viernes, 16 de enero de 2015

Cumplir con la LOPD y no morir en el intento (IV)


Os decía en la II parte de esta tetralogía sobre "cumplir con la LOPD y no morir en el intento", que podemos distinguir entre dos obligaciones: inscribir los ficheros y "todo lo demás". Como ya está "todo lo demás", vamos a inscribir los ficheros en la AEPD. 

Pero antes una disertación sobre la administración electrónica y la odisea que supone para cualquier ciudadano realizar una gestión a través de la "e-administración". Yo no sé si no se han dado cuenta de que no tenemos por qué ser usuarios avanzados que conozcan los pormenores de la informática, que esto debería ser más un "a-b-c" que un rompecabezas al que le faltan un montón de piezas. Este año, sin ir más lejos, se establece la obligación de formalizar los modelos fiscales trimestrales a través de internet y yo no he sido capaz de conseguir que mi DNI electrónico funcione en mi "macbook". Es más, te vas al portal del DNI electrónico y tienes 10 software sólo para mac osx, sin especificarte nada más. ¿Qué tengo, que probarlos todos? ¿No podía ser esto más sencillo?

Sí, puedes hacerte con un certificado digital de la FNMT. Yo tengo el código que conseguí a través de esta página y podría descargarme el certificado con el DNI electrónico. Oh, no espera, que no me funciona en mi ordenador...
Reeditado: resulta que al descargar el certificado se borra (por alguna razón inexplicable) la extensión del archivo. Si te pasa añade ".cer" y el programa de gestión lo encontrará.
Lo siento, pero es que después de conseguir entender la LOPD y su Reglamento, redactar el Documento de Seguridad, sus anexos, definir las medidas de seguridad, implementarlas (hasta he creado unas imágenes de disco en mi usuario de ordenador que están cifradas y a las que se accede con contraseña), comprar todos los dispositivos de seguridad físicos que necesito, convencer a mi pareja de que no puede volver a tener acceso a una habitación, investigar cómo se encriptan los correos electrónicos, definir los documentos de autorización de tratamiento de datos de carácter personal y hasta crear el pie de los mails.

Sí, después de todo eso que os he resumido en 3 post, me encuentro con que no es posible -tal como dice en la página de la AEPD- realizar el documento a través del navegador (te tienes que descargar el pdf, sí o sí), además, no tenía actualizado el adobe y se me cerraba el pdf sin poder rellenarlo, si lo habría con otro visor ni siquiera pasaba de página. Pero lo arreglé también, y rellené el pdf, y el cuestionario y cuando quise firmarlo no pude porque no me funcionaba el DNI electrónico... Así que lo siento, pero tengo derecho a quejarme: cumplir con la LOPD ha sido una de las cosas más difíciles a las que me he enfrentado y los temarios de las asignaturas de Derecho (cuando yo estudié, anuales) eran todo menos sencillos.

Y aquí estamos, a punto de finalizar el proceso. 

1. Descargamos el formulario NOTA de titularidad privada.


2. Abrimos el pdf con el acrobat y así como vayamos rellenando las casillas se irán abriendo otras nuevas.


3. Rellenamos los datos (el DNI lo he conseguido de una generador de dni válidos para pruebas).



4. Identificamos el fichero. Tened en cuenta de que tendremos que hacer una inscripción por cada fichero y que la descripción la hacemos con nuestras palabras. Si hay algo mal nos requerirán para que subsanemos,









5. Validamos el documento para detectar errores y guardamos el documento. Le damos al botón "cumplimentar solicitud".


6. Rellenamos la solicitud.


7. Marcamos la casilla de "conocimiento de los deberes del declarante".



8. Le damos al botón "finalizar formulario".



9. Le damos a la "firma de la persona que efectúa la notificación".


10. Firmamos el formulario. El cuadro dependerá del sistema operativo.


11. Enviamos a través de internet.



¡Ya está! Enviado. La fecha a tener en cuenta es la del envío y si en un mes no os han respondido, el silencio es positivo. Cuando os notifiquen la referencia de registro debéis incluirla en el documento de seguridad y si realizáis alguna modificación en los ficheros, sólo tenéis que inscribirla a través del formulario NOTA, pero seleccionando al principio "modificación".

Felicidades, ahora cumplís (por lo menos en teoría) con la Ley.

miércoles, 14 de enero de 2015

Cumplir con la LOPD y no morir en el intento (III)


Lo siento, no es culpa mía, es que es "un coñazo": yo he tardado bastante en hacerme con los conceptos y tener claras todas las obligaciones. Pero tened confianza, sólo es cuestión de perseverar.

Después de leer "Cumplir con la LOPD y no morir en el intento I y II, tienes que tener claros los conceptos generales y cuáles son tus obligaciones, además de los ficheros y soportes que debes inscribir y las medidas de seguridad a adoptar, pero creo que hace falta detenernos un poco más en el "Documento de Seguridad".

