Conócenos

LOPD EN DESPACHOS DE ABOGADOS

Procedimientos de seguridad III. Custodia de soportes

Por Pedro de la Torre Rodríguez

Perito informático colegiado.

  • Imprimir

Pedro de la Torre Rodríguez

Como decimotercera entrega de la serie de artículos sobre protección de datos personales en los bufetes de abogados, y continuando con los dos artículos anteriores, hoy les hablaré sobre los restantes procedimientos de seguridad a implementar en el despacho jurídico.

Custodia de soportes

En tanto los documentos con datos personales no se encuentren archivados en los dispositivos de almacenamiento indicados en los procesos de almacenamiento de ficheros automatizados y de ficheros no automatizados, por estar en proceso de tramitación o traslado, las personas que se encuentren a su cargo deberán custodiarlos e impedir el acceso a personas no autorizadas.

Los soportes deberán permitir identificar el tipo de información que contienen, ser inventariados e impedir de forma suficiente su libre acceso. Tanto el citado acceso como su almacenamiento se corresponderán con el nivel de seguridad correspondiente a los datos personales que contengan.

El inventario de soportes distinguirá entre soportes automatizados y soportes en formato papel y podrá encontrarse en formato papel o en un fichero digital. En cualquier caso el inventario de soportes será únicamente accesible por el responsable de seguridad o persona en quien delegue dicha función.

Criterios de acceso

El archivo de los soportes y documentos se realizará de acuerdo con los criterios previstos en la legislación vigente. Estos criterios deberán garantizar:

  • La correcta conservación de los documentos.
  • La localización y consulta ágil de la información de la información.
  • Posibilitar el ejercicio de los derechos de acceso, rectificación, cancelación y oposición, y en su caso, el derecho al olvido y el derecho a la portabilidad.
  • La puesta en marcha de las medidas de seguridad de la información aplicables al nivel de seguridad de los datos personales contenidos en el documento.

En los casos en que no haya una legislación aplicable o los documentos no se encuentren bajo la normativa de regulación documental, el Responsable Delegado del Fichero establecerá los criterios y procedimientos de actuación que deberán seguirse.

Copias de seguridad

Mediante este procedimiento se define la operativa a realizar para la obtención de las copias de respaldo, de recuperación de datos de carácter personal y los procedimientos de revisión semestrales.

PROCEDIMIENTO DE REALIZACIÓN DE COPIAS DE RESPALDO.

El procedimiento para la obtención de copias de respaldo del resto de la información se basa en la ejecución de los planes establecidos para cada espacio de almacenamiento y/o soportes que contengan documentos con datos de carácter personal. No es necesaria la realización de copias de respaldo para copias temporales de los citados documentos.

Obtener copias de respaldo y registrar soportes

  1. La ejecución de los procesos de copias de respaldo se realizará cuando los sistemas de información no estén operativos. En el caso de aplicaciones que tengan que funcionar las 24 horas, se realizará cuando menos afecten al rendimiento del sistema de información. En este caso será necesario dotar a los sistemas de los mecanismos necesarios para poder realizar las copias de respaldo con el sistema funcionando.
  2. Se dotarán de mecanismos de salvaguardia de los datos actualizados entre dos copias de seguridad, de forma que en caso de desastre del sistema se pueda recuperar hasta la última transacción realizada de forma correcta.
  3. Al menos una vez al mes se realizará una copia de todos los datos y sistemas que deberán incluir el Sistema Operativo, las bases de datos de usuarios y el aplicativo, de forma que se pueda recuperar el entorno completo en caso de desastre.
  4. El Responsable de Seguridad seleccionará los soportes a utilizar de acuerdo con el sistema de rotación establecido, y procederá a realizar las copias de respaldo él mismo o a través de personal debidamente autorizado. En el caso que los servicios de sistemas de información estén hospedados o subcontratados a una empresa externa, será ésta la encargada de realizar el proceso de copia siguiendo el procedimiento definido por el responsable de seguridad o del fichero.
  5. Una vez obtenidas las copias de respaldo, se actualizará el registro de soportes aplicando la procedimentación habilitada de Identificación de Soportes.

