Registre d'accessos LOPD
El registre d’accessos LOPD és una de les mesures de seguretat que sol portar majors mals de cap per a les empreses que han de complir la normativa. En aquest article, analitzarem des d’una perspectiva pràctica en què consisteix aquesta mesura de seguretat que en els articles 103 i 113 del RLOPD.
Quan és obligatori el registre d’accessos LOPD?
La implementació del registre d’accessos LOPD, es preveu exclusivament per a aquells recursos de tractament de dades (programes, arxivadors, equips o suports), que exigeixin un nivell de seguretat alt. Això és, únicament quan les dades personals incloguin, a més d’altres, dades d’ideologia, afiliació sindical, religió, creences, origen racial, salut o vida sexual.
En el dia a dia de les empreses, el cas més habitual sol ser el de les dades de salut ja sigui per què presten un servei d’aquest tipus o per què puguin tractar aquestes dades en algun moment determinat (especialment, en relació als seus treballadors).
Per a recursos informàtics i per als arxivadors en paper, també
El registre d’accessos LOPD és no únicament exigible per al tractament de dades en suport informàtic, sinó per als arxivadors en paper que emmagatzemin dades de nivell alt. Aquesta mesura de seguretat difícilment s’aplica en la majoria de casos malgrat la seva vigència i obligatorietat posat que a nivell pràctic dificulta molt l’accés a la documentació. En tot cas, com diem, és una mesura plenament vigent i, per tant, exigible.
Quina informació ha d’incloure el registre d’accessos?
Espanya disposa d’una normativa en relació a mesures de seguretat extremadament detallada i que deixa poc espai a la imaginació i creativitat. Així, el RLOPD és realment concret en les mesures de seguretat, el registre d’accessos no podia ser una excepció.
En l’article 103 estableix clarament que el registre haurà de guardar, com a mínim, la següent informació: la identificació de l’usuari, la data i hora en què es va realitzar, el fitxer accedit, el tipus d’accés i si ha estat autoritzat o denegat. I afegeix: si l’accés ha estat concedit, deurà també registrar-se el registre al que s’ha accedit.
En el cas del paper, l’article 113 simplement estableix que hauran d’establir-se mecanismes per determinar qui ha accedit a l’arxivador quan accedeixin al mateix múltiples (més d’un) usuaris.
Quant de temps ha de guardar-se el registre?
De nou poc espai per a la imaginació: dos anys. A més, amb una periodicitat mensual, el Responsable de Seguretat de l’empresa o organització, revisarà el registre d’accessos LOPD i elaborarà un informe de la revisions realitzades i de si ha sorgit alguna incidència.
No és sempre obligatori
En el cas que el responsable del fitxer sigui una persona física i sigui l’únic que accedeix a les dades, encara que siguin de nivell alt, serà possible no activar el registre d’accessos LOPD.
Disposo d’un programa que no té el registre disponible
Sol succeir que moltes vegades les empreses usen programes de tercers que poden no estar adaptats a les exigències de la LOPD i que no tenen disponible, per exemple el registre d’accessos. En aquests casos les empreses no tenen la capacitat d’activar-ho ja que simplement, el programa no ho preveu.
En aquestes situacions és recomanable remetre a l’empresa propietària o que comercialitza el programa una notificació amb la deficiència detectada a l’efecte de demostrar la nostra diligència i que en cas d’inspeccions de l’AEPD, no tinguem problemes de responsabilitat.
Si tens dubtes sobre aquest o qualsevol altre tema, no dubtis en contactar-nos!