Sí, tenéis el modelo a vuestra disposición en la página de la AEPD, pero cuando lo descarguéis descubriréis que parece redactado para que no lo entienda nadie. 

La estructura es muy sencilla (se corresponde con el índice del modelo de la AEPD):

1.   Ámbito de aplicación del documento: sólo debes consignar tu nombre en el espacio indicado y los ficheros, indicando el tipo y las medidas de seguridad aplicables.

2.   Medidas, normas, procedimientos, reglas y estándares:     
a) Identificación y autenticación: descripción de las medidas de seguridad concretas que hemos definido (obviamente, al sólo haber un usuario autorizado –el responsable del fichero– se reduce a la existencia de un usuario con clave en los soportes de ficheros automatizados).
b) Control de acceso: descripción de las medidas de seguridad definidas para el acceso a los ficheros (contraseña para los automatizados y llave para los manuales).
c)  Registro de accesos: no es necesario al ser el responsable del fichero una persona física y sólo tener él acceso y tratar los datos personales, pero ha de consignarse tal circunstancia expresamente.
d) Gestión de soportes y documentos: aquí describiremos el sistema de identificación y etiquetado de los ficheros, para el inventario de los soportes nos remitimos al Anexo V y consignamos las medidas de seguridad concretas para el traslado y los protocolos de eliminación. Incluiremos, además, los siguientes extremos:
a.   Para los soportes de ficheros automatizados:
1. Registro de entrada y salida de soportes automatizados: sólo una descripción de los protocolos, ya que el documento se encuentra en el Anexo VIII (básicamente hay que poner la teoría).
2.  Identificación, gestión y distribución de soportes: se define la manera de identificar y etiquetar los soportes y las medidas de seguridad para su gestión y distribución.
b.   Para los soportes de ficheros manuales:
1.   Criterio de archivo: describimos el criterio de archivo que hayamos definido.
2.  Almacenamiento de la información: descripción de las medidas de seguridad que se adoptan en los dispositivos de almacenamiento.
3.  Custodia de los soportes: previsión sobre la custodia de los datos que se encuentren en proceso de tramitación.
e) Acceso a datos a través de redes de comunicaciones: previsión sobre las medidas de seguridad que se adoptan (cifrado previo de los datos y establecimiento de contraseñas).
f)   Régimen de trabajo fuera de los locales de la ubicación del fichero:  sólo para el caso de que exista esa posibilidad.
g) Traslado de la documentación: medidas de seguridad concretas que se adopten para el traslado físico de documentación.
h) Ficheros temporales o copias de trabajo: previsión sobre el tratamiento y destrucción de los mismos.
i) Copia o reproducción: previsión sobre la realización de copias o reproducción de los documentos.
j)   Copias de respaldo y recuperación: previsiones aplicables a los ficheros automatizados, así como el procedimiento para su recuperación y verificación semestral, remitiéndonos al Anexo I para detallar los procedimientos de copia y recuperación, con la previsión, en caso de que para las copias de los ficheros de nivel alto no puedan ubicarse en lugar distinto, de cuáles son las medidas de seguridad concretas que se adoptan.
k) Responsable de seguridad: en nuestro supuesto coincide con el responsable del fichero y se hace constar sin más.

3.   Información y obligación del personal: en nuestro supuesto no existe personal.

4.   Procedimientos de notificación, gestión y respuesta ante las incidencias: básicamente hay que dejarlo como viene en el modelo, especificando que no existiendo ningún usuario autorizado además del responsable del fichero, no resulta necesaria la inclusión del documento de autorización relativo a la ejecución de procedimientos de recuperación de datos.

5.   Procedimientos de revisión: se refiere a la revisión de:
a)  Documento de seguridad: previsión genérica que viene en el modelo.
b) Auditoría: mantener la previsión genérica del modelo.
c) Informe mensual sobre registro de accesos: especificar que no es necesario de conformidad con el art. 103. 6 del Reglamento por darse las circunstancias de que el responsable del fichero es una persona física y que se garantiza que sólo él tendrá acceso y tratará los datos de carácter personal.

6.   Anexos:

a. Descripción de ficheros. Deberá contener la fecha de actualización y la descripción de los ficheros que tenemos registrados.

