Desde el 25 de mayo de 2018 el reglamento europeo 2016/679 (RGPD) es la única normativa aplicable en materia de protección de datos de carácter personal en toda Europa. Por ello, desde Summar han detallado una relación de cuestiones diversas que por la aplicación del RGPD, pueden afectar a la operativa del software. Además han puesto especial atención a las capacidades de las soluciones que pueden ayudar al cumplimiento del RGPD en su rol de responsables del tratamiento de datos personales.
1- Contrato Anexo Responsable-Encargado: El RGPD hace obligatorio regular la relación responsable-encargado mediante un contrato, por lo cual les hemos remitido el anexo correspondiente, que sustituye al anterior relativo la LOPD.
2- Control de accesos lógicos a Labor, Mentor, Suasor: El control de accesos lógicos al software, Labor, Mentor y Suasor, dispone de herramientas adecuadas para poder soportar sus procedimientos de seguridad, en cuanto a:
a) Identificación de usuarios: Uso nominal, patrones y caducidades de contraseñas, bloqueo tras intentos fallidos, obligación de cambio de contraseñas al 1er acceso, no recordatorio de contraseñas y su almacenamiento encriptado, todo ello gestionado mediante el Directorio Activo (DA) de Microsoft.
b) Registro de accesos: Además de las utilidades que puede aportar el DA a este respecto, Labor, Mentor y Suasor disponen de un registro de inicio y fin de sesiones, gestión configurable de privilegios de acceso de los usuarios a datos, funciones y documentos y un registro de cambios de datos configurable a nivel de campo.
3- Control de accesos lógicos a los Portales Labor, Mentor y Suasor: El control de accesos lógicos a los Portales de Labor, Mentor y Suasor disponen de las capacidades siguientes:
a) Identificación de usuarios: Uso nominal, patrones y caducidades de contraseñas, bloqueo tras intentos fallidos, obligación de cambio de contraseñas al 1er acceso, no recordatorio de contraseñas y su almacenamiento encriptado.
b) Registro de accesos: Registro de inicio de sesiones y de descarga de documentos, gestión configurable de acceso de los usuarios a datos y documentos y un registro completo de cambios e inserciones de datos solicitado mediante las notificaciones.
4- Encriptación de la base de datos: La encriptación de la base de datos no es obligatoria, y su efecto puede suplirse mediante una seguridad de accesos a los medios físicos (copias y discos) adecuada y la asignación de privilegios de administrador a un usuario clave de la aplicación para que supervise las intervenciones técnicas. La opción de encriptación de la base de datos de Navision soportada por Microsoft es la TDE (Transpa- rent Data Encryption) de SQL Server, utilidad disponible únicamente en las licencias Enterprise que deberían contratarse aparte, incluso para los Clientes con el servicio de Plataforma / Hospedaje.
5- Encriptación en los procesos de transmisión: Consideramos necesario la encriptación de los datos en todos los procesos de transmisión, cumpliendo el estándar SSL:
a) Servicio de Plataforma/Hospedaje: Para los Clientes que usan nuestro servicio de Plataforma / Hospedaje utilizamos la encriptación de Citrix en el ámbito de Labor, Mentor y Suasor, tanto para la conexión de los usuarios como para la de nuestros técnicos. En el ámbito de los Portales, los usuarios acceden mediante sesiones https con certificados proporcionados por nosotros o por el Cliente.
b) Conexión a la base de datos de Clientes: Los Clientes que administran su propia plataforma, deben desplegar el software de manera similar a la indicada en el punto anterior, estableciendo una transmisión encriptada para los usuarios, aportar un certificado adecuado para las sesiones https de los Portales y proporcionar a nuestros técnicos la infraestructura necesaria para establecer una conexión VPN encriptada cuando sea necesario.
c) Conexión a los puestos de trabajo de los usuarios: Nuestros consultores se conectan con los puestos de trabajo de los usuarios cuando éstos lo requieren, mediante la herramienta de control remoto (Help desk) ISL, cuya conexión está encriptada.
d) Intercambio de datos entre Responsable y Encargado: Para aquellos casos que sea necesario el intercambio de datos entre el Responsable y el Encargado, ofrecemos nuestro sistema One Drive Empresarial en Azure (cloud de Microsoft), con ambas conexiones y almacenaje encriptados.
6- Anonimización: En relación con el punto 5c, cuando nuestros consultores copian datos de un Cliente para reproducir una incidencia en nuestros sistemas, dicha copia se transmite a través de la herramienta ISL y los datos se anonimizan, para que la persona no pueda ser identificada.
7- Bloqueo de datos: Para facilitar el cumplimiento del posible ejercicio de los derechos de limitación y oposición de las personas, Labor, Mentor y Suasor disponen de una gestión de bloqueos para que, cuando el Cliente la aplique, no se pueda realizar ninguna transacción más con los datos de la persona bloqueada (empleado, candidato, cliente, representante, contacto…etc.), manteniendo esos datos debidamente identificados.
8- Derecho de cancelación: Para facilitar el cumplimiento del derecho de cancelación, el software dispone de una utilidad para el borrado de los datos de una persona.
9- Derecho de acceso: Para facilitar el cumplimiento del derecho de acceso, se dispone de una utilidad en Labor y Mentor para volcar los datos de una persona a MS Excel.
10- Derecho de portabilidad: El derecho de portabilidad entendemos que no tiene mucho sentido en nuestro ámbito de actuación, con la posible salvedad de un cliente de un Despacho; en este caso consideramos que las diversas utilidades para exportar los resultados de los servicios prestados (impuestos y declaraciones, contabilidades…etc.) dan suficiente cobertura a los improbables ejercicios de derecho de portabilidad que pudieran darse.
11- Servicios de Plataforma: Nuestro proveedor de los servicios de Plataforma / Hospedaje está en trámites de obtener la certificación ISO 27018, que añadida a las 9001, 27001 y Tier III Compliance, permite garantizar de la mejor manera la continuidad de los datos, copias de seguridad y gestión de soportes, control de accesos físicos y las mejores prácticas preventivas en materia de seguridad.