Conócenos

LOPD EN DESPACHOS DE ABOGADOS

Medidas de seguridad para ficheros automatizados

Por Pedro de la Torre Rodríguez

  • Imprimir

Pedro de la Torre Rodríguez

Como novena entrega de la serie de artículos sobre protección de datos personales en los bufetes de abogados hoy les comentaré lo relativo a las medidas de seguridad para ficheros automatizados del despacho.

Ficheros automatizados y niveles de seguridad

Como ya les comenté anteriormente los ficheros automatizados consisten en conjuntos de datos personales organizados de forma automática y gestionados mediante, programas, soportes, y equipos informáticos. 

Conviene también recordar someramente los tres niveles de seguridad relativos a la tipología de los datos que contiene el fichero automatizado:

1.- Nivel de seguridad alto

Todos los ficheros automatizados de datos personales sobre ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual y respecto de los que no se prevea la posibilidad de adoptar el nivel básico. Se aplica también a los datos personales con fines policiales recabados sin consentimiento del afectado y los derivados de violencia de género.

2.- Nivel de seguridad medio

Todos los ficheros automatizados de datos personales sobre comisión de infracciones administrativas o penales, prestación de servicios de solvencia patrimonial o de crédito, los relativos a potestades tributarias de la Administración, los relativos a servicios financieros y de mutuas de accidentes de trabajo, los que ofrezcan información sobre la personalidad y el comportamiento, y los operadores de comunicaciones electrónicas respecto de los datos de tráfico y localización.

3.- Nivel de seguridad bajo

Todos los ficheros automatizados de datos personales sobre el resto de datos que no se engloben en las categorías anteriores.

Ficheros automatizados de seguridad básica

Respecto de los ficheros automatizados de datos personales con un nivel de seguridad básica, hay que tener en cuenta las siguientes disposiciones:

  • Las funciones y obligaciones de cada uno de los usuarios o perfiles de usuarios con acceso a los datos de carácter personal y a los sistemas de información estarán claramente definidas y documentadas en el documento de seguridad. También se definirán las funciones de control o autorizaciones delegadas por el responsable del fichero o tratamiento.
  • Deberá existir un procedimiento de notificación y gestión de las incidencias que afecten a los datos de carácter personal y establecer un registro en el que se haga constar el tipo de incidencia, el momento en que se ha producido, o en su caso, detectado, la persona que realiza la notificación, a quién se le comunica, los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas.
  • Los usuarios tendrán acceso únicamente a aquellos recursos que precisen para el desarrollo de sus funciones en el despacho jurídico.
  • Se establecerán mecanismos en el despacho para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados. Exclusivamente el personal autorizado para ello en el documento de seguridad podrá conceder, alterar o anular el acceso autorizado sobre los recursos, conforme a los criterios establecidos por el responsable del fichero.
  • Los soportes y documentos electrónicos que contengan datos de carácter personal deberán permitir identificar el tipo de información que contienen, ser inventariados y solo deberán ser accesibles por el personal autorizado para ello en el documento de seguridad.
  • La salida de soportes y documentos electrónicos que contengan datos de carácter personal, incluidos los comprendidos y/o anejos a un correo electrónico, fuera del despacho jurídico deberá ser autorizada por el responsable del fichero o encontrarse debidamente autorizada en el documento de seguridad
  • En el traslado de la información se adoptarán las medidas dirigidas a evitar la sustracción, pérdida o acceso indebido a la información durante su transporte, incluida la comunicación electrónica.
  • Se deberán adoptar en el despacho jurídico las medidas que garanticen la correcta identificación y autenticación de los usuarios. Se establecerá un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado.
  • Cuando el mecanismo de autenticación se base en la existencia de contraseñas existirá un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad. El documento de seguridad establecerá la periodicidad, que en ningún caso será superior a un año, con la que tienen que ser cambiadas dichas contraseñas.
  • Deberán establecerse procedimientos de actuación para la realización, como mínimo semanal, de copias de seguridad de los datos personales, salvo que en dicho período no se hubiera producido ninguna actualización de los datos.
  • Asimismo, se establecerán procedimientos para la recuperación de los datos personales que garanticen en todo momento su reconstrucción en el estado en que se encontraban al tiempo de producirse la pérdida o destrucción.
  • Deberá llevarse un registro donde deberán consignarse, además, los procedimientos realizados de recuperación de los datos, indicando la persona que ejecutó el proceso, los datos restaurados y, en su caso, qué datos ha sido necesario grabar manualmente en el proceso de recuperación. Será necesaria la autorización del responsable del fichero para la ejecución de los procedimientos de recuperación de los datos sobre el mismo.
  • Las pruebas anteriores a la implantación o modificación de los sistemas de información que traten ficheros con datos personales no se realizarán con datos reales, salvo que se asegure el nivel de seguridad correspondiente al tratamiento realizado y se anote su realización en el documento de seguridad.

