Uno de los conceptos que más dudas crea a nuestros clientes del servicio LOPD es el acceso remoto a datos, a través de redes de telecomunicaciones, ya que al ser una práctica cada vez más habitual en nuestro día a día no suele identificarse fácilmente.
El acceso remoto nos permite realizar trabajos sin pérdidas de tiempo en desplazamientos. Los más habituales son los accesos que realiza nuestro proveedor informático para arreglarnos cualquier fallo en nuestros ordenadores, o nosotros mismos, nos conectamos desde casa al servidor de nuestro trabajo para continuar con lo que no hemos podido terminar en la jornada laboral. Desde Audifarma, por ejemplo, nos conectamos diariamente a diversos clientes para contabilizar en su propio programa informático, sin necesidad de desplazarnos al domicilio del cliente y desde nuestro despacho visualizamos las facturas, albaranes y demás documentos necesarios para llevar a cabo el servicio fiscal, contable o de gestión. Las farmacias por ejemplo, trabajan continuamente realizando accesos remotos, tanto a los servidores de los Servicios Autonómicos de Salud como a los servidores Colegiales, necesarios para la gestión y facturación de la Receta Electrónica. Otro ejemplo son las empresas de seguridad, que pueden conectarse a nuestras cámaras de vigilancia para comprobar si ha saltado la alarma por alguna incidencia o no, y poder avisar así a los cuerpos de seguridad correspondientes.
Pero ¿qué debemos hacer respecto a las exigencias de la LOPD en estas actuaciones?
En primer lugar, y en cuanto al aspecto administrativo, se han de reflejar esos accesos remotos en el Documento de Seguridad del responsable de los datos y, a su vez, firmar un documento o contrato de acceso a datos por cuenta de terceros como encargado de tratamiento, con la entidad o proveedor al que autoricemos a realizar esos accesos. El encargado de tratamiento debe comprometerse a cumplir con las medidas de seguridad requeridas, así como a adecuar sus instalaciones y equipos al nivel de seguridad adecuado dependiendo de los datos a los que vaya a acceder. Lógicamente, las medidas de seguridad son más estrictas si los datos personales a los que se acceden o pueden acceder (la mera visualización de datos ya requiere protección) están asociados a salud, vida sexual, origen racial, ideología, afiliación sindical, religión o creencias. El encargado de tratamiento debe plasmar todo ello en su Documento de Seguridad e informar y pautar a sus trabajadores al respecto que suelen ser, en definitiva, los que en la práctica llevan a cabo los accesos a datos.
Es fundamental, además, que los accesos remotos se realicen siempre previa autorización por parte del responsable de los ficheros, es decir, un proveedor no podrá conectarse a nuestro servidor sin que nosotros le demos permiso.
Debemos tener en cuenta que el acceso será únicamente a aquéllos datos estrictamente necesarios, que no se pueden hacer copias salvo que sea inevitable de acuerdo a la finalidad del acceso o para la prestación del servicio, que no debemos dejar la sesión abierta si no estamos frente al equipo, evitando siempre el acceso por parte de un tercero. La sesión de trabajo remota, por tanto, debe ser igual a un acceso en modo local, es decir, como si estuviéramos físicamente donde está ubicado el ordenador al que accedemos.
En definitiva los accesos remotos a datos, deben garantizar la seguridad de los datos tratados, evitando su alteración, pérdida y tratamiento o acceso no autorizado, y quien acceda remotamente se ha de comprometer a respetar, cumplir y mantener las medidas de seguridad requeridas.
Verónica G. Doylataguerra
Responsable departamento jurídico Audifarma