Introducción a la LOPD (II): Ámbito de la Ley

Foto: Hospital Reina SofíaLa LOPD ofrece a los ciudadanos las garantías y mecanismos necesarios para proteger sus datos personales y controlar el uso que se realiza de los mismos. De cara a garantizar la protección del derecho, se establecen obligaciones para toda persona física o jurídica que posea ficheros con datos personales.

Las empresas y organizaciones, en su calidad de agentes que manejan y tratan datos de carácter personal, están obligadas a garantizar el derecho fundamental a la protección de los datos personales de que disponen. La normativa no contempla excepciones por tamaño, facturación o sector de actividad, de forma que:

cualquier empresa u organización está incluida en el ámbito de aplicación de la legislación, siempre que trabaje con ficheros con datos personales.

De este modo, es necesario que las organizaciones, independientemente de sus dimensiones, establezcan una serie de medidas jurídicas y organizativas que garanticen el correcto tratamiento de los datos que son recogidos de clientes, proveedores, colaboradores, empleados, o cualquier otro dato de carácter personal que manejen. El nivel de exigencia en cuanto al cumplimiento de la LOPD es el mismo para todas las empresas, sin que se establezcan criterios distintos dependiendo de si es una gran empresa o una microempresa. La LOPD establece un marco general para todos y debe ser cumplida por todos.

La LOPD no será de aplicación para aquellos ficheros matenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas.

Algunos ficheros se rigen por disposiciones específicas, terromismo, delincuencia, régimen electoral,…  , sin embargo:

Los ficheros con datos de salud están plenamente sometidos a la LOPD y el Real decreto de Medidas de seguridad que la desarrolla.

Os dejo con el Programa de Radio 5, Todo Noticias “, Protegemos tus datos – Protección de datos sanitarios – 28/05/10, con la intervención del entonces Director de la AEPD.

Introducción a la LOPD (I): Objeto de la Ley

Foto: the submarines por Lali Masriera
Foto: the submarines por Lali Masriera

La LOPD ofrece a los ciudadanos las garantías y mecanismos necesarios para proteger sus datos personales y controlar el uso que se realiza de los mismos. De cara a garantizar la protección del derecho, se establecen obligaciones para toda persona física o jurídica que posea ficheros con datos personales.

Las empresas y organizaciones, en su calidad de agentes que manejan y tratan datos de carácter personal, están obligadas a garantizar el derecho fundamental a la protección de los datos personales de que disponen. La normativa no contempla excepciones por tamaño, facturación o sector de actividad, de forma que:

cualquier empresa u organización está incluida en el ámbito de aplicación de la legislación, siempre que trabaje con ficheros con datos personales.

De este modo, es necesario que las organizaciones, independientemente de sus dimensiones, establezcan una serie de medidas jurídicas y organizativas que garanticen el correcto tratamiento de los datos que son recogidos de clientes, proveedores, colaboradores, empleados, o cualquier otro dato de carácter personal que manejen. El nivel de exigencia en cuanto al cumplimiento de la LOPD es el mismo para todas las empresas, sin que se establezcan criterios distintos dependiendo de si es una gran empresa o una micdroempresa. La LOPD establece un marco general para todos y debe ser cumplida por todos.

La LOPD no será de aplicación para aquellos ficheros matenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas.

Algunos ficheros se rigen por disposiciones específicas, terromismo, delincuencia, régimen electoral,…  , sin embargo:

Los ficheros con datos de salud están plenamente sometidos a la LOPD y el Real decreto de Medidas de seguridad que la desarrolla.

Introducción a las Medidas de Seguridad (XXIV): Traslado de Documentación

Foto: The Flickrs by Xava duEn el capítulo anterior hemos hablado sobre la transferencia de información (digital) a través de las redes de comunicación, que se resumen consiste en aplicar la tecnología para evitar el acceso o manipulación de la información no autorizados.

¿Que sucede con la información en papel? Pues exactamente lo mismo. Como es lógico, la documentación no viaja a través de redes de comunicación, sino que son personas quienes la transportan.

¿Y que medidas de seguridad deben adoptarse durante el transporte de la documentación?

Pues una muy sencilla:

Aquella medida necesaria que impida el acceso o manipulación de la documentación por terceros no autorizados.

