sábado, 28 de junio de 2008

LOPD for Dummies (I)

Iniciamos hoy una nueva sección que espero que tenga tan buena acogida como la de "Esas desconocidas organizaciones internacionales". En ella, podrá encontrar respuestas a todas las dudas que la LOPD le plantea en el desarrollo de su actividad diaria, explicadas de una manera tan sencilla que incluso Usted podrá entenderlas.
Sin más preámbulos, paso a comentar todo lo que debe Usted conocer sobre la prestación de servicio en los que no se produzca acceso a datos. Estos servicios aparecen regulados en el art. 83 del nuevo reglamento, que dice:
"El responsable del fichero o tratamiento adoptará las medidas adecuadas para limitar el acceso del personal a datos personales, a los soportes que los contengan o a los recursos del sistema de información, para la realización de trabajos que no impliquen el tratamiento de datos personales.
Cuando se trate de personal ajeno, el contrato de prestación de servicios recogerá expresamente la prohibición de acceder a los datos personales y la obligación de secreto respecto a los datos que el personal hubiera podido conocer con motivo de la prestación del servicio."
Las obligaciones que impone el citado artículo son dos:
1º. La primera obligación se trata, quizás, de una redundancia con respecto a lo dispuesto en el art. 91 del RLOPD sobre control de accesos. En cualquier caso, responsable del fichero deberá implantar medidas de seguridad específicas dirigidas a prestadores de servicios sin acceso a datos. Por ejemplo, si contratamos a un pintor que repase el gotelé de la sala de juntas, deberíamos revisar antes la dependencia para que no queden en ella armarios sin cerrar o documentos encima de la mesa como curricula vitae o informes. Otra medida podria ser desarrollar un procedimiento de atención a visitas que implique nombrar un responsable de las mismas (que acompañe en todo momento al visitante) e identificar al externo con una tarjeta. Resultaría conveniente añadir estas políticas en el documento de seguridad de la compañía.
2º. En segundo lugar, en los contratos celebrados con los prestadores sin acceso a datos, habrá de incluirse una cláusula del tipo: "El prestador del servicio se compromete a informar a todo su personal de la prohibición de acceder a cualquier soporte que contenga datos de carácter personal o a los recursos que contengan el sistema de información. Cualquier acceso accidental será inmediatamente comunicado al responsable del fichero y obligará al prestador y a sus trabajadores al secreto profesional respecto a la información de la que se haya tenido conocimiento".

No hay comentarios: