones electrónicas se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros.
  • De cada intento de acceso a los sistemas de información del despacho se guardarán, como mínimo, la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado. Los mecanismos que permiten el registro de accesos estarán bajo el control directo del responsable de seguridad competente sin que deban permitir la desactivación ni la manipulación de los mismos.
  • El responsable de seguridad se encargará de revisar al menos una vez al mes la información de control registrada y elaborará un informe de las revisiones realizadas y los problemas detectados.
  • La distribución de los soportes informáticos que contengan datos de carácter personal se realizará cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha información no sea accesible o manipulada durante su transporte.
  • Deberá conservarse una copia de respaldo de los datos personales y de los procedimientos de recuperación de los mismos en un lugar diferente de aquel en que se encuentren los equipos informáticos que los tratan, que deberá cumplir en todo caso las medidas de seguridad exigidas.

Recomendaciones

Como ve, en función de la tipología de los datos personales que gestione en el despacho jurídico deberá implantar medidas más o menos severas para asegurar dichos datos personales. 

Por ello, antes de entrar de lleno a definir procesos de seguridad conviene que se haya planteado adecuadamente los ficheros de datos que deberá registrar y su tipología. Si en un mismo fichero de datos personales conviven datos de distinto nivel de seguridad se deberá aplicar siempre el más restrictivo, con que merece la pena, como ya le comenté anteriormente, clasificar sus ficheros de datos personales por uso y tipología. 

La severidad de las medidas a implantar va a condicionar mucho el coste de las mismas así como el funcionamiento del propio despacho jurídico, por lo que conviene realizar un planteamiento adecuado desde el principio. ¡Cuente con profesionales! 

Les espero en la próxima entrega: “Medidas de seguridad para los ficheros no automatizados del despacho”.


ElDerecho.com no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación