La Agencia de Protección de Datos insta al Provincial a que mejore su seguridad

La resolución llega tras una queja por el robo de un lápiz de memoria del Hospital en el que aparecían datos personales y nóminas de los empleados.

La Agencia Española de Protección de Datos ha instado al Servicio Aragonés de Salud y al Hospital Provincial a que “implante todas las medidas de seguridad que se requieren legalmente”, a raíz del robo de un lápiz de memoria en el que aparecían datos personales y nóminas de algunos de los empleados.

La agencia recibió un escrito de una particular, que se dirigió a este organismo después de que se publicara el robo, que se produjo el 22 de marzo de 2009 y que fue denunciado dos días después. Entonces, según el informe publicado el pasado 2 de julio, la Agencia inició una serie de actuaciones previas.

En ellas, relatan que el Salud tenía ese lápiz de memoria para llevarlo a una entidad bancaria que realizaba los pagos de las nóminas. En el documento figuraba el nombre, los apellidos, el código de la cuenta corriente y el salario de los trabajadores. También había otro fichero con las personas que tenían un trienio recientemente reconocido y que tenían que empezar a cobrarlo.

Según la denuncia presentada en la comisaría, una o varias personas robaron esta información al forzar la puerta de la oficina de personal de la tercera planta del centro. Tras este hecho, el Provincial mejoró sus medidas de seguridad instalando un sistema de alarma y de videovigilancia, haciendo una transmisión telemática de los datos de las nóminas a la entidad bancaria y desactivando los puertos USB de todos los equipos, salvo aquellos que soliciten un permiso expreso. En el acta de inspección se aclaró que el documento de seguridad del Hospital está en elaboración, aunque ya había dos documentos en los que se regulan las funciones del personal que trabaja con ficheros que contienen datos de carácter personal.

El informe deja claro que tanto el Salud como el Provincial incurrieron en una infracción por no tener terminado el documento de seguridad, y resuelve que infringe dos artículos (el 9 y el 20) de la Ley de Protección de Datos. Requiere a ambos que adopten las medidas oportunas para que no vuelva a ocurrir un hecho parecido, y al Provincial le insta a que termine el documento de seguridad que está elaborando “e implante todas las medidas que se requieren legal y reglamentariamente”.

eco-Shredder, empresa especilizada en la destrucción de documentación confidencial “in situ”.

19 de abril: ¿ha tenido en cuenta su empresa esa fecha?

El pasado 19 de abril terminó el plazo de moratoria que se dio a los ficheros de papel existentes con anterioridad al mes de abril de 2008 (fecha de entrada en vigor del Reglamento de desarrollo de la LODP) que contuvieran datos de nivel alto para que se les aplique plenamente la LOPD. Hasta que entró en vigor ese Reglamento existía un vacío legal sobre las obligaciones aplicables a los ficheros no informatizados.

Tras esa fecha, se dieron unos plazos para que también los ficheros de papel se fueran adaptando progresivamente –primero los de nivel básico, luego los de nivel medio y finalmente los de nivel alto- el pasado 19 de abril.

Si usted no los ha adaptado estaría inclumpliendo la legalidad.

LA PRIVACIDAD EN LAS REDES SOCIALES

Las redes sociales están obligadas a realizar una actualización urgente  de sus plataformas digitales para respetar el derecho a la Privacidad, según la AEPD

Todos sabemos, como ya hemos comentado en varias ocasiones en este mismo blog, la gran problemática existente en lo que a Protección de Datos y Privacidad se refiere en redes sociales como “Facebook” y “Tuenti”.

La semana pasada se reunieron en Granada más de medio centenar de autoridades y expertos internacionales en protección de datos los cuales forman el llamado Grupo de Berlín de Telecomunicaciones para analizar los principales retos que plantean las nuevas tecnologías e Internet en relación con la Privacidad.

El encuentro se centró principalmente en el funcionamiento de las redes sociales y su “deficiente diseño de privacidad” que les exige una «urgente actualización» a fin de evitar, por ejemplo, que un usuario pueda difundir datos, como teléfonos, fotografías o calles de terceras personas sin su autorización.

Según explicaba el Director de la AEPD, no basta con instar a los usuarios para que no cedan datos personales, sino que debería de ser la misma plataforma la que previniese, mediante un diseño adecuado, posibles actuaciones que atenten contra la privacidad de las personas.

Estas empresas digitales “lanzan el servicio, ven como funciona, el nivel de protesta de los usuarios que genera y luego corrigen su diseño” lo cual es una práctica inadmisible, según comentó el director de la AGPD.

