Los inventarios y la protección de datos personales

Los inventarios y la protección de datos personales

Antes de empezar a hablar de los inventarios necesarios para cumplir con las leyes de protección de datos, hay que hablar de la gestión de archivo, de los inventarios y catálogos que se generan en un archivo, y, en general de cómo funciona un archivo.

Hace miles de años que las personas encargadas de la gestión de archivos ya se dieron cuenta de que lo importante no es almacenar documentos, convirtiendo el archivo en depósito, si no crear un sistema que permita guardar esa información, pero también conservarla y, por supuesto, recuperarla y comunicarla. Toda información que no se comunica, tarde o temprano, se pierde, que se lo cuenten a los de la NASA, que han perdido las grabaciones originales de la llegada del hombre a la luna, un despiste que podían haber evitado con un sistema de preservación, que ya han incluido en sus procesos.

En gestión documental usamos índice de documentos y catálogo de documentos, vamos a explicarlo:

El índice es la una lista en la que se ubican, clasifican y ordenan los materiales. Mientras que el catálogo es la lista de todos estos materiales disponibles.

Ejemplo: FraEF aparecerá en el índice como el código que usamos para determinar las facturas emitidas de Formación, mientras que la lista de las facturas emitidas será el catálogo, el índice es la clave para codificar y el catálologo es la referencia a cada documento, el inventario de cada documento con esa referencia.

Todos los documentos que generamos son pruebas de las acciones que llevamos a cabo, es por eso, que en las empresas y las organizaciones, se llevan a cabo procesos que generan ingente cantidad de documentación, como los procesos de seguridad laboral, y que se estandariza tanto el contenido, como el flowchart, el flujo de los mismos. Se adaptan a las normativas y a la legalidad vigente, muy importante, adaptarse a la legalidad.

Cuando creamos un sistema de archivo, revisamos las funciones que vamos a llevar a cabo y las leyes que tenemos que cumplir para poder llevarlas a cabo, solo entonces, determinamos qué documentos necesitamos, su formato, su contenido, el calendario de retención documental a cumplir, el flujo que ha de seguir este documento…

Mapa de flujo de trabajo para gestión documental

¿Qué inventario necesitamos para cumplir con las leyes de protección de datos?

El inventario de los documentos.

En el cual vamos a poner en qué lugar o lugares se encuentra el documento, y que nos va a servir:

  • para encontrarlo rápidamente
  •  poder destruir esa información en todas las bases de datos en la que esté, si se nos pide
  •  saber si ese documento puede haber sido alterado al sufrir un ataque la aplicación en la que lo almacenamos, etc.

Lo vamos a usar en muchos de los protocolos y procesos de la organización.

El inventario de bases de datos.

Tenemos que tener bien localizadas las bases de datos que tenemos, con su protocolo de duplicado para cumplir con la obligación del art. 24 del REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) “2. Cuando sean proporcionadas en relación con las actividades de tratamiento, entre las medidas mencionadas en el apartado 1 se incluirá la aplicación, por parte del responsable del tratamiento, de las oportunas políticas de protección de datos. “. Y con todos los sistemas de seguridad adecuados para protegerlas.

El inventario de dispositivos.

Desde la ISO 17799 ya se venía pidiendo a las organizaciones que se inventaríen de manera adecuada los dispositivos en los que se crea , almacena o comparte información, esto, actualmente, incluye que en esa tabla aparezca cómo se ha destruído la información, ya que el borrado en los dispositivos electrónicos, no es tan sencillo como la destrucción de papeles. Hoy en día con el teletrabajo, tener ese inventario al día es muy importante para llevar a cabo acciones de contención en caso de ciberataque.

El inventario de software.

En el que vamos a poner todos los programas y aplicaciones, la fecha de adquisición, el tipo de licencia, la empresa que lo ha creado, las actualizaciones, la baja… Este inventario es muy importante para la seguridad de los datos, en autónomos y micropymes les pido que se den de alta en el sistema de avisos de la OSI, para que cuando alguno de estos recursos tenga un problema de seguridad actúen lo antes posible y pongan remedio (bien con un parche o con las recomendaciones de la OSI)lo antes posible. Este inventario va a darnos una visión muy certera de las necesidades de la organización, ya que en él vamos a poder comprobar de un vistazo, todas las herramientas de ciberseguridad que se usan, y las que no también.

El inventario de plugins.

