Cosas a tener en cuenta para una zona privada

monicapo · #1 (**permalink**) 29/02/2016, 02:53

Estoy pensando en crear una zona privada para mi web, que sea para el uso de los empleados de mi empresa. Por supuesto, con datos privados y personales.

Y estoy perdidisimo con lo que tengo que hacer en temas legales.

Se que tengo que pedir al hosting un certificado SSL para que la conexion y el intercambio de datos esté cifrado. ¿Pero entra en juego la LOPD en este asunto si ya existe una conexión cifrada segura?

bludog · #2 (**permalink**) 01/03/2016, 14:08

Imagino que los "empleados" deberían firmar algún contrato de confidencialidad y que este mismo sea redactado por una oficina experta en temas digitales. Ojo, no toda la gente de este foro está en España, ojo con los "consejos" que recibas.

¿Lo del cifrado es necesario?

Suerte!

monicapo · #3 (**permalink**) 01/03/2016, 14:20

Hombre, lo del cifrado lo veo necesario, porque entrarán en la zona privada usando un usuario y una contraseña. Y lo que van a ver son documentos privados. Mejor que esa información "viaje" encriptada.

Aún así ya tengo pensado también guardar las contraseñas en la base de datos en MD5, para más seguridad.

darchy · #4 (**permalink**) 01/03/2016, 20:24

Cita:

Iniciado por monicapo

Aún así ya tengo pensado también guardar las contraseñas en la base de datos en MD5, para más seguridad.

hombre, es que eso es basico, más que el SSL

Jaime_Alons · #5 (**permalink**) 02/03/2016, 11:08

Vas a tener que investigar un poco en la http://www.agpd.es, obviamente debes poner cuantas medidas de seguridad sean necesarias para proteger esos datos, certificado ssl, cifrado de documentos en el servidor, etc...

Por otro lado creo que hay que dar de alta la existencia de que tienes un fichero con ese tipo de datos, y si son clasificados como nivel medio-alto (datos médicos, infracciones penales o administrativas, ideología-religión, afiliación sindical...) yo tendría mucho cuidado, ya que las multas pueden ser muy importantes.

monicapo · #6 (**permalink**) 11/03/2016, 02:18

Bueno, para al que le interese envié la pregunta a la atención al ciudadano de la Agencia Española de Protección de Datos:

Cita:

En contestación a su consulta se le informa que el artículo 6 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (LOPD) señala que:

1. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa.

2. No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 7, apartado 6, de la presente Ley, o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado.

3. El consentimiento a que se refiere el artículo podrá ser revocado cuando exista causa justificada para ello y no se le atribuyan efectos retroactivos.

4. En los casos en los que no sea necesario el consentimiento del afectado para el tratamiento de los datos de carácter personal, y siempre que una Ley no disponga lo contrario, éste podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal. En tal supuesto, el responsable del fichero excluirá del tratamiento los datos relativos al afectado.

Y termina resumiendo los párrafos para mi caso particular:

Cita:

En este sentido, al existir una relación jurídica la información se podría publicar sin consentimiento de los trabajadores siempre y cuando los citados datos personales objeto de publicación estén relacionados con la prestación laboral. No obstante, y para prevenir la posibilidad de recibir ataques informáticos, se recomienda que la publicación se realice en una Intranet.

Muy interesante esta respuesta y además es un documento oficial que incorpora firma electrónica y verificación.

lagardel · #7 (**permalink**) 27/03/2016, 07:05

Muy interesante, aun asi yo no me arriesgaria a tener en mi posesion determinados datos de mis empleados, una cosa es tener sus telefonos y correos y otra cosa muy diferente es tener datos de caracter medico, etc.

También puedes contratar una auditoria externa de tu intranet para que te digan que es lo que tienes mal o bien y te excuse un poco de cara a la LOPD.