De todos modos y mientras las redes sociales se ponen al día, es importante tener en cuenta los siguientes consejos para prevenir nuestra privacidad en este tipo de plataformas:

• No compartas tu contraseña
• Configura adecuadamente tu nivel de privacidad
• No ofrezcas datos de tu ubicación física
• Añade sólo a “amigos” que conozcas previamente
• Publica contenidos que sean de tu autoría
• Antes de publicar fotos, obtén permiso de quienes aparezcan en ellas

Recomendaciones para usuarios entre 14-18 años

• Configura tu privacidad para no recibir mensajes de gente que no está entre tus amigos
• Si tienes duda sobre alguna situación o mensaje que recibas, pregunta a tus padres

1 ¿Qué se entiende por destrucción confidencial de información?

La que busca que no sea posible recuperar los soportes que contienen datos con información confidencial y garantiza, en todo momento del proceso, el no acceso a esos datos por personas no autorizadas. 

2 ¿Qué define a la destrucción confidencial de información?

-        Es irreversible: garantiza que no existen riesgos probables de que se recupere la información.

-        Es segura y confidencial: los documentos se tratan con la misma seguridad con que se han mantenido durante su existencia

-        Es favorable al medio ambiente: evita la agresión del entorno y, siempre que sea posible, se reciclan todos los soportes.

 3 ¿Cuándo es preciso destruir documentación confidencial?

Cuando ha dejado de ser necesaria. Recuerde que hay documentos que deben conservarse durante un tiempo determinado por motivos jurídicos, normativos, etc.

 4 ¿Quién determina qué información es confidencial?

El alcance y nivel de confidencialidad de la información lo determina en todo momento la empresa, organismo, entidad, etc., que establecerá también qué persona es la encargada de dar la aprobación final de la destrucción.

Esa misma persona deberá documentar todas las destrucciones, para garantizar que cumple con la reglamentación vigente y que ella y la empresa quedan protegidos en caso de investigación o consulta. Necesitará la siguiente documentación:

-        Lista o resumen del tipo y cantidad de los documentos destruidos.

-        Prueba de la destrucción (por ejemplo, certificado) en el que conste: el método de la destrucción, la fecha de la destrucción y el personal que ha intervenido en ella.

5 ¿Existe información especialmente sensible?

Sí. Y, por lo tanto, requiere un cuidado muy especial en su transporte, manejo y destrucción. Se trata de:

-        información personal (que debe gestionarse conforme a los requisitos de la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD)

-        información confidencial desde el punto de vista financiero o comercial (estados financieros de une empresa, licitaciones de ofertas a compañías externas, etc.)

-        información que presente riesgos para la seguridad laboral (planos de edificios, planes de seguridad, fichas de trabajo…)

-        documentos relativos a una investigación.

6 ¿Qué soportes contienen datos e información confidencial?

-        Los documentos en papel.

-        Los soportes electrónicos, magnéticos u ópticos.

-        Los vídeos, las películas de cine, microfilm, microfichas, tarjetas de apertura o radiografías…

7 ¿Quién debe llevar a cabo la destrucción?

No siempre resulta rentable ni práctico para una empresa destruir los documentos en sus instalaciones. En este sentido, conviene contratar los servicios de una empresa especializada en destrucción confidencial de información.

La empresa que contrata estos servicios tiene la responsabilidad de garantizar que la destrucción se realiza conforme a los métodos de destrucción aprobados, incluida la protección de la información sensible hasta el momento en que se realice su destrucción irreversible.

8 ¿Cómo se realiza la destrucción?

A través de diferentes procesos, mecánicos o químicos, que hagan irreconocible e irrecuperable los datos impresos o grabados en los soportes: triturado, conversión en pulpa, borrado masivo, corte, aplastamiento, reciclaje químico, etc.

9 ¿Qué aspectos debemos tener en cuenta al contratar a una empresa de destrucción confidencial de información?

Es preciso asegurarse de que la empresa contratada:

-        Respeta el carácter confidencial de los datos que maneja y mantiene la protección adecuada que impida la divulgación de dicha información.

-        Utilizan el transporte adecuado.

-        Garantizan la total custodia y trazabilidad de la documentación hasta su total destrucción.

-        Especifican el método de destrucción.

-        Proporcionan siempre certificados de destrucción.

-        Facilita en todo momento el acceso a sus instalaciones para verificar que la destrucción de la documentación.

-        Realiza todos los procesos con personal propio.

 10 ¿Qué debe recoger el contrato?

En el contrato se debe especificar:

-        Que el transporte de los documentos es seguro.

-        Que los documentos se destruirán inmediatamente tras la entrega en las instalaciones del contratista (o bien, como mínimo, y si esto no fuera posible, el contratista deberá garantizar su seguridad).

-        Que los métodos de destrucción son aceptables y con garantías.