Las cámaras de comercio de nuestro país llevan a cabo de forma habitual jornadas monográficas sobre temáticas de interés para las pymes, y en concreto la Cámara de Comercio de Sevilla lleva ya varias ediciones de una jornada sobre la protección de datos personales con una aproximación práctica a la temática. La siguiente tendrá lugar el próximo 26 de mayo en el edificio Galia Puerto de la capital andaluza.

Se celebra por la tarde, de 17:00 a 20:30 horas, comenzando con una introducción a la protección de datos personales en las empresas para continuar con un repaso a las medidas de seguridad informática necesarias para cumplir con la Ley, y finalizar comentando aspectos como la situación actual de las empresas en relación al cumplimiento de la LOPD y los problemas más frecuentes a los que nos enfrentamos en las pymes.

La cuota de inscripción es de 70 euros e incluye un ejemplar del libro “Las empresas ante la protección de datos”, cuyo contenido desarrolla con más profundidad los aspectos que se van a tratar en la jornada. Este tipo de eventos no son la solución a todos los males, pero me resultan atractivos por que son una oportunidad para aclarar dudas y tratar nuestra problemática particular cara a cara con profesionales en la materia, además de comprobar qué está haciendo el resto del personal al respecto. A ver si cunde el ejemplo y comienzan a celebrarse este tipo de jornadas en otras ciudades.

Vía | Procedimientos Telemáticos
Más información e inscripción | Cámara de Comercio de Sevilla
En Tecnología Pyme | Especial protección de datos

El Observatorio de la Seguridad de la Información de INTECO publica esta guía para que la empresa, y muy particularmente la pequeña y mediana empresa (PYME), se familiarice con la protección de datos: por qué es necesario proteger los datos de los ciudadanos, qué obligaciones afectan a la empresa y qué beneficios para el negocio se derivan de su adopción.
Además, ofrece pautas básicas para la implementación de la normativa, estableciendo el marco general definido en la LOPD y RDLOPD y detallando las disposiciones y obligaciones concretas que afectan a las empresas.

Las empresas, en su calidad de agentes que manejan y tratan datos de carácter personal, están obligadas a garantizar el derecho fundamental a la protección de los datos personales de que disponen. La normativa no contempla excepciones por tamaño, facturación o sector de actividad, de forma que cualquier empresa está incluida en el ámbito de aplicación de la legislación, siempre que trabaje con ficheros con datos personales.

El nivel de exigencia en cuanto al cumplimiento de la LOPD es el mismo para todas las empresas, sin que se establezcan criterios distintos dependiendo de si es una gran empresa o una microempresa. La LOPD establece un marco general para todos y debe ser cumplida por todos.

La adaptación a la normativa sobre protección de datos es un trabajo que exige una monitorización y seguimiento constantes. Por ello el esfuerzo por parte de la empresa ha de ser decidido y continuado. Lo que se ofrece en esta guía son unas pautas para las pymes que todavía no se hayan iniciado en la protección de los datos personales.

• Fase I. Adaptación de ficheros: una de las principales implicaciones que la normativa sobre protección de datos tiene para las empresas es la necesidad de notificar sus ficheros ante el Registro de la AEPD. Para ello, como paso previo, es necesario que la empresa identifique los datos de carácter personal que se están manejando en su ámbito y cómo se encuentran éstos organizados (ficheros automatizados, no automatizados, mixtos).
• Fase II. Legitimación de datos: todos los datos de carácter personal recogidos por la empresa, deben contar con el consentimiento del afectado, así como cumplir una serie de principios y obligaciones básicas previstas en la normativa, que se tratarán en detalle en este apartado.
• Fase III. Políticas de seguridad de datos: la LOPD y el RDLOPD establecen una serie de medidas de carácter técnico y organizativo que garanticen la seguridad de los datos de carácter personal, que habrán de adoptarse por la empresa o profesional que almacene estos datos. Entre estas medidas se incluye la elaboración de un documento de seguridad en el que se detallarán los datos almacenados, las medidas de seguridad adoptadas, así como las personas que tienen acceso a esos datos.

