jueves, 21 de octubre de 2010

Guía implantación LOPD en Pymes (VIII)

En este último post de la serie trataré sobre la implantación de las medidas y normas de seguridad asociadas a implantar en la adecuación de pymes y micropymes a la LOPD.


Debe quedar claro, tal y como se indicaba en un post anterior, que las obligaciones de la normativa vigente en materia de protección de datos no dependen del tamaño de la empresa y, por tanto, obligan por igual a autónomos, pequeñas, medianas y grandes empresas, ya que sus exigencias se establecen en función del nivel de seguridad aplicable a los datos que maneja la organización (básico, medio y alto).

No obstante, lo habitual en pymes y micropymes es que sólo existan datos de nivel básico y que los sistemas de información automatizados existentes no presenten una gran complejidad, por lo que la implantación de las medidas técnicas en estos últimos no será tampoco muy compleja.

También debe tenerse en cuenta que la normativa establece qué medidas deben implantarse (por ejemplo: identificación y autenticación ante los sistemas de información, copias de seguridad de los ficheros o tratamientos automatizados,…) y ciertas exigencias básicas sobre las mismas (la identificación de los usuarios debe ser inequívoca y personalizada, es decir, no se permitirá la utilización de identificativos de usuario comunes a grupos de usuarios, las copias de seguridad se deberán realizar, al menos, semanalmente, salvo que los datos no hayan sufrido ninguna modificación,…), pero no cómo debe hacerse (por ejemplo: no se establece si las copias de seguridad deben realizarse de forma desatendida o manual,…), por lo que puede ser válido emplear diferentes mecanismos para implantar las medidas, siempre y cuando se cumplan esas exigencias sobre las mismas requeridas por la normativa.

Recordar también lo dicho en un post anterior sobre que los niveles de seguridad son acumulativos, es decir, las medidas de seguridad de nivel básico son aplicables a todos los ficheros con datos de carácter personal, los ficheros de nivel medio deben cumplir las medidas de nivel básico y medio, y los ficheros de nivel alto deben cumplir las medidas de nivel básico, medio y alto.

El Documento de Seguridad constituye la entrada de esta tercera actividad y, por tanto, todos los aspectos de las medidas y normas a implantar deberán estar convenientemente desarrollados en dicho documento.

Dicho todo lo anterior, a continuación repasaré las medidas y normas de seguridad más relevantes a implantar:

1. NIVEL BÁSICO (de aplicación a TODOS LOS FICHEROS con datos de carácter personal):

1.1. De aplicación a FICHEROS O TRATAMIENTOS AUTOMATIZADOS:

1.1.1. Identificación y autenticación (artículo 93 del RDLOPD):

En esta actividad se trata de verificar o proceder a establecer los mecanismos que permitan la identificación de forma inequívoca y personalizada de cada usuario, y la comprobación de que está autorizado (lo más habitual será la utilización de códigos de usuario y contraseña). Todo ello conforme a lo que se haya establecido en el Documento de Seguridad (Fase 2).

Además, se deberá verificar o proceder a establecer los mecanismos para almacenar las contraseñas de forma ininteligible (en la práctica, cifradas) y para forzar el cambio de contraseña con la periodicidad que se determine también en el Documento de Seguridad.

En cuanto al procedimiento de asignación y distribución que garantice la confidencialidad e integridad de las contraseñas, mi propuesta consiste en que éste forme parte del procedimiento de control de acceso a recursos, implantado en la actividad anterior de esta misma fase, y en que se establezcan los mecanismos oportunos para forzar el cambio de contraseña suministrada por defecto por parte del usuario tras su primer acceso.

Un aspecto adicional y que a mí me parece importante es el de establecer también los mecanismos oportunos tanto para evitar que los usuarios puedan utilizar contraseñas débiles (igual que el código de usuario, compuesta por un número no suficiente de caracteres, etc.) y, por tanto, para garantizar que las contraseñas de usuario sean conformes a la normativa interna que se crea conveniente (compuesta por un número mínimo de caracteres, combinación de letras, dígitos y caracteres especiales, etc.), como para evitar que ante su cambio por haber transcurrido el plazo de uso establecido para la contraseña, el usuario utilice la misma que en anteriores períodos de vigencia.

