ASX 11 1 asxM11-CT01 CONTROL 1 CT-01ñ

CAS PRÀCTIC: Llei de protecció de dades

Leo acaba de ser contractat com a tècnic informàtic per l’empresa TUSALUD SL, que gestyiona una
clínica dental anomenada MIRAM. Al revisar la documentació de l’empresa, descobreix que als pacients
no se’ls informa que les seves dades seran incorporats a un fitxer per al seu tractament. A més,
l’informàtic anterior no ha donat d’alta en la AEPD cap dels fitxers que utilitza l’empresa. Aquests fitxers
inclouen dades dels pacients, mentre que una gestoria externa s’ocupa de l’elaboració de les nòmines i
assegurances socials.

La clínica té dos ordinadors, un a la consulta i altre a recepció. A la clínica treballen amb un Windows en
xarxa i les dades estan incloses en una BD Access, guardada a l’ordinador de recepció, que també fa de
servidor web. No utilitzen cap control d’accés a la informació, pel que qualsevol persona que accedeixi
des d’un dels ordinadors de la clínica té accés a les dades recollides en els fitxers.

1) Com a nou responsable d’informàtica, t’han encomenat que indiquis quines mesures hauria de
prendre l’empresa per a complir la LOPD. Separarem les mesures per àrees: IDENTIFICACIÓ D’USUARIS,
CÒPIES DE SEGURETAT, DECLARACIÓ DE FITXERS, DOCUMENT DE SEGURETAT, DESSIGNACIÓ DEL
RESPONSABLE DE SEGURETAT, CLAUSULAT, GESTIÓ DE LES DADES PER TERCERS I AUDITORIA DE
SEGURETAT.

IDENTIFICACIÓ D’USUARIS: Se ha de implementar un sistema de contraseñas para los dos

ordenadores tanto el de la consulta, como el de recepción. Aunque sería más recomendable organizar
los servicios, es decir, separar el servidor web del ordenador donde se encuentan los ficheros en BD
Acces, en otra parte de la clinica apartada del alcance de cualquiera ya sea personal no autorizado o
pacientes
CÒPIES DE SEGURETAT: Se deberán realizar copias de seguridad semanal o mensualmente
dependiendo de la densidad de datos almacenados en ese periodo de tiempo, ademas de que
dependiendo de la cantidad de almacenamiento que la empresa pueda permitirse, se realizará o una
copia completa+incremental o una copia completa+diferencial, estas copias de seguridad se deberán
almacenar en un SAN que estará en un lugara apartado de la clinica o en un edificio apartado de ella
para evitar perdida de información.
DECLARACIÓ DE FITXERS: Antes de dar de alta a los ficheros en la AEPD se notificará a los primeros
clientes si estan de acuerdo en que se guarde esta información de ellos, en caso de negarse, esta
información deberá eliminarse del fichero, mientras que a los nuevos usuarios se les deberá preguntar si
estan de acuerdo en que esta información de ellos se almacene en los ficheros.
DOCUMENT DE SEGURETAT:
En este documento se registrarán todas las medidas y acciones de seguridad, las obligaciones de los
empleados, los registros de incidencias ademas de los registros de todas las acciones realizadas en los
ficheros con información personal, ademas de toda la información acerca de las copias de seguridad.
DESIGNACIÓ DEL RESPONSABLE DE SEGURETAT:
Se designará o contratará a personal cualificado para vigilar por la seguridad de la información de los
ficheros y las copias de seguridad y su acceso
CLAUSULAT:
Se escribirá en el contrato de este personal de seguridad de que no podrán revelar las claves de acceso
de ninguno de los registros de la empresa ya que en caso contrário se tomaran medidas legales en
contra de ellos
GESTIÓ DE LES DADES PER TERCERS:
Se notificará a los usuarios que acciones se harán con sus datos a la hora de compartir esta información
con terceros ya sea por temas de seguridad u otros temas, siempre cumpliendo la rgpd y lopd.
AUDITORIA DE SEGURETAT:
Se realizara una auditoria contratada con una empresa externa para evaluar las vulnerabilidades que
pueda tener el sistema y comprobar que daños podría causar una persona en caso de ataque al sistema
de la empresa, y asi poder tomar medidas de correción y medidas preventivas.

Temps aproximat: 2h Revisió: Setembre-2019 Pàgina 1/3

 ASX 11 1 asxM11-CT01 CONTROL 1 CT-01ñ

2) Anàlisi de mesures de seguretat exigides pel RGPD de la UE o LOPD de l’Estat espanyol.

