Respuestas al 1er Consultorio LOPD

Aunque les prometimos que el pasado viernes publicaríamos las entradas al primer consultorio LOPD de Security Art Work, la carga de trabajo de la semana pasada ha hecho que tuviésemos que retrasarlo hasta hoy. Aunque la participación ha sido ligeramente inferior a la esperada, hemos intentado unificar las preguntas en la medida de lo posible, de modo que quedasen cubiertas el máximo número de consultas. Como disclaimer previo, simplemente decir que las respuestas dadas a las consultas son según nuestro mejor saber y entender, independientemente de que un estudio pormenorizado de algunas de las situaciones personalizadas pudiera generar una respuesta diferente.

Espero que les haya resultado útil e interesante, y les emplazamos para la siguiente sesión, de fecha todavía por definir. Sin más dilación, les dejo con la parte interesante de la entrada…

¿Cómo es posible cumplir “real y honestamente” con el procedimiento de revisión y tratamiento de los ficheros temporales? (Felipe)

Al respecto, el artículo 5.2.g indica que los ficheros temporales son aquellos “ficheros de trabajo creados por usuarios o procesos que son necesarios para un tratamiento ocasional o como paso intermedio durante la realización de un tratamiento.”

Asimismo, el artículo 87 del reglamento, habla de las condiciones a aplicar en su tratamiento:

Artículo 87. Ficheros temporales o copias de trabajo de documentos.

1. Aquellos ficheros temporales o copias de documentos que se hubiesen creado exclusivamente para la realización de trabajos temporales o auxiliares deberán cumplir el nivel de seguridad que les corresponda conforme a los criterios establecidos en el artículo 81.

2. Todo fichero temporal o copia de trabajo así creado será borrado o destruido una vez que haya dejado de ser necesario para los fines que motivaron su creación.

Al igual que pasa con el concepto de incidencia, el RDLOPD es muy ambiguo con lo que considera un fichero temporal, aspecto que no ayuda mucho a la hora de determinar su correcto tratamiento. Un fichero temporal podría ser una Excel generada a partir de una exportación de datos, tablas temporales de cálculo de un proceso, o fotocopias de documentos. El problema se genera principalmente en los ficheros temporales creados por los usuarios, y no tanto en los creados por procesos informáticos o automatizados. En ese caso, es importante concienciar a los usuarios y fomentar el uso de repositorios departamentales en red, de modo que dichos ficheros temporales sean almacenados con controles de acceso y no residan en dispositivos móviles o equipos personales.

Limitar la salida de datos de carácter personal a través del correo electrónico. (Felipe)

Esta obligación viene recogida en el artículo 92.2 del reglamento:

Artículo 92. Gestión de soportes y documentos.

2. La salida de soportes y documentos que contengan datos de carácter personal, incluidos los comprendidos y/o anejos a un correo electrónico, fuera de los locales bajo el control del responsable del fichero o tratamiento deberá ser autorizada por el responsable del fichero o encontrarse debidamente autorizada en el documento de seguridad.

Este es sin duda uno de los aspectos más complicados de cumplir de la LOPD, y más teniendo en cuenta que es una medida de seguridad que debe aplicarse a todos los tratamientos, independientemente del nivel de seguridad. En este caso, dada la inviabilidad de que el responsable del tratamiento autorice cualquier salida de datos de carácter personal por correo electrónico, se recomienda incluir la autorización de envíos de correo electrónico de carácter personal en el Documento de Seguridad, delimitando esta autorización a los departamentos cuya gestión e intercambio de datos de carácter personal es más habitual: RRHH, Prevención de Riesgos Laborales, y Administración. Por supuesto, será necesario definir hábitos correctos a la hora de adjuntar datos personales a los correos electrónicos (datos en anexos y no en el cuerpo del correo, utilizar interlocutores definidos cuando sea posible, herramientas de cifrado, etc.).

Soy un autónomo y no me dedico a una actividad en la que tenga un gran volumen de datos de carácter personal. Aun así, ¿he de adaptarme a la LOPD? (Juan)

Según el artículo 2 de la LOPD:

2. El régimen de protección de los datos de carácter personal que se establece en la presente Ley Orgánica no será de aplicación:

a) A los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas.
b) A los ficheros sometidos a la normativa sobre protección de materias clasificadas.
c) A los ficheros establecidos para la investigación del terrorismo y de formas graves de delincuencia organizada. No obstante, en estos supuestos el responsable del fichero comunicará previamente la existencia del mismo, sus características generales y su finalidad a la Agencia de Protección de Datos.

Por tanto, los ficheros mantenidos por personas físicas en el ejercicio de actividades profesionales están dentro del ámbito de aplicación de la LOPD.

Recibimos muchos curriculums por correo electrónico y postal en nuestra empresa. ¿Tenemos que hacer algo con ellos? (Marta)

Depende del tratamiento que se le vaya a dar a éstos. Si no se van a conservar, porque no son útiles para la organización, no es necesario hacer nada salvo destruirlos adecuadamente. Si por el contrario van a ser utilizados (almacenados o gestionados para futuras contrataciones), tendrán que tener en cuenta tres aspectos:

  • Declaración del fichero ante la Agencia Española de Protección de Datos.
  • Deberán proporcionar el derecho de información que exije el artículo 5 de la LOPD.
  • En cuanto a su almacenamiento, lo habitual es seguir uno de estos enfoques: a) tratarlos exclusivamente en soporte papel, imprimiendo los correos electrónicos y borrando estos últimos, y b) tratarlos exclusivamente en soporte electrónico, pasando a soporte electrónico los curricula recibidos en soporte papel y protegiéndolos adecuadamente con control de accesos.