Almacenar copias de respaldo

Al menos semanalmente se realizará una copia de seguridad de todos los archivos automatizados que contengan datos de carácter personal a no ser que durante este periodo de tiempo no se haya producido ninguna modificación o actualización de los datos.

Se establecerán dos procedimientos dependiendo del nivel de actualización de los datos que en cualquier caso deberán asegurar la correcta recuperación de los datos actualizados:

  1. En el caso de sistemas con datos que se actualicen diariamente, se deberá realizar una copia de seguridad siguiendo el siguiente procedimiento:
  • La copia del día actual permanecerá en los dispositivos de copia para que se pueda realizar el proceso de salvaguardia y se etiquetará con el día de la semana que corresponda.
  • Las copias de días anteriores se almacenarán en lugar distinto donde residen los servidores propiedad del despacho jurídico, y preferiblemente en armarios ignífugos.
  • La copia del viernes se etiquetará como copia semanal y se sustituye cada 4 semanas.
  • La copia del último viernes de cada mes se etiquetará como copia mensual y se almacenará como copia mensual. Sustituirá a la copia del mismo mes del año anterior.
  • Una vez cerrado el año, se realizará una copia que se etiquetará como copia anual y se almacenará durante 5 años en lugar distinto donde residen los servidores propiedad del despacho jurídico, y preferiblemente en armarios ignífugos.

2. En el caso de sistemas con datos que no se actualicen diariamente, se deberá realizar una copia de seguridad siguiendo el siguiente procedimiento:

  • Cuando se hayan modificado los datos, se procederá a realizar una copia de seguridad en los dispositivos de copia designados por el Director de Sistemas de Información y se etiquetarán con la fecha del día de la copia de seguridad.
  • Una vez cerrado el año, se realizará una copia que se etiquetará como copia anual y se almacenará durante 5 años en lugar distinto donde residen los servidores propiedad del despacho jurídico, y preferiblemente en armarios ignífugos.
  • Las copias se almacenarán en lugar distinto donde residen los servidores propiedad del despacho, y preferiblemente en armarios ignífugos.

PROCEDIMIENTO DE RECUPERACIÓN DE DATOS

Este procedimiento contempla la recuperación de ficheros con datos de carácter personal desde copias de respaldo ante una incidencia cuya resolución requiere dicha recuperación.

Comunicar la necesidad de recuperación de datos

  1. Ante una necesidad de recuperación de datos, el usuario comunicará la necesidad de recuperación de datos al Responsable de Seguridad.
  2. En caso de ficheros de nivel medio o alto, la recuperación de datos se reportará como incidencia según lo establecido en el procedimiento de notificación y gestión de incidencias.

Analizar necesidad de recuperación de datos

  1. El Responsable delegado del Fichero conjuntamente con el Responsable de Seguridad, analizará la necesidad de recuperación y decidirá, si es preciso, qué ficheros y datos se recuperan, en qué momento, a partir de qué copias de respaldo y si es necesario grabar datos manualmente, para garantizar la reconstrucción del estado de los sistemas al momento en el que se produjo la incidencia que ocasionó la pérdida o inconsistencia de los datos.
  2. Una vez decidida la recuperación a realizar, en caso de ficheros de nivel medio o alto, el Responsable de Seguridad solicitará la autorización pertinente al Responsable Delegado de Fichero.

Autorizar recuperación de datos

  1. Solamente si el fichero es de nivel medio o alto, el Responsable Delegado de Fichero o personas en quien deleguen, autorizarán formalmente (por escrito u otro medio en el que quede constancia de la autorización) al Responsable de Seguridad la ejecución de los procesos de recuperación de ficheros mediante un comunicado, con fecha y hora, donde se especificarán los ficheros a recuperar.

