guia LOPD

Las cámaras de comercio de nuestro país llevan a cabo de forma habitual jornadas monográficas sobre temáticas de interés para las pymes, y en concreto la Cámara de Comercio de Sevilla lleva ya varias ediciones de una jornada sobre la protección de datos personales con una aproximación práctica a la temática. La siguiente tendrá lugar el próximo 26 de mayo en el edificio Galia Puerto de la capital andaluza.

Se celebra por la tarde, de 17:00 a 20:30 horas, comenzando con una introducción a la protección de datos personales en las empresas para continuar con un repaso a las medidas de seguridad informática necesarias para cumplir con la Ley, y finalizar comentando aspectos como la situación actual de las empresas en relación al cumplimiento de la LOPD y los problemas más frecuentes a los que nos enfrentamos en las pymes.

La cuota de inscripción es de 70 euros e incluye un ejemplar del libro “Las empresas ante la protección de datos”, cuyo contenido desarrolla con más profundidad los aspectos que se van a tratar en la jornada. Este tipo de eventos no son la solución a todos los males, pero me resultan atractivos por que son una oportunidad para aclarar dudas y tratar nuestra problemática particular cara a cara con profesionales en la materia, además de comprobar qué está haciendo el resto del personal al respecto. A ver si cunde el ejemplo y comienzan a celebrarse este tipo de jornadas en otras ciudades.

Vía | Procedimientos Telemáticos
Más información e inscripción | Cámara de Comercio de Sevilla
En Tecnología Pyme | Especial protección de datos

El Observatorio de la Seguridad de la Información de INTECO publica esta guía para que la empresa, y muy particularmente la pequeña y mediana empresa (PYME), se familiarice con la protección de datos: por qué es necesario proteger los datos de los ciudadanos, qué obligaciones afectan a la empresa y qué beneficios para el negocio se derivan de su adopción.
Además, ofrece pautas básicas para la implementación de la normativa, estableciendo el marco general definido en la LOPD y RDLOPD y detallando las disposiciones y obligaciones concretas que afectan a las empresas.

Las empresas, en su calidad de agentes que manejan y tratan datos de carácter personal, están obligadas a garantizar el derecho fundamental a la protección de los datos personales de que disponen. La normativa no contempla excepciones por tamaño, facturación o sector de actividad, de forma que cualquier empresa está incluida en el ámbito de aplicación de la legislación, siempre que trabaje con ficheros con datos personales.

En la presentación de esta serie decía:

Como complemento a la serie de “Conceptos Básicos” sobre protección de datos, iniciamos hoy otra bajo el epígrafe “Guías Prácticas”, con el propósito de añadir a la visión teórica de la LOPD diferentes análisis de sus consecuencias practicas en las pymes.

Con esta entrada damos por culminada la serie (que no el tema, que seguirá siendo tratado en el blog). Si el propósito señalado se cumplió o no, es un juicio que queda en manos del lector.

Pero antes de terminar… es bien sabido que la visión “microscópica”, cuando uno acerca mucho la mirada al objeto de su estudio y magnifica cada detalle, pone al descubierto todos los inconvenientes y la complejidad de cada asunto. Y sin duda es un trabajo que hay que
hacer, pero conviene también de vez en cuando volver a una visión “telescópica”, alejarse para tener una perspectiva de conjunto y que los árboles no te impidan ver el bosque.

Por lo tanto, a modo de visión “global”: los cinco pilares de la protección de datos.

Es un hecho que salta a la vista la generalización en los últimos años del uso de la videovigilancia en las empresas. Ya sea con el fin de vigilar los accesos, de garantizar la seguridad de las instalaciones o de controlar a los empleados, el caso es que cámaras cada vez más precisas, diminutas y en algunos casos disimuladas, proliferan y se reproducen provocando muchas veces inquietud en el ciudadano, que se siente vigilado como en el clásico “1984” por el ojo del Gran Hermano que todo lo ve.

Y hay que tener en cuenta que la vulneración de las normas de protección de datos que hacen referencia a la videovigilancia es uno de los motivos más frecuentes de denuncia de los afectados y sanción por parte de la Agencia Española de Protección de Datos (AEPD), que suele ser de entre 600 y 1.200 euros la primera ocasión, pero que en caso de reincidencia puede llegar a los 60.000 euros.

Veamos entonces cuáles son las implicaciones legales en protección de datos del uso de videovigilancia.

El Real Decreto 1720/2007, Reglamento de desarrollo de la LOPD, dice en su artículo 96:

1. A partir del nivel medio los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se someterán, al menos cada dos años, a una auditoría interna o externa que verifique el cumplimiento del presente título.

En este caso, al igual que comentaba respecto al Documento de Seguridad, una pyme habrá de valorar con prudencia las alternativas de confección de esta auditoría, ya que el Reglamento autoriza a que sea la propia empresa quien realice el oportuno estudio (“auditoría interna o externa”), pero eso no le rebaja el nivel de exigencia, ya que como indica el mismo artículo en el párrafo 3:

Los informes de auditoría (...) quedarán a disposición de la Agencia Española de Protección de Datos o, en su caso, de las autoridades de control de las comunidades autónomas.

