LOPD EN DESPACHOS DE ABOGADOS

Procedimientos de seguridad III. Custodia de soportes

Tribuna
Pedro-Torre-Rodriguez_EDEIMA20160302_0004_1.jpg

Como decimotercera entrega de la serie de artículos sobre protección de datos personales en los bufetes de abogados, y continuando con los dos artículos anteriores, hoy les hablaré sobre los restantes procedimientos de seguridad a implementar en el despacho jurídico.

Custodia de soportes

En tanto los documentos con datos personales no se encuentren archivados en los dispositivos de almacenamiento indicados en los procesos de almacenamiento de ficheros automatizados y de ficheros no automatizados, por estar en proceso de tramitación o traslado, las personas que se encuentren a su cargo deberán custodiarlos e impedir el acceso a personas no autorizadas.

Los soportes deberán permitir identificar el tipo de información que contienen, ser inventariados e impedir de forma suficiente su libre acceso. Tanto el citado acceso como su almacenamiento se corresponderán con el nivel de seguridad correspondiente a los datos personales que contengan.

El inventario de soportes distinguirá entre soportes automatizados y soportes en formato papel y podrá encontrarse en formato papel o en un fichero digital. En cualquier caso el inventario de soportes será únicamente accesible por el responsable de seguridad o persona en quien delegue dicha función.

Criterios de acceso

El archivo de los soportes y documentos se realizará de acuerdo con los criterios previstos en la legislación vigente. Estos criterios deberán garantizar:

  • La correcta conservación de los documentos.
  • La localización y consulta ágil de la información de la información.
  • Posibilitar el ejercicio de los derechos de acceso, rectificación, cancelación y oposición, y en su caso, el derecho al olvido y el derecho a la portabilidad.
  • La puesta en marcha de las medidas de seguridad de la información aplicables al nivel de seguridad de los datos personales contenidos en el documento.

En los casos en que no haya una legislación aplicable o los documentos no se encuentren bajo la normativa de regulación documental, el Responsable Delegado del Fichero establecerá los criterios y procedimientos de actuación que deberán seguirse.

Copias de seguridad

Mediante este procedimiento se define la operativa a realizar para la obtención de las copias de respaldo, de recuperación de datos de carácter personal y los procedimientos de revisión semestrales.

PROCEDIMIENTO DE REALIZACIÓN DE COPIAS DE RESPALDO.

El procedimiento para la obtención de copias de respaldo del resto de la información se basa en la ejecución de los planes establecidos para cada espacio de almacenamiento y/o soportes que contengan documentos con datos de carácter personal. No es necesaria la realización de copias de respaldo para copias temporales de los citados documentos.

Obtener copias de respaldo y registrar soportes

  1. La ejecución de los procesos de copias de respaldo se realizará cuando los sistemas de información no estén operativos. En el caso de aplicaciones que tengan que funcionar las 24 horas, se realizará cuando menos afecten al rendimiento del sistema de información. En este caso será necesario dotar a los sistemas de los mecanismos necesarios para poder realizar las copias de respaldo con el sistema funcionando.
  2. Se dotarán de mecanismos de salvaguardia de los datos actualizados entre dos copias de seguridad, de forma que en caso de desastre del sistema se pueda recuperar hasta la última transacción realizada de forma correcta.
  3. Al menos una vez al mes se realizará una copia de todos los datos y sistemas que deberán incluir el Sistema Operativo, las bases de datos de usuarios y el aplicativo, de forma que se pueda recuperar el entorno completo en caso de desastre.
  4. El Responsable de Seguridad seleccionará los soportes a utilizar de acuerdo con el sistema de rotación establecido, y procederá a realizar las copias de respaldo él mismo o a través de personal debidamente autorizado. En el caso que los servicios de sistemas de información estén hospedados o subcontratados a una empresa externa, será ésta la encargada de realizar el proceso de copia siguiendo el procedimiento definido por el responsable de seguridad o del fichero.
  5. Una vez obtenidas las copias de respaldo, se actualizará el registro de soportes aplicando la procedimentación habilitada de Identificación de Soportes.

