Obligaciones de protección de datos del personal del despacho


Décimotercera entrega de la serie de artículos sobre protección de datos personales en los bufetes de abogados en la que les comentaré lo relativo a las funciones y obligaciones del personal del despacho jurídico respecto de los datos personales.

Obligaciones de protección de datos del personal del despacho

Obligaciones de protección de datos del personal del despacho

El personal que tenga acceso a información propiedad del despacho jurídico, y especialmente a datos de carácter personal, entendiéndose por tal cualquier información concerniente a personas físicas identificadas o identificables, tendrá una serie de obligaciones de protección de datos personales propiedad del despacho jurídico y estará obligado a conocer y a observar las medidas, normas, procedimientos, reglas y estándares que afecten a las funciones que desarrolla en el despacho. Se debe acreditar por parte del despacho jurídico la comunicación de todo este conjunto de normas a sus empleados, ya que su no observancia es motivo de despido procedente, al margen de otras responsabilidades que puedan derivarse.

Propiedad intelectual

Estas obligaciones de protección de datos personales establecen que quedará estrictamente prohibido al personal del despacho jurídico:

  1. El uso de programas informáticos sin la correspondiente licencia. Los programas informáticos propiedad del despacho están protegidos por la propiedad intelectual y por tanto estará estrictamente prohibida su reproducción, modificación, cesión o comunicación sin la debida autorización.
  2. El uso, reproducción, cesión, transformación o comunicación pública de cualquier otro tipo de documentación o información protegida por la propiedad intelectual o por las normas de uso del despacho sin la debida autorización.

De ello se deriva que debe existir una relación de programas informáticos con licencia de uso en el despacho, además de una relación de información protegida por propiedad intelectual.

Control de acceso físico

Estas obligaciones de protección de datos personales establecen que las normas en cuanto al acceso físico a las instalaciones que almacenan la información, tanto si son automatizadas (sistemas informáticos) como si están en formato no automatizado (dispositivos de almacenamiento) serán:

  1. El acceso a las instalaciones donde se encuentren los sistemas de información y los dispositivos de almacenamiento se realizará previo paso por un sistema de restricción de acceso físico.
  2. El acceso al lugar donde se almacene la información confidencial propia del despacho jurídico o bajo su supervisión estará restringido exclusivamente al personal autorizado. El personal no autorizado sólo podrá acceder a dichas localizaciones previa autorización especial por escrito y bajo la vigilancia de personal autorizado.

Confidencialidad de los datos de carácter personal

Estas obligaciones de protección de datos personales establecen que todas las personas deberán guardar el debido secreto y confidencialidad sobre los datos que conozcan en el desarrollo de su trabajo. Se deberá mantener absoluta discreción y confidencialidad sobre los datos directamente contenidos en soportes informáticos, listados u otro material que contenga información de carácter personal, así como la contenida en los expedientes administrativos.

Los usuarios deberán proteger, en la medida de sus posibilidades, los datos de carácter personal a los que tienen acceso contra revelaciones no autorizadas o accidentales, modificación, destrucción o mal uso, cualquiera que sea el soporte en que se encuentren contenidos los datos.

El Responsable del Fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal estarán obligados al secreto profesional respecto de los mismos y al deber de guardarlos. Estas obligaciones subsistirán aún después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.

Uso apropiado de recursos informáticos

Estas obligaciones de protección de datos personales establecen que los recursos informáticos del despacho jurídico (datos, aplicaciones, sistemas de comunicación, etc) estarán disponibles exclusivamente para cumplir las obligaciones y propósito de la operativa para la que fueron diseñados e implantados. Por lo tanto queda terminantemente prohibido:

  1. El uso de los recursos propios del despacho jurídico o bajo su supervisión para actividades no relacionadas con las finalidades de la misma.
  2. La instalación y el uso de dispositivos o aplicaciones que no estén directamente especificados como parte del software, hardware o de los estándares de los recursos informáticos propios del despacho jurídico.
  3. Introducir en los sistemas de información o la red corporativa contenidos obscenos, amenazadores, inmorales u ofensivos y en general, carentes de utilidad para los objetivos del despacho jurídico.
  4. Introducir voluntariamente programas, virus, macros, o cualquier otro dispositivo lógico o secuencia de caracteres que causen o sean susceptibles de causar cualquier tipo de alteración en los recursos informáticos de la organización o de terceros.
  5. Desactivar o inutilizar los programas antivirus y las actualizaciones instaladas en los dispositivos propiedad del despacho jurídico.
  6. Intentar destruir, alterar, inutilizar o cualquier otra forma de dañar los datos, programas o documentos electrónicos propios del despacho jurídico o confiados al mismo. (Estos actos pueden constituir un delito de daños informáticos, previsto en el artículo 264 del Código Penal).
  7. Ubicar ficheros con datos de carácter personal o con información sensible del despacho jurídico en las unidades locales de disco (discos duros, pendrives, microSD, CDs…) de los puestos PC de usuario que no estén dotadas de las debidas medidas de seguridad. Los ficheros deberán estar almacenados en directorios debidamente estructurados que estén sujetos a políticas de seguridad de control de acceso y de copias de seguridad. En los casos en que esté justificado, y previa autorización del Responsable de Fichero, se podrá hacer uso de soportes (CDs, pendrives, etc…) que contengan datos de carácter personal.
  8. Conectarse a la red o a Internet a través de otros medios que no sean los definidos y administrados por el despacho.
  9. Intentar distorsionar o falsear los registros “logs” de los sistemas de información.
  10. Intentar descifrar las claves, sistemas o algoritmos de cifrado y, en general, cualquier otro elemento de seguridad que intervenga en los procesos telemáticos del despacho jurídico.

