Entre las aclaraciones más importantes del nuevo reglamento, podemos destacar las siguientes:
- Se rebaja el nivel de muchos ficheros: Los ficheros de caracter general de las empresas (nóminas, por ejemplo) pasarán a ser de nivel bajo, aunque contengan datos económicos, de afiliación sindical o de salud, siempre y cuando la finalidad de esos ficheros no sea el tratamiento expreso de dichos datos.
- Para los trabajadores externos que trabajen en nuestras dependencias se exige la firma de cláusulas de confidencialidad o documentos similares, y deberá indicarse en el documento de seguridad.
- Todos los trabajadores externos con acceso a los ficheros pero cuyo trabajo no suponga el tratamiento de los datos (limpieza, mantenimiento, hosting, etc) deberán firmar cláusulas de prohibición de acceso a los datos y de obligación de mantener el derecho de secreto, en caso de que deban acceder a ellos. Por su parte, el responsable deberá limitar, en la medida de lo posible, el acceso de estas personas a los datos.
- Los medios removibles que por su naturaleza no puedan ser etiquetados y clasificados (por ejemplo, Pen Drives) están exentos de cumplir dicha obligación.
Desafortunadamente, aparecen nuevas exigencias, entre las que se destacan las siguientes:
- Se exige que, para TODOS los archivos, se definan no sólo los usuarios con acceso sino los perfiles y niveles de acceso de cada uno de ellos.
- TODOS los usuarios deben tener identificadores unívocos y personalizados, independientemente del nivel del archivo al que tengan acceso.
- Será necesario probar los backups con una frecuencia máxima de 6 meses, independientemente del nivel del archivo respaldado.
- Los ficheros de nivel MEDIO y ALTO tendrán la obligación de registrar los accesos hasta el grado de identificar el registro accedido y el resultado del intento de acceso, a no ser que sólo el propietario del fichero tenga acceso a él.
- Las auditorías, obligatorias para ficheros de nivel MEDIO y ALTO, deberán ser notificadas a la AEPD.
Por otra parte, el nuevo reglamento establece las exigencias para los ficheros no automatizados (papel). Las principales son las siguientes:
- Inventariar y controlar el acceso en las mismas condiciones que con los ficheros automatizados.
- Destruir o borrar cualquier documento o soporte que vaya a ser eliminado.
- Registrar las entradas y salidas de documentos que contengan datos de nivel MEDIO y ALTO.
- Almacenar los ficheros de nivel MEDIO y ALTO en lugares ignífugos y con acceso restringido o vigilado.
- Procedimentar la realización de copias y reproducción de los documentos de nivel MEDIO y ALTO.
- Para los ficheros de nivel ALTO, también habrá que registrar los accesos a los documentos (durante 2 años como mínimo) y protegerlos mediante llaves o medidas equivalentes.
Como se puede ver, el borrador del nuevo reglamento introduce importantes exigencias, algunas de las cuales van a suponer esfuerzos realmente importantes por las empresas, que deben cumplirlo. ¿Cuantas de estas exigencias sobrevivirán a la publicación final del reglamento? ¿Cuántas se eliminarán? ¿Cuál será el periodo de moratoria para su cumplimiento? En un futuro próximo (o quizás no tanto), lo veremos.
3 comentarios:
Sobre el contenido del nuevo Reglamento para la LOPD me gustaría aportar mi opinión, que en este caso no parece estar muy en línea con la mayoría de los comentarios que he ido leyendo:
¿De verdad a estas alturas alguien cree que lo que parece que va a pedir el Reglamento es "muy difícil" de implantar y supone un "gran esfuerzo"?. Si es así, no me gustaría nada ser uno de los potenciales afectados cuyos datos maneje dicha entidad.
En este momento de la tecnología, los riesgos existentes, ataques contra los sistemas, abusos de privilegios,etc., de verdad es algo tan increíble el pensar que una entidad tenga un inventario de sus usuarios y que las credenciales de autenticación sean personales?; que se planifique pruebas de restauración semestrales?; que los papeles, los archivos, los armarios tengan una medidas mínimas y evidentes de seguridad física?.
Si a estas alturas una empresa tiene problemas para cumplir con las miniexigencias del Reglamento, más le vale que se preocupe, pero MUY seriamente, por la continuidad de su negocio.
Pues aunque parezca mentira, sí va a ser complicado. No me creo yo que en este país haya muchas empresas que cumplan absolutamente todo lo que pide el nuevo Reglamento. Se limitan, desgraciadamente, a ir parcheando.
Acá les dejo un tutorial totalmente gratuito donde se dictan algunas normas para el nuevo reglamento.
http://www.megaupload.com/?d=PFWQ5GVO
Publicar un comentario