El registro de incidencias LOPD

El artículo 90 del mencionado reglamento indica:

“Artículo 90 Registro de incidencias

Deberá existir un procedimiento de notificación y gestión de las incidencias que afecten a los datos de carácter personal y establecer un registro en el que se haga constar el tipo de incidencia, el momento en que se ha producido, o en su caso, detectado, la persona que realiza la notificación, a quién se le comunica, los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas.”

A pesar de esta declaración tan poco concreta, detrás se esconde una herramienta que nos puede permitir conocer el estado real de la seguridad de nuestra estructura y nos permitirá evitar futuras incidencias o al menos, solucionarlas de forma más efectiva. El hecho de registrar y consultar este registro de incidencias, puede permitir a la organización conocer cuales son las incidencias más comunes que se producen y poner medidas correctoras, no solamente el registrar un suceso.

Un registro de incidencias básico, ha de contar con al menos los siguientes campos (siguiendo las directrices del Reglamento):

• Tipo de incidencia

• Fecha de la incidencia o de su notificación

• Persona que ha notificado esta incidencia

• A quién se escala la incidencia

• Que efectos se han producido

• Que medidas correctoras se han puesto en marcha

A pesar de que existen múltiples aplicaciones para gestionar incidencias, muchas de ellas basadas en criterios ITIL, a veces una simple hoja de cálculo puede ser de utilidad para pequeñas estructuras. Ojo, es necesario indicar que si estas incidencias que puedan suceder, no se registran, no servirán de nada ni la mejor aplicación de HelpDesk ni cualquier hoja de cálculo.

Caso práctico.

Vamos a ver algunos ejemplos de como se gestionaría una incidencia LOPD en un caso simple, que creo pueden ser exportables a cualquier estructura. En el primer caso, veremos como gestionar un error con la recuperación de las copias de seguridad y en el segundo veremos como reportar un envío de un email con datos personales a personas diferentes de las interesadas.

Caso 1

Uno de los usuarios de nuestra red local, ha tenido un problema con un registro del CRM corporativo que ha sido borrado por error un lunes a media mañana. El usuario intentaba acceder a la ficha de un cliente para confirmar un pedido, pero la base de datos indicaba que ese cliente no existía. Al intentar recuperar esos datos de la copia de seguridad semanal, se ha detectado que la copia del viernes anterior no había sido realizada con éxito y por tanto, se ha tenido que usar una copia con 2 semanas de antigüedad para poder restaurar los datos del cliente.

La estructura dispone de un procedimiento que implica la copia semanal de la base de datos del CRM cada viernes a las 5 de la tarde, guardando todas las copias del mismo mes y sobrescribiendo la primera de la serie.

El proceso de gestión de la incidencia, podría describirse así:

• El usuario USUARIO1 detecta la falta del registro concreto de un cliente el lunes a las 11:15h.

• Siguiendo el procedimiento implantado, envía notificación de esta situación al responsable de informática a través de una cuenta de correo electrónico creada para estas situaciones, tipo i[email protected]

• Se procede a la recuperación de la copia de seguridad del viernes anterior a las 11:45h, pero se detecta un error de integridad en la copia que la hace invalida. Se informa al Responsable de Seguridad

• Se procede a la recuperación de la copia de seguridad anterior a la última realizada a las 12:15h, esta vez con éxito. Se informa al responsable de Seguridad.

• El Responsable de Seguridad, registra las incidencias sucedidas y se proponen mejoras.

Caso 2

En el segundo ejemplo, la situación es la siguiente: en una empresa, se acaba de incorporar un nuevo trabajador. Uno de los usuarios de administración es el encargado de comunicar esta incorporación a la gestoría que les tramita las nóminas. Por un error a la hora de enviar los datos de filiación del nuevo trabajador, estos no se envían al responsable de recursos humanos, sino al responsable de gestión fiscal y contable.

Es este último, quien advierte del error y comunica al usuario de la empresa que ha enviado el correo de este hecho y este pasa a registrarlo como incidencia.

El proceso sería mas o menos este.

• El USUARIO1 tiene que comunicar a la gestoría la incorporación de un nuevo trabajador en plantilla.

• Envía a fiscal@gestoria_falsa.com un correo electrónico con copias adjuntas del dni y tarjeta sanitaria del nuevo trabajador.

• El receptor del correo electrónico, comunica a USUARIO1 el error y procede a borrar el correo recibido.

• USUARIO1 vuelve a mandar la documentación a rrhh@gestoria_falsa.com y registra el hecho como incidencia.

• Se plantea que el envío de documentación con datos personales se haga en un fichero comprimido con una contraseña que solo conocerán las personas destinatarios de estos correos.

Como hemos visto, el registro de incidencias, además de dar cumplimiento a lo previsto en la normativa, puede servir para un mayor control de nuestra estructura. Al conocer cuales son las fallas que se producen y como se solucionan, es más fácil crear un listado de incidencias más comunes y crear procedimientos rápidos de resolución para ellas.

Como siempre digo, la aplicación de la LOPD, es un ventaja competitiva para las empresas que la llevan a cabo, pues las dota de herramientas y metodologías que sirven para un mayor control y mejor proyección de su futuro.