Ficheros automatizados de seguridad media

Respecto de los ficheros automatizados de datos personales con un nivel de seguridad media, además de las consideraciones aplicables a los ficheros automatizados de datos personales de nivel y bajo, hay que tener en cuenta las siguientes disposiciones:

  • En el documento de seguridad deberán designarse uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en el mismo. Esta designación puede ser única para todos los ficheros o tratamientos de datos de carácter personal o diferenciada según los sistemas de tratamiento utilizados, circunstancia que deberá hacerse constar claramente en el documento de seguridad.
  • Cuando gestionen datos personales de nivel medio, los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se someterán, al menos cada dos años, a una auditoría interna o externa que verifique el cumplimiento de las medidas consignadas en el documento de seguridad. Igualmente deberá efectuarse una auditoría ante cambios sustanciales en los sistemas de información
  • Deberá establecerse en el despacho jurídico un sistema de registro de entrada de soportes informáticos que permita, directa o indirectamente, conocer el tipo de documento o soporte, la fecha y hora, el emisor, el número de documentos o soportes incluidos en el envío, el tipo de información que contienen, la forma de envío y la persona responsable de la recepción que deberá estar debidamente autorizada.
  • Igualmente, se dispondrá en el despacho de un sistema de registro de salida de soportes que permita, directa o indirectamente, conocer el tipo de documento o soporte, la fecha y hora, el destinatario, el número de documentos o soportes incluidos en el envío, el tipo de información que contienen, la forma de envío y la persona responsable de la entrega que deberá estar debidamente autorizada.
  • Se deberá establecer un mecanismo que limite la posibilidad de intentar reiteradamente el acceso no autorizado a los sistemas de información.
  • Exclusivamente el personal autorizado en el documento de seguridad podrá tener acceso a los lugares donde se hallen ubicados los equipos informáticos que den soporte a los sistemas de información.

Ficheros automatizados de seguridad alta

Respecto de los ficheros automatizados de datos personales con un nivel de seguridad alta, además de las consideraciones aplicables a los ficheros automatizados de datos personales de nivel medio y bajo, hay que tener en cuenta las siguientes disposiciones:

  • La transmisión de datos de carácter personal a través de redes públicas o redes inalámbricas de comunicaciones electrónicas se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros.
  • De cada intento de acceso a los sistemas de información del despacho se guardarán, como mínimo, la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado. Los mecanismos que permiten el registro de accesos estarán bajo el control directo del responsable de seguridad competente sin que deban permitir la desactivación ni la manipulación de los mismos.
  • El responsable de seguridad se encargará de revisar al menos una vez al mes la información de control registrada y elaborará un informe de las revisiones realizadas y los problemas detectados.
  • La distribución de los soportes informáticos que contengan datos de carácter personal se realizará cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha información no sea accesible o manipulada durante su transporte.
  • Deberá conservarse una copia de respaldo de los datos personales y de los procedimientos de recuperación de los mismos en un lugar diferente de aquel en que se encuentren los equipos informáticos que los tratan, que deberá cumplir en todo caso las medidas de seguridad exigidas.

Recomendaciones

Como ve, en función de la tipología de los datos personales que gestione en el despacho jurídico deberá implantar medidas más o menos severas para asegurar dichos datos personales. 

Por ello, antes de entrar de lleno a definir procesos de seguridad conviene que se haya planteado adecuadamente los ficheros de datos que deberá registrar y su tipología. Si en un mismo fichero de datos personales conviven datos de distinto nivel de seguridad se deberá aplicar siempre el más restrictivo, con que merece la pena, como ya le comenté anteriormente, clasificar sus ficheros de datos personales por uso y tipología. 

