El Reglamento de Medidas de Seguridad de Fichero con Datos Personales (RMSDP) establece tres niveles de protección de documentos: básico, medio y alto, y regula –entre otros aspectos- los mecanismos de identificación y autenticación de los usuarios a través del uso de contraseña.
Las medidas de seguridad deben adoptarse según la categoría de los ficheros que estemos manejando, y suponen una ‘escalera’ en la que, según aumenta la seguridad, los requisitos del nivel inferior deben estar cubiertos. De esta manera, los datos que requieran el nivel alto deben asimismo cubrir las medidas de los niveles básico y medio.
Los ficheros de datos sobre salud, que incumben a los Centros de Reconocimiento Médico (CRC), figuran dentro del nivel alto, por lo que, entre otras medidas de seguridad, es necesario disponer de un protocolo para controlar el acceso a las bases de datos, disponer de mecanismos de identificación y autenticación de los usuarios de las bases de datos, cambiando su contraseña al menos una vez al año, establecer medidas adicionales para dichos mecanismos de identificación como, por ejemplo, bloquear el acceso después de 3 intentos fallidos, así como contar con un responsable de seguridad que compruebe que dichas normas se llevan a cabo.
Algunos CRC, por comodidad, costumbre o desconocimiento pormenorizado de la normativa referente a la protección de datos, trabajan de manera sistemática, dentro del software GIC, desde un mismo usuario, con frecuencia el ‘Administrador’, algo prohibido por la legislación: el uso de la identificación de cada usuario es obligatorio para asegurar de manera fehaciente qué persona accede, modifica o borra qué datos y cuándo. Esta premisa, siempre de gran importancia, cobra un carácter vital al tratarse de datos médicos.
Por todo ello, a las herramientas relacionadas con la gestión de usuarios y contraseñas ya ofrecidas con anterioridad en el Programa de Gestión GIC (e) WIN: crear o modificar usuarios, cambios de contraseñas, autorización de permiso para tramitar, etc., en su última actualización –la versión 6.0– incluye un cambio opcional del sistema actual de contraseñas para un mejor cumplimiento de la Ley Orgánica de Protección de Datos (LOPD). De esta manera, se ha habilitado la posibilidad de aumentar la seguridad, bloqueando el acceso ante varios intentos fallidos, así como la obligación de cambiar la contraseña periódicamente. Puede encontrar un tutorial sobre cómo realizar dichos cambios, así como la gestión de los usuarios y permisos accediendo al siguiente tutorial. Asimismo, ha de prestarse especial atención a la concordancia entre el usuario y su firma digital correspondiente, como también explica la guía de uso.