Guía LOPD

Tras comentar en la pasada entrega de esta guía las medidas de seguridad de nivel medio, vamos a cerrar este capítulo haciéndolo con las medidas de nivel alto. No es una situación habitual en las pymes tener que aplicarlas, pues el tipo de datos que las requiren no están entre los más comunes que tenemos que manejar.

De todas formas, no está de más conocer los requerimientos legales si nos encontramos en esta situación, que no son pocos y requieren además de unas medidas organizativas bastante complejas y costosas de implantar, sobre todo en lo referente al registro de accesos a la información protegida. Recordad que todas estas medidas se deben aplicar además de las de los niveles anteriores, éstas se añaden y complementan o modifican las anteriores.

Leer más

En esta entrada vamos a repasar las exigencias que nos impone estar en un nivel de seguridad medio. Como ya dijimos en la anterior, este nivel se aplicará según el tipo de datos que tratemos en nuestra empresa, y complementando siempre a las medidas que fija el nivel de seguridad anterior. Si este es nuestro caso, además de las medidas de nivel básico, tendremos que aplicar las de nivel medio.

Como vais a ver, si la cosa ya estaba complicada, con el cambio de nivel se pone todavía mejor. Tanto, que me hace reflexionar sobre la importancia de analizar detenidamente que datos necesitamos realmente para hacer funcionar nuestro negocio, y sobre la conveniencia de descartar el empleo de todos aquellos que no nos sean realmente de utilidad. Vamos con el tema.

Leer más

En la entrega anterior del especial sobre la LOPD repasamos los distintos niveles de seguridad necesarios según el tipo de datos que contengan los ficheros con los que trabajamos. En este capítulo vamos a revisar las medidas que hay que aplicar en el nivel de seguridad básico, que son también las mínimas que deberemos disponer en cualquier caso (siempres que trabajemos con datos de carácter personal, naturalmente).

Vamos a seguir paso por paso lo que nos indica el Real Decreto 1720/2207, revisando las funciones del personal, registro de incidencias, medidas de control de acceso, gestión de soportes y documentos, identificación y autenticación y realización de copias de respaldo. Estas medidas de seguridad son las aplicables en el caso de tratamiento automatizado de datos. El tratamiento no automatizado tiene las suyas propias, adecuadas a sus características.

Leer más

Una vez hemos terminado con las definiciones de conceptos importantes en la legislación, vamos a centranos ahora en aquellos aspectos de la ley que tienen mayor impacto en el cumplimiento de ésta. Hoy comenzamos con los niveles de seguridad.

Los datos personales, según cuáles sean, están sujetos a determinados grados de protección, que nos indican las medidas de seguridad que tendremos la obligación de aplicar en cada caso.

Vamos a centrarnos en comentar sólo aquellos supuestos que se pueden dar con mayor frecuencia en las empresas, dejando el resto al margen de este artículo.

Leer más

Hoy nos vamos a centrar en las definiciones referidas a los procesos que intervienen en el tratamiento de los datos personales. Cancelación de datos, consentimiento, transferencias y traslados, cesiones… Todas aquellas operaciones que son habituales cuando manejamos los datos personales en la empresa y que están sujetas a esta reglamentación. Vamos con ello:

• Tratamiento de datos: toda operación que permita…
  

  “la recogida, grabación, conservación, elaboración, modifi-
  cación, consulta, utilización, modificación, cancelación,
  bloqueo o supresión, así como las cesiones de datos que
  resulten de comunicaciones, consultas, interconexiones y
  transferencias.”
  

  Para abreviar, casi cualquier cosa que hagamos con los datos personales, sea o no de forma automatizada.

Leer más

me gusta 1
Para votar identifícate o regístrate aquí.

En esta nueva entrega vamos a explicar las definiciones que tratan sobre las personas, tanto físicas como jurídicas, que intervienen en cualquier concerniente a la ley o cuyos datos son susceptibles de protección.

Hablaremos de afectado o interesado, destinatario, exportador e importador de datos, responsable del fichero, encargado del tratamiento, tercero, persona identificable, responsable de seguridad y usuario.

• Afectado o interesado: está bastante clara, la persona física titular de los datos que vayamos a tratar. Un caso muy claro sería el de los clientes (personas físicas) de nuestra empresa.
• Destinatario o cesionario: las personas o empresas, públicas o privadas a las que revelamos los datos que nosotros tratamos. Un buen ejemplo sería el de una empresa consultora a la que facilito los datos de mis clientes para que haga un estudio de hábitos de compra. Estaríamos llevando a cabo una cesión de datos, tema que trataremos en profundidad más adelante.

Leer más

me gusta 2
Para votar identifícate o regístrate aquí.

Las definiciones referidas a ficheros son quizá las que menos explicación necesitan, o las menos sujetas a interpretación, dicho de otra forma. Vamos a ver a que se refiere la Ley cuando habla de ficheros, ficheros de titularidad pública y privada, ficheros temporales y ficheros no automatizados.

• Ficheros:

  “Todo conjunto organizado de datos de carácter personal que permita el acceso a los mismos con arreglo a criterios determinados…”

  Está bastante clara. Cualquier tipo de archivo, automatizado (ficheros informáticos) o no automatizado (documentos en papel). En cuanto a los automatizados, podrían ser un documento de word, hoja de excel, archivo de base de datos, lo que sea, simpre que los datos estén organizados mediante algún criterio, cualquiera que éste sea. Alfabético, numérico, por colores, etc. Hay definido un reglamento de medidas de seguridad aplicables a estos ficheros.

Leer más

me gusta 2
Para votar identifícate o regístrate aquí.

En esta primera entrega de nuestro especial sobre la LOPD, vamos a empezar a tratar los conceptos que se manejan en el Real Decreto 1720/2007 que desarrolla la ley. Explicarlos nos va a permitir entender mejor los casos prácticos que más adelante abordaremos.

Las definiciones que figuran en el artículo 5 del Real Decreto no son más que la explicación de lo que entiende el legislador que significan determinados términos como dato de carácter personal o encargado del tratamiento, por poner dos ejemplos.

En lugar de seguir el orden alfabético que marca el texto legal, hemos preferido agrupar estas definiciones por temáticas, por decirlo de alguna forma, explicando en cada entrega aquellas que tienen cierta relación entre sí.

Sin más preámbulos, entramos en materia con las distintas definiciones referidas a datos: de carácter personal, disociados y aquellos relacionados con la salud.

Leer más

La Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal y el Real Decreto 1720/2007 que la desarrolla son dos de las normas que influyen de manera más determinante en la configuración de los sistemas informáticos de cualquier organización.

Todas las empresas, no importa cual sea su área de negocio o su tamaño, están obligadas a cumplir con ella si en cualquiera de sus actividades tratan con datos de carácter personal.

El primer paso para cumplir la ley es conocerla. Dado que muchas pymes, debido a su estructura organizativa, no disponen de personal suficiente o con la calificación necesaria para dedicarse a ello, vamos a intentar explicar, paso a paso y de forma sencilla en que consiste, que nos pide que hagamos, cómo podemos hacerlo y las consecuencias de no llevarlo a cabo.

Leer más