Registro de accesos LOPD
El registro de accesos LOPD es una de las medidas de seguridad que suele llevar mayores dolores de cabeza para las empresas que deben cumplir la normativa. En este artículo, analizaremos desde una perspectiva práctica en qué consiste esta medida de seguridad que en los artículos 103 y 113 del RLOPD.
¿Cuando es obligatorio el registro de accesos LOPD?
La implementación del registro de accesos LOPD, se prevé exclusivamente para aquellos recursos de tratamiento de datos (programas, archivadores, equipos o soportes), que exijan un nivel de seguridad alto. Esto es, únicamente cuando los datos personales incluyan, además de otros, datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual.
En el día a día de las empresas, el caso más habitual suele ser el de los datos de salud ya sea porque prestan un servicio de este tipo o para que puedan tratar estos datos en algún momento determinado (especialmente, en relación a sus trabajadores).
Para recursos informáticos y para los archivadores en papel, también
El registro de accesos LOPD es no únicamente exigible para el tratamiento de datos en soporte informático, sino para los archivadores en papel que almacenen datos de nivel alto. Esta medida de seguridad difícilmente se aplica en la mayoría de casos a pesar de su vigencia y obligatoriedad puesto que a nivel práctico dificulta mucho el acceso a la documentación. En todo caso, como decimos, es una medida plenamente vigente y, por tanto, exigible.
¿Qué información debe incluir el registro de accesos?
España dispone de una normativa en relación a medidas de seguridad extremadamente detallada y que deja poco espacio a la imaginación y creatividad. Así, el RLOPD es realmente concreto en las medidas de seguridad, el registro de accesos no podía ser una excepción.
En el artículo 103 establece claramente que el registro deberá guardar, como mínimo, la siguiente información: la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado. Y añade: si el acceso ha sido concedido, deberá también registrarse el registro al que se ha accedido.
En el caso del papel, el artículo 113 simplemente establece que deberán establecerse mecanismos para determinar quién ha accedido al archivador cuando accedan al mismo múltiples (más de uno) usuarios.
¿Cuánto tiempo debe guardarse el registro?
De nuevo poco espacio para la imaginación: dos años. Además, con una periodicidad mensual, el Responsable de Seguridad de la empresa u organización, revisará el registro de accesos LOPD y elaborará un informe de la revisiones realizadas y de si ha surgido alguna incidencia.
No es siempre obligatorio
En caso de que el responsable del fichero sea una persona física y sea el único que accede a los datos, aunque sean de nivel alto, será posible no activar el registro de accesos LOPD.
Dispongo de un programa que no tiene el registro disponible
Suele suceder que muchas veces las empresas usan programas de terceros que pueden no estar adaptados a las exigencias de la LOPD y que no tienen disponible, por ejemplo el registro de accesos. En estos casos las empresas no tienen la capacidad de activarlo ya que simplemente, el programa no lo prevé.
En estas situaciones es recomendable remitir a la empresa propietaria o que comercializa el programa una notificación con la deficiencia detectada a efectos de demostrar nuestra diligencia y que en caso de inspecciones de la AEPD, no tengamos problemas de responsabilidad.
Si tienes dudas sobre este o cualquier otro tema, ¡no dudes en contactarnos!