Mención a parte merece el inventario de los plugins de las páginas web, por dos razones, puede que la organización no gestione el mantenimiento de su web, con lo cual ha de pedirle este documento a la empresa proveedora, y porque, aunque es software, muchas de las organizaciones no tienen una idea exacta de para qué valen ni qué riesgos entrañan.  Yo utilizo el plugin de seguridad Wordfence que me envía comunicaciones de problemas de seguridad con otros plugins y que me sirve para actualizarlos rápidamente, revisar que no haya habido problemas de seguridad o cambiarlos si los considero inseguros. Aquí comparto el de mi web.Web. dokusare.Inventario Plugins_signed

Todos los inventarios han de seguir el mismo sistema:

  • Creas una cabecera como esta :
    Imagen de la cabecera de un inventario.

    Se pone el logo de la empresa, el título del documento, la versión, la fecha y las hojas que tiene. Es muy importante guardar las diferentes versiones del documento, ya que van a probar que se hacen las actualizaciones necesarias en materia de seguridad. Además nos van a dar la posiblidad de escalar nuestros proyectos y detectar el momento exacto en el que suceden las cosas, para mejorar y para poder documentar qué acciones llevamos a cabo.

  • Luego haces una tabla, tipo hoja de EXCEL con toda la información que necesitas para cada inventario.
  • Lo firmas, con firma electrónica y lo cierras para que no se pueda manipular, recuerda que , además de ser un documento de gestión es un documento probatorio, que presentarías ante la Agencia Española de Protección de Datos, el INCIBE, etc.

Estos inventarios son parte del Documento de Seguridad que deberías tener. Si no los tienes, no tienes documento de seguridad, lo más posible es que no estés cumpliendo con las leyes de protección de datos, y quizás con otras tampoco. Puedes consultarmos llamando por teléfono o enviándonos tus preguntas a través de nuestro formulario de contacto. No cobramos las consultas.

Bibliografía.

  • «Avisos de seguridad | Oficina de Seguridad del Internauta». Accedido 19 de diciembre de 2020. https://www.osi.es/es/actualidad/avisos
  • Piñar Manas, José Luis (dir). Memento Práctico. Protección de datos. Francis Lefebvre. Lefebvre-El derecho s.a. Monasterio de Yuso y Suso 34, 28049. Madrid, 2019.
  • Hermida Mondelo, Alexandre, y Inmaculada Iglesias Fernández. Gestión de archivos. Técnicas documentales y sistemas de gestores de bases de datos. Ideas propias editorial. Vigo, 2016.
  • Nuñez Fernandez, Eduardo. Archivos y normas ISO. Ediciones TREA s.l. 33393 Somonte-Cenero, Gijón (Asturias), 2007.
  • CCM. «ISO 17799». Accedido 19 de diciembre de 2020. https://es.ccm.net/contents/600-iso-17799.
  • 14:00-17:00. «ISO 999:1996». ISO. Accedido 19 de diciembre de 2020. https://www.iso.org/cms/render/live/en/sites/isoorg/contents/data/standard/00/54/5446.html
  • Bonal Zazo, José Luis. La descripción archivística normalizada. Ediciones TREA s.l. Donoso cortés, 7, bajo. 33204. Gijón (Asturias), 2001.
  • Magonia. «La NASA da por perdidas las grabaciones originales del primer alunizaje», 16 de julio de 2009. https://magonia.com/2009/07/16/la-nasa-da-perdidas-grabaciones-originales-del-primer/
  • «RGPD: BOE», s. f. https://www.boe.es/doue/2016/119/L00001-00088.pdf.

Datos personales: la lucha que comenzó

Datos personales: la lucha que comenzó

Cuando hablamos de datos personales y de empresas de RRSS o de informática, a todos y todas nos llega un escalofrío, una sensación de inseguridad, un malestar general…

Lo cierto es que la guerra que se ha desatado entre Mark Zuckerberg (Facebook) y Tim Cook (Apple), no es más que la punta de un iceberg muy, muy, muy grande. Mientras que estos dos gigantes se pelean en una parte del estadio, en otras partes del estadio menos iluminadas, se libran cruentas batallas por el poder de acceso a la información personal.Apple quiere que el gobierno regule a empresas como Facebook y Google, que utilizan los datos de usuarios para venderlos a terceros.

En el siguiente enlace Kisko Jiménez se hacía eco de la venta de datos de usuarios por parte de Telefónica, aquí en España, pero con ámbito internacional, están presentes en 20 países; y eso que según la Comunidad Económica Europea, ahora somos dueños de nuestros datos. A mí no me han llamado para decirme que los venden, igual habría que pensar en lo que legalmente puede significar esto: cómo llamar a este delito, penalizarlo, etc.