Ya sea porque se ha decidido la opción interna, o para revisar el encargo externalizado, conviene repasar en qué consiste y de que se compone la auditoría en protección de datos.

Por una parte tenemos que buena parte de la información que sobre la entidad responsable de un fichero con datos de carácter personal queda recogida en el Documento de Seguridad es de carácter dinámica, es decir, puede verse modificada en el tiempo. Esta información, normalmente en forma de listados, suele recogerse en diferentes Anexos al documento.

Por otro lado, el artículo 7 del Reglamento de desarrollo de la LOPD dice: “El documento de seguridad deberá mantenerse en todo momento actualizado (...)”.

Nos encontramos entonces con que la mayor complejidad en la gestión del Documento de Seguridad no está tanto en su redacción como en su mantenimiento. Veamos de qué se componen estos Anexos y qué cambios han de reflejar.

Para comenzar a redactar el Documento de Seguridad al que hacíamos referencia en el anterior post de la serie, el responsable del fichero habrá de definir el ámbito de aplicación del documento, es decir, indicar a qué ficheros con datos de carácter personal se aplica, ya que la ley autoriza a redactar un documento por cada fichero o uno genérico para todos los ficheros de la entidad, siendo éste el caso más usual en una pyme.

Asimismo habrá que indicar cuál es el nivel de seguridad (bajo, medio o alto) a aplicar a cada fichero atendiendo a la naturaleza de la información tratada, en relación con la menor o mayor necesidad de garantizar la confidencialidad y la integridad de la información, indicando también si se trata de sistemas automatizados, manuales o mixtos.

Sin embargo el grueso del texto será la descripción de las medidas, normas, procedimientos, reglas y estándares encaminados a garantizar los niveles de seguridad exigidos en el documento.

Nuestro objetivo no es, en ningún caso, convertirnos en la fuente básica sobre la que enfocar el cumplimiento de la ley en vuestra empresa (para ello, deberíais acudir a cualquier consultoría especializada que os ofrezca confianza, la importancia del tema lo merece), sino proporcionar la información necesaria para comprender los pasos que hay que dar y una vez adaptados vuestros procedimientos a la ley, ser capaces de mantenerlos al día con los requisitos que se os exigen, quizá uno de los aspectos más complicados y menos comentados de esta ley.

Esta es una cita de José M. Cestero del primer post de la serie que he querido repetir, ya que tras haber visto el procedimiento para el alta de ficheros, un paso que cualquier empresa puede llevar a cabo por sus propios medios sin recurrir a un asesoramiento externo, vamos a ver un asunto más complejo: qué es y de qué se compone el Documento de Seguridad que toda pyme que mantenga ficheros con datos de carácter personal ha de redactar y tener a disposición de la inspección de la Agencia Española de Protección de Datos (AEPD).

El primer paso en el cumplimiento de la Ley Orgánica de Protección de Datos (LOPD) es la obligación de notificar los ficheros que contengan datos de carácter personal a la Agencia Española de Protección de Datos (AEPD).

Con este fin se creó el sistema de Notificaciones Telemáticas a la AEPD (NOTA), que permite a cualquier entidad de titularidad pública y/o privada notificar sus ficheros de forma gratuita a través de una herramienta que le informa y asesora acerca de los requerimientos de la notificación, ya sea con o sin firma electrónica. Además permite preseleccionar de forma simplificada una serie de ficheros relacionados con los usos más habituales de las pymes.

Gracias a la sencillez del formulario y a la claridad de su manual de instrucciones éste es un paso que cualquier empresa puede llevar a cabo por sus propios medios, sin recurrir a un asesoramiento externo.

Continuando con la nueva serie “Guías Prácticas”, con el propósito de añadir a la visión teórica de la LOPD diferentes análisis de las consecuencias practicas en las pymes, veremos las implicaciones de la externalización de determinados servicios tecnológicos.

Son varias las ocasiones y muchos los motivos, aunque básicamente sean coste y complejidad, por los que una empresa no le conviene asumir a nivel interno todas y cada una de las posibilidades de negocio que le brindan las nuevas tecnologías y prefiere contratar con otra empresa servicios tales como mantenimiento informático, videovigilancia, gestión de su web y/o tienda virtual, backup remoto, etc.

Resulta evidente que la gestión de todas estas herramientas implica necesariamente por parte de la empresa prestataria del servicio un acceso y en muchas ocasiones tratamiento de datos de carácter personal, que son realmente una responsabilidad de la empresa cliente. Es por esto que la Ley Orgánica de Protección de Datos (LOPD) señala que la realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato, y el Reglamento de desarrollo de la LOPD añade además que el responsable de los datos deberá velar por que el encargado del tratamiento reúna las garantías para el cumplimiento de la protección de datos.