LOPD, LSSI y la Web, el perito ante una auditoría

LOPD, LSSI y la Web, el perito ante una auditoría

Introducción

Tanto si el lector del artículo es el propietario de una Web, como si es el perito que va a auditar la seguridad de una Web y a certificar que ésta cumple con lo establecido por la ley en lo referente a la protección de datos de carácter personal, este artículo puede serle muy útil ya que la mayor parte de desarrolladores, así como de propietarios de portales no suelen prestar mucha atención a este apartado legal (de hecho he observado que la mayor parte de las webs que he auditado hasta el momento incumplían la norma en alguno de sus aspectos).

 Si en un momento dado un usuario de una Web decide denunciarla por observar irregularidades con respecto a la normativa legal, seguramente tendremos un grave problema, ya que las multas por incumplimientos van desde los 600 euros hasta los 60.000 en los peores casos.

 Toda Web que utilice formularios para la recogida e inclusión de datos personales de los usuarios que acceden a la misma, o que utilizan el correo electrónico como medio de intercambio, e incluso aquellas que simplemente utilicen cookies, están especialmente obligadas a comprobar si cumplen con la legalidad del tratamiento de datos de carácter personal por su propio interés.

 De todos modos este artículo no pretende ser una guía legal exhaustiva, pero sí voy a mostrarle algunos aspectos básicos y de obligado cumplimiento para evitar ser sancionado por la Ley.

Las Leyes que afectan a una Web

La LOPD y su reglamento afectan a aquellas Webs que contengan formularios de recogida de datos de carácter personal, y a aquellas que publiquen datos de carácter personal.

El artículo 9 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de carácter personal (LOPD), establece en su punto 1 que « el responsable del fichero, y, en  su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado  de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural« .

El Reglamento de desarrollo de la LOPD (RLOPD), aprobado por el Real Decreto 1720/2007, de 21 de diciembre, fue publicado en el BOE número 17, de 19 de enero de 2008. El TítuloVIII de este reglamento desarrolla las normas de seguridad en el tratamiento de datos de carácter personal y tiene por objeto establecer las medidas de índole técnica y organizativa necesarias para garantizar la seguridad que debe reunir el tratamiento de la información.

La Ley de Servicios de la Sociedad de la Información, LSSI, afecta a todas las Webs sin excepción, tanto si manejan datos de carácter personal como si no.

 El apartado segundo del artículo 22 de la LSSI establece:

 Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto.

Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.

Por tanto, el artículo 22 de la LSSI hace referencia explícita a la instalación de cookies y tecnologías similares utilizadas (tales como local shared objects o flash cookies2, etc.) para almacenar y recuperar datos de un equipo terminal (por ejemplo, un ordenador, un teléfono móvil o un tablet) de una persona física o jurídica que utiliza, sea o no por motivos profesionales, un servicio de la Web.

Para que una Web cumpla con la LSSI debe contener al menos la siguiente información:

  • Nombre o denominación social del propietario de la página.
  • Datos de inscripción en el Registro Mercantil.
  • Número de Identificación Fiscal.

Esos datos mínimos, así como otras clausulas como las referidas a la propiedad intelectual de los contenidos, legislación aplicable, etc… se incluirán en el denominado Aviso Legal y que deberá ser accesible desde todas las páginas de la Web.

 El Real Decreto Ley 13/2012, de 30 de marzo, modifica el artículo 22.2 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI), relativo a los derechos de los destinatarios de servicios, estableciendo que los mismos han de obtener información clara y completa sobre la utilización por parte de los prestadores de servicios, de la utilización de dispositivos de almacenamiento y recuperación de datos en sus terminales, y solicitar previamente su consentimiento.

Por consiguiente, si la Web utiliza el empleo de cookies o cualquier tecnología similar para recuperar datos del terminal, deberá informar de forma clara y obtener el consentimiento del usuario del servicio para la utilización de este tipo de tecnología en su sitio web.

LOPD. Medidas de Seguridad

Entre estas medidas, se encuentra la obligatoriedad de la Inscripción de los ficheros
en el Registro General de la Protección de Datos. Artículo 26 LOPD. Se puede realizar a través del portal de la Agencia Estatal de Protección de Datos en el siguiente link si disponemos de certificado digital:

https://www.agpd.es/portalwebAGPD/canalresponsable/inscripcion_ficheros/index-ides-idphp.php

Si no se dispone de certificado digital, en el mismo portal indican la forma de realizarlo y hacérselo llegar a través de correo tradicional.

Otra de las medidas es  la elaboración e implantación de la normativa de seguridad mediante un documento de obligado cumplimiento para el personal de la empresa con acceso a los datos de carácter personal de los usuarios de la Web. Es un documento interno de la organización, que debe mantenerse siempre actualizado. Disponer del documento de seguridad es una obligación para todos los responsables de ficheros y, en su caso, para los encargados del tratamiento, con independencia del nivel de seguridad que sea necesario aplicar.