1.1.2. Copias de respaldo y recuperación (artículo 94 del RDLOPD):

Se trata de verificar o proceder a establecer los mecanismos o procedimientos de actuación para la realización, al menos semanalmente, de las copias de seguridad (backup) de los datos, salvo que en dicho período no se hayan actualizado los mismos.

En la actividad anterior de esta misma fase se habrán implantado los procedimientos de: realización de copias de respaldo, recuperación de datos y solicitud de pruebas con datos reales (con objeto de garantizar que éstas se realizan previa copia de seguridad), por lo que en esta actividad únicamente habrá que exigir y verificar que se utilizan y cumplen éstos adecuadamente.

En la normativa recogida en el Documento de Seguridad se deberá indicar qué persona o personas y con que periodicidad, al menos cada seis meses, se encargarán de verificar la correcta definición, funcionamiento y aplicación de los procedimientos de realización de copias de respaldo y de recuperación de los datos, por lo que éste será otro aspecto que habrá que seguir en esta actividad.

1.2. De aplicación a FICHEROS O TRATAMIENTOS NO AUTOMATIZADOS:

1.2.1. Criterios de archivo (artículo 106 del RDLOPD):

Se trata de establecer las pautas básicas para el archivo de la documentación (alfabético, cronológico, etc.), y que en todo caso deberán garantizar la correcta conservación de los documentos, la localización y consulta de la información y posibilitar el ejercicio de los derechos de oposición al tratamiento, acceso, rectificación y cancelación.

Lo habitual para la documentación manejada por pymes y micropymes es que no exista una legislación que fije dichos criterios, por lo que le corresponde a la pyme o micropyme establecer los criterios y procedimientos de actuación que deben seguirse para el archivo (por ejemplo: para el archivo de la documentación del personal – contratos, partes de vacaciones, partes de gastos, solicitudes de acciones formativas, etc. –, para el archivo de curriculums vitae de candidatos a puestos de trabajo, etc.).

Mi propuesta es que estos criterios de archivo se fijen en la Fase 2, “Definir y elaborar Documentación adecuación”, y, por tanto, esta actividad consistirá en asegurarse o proceder a que toda la documentación se archive conforme a los criterios establecidos, y en la exigencia de su utilización y verificación del correcto uso de los mismos.

1.2.2. Dispositivos de almacenamiento (artículo 107 del RDLOPD):

En esta actividad habrá que asegurarse de que todos los dispositivos de almacenamiento de los documentos (armarios, cajones, etc.) que contengan datos de carácter personal disponen de mecanismos que obstaculicen su apertura (llave o mecanismo equivalente) y/o dotar de dichos mecanismos a aquellos que no dispongan de ellos.

1.2.3. Custodia de los soportes (artículo 108 del RDLOPD):

Se trata simplemente de exigir que el personal que accede a la documentación para su revisión o tramitación se involucre en su custodia y utilice los mecanismos puestos a su disposición para evitar el acceso por parte de personal no autorizado (que no haya puestos de trabajo en los que se apilen un montón de documentos con datos de carácter personal, que las mesas queden limpias de documentación en ausencias prolongadas del puesto de trabajo y a la finalización de la jornada laboral, etc.).

Por tanto, en esta actividad se trata sólo de verificar que se cumple el deber de custodiar convenientemente la documentación en proceso de revisión o trámite por parte de los usuarios.

1.3. De aplicación a FICHEROS O TRATAMIENTOS TANTO AUTOMATIZADOS COMO NO AUTOMATIZADOS:

1.3.1. Funciones y obligaciones de los usuarios (artículo 89 del RDLOPD):

Conforme a las fases que propongo, estas funciones y obligaciones se establecen en la Fase 2, “Definir y elaborar Documentación adecuación”, y, por tanto, esta actividad consistirá en exigir que los usuarios cumplen con dichas funciones y obligaciones y en verificar dicho cumplimiento.

1.3.2. Registro de incidencias (artículo 90 del RDLOPD):

Se trata, sin más, de exigir que los usuarios utilicen el procedimiento de notificación, gestión y respuesta ante incidencias implantado en la actividad anterior de esta fase y verificar su correcto uso, tanto por parte de quienes comunican las incidencias, como por parte de las personas responsables de su resolución.

1.3.3. Control de acceso (artículo 91 del RDLOPD):

En el anterior post se habló del procedimiento a implantar para autorizar, modificar o revocar los permisos asignados a los usuarios para el acceso a los recursos, y en esta actividad se trata de implantar las medidas correspondientes para garantizar que los usuarios tengan acceso únicamente a aquellos recursos que precisen para el desarrollo de sus funciones.