Almacenar copias de respaldo

Al menos semanalmente se realizará una copia de seguridad de todos los archivos automatizados que contengan datos de carácter personal a no ser que durante este periodo de tiempo no se haya producido ninguna modificación o actualización de los datos.

Se establecerán dos procedimientos dependiendo del nivel de actualización de los datos que en cualquier caso deberán asegurar la correcta recuperación de los datos actualizados:

  1. En el caso de sistemas con datos que se actualicen diariamente, se deberá realizar una copia de seguridad siguiendo el siguiente procedimiento:
  • La copia del día actual permanecerá en los dispositivos de copia para que se pueda realizar el proceso de salvaguardia y se etiquetará con el día de la semana que corresponda.
  • Las copias de días anteriores se almacenarán en lugar distinto donde residen los servidores propiedad del despacho jurídico, y preferiblemente en armarios ignífugos.
  • La copia del viernes se etiquetará como copia semanal y se sustituye cada 4 semanas.
  • La copia del último viernes de cada mes se etiquetará como copia mensual y se almacenará como copia mensual. Sustituirá a la copia del mismo mes del año anterior.
  • Una vez cerrado el año, se realizará una copia que se etiquetará como copia anual y se almacenará durante 5 años en lugar distinto donde residen los servidores propiedad del despacho jurídico, y preferiblemente en armarios ignífugos.

2. En el caso de sistemas con datos que no se actualicen diariamente, se deberá realizar una copia de seguridad siguiendo el siguiente procedimiento:

  • Cuando se hayan modificado los datos, se procederá a realizar una copia de seguridad en los dispositivos de copia designados por el Director de Sistemas de Información y se etiquetarán con la fecha del día de la copia de seguridad.
  • Una vez cerrado el año, se realizará una copia que se etiquetará como copia anual y se almacenará durante 5 años en lugar distinto donde residen los servidores propiedad del despacho jurídico, y preferiblemente en armarios ignífugos.
  • Las copias se almacenarán en lugar distinto donde residen los servidores propiedad del despacho, y preferiblemente en armarios ignífugos.

PROCEDIMIENTO DE RECUPERACIÓN DE DATOS

Este procedimiento contempla la recuperación de ficheros con datos de carácter personal desde copias de respaldo ante una incidencia cuya resolución requiere dicha recuperación.

Comunicar la necesidad de recuperación de datos

  1. Ante una necesidad de recuperación de datos, el usuario comunicará la necesidad de recuperación de datos al Responsable de Seguridad.
  2. En caso de ficheros de nivel medio o alto, la recuperación de datos se reportará como incidencia según lo establecido en el procedimiento de notificación y gestión de incidencias.

Analizar necesidad de recuperación de datos

  1. El Responsable delegado del Fichero conjuntamente con el Responsable de Seguridad, analizará la necesidad de recuperación y decidirá, si es preciso, qué ficheros y datos se recuperan, en qué momento, a partir de qué copias de respaldo y si es necesario grabar datos manualmente, para garantizar la reconstrucción del estado de los sistemas al momento en el que se produjo la incidencia que ocasionó la pérdida o inconsistencia de los datos.
  2. Una vez decidida la recuperación a realizar, en caso de ficheros de nivel medio o alto, el Responsable de Seguridad solicitará la autorización pertinente al Responsable Delegado de Fichero.

Autorizar recuperación de datos

  1. Solamente si el fichero es de nivel medio o alto, el Responsable Delegado de Fichero o personas en quien deleguen, autorizarán formalmente (por escrito u otro medio en el que quede constancia de la autorización) al Responsable de Seguridad la ejecución de los procesos de recuperación de ficheros mediante un comunicado, con fecha y hora, donde se especificarán los ficheros a recuperar.

