Antes de empezar a hablar de los inventarios necesarios para cumplir con las leyes de protección de datos, hay que hablar de la gestión de archivo, de los inventarios y catálogos que se generan en un archivo, y, en general de cómo funciona un archivo.
Hace miles de años que las personas encargadas de la gestión de archivos ya se dieron cuenta de que lo importante no es almacenar documentos, convirtiendo el archivo en depósito, si no crear un sistema que permita guardar esa información, pero también conservarla y, por supuesto, recuperarla y comunicarla. Toda información que no se comunica, tarde o temprano, se pierde, que se lo cuenten a los de la NASA, que han perdido las grabaciones originales de la llegada del hombre a la luna, un despiste que podían haber evitado con un sistema de preservación, que ya han incluido en sus procesos.
En gestión documental usamos índice de documentos y catálogo de documentos, vamos a explicarlo:
El índice es la una lista en la que se ubican, clasifican y ordenan los materiales. Mientras que el catálogo es la lista de todos estos materiales disponibles.
Ejemplo: FraEF aparecerá en el índice como el código que usamos para determinar las facturas emitidas de Formación, mientras que la lista de las facturas emitidas será el catálogo, el índice es la clave para codificar y el catálologo es la referencia a cada documento, el inventario de cada documento con esa referencia.
Todos los documentos que generamos son pruebas de las acciones que llevamos a cabo, es por eso, que en las empresas y las organizaciones, se llevan a cabo procesos que generan ingente cantidad de documentación, como los procesos de seguridad laboral, y que se estandariza tanto el contenido, como el flowchart, el flujo de los mismos. Se adaptan a las normativas y a la legalidad vigente, muy importante, adaptarse a la legalidad.
Cuando creamos un sistema de archivo, revisamos las funciones que vamos a llevar a cabo y las leyes que tenemos que cumplir para poder llevarlas a cabo, solo entonces, determinamos qué documentos necesitamos, su formato, su contenido, el calendario de retención documental a cumplir, el flujo que ha de seguir este documento…
¿Qué inventario necesitamos para cumplir con las leyes de protección de datos?
El inventario de los documentos.
En el cual vamos a poner en qué lugar o lugares se encuentra el documento, y que nos va a servir:
- para encontrarlo rápidamente
- poder destruir esa información en todas las bases de datos en la que esté, si se nos pide
- saber si ese documento puede haber sido alterado al sufrir un ataque la aplicación en la que lo almacenamos, etc.
Lo vamos a usar en muchos de los protocolos y procesos de la organización.
El inventario de bases de datos.
Tenemos que tener bien localizadas las bases de datos que tenemos, con su protocolo de duplicado para cumplir con la obligación del art. 24 del REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) «2. Cuando sean proporcionadas en relación con las actividades de tratamiento, entre las medidas mencionadas en el apartado 1 se incluirá la aplicación, por parte del responsable del tratamiento, de las oportunas políticas de protección de datos. «. Y con todos los sistemas de seguridad adecuados para protegerlas.
El inventario de dispositivos.
Desde la ISO 17799 ya se venía pidiendo a las organizaciones que se inventaríen de manera adecuada los dispositivos en los que se crea , almacena o comparte información, esto, actualmente, incluye que en esa tabla aparezca cómo se ha destruído la información, ya que el borrado en los dispositivos electrónicos, no es tan sencillo como la destrucción de papeles. Hoy en día con el teletrabajo, tener ese inventario al día es muy importante para llevar a cabo acciones de contención en caso de ciberataque.
El inventario de software.
En el que vamos a poner todos los programas y aplicaciones, la fecha de adquisición, el tipo de licencia, la empresa que lo ha creado, las actualizaciones, la baja… Este inventario es muy importante para la seguridad de los datos, en autónomos y micropymes les pido que se den de alta en el sistema de avisos de la OSI, para que cuando alguno de estos recursos tenga un problema de seguridad actúen lo antes posible y pongan remedio (bien con un parche o con las recomendaciones de la OSI)lo antes posible. Este inventario va a darnos una visión muy certera de las necesidades de la organización, ya que en él vamos a poder comprobar de un vistazo, todas las herramientas de ciberseguridad que se usan, y las que no también.
El inventario de plugins.
Mención a parte merece el inventario de los plugins de las páginas web, por dos razones, puede que la organización no gestione el mantenimiento de su web, con lo cual ha de pedirle este documento a la empresa proveedora, y porque, aunque es software, muchas de las organizaciones no tienen una idea exacta de para qué valen ni qué riesgos entrañan. Yo utilizo el plugin de seguridad Wordfence que me envía comunicaciones de problemas de seguridad con otros plugins y que me sirve para actualizarlos rápidamente, revisar que no haya habido problemas de seguridad o cambiarlos si los considero inseguros. Aquí comparto el de mi web.Web. dokusare.Inventario Plugins_signed
Todos los inventarios han de seguir el mismo sistema:
- Creas una cabecera como esta :
Se pone el logo de la empresa, el título del documento, la versión, la fecha y las hojas que tiene. Es muy importante guardar las diferentes versiones del documento, ya que van a probar que se hacen las actualizaciones necesarias en materia de seguridad. Además nos van a dar la posiblidad de escalar nuestros proyectos y detectar el momento exacto en el que suceden las cosas, para mejorar y para poder documentar qué acciones llevamos a cabo.
- Luego haces una tabla, tipo hoja de EXCEL con toda la información que necesitas para cada inventario.
- Lo firmas, con firma electrónica y lo cierras para que no se pueda manipular, recuerda que , además de ser un documento de gestión es un documento probatorio, que presentarías ante la Agencia Española de Protección de Datos, el INCIBE, etc.
Estos inventarios son parte del Documento de Seguridad que deberías tener. Si no los tienes, no tienes documento de seguridad, lo más posible es que no estés cumpliendo con las leyes de protección de datos, y quizás con otras tampoco. Puedes consultarmos llamando por teléfono o enviándonos tus preguntas a través de nuestro formulario de contacto. No cobramos las consultas.
Bibliografía.
- «Avisos de seguridad | Oficina de Seguridad del Internauta». Accedido 19 de diciembre de 2020. https://www.osi.es/es/actualidad/avisos
- Piñar Manas, José Luis (dir). Memento Práctico. Protección de datos. Francis Lefebvre. Lefebvre-El derecho s.a. Monasterio de Yuso y Suso 34, 28049. Madrid, 2019.
- Hermida Mondelo, Alexandre, y Inmaculada Iglesias Fernández. Gestión de archivos. Técnicas documentales y sistemas de gestores de bases de datos. Ideas propias editorial. Vigo, 2016.
- Nuñez Fernandez, Eduardo. Archivos y normas ISO. Ediciones TREA s.l. 33393 Somonte-Cenero, Gijón (Asturias), 2007.
- CCM. «ISO 17799». Accedido 19 de diciembre de 2020. https://es.ccm.net/contents/600-iso-17799.
- 14:00-17:00. «ISO 999:1996». ISO. Accedido 19 de diciembre de 2020. https://www.iso.org/cms/render/live/en/sites/isoorg/contents/data/standard/00/54/5446.html
- Bonal Zazo, José Luis. La descripción archivística normalizada. Ediciones TREA s.l. Donoso cortés, 7, bajo. 33204. Gijón (Asturias), 2001.
- Magonia. «La NASA da por perdidas las grabaciones originales del primer alunizaje», 16 de julio de 2009. https://magonia.com/2009/07/16/la-nasa-da-perdidas-grabaciones-originales-del-primer/
- «RGPD: BOE», s. f. https://www.boe.es/doue/2016/119/L00001-00088.pdf.