Protección Data

BLOG

PARA ESTAR AL DÍA EN PROTECCIÓN DE DATOS Y COMPLIANCE

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

¿Cómo trasladar los ficheros automatizados en soportes físicos?

Siguiendo con el tratamiento de los “ficheros automatizados” vamos a ver cómo trasladar de forma segura estos ficheros fuera de las instalaciones del responsable del tratamiento en un soporte físico (memoria USB, DVD, disco duro externo, etc.). 

La “salida de soportes” fuera de las instalaciones donde están ubicados los ficheros debe ser expresamente autorizada por el responsable del tratamiento o, en su caso, por el Delegado de Protección de Datos*, utilizando la ficha de “registro de salida” anexa al Manual de Gestión de Protección de Datos de la organización, con el siguiente contenido mínimo:

  • Tipo y número de soporte.
  • Fecha y hora de la salida del soporte.
  • Fichero de donde proceden los datos.
  • Fecha de creación.
  • Finalidad y destino, identificando al remitente y al responsable de la recepción.
  • Medio de envío.
  • Precauciones para el transporte.
  • Persona que autoriza la salida, cargo y puesto que ocupa.
  • Firma del responsable del tratamiento o del Delegado de Protección de Datos.

Sacar un soporte físico de las instalaciones de la organización conlleva riesgos. Por ello, la persona que lo porte debe adoptar cuantas medidas sean necesarias para impedir la sustracción, la pérdida o el acceso a la información por terceros no autorizados. Lo que aconsejamos a nuestros clientes es que el soporte físico se introduzca en un sobre cerrado y se abra al llegar a su destino, y si además va destinado a una persona concreta que está firme un acuse de recibo, que se entregará al responsable del tratamiento para su archivo. El acuse de recibo contemplará la misma información que se refleja en la ficha de “registro de salida”.

Si van a emplear dispositivos USB para compartir información recomendamos:

  • Usar siempre un “USB corporativo”. Si se emplean dispositivos personales o ajenos a la organización se debe informar al responsable del tratamiento, y antes de emplearlo se debe formatear, procediendo al borrado de su contenido, previo escaneo del mismo.
  • Controlar todos los dispositivos USB en uso mediante un inventario, que incluya un identificador inequívoco para cada dispositivo.
  • Analizar frecuentemente los dispositivos para asegurarse de que no contienen virus y siempre se hará su escaneo antes de “volcar” la información que contienen en los equipos de la organización.
  • Nunca usar dispositivos de origen desconocido.

Si el soporte físico regresa a la organización puede ser reciclado o reutilizado. Aquellos soportes que vayan a ser reutilizados deberán ser formateados antes de su reutilización, de modo que los datos que contenían no sean recuperables, si bien hay programas que permiten recuperar los datos borrados de un soporte que previamente fue formateado, por ello cuando el soporte haya contenido datos sensibles recomendamos su destrucción. 

Cuando en la organización u empresa entre un soporte físico ajeno se seguirá el mismo sistema de registro que para la salida de soportes, dejando constancia en la correspondiente ficha de “registro de entrada” anexa al Manual de Gestión de Protección de Datos, del tipo y número de soporte, fecha y hora de entrada, identidad del remitente y destinatario, tipo de información alojada en el soporte, finalidad, modalidad de envío y precauciones adoptadas durante el transporte y persona que autorizó la entrega.

Todos los soportes físicos se almacenarán bajo llave y su utilización quedará restringida a las personas con acceso autorizado.

Habría más que decir, sin duda alguna, pero si asumen lo anterior, y lo aplican, ya tienen mucho ganado, y me daría por satisfecho.

* Si quieren saber más sobre la figura del Delegado de Protección de Datos, les dejo el siguiente enlace:

https://protecciondata.es/el-delegado-de-proteccion-de-datos-figura-novedosa/

PortuguêsEspañol
error: Contenido protegido por derechos de propiedad intelectual. Se prohíbe su reproducción, transformación, distribución y comunicación pública a título lucrativo por cualquier medio y soporte. Advertir que la infracción de los derechos relativos a la propiedad intelectual es constitutiva de delito (arts. 270 y ss. CP).