Esto implicará tanto establecer los permisos correspondientes en los sistemas de información automatizados (aplicaciones y funcionalidades de las mismas, unidades de red, carpetas compartidas, periféricos, etc.), en base a perfiles y/o códigos de usuario, como el poner a disposición de los usuarios autorizados los mecanismos de acceso a dispositivos de almacenamiento de la documentación, etc.

1.3.4. Gestión de soportes y documentos (artículo 92 del RDLOPD):

Se trata de verificar y/o proceder a establecer los mecanismos pertinentes, que deberán estar convenientemente recogidos en el Documento de Seguridad (Fase 2), para que los soportes y documentos permitan identificar el tipo de información que contienen (etiquetado de soportes y carpetas, etc.).

Los soportes y documentos deberán ser considerados como recursos protegidos y, por tanto, estar convenientemente inventariadas en el Documento de Seguridad y su acceso restringido a personal autorizado, estando sujeta su gestión al procedimiento establecido al efecto e implantado en la actividad anterior de esta fase (fundamentalmente y en lo que respecta a soportes y documentos que contengan datos de ficheros de nivel básico, la correspondiente autorización para su salida fuera de los locales bajo el control del responsable del fichero o tratamiento, siempre y cuando dicha salida no se encuentre debidamente autorizada en el Documento de Seguridad).

Asimismo, en esta actividad se deberá dotar a los usuarios de los dispositivos pertinentes (para el transporte, destructoras de documentos y de soportes magnéticos, etc.) y verificar que se cumple la normativa establecida en el Documento de Seguridad respecto a las medidas a adoptar en el caso de traslado o desecho.

2. NIVEL MEDIO (ver artículo 81 del RDLOPD, apartado 2, para conocer sobre qué ficheros o tratamientos son aplicables las medidas correspondientes a este nivel):

2.1. De aplicación a FICHEROS O TRATAMIENTOS AUTOMATIZADOS:

2.1.1. Identificación y autenticación (artículo 98 del RDLOPD):

Se trata de establecer un mecanismo que limite la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de información.

Típicamente el límite de intentos reiterados de acceso a los sistemas se suele establecer en tres intentos, tras los cuales se procede al bloqueo de la cuenta de usuario y se precisa de la intervención de un Administrador del Sistema autorizado para su desbloqueo.

El bloqueo de una cuenta de usuario deberá recogerse como una incidencia más, a través del procedimiento establecido para ello. Aspecto que también habrá que seguir en esta actividad.

2.1.2. Control de acceso físico (artículo 99 del RDLOPD):

Mi propuesta es que el control del acceso a los lugares donde se hallen instalados los equipos físicos que den soporte a los sistemas de información forme parte integrante del procedimiento de control de acceso a recursos implantado en la fase anterior y, por tanto, también le es de aplicación lo indicado para dicho control de acceso en este post, es decir, se trata de que sólo los usuarios autorizados dispongan de los mecanismos de acceso a dichas ubicaciones.

2.1.3. Registro de incidencias (artículo 100 del RDLOPD):

En la actividad anterior se habrán implantado tanto el procedimiento correspondiente a la notificación, gestión y respuesta ante incidencias, como el correspondiente registro de incidencias. Pues bien, en el caso de verse involucrados en una incidencia datos de carácter personal a partir de nivel medio y ser necesario realizar procesos de recuperación de datos, dicho procedimiento considerará el incluir en el registro de incidencias la información pertinente sobre dichos procesos de recuperación y la previa autorización a su ejecución por parte de la persona designada en el Documento de Seguridad.

Por tanto, en esta actividad sólo habrá que seguir que se cumplan ambos aspectos en caso de ser necesario ejecutar procesos de recuperación de datos.

2.2. De aplicación a FICHEROS O TRATAMIENTOS TANTO AUTOMATIZADOS COMO NO AUTOMATIZADOS:

2.2.1. Responsable de Seguridad (artículos 95 y 109 del RDLOPD):

Se trata de designar a una persona de la propia organización como aquella a la que el responsable del fichero asigna formalmente la función de coordinar y controlar las medidas de seguridad aplicables.