La severidad de las medidas a implantar va a condicionar mucho el coste de las mismas así como el funcionamiento del propio despacho jurídico, por lo que conviene realizar un planteamiento adecuado desde el principio. ¡Cuente con profesionales! 

Les espero en la próxima entrega: “Medidas de seguridad para los ficheros no automatizados del despacho”.

Lefebvre - EL Derecho no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación

Widgets Magazine

Comentarios jurisprudenciales

CASE STUDY & MASTER CLASS

LOPD EN DESPACHOS DE ABOGADOS

  • Caso práctico: absorción o adquisición del despacho por otra entidad

    Tanto el despacho como persona jurídica, como los integrantes del mismo, los terceros a los que se ceden esos datos, y aquellos que prestan servicios al despacho y tienen acceso a datos de carácter personal, están obligados al secreto y al deber de guardar esos datos, 

  • Caso práctico: Lexnet

    El consentimiento para la comunicación de los datos de carácter personal a un tercero será nulo cuando la información que se facilite al interesado no le permita conocer la finalidad a que se destinarán los datos cuya comunicación se autoriza, o el tipo de actividad de aquel a quien se pretenden comunicar.

  • Caso práctico: almacenamiento de información

    Como decimoctava entrega de la serie de artículos sobre protección de datos personales en los bufetes de abogados, hoy les mostraré un caso práctico sobre almacenamiento de información personal y las ventajas del despacho digital.

ebook gratuito

ENTREVISTAS

GESTIÓN DE DESPACHOS

  • ¿Por qué es importante implementar el marketing en una empresa de servicios jurídicos?

    Hoy en día, el mercado legal está inmerso en una etapa de dinamismo que se está llevando a cabo a través de numerosas integraciones y/o fusiones entre despachos de diferente perfil que lo que buscan es crear una marca más sólida con la que poder prestar un servicio más completo a sus clientes.

  • La web y el blog, primeras piedras del camino hacia el posicionamiento SEO

    ¿Recuerdas cuando captar clientes se reducía al ‘boca a oreja’ y al prestigio del despacho? ¿Todo iba mucho más rodado, ¿verdad? ¿Cuál es el motivo por el que ahora ya no es tan fácil? Muy sencillo: se ha constituido un nuevo canal de captación que aún tiene mucho potencial: internet, la web y Google, el mayor canal de información y búsqueda de contenidos de España.

REDES SOCIALES & ABOGADOS

  • Internet y Redes Sociales para despachos de abogados: una exigencia necesaria

    ¿Por qué es importante que los despachos de abogados entren en la dinámica de las redes sociales e Internet? ¿Cómo puede afectar a un bufete el estar o no en el mundo digital? ¿Qué es lo que quieren tus futuros clientes de su abogado? El mundo se ha digitalizado y los abogados no pueden quedarse atrás.

COLABORA CON NOSOTROS

Colabora

Envianos un artículo sobre nuevas tecnologías aplicadas al ámbito jurídico

Colaborar

Enviar Artículo

He leído y acepto las condiciones de la Política de Privacidad y el Aviso Legal

(*) Campos obligatorios

Pablo García Mexía

Abogado, Cofundador de Syntagma, Centro de estudios estratégicos.

1

Carlos Pérez Sanz

Socio del área de Information Technology y Compliance de ECIJA.

1

Raúl Rubio

Partner, Information Technology & Communications Baker & McKenzie

1

Congreso DENAE - Mercado Único Digital

El Congreso DENAE sobre el Mercado Único Digital Europeo, se celebrará el próximo jueves 14 de diciembre en la sede de la Comisión Europea en Madrid. Sin lugar a duda, se trata de una gran oportunidad informativa sobre el estado de la cuestión. Se abordarán con los representantes institucionales y con el mundo de la empresa las implicaciones de esta ambiciosa iniciativa comunitaria.

feedburner

Reciba LAW & TIC de forma gratuita.

Contenidos relacionados

Atención al cliente: De lunes a viernes de 8:30 a 20:00 horas ininterrumpidamente. Tel 91 210 80 00 - 902 44 33 55 Fax. 915 78 16 17