Tras haber repasado la guía, mi opinión personal es que efectivamente puede ser muy útil como iniciación en el cumplimiento de los aspectos jurídicos de la LOPD y su Reglamento de desarrollo para aquellas pymes que no hayan implantado aún la protección de datos, pero se queda corta como instrumento de control posterior (probablemente tampoco era esa la intención de sus autores), y sobre todo parece olvidar un aspecto fundamental: la formación de los empleados que manejan los datos dentro de la empresa en el día a día.

No me cansaré nunca de advertir que las mayores sanciones en protección de datos no se producen porque en la empresa falte tal o cual documento, sino por vulnerar los derechos individuales de las personas físicas en el uso de la información, y esto difícilmente se resuelve con documentos: es una cuestión más cultural que legal, más de conocimientos que de papeles.

Fotografía l Ian-S
Más Información l Guía para empresas: cómo adaptarse a la normativa sobre protección de datos (pdf 2,01 MB)
En Tecnología Pyme l Estudio de INTECO sobre la adaptación de las pymes a la LOPD
En Tecnología Pyme l Guía LOPD

En la presentación de esta serie decía:

Como complemento a la serie de “Conceptos Básicos” sobre protección de datos, iniciamos hoy otra bajo el epígrafe “Guías Prácticas”, con el propósito de añadir a la visión teórica de la LOPD diferentes análisis de sus consecuencias practicas en las pymes.

Con esta entrada damos por culminada la serie (que no el tema, que seguirá siendo tratado en el blog). Si el propósito señalado se cumplió o no, es un juicio que queda en manos del lector.

Pero antes de terminar… es bien sabido que la visión “microscópica”, cuando uno acerca mucho la mirada al objeto de su estudio y magnifica cada detalle, pone al descubierto todos los inconvenientes y la complejidad de cada asunto. Y sin duda es un trabajo que hay que
hacer, pero conviene también de vez en cuando volver a una visión “telescópica”, alejarse para tener una perspectiva de conjunto y que los árboles no te impidan ver el bosque.

Por lo tanto, a modo de visión “global”: los cinco pilares de la protección de datos.

• La documentación es importante. Como ya hemos señalado, buena parte de la documentación generada por las exigencias del Reglamento de Medidas de Seguridad que complementa la LOPD, y en especial el Documento de Seguridad, es de carácter dinámico, es decir, refleja hechos y circunstancias, como empleados con acceso a datos o terminales informáticos, que no es extraño que se modifiquen en el tiempo. Además hay que incluir en este capítulo los registros de copias de seguridad, salida de soportes informáticos, contratos con terceros, etc… Deberemos crear por lo tanto un procedimiento de revisión, al menos de periodicidad mensual, de esta documentación.
• La documentación no es lo más importante. La LOPD no nació con el objetivo de inundar de papeles las pymes ni de dar una linea de negocio añadido a las consultoras, sino para defender el derecho a la intimidad de las personas físicas, y donde hace especial hincapié en las exigencias no es tanto si tal o cual papel es jurídicamente perfecto. Donde la ley se muestra especialmente exigente es en el concepto del consentimiento: es necesario el permiso de las personas para poder tratar sus datos dentro de la legalidad y además deberemos informar en cada caso, de modo explícito, de los derechos ARCO que la ley otorga a cada ciudadano.
• Implica a los empleados. Cumplir con la LOPD no es una cuestión que se pueda resolverse en el despacho del gerente. Más allá de una simple ley significa un cambio de orden casi “cultural” que necesariamente ha de implicar a los empleados, ya que al final de la cadena son ellos los que tratan la información, los que envían los correos electrónicos, los que preparan presupuestos o llevan análisis médicos de una unidad a otra. La formación es una etapa fundamental del cumplimiento.
• Y a tus clientes también. Según datos del Centro de Investigaciones Sociológicas (CIS), casi el 80% de los españoles está bastante o muy preocupados por lo que se hace con sus datos personales. ¿Y tus clientes? Seguro que también. Aprovecha este “clima” social de inquietud y convierte la obligación legal en una ventaja para la imagen de tu empresa. Dile a tus clientes: “Conmigo no tienes que preocuparte. Somos un empresa seria, cumplimos la LOPD. Tus datos están seguros conmigo.”
• El valor de la seguridad. ¿Le has puesto cerradura a la oficina y al almacén? ¿Y en qué BOE está escrito esta exigencia? No ha hecho falta ¿verdad?, simplemente has decidido proteger tus bienes y no necesitas que ningún gobierno dicte una ley para obligarte a ello, lo haces por tu propia seguridad. ¿Y cómo tienes los datos? (en muchos casos el activo más importante de la empresa). ¿Vas a esperar a que la ley te obligue para tomarte en serio proteger uno de tus bienes mas preciosos: la información? Antivirus, firewall, copias de seguridad, y otras exigencias de la LOPD, deberían en cualquier caso ser parte de las políticas habituales y activas de cualquier pyme.