En pymes y micropymes bastará con la designación de una única persona encargada de coordinar y controlar las medidas definidas para la totalidad de los ficheros o tratamientos existentes.

Esta designación debe ser formal, yo recomiendo la utilización de un formulario de designación e incluir éste en el Documento de Seguridad.

Aunque esta medida sólo es obligatoria si se dispone de ficheros a partir del nivel de seguridad medio, yo suelo recomendar que esta designación se lleve a cabo siempres, es decir, aunque sólo se disponga de ficheros de nivel básico, pues en mi opinión es la única forma de realizar un efectivo control, seguimiento y mejora continua de las medidas implantadas, y de que la responsabilidad en esta materia no se diluya en la organización por la falta de una persona responsable de este tema.

2.2.2. Auditoría (artículos 96 y 110 del RDLOPD):

A partir del nivel medio se deberán lleva a cabo auditorías, al menos cada 2 años, para verificar la adecuación de las medidas de seguridad a lo dispuesto sobre ellas en el RDLOPD.

Mis recomendaciones sobre estas auditorías son las siguientes:

• Realizarlas incluso si se dispone únicamente de datos de nivel básico, aunque no exista obligación.

• Si se dispone de ficheros de nivel medio y/o alto, incluir en el ámbito de la auditoría, además de dichos ficheros (sobre los que es obligatorio realizarla), los ficheros de nivel básico.

• Ampliar el alcance de esta auditoría para incorporar también las verificaciones pertinentes sobre otras disposiciones legales y reglamentarias (deber de informar, solicitud del consentimiento de los interesados, etc.).

• Realización con personal interno en el caso de disponerse sólo de ficheros o tratamientos de nivel básico y con personal externo en el caso de verse involucrados ficheros o tratamiento de nivel medio y/o alto.

2.2.3. Gestión de soportes y documentos (artículos 97 del RDLOPD):

En la actividad anterior se habrá implantado el procedimiento correspondiente a la gestión de soportes y documentos, y que, en el caso de datos de carácter personal a partir de nivel medio, considerará el mantener actualizado el registro que reglamentariamente se exige en el caso de entradas y salidas de soportes y documentos.

Por tanto, el registro de Entrada/Salida de soportes y documentos también se habrá implantado en la fase anterior, siendo objeto de esta actividad exigir y verificar una utilización correcta tanto de dicho procedimiento, como del mencionado registro de Entrada/Salida.

3. NIVEL ALTO (ver artículo 81 del RDLOPD, apartado 3 y siguientes, para conocer sobre qué ficheros o tratamientos son aplicables las medidas correspondientes a este nivel):

3.1. De aplicación a FICHEROS O TRATAMIENTOS AUTOMATIZADOS:

3.1.1. Gestión de soportes y documentos (artículo 101 del RDLOPD):

Se trata de implantar las herramientas técnicas y/o mecanismos necesarios para el cifrado de la información en el caso de: distribución de soportes y dispositivos portátiles que se utilicen fuera de las instalaciones del responsable del fichero, si se precisa dar la correspondiente formación para su utilización, y exigir y verificar su uso.

3.1.2. Copias de respaldo y recuperación (artículo 102 del RDLOPD):

Se trata de proceder a conservar una copia de respaldo y de los procedimientos de recuperación de los mismos en una ubicación diferente de la que se encuentran los equipos informáticos que los tratan o, en el caso de que no sea posible guardar una copia de los ficheros en un lugar distinto y no sujeto a los mismos riesgos, adoptar medidas complementarias para paliar el riesgo, tales como: ubicar la copia en armarios ignífugos, implantación de sistemas antiincendio, etc.

3.1.3. Registro de accesos (artículo 103 del RDLOPD):

Se trata de implantar los mecanismos que permitan el registro de accesos exigido por el RDLOP y que el responsable de seguridad revise, al menos una vez al mes, la información de control registrada y elabore un informe de las revisiones realizadas y los problemas detectados.

Los mecanismos a implantar para cumplir con esta obligación, en mi opinión la exigencia más difícil de cumplir adecuadamente de toda la normativa, pueden ser múltiples y muy diversos (por software en las propias aplicaciones, utilizando herramientas de los gestores de bases de datos, etc.).

Los responsables de ficheros que sean personas físicas y siempre que únicamente y exclusivamente esa persona física acceda y trate los datos personales están exentos de cumplir esta medida. De esta forma, por ejemplo, los autónomos que sólo accedan y traten ellos los datos no estarían obligados a cumplirla.