1. FICHERO: FICHERO NIVEL ALTO.
§ Identificador y nombre del fichero en el Registro General de Protección de Datos de la Agencia Española de Protección de Datos:
    Identificador: Pendiente
    Nombre: EXPEDIENTES DE NIVEL ALTO.
    Descripción: ficheros m que contienen datos personales de nivel alto de clientes.
§ Nivel de medidas de seguridad a adoptar: ALTO.
§ Responsable de seguridad: coincide con el responsable del fichero.
§ Administrador: coincide con el responsable del fichero.
§ Estructura del fichero principal: se incluirán en este fichero los datos de carácter personal que incluyan: datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual.
§ Información sobre el fichero o tratamiento
 Finalidad y usos previstos: los relacionados con el ámbito profesional del responsable del fichero, respecto a gestiones ante Administraciones y particulares en el ámbito jurídico, de conformidad con el encargo realizado por el cliente.
   Personas o colectivos sobre los que se pretenda obtener o que resulten obligados a suministrar los datos personales, y procedencia de los datos: los datos serán facilitados directamente por los clientes.
□  Procedimiento de recogida: mediante entrega directa y personal de los titulares de los datos personales.
    Cesiones previstas: sólo las expresamente autorizadas por el titular de los datos personales.
    Transferencias Internacionales: no se prevén transferencias internacionales.
    Sistema de tratamiento: mixto.
□ Servicio o Unidad ante el que puedan ejercitarse los derechos de acceso, rectificación, cancelación y oposición: en la dirección postal C/ … o en el correo electrónico …@....com.
  Descripción detallada de las copias de respaldo y de los procedimientos de recuperación: se realizará una copia de seguridad/respaldo semanalmente de los ficheros automatizados; no se prevé ninguna copia para los ficheros manuales.
□ Información sobre conexión con otros sistemas: podrá existir conexión con los ficheros “FICHEROS NIVEL MEDIO” y “FICHEROS NIVEL BÁSICO”, pero conteniendo cada fichero los datos personales del nivel de seguridad que le corresponden, cuando el titular de los datos personales aparezca en uno o más ficheros.
    Funciones del personal con acceso a los datos personales: sólo el responsable del fichero tendrá acceso a los datos de carácter personal y a los sistemas de información específicos de este fichero.
    Descripción de los procedimientos de control de acceso e identificación: los genéricos para los ficheros de nivel de seguridad alto ya detallados.
   Relación actualizada de usuarios con acceso autorizado: sólo el responsable del fichero tendrá acceso a los datos de carácter personal y a los sistemas de información específicos de este fichero

b.  Nombramientos. En nuestro caso especificaríamos que no existen otros perfiles a parte del Responsable del fichero.

c.  Autorizaciones de salida o recuperación de datos.  Especificaríamos que no existiendo otros usuarios autorizados además del responsable del fichero, no procede la incorporación de autorizaciones.

d.   Delegación de autorizaciones: especificaríamos que no se han realizado.

e.  Inventario de soportes. A modo de ejemplo:

1. SOPORTE: FICHEROS NIVEL ALTO.
§ Tipo de soporte físico: armario.
§ Datos que contiene: ficheros manuales “FICHEROS NIVEL ALTO”.
§ Personal con acceso: el responsable del fichero.
§ Datos que contiene: los relacionados en el ANEXO I del DOCUMENTO DE SEGURIDAD.
§ Detalle del soporte: dotado de cerradura.
§ Lugar de ubicación: habitación de acceso restringido al responsable del fichero por llave.

2. SOPORTE: ORDENADOR 1.
§ Tipo de soporte informático: Ordenador portátil Macbook.
§ Datos que contiene: ficheros automatizados “FICHEROS NIVEL ALTO”, “FICHEROS NIVEL MEDIO” y “FICHEROS NIVEL BÁSICO”.
§ Personal con acceso: el responsable del fichero.
§ Datos que contiene: los relacionados en el ANEXO I del DOCUMENTO DE SEGURIDAD.
§ Detalle del soporte: dotado con contraseña alfanumérica de 12 caracteres, con al menos una mayúscula,.
§Lugar de ubicación: cuando no se esté procediendo a su uso por el responsable del fichero, se almacenará en el soporte “EXPEDIENTES DE NIVEL ALTO” ubicado en habitación de acceso restringido al responsable del fichero por llave.

e.  Registro de incidencias: viene a ser una tabla con todos los datos que se especifican en la propia normativa.

f.  Encargados de tratamiento:especificaremos que sólo el responsable del fichero tratará los datos de carácter personal. Recordad que si utilizas el servicio de un asesor fiscal o de una empresa de destrucción de documentos, éstos serán considerados encargados de tratamiento, pero esta guía no prevé esta circunstancia.

g. Registro de entrada y salida de soportes: debes incluir una tabla que recoja todos los requisitos que establece la normativa e ir actualizándola.

h.  Medidas alternativas: en el caso de que no sea posible adoptar las medidas exigidas por el RLOPD en relación con la identificación de los soportes, los dispositivos de almacenamiento de los documentos o los sistemas de almacenamiento de la información, indicar las causas que justifican que ello no sea posible y las medidas alternativas que se han adoptado.


Espero que ahora veas el modelo de la AEPD con "otros ojos".

Aviso a navegantes: la imagen utilizada en este post pertenece a Mr. Wonderful. Tengo pendiente hablaros de la utilización de material con derechos de autor.