¿Se cumple ya en tu empresa la LOPD? ¿Te ayudaron en alguna forma estas Guías Prácticas?

En Tecnología Pyme | LOPD: Guías prácticas y conceptos básicos

Es un hecho que salta a la vista la generalización en los últimos años del uso de la videovigilancia en las empresas. Ya sea con el fin de vigilar los accesos, de garantizar la seguridad de las instalaciones o de controlar a los empleados, el caso es que cámaras cada vez más precisas, diminutas y en algunos casos disimuladas, proliferan y se reproducen provocando muchas veces inquietud en el ciudadano, que se siente vigilado como en el clásico “1984” por el ojo del Gran Hermano que todo lo ve.

Y hay que tener en cuenta que la vulneración de las normas de protección de datos que hacen referencia a la videovigilancia es uno de los motivos más frecuentes de denuncia de los afectados y sanción por parte de la Agencia Española de Protección de Datos (AEPD), que suele ser de entre 600 y 1.200 euros la primera ocasión, pero que en caso de reincidencia puede llegar a los 60.000 euros.

Veamos entonces cuáles son las implicaciones legales en protección de datos del uso de videovigilancia.

Ante todo hay que aclarar que según la ley sólo se considerará admisible la instalación de cámaras o videocámaras cuando la finalidad de vigilancia no pueda obtenerse mediante otros medios que, sin exigir esfuerzos desproporcionados, resulten menos intrusivos para la intimidad de las personas y para su derecho a la protección de datos de carácter personal. Por lo tanto habremos de ponderar las necesidades de seguridad, sus costes y la posibilidad de utilizar otros recursos, pero si finalmente decidimos optar por la videovigilancia estos los aspectos que habremos de tener en cuenta.