Cualquier fichero introducido en la red del despacho jurídico o en el puesto de trabajo del usuario deberá cumplir con los requisitos establecidos en estas normas y en especial a las referidas a la propiedad intelectual, protección de datos de carácter personal y control de virus informáticos.

Conectividad a internet

Estas obligaciones de protección de datos personales establecen que la autorización de acceso a Internet se concederá de manera acorde con la labor que los usuarios desempeñan en el despacho.

  1. El acceso a Internet se realizará exclusivamente a través de la Red establecida y los medios facilitados por el despacho jurídico.
  2. El uso de Internet es un servicio que el despacho pondrá a disposición de su personal para uso estrictamente profesional.
  3. La transferencia de datos por Internet se realizará exclusivamente cuando las actividades propias del trabajo desempeñado lo exija. En caso de tratarse de datos de carácter personal de nivel alto sólo se podrán transmitir en forma cifrada.
  4. En cumplimiento de la ley 34/2002, se informará a todos los usuarios de las posibles responsabilidades en que puedan incurrir por el uso de Internet con fines ilícitos, en particular, para la comisión de ilícitos penales y por la vulneración de la legislación en materia de propiedad intelectual e industrial.
  5. El despacho se reservará el derecho de controlar, monitorizar o limitar el uso de Internet por motivos de seguridad, supervisión del trabajo o rendimiento de la red. Asimismo, el despacho jurídico podrá elaborar normas específicas que regulen el acceso a Internet desde los equipos conectados a la red.

Notificación de incidencias

Estas obligaciones de protección de datos personales establecen que es obligación de todo el personal del despacho jurídico comunicar cualquier incidencia de seguridad que se produzca y esté relacionada con los sistemas de información o con cualquier fichero no automatizado propiedad del despacho o confiado a éste.

Los usuarios deberán notificar al Responsable de Seguridad cualquier incidencia que detecten y afecte o pueda afectar a la seguridad de los datos de carácter personal en cualquier formato: pérdida de listados, CDs, DVDs, memorias USB y/o disquetes, sospecha de uso indebido del acceso autorizado por otras personas, recuperación de datos, robo de documentación, etc. La comunicación, gestión y resolución de las incidencias de seguridad se tramitará mediante el procedimiento de Gestión de Incidencias que el despacho habilitará para ese fin.

En el caso de que del despacho jurídico no tenga habilitado un sistema automatizado de gestión de incidencias, el usuario notificará lo antes posible al Responsable de Seguridad del despacho la incidencia producida, utilizando cualquier medio a su alcance (correo electrónico, carta, teléfono, etc.)

Acceso a los sistemas de información y aplicaciones

Estas obligaciones de protección de datos personales establecen que los usuarios tendrán que disponer de un acceso autorizado (identificador de usuario y contraseña) para acceder a los sistemas y aplicaciones del despacho jurídico. Los usuarios no deberán revelar bajo ningún concepto su identificador y/o contraseña a otra persona, ni mantenerla por escrito a la vista o al alcance de terceros, y serán responsables de toda la actividad relacionada con el uso de su acceso autorizado. Los usuarios no deberán utilizar ningún acceso autorizado de otro usuario, aunque dispongan del beneplácito del propietario. Los identificadores y contraseñas necesarios se obtendrán presentando una solicitud al Responsable de Seguridad.

