Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

Sugerencias sobre el transporte de expedientes que forman parte

Anuncio 
SEGURIDAD EN EL TRASLADO DE EXPEDIENTES MANUALES
En este documento se pretende dar una serie de consejos sobre el uso y transporte de
expedientes que forman parte de un fichero de datos de carácter personal con sistema de
tratamiento manual estructurado o mixto, que contiene datos especialmente protegidos o
con contenido sensible.
Estas recomendaciones están destinadas fundamentalmente a los profesionales que por
su función se desplazan a diferentes lugares con expedientes que contienen datos de
carácter personal especialmente protegidos.
Así, los componentes de los equipos de orientación, en sus diferentes ramas, deben
atender a centros educativos situados en distintos municipios y, en la mayoría de los
casos, los datos que contienen los expedientes son de menores y pueden contener datos
relativos a la situación familiar y salud del menor.
También es el caso de los asistentes sociales pertenecientes a una mancomunidad que
abarca varios municipios, ya que la información existente en la historia social
contempla datos que por su sensibilidad necesitan un especial tratamiento.
Por tal motivo hacemos referencia a lo largo del documento a estos dos colectivos, sin
perjuicio de la utilidad que pueda tener para colectivos que se encuentren en situación
similar.
Los ficheros mixtos contienen información en parte en soporte informatizado y en parte
en soporte manual, que conjuntamente forman un tratamiento de datos con una finalidad
determinada.
En la parte referente al tratamiento en soporte informatizado se deben seguir las normas
básicas sobre el uso de ordenadores portátiles y pendrives que se encuentran en esta
guía. En el uso de estos últimos, si contienen información con datos especialmente
protegidos, se deben observar unas medidas muy específicas, como son el acceso a la
información del soporte mediante clave, cifrado de la información sensible, o bien
aplicar otros sistemas de seguridad existentes en el mercado, que en el caso de pérdida,
robo o cualquier otro incidente, asegure la imposibilidad de acceso a los datos por parte
de terceros.
Para dar respuesta a esa inquietud se facilitan una serie de consejos que pueden servir
para que, en caso de sufrir algún tipo de incidencia de las anteriormente mencionadas,
los datos de las personas afectadas no se vean comprometidos y, además, se pueda
atenuar en lo posible la responsabilidad del profesional bajo cuya custodia se encuentra
la información.
1.- Custodia de la información.
Los expedientes con datos especialmente protegidos tratados por los
profesionales deben estar ubicados en un lugar centralizado (registro
centralizado de expedientes), distinto al general de la organización, es decir, en
el caso de un Ayuntamiento o Mancomunidad, los expedientes estarán
custodiados en un lugar independiente del registro general. En el caso de los
centros educativos, también en un lugar diferente al registro general del centro.
Dicho entorno debe de ser un lugar cerrado con puerta cuya apertura se realizará
mediante llave y que contendrá armarios cerrados o cualquier otro sistema que
impida su acceso a personas no autorizadas y que garantice la seguridad de su
contenido.
La clasificación y archivo de los expedientes se hará de forma que impida a una
persona no autorizada el acceso fácil a la identidad de las personas a las que los
mismos se refieren, por ejemplo, mediante la utilización como clave de archivo
de un número de expediente compuesto por datos alfanuméricos. Ese número de
registro es el que establece la relación con la identidad del titular de los datos y
solamente será conocido por los profesionales que, por las funciones que
realizan, necesariamente deban tratar la información.
La relación de número de expediente con los datos completos del titular del
mismo se custodiarán en la ubicación del responsable del tratamiento y cada
trabajador autorizado tendrá la relación de los expedientes necesarios para el
desarrollo de su trabajo. Esta relación deberá estar custodiada bajo llave y será el
responsable del tratamiento el que asignará los permisos de acceso. Otro medio
de custodiar esta información es a través de un equipo informático, aplicándole
las necesarias medidas de cifrado o cualquier otra que garantice la
confidencialidad de la información y la resguarde de accesos no autorizados.
El responsable del tratamiento llevará una relación de todas las personas
pertenecientes a la organización que puedan acceder a los expedientes, cada uno
con su perfil de acceso.