Como podéis ver, este es el espíritu que empapa todo el reglamento. En general, las medidas de seguridad van dirigidas a este único objetivo.

En cuanto al traslado de la documentación, el reglamento nos dice:

Siempre que se proceda al traslado físico de la documentación contenida en un fichero, deberán adoptarse medidas dirigidas a impedir el acceso o manipulación de la información objeto de traslado.

No se especifican medidas concretas respecto al traslado, sin embargo, está claro que se limitan algunas prácticas que han venido siendo habituales hasta la actualidad.

Por ejemplo, durante el transporte de las historias clínicas desde el archivo hasta la consulta, la historia deber viajar siempre custodiada de alguna manera y debe entregarse al responsable al quien va destinado. No puede abandonarse el carro con las historias clínicas en el pasillo o a la puerta de la consulta.

Lo ideal es que las historias viajen dentro de dispositivos o bolsas cerradas de forma que no se pueda ver ningún dato sobre la historia (ni siquiera el nº de historia), que sea el destinatario quien abra el dispositivo y para ello tenga que romper un sello, si estuviera roto indicaría un acceso indebido. Por último, una vez utilizada la historia, se devolvería en las mismas condiciones, de forma que al llegar al archivo, la bolsa también regrese precintada.

Por supuesto, tecnológicamente podríamos pensar en mecanismos más seguros y sofisticados. Utilizando tecnología RFID, hoy día muy extendida, podríamos controlar quien puede abrir el dispositivo (Control de Accesos) y además llevar el registro de accesos a la documentación. Durante el proceso de devolución al archivo, el dispositivo descargaría el registro de accesos en una base de datos.

Este sistema implicaría que hubiera “candados” a los que se les dijera quien puede abrirlos. Por otro lado, cada usuario dispondría de una “llave” que sólo podría abrir los “candados” para los que está autorizado.

Puede que esto os parezca ciencia ficción o tecnología avanzada, pero la puerta de mi cochera funciona de esta manera, y cualquier sistema de control de accesos a unas dependencias no es otra cosa que una cerradura electrónica con memoria incorporada que se abre con una tarjeta autorizada previamente.

Periódicamente llega un técnico y descarga el fichero de control de accesos para verificarlo. Está todo inventado.

Aunque es cierto que esta tecnología sería más costosa.

Introducción a las Medidas de Seguridad (XXIII): Telecomunicaciones

Foto: Spiderman 3!!!!! by Martha Silva
Foto: Spiderman 3!!!!! by Martha Silva

Esta parte del reglamento resulta fácil de cumplir. Y es fácil porque se trata simplemente de aplicar la tecnología. Se trata sencillamente de utilizar

Comunicación Cifrada

Cualquier transmisión de datos a través de redes de comunicaciones o redes inalámbricas (las llamadas Wifi) deben realizarse cifrando los datos de forma que se garantice que la información no pueda ser accedida ni manipulada en el camino.

Normalmente las redes utilizadas en los centros públicos están provistas de mecanismos de cifrado y no deben plantear ningún problema. Algo parecido sucede con las redes inalámbricas.

Si hay que poner algo más cuidad con las redes inalámbricas de tipo doméstico utilizadas en pequeñas clínicas. Los mecanismos de cifrado habituales (Cifrado WEP) son fáciles de romper y en pocos minutos cualquiera con un portátil y sin necesidad de muchos conocimientos sobre comunicaciones podría acceder a la red y tener acceso a la información que viaja por la misma.

Si utilizamos una red Wifi de este tipo, es mejor cambiar el protocolo de cifrado a una versión más moderna (WPA o WPA2) que proporcionan mayor resistencia a la intrusión.

Por supuesto, como siempre, deben utilizarse claves lo más largas y complejas posibles, mezclando letras, números, simbolos, mayúsculas y minúsculas.

Estas redes, aunque inicialmente son “mas seguras” con el tiempo se vuelven vulnerables. La Criptografía y el Criptoanálisis están en guerra permanente. Pero no debemos preocuparnos demasiado por eso, nuestra obligación consiste en utilizar los medios que la tecnología va poniendo a nuestra disposición

Es habitual que terceros nos presten servicios remotos. Por ejemplo para el mantenimiento de nuestros sistemas de información, o bien que trabajemos desde casa conectando a los Sistemas de Información del Centro Sanitario. En estos casos de nuevo la tecnología viene a echarnos una mano. La redes de tipo VPN (Virtual Private Network) vienen a echarnos una mano. Hoy día una red tipo VPN está al alcance de cualquier organización.