Las medidas de seguridad que determina el RLOPD se clasifican en tres niveles: ALTO, MEDIO y BÁSICO, pero en cualquier caso, el empresario debe facilitar a los ciudadanos en todos los niveles el ejercicio de los denominados derechos Arco (acceso, rectificación, cancelación y oposición).

Para cumplir con este apartado la Web deberá contar con los formularios correspondientes así como las clausulas necesarias para información del usuario.

NIVEL ALTO. Ficheros o tratamientos con datos:

  • De ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual y respecto de los que no se prevea la posibilidad de adoptar el nivel básico.
  • Recabados con fines policiales sin consentimiento de las personas afectadas.
  • Derivados de actos de violencia de género.

NIVEL MEDIO. Ficheros o tratamientos con datos:

  • Relativos a la comisión de infracciones administrativas o penales.
  • Que se rijan por el artículo 29 de la LOPD (prestación de servicios de solvencia patrimonial y crédito).
  • De Administraciones tributarias, y que se relacionen con el ejercicio de sus potestades tributarias.
  • De entidades financieras para las finalidades relacionadas con la prestación de servicios financieros.
  • De Entidades Gestoras y Servicios Comunes de Seguridad Social, que se relacionen con el ejercicio de sus competencias.
  • De mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social.
  • Que ofrezcan una definición de la personalidad y permitan evaluar determinados aspectos de la misma o del comportamiento de las personas.
  • De los operadores de comunicaciones electrónicas, respecto de los datos de tráfico y localización. Además, para este tipo de ficheros deberá disponerse de un registro de accesos.

NIVEL BÁSICO. Cualquier otro fichero que contenga datos de carácter personal. También aquellos ficheros que contengan datos de ideología, afiliación sindical, religión, creencias, salud, origen racial o vida sexual, cuando:

  •  Los datos se utilicen con la única finalidad de realizar una transferencia dineraria a entidades de las que los afectados sean asociados o miembros.
  • Se trate de ficheros o tratamientos no automatizados o sean tratamientos manuales de estos tipos de datos de forma incidental o accesoria, que no guarden relación con la finalidad del fichero.
  • En los ficheros o tratamientos que contengan datos de salud, que se refieran exclusivamente al grado o condición de discapacidad o la simple declaración de invalidez, con motivo del cumplimiento de deberes públicos.

El RLOPD especifica que se puede disponer de un solo documento que incluya todos los ficheros y tratamientos con datos personales de los que una persona física o jurídica sea responsable, un documento por cada fichero o tratamiento, o los que determine el responsable atendiendo a los criterios organizativos que haya establecido. Cualquiera de las opciones puede ser válida.

Contenido del Documento de Seguridad

Los apartados mínimos que debe incluir el documento de seguridad son los siguientes:

  • Ámbito de aplicación: especificación detallada de los recursos protegidos.
  • Medidas, normas, procedimientos, reglas y estándares de seguridad.
  • Funciones y obligaciones del personal, estructura y descripción de los ficheros y sistemas de información.
  • Procedimiento de notificación, gestión y respuesta ante incidencias.
  • Procedimiento de copias de respaldo y recuperación de datos.
  • Medidas adoptadas en el transporte, destrucción y/o reutilización de soportes y documentos.

 A partir del nivel medio de medidas de seguridad, además de los apartados anteriores, deberán incluirse los siguientes:

  • Identificación del responsable de seguridad.
  • Control periódico del cumplimiento del documento.

Normas mínimas que debe incluir el Documento de Seguridad

NIVEL BASICO:

  • Funciones y obligaciones de los diferentes usuarios o de los perfiles de usuarios de la empresa claramente definidas y documentadas. Definición de las funciones de control y las autorizaciones delegadas por el responsable. Difusión entre el personal, de las normas que les afecten y de las consecuencias por su incumplimiento.
  • Registro de incidencias: tipo, momento de su detección, persona que la notifica, efectos y medidas correctoras. Procedimiento de notificación y gestión de las incidencias.
  • Relación actualizada de usuarios y accesos autorizados. Control de accesos permitidos a cada usuario según las funciones asignadas. Mecanismos que eviten el acceso a datos o recursos con derechos distintos de los autorizados. Concesión de permisos de acceso sólo por personal autorizado. Mismas condiciones para personal ajeno con acceso a los recursos de datos.
  • Identificación y autenticación personalizada. Procedimiento de asignación y distribución de contraseñas. Almacenamiento ininteligible de las contraseñas. Periodicidad del cambio de contraseñas (<1 año).
  • Inventario de soportes. Identificación del tipo de información que contienen, o sistema de etiquetado. Acceso restringido al lugar de almacenamiento. Autorización de las salidas de soportes (incluidas a través de email). Medidas para el transporte y el desecho de soportes.
  • Copia de respaldo semanal. Procedimientos de generación de copias de respaldo y recuperación de datos. Verificación semestral de los procedimientos. Reconstrucción de los datos a partir de la última copia. Grabación manual en su caso, si existe documentación que lo permita. Pruebas con datos reales. Copia de seguridad y aplicación del nivel de seguridad correspondiente.

