jueves, 29 de marzo de 2012

Plazo de conservación de datos personales

Aunque no existe una regla fija que determine el plazo de conservación de datos personales, el informe 0408/2010 de la  AEPD resuelve la consulta planteada sobre el plazo legalmente establecido para poder proceder a la destrucción de la documentación obrante en sus ficheros.

De dicho informe jurídico se extrae que resulta imposible establecer una enumeración taxativa de los periodos en que el dato habrá de permanecer bloqueado, está deberán fundamentarse en lo dispuesto “en las disposiciones aplicables” o a la “atención de las responsabilidades nacidas del tratamiento”. 

Los datos deberán, pues, cancelarse una vez hayan dejado de ser necesarios para la finalidad para la que se recabaron.  

Primero deberán mantenerse bloqueados, al menos durante el tiempo necesario para la prescripción de las acciones que pudieran derivarse de la relación jurídica que vincula a las dos partes, así como los derivados de la normativa tributaria, el plazo de prescripción de 3 años de la Ley Orgánica de Protección de Datos, o los establecidos en otras normas con rango de Ley que resulten de aplicación al caso.

Por último, una vez hayan transcurrido dichos plazos, se deberán suprimir los datos.

Para cualquier cuestión al respecto, póngase en contacto con el Instituto Nacional de Protección de Datos (INPD), resolveremos sus dudas y estudiaremos su caso concreto.

jueves, 22 de marzo de 2012

Cómo desechar soportes que contengan datos personales


Siempre que se deseche cualquier soporte o documento que contenga datos personales, debe procederse a su borrado o destrucción. Desde la AEPD nos ofrecen algunos consejos para eliminar datos personales presentes en documentos físicos o digitales.
En el caso de documentos en papel, se deberán desechar pasándolos por una trituradora de papel que los destruya totalmente (o procedimiento similar), haciendo imposible la posterior recuperación de la información que contenían.
Para soportes y documentos electrónicos, se debe utilizar alguna de las abundantes herramientas que existen para realizar un borrado seguro de la información, de forma que sea totalmente imposible realizar un recuperado posterior.
Este proceso de destrucción y borrado es de aplicación también a los equipos informáticos obsoletos que se desechan, ya que antes de deshacerse de ellos o destinarlos a otro fin, se debe eliminar toda la información que contienen a través de alguna herramienta de borrado seguro de disco que haga imposible recuperar su contenido. Nunca debe depositarse un equipo obsoleto en el punto limpio sin antes borrar de forma segura la información que contenía.

Fuente:  Boletín LOPD en la empresa

jueves, 15 de marzo de 2012

¿Se pueden tener varios Documentos de Seguridad?

Tal y como establece el RD1720/2007, el responsable del fichero o tratamiento, deberá elaborar un Documento de Seguridad que recogerá las medidas de índole técnica y organizativas acordes a la normativa de seguridad vigente, y será de obligado cumplimiento para el personal con acceso a los sistemas de información.

El Documento de Seguridad podrá ser único y que comprenda todos los ficheros y tratamientos, o elaborar distintos documentos individualizados por cada fichero o agrupando varios según las características de la organización. Debe ser “manejable”, ya que exige de una actualización regular.  

De esta forma, se podrán elaborar documentos:
  • Por fichero o tratamiento.
  • Por áreas funcionales.
  • Por áreas geográficas.
  • Por sistemas de tratamiento. 
En todo caso, el Documento de Seguridad tendrá carácter de documento interno de la organización, y se puede elaborar con el criterio que mejor convenga, pero no podemos olvidar que debe estar actualizado en todo momento. Cuanta más dispersión exista, mayor dificultad presentará su actualización.

El Documento de Seguridad deberá estar a disposición de la AEPD en caso de que llegase a requerirlo.

jueves, 8 de marzo de 2012

Sanción por no atender la baja de servicio de comunicaciones por sms

En cada comunicación comercial electrónica que se envíe a un destinatario, debe indicarse el procedimiento para que el usuario pueda darse de baja de la suscripción y dejar de recibir dichas comunicaciones.
El boletín "LOPD en la empresa" recoge un procedimiento sancionador PS/00307/2011 de la Agencia Española de Protección de Datos (AEPD) que ejemplifica la sanción que puede sufrir una entidad por no hacer caso a una revocación del consentimiento prestado para recibir sms.
En este caso, el usuario que presenta la reclamación declara que, tras haber sido usuario de una página de contactos, ha estado recibiendo sms sin autorización. Y, a pesar de haber solicitado reiteradamente no recibir más mensajes, ha continuado recibiéndolos. 
Durante la actuación inspectora de la AEPD ha quedado acreditado que el usuario intentó por varios medios oponerse a la recepción de sms, sin que sus esfuerzos dieran resultado, y pese a haber recibido un mensaje confirmando su baja.
A este respecto, el usuario presentó alegaciones relativas a la carencia de requisitos formales en la solicitud de cancelación realizada por el denunciante, concretamente por la ausencia de acreditación de la identidad. Mientras que la regulación que cita la entidad denunciada se refiere a la normativa de Protección de Datos de Carácter Ppersonal, en este caso, nos encontramos ante un incumplimiento de los derechos de los usuarios de servicios de telecomunicaciones que tutela la Ley de Servicios de la Sociedad de Información (LSSI).
En concreto, ni se ofrecía un medio de oposición en cada comunicación comercial, ni se hizo caso al denunciante cuando manifestó esta oposición por otros medios.
Como resultado, la empresa denunciada obtuvo una sanción de 30.001 euros por una infracción del artículo 21 de la LSSI, tipificada como grave.
En INPD te asesoramos acerca de los requerimientos oportunos para que tu empresa no incumpla ninguna de las normativas vigentes, evitando costes jurídicos y sanciones.
Imagen: boletín "LOPD en la empresa"

jueves, 1 de marzo de 2012

Consejos para proteger el acceso a los datos de carácter automatizado (parte II)

 
Hace poco hablábamos de la protección de datos en formato automatizado. Hoy seguimos abordando esta cuestión, recordando que no es suficiente con tener documentados los procedimientos en el Documento de Seguridad, sino que deben cumplirse dichos procedimientos. 

Por tanto, es necesario proteger el acceso a los recursos del servidor, a las aplicaciones y a los puestos de trabajo.
  • Proteger el acceso a los recursos del servidor. Los recursos (carpetas compartidas, aplicación de gestión, etc.) del servidor donde se ubiquen datos personales no deben tener, por defecto, el acceso permitido a nadie. Posteriormente se irá concediendo acceso a los usuarios autorizados que se den de alta.
  • Proteger el acceso a las aplicaciones. Para poder acceder cualquiera de las aplicaciones que utilice la organización en las cuales se traten datos personales, se debe introducir el nombre de usuario la contraseña asociada al mismo.
  • Proteger el acceso a los puestos de trabajo. Se debe limitar el acceso al sistema operativo de los puestos de trabajo a los usuarios debidamente autorizados. No se debe poder acceder a ningún sistema sin introducir el correspondiente nombre de usuario y contraseña de acceso o cualquier otro método alternativo que garantice que la persona que está accediendo está autorizada a hacerlo.