Cerrar

Banner registro Emprenemjunts

El registro de incidencias LOPD

La adecuada gestión del registro de incidencias, puede ser vital para la seguridad de una empresa

José Manuel Sanz

José Manuel Sanz

Publicado el lunes, 19 de diciembre de 2016 a las 07:26

Mostrar ampliado

José Manuel Sanz

José Manuel Sanz

Uno de los procedimientos que más valor tiene en la gestión de la información y que además está regulado por el Reglamento de Desarrollo de la LOPD (1720/2007 de 21 de diciembre), es la gestión de incidencias. A pesar de la importancia del mismo, sin embargo, no se suele prestar mucha atención sobre él.

El artículo 90 del mencionado reglamento indica:

Artículo 90 Registro de incidencias

Deberá existir un procedimiento de notificación y gestión de las incidencias que afecten a los datos de carácter personal y establecer un registro en el que se haga constar el tipo de incidencia, el momento en que se ha producido, o en su caso, detectado, la persona que realiza la notificación, a quién se le comunica, los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas.”

A pesar de esta declaración tan poco concreta, detrás se esconde una herramienta que nos puede permitir conocer el estado real de la seguridad de nuestra estructura y nos permitirá evitar futuras incidencias o al menos, solucionarlas de forma más efectiva. El hecho de registrar y consultar este registro de incidencias, puede permitir a la organización conocer cuales son las incidencias más comunes que se producen y poner medidas correctoras, no solamente el registrar un suceso.

Un registro de incidencias básico, ha de contar con al menos los siguientes campos (siguiendo las directrices del Reglamento):

  • Tipo de incidencia

  • Fecha de la incidencia o de su notificación

  • Persona que ha notificado esta incidencia

  • A quién se escala la incidencia

  • Que efectos se han producido

  • Que medidas correctoras se han puesto en marcha

A pesar de que existen múltiples aplicaciones para gestionar incidencias, muchas de ellas basadas en criterios ITIL, a veces una simple hoja de cálculo puede ser de utilidad para pequeñas estructuras. Ojo, es necesario indicar que si estas incidencias que puedan suceder, no se registran, no servirán de nada ni la mejor aplicación de HelpDesk ni cualquier hoja de cálculo.

Caso práctico.

Vamos a ver algunos ejemplos de como se gestionaría una incidencia LOPD en un caso simple, que creo pueden ser exportables a cualquier estructura. En el primer caso, veremos como gestionar un error con la recuperación de las copias de seguridad y en el segundo veremos como reportar un envío de un email con datos personales a personas diferentes de las interesadas.

 

Caso 1

Uno de los usuarios de nuestra red local, ha tenido un problema con un registro del CRM corporativo que ha sido borrado por error un lunes a media mañana. El usuario intentaba acceder a la ficha de un cliente para confirmar un pedido, pero la base de datos indicaba que ese cliente no existía. Al intentar recuperar esos datos de la copia de seguridad semanal, se ha detectado que la copia del viernes anterior no había sido realizada con éxito y por tanto, se ha tenido que usar una copia con 2 semanas de antigüedad para poder restaurar los datos del cliente.

La estructura dispone de un procedimiento que implica la copia semanal de la base de datos del CRM cada viernes a las 5 de la tarde, guardando todas las copias del mismo mes y sobrescribiendo la primera de la serie.

El proceso de gestión de la incidencia, podría describirse así:

  • El usuario USUARIO1 detecta la falta del registro concreto de un cliente el lunes a las 11:15h.

  • Siguiendo el procedimiento implantado, envía notificación de esta situación al responsable de informática a través de una cuenta de correo electrónico creada para estas situaciones, tipo i[email protected]

  • Se procede a la recuperación de la copia de seguridad del viernes anterior a las 11:45h, pero se detecta un error de integridad en la copia que la hace invalida. Se informa al Responsable de Seguridad

  • Se procede a la recuperación de la copia de seguridad anterior a la última realizada a las 12:15h, esta vez con éxito. Se informa al responsable de Seguridad.

  • El Responsable de Seguridad, registra las incidencias sucedidas y se proponen mejoras.

 

Caso 2

En el segundo ejemplo, la situación es la siguiente: en una empresa, se acaba de incorporar un nuevo trabajador. Uno de los usuarios de administración es el encargado de comunicar esta incorporación a la gestoría que les tramita las nóminas. Por un error a la hora de enviar los datos de filiación del nuevo trabajador, estos no se envían al responsable de recursos humanos, sino al responsable de gestión fiscal y contable.

Es este último, quien advierte del error y comunica al usuario de la empresa que ha enviado el correo de este hecho y este pasa a registrarlo como incidencia.

El proceso sería mas o menos este.

  • El USUARIO1 tiene que comunicar a la gestoría la incorporación de un nuevo trabajador en plantilla.

  • Envía a fiscal@gestoria_falsa.com un correo electrónico con copias adjuntas del dni y tarjeta sanitaria del nuevo trabajador.

  • El receptor del correo electrónico, comunica a USUARIO1 el error y procede a borrar el correo recibido.

  • USUARIO1 vuelve a mandar la documentación a rrhh@gestoria_falsa.com y registra el hecho como incidencia.

  • Se plantea que el envío de documentación con datos personales se haga en un fichero comprimido con una contraseña que solo conocerán las personas destinatarios de estos correos.

Como hemos visto, el registro de incidencias, además de dar cumplimiento a lo previsto en la normativa, puede servir para un mayor control de nuestra estructura. Al conocer cuales son las fallas que se producen y como se solucionan, es más fácil crear un listado de incidencias más comunes y crear procedimientos rápidos de resolución para ellas.

Como siempre digo, la aplicación de la LOPD, es un ventaja competitiva para las empresas que la llevan a cabo, pues las dota de herramientas y metodologías que sirven para un mayor control y mejor proyección de su futuro.

7.015 visitas

Utilizamos cookies propias y de terceros para ofrecerte toda la funcionalidad y una mejor experiencia, obtener estadísticas de tráfico, analizar el uso de la web y mejorar nuestros servicios.
Tienes disponible aquí nuestra política de cookies.
Puedes aceptar todas nuestras cookies pulsando el botón 'ACEPTAR' o configurar aquí tus preferencias.

Estrictamente necesarias +

Estas cookies son necesarias ya que permiten que el sitio web funcione correctamente, no se pueden desactivar.

Estadísticas +

Son las cookies que utilizamos exclusivamente con fines estadísticos para poder analizar cómo los usuasrios hacen uso de la web. Recopila información anónima tal como el número de visitantes del sitio, o las páginas más populares. Activar estas cookies nos permite seguir mejorando.

Funcionales +

Estas cookies son necesarias para el intercambio y presentación de contenidos de plataformas externas como youtube o de redes sociales como facebook, twitter o linkedin.

Marketing y publicidad +

Estas se utilizan para crear perfiles de usuario y analizar la efectividad de campañas publicitarias o para rastrear al usuario en un sitio web o en varios sitios web con fines de marketing similares..

GUARDAR AJUSTESACEPTO