3.1.4. Telecomunicaciones (artículo 104 del RDLOPD):

Se trata de implantar las herramientas técnicas y/o mecanismos necesarios para el cifrado de la información en el caso de la transmisión de datos de carácter personal a través de redes públicas o redes inalámbricas de comunicaciones electrónicas, si se precisa dar la correspondiente formación para su utilización, y exigir y verificar su uso.

3.2. De aplicación a FICHEROS O TRATAMIENTOS NO AUTOMATIZADOS:

3.2.1. Almacenamiento de la información (artículo 111 del RDLOPD):

En esta actividad habrá que asegurarse de que todas las áreas en las que se encuentren los dispositivos de almacenamiento de los documentos (armarios, archivadores, etc.) que contengan datos de carácter personal disponen de puertas de acceso dotadas de sistemas de apertura (llave o mecanismo equivalente) y/o dotar de dichos mecanismos a las puertas de acceso que no dispongan de ellos.

En el caso de que, debido a las características de los locales, no fuera posible cumplir con lo anterior, deberán estudiarse e implantar medidas alternativas que, debidamente motivadas, deberán figurar en el Documento de Seguridad.

Además, yo creo que es importante y, por tanto también sería objeto de esta actividad, verificar que se satisfagan los siguientes requisitos:

• Estas ubicaciones o áreas permanezcan cerradas cuando no se precise el acceso a la documentación.

• Estas áreas deberán ser consideradas como un recurso protegido más y, por tanto, estar convenientemente inventariadas en el Documento de Seguridad y su acceso restringido a personal autorizado, estando sujeto dicho acceso, tanto al procedimiento de control de acceso a recursos del que se habló en el post anterior, como a lo indicado sobre este mismo asunto en este post.

• En el caso de que, por cualquier motivo esporádico, exista la necesidad de acceso a estas áreas por personal externo, su permanencia temporal en estas ubicaciones deberá estar supervisada en todo momento por personal interno autorizado.

3.2.2. Copia o reproducción (artículo 112 del RDLOPD):

Se trata de verificar que la generación de copias o la reproducción de los documentos únicamente sea realizada bajo el control del personal autorizado en el Documento de Seguridad y de que se proceda a la destrucción de las copias o reproducciones desechadas conforme a la normativa también establecida en el Documento de Seguridad.

3.2.3. Acceso a la documentación (artículo 113 del RDLOPD):

Esta documentación deberá ser considerada como un recurso protegido más y, por tanto, estar convenientemente inventariadas en el Documento de Seguridad y su acceso restringido a personal autorizado, estando sujeto dicho acceso al procedimiento de control de acceso a recursos del que se habló en el post anterior.

En el caso de documentos que puedan ser utilizados por múltiples usuarios se deberán establecer los mecanismos que permitan identificar los accesos realizados. En mi opinión, la forma más fácil de cumplir este requisito es la de establecer plantillas básicas en soporte papel para recoger la información sobre los accesos e incorporarlas al inicio de las carpetas, archivadores etc. que contengan los documentos a los que se va a acceder, aunque caben también otras soluciones.

Por tanto, en esta actividad se trata de ir verificando que se van cumpliendo los requisitos aplicables y detallados en el Documento de Seguridad.

3.2.4. Traslado de documentación (artículo 114 del RDLOPD):

Se trata de verificar que, en el caso de que se proceda al traslado físico de la documentación, se adopten las medidas recogidas en el Documento de Seguridad con objeto de impedir el acceso, manipulación de la información objeto de traslado o pérdida de la misma.

Medidas típicas en este sentido son: realizar dichos traslados en sobres o contenedores debidamente cerrados, sellados o precintados, identificar cada uno de ellos con el número de sobre o contenedor con respecto al total de sobres o contenedores que van a ser objeto de traslado, etc. y, en mi opinión, otra medida adicional que considero importantes es su almacenamiento en un dispositivo o área segura hasta el momento en el que se inicie el traslado y/o después de la recepción y hasta su entrega al destinatario.

Por supuesto, cualquier incidencia que se detecte en el traslado físico de la documentación estará sujeta al procedimiento de notificación, gestión y respuesta ante incidencias establecido en el Documento de seguridad e implantado en la actividad anterior de esta misma fase.