Tenemos un formulario de sugerencias en nuestra página web a través de la que nuestros clientes pueden remitirnos consultas, comentarios, sugerencias. En algún caso hemos recibido comentarios que incluyen datos de salud. ¿Debemos declarar dicha base de datos como de nivel alto? (Andrés)

No (perdonen el lapsus mental). Sí, dado que se trata de un tratamiento automatizado. Tal y como indica el artículo 81.5 del RDLOPD, no será necesario cuando esto suceda en tratamientos no automatizados:

Artículo 81. Aplicación de los niveles de seguridad.

5. En caso de ficheros o tratamientos de datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual bastará la implantación de las medidas de seguridad de nivel básico cuando:

b) Se trate de ficheros o tratamientos no automatizados en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad.

No obstante, se recomienda eliminar la información de nivel alto que no esté directamente relacionada con la finalidad del tratamiento, y mantener el nivel del tratamiento. En cualquier caso, sería necesario estudiar los detalles concretos para dar un veredicto definitivo.

El nuevo reglamento nos traslada más obligaciones a las empresas a la hora de subcontratar servicios a otras empresas. ¿En qué consisten esas obligaciones? (Laura)

Efectivamente, así es, y no sólo “cuando hay datos personales por en medio”. También introduce la novedad de tener que firmar acuerdos de confidencialidad con las empresas a las que se subcontratan servicios que “en teoría” no deben tener vinculación con el tratamiento de datos personales, pero que puntualmente podrían tenerlo. Son los casos típicos de las empresas de limpieza, empresas de retirada de residuos, empresas de vigilancia, etc.

En relación con las prestaciones en las que sí se tratan datos personales, ya existía la obligación de lo que los abogados llaman el “deber in vigilando” (la obligación de velar por que las cosas se estén haciendo bien…). Pero el RDLOPD detalla en sus artículos 20 y 21 que no basta con firmar un contrato de acceso a datos que recoja los requisitos del artículo 12 de la LOPD: “el responsable del tratamiento […] deberá velar por que el encargado del tratamiento reúna las garantías para el cumplimiento de lo dispuesto en este reglamento”.

Otra cosa es cómo comprobar este punto. Y aquí pueden intervenir factores externos, como puede ser la “relación de fuerzas” entre ambas entidades. Por nuestra experiencia, lo habitual es que el encargado del tratamiento acredite que está “al día” en cuanto al cumplimiento de la LOPD. En otros casos incluso se exige que se facilite el informe de su última auditoría bienal. Finalmente —y de hecho estamos haciéndolo así para un cliente del sector privado sanitario— se puede estipular en el contrato que se abordarán auditorías de cumplimiento en el tercero.

¿Qué indemnización cabe recibir de una empresa que me sigue enviando publicidad después de ser cliente suyo? (María)

La LOPD no fija ninguna indemnización para los titulares de los datos, y esta es una idea que le choca a algunas personas. La LOPD puede sancionar a la empresa, pero de esta sanción no se deriva ningún beneficio económico para el perjudicado por un mal tratamiento. En este caso, si usted considera que merece una indemnización, deberá emprender acciones legales contra la empresa.

A pesar de disponer de carpetas departamentales, muchos empleados de mi empresa siguen utilizando sus unidades locales para almacenamiento de bases de datos, excels y ficheros con datos de carácter personal. ¿Es necesario hacer copias de esta información también? (Luis)

Sí, puesto que dichos datos de carácter personal son responsabilidad de la empresa. Por tanto, no se puede delegar en los empleados la realización de las copias de sus equipos, ni obviar el hecho de que estén gestionando datos de carácter personal sin las adecuadas medidas de seguridad. Puede obtener más información en esta entrada. En cualquier caso, nuestra recomendación es la implantación de una normativa que prohíba el almacenamiento de información corporativa en general en los equipos personales, obligando a la utilización de los discos de red.

Comments

  1. Muchísimas gracias Manuel.
    Un saludo

  2. ¿los datos relativos a cuentas corrientes de clientes para domiciliar cargos, son considerados de nivel medio?
    De igual manera, si solicitasemos datos de nóminas, contratos de trabajo, etc. para poder realizar un análisis de riesgo del cliente, ¿aplicarían medidas de seguridad de tipo medio a dichos datos?
    Muchas gracias

  3. Hola:
    Me parece muy generoso el trabajo de aclarar dudas de forma desinteresada. Una matización, con la modificación introducida al RDLOPD 1720/2007 en el BOE del 29-1-2010 también serán suficientes las medidas de nivel básico cuando contengan datos de ideología, afiliación sindical, salud… sin guardar relación con su finalidad INCLUSO EN FICHEROS AUTOMATIZADOS.

    Es decir, se amplía a los ficheros automatizados el criterio que se aplicaba ya a los datos en papel. Personalmente no entendía porqué se podían tener esos datos escritos en un papel y no en el ordenador.