viernes, 23 de julio de 2010

Guía implantación LOPD en Pymes (III)

La Fase 1 que propongo para la adecuación de las pymes y micropymes a la LOPD consiste en la Regularización de los Ficheros manejados por la empresa y tiene como principal objetivo la declaración de estos a la Agencia Española de Protección de Datos (AEPD).


La primera actividad de esta fase será la de identificar los ficheros con datos de carácter personal que se utilizan.

Para ello, recomiendo pensar en conjuntos de datos que se utilizan para una finalidad concreta, con independencia de que estén centralizados o no (por ejemplo, que haya documentación de personal en dos oficinas diferentes) y del tratamiento informático que se pueda realizar de los mismos (por ejemplo, que los datos sean tratados por una o varias aplicaciones informáticas).

Lógicamente, la tipología de los ficheros dependerá mucho de la pyme o micropyme concreta de que se trate, pero casi seguro que se tiene los siguientes ficheros: “Personal y Nóminas”, “Clientes”, “Proveedores” y “Contactos”, sin olvidar que puede haber otros muchos más, tales como: “Candidatos a Empleo”, “videovigilancia” (sólo es un fichero si se graban las imágenes que captan las cámaras), etc.

Como resultado de esta actividad se obtendrá el “Inventario de Ficheros con datos de carácter personal” manejados por la organización.

A partir de ese inventario, la segunda actividad consiste en cumplimentar el contenido de las notificaciones a la AEPD. Una notificación para cada uno de los ficheros identificados.

El formulario de notificación para ficheros de titularidad privada se puede obtener de la página de la AEPD, www.agpd.es, en el canal de responsable de ficheros. Habrá que descargarse el formulario NOTA (Notificaciones Telemáticas a la AEPD) de titularidad privada. Se trata de un fichero pdf.

El formulario sirve para realizar notificaciones de Alta, Modificación y Supresión de Ficheros, y, además, en el caso de las Altas, facilita la elaboración de notificaciones Tipo (para aquellos casos en los que se trata de cumplimentar notificaciones de ficheros de uso frecuente en las organizaciones, tales como: Ficheros de “Nóminas – Recursos Humanos”, “Clientes y/o proveedores”, “Pacientes” (para consultas particulares de médicos),etc. Esta es la opción que recomiendo para los ficheros más habituales en pymes y micropymes, ya que se propone (se rellenan con valores apropiados) la mayoría de los campos.

La presentación de la declaración se puede realizar de tres maneras, yo recomiendo marcar la opción “Internet”, en la que el formulario de notificación se envía directamente a la AEPD por internet (con la opción de enviar que se habilita tras completar toda la información requerida en el propio formulario y cumplimentar la Hoja de Solicitud de inscripción). En este caso, hay que tener en cuenta que habrá que mandar la Hoja de Solicitud por correo ordinario, ya que sino el envío del formulario no tendrá validez.

La forma de cumplimentar la información es muy sencilla y, además, existe la correspondiente ayuda en cada apartado.

Únicamente comentar algún aspecto sobre el nivel de seguridad de los ficheros que entiendo importante para asignar a cada uno de ellos el nivel adecuado.

El nivel de seguridad de un fichero se refiere a las medidas de seguridad exigibles para el mismo, en función de la menor o mayor necesidad de garantizar la protección de los datos que contiene. Se deben implantar las medidas de seguridad de nivel “básico” para todos los ficheros con datos de carácter personal, las de nivel “medio” para los ficheros que contengan datos catalogados como de ese nivel y las de nivel “alto” para ficheros que contengan los datos que se consideran más sensibles (por ejemplo datos de salud y datos especialmente protegidos). El tipo de dato que hace que un fichero sea de un nivel u otro se indica en la ayuda del propio formulario en el apartado “Medidas de seguridad”.

Los niveles de seguridad son acumulativos, es decir, todos los ficheros deben cumplir las medidas de seguridad de nivel básico, los ficheros de nivel medio deben cumplir las medidas de seguridad de nivel básico y medio, y los ficheros de nivel alto deben cumplir las de nivel básico, medio y alto.

En el caso de disponer de datos tales como: el grado de discapacidad de algún empleado y/o la aptitud de los trabajadores para el desempeño del puesto de trabajo, aunque son datos de salud, se permite aplicar a los ficheros que los contengan las medidas de seguridad de nivel básico. Esto sólo es posible en el caso de disponer únicamente de estos datos, si se dispone de datos adicionales de salud se deben aplicar las de nivel alto.
También se podrá aplicar las medidas de seguridad de nivel básico a aquellos ficheros que contengan datos de salud que, recuerdo que deben ser pertinentes y no excesivos, no guarden una relación directa con la finalidad del fichero, aunque no recomendaría aplicar esto salvo que se esté muy seguro, ya que entiendo es muy interpretable. Por ejemplo, entiendo que se podría aplicar a un fichero de una guardería que contenga el dato de régimen especial de alimentación para dar de comer adecuadamente a aquellos niños con determinados problemas de salud.

Ojo a los datos de currículums de candidatos a empleo. Si se dispone de información relativa a aficiones u otros similares, este tipo de datos podría hacer que el nivel de seguridad a aplicar al fichero sea medio.

Lo habitual, salvo consultas privadas de médicos, despachos de abogados, etc., es que se tengan sólo ficheros catalogados como de nivel básico, salvo la excepción apuntada de los currículum, que se puede evitar (las medidas establecidas para el nivel medio son, evidentemente, más complicadas de implantar que las de nivel básico) no guardando lo currículum originales y almacenando sólo los datos de los mismos de nivel básico necesarios para la selección del personal.

Una vez enviado el formulario de notificación por internet, uno por cada fichero, y las respectivas Hojas de Solicitud debidamente firmadas y por correo ordinario, la AEPD procederá a contestar transcurrido un tiempo. Lo habitual es que lo haga con una resolución de inscripción de los ficheros, en la que se indicará el código de registro de los mismos en el Registro General (es importante guardar el código, ya que cualquier modificación o supresión de un fichero requerirá indicar dicho código).

La información sobre las notificaciones y el código de inscripción pasarán a formar parte del "Inventario de Ficheros con datos de carácter personal" manejados por la organización.

No hay comentarios:

Publicar un comentario