Recuperar datos

  1. Se procederá a la recuperación física de los ficheros requeridos, utilizando para ello los mecanismos que se tenga habilitados para estos casos.
  2. Se podrá requerir la participación de los usuarios cuando haya que grabar datos manualmente.

Cerrar incidencia de recuperación de datos

  1. En caso de ficheros de nivel medio y una vez recuperados los datos correspondientes, el Responsable de Seguridad registrará las acciones asociadas a la incidencia de seguridad (acciones de recuperación y los datos que han sido recuperados) y posteriormente cerrará la incidencia.

Régimen de trabajo fuera de los locales del despacho

Este procedimiento es de aplicación tanto a los ficheros automatizados como en los ficheros en soporte papel o no automatizados cuando se realice tratamiento fuera de los locales del despacho y de los locales de terceros contratados para realizar en todo o en parte el tratamiento de los datos personales.

El Responsable Delegado del Fichero deberá autorizar este procedimiento indicando el período de validez. Si este período es permanente lo hará constar en la autorización que realice.

Salida de soportes fuera de los locales del despacho

  1. La persona autorizada a utilizar soportes fuera de los locales del despacho jurídico, comunicará al Responsable de Seguridad y al Responsable Delegado del Fichero la necesidad de sacar soportes fuera de los locales de la organización para la realización de un trabajo.
  2. La persona, debidamente autorizada, utilizará por motivos de trabajo los soportes, que pueden ser automatizados (CD, portátiles, smartphones, pen-drive, discos duros, etc.) y no automatizados (papel), fuera de los locales de la organización.

Registro de uso fuera de los locales

  1. El Responsable de Seguridad anotará en el registro de control de soportes usados fuera de los locales del Responsable.

Medidas de seguridad de los soportes utilizados fuera de los locales

  1. Dependiendo del contenido de los soportes a utilizar se deberán adoptar las medidas para mantener la seguridad requerida hasta el lugar de trabajo fuera de los locales que irán dirigidas a impedir el acceso o manipulación de la información durante el traslado por parte de terceros no autorizados.

Finalización de uso fuera de los locales de la organización

  1. Una vez finalizada la necesidad de trabajo fuera de los locales de la organización, la persona autorizada comunicará al Responsable de Seguridad y al Responsable del Fichero la finalización de dicha necesidad.
  2. El Responsable de Seguridad actualizará el registro de control de soportes usados fuera de la organización.

Traslado de la documentación

En todos los casos se adoptarán las medidas dirigidas a evitar la sustracción, pérdida o acceso indebido a la información durante su transporte.

Para el traslado de documentación sobre los que sea necesario aplicar medidas de seguridad de nivel medio o alto, se deberán adoptar medidas dirigidas a impedir el acceso o manipulación de la información objeto de traslado.

Por tanto el traslado de documentación se deberá realizar utilizando sobres cerrados, sistema de valija, cartera o maletín con llave. Como medida alternativa se podrán utilizar carpetas que permitan su cierre, siendo las personas que realicen el transporte responsables de su custodia y por tanto deberán conocer las obligaciones derivadas de la Ley de Protección de Datos conforme a la custodia de la documentación durante el traslado.

Recomendaciones

Le recomiendo que sea sistemático en la implantación de estos procesos en su despacho jurídico y riguroso en la aplicación y el seguimiento del cumplimiento de dichos procesos. Además deberá concienciar al personal de su despacho de la importancia que tiene para la seguridad de la información seguir estos procedimientos, y de las graves consecuencias tanto para el personal como para el despacho en caso de que se dé una incidencia grave sin haber adoptado unas medidas de seguridad adecuadas.

Limite al máximo los riesgos derivados de la pérdida, sustracción o manipulación accidental o intencionada de documentos, de forma eficiente y con el menor coste posible, en tiempo y en dinero.

La seguridad de la información, personal o no, en su despacho jurídico es fundamental.

Les espero en la próxima entrega: “Funciones y obligaciones del personal del despacho (Parte I)”



ElDerecho.com no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación