Los riesgos de la ofimática en protección de datos

1103

Vamos a ver los riesgos que respecto a al manejo de datos de carácter personal puede provocar el uso de algunos de los hardware y software que tenemos en nuestras oficinas.

Resulta obvio que la ofimática ha supuesto un enorme avance en la manera en la que incluso una empresa muy pequeña puede llegar a procesar información en grandes volúmenes, pero al tiempo nos obliga a ser precavidos ya que sus automatismos también aumentan los riesgos de vulnerar la legislación sobre protección de datos.

Es fundamental resaltar el hecho de que todos estos ejemplos proceden de Resoluciones (sanciones) publicadas en la página web de la Agencia Española de Protección de Datos (AEPD), es decir, son circunstancias que ya han ocurrido y nos deben servir para aprender en piel ajena. Y también que no basta con que estos procedimientos se entiendan a nivel de gerencia en una empresa, sino que cualquier empleado con acceso a datos de carácter personal ha de mantener el mismo tipo de precauciones. Así que si el lector resulta ser un usuario avanzado y algunos de estos errores le resultan demasiado “básicos”, le conviene preguntarse: ¿saben esto mis empleados?

Correos electrónicos con direcciones al descubierto

Si tenemos que enviar un correo electrónico a varias personas (salvo que obviamente todas sean internas de la compañía o pertenezcan a un mismo grupo) nunca debemos poner todas las direcciones en la casilla “para”, puesto que en ese caso cada uno de los destinatarios verá las direcciones del resto y se considerará una vulneración del deber de secreto (artículo 8 de la LOPD). Se debe usar la casilla CCO (con copia oculta).

Equipos sin medidas básicas de seguridad

En uno de los procedimientos presenciales de los inspectores de la AEPD se decía con sorpresa: “con sólo pulsar una tecla cualquiera se tenía acceso completo al disco duro del equipo informático”, es decir, que en ese ordenador ni siquiera se había activado una medida tan básica como la contraseña de acceso que conlleva cualquier sistema operativo. De nada sirve “blindar” el acceso a nuestro servidor y cumplir todos los requisitos de seguridad informática si después cualquier equipo desprotegido puede suponer una fuga de información o un acceso no autorizado.

Soportes con copias de seguridad

CD, DVD, discos duros externos, pendrive… Son muchos los sistemas que podemos emplear tanto para realizar copias de seguridad (obligatorias también según el Reglamento de Medidas de Seguridad de la LOPD) como para transportar información. En este último caso, independientemente de las medidas técnicas implantadas para evitar accesos no autorizados o del encriptamiento de los datos, hay que activar un medida tan poco tecnológica como “estar más atento”. Resulta sorprendente (pero ocurre) los casos en los que “se pierden” soportes con información sensible.

Máquina de ensobrar

Si su empresa realiza campañas de mailing y dispone de una práctica máquina de ensobrar haga el siguiente experimento: golpee suavemente un sobre sobre una mesa y compruebe si a través de la ventanilla se ven más datos personales que los imprescindibles para su distribución postal. Dejar al descubiertos expresiones como “recibo devuelto” o “deuda pendiente” ha causado ya varias sanciones.

Fax

Cuando se envía una comunicación por fax no tenemos ningún control sobre quién es la o las personas que van a tener acceso a esa información en el momento de su recepción. Su uso no es aconsejable cuando se trate de transmitir datos de carácter personal.

Y además hay que considerar el análisis de la problemática que puede suponer la contratación de servicios externos que tienen relación con la protección de datos, como son la videovigilancia, servicios informáticos, backup remotos, formularios web y tiendas virtuales, etc…

Los riesgos de la ofimática en protección de datos
Vota este artículo

3 Comentarios

  1. Es cierto que las personas que están todo el día trabajando en temas relacionados con la SI y la LOPD esto lo tienen machacado, pero hay otros trabajadores de la empresa que no estén tan relacionados con dichas temáticas.Por eso creo, que en las empresas debe haber alguna persona que se encargue de manejar todos estos temas y de explicar a los trabajadores la problemática que existe con la SI y la LOPD ( y con las posibles sanciones de la AEPD….). Un saludo!

Dejar respuesta