Nuestro objetivo no es, en ningún caso, convertirnos en la fuente básica sobre la que enfocar el cumplimiento de la ley en vuestra empresa (para ello, deberíais acudir a cualquier consultoría especializada que os ofrezca confianza, la importancia del tema lo merece), sino proporcionar la información necesaria para comprender los pasos que hay que dar y una vez adaptados vuestros procedimientos a la ley, ser capaces de mantenerlos al día con los requisitos que se os exigen, quizá uno de los aspectos más complicados y menos comentados de esta ley.

Esta es una cita de José M. Cestero del primer post de la serie que he querido repetir, ya que tras haber visto el procedimiento para el alta de ficheros, un paso que cualquier empresa puede llevar a cabo por sus propios medios sin recurrir a un asesoramiento externo, vamos a ver un asunto más complejo: qué es y de qué se compone el Documento de Seguridad que toda pyme que mantenga ficheros con datos de carácter personal ha de redactar y tener a disposición de la inspección de la Agencia Española de Protección de Datos (AEPD).

Continuando con la nueva serie “Guías Prácticas”, con el propósito de añadir a la visión teórica de la LOPD diferentes análisis de las consecuencias practicas en las pymes, veremos las implicaciones de la externalización de determinados servicios tecnológicos.

Son varias las ocasiones y muchos los motivos, aunque básicamente sean coste y complejidad, por los que una empresa no le conviene asumir a nivel interno todas y cada una de las posibilidades de negocio que le brindan las nuevas tecnologías y prefiere contratar con otra empresa servicios tales como mantenimiento informático, videovigilancia, gestión de su web y/o tienda virtual, backup remoto, etc.

Resulta evidente que la gestión de todas estas herramientas implica necesariamente por parte de la empresa prestataria del servicio un acceso y en muchas ocasiones tratamiento de datos de carácter personal, que son realmente una responsabilidad de la empresa cliente. Es por esto que la Ley Orgánica de Protección de Datos (LOPD) señala que la realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato, y el Reglamento de desarrollo de la LOPD añade además que el responsable de los datos deberá velar por que el encargado del tratamiento reúna las garantías para el cumplimiento de la protección de datos.

Las guías de productos y servicios en papel cada vez se encuentran más en deshuso, y aunque para muchos siguen siendo útiles, las guías electrónicas son prácticas y con una facilidad de búsqueda inigualable.

Y va siendo ley de vida, como nos lo demuestra el caso de Segunda Mano que suspendio su edición en papel hace unas semanas, que las publicaciones en papel se reducirán aún más. Pues con la misma idea que una guía de compraventa para particulares existe JefeDeCompras.com, dirigido a empresas.

Lo importante es que no se queda solo en venta de productos físicos, como por ejemplo hace desde hace mucho tiempo SoloStocks, sino que permite ofrecer también servicios como puede ser formación, asesoramiento, logística, etc.

Continuando con la nueva serie “Guías Prácticas”, con el propósito de añadir a la visión teórica de la LOPD diferentes análisis de las consecuencias practicas en las pymes, vamos a ver los riesgos que respecto a al manejo de datos de carácter personal puede provocar el uso de algunos de los hardware y software que tenemos en nuestras oficinas.

Resulta obvio que la ofimática ha supuesto un enorme avance en la manera en la que incluso una empresa muy pequeña puede llegar a procesar información en grandes volúmenes, pero al tiempo nos obliga a ser precavidos ya que sus automatismos también aumentan los riesgos de vulnerar la legislación sobre protección de datos.

Es fundamental resaltar el hecho de que como ya señalaba en la nota anterior todos estos ejemplos proceden de Resoluciones (sanciones) publicadas en la página web de la Agencia Española de Protección de Datos (AEPD), es decir, son circunstancias que ya han ocurrido y nos deben servir para aprender en piel ajena. Y también que no basta con que estos procedimientos se entiendan a nivel de gerencia en una pyme, sino que cualquier empleado con acceso a datos de carácter personal ha de mantener el mismo tipo de precauciones. Así que si el lector resulta ser un usuario avanzado y algunos de estos errores le resultan demasiado “básicos”, le conviene preguntarse: ¿saben esto mis empleados?