  1. La longitud de las contraseñas será igual o superior a 6 caracteres. Las contraseñas estarán constituidas por combinación de caracteres alfabéticos y numéricos y no harán referencia a ningún concepto, objeto o idea reconocible. Por tanto, se deberá evitar utilizar en las contraseñas fechas significativas, días de la semana, meses del año, nombres de familiares o personas allegadas, teléfonos, etc.
  2. Cuando un usuario sospeche que alguno de sus accesos autorizados está siendo utilizado por otra persona, deberá proceder al cambio de su contraseña y comunicar la correspondiente incidencia de seguridad al Responsable de Seguridad.
  3. Los usuarios sólo accederán a aquellos datos y recursos que precisen para el desarrollo de sus funciones.
  4. Los usuarios tendrán la obligación de cambiar la contraseña cuando se lo pida el sistema. En caso que el sistema no esté programado para pedir el cambio de contraseña de forma automática, el usuario deberá cambiar la contraseña al menos una vez al año.
  5. Cuando el usuario no esté sentado delante del puesto de trabajo, deberá bloquear el terminal o PC para que éste no pueda ser accedido por otro usuario, con independencia de que exista o no un bloqueo automático por parte del sistema.

Acceso a los sistemas no automatizados

Estas obligaciones de protección de datos personales establecen que las personas solamente podrán utilizar o acceder a los documentos en papel y archivos no automatizados a los que estén autorizados por el responsable delegado del fichero y deberán cumplir las siguientes normas:

  1. La persona que se encuentre al cargo de documentación deberá custodiarla e impedir en todo momento que pueda ser accedida por cualquier persona que no esté autorizada.
  2. Los usuarios deberán utilizar el menor número posible de documentos en formato papel que contengan datos de carácter personal y mantener los mismos en lugar seguro y fuera del alcance de terceros. Una vez finalizado el uso de la información, ésta deberá ser archivada en los dispositivos de almacenamiento establecidos por el despacho jurídico.
  3. Solamente el personal autorizado podrá realizar copia o reproducción de los documentos.
  4. En caso de acceder a datos de carácter personal que contuvieran información de nivel alto (datos de salud, afiliación sindical, creencias religiosas, etc.), se deberá registrar dicho acceso siguiendo el procedimiento establecido por el despacho jurídico, de forma que permita identificar los accesos realizados.
  5. Una vez finalizada la vigencia de archivo del soporte no automatizado o el uso de la copia, se deberá proceder a la destrucción de forma que se evite el acceso a la información o su posterior recuperación.
  6. Cuando por cualquier motivo sea necesario el traslado de la documentación, se deberán adoptar las medidas necesarias para impedir el acceso o la manipulación no autorizada por terceros.
  7. El puesto de trabajo deberá estar en todo momento despejado de información confidencial del despacho jurídico, especialmente de documentación que contenga datos de carácter personal, cuando no esté siendo tratada y custodiada por la persona al cargo de dicha documentación.

Correo electrónico y aplicaciones de mensajería

Estas obligaciones de protección de datos personales establecen que las normas en cuanto al uso del correo electrónico son:

  1. El servicio de correo electrónico es un servicio que el despacho jurídico pondrá a disposición de su personal para uso estrictamente profesional.
  2. Queda terminantemente prohibido intentar leer, borrar, copiar o modificar los mensajes de correo electrónico de otros usuarios sin autorización expresa del usuario propietario del correo.
  3. Queda terminantemente prohibido el uso de cuentas de correo electrónico no facilitadas por el despacho jurídico, en especial las de uso personal.
  4. Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico que previamente no hayan sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.
  5. Las comunicaciones comerciales deberán ser claramente identificables como tales y deberán indicar que se realizan en nombre del despacho jurídico. Además deberán incluir al comienzo del mensaje la palabra “PUBLICIDAD”.
  6. Los correos que se tengan que enviar a más de un destinatario, se deberán realizar teniendo especial cuidado para no realizar cesión no autorizada de los datos de las direcciones de correos de los destinatarios. Para ello se tendrá que utilizar obligatoriamente la opción de envío utilizando copia oculta(CCO).
  7. Cuando se envíen correos electrónicos con datos sobre los que haya que aplicar medidas de seguridad de nivel alto, se cifrará el mensaje o se utilizará cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros.
  8. Se pondrá en conocimiento del personal contratado por el despacho jurídico que los correos electrónicos podrán ser supervisados por el Responsable de Seguridad o en quien delegue, en cualquier momento.
  9. El Responsable de Seguridad y el Responsable Delegado de Ficheros velarán por el correcto uso del correo electrónico con el fin de prevenir actividades que puedan afectar a la seguridad de los sistemas de información y de los datos de carácter personal.
  10. Las aplicaciones de mensajería móvil únicamente se utilizarán desde terminales proporcionados por el despacho jurídico, quedando prohibido el uso de aplicaciones de mensajería usando dispositivos y cuentas de usuario ajenas al despacho.