Marqueu amb una X, a les columnes de la dreta, a quin nivell o nivells s’han d’aplicar les mesures
indicades en la columna de l’esquerra.

Mesures de Seguretat Nivell Nivell Nivell

Bàsic Mitjà Alt
Xifrat de dades per a telecomunicacions X
Registre d’incidències X
Formació i responsabilitat del personal X
Auditoria de seguretat X
Còpies de respaldament i recuperació X
Identificació i autenticació per a accés de dades, de forma obligatòria X
Document de seguretat X
Gestió de suports de les dades X
Mesures addicionals de seguretat per a còpies de respaldament i recuperació X
Responsable de seguretat X

3)
a) Indiqueu cinc exemples de dades personals. Expliqueu breument per què ho són..

-DNI, correo electronico, datos bancarios, historial médico, dirección del domicilio
Estos datos son de caracter personal ya que es informacion alfabetica, numerica, acustica o de
cualquier otro tipo que indentifica y muestra la identidad de una persona fisica y su existencia

b) La conversació telefònica següent vulnera algun dret? Quin?

—Bon dia. És vostè el Sr. X?
—Bon dia. Sí, sóc jo.
—Sóc de la companyia ABC i li volem fer una oferta que li permetrà estalviar en la seva factura del
telèfon. Té Internet a casa amb la companyia TL?
—Sí, exactament.
—Doncs nosaltres li oferim fins a un 40% de descompte en la seva factura i un encaminador sense fils
gratuït en el qual podrà connectar diversos ordinadors. Quantes persones viuen a casa seva?

Ya que el señor X no tiene ninguna relación con la empresa ABC actualmente, esta empresa esta
violando su derecho a la privacidad, ya que el señor de la compañia TL no deberiá conocer ni el
nombre del señor X ni la compañia con la que tiene contratado el servicio de internet.

c) Indiqueu els principis bàsics del RGPD de la EU.

Los principios basicos del reglamento general de protección de datos de la union europea son proteger
el tratamiento de datos de caracter personal por parte de empresas y servicios de sus habitantes ademas
de velar por los derechos de privacidad personales y familiares de los mismos.
d) Definiu:
Dada de caràcter personal: Toda información numerica, alfabetica, acustica, fotografica o de cualquier
otro tipo que identifique la identidad y existencia de una persona fisica.
Fitxer: Conjunto de archivos que contienen datos de manera organizada
Agència de protecció de dades: Entidad publica que se dedica a velar por el cumplimiento de la RGPD
y la LOPD y que sanciona el incumplimineto de las mismas.
e) Indiqueu i expliqueu què és el document de seguretat i quins apartats ha de tenir.
Es un documento de registro de actividades e información que solo lo administra personal autorizado.
Este documento consta de registro de todas las medidas y acciones de seguridad, las tareas de los
empleados, los registros de incidencias ademas de los registros de todas las acciones realizadas en los
ficheros de caracter personal y toda la información acerca de las copias de seguridad.

Temps aproximat: 2h Revisió: Setembre-2019 Pàgina 2/3

 ASX 11 1 asxM11-CT01 CONTROL 1 CT-01ñ

f) Definiu el concepte d’autenticació i expliqueu breument els diferents mecanismes d’autenticació

existents.
La autentificación es la acción de validar que algo que se dice, sea cierto y que no se haya manipulado.
En los diferentes servicios en internet existe un mecanismo llamado autentificación en dos pasos, que
consiste en enviar un correo electronico o un mensaje de texto al propietario de la cuenta para que
pueda verificar que es él y no otra persona que esta intentando acceder a su cuenta.
Otro mecanismo de autentificación es el de validar que un archivo no esta corrupto, se hace
comprobando el peso del archivo con el original. Si este es diferente, significa que ha sido manipulado.
g) Expliqueu la diferència entre criptosistemes de clau privada i criptosistemes de clau pública.
Un criptosistemas de clave privada es un metodo de cifrado con el cual se cifra y se descifra algo con la
misma clave privada, asi el emisor enviará previamente la clave privada al receptor para que este pueda
descifrar el archivo mientras que un criptosistemas de clave publica utiliza dos claves, una publica y una
privada, por lo que a la hora de cifrar, este se cifra con una clave privada y a la hora de descifrar se utiliza
una clave pública.

Temps aproximat: 2h Revisió: Setembre-2019 Pàgina 3/3