lunes, 15 de junio de 2009

Una duda frecuente

Uno de los apartados más importantes del documento de seguridad es el que se refiere al ámbito de aplicación. A la hora de completarlo, se plantea el problema de si incluir o no los ficheros de los que es responsable la empresa, pero que no son tratados en las instalaciones de ésta, y que se encuentran ubicados en equipos de un encargado del tratamiento.

Tengan presente los siguientes artículos del RLOPD:
  • Artículo 82. Encargado del tratamiento.
    1. Cuando el responsable del fichero o tratamiento facilite el acceso a los datos, a los soportes que los contengan o a los recursos del sistema de información que los trate, a un encargado de tratamiento que preste sus servicios en los locales del primero deberá hacerse constar esta circunstancia en el documento de seguridad de dicho responsable, comprometiéndose el personal del encargado al cumplimiento de las medidas de seguridad previstas en el citado documento.
  • Art. 88. 6. En aquellos casos en los que datos personales de un fichero o tratamiento se incorporen y traten de modo exclusivo en los sistemas del encargado, el responsable deberá anotarlo en su documento de seguridad. Cuando tal circunstancia afectase a parte o a la totalidad de los ficheros o tratamientos del responsable, podrá delegarse en el encargado la llevanza del documento de seguridad, salvo en lo relativo a aquellos datos contenidos en recursos propios. Este hecho se indicará de modo expreso en el contrato celebrado al amparo del artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, con especificación de los ficheros o tratamientos afectados.
    En tal caso, se atenderá al documento de seguridad del encargado al efecto del cumplimiento de lo dispuesto por este reglamento.

Lo normal será que los ficheros que se encuentran en los locales del encargado del tratamiento sólo aparezcan referenciados en el documento de seguridad de la empresa responsable. No se incluirán en el ámbito de aplicación de su documento de seguridad, sino en el documento de seguridad del encargado del tratamiento.

Buenas noches.

2 comentarios:

Álvaro dijo...

Totalmente de acuerdo, el sentido común nos dicta que los tendríamos solamente que referenciar ya que no sabemos, ni debemos saber (ya que el encargado además de nuestros datos protegerá los de otros clientes, y no va a contribuir a bajar la seguridad de su sistemas de información) por ejemplo los nombres de usuarios autorizados del sistema (en los ordenadores del encargado), ya que es un dato que podría servir para lanzar un ataque, o bien saber a que hora y cuándo se hacen las copias de seguridad, ya que se podría saturar la red y dejar inoperativas las copias.

Nostromo dijo...

En mi no muy dilatada experiencia LOPD, me he encontrado con este supuesto y efectivamente estoy de acuerdo con Ad Edictum en la interpretación que realiza de los dos preceptos. En el caso de una gran compañia, y me refiero a una Operadora de Telecomunicaciones bastante grande, la ingente cantidad de proveedores de los que no solo acceden a los sistemas del responsable del fichero, sino que además a través de la via del artículo 12, infinidad de ellas pueden estar albergando datos en sus sistemas como encargados del tratamiento.

En resumidas cuentas, la inclusión de todo esto en el documento de seguridad, los haria todavía mucho más complejos e inoperativos, por la dificultad del control que el responsable del fichero tendría que asumir.