Robo de memoria usb de un hospital público que contiene datos personales de trabajadores.
Posted: agosto 21st, 2010 | Author: admin | Filed under: Administración pública, creación de fichero, currículum vitae, deber de secreto | No Comments »El diario Heraldo de Aragón publica la siguiente noticia “Roban datos de trabajadores del Provincial”, información que un particular pone en conocimiento de la AGPD, la que inicia las investigaciones que finalizan con la declaración de dos infracciones graves (falta de seguridad y falta de creación del fichero) como se expone en la AP/00018/2010, R/01436/2010 de 2-07-2010.
Durante la visita de la inspección de la AGPDA realizada al Hospital, se constata que entre los objetos sustraídos, figura un dispositivo de almacenamiento usb de 1gb capacidad, color blanco y marca que se desconoce, conteniendo en su interior un fichero con los datos personales y de la nómina del citado hospital, lápiz de memoria que fue proporcionado por el servicio de informática al servicio de personal del hospital.
¿Que contenia el usb robado?.
En el momento del robo, la información contenida en el mencionado soporte consistía en diversos datos de carácter personal:
1.- un fichero con la nómina del personal, cuyo destino era la entidad bancaria que realiza los pagos de dicha nómina, con el nombre, los apellidos, el código de cuenta corriente y el salario. El motivo de que se llevase dicho soporte al banco es que anteriormente dicha transferencia de información se realizaba en disquetes, que frecuentemente resultaban dañados en los arcos de seguridad de la sucursal bancaria. Aclaran igualmente que el código de cuenta corriente figuraba codificado.
2.- un fichero de trienios, conteniendo la información acerca de las personas que tenían un trienio recientemente reconocido y que había que comenzar a pagar. El contenido concreto del fichero era el nombre, la categoría profesional, la fecha del trienio y el importe.
3.- un fichero de costes, utilizado para la realización de estudios de costes, conteniendo: nombre, gfh (grupo funcional homologado) y coste asociado.
El servicio de informática dispone del software TrueCrypt para el cifrado de soportes, a disposición de aquellos usuarios que lo soliciten. Actualmente se utiliza únicamente en el Servicio de Informática.
El hospital toma medidas de seguridad … pero despues del robo.
Durante la visita de inspección los representantes del mismo informan ademas de las medidas adoptadas a raíz del robo:
a.- Instalación de un sistema de alarma y videovigilancia.
b.- Transmisión telemática de los datos de nóminas a la entidad bancaria.
c.- Deshabilitación de los puertos USB en todos los equipos excepto en aquellos en que se solicite habilitación, de forma expresa.
Exponen los representantes del Hospital que el documento de seguridad se encuentra en desarrollo y que tampoco disponen del registro de incidencias ni del registro de soportes.
¿Y el documento de seguridad? … en fase de creación.
En el Acta de inspección consta que el documento de seguridad está en elaboración, y que no tienen registro de soportes ni registro de incidencias, aunque si dos documentos estableciendo las funciones del personal que trabaja con ficheros que contienen datos de carácter personal:
a.- Funciones y obligaciones específicas de cada usuario.
b.- Obligaciones de los usuarios de ficheros con datos de carácter personal.
El primero de ellos debe ser firmado por los nuevos usuarios del sistema de información del Hospital, a quienes se les entrega en el mismo acto una copia del segundo documento.
Los representantes del Hospital aportan copias de los documentos mencionados.
Las comprobaciones de los inspectores de la AGPD.
Los inspectores de la Agencia realizaron las siguientes comprobaciones:
a. Se accedió al ordenador del Jefe de Servicio, donde tras insertar un lápiz de memoria en un puerto USB se verificó que el sistema requiere permisos de administrador para la instalación del mismo.
b. Se accedió a los ordenadores de los dos jefes de sección con que cuenta el Servicio, verificando que en uno de ellos el sistema operativo requiere la instalación de un software que precisa de privilegios de administrador, mientras que el segundo tiene habilitado el acceso, manifestando su usuaria que dicha habilitación se solicitó al tener que trasladar copia de la información de un concurso a un ordenador portátil para ser usado en la Mesa de Valoración.
c. Se accedió a tres ordenadores seleccionados al azar entre el resto de los equipos del Servicio, comprobando que en dos de ellos está habilitado el uso de dispositivos de memoria extraíbles, mientras que en el tercero de ellos no lo está. (Folios 24 y 25).
El deber de seguridad, segun la LOPD.
En referencia al deber de seguridad la LOPD –art. 9- impone al responsable del fichero la adopción de medidas de seguridad que eviten accesos no autorizados, por lo que el mantenimiento de ficheros carentes de medidas de seguridad que permitan accesos o tratamientos no autorizados, cualquiera que sea la forma o modalidad de éstos, constituye una infracción tipificada como grave.
¿Y que dice la normativa especifica en materia de seguridad?
En referencia a las infracciones objeto de análisis, el Real Decreto 1720/2007 establece lo siguiente:
Artículo 90. Registro de incidencias.
Deberá existir un procedimiento de notificación y gestión de las incidencias que afecten a los datos de carácter personal y establecer un registro en el que se haga constar el tipo de incidencia, el momento en que se ha producido, o en su caso, detectado, la persona que realiza la notificación, a quién se le comunica, los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas.
Artículo 92. Gestión de soportes y documentos.
1. Los soportes y documentos que contengan datos de carácter personal deberán permitir identificar el tipo de información que contienen, ser inventariados y solo deberán ser accesibles por el personal autorizado para ello en el documento de seguridad.
Se exceptúan estas obligaciones cuando las características físicas del soporte imposibiliten su cumplimiento, quedando constancia motivada de ello en el documento de seguridad.
2. La salida de soportes y documentos que contengan datos de carácter personal, incluidos los comprendidos y/o anejos a un correo electrónico, fuera de los locales bajo el control del responsable del fichero o tratamiento deberá ser autorizada por el responsable del fichero o encontrarse debidamente autorizada en el documento de seguridad.
3. En el traslado de la documentación se adoptarán las medidas dirigidas a evitarla sustracción, pérdida o acceso indebido a la información durante su transporte.
4. Siempre que vaya a desecharse cualquier documento o soporte que contenga datos de carácter personal deberá procederse a su destrucción o borrado, mediante la adopción de medidas dirigidas a evitar el acceso a la información contenida en el mismo o su recuperación posterior.
5. La identificación de los soportes que contengan datos de carácter personal que la organización considerase especialmente sensibles se podrá realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido, y que dificulten la identificación para el resto de personas”.
Al final, dos infracciones graves.
Se constata la infracción de dos obligaciones:
a.- la primera la de dictar la preceptiva disposición de creación del fichero o de los ficheros del Hospital, lo que supone una vulneración del artículo 20 de la LOPD.
b.- la segunda (art. 9 LOPD) la de mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen (el RD 1720/2007).
© Ramon Arnó Torrades, 2010, Lleida.