lunes, mayo 18, 2009

Aplicación de la LOPD a la memoria RAM [I de IV]

**************************************************************************************************
Artículo escrito por Juan Luís G. Rambla, Juan Garrido Caballero y Chema Alonso
- Aplicación de la LOPD a la memoria RAM [I de IV]
- Aplicación de la LOPD a la memoria RAM [II de IV]
- Aplicación de la LOPD a la memoria RAM [III de III]
- Aplicación de la LOPD a la memoria RAM [IV de IV]
**************************************************************************************************

1.- Aplicación Técnica de la LOPD

Uno de los grandes problemas funcionales con los que se encuentran las empresas a la hora de aplicar las medidas reguladoras, establecidas en la Ley Orgánica de Protección de Datos de Carácter Personal[1], es la de si sus sistemas y aplicaciones cumplen con la normativa vigente. A pesar de haber invertido un esfuerzo tanto humano como económico, queda la incertidumbre de posibles resquicios técnicos y legales de elementos muy presentes, pero a veces, no suficientemente conocidos por los administradores de sistemas.

A través de este trabajo se evaluará una de las grandes dudas: La funcionalidad de los procesos de memorias intermedias, la situación de los datos que quedan residentes como datos temporales y la interpretación legislativa de dichos elementos. Se intentará dilucidar por lo tanto la situación en la que queda dicha implementación técnica.

Cuando se establece la iniciativa para promover una ley que regule el marco de trabajo con datos de carácter personal, uno de los principios fundamentales es el de la seguridad de los mismos. Ciñéndose a este principio, se establecía la necesidad de adoptar medidas tanto técnicas como organizativas que garanticen la seguridad. Entre dichas medidas, quedan previstas en la Ley Orgánica de Datos de Carácter Personal 15/1999 aquellas que eviten la alteración, perdida, tratamiento o acceso no autorizado, independientemente de la tecnología empleada, la naturaleza de los datos o los riesgos a los que puedan ser sometidos.

Puesto que la LOPD no reflejará dichos mecanismos a emplear, los requisitos y condiciones deben ser establecidos reglamentariamente a través de un Real Decreto que desarrolla la LOPD. Es por lo tanto, a través del Nuevo Reglamento de desarrollo 1720/2007[2], en el que nos fundamentaremos para la aplicación de las garantías legales necesarias a una implementación técnica muy utilizada pero a la vez bastante desconocida.

Como aspecto fundamental para el tratamiento de los datos de Carácter Personal, el Reglamento de desarrollo de la LOPD, adopta una serie de principios técnicos y organizativos para garantizar la seguridad de los datos, independientemente del soporte o formato en que se pudieran encontrar. Estas medidas de seguridad para el tratamiento de los datos quedan dispuestas a través del Título VIII, dónde se indica que deben ser adoptadas las mismas en función de los diferentes niveles de seguridad.

2.- Ficheros Temporales en LOPD

Uno de los artículos más transcendentales, pero del que curiosamente no se suele dar mucha importancia, lo refleja el artículo 87, sobre la funcionalidad de los ficheros temporales o copias de trabajo de documentos:

1. Aquellos ficheros temporales o copias de documentos que se hubiesen creado exclusivamente para la realización de trabajos temporales o auxiliares deberán cumplir el nivel de seguridad que les corresponda conforme a los criterios establecidos en el artículo 81.

2. Todo fichero temporal o copia de trabajo así creado será borrado o destruido una vez que haya dejado de ser necesario para los fines que motivaron su creación.

Independientemente por lo tanto del escenario, hay que tener muy presente dicho articulado y lo que representa adicionalmente el número 81 citado. En este se establecen los diferentes niveles de seguridad existentes para la adopción de medidas y el tipo de datos vinculado a cada uno de ellos. Se hace por lo tanto necesario aplicar cualquier mecanismo de índole técnico y organizativo en todos aquellos datos derivados de usos temporales, de la misma forma que lo haríamos sobre los datos propiamente en sí.

Uno de los grandes problemas cuando hay que hacer una interpretación técnica de un documento es la que conlleva conocer la definición a la que se hace referencia, y en este caso concreto, conocer qué es un “fichero temporal”. Afortunadamente es el propio reglamento a través de las definiciones de tipo técnicas para lo dispuesto en el título VIII, recogidas en el Artículo 5, quien establece que es un fichero de tipo temporal:

g) Ficheros temporales: ficheros de trabajo creados por usuarios o procesos que son necesarios para un tratamiento ocasional o como paso intermedio durante la realización de un tratamiento.

Es importante tener en cuenta a través de esta definición, que un fichero temporal, y en contra de lo que creen muchas personas, será cualquier elemento utilizado para la realización de un tratamiento o procesado, que pueda llegar a almacenar datos tipificados como de carácter personal.

Entre los ficheros temporales quedan claros que son todos aquellos listados intermedios, extracción parcial de datos en algún soporte e incluso informes impresos para cualquier toma de decisiones. No obstante, dicho tratamiento no se refiere sólo aquellos consignados por los usuarios de un sistema informático, sino también a los derivados de procesos automatizados necesarios para la realización de las tareas, pero a la vez vinculados a datos de carácter personal, como los que pudieran derivarse del uso del sistema operativo o las aplicaciones utilizadas por los usuarios.

Por ejemplo, nadie discute que en la apertura de un documento tipo ofimático con una herramienta para el procesado de textos, genera un fichero de tipo temporal como proceso adicional para la realización de las tareas de trabajo con el documento. No obstante no suele preocupar mucho, puesto que en las condiciones de la creación de dicho documento se consignan los mismos principios de seguridad, que se establecen en el fichero del cual proceden. Toda vez que el fichero ha cumplido su cometido, este fichero de tipo temporal es eliminado automáticamente sin que el usuario necesite realizar alguna acción sobre el mismo. Por lo tanto estaríamos cumpliendo los dos principios consignados a través del artículo 87:

- Cumplimiento de los niveles de seguridad según correspondan a los criterios establecidos.

- Borrado o destrucción de todo fichero temporal una vez que haya dejado de ser necesario, puesto que ha cumplido con su cometido.

**************************************************************************************************
Artículo escrito por Juan Luis Rambla, Juan Garrido Caballero y Chema Alonso
- Aplicación de la LOPD a la memoria RAM [I de IV]
- Aplicación de la LOPD a la memoria RAM [II de IV]
- Aplicación de la LOPD a la memoria RAM [III de III]
- Aplicación de la LOPD a la memoria RAM [IV de IV]
**************************************************************************************************

Entrada destacada

Infraestructuras Críticas y Sistemas Industriales: Auditorías de Seguridad y Fortificación de @0xWord

Desde hoy está disponible a la venta un nuevo libro de 0xWord centrado en la seguridad de los Sistemas Industriales y las Infraestructuras...

Entradas populares