Tras comentar en la pasada entrega de esta guía las medidas de seguridad de nivel medio, vamos a cerrar este capítulo haciéndolo con las medidas de nivel alto. No es una situación habitual en las pymes tener que aplicarlas, pues el tipo de datos que las requiren no están entre los más comunes que tenemos que manejar.
De todas formas, no está de más conocer los requerimientos legales si nos encontramos en esta situación, que no son pocos y requieren además de unas medidas organizativas bastante complejas y costosas de implantar, sobre todo en lo referente al registro de accesos a la información protegida. Recordad que todas estas medidas se deben aplicar además de las de los niveles anteriores, éstas se añaden y complementan o modifican las anteriores.
- Gestión y distribución de soportes: la identificación de los soportes deberá ser comprensible para las personas con autorización de acceso a los datos que contengan, pero no para el resto. La identificación debe hacerse de tal forma que cualquier otra persona distinta a las que tienen acceso sea incapaz de averiguar que es lo que contienen dichos soportes. Además, cuando haya que distribuirlos, se deben adoptar las medidas necesarias para que no se pueda acceder a la información ni manipularla. Lo más habitual es recurrir en este caso al cifrado de los datos. Si la información se transmite a dispositivos portátiles (pda, ordenador portátil, teléfonos), ésta deberá ir cifrada siempre que se utilicen fuera de la oficina. Si los dispositivos no se pueden cifrar y es indispensable utilizarlos, hay que documentar el porqué (en el documento de seguridad) y adoptar otras medidas que impidan el acceso a los datos a personas no autorizadas.
- Copias de respaldo y recuperación: como añadido a las exigencias anteriores, es obligatorio conservar una copia de respaldo de los datos en un lugar diferente (otra oficina, la caja de un banco…) al de los equipos que realizan el tratamiento de los datos. Naturalmente, el sitio elegido debe cumplir también con las normas de seguridad pertinentes.
- Registro de accesos: cuando un usuario acceda al sistema para trabajar con la información, será necesario conservar su identificación, fecha y hora, a qué fichero accede, tipo de acceso y si ha sido autorizado o no. Si es autorizado, habra que guardar la información que identifique a que registros ha accedido. Estos datos hay que conservarlos como mínimo durante dos años, y el responsable de seguridad debe realizar una comprobación mensual de esta información, elaborando un informe en el que se detalle que comprobaciones ha realizado y si se ha detectado algún problema. Unicamente el responsable de seguridad puede acceder al registro de accesos, que no debe ser modificable. Muchos sistemas de gestión para empresas tienen en cuenta estos requirimientos y los incluyen, por lo que sería interesante comprobar si el que utilizáis lo hace o si al menos tienen previsto incorporar dicha funcionalidad en el futuro.
- Telecomunicaciones: cualquier transmisión de los datos a través de redes públicas deberá ser cifrada, al igual que si son redes privadas pero inalámbricas (una red wifi, por ejemplo).
Recordar para finalizar que todos estos niveles de medidas son aplicables a los ficheros automatizados, y que aquellos que no lo son disponen de las suyas propias, complementarias a algunas de las aplicadas en los primeros. Como el tratamiento no automatizado está todavía muy extendido, prestaremos especial atención a este supuesto en las próximas entregas de la guía.
En Tecnología Pyme | LOPD: guías prácticas y conceptos básicos
Comentarios
interesante
Es cierto que una pyme rara vez mantiene datos de nivel alto, como orientación sexual o ideas religiosas, pero hay una categoría muy concreta, la de los datos de salud, que si afecta a decenas de miles de profesionales y pequeñas empresas, desde el dentista que hay en el primer piso de muchos de nuestros portales, hasta la clínica estética, algunos gimnasios, etc...
Hablando del cifrado de datos, es suficiente que los datos solo se puedan acceder vía https? Quiero decir, es necesario además de cifrar el envío de datos, cifrar también los archivos en el servidor (por ejemplo)?
interesante
Jesús, muy buen apunte. El caso de los profesionales de la medicina es efectivamente éste, y tiene las suficientes particularidades como para dedicarle una entrada en exclusiva, anotado queda pues.
guillem, entiendo que no es necesario cifrar los datos en el servidor. Por lo que yo interpreto, la norma se refiere más a la transmisión de los datos, sea enviando un correo electrónico, grabándolos en un soporte (un DVD, por ejemplo) o estableciendo un acceso remoto, en cuyo caso sería necesario cifrar la comunicación.
Gracias a los dos por los aportes y un saludo.
Muy buenas. Esto de practicas en empresa como consultor de la LOPD. Y todavia no he hecho ninguna empresa, solo he leido la ley, el RD, y mil cosas mas. Existe alguna especie de manual/test para recabar informacion acerca del tipo de ficheros que manejan, sistema de informacion, etc? Porque la primera empresa que tengo que hacer es una clinica dental, que toca datos de nivel alto.... por lo que estoy un poco nervioso de no saber llevarlo bien. Cualquier ayuda seria de agradecer.
Un saludo!
Profundizando un poco en el tema me gustaría plantear un caso especial de nuestra empresa. Si comercializamos un aparato donde se guardan y envían datos de nivel alto significa que es un soporte externo o no? Es decir, entiendo que los datos enviados tienen que estar cifrados, pero también lo tienen que estar los datos DENTRO del aparato?
Otro apunte que me preocupua es la imposibilidad de hacer copias de bases de datos y el registro de accesos, ya que puede no estar conectado siempre y tampoco tiene soporte para tareas avanzadas...
Mi pregunta general es: ¿ Qué implica la LOPD con datos de alto nivel en aparatos médicos que guardan/envían dicha información?
Guillem, creo que queda bastante claro en el post, pero si quieres ampliar información, permíteme que te remita al artículo 101 del Real Decreto 1720/2007, en el que se tratan estos aspectos.
Yo interpreto que deja abierta la posibilidad de que los datos puedan ir sin cifrar en los aparatos, pero estableciendo medidas que suplan esta carencia, pero no especifica cuáles (con lo que acaba siendo más seguro recurrir al cifrado. Ahora bien, siempre que estos aparatos se utilicen fuera de las instalaciones bajo control del responsable del fichero.
En este tipo de casos, os recomendaría que os asesorara un consultor especializado en estos temas, siempre es mejor ir sobre seguro.
Un saludo.
Escribir un comentario
Para hacer un comentario es necesario que te identifiques: ENTRA o conéctate con FacebookConnect