Nos llega una consulta de un profesional de la seguridad informática que nos indica que tiene algunos clientes a los que atiende exclusivamente de forma remota, es decir, accediendo a sus sistemas a través de conexiones autorizadas que incluyen o pueden incluir accesos a ficheros con datos personales, y nos pregunta cómo actuar desde el punto de vista de la Ley de Protección de Datos (LOPD).

El artículo 82.1 párrafo segundo del Reglamento LOPD establece que

cuando dicho acceso (el realizado por el encargado del tratamiento) sea remoto habiéndose prohibido al encargado incorporar tales datos a sistemas o soportes distintos de los del responsable, este último deberá hacer constar esta circunstancia en el documento de seguridad del responsable, comprometiéndose el personal del encargado al cumplimiento de las medidas de seguridad previstas en el citado documento.

En consecuencia, el Reglamento impone en este caso la exigencia de que sea el responsable el que haga constar expresamente en su documento de seguridad el acceso remoto efectuado por el encargado, siendo necesario que por parte del mismo exista un compromiso real de cumplimiento de las medidas del responsable, que deberá, lógicamente, constar en el contrato celebrado con el responsable conforme a lo exigido por el artículo 12.2 de la Ley Orgánica 15/1999.

Por otra parte, sería conveniente que los compromisos de no realización de copias o de tratamientos de los datos a los que se accede de forma remota por la consultante se refuercen, garantizando que el personal que acceda a los datos carezca de recursos de software u otros medios que pudieran permitir el almacenaje de los datos a los que se accede de forma remota.

Accesos remotos y LOPD
Vota este artículo
  1. Mi consulta es la siguiente,estamos montando una web ,nuestro servidor es Amazon Cloud y captamos información de clientes a través de formularios de la web o mediante mailrelay . Como lo indicó en el documento de seguridad?, Por cierto,trabajamos on línea y la base de dato estará en mailrelay.
    Gracias de antemano

    1. Buenas tardes Francisco,
      Todo eso debes especificarlo claramente en el documento de seguridad que debe contener, como mínimo,
      Ámbito de aplicación del documento con especificación detallada de los recursos protegidos.
      Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en este Reglamento.
      Funciones y obligaciones del personal.
      Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan.
      Procedimiento de notificación, gestión y respuesta ante las incidencias.
      Los procedimientos de realización de copias de respaldo y de recuperación de los datos.
      Muchas gracias por tu consulta y por leer nuestro blog.


Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *