Formas de proceder ante la Autoridad Inspectora
| Autor | Jorge Ortega Soriano - Javier Salla García |
| Páginas | 109 - 124 |
Page 109
El inicio de un procedimiento de inspección en materia de protección de datos puede tener varios tipos de comunicación al responsable de Fichero.
Con previo aviso
En el caso de que los inspectores puedan entender que no existe un riesgo de destrucción de pruebas y/o la dimensión de la empresa exija la presencia de personal especializado para gestionar los requerimientos de información y accesos que se necesita en toda inspección en materia de protección de datos.
Formas de aviso
• Mediante llamada telefónica del inspector de la Agencia competente, donde se citará día y hora al responsable de fichero y/o su representante con el fin de atender a las actuaciones de control.
• Mediante un fax enviado a la sede del responsable del fichero.
• Cualquier otro medio que pueda dejar constancia fehaciente de la notificación.
Page 110
Sin aviso previo
En el caso de que pueda entenderse que existe riesgo de destrucción de pruebas o que el efecto sorpresa es un elemento importante para efectuar un control efectivo de la actividad, los funcionarios de la autoridad de control encargados de realizar las labores de inspección actuaran sin aviso previo.
Preparar la documentación necesaria para atender una inspección es una labor previa importante. La documentación que se solicitará en todo procedimiento de inspección en materia de protección de datos de carácter personal es:
• Documento de Seguridad.
• Última auditoria RMS.
• Contratos de tratamiento de datos por cuenta de terceros (12.2 LOPd).
• Protocolos de conservación de documentación117.
Page 111
[ESQUEMA EN PDF ADJUNTO]
En referencia al documento de seguridad es importante comprobar que todos los registros se encuentren debidamente actualizados, especialmente en cuanto a:
• Aceptación de cargos (Responsable fichero, Responsable Seguridad, etc.).
• Registro de entrada y salida de soporte.
• Registro de usuarios.
• Normas de uso de la red corporativa.
• Registro de consentimientos.
Page 112
• Registros de encargados de tratamiento.
• Repaso del inventario de aplicaciones.
• Repaso del mapa de sistemas.
Aparte el tema documental, también conviene designar las personas más adecuadas dentro de la organización para atender la inspección. En este punto hay que tener presente la necesidad de elegir exactamente las personas con los conocimientos y el autodominio necesarios para dar la información precisa y necesaria en la justa medida y proporción a los intereses de la organización, colaborando con la inspección, pero sin excesos.
Otro elemento importante a valorar es el lugar físico donde se dará acomodo a los inspectores para que redacten sus actas y tengan intimidad. Lógicamente dicho lugar será de contenido neutro, sin acceso a datos personales de ningún tipo y sin posibilidad de detectar posibles irregularidades en la materia. También hay que recordar que dicho espacio tendrá que tener las correspondientes conexiones al suministro eléctrico para los ordenadores e impresora de los funcionarios.
También se tendrá que determinar cuál será el ordenador de acceso a la red corporativa y quién será el operador que realice dicha función. Hay que tener presente que en raras ocasiones son los mismos inspectores quienes operan en los sistemas de información de las empresas; lo habitual es que sean los propios operarios facilitados por la empresa responsable de fichero quien, a requerimiento de los inspectores, vayan realizando las operaciones y los accesos solicitados.
Por otro lado, excepto en denuncias concretas, el acceso a la red corporativa mediante uno u otro usuario y/o ordenador no suele revestir importancia, siendo elección del inspeccionado en multitud de ocasiones. Es por tanto prudente revisar con anterioridad a la presencia de los inspectores el ordenador que se pretende utilizar, controlando la presencia de todo tipo de situación susceptible de generar dudas o controversias en materia de protección de datos de carácter personal.
Page 113
Hay que recordar que en muchas organizaciones no existe una auténtica política de uso de la red corporativa y por tanto pueden existir una gran cantidad de datos particulares introducidos por los diferentes usuarios sin autorización y control de la organización. dicha circunstancia puede generar severos problemas al responsable de Fichero, ya que tendrá que acreditar la no vinculación con dichos datos y además podría ser sancionado como responsable legal de las acciones efectuadas por sus empleados. según el artículo 1903 de código civil, es el empresario el que tiene la responsabilidad de los actos de sus empleados «… son responsables…los dueños o directores de un establecimiento o empresa respecto de los perjuicios causados por sus dependientes en el servicio de los ramos en que los tuvieran empleados, o con ocasión de sus funciones». responsabilidad empresarial que deriva de la propia culpa in eligendo o in vigilando.
una buena praxis que puede evitar un serio disgusto a la hora de atender una inspección es la revisión de los «campos de texto abierto» de las aplicaciones informáticas obrantes en la organización, ya que en alguna ocasión han sido fuente de observaciones sobre personas identificadas o identificables con comentarios subjetivos que pueden resultar poco respetuosos e incluso ofensivos118.
Personal Obligatorio
Representante del responsable del Fichero
Es recomendable, en el caso de actuación con aviso previo, tener la documentación acreditativa de la condición de representante legal.
También es importante la preparación previa de las posibles preguntas y sobre todo la mentalización sobre el control de las posibles respuestas incriminatorias119
Page 114
Recomendable
Representante de sistemas de Información
La gran complejidad de los sistemas de información actualmente puede hacer necesaria la presencia de un técnico en sistemas para operar según los requerimientos de los funcionarios encargados de la inspección.
La visión de un técnico propio de la organización también permitirá en fases posteriores valorar con mayor conocimiento de causa los objetivos y las líneas de actuación de las acciones inspectoras, pudiendo proponer soluciones o hipótesis de trabajo.
En todo caso el operador tecnológico tiene que estar adecuadamente aleccionado sobre el contenido y alcance de sus actuaciones, evitando en la medida de lo posible actuaciones fuera de lo estrictamente necesario.
...
Para continuar leyendo
Solicita tu prueba