Circunstancias y uso del documento de seguridad LOPD

Circunstancias y uso del documento de seguridad LOPD

documento de seguridad lopd

A los ficheros en los que se incluye información de tipo personal vinculada al propietario del fichero en cuestión se aplica el documento LOPD de seguridad. Esto incluye tanto los sistemas de información como los equipos que se utilicen en lo referente a la gestión de datos personales o los distintos soportes que los utilicen. Todo ello tiene que estar protegido siguiendo las indicaciones de la normativa que se encuentra vigente, incluyendo también los locales donde están estos ficheros y las personas involucradas. A continuación vamos a ver cuáles son los ficheros que están sometidos a las medidas de seguridad indicadas en el documento de seguridad en cuestión de la Ley orgánica de protección de datos.

 

KYO - CTA Texto - Gestión documental

 

¿Cuales son las reglas y cómo se utilizan si queremos asegurar el nivel de seguridad de este documento?

  • Normas y medidas vinculadas a la identificación de los miembros del personal que estén autorizados para acceder a la información personal.
  • Control de accesos: los miembros del personal solo podrán tener acceso a la información necesaria en cuanto a cumplir con sus funciones específicas. Siempre hay que asegurarse de indicar de forma correcta los distintos controles de acceso disponibles.
  • Historial de accesos en documentos de alto nivel: en cada acceso habrá que dejar registro de la persona que lo haya utilizado, marcando el nombre, la hora, la fecha, el fichero que ha sido utilizado, el tipo de uso que se le ha dado y también si el acceso ha sido permitido o no. En el caso de los accesos permitidos habrá que almacenar la información de registro de ese acceso.
  • Gestión de documentos y soportes: los documentos en los que está guardada la información personal tienen que ayudar a que sea fácil saber qué información se incluye en ellos. Tienen que tener una enumeración y contar con unas pautas de acceso. Para que se pueda producir una salida de un documento con información personal, incluyendo lo que se manda por e-mail, ésta tiene que estar autorizada por la persona encargada de la seguridad del fichero.
  • Registro tanto de salida como de entrada de soportes en los ficheros que tengan niveles altos y medios.
  • Distribución y gestión de los soportes en los ficheros de un nivel alto
  • Criterios de documento, del guardado de los datos personales y protección de los soportes en todo fichero manual
  • Acceso a información desde redes de comunicaciones: cifrado de los datos de un nivel alto
  • Modelo de trabajo en el exterior de los locales donde está el fichero: traslado de los datos personales, reproducción o copia y respaldo y copias de seguridad.
  • Elegir una persona como responsable de la seguridad en los ficheros de niveles alto y medio

 

Información al Personal

Con la intención de asegurarse de que todos los miembros del personal son conscientes de las normas de seguridad que deben tener en cuenta en el día a día de sus trabajo, y también de las consecuencias que supondría no cumplirlas, habrá que informar al personal siguiendo este procedimiento: a cada persona se le informará en base a su perfil en el puesto de trabajo, a las normas a las que se deberá remitir y a las consecuencias que habrá para ese individuo si no cumple con la normativa de seguridad. Como medida de apoyo es recomendable incorporar un acuse de recibo que garantice que la información ha sido recibida.

 

Obligaciones del personal

No hay excepción en cuanto a que todos los miembros del equipo que accedan a la información personal deberán acatar y entender las normas, medidas, reglas, procedimientos y estándares aplicables en base al trabajo o funciones que lleven a cabo. Será obligatorio que guarden la máxima confidencialidad y secreto de los datos personales que hayan leído o descubierto mientras estaban trabajando.

Los miembros del personal que realicen trabajos en los que no tengan que tratar los datos personales solo tendrán acceso limitado a esta información, a sus soportes y a los recursos del sistema vinculados a estos datos.

En el caso de tratarse de personal externo, habrá que indicar de forma específica la prohibición de no poder acceder a los datos personales en el contrato que se utilice como prestación. También habrá que marcar la obligación existente en cuanto a los datos a los que hayan tenido acceso durante el trabajo.

 

Cómo se notifica, gestiona y responde a las incidencias

Son consideradas incidencias en la seguridad todos los incumplimientos de la normativa que se haya especificado en el Documento de Seguridad, así como las irregularidades que hagan daño o puedan llegar a hacerlo a los datos personales y su seguridad. Habrá que establecer un protocolo que habrá que seguir a la hora de notificar todas las incidencias, marcando quién será la persona responsable de hacer la notificación, ante quién deberá estar hecha y de qué forma se realizará.

Otro aspecto a indicar incluirá la forma en la cual quedará almacenado el registro, tanto si es informático o manual. En este tendrán que figurar una serie de datos, como el tipo de incidencia que se haya producido, el momento en el cual haya ocurrido, la persona que lo ha notificado, a quien se ha notificado y los distintos efectos producidos debido a la incidencia, englobando también las medidas de corrección que se hayan aplicado.

 

KYO - CTA horizontal - Gestión Documental

Compartir

Escribe tu comentario

Tu dirección de correo electrónico no será publicada.