Cada puesto de trabajo de los profesionales con autorización para tratar los
expedientes dispondrá de medios organizativos que puedan garantizar la
custodia y confidencialidad de la información que en ese momento esté tratando,
como, por ejemplo, armario con llave, cajones con llave, etc. De no disponer de
esos medios, se deberá guardar la información en el lugar donde la misma se
encuentre centralizada.
2.- Procedimiento de salida de soportes.
La salida de expedientes fuera del lugar considerado como centro de operaciones
deberá estar autorizada por el responsable de fichero y se hará conforme a un
procedimiento en el que se haga constar:
Nº expediente
Identidad y firma de la persona que recoge el expediente.
Fecha de recogida.
A partir de ese momento se informa a la persona a la que se le da traslado del
expediente que éste se encuentra bajo su responsabilidad.
Formato del expediente.
El expediente constará de portada y cuerpo.
En la portada se harán constar:
Número de expediente que lo relacionará con el cuerpo.
Todos los datos identificativos de la persona o personas objeto del expediente,
así como aquellos datos relacionados con la identidad de las personas que sean
necesarios.
En el cuerpo del expediente constarán todas aquellas actuaciones que el
profesional considere oportunas. En caso de tener que añadir información
procedente de otra persona distinta al titular, se incluirán datos relativos a
parentesco o de relación, por ejemplo padre, madre, amigo, tío, etc., sin indicar
en ningún momento datos que puedan facilitar la identificación de la persona en
cuestión.
La portada irá en carpeta u otro medio distinto al cuerpo del expediente para que,
en caso de pérdida, robo u otra incidencia, no se puedan relacionar ambas
(portada y expediente).
Es aconsejable que exista una copia del expediente en el registro de la
organización accesible exclusivamente por el personal autorizado.
Protección de la identidad de los afectados mediante medidas de seguridad
técnicas.
1. “Disociación” de los datos personales de los ficheros manuales mediante un
número de identificación.
Se trata de disociar la información personal de los ficheros o expedientes en papel que
el profesional tiene la necesidad de transportar consigo al lugar donde se encuentra la
persona titular de los datos o la información para llevar a cabo su tarea. De esta
forma, en caso de pérdida de los documentos, el riesgo de revelación de datos
personales se reduciría pues en el fichero no se encontrarían datos que permitiesen
directamente conocer la identidad de la persona a la que se refiere el expediente.
Dicha disociación se podría realizar mediante un número identificador que tendría el
titular de la información y que se correspondería con su expediente respectivo.
La función del número de identificación es sustituir todos los datos personales que
pudiesen aparecer en el fichero en soporte papel que vaya a ser objeto de traslado. Los
números de identificación y los correspondientes datos identificativos estarían en un
fichero digital accesible a través de Internet y protegido con todas las medidas de
seguridad necesarias, al que solo la persona que legítimamente tuviese que tratar los
datos personales pudiera acceder para constatar la correspondencia entre el número
identificador que tiene en su fichero de soporte papel y los datos personales del sujeto al
que el número identificador se refiere.
De esta forma, en caso de pérdida del fichero en soporte papel, el tercero que encontrase
dicho fichero no podría conocer directamente la identidad de la persona a la que se
refieren los datos que figuran en el mismo.
2. “Disociación” de los datos personales de los ficheros manuales mediante un
código QR o de barras con autentificación por contraseña.
En este caso la finalidad es la misma que en el apartado anterior pero sustituyendo el
fichero digital que contiene los números de identificación por un código de barras o un
código QR que se imprime o adjunta en el fichero en soporte papel. Este código puede
ser leído mediante cualquier dispositivo móvil “inteligente” con la correspondiente
aplicación instalada. Una vez que el lector de códigos QR reconociese los datos, antes
de mostrarlos, deberá solicitar una contraseña.
Una ventaja añadida de este tipo de códigos es que posibilitan tener un registro de
cada lectura que se realice, recogiendo datos como día y hora que fue leído, país,
ciudad, dispositivo desde el que se leyó y la IP pública. De este modo, el responsable
del fichero puede consultar el registro de los accesos que ha tenido determinado
expediente y comprobar así que no han existido intromisiones ilegítimas.
