Cumplir la LOPD yo mismo

Buenas a todos,

llevo ya tiempo leyendo este foro y he aprendido bastante de él.

Últimamente estoy intentando hacer que mi empresa cumpla la LOPD y he estado mirando los temas de este foro relacionados, algunos sitios más y la información de la AEPD. El caso es que me he decidido ya a empezar y me encuentro con las primeras dudas. Quizá alguno ya haya pasado por ello y pueda ayudarme.

El negocio es una pequeña clínicia de fisioterapia y mi primer problema es qué ficheros son los que debo declarar. Siguiendo la guía de la LOPD me aparece como sugerencia únicamente "historias clinicas".

Tengo un programa hecho en Access por mi mismo mediante el cuál llevo toda las gestión de la clínica el cual tiene un par de tablas que son las que contienen los datos a proteger. A parte tengo documentos de word también con datos sobre pacientes y luego unos archivadores con papeles sobre los pacientes y alguna que otra radiografía en un armario bajo llave.

Ahora vienen los problemas. ¿Es un único fichero mixto la base de datos y los documentos del armario o son dos ficheros diferentes?, ¿los documentos de word son otro fichero?.

El otro problema está en la seguridad. La ley dice que hay que:

- Encriptar los datos.
- Claves de acceso para cada persona.
- Registros de acceso durante al menos 2 años.

Para encriptar los datos creo recordar que access tiene una opción para que todos los datos de las tablas se guarden encriptados.

Para las claves de acceso ¿no bastaría con la clave de windows?.

El tema de los registros de acceso es lo que me deja más preocupado. ¿Para cada acceso que se haga al programa de access o a los documentos de word tengo que guardar un registros de accesos?. Me parece una barbaridad.

Bueno pues estas son mis primeras dudas, seguro que tendré muchas más, pero es que creo que realmente adaptarse a la LOPD para pequeños negocios no es difícil, el problema es que no he podido encontrar ningún ejemplo por la web de documento de seguridad ya cumplimentado o ejemplos prácticos completos. Estoy seguro que los abogados que hacen esto lo hacen en 5 minutos.

Muchas gracias.

Bueno, pues voy a responderme a mi mismo, al menos a la primera cuestión. Buscando información en internet encontré esta página: http://cuidatusdatos.com/infofichero.html en la cual definen claramente el concepto de fichero y utilizan algún ejemplo:

"Para comprender mejor esta idea vamos a analizar cómo suelen tratar las empresas los datos personales de sus clientes; de manera general, los datos de los clientes se encuentran almacenados un software de facturación, en varios archivos informáticos (hojas de cálculo, archivos de texto...) y también en varias carpetas y archivadores que contienen la documentación de los clientes en formato papel (fichas, facturas etc.). Pues bien, aunque físicamente existe un fichero automatizado (formado por todos los archivos y aplicaciones informáticas) y un fichero no automatizado (formado por todas las carpetas y archivadores ordenados alfabéticamente por nombre y apellidos) jurídicamente se trata de un solo fichero de carácter "mixto" (automatizado y no automatizado) que ha sido creado con la finalidad de gestionar las relaciones comerciales entre la empresa y sus clientes."

Ojo, que según la LOPD también tienes que cambiar las contraseñas como poco cada año, y no te he visto mencionarlo.

Lo cual me parece el colmo, forzar a que los usuarios tengan que cambiar su contraseña porque la puta LOPD lo quiera (en casi ningún sitio, como usuario me he encontrado con que me obliguen a cambiar la contraseña. Y sin embargo, parece que es una exigencia de la LOPD...).

por ejemplo, lo de las contraseñas ya no debería ser un concepto sólo para cumplir la LOPD, sino por seguridad. Es recomendable cambiar los passwords con cierta periodocidad y tenerlos con cierta compejidad.

Miremos el lado positivo, hay cosas que te hacen hacer que a lo mejor uno no haría si no estuviera obligado, y de esta forma también te obligas a ti mismo a tener un orden y cumplir unas normas básicas de seguridad.

Otra cosa obligatoria a cumplimentar o tener en el documento de seguridad: lo de los inventarios. Eso también es muy importante independientemente de esta ley.

Si lo miramos des del vista práctico para nosotros, os será más llevadero y más fácil entender (dentro de lo que cabe)


Falsico:

¿qué nivel son tus datos? Ya que el básico no te obliga a tenerlos cifrados.

mira la tabla que hay en la página 12, 13, 14:
https://www.agpd.es/portalwebAGPD/ca...RIDAD_2010.pdf
el nivel básico no obliga la encriptación de datos.

Hola.
Manejas datos médicos, por lo que lo relativo a esos datos médicos le tienes que aplicar un nivel alto de seguridad (el resto de datos personales cada uno se le aplica su nivel de seguridad: datos administrativos de pacientes, trabajadores, curriculum etc)


Yo en tu caso me leería este documento:

https://www.agpd.es/portalwebAGPD/re...HOSPITALES.pdf

Por cierto, el que te haga esto en 5 minutos, es como el masajista (normalmente oriental) de la playa que te da un masaje.

Saludos
Enrique
www.proteziona.com