Continuando con la nueva serie “Guías Prácticas”, con el propósito de añadir a la visión teórica de la LOPD diferentes análisis de las consecuencias practicas en las pymes, vamos a ver los riesgos que respecto a al manejo de datos de carácter personal puede provocar el uso de algunos de los hardware y software que tenemos en nuestras oficinas.
Resulta obvio que la ofimática ha supuesto un enorme avance en la manera en la que incluso una empresa muy pequeña puede llegar a procesar información en grandes volúmenes, pero al tiempo nos obliga a ser precavidos ya que sus automatismos también aumentan los riesgos de vulnerar la legislación sobre protección de datos.
Es fundamental resaltar el hecho de que como ya señalaba en la nota anterior todos estos ejemplos proceden de Resoluciones (sanciones) publicadas en la página web de la Agencia Española de Protección de Datos (AEPD), es decir, son circunstancias que ya han ocurrido y nos deben servir para aprender en piel ajena. Y también que no basta con que estos procedimientos se entiendan a nivel de gerencia en una pyme, sino que cualquier empleado con acceso a datos de carácter personal ha de mantener el mismo tipo de precauciones. Así que si el lector resulta ser un usuario avanzado y algunos de estos errores le resultan demasiado “básicos”, le conviene preguntarse: ¿saben esto mis empleados?
- Correos electrónicos con direcciones al descubierto. Si tenemos que enviar un correo electrónico a varias personas (salvo que obviamente todas sean internas de la compañía o pertenezcan a un mismo grupo) nunca debemos poner todas las direcciones en la casilla “para”, puesto que en ese caso cada uno de los destinatarios verá las direcciones del resto y se considerará una vulneración del deber de secreto (artículo 8 de la LOPD). Se debe usar la casilla CCO (con copia oculta).
- Equipos sin medidas básicas de seguridad. En uno de los procedimientos presenciales de los inspectores de la AEPD se decía con sorpresa: “con sólo pulsar una tecla cualquiera se tenía acceso completo al disco duro del equipo informático”, es decir, que en ese ordenador ni siquiera se había activado una medida tan básica como la contraseña de acceso que conlleva cualquier sistema operativo. De nada sirve “blindar” el acceso a nuestro servidor y cumplir todos los requisitos de seguridad informática si después cualquier equipo desprotegido puede suponer una fuga de información o un acceso no autorizado.
- Soportes con copias de seguridad. CD, DVD, discos duros externos, pendrive… Son muchos los sistemas que podemos emplear tanto para realizar copias de seguridad (obligatorias también según el Reglamento de Medidas de Seguridad de la LOPD) como para transportar información. En este último caso, independientemente de las medidas técnicas implantadas para evitar accesos no autorizados o del encriptamiento de los datos, hay que activar un medida tan poco tecnológica como “estar más atento”. Resulta sorprendente (pero ocurre) los casos en los que “se pierden” soportes con información sensible.
- Máquina de ensobrar. Si su empresa realiza campañas de mailing y dispone de una práctica máquina de ensobrar haga el siguiente experimento: golpee suavemente un sobre sobre una mesa y compruebe si a través de la ventanilla se ven más datos personales que los imprescindibles para su distribución postal. Dejar al descubiertos expresiones como “recibo devuelto” o “deuda pendiente” ha causado ya varias sanciones.
- Fax. Cuando se envía una comunicación por fax no tenemos ningún control sobre quién es la o las personas que van a tener acceso a esa información en el momento de su recepción. Su uso no es aconsejable cuando se trate de transmitir datos de carácter personal.
Continuaremos la serie con un análisis de la problemática que puede suponer la contratación de servicios externos que tienen relación con la protección de datos, como son la videovigilancia, servicios informáticos, backup remotos, formularios web y tiendas virtuales, etc…
En Tecnología Pyme | LOPD: guías prácticas y conceptos básicos