A continuación mostramos un ejemplo de un código QR.
3. Registro y Copia de Seguridad
Medidas de Seguridad para ficheros no automatizados o manuales establecidas por
Ley.
En el Título VIII del Real Decreto 1720/2007, de 21 de diciembre, en el Capítulo IV
“Medidas de seguridad aplicables a ficheros y tratamientos no automatizados”
encontramos en sus Secciones Primera, Segunda y Tercera las medidas de seguridad
para los niveles básico, medio y alto de los ficheros de datos de carácter personal.
1. Medidas de Seguridad de Nivel Básico (Artículos 105-108).
• Elaboración de un Documento de Seguridad.
• Funciones y obligaciones del personal.
• Identificación, Registro y Gestión de Incidencias.
• Control de acceso.
• Gestión de soportes.
• Criterios de archivo.
• Dispositivos de almacenamiento.
• Custodia de Soportes.
2. Medidas de Seguridad de Nivel Medio (Artículos 109-110).
• Elaboración de un Documento de Seguridad, aunque con más requisitos que en
el caso anterior.
• Funciones y obligaciones del personal (igual que Nivel Básico).
• Identificación, Registro y Gestión de Incidencias (igual que Nivel Básico).
• Control de acceso (igual que Nivel Básico).
• Gestión de soportes (igual que Nivel Básico).
• Criterios de archivo (igual que Nivel Básico).
• Dispositivos de almacenamiento (igual que Nivel Básico).
• Custodia de Soportes (igual que Nivel Básico).
• Responsable de Seguridad.
• Auditorías.
3. Medidas de Seguridad de Nivel Alto (Artículos 111-114).
• Elaboración de un Documento de Seguridad (igual que Nivel Medio).
• Funciones y obligaciones del personal (igual que Nivel Básico).
• Identificación, Registro y Gestión de Incidencias (igual que Nivel Básico).
• Control de acceso (igual que Nivel Básico).
• Gestión de soportes (igual que Nivel Básico).
• Criterios de archivo (igual que Nivel Básico).
• Dispositivos de almacenamiento (igual que Nivel Básico).
• Custodia de Soportes (igual que Nivel Básico).
• Responsable de Seguridad (igual que Nivel Medio).
• Auditorías (igual que Nivel Medio).
• Almacenamiento de la documentación (Control de acceso físico).
• Copia o reproducción.
• Acceso a la Documentación (Registro de acceso).
• Traslado de la Documentación.
Para un análisis más detallado de todas ellas, de la forma de implantarlas y de las
obligaciones que las mismas entrañan tanto para los responsables de los ficheros y
tratamientos de datos personales, los encargados de datos personales y de todas las
personas –usuarios- que por su actividad laboral o profesional acceden a ellos y los
tratan, se puede consultar la parte general de este documento así como la publicación
Seguridad y protección de datos personales de la Agencia de Protección de Datos de la
Comunidad de Madrid.
Documentos relacionados
RESULTADOS 2 DE BECAS MADRES SOLTERAS
RESULTADOS 2 DE BECAS MADRES SOLTERAS
Preparación de Documentos
Preparación de Documentos
álvarez,a( eto c verg ra otelli real oi calli calle. aten urviola iiani
álvarez,a( eto c verg ra otelli real oi calli calle. aten urviola iiani
u) Los decretos y expedientes relativos a las
u) Los decretos y expedientes relativos a las
SOLICITUD DE ACCESO Propósito: Este formulario será - Triple-S
SOLICITUD DE ACCESO Propósito: Este formulario será - Triple-S
RESOLUCION ADOPTADA POR EL TRIBUNAL DE CUENTAS
RESOLUCION ADOPTADA POR EL TRIBUNAL DE CUENTAS
AUTORIZACION DE THE MIAMI MEDICAL CENTER PARA
AUTORIZACION DE THE MIAMI MEDICAL CENTER PARA
4789
4789
Descargar
Anuncio
Anuncio