¿Quién debe ser el encargado de instalar y modificar las claves de los ordenadores? ¿alguna normativa regula el tema del acceso a los ordenadores?

Hablo de memoria, y ésta no es mi especialidad, pero la LOPD si contempla quiénes son los responsables de la gestión de contraseñas, permisos, etc.
Seguro que alguien experto en estos asuntos podrá contestar con más precisión.

Saludos,
Francisco

Hola Francisco

Deberíamos conocer cuál es el sistema operativo que utilizan los ordenadores a los que tú debes de darles soporte. En la mayoría de los casos, salvo que sea Windows 98, Me o similar, puedes disponer de una cuenta privilegiada de administrador que será la que debas de usar para hacer las configuraciones de aplicaciones y del propio ordenador.

Debes modificar las cuentas de los usuarios para que tengan derechos limitados. De este modo los datos personales están a salvo de otros usuarios y tu puedes cumplir con la labor de administrar el equipo.

En cuanto a la LOPD decirte que en ningún caso debes acceder a
la información personal que el usuario guarda en el ordenador, por ejemplo su buzón de correo o documentos, a menos que concurran dos situaciones:

1. Que tengáis realizada una auditoria de la LOPD e inscritos ante la Agencia de Protección de Datos los ficheros con datos de carácter personal, en el que también se incluyen los archivos relacionados con el correo electrónico, documentos de candidatos, contratos con terceros, y un largo etc. En este caso en el Documento de Seguridad debe figurar que tipo de accesos puedes hacer tu y como se registran.

2. La otra opción que te permitiría acceder a los datos de carácter personal de un usuario sería que él hubiera firmado un acuerdo por el que reconoce y acepta que en los ordenadores no puede haber datos de ese tipo, por normativa de AIDEMAR.
Si tienes problemas para configurar una cuenta de administrador en Windows 2000, XP o Vista puedes recabar ayuda volviendo a preguntar en este foro o consultando guías rápidas. Te adjunto un vínculo a una tabla en la que podrás ver las diferencias entre las distintas cuentas:

http://www.microsoft.com/spain/windowsxp/using/setup/getstarted/configaccount.mspx

Espero haberte sido de ayuda

Cada entidad debería tener unas medidas de seguridad concretas que debería de definir los responsables de los sistemas de información (vulgarmente llamados “informáticos”) y, por supuesto, debería de ser aprobado por la dirección.

Las contraseñas las deberían tener única y exclusivamente cada usuario y debería de existir una cuenta de administrador en cada equipo para tareas de mantenimiento. La periodicidad corresponde determinarla a entidad y ser compatible con la LOPD, si se da el caso.

Para poder llevar a cabo tareas de administración y mantenimiento (copias de seguridad, actualizaciones de software, etc.), las personas responsables de estas tareas deberían tener acceso a todos los ficheros. Si por alguna razón, se determina que esos archivos deberían estar protegidos y que los informáticos no deberían de poder acceder, una opción seria encriptar volúmenes o ficheros ya sea por el sistema operativo (si nos lo permite), o bien, con herramientas de terceros (por ejemplo, http://www.truecrypt.com).

Saludos

Ferran Busquets

Yo creo más bien que es una cosa que se debe regular internamente, más que buscar una legislación.
Establecer responsabilidades y tareas…

Hola Francisco,

Algunos compañeros ya te han aportado información interesante, así que me limitaré a intentar complementar lo que ya han dicho.

De entrada, yo diría que es importante tener claro que el ordenador, como herramienta de trabajo, es algo que pertenece a vuestra asociación como tal, y no a ninguno de sus socios y/o empleados. Por lo tanto, todas las personas que por la razón que sea necesiten usar la herramienta, deben poder hacerlo. En una primera aproximación es algo que debería responder al sentido común y a la responsabilidad de cada cual en el buen uso de las cosas, nada más.

Si esto no es suficiente, entonces lo lógico es que exista una cierta normativa interna de funcionamiento, como sugería Miguel Ángel en una respuesta anterior, en la que se detalle cuáles són los “deberes y derechos” de los usuarios de los ordenadores, en función de sus tareas y responsabilidades. Pero, en cualquier caso, yo no mezclaría el tema de la LOPD, porque os vais a complicar la vida para resolver algo que en principio es mucho más sencillo.

Con lo anterior no quiero decir que no tengáis que cumplir la LOPD, ojo, sino que, simplemente, no la uséis como referencia para resolver este asunto. Es más, si las objeciones que la persona te comenta son fundamentadas, entonces debéis pensar en realizar todo el proceso de registro de dichos ficheros ante la Agencia de Protección de Datos, nombrar un responsable de seguridad, redactar el documento de seguridad preceptivo, implementar las políticas y los protocolos correspondientes, etc.

Por lo demás, como bien decía Ferran, a efectos de garantizar el doble uso (actividad habitual y mantenimiento informático) buena parte del tema puede resolverse usando tú la cuenta de administrador del equipo y el usuario una cuenta personal (con los derechos que consideréis oportunos).

Finalmente, sólo una pequeña aclaración a raíz de una respuesta anterior. La LOPD legisla sobre la información estructurada de personas físicas que cualquier organización pueda gestionar en virtud de su actividad. Siendo así, la LOPD no tiene nada que ver con la información privada que un trabajador pueda tener en su ordenador de trabajo. Cualquier conflicto entre organización y trabajador por una presunta vulneración de la intimidad de éste último debería tratarse en el marco jurídico del Estatuto del Trabajador, nunca de la LOPD.

Espero que esta información te sea de utilidad.

Un abrazo,

Jaume Albaigès
jalbaiges @ tecnolongia.org
Blog sobre TIC y ONL: http://www.tecnolongia.org