Recuperar datos

  1. Se procederá a la recuperación física de los ficheros requeridos, utilizando para ello los mecanismos que se tenga habilitados para estos casos.
  2. Se podrá requerir la participación de los usuarios cuando haya que grabar datos manualmente.

Cerrar incidencia de recuperación de datos

  1. En caso de ficheros de nivel medio y una vez recuperados los datos correspondientes, el Responsable de Seguridad registrará las acciones asociadas a la incidencia de seguridad (acciones de recuperación y los datos que han sido recuperados) y posteriormente cerrará la incidencia.

Régimen de trabajo fuera de los locales del despacho

Este procedimiento es de aplicación tanto a los ficheros automatizados como en los ficheros en soporte papel o no automatizados cuando se realice tratamiento fuera de los locales del despacho y de los locales de terceros contratados para realizar en todo o en parte el tratamiento de los datos personales.

El Responsable Delegado del Fichero deberá autorizar este procedimiento indicando el período de validez. Si este período es permanente lo hará constar en la autorización que realice.

Salida de soportes fuera de los locales del despacho

  1. La persona autorizada a utilizar soportes fuera de los locales del despacho jurídico, comunicará al Responsable de Seguridad y al Responsable Delegado del Fichero la necesidad de sacar soportes fuera de los locales de la organización para la realización de un trabajo.
  2. La persona, debidamente autorizada, utilizará por motivos de trabajo los soportes, que pueden ser automatizados (CD, portátiles, smartphones, pen-drive, discos duros, etc.) y no automatizados (papel), fuera de los locales de la organización.

Registro de uso fuera de los locales

  1. El Responsable de Seguridad anotará en el registro de control de soportes usados fuera de los locales del Responsable.

Medidas de seguridad de los soportes utilizados fuera de los locales

  1. Dependiendo del contenido de los soportes a utilizar se deberán adoptar las medidas para mantener la seguridad requerida hasta el lugar de trabajo fuera de los locales que irán dirigidas a impedir el acceso o manipulación de la información durante el traslado por parte de terceros no autorizados.


Finalización de uso fuera de los locales de la organización

  1. Una vez finalizada la necesidad de trabajo fuera de los locales de la organización, la persona autorizada comunicará al Responsable de Seguridad y al Responsable del Fichero la finalización de dicha necesidad.
  2. El Responsable de Seguridad actualizará el registro de control de soportes usados fuera de la organización.

Traslado de la documentación

En todos los casos se adoptarán las medidas dirigidas a evitar la sustracción, pérdida o acceso indebido a la información durante su transporte.

Para el traslado de documentación sobre los que sea necesario aplicar medidas de seguridad de nivel medio o alto, se deberán adoptar medidas dirigidas a impedir el acceso o manipulación de la información objeto de traslado.

Por tanto el traslado de documentación se deberá realizar utilizando sobres cerrados, sistema de valija, cartera o maletín con llave. Como medida alternativa se podrán utilizar carpetas que permitan su cierre, siendo las personas que realicen el transporte responsables de su custodia y por tanto deberán conocer las obligaciones derivadas de la Ley de Protección de Datos conforme a la custodia de la documentación durante el traslado.

Recomendaciones

Le recomiendo que sea sistemático en la implantación de estos procesos en su despacho jurídico y riguroso en la aplicación y el seguimiento del cumplimiento de dichos procesos. Además deberá concienciar al personal de su despacho de la importancia que tiene para la seguridad de la información seguir estos procedimientos, y de las graves consecuencias tanto para el personal como para el despacho en caso de que se dé una incidencia grave sin haber adoptado unas medidas de seguridad adecuadas.

Limite al máximo los riesgos derivados de la pérdida, sustracción o manipulación accidental o intencionada de documentos, de forma eficiente y con el menor coste posible, en tiempo y en dinero.