Si está familiarizado con las principales prioridades informáticas de la empresa, imagino que estará al tanto de la necesidad de respaldar (hacer backup) la información y activos digitales de la organización. Ya sea que solo se haga un backup de los datos, o de toda la infraestructura informática operativa (aplicaciones, sistemas operativos y configuraciones), en la actualidad al momento de elegir cuál será la herramienta o servicio de backup con la cual apoyarnos, nos surge una disyuntiva al momento de elegir; la cual es: ¿debemos realizar el backup de forma online, o en sitio (local a la empresa)?

Más que ver de momento que herramientas o servicios son los mejores, ya sea para backup online o en sitio, analicemos los principales pros y contras que podemos tener en ambas modalidades de backup.

Como complemento a la serie de “Conceptos Básicos” sobre protección de datos, iniciamos hoy otra bajo el epígrafe “Guías Prácticas”, con el propósito de añadir a la visión teórica de la LOPD diferentes análisis de sus consecuencias practicas en las pymes.

En la página web de la Agencia Española de Protección de Datos (AEPD) se publican, en la sección Resoluciones, todos aquellos procedimientos sancionadores iniciados por la AEPD, tanto los que terminan en sanción como los que son archivados.

Cada uno de estos procedimientos, además de fundamentar jurídicamente la resolución señalando los preceptos legales vulnerados, “cuenta una historia” y de sus detalles se aprende que los mayores riesgos de una sanción no proceden de errores documentales o de la falta de determinados contratos, sino del uso diario de la información y los datos de carácter personal que toda empresa maneja. Riesgo en ocasiones agravado por el uso de algunos avances tecnológicos.

Consideremos que los bytes que están contenidos en las PC y servidores de la red de nuestra empresa, son activos esenciales para la operación diaria de la organización; por ello no podemos darnos el lujo de exponerlos a pérdida, robo o daño vía un ataque informático.

Yo creo estamos de acuerdo en que una de las aplicaciones de software más indispensables en cualquier organización, es la destinada a la seguridad informática; de estas, la herramienta antivirus es la más crítica.

Por ello mismo veamos una serie de sugerencias a contemplar, para seleccionar el que puede ser el mejor antivirus corporativo para nuestra empresa:

Si bien es común que en la pyme no se cuente con un diseñador web propio, si es muy recomendable que los responsables de la estrategia online de la empresa cuiden los aspectos que mencionaremos a continuación, respecto a ciertos puntos y criterios que debemos procurar suprimir o evitar en la web de la empresa, así como otros que debemos considerar nunca omitir o pasar por alto.

Vayamos primero con lo que no debe tener el web site de la empresa:

La Ley Orgánica de Protección de Datos (LOPD) tiene como objeto garantizar y proteger derechos fundamentales de las personas físicas, como son especialmente su honor e intimidad personal y familiar. Es por eso que es una ley de rango orgánico, y que en caso de incumplimiento prevee importantes sanciones económicas.

Si una pyme ha de prestar una importante atención a este capítulo se debe a que estás sanciones, al regular un derecho individual de cada ciudadano, no están en función del tamaño de la empresa sino del artículo vulnerado, del nivel de seguridad exigido a esos datos y de una serie de factores que pueden atemperar la sanción y que veremos más adelante.

Analicemos primero qué tipo de infracciones señala la LOPD.

Tras comentar en la pasada entrega de esta guía las medidas de seguridad de nivel medio, vamos a cerrar este capítulo haciéndolo con las medidas de nivel alto. No es una situación habitual en las pymes tener que aplicarlas, pues el tipo de datos que las requiren no están entre los más comunes que tenemos que manejar.

De todas formas, no está de más conocer los requerimientos legales si nos encontramos en esta situación, que no son pocos y requieren además de unas medidas organizativas bastante complejas y costosas de implantar, sobre todo en lo referente al registro de accesos a la información protegida. Recordad que todas estas medidas se deben aplicar además de las de los niveles anteriores, éstas se añaden y complementan o modifican las anteriores.