11 Jan LOPD y Seguridad informática
Como experto en LOPD y seguridad informática, me encuentro en pleno proceso de certificación en Lead Auditor en ISO 27001.
He implantado la LOPD, así como las medidas de seguridad y protocolos que conlleva, en diferentes empresas. He coordinado la generación de la documentación, publicación en la agpd, así como la definición de los procesos de seguridad y protocolos que a las TI afectaba, en todos los niveles que el marco legal obliga.
La implantación de la LOPD es un trabajo de consultoría de aproximadamente 1-2 meses, dependiendo de la problemática de cada empresa, con un seguimiento anual, en función de como cambien los sistemas de información, localización o procesos con clientes y proveedores. Hay que tener en cuenta que, el ignorar el cumplimiento de dicha ley puede suponer multas de mas de 600000 Euros, dependiendo del nivel de seguridad de la información que se maneje.
Desde el año 1999, en el que se aprobara la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de carácter personal (LOPD), la legislación española quedó homologada con la Europea en lo referido a la protección de archivos que contengan información de carácter personal. Sin embargo, 8 años después, el nivel de difusión y cumplimiento de las medidas reguladoras es insuficiente
La AGPD estima que sólo el 10% de las PYMES españolas cumplen con la legislación. Curiosamente, muchas de estas empresas ya incorporan a su operativa diaria la inmensa mayoría de las obligaciones que establece la ley. En este artículo se hace un recorrido por los aspectos principales de la norma, de modo que quien quiera adaptarse a la LOPD disponga de una buena referencia. En la mayoría de los casos, basta una semana para lograrlo.
Inscripción del fichero
La primera obligación de toda persona que tenga ficheros que contenga información de carácter personal es la de registrarlos en la Agencia española de Protección de Datos. El registro deberá realizarlo el Responsable del Fichero, que es aquella persona con capacidad de decidir sobre la finalidad, contenido y uso de los datos incluidos en su fichero. Además, es la persona jurídicamente responsable de la seguridad de la información.
El proceso de inscripción debe realizarse Además de la inscripción de los ficheros, la LOPD obliga a crear un Documento de Seguridad, donde se recojan todas las medidas técnicas y organizativas destinadas a garantizar la Confidencialidad, Integridad y Disponibilidad de los datos. Dicho documento debe ser mantenido a día y conocido por todas las personas con acceso a la información de carácter personal. El Responsable del Fichero deberá dirigir la implantación y comprobar el cumplimiento de todas las medidas de seguridad recogidas en el mismo.
Medidas de seguridad respecto a la información
La inmensa mayoría de incidencias de seguridad relacionadas con ficheros que contienen datos de carácter personal se deben a la manipulación negligente o malintencionada de los ficheros. Tristemente famosos son los casos de cientos de solicitudes de empleo abandonadas en la basura con anotaciones, o el caso de CC.OO, donde un trabajador estaba compartiendo, a través de un programa de descargas de películas, un fichero con los datos de 20.000 personas que habían asistido a cursos del sindicato.
La falta o desconocimiento de los procedimientos de seguridad de la información es un riesgo real, que puede causar importantes pérdidas a cualquier empresas. En este sentido, cabe señalar que la seguridad de la información no debe limitarse a los datos personales, protegidos por la LOPD, sino que se debe proteger toda la información de la empresa. ¿Cuanto estaría dispuesto a pagar por recuperar la información destruida si se incendiara su oficina? ¿Y por recuperar los ficheros de clientes o facturación si hubieran caído en manos de sus competidores? ¿Y por minimizar la posibilidad de ser sancionado con multas de hasta 601.012,10€ limite máximo que establece la LOPD?.
La inversión en seguridad de la información es vital para toda empresa, ya que si desapareciera, se alterase o se divulgase, afectaría muy negativamente a cualquier actividad que desarrollemos. Todo Responsable, ya sea del Fichero o de Seguridad, debe evaluar qué nivel de riesgo desea asumir, e incorporar aquellas medias de protección que le ofrezcan el nivel de seguridad deseado dentro de su presupuesto. No obstante, existen medidas que toda organización está obligada a cumplir.
El actual Reglamento de Medidas de Seguridad (RD 994/1999), que será sustituido a finales de año por otro reglamento que desarrollará la LOPD, establece tres niveles de seguridad para los ficheros, en función de los datos contenidos en ellos, y una serie de medidas que el Titular del fichero deberá implementar para cada nivel. La AGPD ha realizado un cuadro resumen muy util, en el que se recogen los criterios de clasificación y las medidas de seguridad para cada nivel.
Sin entrar a analizar en detalle las implicaciones de cada medida, la idea que subyace en la ley es la necesidad de implantar en toda organización una cultura compartida de la protección de la información.
Derechos de las personas cuyos datos son objeto de tratamiento
La LOPD confiere una serie de derechos a toda persona física cuyos datos son objeto de tratamiento en ficheros de datos. El primero y más importante es el derecho a ser informado de forma previa, precisa e inequívoca cuando se recaben datos personales. Se debe informar de la existencia del fichero de datos, la finalidad del mismo, y la identidad de su responsable y de quienes tendrán acceso a él.
Dicha información debe figurar en los diferentes medios utilizados para recabar datos personales. A este respecto cabe recordar que el tratamiento de datos personales requiere el consentimiento inequívoco del afectado, o la notificación al mismo en un plazo no superior a tres meses si los datos no se recavaron directamente del interesado.
Además del derecho de información, la LOPD recoge tres derechos más, de los que se debe informar a los afectados, así como de los mecanismos habilitados por la empresa para ejercitarlos:
- Derecho de Acceso: Derecho a obtener gratuitamente información de sus datos de carácter personal, su origen y las comunicaciones realizadas o que se prevén hacer de los mismos.
- Derecho de Rectificación y Cancelación: Derecho a modificar o cancelar la información de carácter personal errónea o incompleta, o cuyo tratamiento no se ajuste a la LOPD.
- Derecho de Oposición: Derecho a impugnar decisiones privadas que impliquen una valoración del comportamiento o afecten de manera significativa al interesado, y estén basadas únicamente en el tratamiento de datos de carácter personal.
El plazo para resolver las peticiones de Acceso es de 1 mes, y de 10 días en el resto de los casos, debiendo quedar constancia en el Libro de Incidencias cada vez que alguien haga ejercicio de alguno de estos derechos.
Conclusiones
Si necesita adaptar su empresa a la LOPD o bien, considera oportuna revisar si su implantación de la ley LOPD continúa siendo valida, puede contactar conmigo en la pestaña solicitar presupuesto de este blog.