La seguridad de la información, personal o no, en su despacho jurídico es fundamental.

Les espero en la próxima entrega: “Funciones y obligaciones del personal del despacho (Parte I)”


Lefebvre - EL Derecho no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación

Widgets Magazine

Comentarios jurisprudenciales

CASE STUDY & MASTER CLASS

LOPD EN DESPACHOS DE ABOGADOS

  • Caso práctico: cesión de datos a procuradores

    “El despacho jurídico “De La Torre Abogados” va a proceder a la cesión de datos personales de D. Daniel De La Torre a la procuradora Dña. María Ruiz para que realice las labores de procura necesarias para un caso judicial en la provincia de Almería.

  • Buenas prácticas en el despacho

    El despacho deberá establecer una normativa de uso de dispositivos y sistemas informáticos por escrito, así como unos criterios de supervisión de su actividad, remitiendo ambos documentos a todos sus integrantes y haciendo que firmen una conformidad de la información recibida.

  • Funciones y obligaciones del personal del despacho (y II)

    El personal que tenga acceso a información propiedad del despacho jurídico estará obligado a conocer y a observar las medidas, normas, procedimientos, reglas y estándares que afecten a las funciones que desarrolla en el despacho. 

ebook gratuito

ENTREVISTAS

GESTIÓN DE DESPACHOS

  • ¿Por qué es importante implementar el marketing en una empresa de servicios jurídicos?

    Hoy en día, el mercado legal está inmerso en una etapa de dinamismo que se está llevando a cabo a través de numerosas integraciones y/o fusiones entre despachos de diferente perfil que lo que buscan es crear una marca más sólida con la que poder prestar un servicio más completo a sus clientes.

  • La web y el blog, primeras piedras del camino hacia el posicionamiento SEO

    ¿Recuerdas cuando captar clientes se reducía al ‘boca a oreja’ y al prestigio del despacho? ¿Todo iba mucho más rodado, ¿verdad? ¿Cuál es el motivo por el que ahora ya no es tan fácil? Muy sencillo: se ha constituido un nuevo canal de captación que aún tiene mucho potencial: internet, la web y Google, el mayor canal de información y búsqueda de contenidos de España.

REDES SOCIALES & ABOGADOS

  • Internet y Redes Sociales para despachos de abogados: una exigencia necesaria

    ¿Por qué es importante que los despachos de abogados entren en la dinámica de las redes sociales e Internet? ¿Cómo puede afectar a un bufete el estar o no en el mundo digital? ¿Qué es lo que quieren tus futuros clientes de su abogado? El mundo se ha digitalizado y los abogados no pueden quedarse atrás.

COLABORA CON NOSOTROS

Colabora

Envianos un artículo sobre nuevas tecnologías aplicadas al ámbito jurídico

Colaborar

Enviar Artículo

He leído y acepto las condiciones de la Política de Privacidad y el Aviso Legal

(*) Campos obligatorios

Pablo García Mexía

Abogado, Cofundador de Syntagma, Centro de estudios estratégicos.

1

Carlos Pérez Sanz

Socio del área de Information Technology y Compliance de ECIJA.

1

Raúl Rubio

Partner, Information Technology & Communications Baker & McKenzie

1

AIshow, el evento de Inteligencia Artificial, llega a Madrid

Reunirá a investigadores y profesionales de diversos campos con el propósito de explorar las interacciones y los impactos prácticos de la Inteligencia Artificial (IA)

Metricson refuerza el área de compliance, protección de datos y propiedad intelectual

Incorpora a  Alejandro Martínez Méndez como director del departamento de protección de datos, propiedad intelectual y compliance de la sede de Barcelona. 

feedburner

Reciba LAW & TIC de forma gratuita.

Atención al cliente: De lunes a viernes de 8:30 a 20:00 horas ininterrumpidamente. Tel 91 210 80 00 - 902 44 33 55 Fax. 915 78 16 17