Hemos de tener en cuenta además otras prácticas como el envío de correos electrónicos. En estos casos, siempre que el correo transcienda los límites de la red de la organización, deberá cifrarse igualmente.

Podemos encontrar herramientas gratuitas y de uso libre que nos facilitan esta tarea, por ejemplo  AxCrypt, una herramienta de cifrado simétrico (de una sola clave)

También es posible cifrar nuestros correos electrónicos utilizando nuestra firma digital habitual faciltada por la Fábrica Nacional de Moneda y Timbre. Pero esto, podría ser objeto de un curso específico.

Por último no debemos olvidarnos de “la nube”, tan de moda ultimamente. Puede que seas de los que no utilizan la nube ¿O quizas si?

¿Compartes ficheros en google Docs? ¿en DropBox?

Se pueden implantar políticas corporativas que “cierren” el acceso a este tipo de servicios en la nube, Aunque en ese caso, estos servicios deberían ofrecerse internamente. Si los profesionales utilizan los servicios, probablemente es porque son necesarios. En cualquier caso, si utilizas estos servicios, los ficheros con datos de carácter personal que se “suban a la nube” tendrán que estar cifrados. De nuevo herramientas como AxCrypt O TrueCypt vienen a solucionar esta cuestión.

Introducción a las Medidas de Seguridad (XXII): Auditorías

Decisiones de vida by Victor Nuño
Decisiones de vida by Victor Nuño

Una auditoría de seguridad, especializada en el cumplimiento normativo (en el caso de España será la Ley Orgánica de Protección de Datos y su reglamento) tratará de determinar si se cumplen las medidas de seguridad establecidas en la ley, con especial atención sobre las medidas de seguridad que hemos estado viendo en este curso. La auditoría debe realizarse, según la ley

Al menos cada dos años,

o cada vez que se realicen modificaciones sustanciales en los sistemas de información que puedan tener repercusiones en la seguridad. La auditoria podrá ser interna o externa y tendrá como objetivo comprobar la adecuación, adaptación y eficacia de las medidas de seguridad implantadas en los sistemas de información.

El auditor comprobará y verificará aspectos como:

  • Los ficheros utilizados se han declarado adecuadamente
  • Que existen las políticas y procedimientos de seguridad y se cumplen respecto de:
    • Los encargados de tratamiento
    • prestación de servicios sin acceso a datos (vg: servicios de limpieza)
    • Delegación de Autorizaciones
    • Régimen de trabajo fuera de la ubicación del fichero (Vg: trabajo en casa, atención domiciliaria)
    • Políticas sobre ficheros temporales o copias de trabajo de documentos
    • Adecuación del Documento de Seguridad
    • Se han definido las Funciones y Obligaciones del Personal respecto de tratamiento de la información
    • La adecuación del Registro de Incidencias
    • La existencia de controles de accesos
    • La existencia de procedimientos para la gestión de soportes y documentos
    • La adecuación de los procedimientos de identificación y autenticación
    • La existencia y adecuación de los procedimientos de copias de respaldo y recuperación
    • La existencia y adecuación de los registros de accesos
    • Verificación de los mecanimos de acceso a datos a través de redes de comunicaciones
    • Auditorías anteriores
    • La existencia de criterios de archivo adecuados
    • La adecuación de los dispositivos de almacenamiento
    • Políticas y procedimientos para la custodia de soportes

El informe realizado deberá determinar sobre la adecuación de las medidas establecidas respecto de lo exigido en el reglamento e identificar las deficiencias detectadas proponiendo para ellas las medidas correctoras apropiadas.

Todas los cumplimientos o incumplimientos detectados deberán estar respaldados por las evidencias que lo justifican.

El informe de auditoría deberá ser analizado por el Responsable de Seguridad que se encargará de que el Responsable del fichero adopte las medidas adecuadas.

Por último añadir que el informe de auditoría no hay que enviarlo a la Agencia Española de Protección de Datos, pero si deberá quedar a su disposición.