NIVEL MEDIO. Además de cumplir con todo lo anterior deberá:

  • El responsable del fichero tiene que designar a uno o varios responsables de  seguridad (no es una delegación de responsabilidad). El responsable de  seguridad es el encargado de coordinar y controlar las medidas del documento.
  • Ante incidencias, anotar los procedimientos de recuperación, persona que lo ejecuta, datos restaurados, y en su caso, datos grabados manualmente. Autorización del responsable del fichero para la recuperación de datos.
  • Control de acceso físico a los locales donde se encuentren ubicados los sistemas de información.
  • Limite de intentos reiterados de acceso no autorizado a la Web.
  • Registro de entrada y salida de soportes: documento o soporte, fecha, emisor/destinatario, número, tipo de información, forma de envío, responsable autorizado para recepción/entrega.
  • Auditoria de Seguridad, al menos cada dos años, interna o externa. Debe realizarse ante modificaciones sustanciales en los sistemas de información con repercusiones en seguridad. Verificación y control de la adecuación de las medidas. Informe de detección de deficiencias y propuestas correctoras. Análisis del responsable de seguridad y conclusiones elevadas al responsable del fichero.

NIVEL ALTO. Además de cumplir con todo lo expuesto en los dos niveles anteriores  deberá:

  • Registro de accesos a la Web: usuario, hora, fichero, tipo de acceso, autorizado o denegado. Revisión mensual del registro por el responsable de seguridad. Conservación del registro durante al menos 2 años. No es necesario este registro si el responsable del fichero es una persona física y es el único usuario.
  • Gestión de Soportes: Sistema de etiquetado confidencial. Cifrado de datos en la distribución de soportes. Cifrado de información en dispositivos portátiles fuera de las instalaciones (evitar el uso de dispositivos que no permitan cifrado, o adoptar medidas alternativas).
  • Copia de respaldo y procedimientos de recuperación en lugar diferente del que se encuentren los equipos.
  • Transmisión de datos a través de redes electrónicas cifradas.

Auditoría

La Disposición adicional única del Reglamento de desarrollo de la LOPD establece que los productos software destinados al tratamiento automatizado de datos de carácter personal deberán incluir en su descripción técnica el nivel de seguridad que tiene implantado, por lo que cuando se adquiera o se contrate la construcción de un aplicativo software que trate datos de carácter personal, se deberá pedir que el constructor especifique el nivel de medidas de seguridad que cumple el producto.

La elaboración del informe de la Auditoría de Seguridad deberá prestar por tanto especial atención y dictaminar acerca de:

  • Relación de ficheros, estructura y contenido.
  • Políticas de seguridad y procedimientos (registro de incidencias, copias de respaldo y recuperación, Identificación y autorización, borrado de soportes, cifrado, etc.).
  • Documento de Seguridad y auditorías anteriores (si las hubiese).
  • Diseño físico y lógico de los sistemas de información.
  • Relación de usuarios, accesos autorizados y sus funciones.
  • Inventario de soportes y registro de entrada y salida de soportes.
  • Registros de acceso e informes de revisión de los mismos.
  • Entrevistas a usuarios, técnicos de sistemas, responsables, etc.
  • Inspección visual.
  • Adecuación de las medidas y controles establecidos a lo dispuesto en el Título VIII del Reglamento.
  • Identificación de deficiencias y propuesta de medidas correctoras o complementarias.
  • Incluirá los datos, hechos y observaciones en que se basen los dictámenes alcanzados y recomendaciones propuestas.

El informe será analizado por el responsable de seguridad, y elevará sus conclusiones al responsable del fichero para que adopte las medidas adecuadas.

El Informe deberá quedar a disposición de la Agencia Española de Protección de Datos.

Conclusión

Como dije en la introducción, muchas empresas españolas no cumplen con estos requisitos básicos para adaptarse a la Ley vigente. Y aunque puede que nunca tengan problemas por ello, sí es cierto que en cualquier momento la Agencia Estatal de Protección de Datos podría exigirles el y cumplimiento. Además los usuarios valoran cada día más el que los responsables de los sitios web informen con total transparencia y protejan debidamente sus datos de carácter personal. Por este motivo, cada día son más los usuarios que fijan su interés en aquellos sitios que ofrecen mayores garantías de seguridad, fiabilidad y transparencia en cualquier tipo de transacción comercial que deseen realizar.