Gestión de soportes, documentos y ficheros temporales

Estas obligaciones de protección de datos personales establecen, respecto de la gestión de soportes, documentos y ficheros temporales:

  1. El personal deberá notificar al Responsable delegado de los ficheros la creación o eliminación de ficheros con datos de carácter personal (entendiendo por tales aquellas bases de datos o similares que contengan datos de carácter personal, no siendo necesario notificar la creación de documentos ofimáticos temporales). Asimismo, también será necesario notificar la modificación de la estructura de cualquier fichero con datos de carácter personal existente.
  2. El personal autorizado a manejar soportes que contengan datos de carácter personal deberán guardar los mismos en un lugar seguro cuando éstos no sean usados. Además, se deberán inventariar los soportes que se tengan guardados y mantener siempre actualizado este inventario. Los soportes deberán estar etiquetados siguiendo la Normativa de Etiquetado de Soportes que se incluye en el Documento de Seguridad. Por otro lado, en caso de proceder a la eliminación o reutilización de soportes, se deberá llevar a cabo conforme a la Normativa de Desechado y Reutilización de Soportes del despacho jurídico.
  3. El personal sólo podrá crear ficheros temporales que contengan datos de carácter personal cuando sea necesario para el desempeño de su trabajo (por ejemplo documentos de textos que incluyan datos de carácter personal extraídos de una base de datos o de una aplicación). Estos ficheros temporales deberán estar ubicados en directorios debidamente estructurados de los servidores y nunca en unidades locales de disco del equipo informático del usuario. Asimismo, deberán ser destruidos cuando hayan dejado de ser útiles para la finalidad para la que se crearon.

Entradas y salidas de datos de carácter personal

Estas obligaciones de protección de datos personales establecen que respecto de las entradas y salidas de datos personales del despacho:

  1. Queda prohibida la salida de ficheros informáticos de las instalaciones del despacho jurídico sin autorización del Responsable Delegado del Fichero. Igualmente queda prohibida la salida de documentos en papel fuera de las instalaciones del despacho jurídico a excepción de aquellos que sean precisos para el desempeño de los trabajos que se tengan asignados y sólo por parte del personal que realizará los trabajos.
  2. Para los ficheros automatizados de nivel alto, caso de existir, se habilitará un registro en el que quedarán anotadas todas las entradas y salidas de soportes que contengan datos de carácter personal (incluidos correos electrónicos). Por tanto, será necesario seguir el procedimiento de registro habilitado por el responsable de seguridad para tal fin.
  3. Además, en la salida de datos especialmente protegidos (aquellos referentes a la ideología, religión, creencias, origen racial, violencia de género, salud o vida sexual), se deberán cifrar los mismos o utilizar cualquier otro mecanismo que garantice que la información no pueda ser inteligible ni manipulada durante su transporte.
  4. La salida de datos de carácter personal en un equipo portátil deberá ser autorizada por el Responsable Delegado del Fichero y se le dará el mismo tratamiento que a una salida de soporte informático con datos de carácter personal a efectos de registro de salidas. Si en el equipo portátil existiera información especialmente protegida, esta información deberá estar cifrada.

Gestión de incidencias de seguridad

Estas obligaciones de protección de datos personales establecen que ante cualquier incidencia de seguridad deberá registrarse una incidencia en el libro de registro de incidencias de seguridad del despacho jurídico. Cada entrada del registro contendrá la siguiente información:

Datos de la apertura

  • Número identificativo de la incidencia.
  • Código de tipo de incidencia.
  • Descripción de la incidencia y efectos de la misma.
  • Persona que notifica la incidencia.
  • Fecha y hora en que se detectó la incidencia.

Datos de la asignación

  • Entidad asignada para la resolución.
  • Fecha y hora de asignación de la resolución.

Datos de la resolución

  • Acciones resolutorias realizadas.
  • En caso de recuperación de datos de carácter personal: datos restaurados, datos grabados manualmente (si fuera necesario).
  • Persona que informa la resolución de la incidencia.
  • Fecha y hora de la solución.

Recomendaciones

Le recomiendo que inculque en su personal que deben de seguir estas obligaciones de protección de datos personales, así como de las consecuencias laborales y de cualquier otra índole que pueda tener su no observancia. Notifique estas medidas a su personal y fórmelos adecuadamente.

Este tipo de medidas tienen por objeto, además del correcto uso y gestión de datos personales, la limitación de responsabilidad tanto del despacho jurídico como de sus empleados en caso de incidente o fallo grave. Por ello, debe ser absolutamente riguroso en su aplicación, seguimiento y ajuste en el tiempo ante nuevas realidades de su despacho que necesite cubrir.

Limite al máximo los riesgos derivados de la pérdida, sustracción o manipulación accidental o intencionada de documentos.

Les espero en la próxima entrega: “Buenas prácticas de protección de datos en el despacho

¿Qué te ha parecido la información?
Comparte esto:

mm

Acerca de Pedro De La Torre

Soy perito informático judicial colegiado, legalmente habilitado para actuar ante los tribunales de Justicia, conferenciante y ponente habitual en jornadas sobre peritaje informático, ciberseguridad y tecnologías de la información. Consultor especializado en estrategia digital y seguridad de la información.

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

diecinueve − 13 =