Lo cierto es que cuando alguien no te cobra por un servicio que te está dando,  para seguir haciéndolo necesita conseguir algo que le suministre ganancia, a no ser, que como Richard Stallman, vayas a vivir de donaciones, o que no tengas interés económico en el servicio que estás suministrando (esto para una empresa es raro), tipo ONG.

Cuando vamos a usar servicios informáticos, de información, apps, etc… donamos una parte de nuestra identidad con unos fines, cuando menos, turbios. La forma en la que se nos da la opción para saber en qué se va a usar nuestro perfil de usuario es de tipo “galimatías enorme antiguo testamento Style”,  con fuente Edwardian script y con formato XXXX incompatible con cualquier SO, no sea que quieras descargarte la información y la armemos. En este sentido las afirmaciones de Richard Stallman se alinéan con Marc Benioff, Tristan Harris, Loren Brichter…la libertad es que no te controlen. ¿Cómo conseguirlo y seguir usando ordenador y móvil?.Esa es otra historia para otro post…

Licencia de Creative Commons

Software libre y código abierto en micropymes

Software libre y código abierto en micropymes

La diferencia principal entre software libre o de código abierto es que el software libre  respeta la

Auditoría de bases de datos

libertad de los usuarios de ejecutar, modificar o compartir el programa y además se apoya en valores éticos de respeto a las libertades personales; mientras que el software de codigo abierto u open source plantea sólo términos de desarrollo. Y luego tenemos software gratuíto.

Cualquiera de las dos opciones será una buena elección para empresa en las que las licencias pueden ahogar la digitalización, el uso de herramientas para BI, el emprendimiento, el compliance,la adaptación a la RGPD una gran cantidad de posibilidades que se abren con estas herramientas.
Tenemos dos gestores de referencias bibliográficos: Zotero y Mendeley, que para quienes necesitan información en la nube son perfectos. Además se pueden usar como un archivo en el que guardar información de búsquedas etiquetada. Garantiza que puedas acceder a determinada información de la web mucho más rápido.

Si tienes varias RRSS y necesitas publicar en ellas habitualmente, Hootsuite te da la opción de programar las publicaciones, ver análisis, hacer la gestión de las RRSS . Rápida, efectiva y gratuíta hasta 3 RRSS.

Hubspot es un CRM con el que puedes gestionar los clientes, CRM, ventas; y además te dan cursos de formación gratuítos.

Mailchimp te da la opción de hacer campañas, de promoción, venta, información… es gratis hasta cierto número de envíos, lo están usando para recabar los consentimientos para la RGPD algunas empresas.

Power BI es una herramienta para la visualización de datos interactivos de microsoft, es gratis hasta cierto uso, pero no es libre.Tiene unos usos parecidos a Rapidminer.También tenemos Tableau y Qlik.

Un programa para editar en formato video, con mísica y plantillas con derechos libres, es Quik. Te permite crear videos a partir de fotografías, editar tus videos y compartirlos en RRSS.

Entre los programas de diseño gratuítos encontramos Canva, con un sistema de lamacenamiento y actualmente viendo cómo adaptarse a los copyrights. Inkscape, como editor de gráficos vectoriales, que es libre y de código abierto, hay que descargarlo, también tiene cursos gratis.Blender para crear 3d también está bien, es de código abierto y gratuito.

Para data mining tenemos weka, con licencia GNU, de código libre. Tiene herramientas pra la preparación de datos y un montón de algoritmos con los que jugar.

Tenemos R, un software libre para estadística computacional y visualización.

Y cómo no todo lo relacionado con Big data: pythoon, hadoop, Spark, Kibana, Apache Zeppelin, Grafena, Keras, Tensorflow, y un largo etcétera, cada vez más largo.

Lo cierto es que la posibilidad de conseguir recursos de gestión gratuítos, personalizables, tener acceso a programas informáticos que agilicen tareas tan sencillas como llevar una agenda, puede ser una posibilidad de llevar un negocio pequeño o grande a un nivel superior de optimización de recursos, entre los que el gasto de tiempo del personal es un handicap.

El tener un programa de gestión documental ahorra tiempo en el recuperado de los documentos e información, un programa adaptado a nuestras necesidades de gestión de las Redes Sociales  nos va a dar múltiples posibilidades no sólo en la publicación si no en la gestión del conocimiento de las mismas.

http://facebook. dokusare.com

Licencia de Creative Commons