Si no encuentras lo que buscas o prefieres contactar con un agente, llámanos
91 210 80 00 - 902 44 33 55 Fax: 91 578 16 17 / 91 210 80 01 Lunes a viernes de 8:30 a 20 hSi lo prefieres, escríbenos un correo electrónico a:
clientes@lefebvre.es Enviar mailSolicita asistencia online de uno de nuestros agentes para ayudarte a lo largo de tu sesión
Lunes a Jueves: 10:00-14:00 y 16:00-18:00 / Viernes: 9:00-14:00En el ayuntamiento se contrata funcionarios interinos por circunstancias de la producción para cubrir vacantes a través de una bolsa única común, por lo que hay siempre personas diferentes contratadas para, en muchas ocasiones, los mismos puestos, ya que la interinidad no puede superar un máximo de tiempo. También se contratan a trabajadores laborales por acumulación de trabajo y vienen estudiantes en prácticas por convenio con las universidades y se contratan a personas durante un año o seis meses por los planes de empleo estatales o autonómicos, por lo que hay una importante fluctuación de trabajadores que van y viene en el ayuntamiento. Estas personas acceden a equipos informáticos del ayuntamiento pues lo necesitan para desarrollar sus trabajos, y el informático municipal le dan las claves para acceder a los ordenadores, en algunos casos no son claves nuevas, sino que le da la clave de la trabajadora del ayuntamiento que sustituye temporalmente.
Se están contratando personal laboral para cubrir necesidades por acumulación de trabajo en el servicio informático, que está bajo mínimo de personal, de tal forma que se refuerce temporalmente ese servicio hasta que se convoque dos plazas para dicho servicio que están pendiente por incluir en la OEP. A estas personas contratadas, normalmente durante un año o seis meses, dependiendo del plan de empleo de que se trate, se le cede por el informático municipal tanto las claves del administrador del dominio como las calves de administrador de cada uno de los equipos informáticos del ayuntamiento.
El informático comenta que tiene que dar esas claves pues, si él no está, es necesario que esas personas la tengan, pues en el servicio de informática solo existe él ocupando plaza, por lo que se ve desbordado por el trabajo, así cuando se va de vacaciones o está enfermo necesita que en el servicio haya alguien trabajando.
En mi opinión, no es la mejor opción pues durante el año va rotando varias personas por el servicio y a todas se les da acceso a claves tan importantes como la de administrador de dominio, puesto que cualquiera de esas personas podría hacer un mal uso o utilización de esos datos durante su contratación o una vez terminado su contrato.
¿Procede la cesión de las claves a los contratados temporalmente tanto la de administrador de dominio como de administrador de cada uno de los equipos informáticos? En caso afirmativo, ¿qué es lo que tendría que contemplar el ayuntamiento como medida de prevención para un posible mal uso de esas claves por los contratados?
En caso negativo, ¿hasta dónde podría acceder esas personas desde el punto de vista informático? ¿Se podría ceder la clave de acceso de un equipo informático a una persona que se contrata en sustitución temporal de un trabajador municipal y que va a trabajar en el ordenador de esa trabajadora municipal?
La concesión de credenciales de administrador de dominio y de los equipos informáticos a personal temporal en el ayuntamiento, a nuestro juicio, y como apuntan, plantea un importante problema en términos de seguridad. No se trata de una mera cuestión organizativa, sino ante una cuestión que afecta a la integridad de los sistemas informáticos municipales, la protección de datos personales y la responsabilidad de la Administración. La necesidad de garantizar la continuidad del servicio informático lo que no puede justificar es una política de acceso que hace incontrolable el uso que se realiza de los sistemas.
El acceso a los sistemas municipales debe garantizar la seguridad necesaria y cumplir estrictamente con la normativa sobre protección de datos. Así lo exige el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE -RGPD-, y la LO 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales -LOPD-, y con posible afectación del derecho a la intimidad del art. 18 de la Constitución -CE-. Por ello, cualquier acceso debe estar restringido a la información estrictamente necesaria para la labor que se desempeñe, disociando aquellos datos que no resulten relevantes.