Con este post finalizo esta serie, cuyo único objetivo ha sido, tanto contribuir a divulgar de una forma comprensible la normativa vigente en materia de protección de datos, como aportar mi granito de arena para facilitar la adecuación de pymes y micropymes a dicha normativa, dándome por satisfecho si esto ha servido a alguna de ellas para abordar dicha adecuación o aclarar dudas al respecto.

Por lo dicho, debe quedar claro que esta modesta guía no ha pretendido tratar de una forma exhaustiva las exigencias de la normativa, sino aportar mi visión sobre los aspectos más básicos de la misma, e incluso que hay otros aspectos que no he tratado en estos posts (grupos de empresas, transferencias internacionales de datos, etc.) y que, en función de la actividad de la pyme o picropyme concreta, podría ser necesario abordar. Es más, en base a la problemática que se plantee en cada caso, creo que podría ser muy aconsejable contar con asesoramiento externo especializado a la hora de abordar un proyecto de adecuación a la LOPD.

Para finalizar, indicar determinados links con información que considero puede ser muy interesante a la hora de acometer un proyecto de adecuación a la LOPD:

- Agencia Española de Protección de Datos (https://www.agpd.es/):

• “Guía de Seguridad de Datos 2010”. NUEVO!

• Guía Modelo de “Documento de Seguridad”. NUEVO!

• “Guía del Responsable de Ficheros”.

• “Guía. La protección de datos en las relaciones laborales - 2009”.

• “Guía de videovigilancia - 2009”.

Todas las guías se pueden descarga de:

https://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/index-ides-idphp.php

- Instituto Nacional de Tecnologías de la Comunicación (http://www.inteco.es/):

• “Guía para empresas: cómo adaptarse a la normativa sobre protección de datos” (http://www.inteco.es/Seguridad/Observatorio/manuales_es//GuiaManual_LOPD_pymes).

9 comentarios:

  1. Buenas tardes. Una vez leídos todos los capítulos, por cierto agradezco enormemente su aportación, me ronda una duda en el tema del deber de informar. Si yo tengo 200 clientes y proveedores, ¿tengo que enviar a cada uno de ellos una circular informándoles de que voy a hacer un tratamiento de sus datos? Los datos que yo manejo son los de razón social, NIF ó CIF, direccíón, teléfono y número de cuenta del banco.
    No me aclaro, ya que esos datos los tengo hace años. Mis clientes y proveedores son autónomos y empresas.
    Saludos, J.J

    ResponderEliminar
  2. Buenas tardes J.J.

    Dos aclaraciones antes de contestarte:

    En principio la LOPD sólo afecta a los datos que se tengan sobre personas físicas. Es decir, sobre los datos de empresas que me comentas (CIF, razón social, teléfono de la empresa, etc.) no sería de aplicación la LOPD y, por tanto, tampoco el deber de informar que en ella se recoge.

    En tu caso, por los datos que dices manejar, únicamente tendrás que aplicar la LOPD (deber de informar incluido) sobre los datos de los autónomos (ya que dispones de su NIF, número de cuenta bancaria, etc.) y yo te recomiendo que también sobre las personas de contacto de las empresas (sobre éstas últimas porque igual dispones de teléfono móvil particular, dirección de correo electrónico particular, etc).

    Ahora bien, yo no he visto nunca mandar la circular que comentas. Lo que sí te aconsejo es que a partir de que hagas la adecuación a la LOPD, como indica la Ley, cuando utilices formularios u otros impresos para recabar datos de carácter personal (por tanto, insisto que de personas físicas)incluyas la leyenda con todo lo que indica el artículo 5.

    Además, te aconsejo que incluyas la leyenda correspondiente también en los mensajes de correo electrónico y, si recabas información por la página web de tu empresa, en los formularios web donde solicites datos de carácter personal.

    Un saludo,

    ResponderEliminar
  3. Hola. Acabo de mandar la notificación para inscribir los ficheros, una de nóminas y otra de clientes y/o proveedores. ¿dónde puedo encontrar ejemplos de leyendas para añadir a los documentos y emails? ¿En qué documentos me recomiendas que ponga esas leyendas? ¿lo pongo en facturas, contratos, correos electrónicos, ?
    Otra cosa, ¿cómo hago para informar a los empleados y a clientes/proveedores de los cuales tengo sus datos desde hace años, o no hace falta hacer nada? Me lio un poco con lo de deber de informar.
    gracias

    ResponderEliminar
  4. Hola de nuevo. Se me olvidó una cosa. Si yo tengo contratada una empresa para los temas de Prevención de Riesgos Laborales ¿hay que redactar algún documento específico para los trabajadores para informarles ya que cedemos sus datos? ¿y los datos que se ceden a la mutua para accidentes de trabajo?

    ResponderEliminar
  5. Para terminar una pregunta tonta. Mi fichero de cloiente/proveedores está por un lado informatizado pero también hay facturas en papel. ¿puedo notificar un fichero automatizado y otro no automatizado o tengo que notificarlo como mixto? lo mismo pasa con los empleados, ya que tengo archivadas las nóminas en papel. Esto te lo pregunto porque he mandado las notificaciones por separado, automatizado por un lado y no automatizado por otro. Espero que no pase nada. Gracias y perdona las molestias.

    ResponderEliminar
  6. Buenas noches Anónimo:

    Con respecto a tu primer comentario sobre el deber de informar y como era un poco largo contestarte, a su vez, en forma de comentario, he incluido un post, Ayuda LOPD (I): Leyendas cumplimiento deber de informar, en el que intento dar respuesta a las preguntas que me planteas.

    Como verás en él, no es que sea muy complejo el tema del deber de informar, pero es difícil precisar más e incluso considerar todas las posibilidas (la problemática es muy diversa) sin disponer de una información más detallada de los ficheros con datos de carácter personal de los que diponéis y de los tratamientos de los mismos que realizáis.

    Espero que te sirva de algo. No obstante, si nececesitas más aclaraciones y/o me aportas un poco más de información, intentaré orientarte en la medida que sea capaz.

    Un saludo y muchas gracias,

    ResponderEliminar
  7. Muchas gracias por todo, ahora lo tengo más claro. En cuanto a la otra cuestión, ¿qué me puedes decir?

    "Para terminar una pregunta tonta. Mi fichero de cloiente/proveedores está por un lado informatizado pero también hay facturas en papel. ¿puedo notificar un fichero automatizado y otro no automatizado o tengo que notificarlo como mixto? lo mismo pasa con los empleados, ya que tengo archivadas las nóminas en papel. Esto te lo pregunto porque he mandado las notificaciones por separado, automatizado por un lado y no automatizado por otro. Espero que no pase nada. Gracias y perdona las molestias. "

    ResponderEliminar
  8. Buenas otra vez Anónimo:

    Como respuesta a tu segunda pregunta, sobre las cesiones a mutuas, ... en temas de vigilancia de la salud, prevención de riesgos laborales, etc., efectivamente, tal y como se ve en las cláusulas del post que te he comentado, tendrías que tenerlas en cuenta a la hora de informar a los trabajadores. Siempre hay que informar de TODOS los posibles cesionarios (y obtener el consentimiento para ello, SÓLO cuando así se precise, básicamente, si no hay habilitación legal para ello y la cesión no está entre los supuestos para los que la propia LOPD establece que no es necesario el consentimiento).

    En cuanto a redactar un documento específico para informar a los trabajadores en algunos supuestos concretos de cesión, creo que esto depende un poco del "gusto del consumidor", según las cesiones concretas de que se trate,... , aunque yo suelo recomendar, en el caso de empleados y cuando sea posible, aprovechar el anexo a contrato de trabajo que comento para informar de todos los aspectos.

    En cuanto a la tercera pregunta, redactaré en breve un post para contestarte, "Ayuda LOPD (II): Declaración de ficheros".

    Un saludo y muchas gracias,

    ResponderEliminar
  9. Buenas otra vez Anónimo:

    Hasta que cuelgue el post que te he comentado, espero que hoy mismo, y para que estés tranquilo, te adelanto que no creo que pase nade por haber declarado dos veces un fichero, uno como automatizado y otro como no automatizado. Evidentemente, entiendo que no es lo más correcto, pero como digo no creo que te pongan ningún problema para inscribirlos en el Registro General de Protección de Datos.

    Además, aunque te pusieran alguna pega, esto es muy fácilmente subsanable, tanto ahora como posteriormente.

    No obstante esta contestación, colgaré el post que te digo con objeto de clarificar un poco qué es un fichero, por si le puede servir a alguien más.

    Un saludo y muchas gracias,

    ResponderEliminar