Desde la perspectiva del RGPD, la seguridad de los datos debe ser adecuada al riesgo, tal como señala su art. 32 RGPD. Lo que debe atender a la probabilidad y gravedad de los riesgos, teniendo en cuenta el impacto que un uso indebido de los sistemas puede generar. En este sentido, el Considerando 75 del RGPD advierte de los peligros que pueden derivarse de un tratamiento de datos inadecuado: fraudes, pérdidas económicas, daño reputacional, o incluso el acceso a información especialmente protegida, como datos de salud o antecedentes penales. Y el Considerando 76 insiste en que la entidad responsable debe ponderar esos riesgos de manera objetiva, considerando el estado de la técnica y la naturaleza de los datos tratados.
Por tanto, la concesión indiscriminada de credenciales de administrador a personal temporal que va rotando cada pocos meses es una práctica que se aleja de cualquier medida razonable de seguridad, lo que puede permitirles modificar archivos, acceder a información municipal de forma no autorizada o incluso deshabilitar medidas de seguridad.
La alternativa pasaría por fijar una política clara de acceso restringido y controlado. En lugar de conceder acceso total, cada empleado temporal debería contar con claves individualizadas y con permisos ajustados a sus funciones específicas. Esto permitiría garantizar el seguimiento y eventual control de sus acciones dentro del sistema y revocar automáticamente los accesos una vez que se extinga su relación de empleo con la entidad local. Además, en el caso del servicio municipal de informática, si se considera imprescindible que los técnicos temporales tengan ciertos privilegios de acceso, estos deberían estar delimitados de forma estricta, otorgando únicamente los permisos necesarios para el desempeño de sus funciones y sin que en ningún caso puedan alcanzar las atribuciones de un administrador de dominio.
En cuanto a la gestión de equipos informáticos asignados a trabajadores sustituidos, tampoco debe admitirse que los nuevos empleados accedan con las credenciales del anterior usuario. Esto impide el seguimiento y control de la actividad que realicen y supone una práctica da evitar, evidentemente, desde la perspectiva de la seguridad de los sistemas. Lo más correcto pasa, a nuestro juicio, por asignar una cuenta nueva a cada empleado temporal, limitando su acceso a los recursos que resulten necesarios para cumplir sus tareas, y estableciendo registros sobre las acciones realizadas.
Por último, conviene recordar que el art. 32 RGPD exige que se implementen medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, con capacidad para seguir operando a pesar de incidentes o amenazas. Lo que supone que implica que la entidad responsable debe contar con mecanismos de restauración rápida en caso de fallos, así como con procedimientos de verificación periódica de la eficacia de sus medidas de seguridad.
1ª. No resulta procedente la cesión de claves de administrador de dominio o de equipos informáticos a empleados temporales. La concesión indiscriminada de los accesos supone un riesgo de seguridad evidente, vulnera los principios de protección de datos y puede generar responsabilidades administrativas para el ayuntamiento.
2ª. Debe establecerse un sistema de acceso restringido, individualizado y controlado. Cada empleado municipal temporal debe contar con claves personales, con permisos limitados estrictamente a sus funciones (teniendo en cuenta asimismo ese carácter temporal, que debería reforzar las limitaciones), asegurando el seguimiento y control individualizado de todas sus acciones dentro del sistema y revocando automáticamente sus accesos al finalizar su relación de empleo.
3ª. El ayuntamiento debe reforzar sus medidas de seguridad conforme a la normativa citada, debiendo garantizar la confidencialidad, integridad y capacidad de los sistemas para seguir operando pese a los incidentes o amenazas que se puedan presentar, aplicando técnicas como la delimitación de privilegios, y el cifrado y control estricto de accesos, para evitar vulnerabilidades de seguridad y proteger los datos personales de los ciudadanos.