• Inscripción del fichero. La primera cuestión a tener clara es si se trata de un sistema que graba o no las imágenes captadas. En el caso de que se mantenga el registro (durante el plazo máximo durante un mes) estaremos ante un fichero de datos personales y por descontado, la creación de un fichero de videovigilancia exige su previa notificación a la AEPD, para la inscripción en su Registro General.
• Instalación. Toda instalación deberá respetar el principio de proporcionalidad, lo que en definitiva supone prevenir interferencias injustificadas en los derechos y libertades fundamentales. Es decir, que debemos asegurarnos que el área de cobertura de las cámaras no vaya más allá de las instalaciones a proteger o vigilar, sin filmar zonas públicas salvo que resulte imprescindible.
• Información. Como siempre uno de los aspectos más importantes de cualquier asunto relacionado con la LOPD. Todo responsable de un sistema de videovigilancia deberá colocar, en las zonas videovigiladas, al menos un distintivo informativo ubicado en lugar suficientemente visible, tanto en espacios abiertos como cerrados, y por otro lado deberá tener a disposición de los/las interesados/as impresos en los que se detalle la información acerca de sus derechos y la identidad del responsable del fichero ante quien ejercerlos.
• Seguridad y secreto. El responsable deberá adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos y eviten su alteración, pérdida, tratamiento o acceso no autorizado. Asimismo cualquier persona que por razón del ejercicio de sus funciones tenga acceso a los datos deberá de observar la debida reserva, confidencialidad y sigilo en relación con las mismas. El responsable deberá informar a las personas con acceso a los datos de su deber de secreto.
• Empresa externa. En el caso de que la videovigilancia vaya a ser subcontratada con un empresa de seguridad, además de asegurarnos de que sea una empresa legalmente autorizada para realizar tal actividad, hay que tener en cuenta que al disponer de acceso a los datos de carácter personal de los que somos responsables, se convertirá en un encargado del tratamiento con el que deberemos firmar el correspondiente contrato de tratamiento.

¿Te has planteado o estás ya usando sistemas de videovigilancia en tu negocio? ¿Conocías estas implicaciones legales?

En Tecnología Pyme | LOPD: Guías prácticas y conceptos básicos
Cartel videovigilancia | AEPD
Cláusula informativa | AEPD

El Real Decreto 1720/2007, Reglamento de desarrollo de la LOPD, dice en su artículo 96:

1. A partir del nivel medio los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se someterán, al menos cada dos años, a una auditoría interna o externa que verifique el cumplimiento del presente título.

En este caso, al igual que comentaba respecto al Documento de Seguridad, una pyme habrá de valorar con prudencia las alternativas de confección de esta auditoría, ya que el Reglamento autoriza a que sea la propia empresa quien realice el oportuno estudio (“auditoría interna o externa”), pero eso no le rebaja el nivel de exigencia, ya que como indica el mismo artículo en el párrafo 3:

Los informes de auditoría (...) quedarán a disposición de la Agencia Española de Protección de Datos o, en su caso, de las autoridades de control de las comunidades autónomas.

Ya sea porque se ha decidido la opción interna, o para revisar el encargo externalizado, conviene repasar en qué consiste y de que se compone la auditoría en protección de datos.

El artículo 96 del Reglamento señala:

2. El informe de auditoría deberá dictaminar sobre la adecuación de las medidas y controles a la Ley y su desarrollo reglamentario, identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias. Deberá, igualmente, incluir los datos, hechos y observaciones en que se basen los dictámenes alcanzados y las recomendaciones propuestas.

Por lo tanto la primera fase consistirá en recopilar información acerca del grado de mantenimiento y cumplimiento del Documento de Seguridad, y en especial de los apartados Funciones y Obligaciones del Personal; Almacenamiento de la información; Registros de incidencias, accesos, copias de seguridad, salida de soportes y en general todos los listados de los Anexos comentados en el post anterior, con especial atención a la relación de usuarios autorizados y al inventario de soportes.

Con esta información se procederá a la redacción del informe, que deberá dictaminar sobre:

• Adecuación de las medidas y controles establecidas a lo dispuesto en el Título VIII del Reglamento.
• Identificación de deficiencias y propuesta de medidas correctoras o complementarias. Incluirá los datos, hechos y observaciones en que se basen los dictámenes alcanzados y recomendaciones propuestas.
• Será analizado por el responsable de seguridad, y elevará sus conclusiones al responsable del ficheros para que adopte las medidas adecuadas.
• Deberá quedar a disposición de la Agencia Española de Protección de Datos.

Por lo tanto se trata no sólo de revisar los aspectos documentales (que tenemos en orden y actualizados todos los papeles) sino de comprobar las políticas activas de la compañía a todos los niveles, para evitar que el cumplimiento de la LOPD (que es continuo puesto que en ningún momento se puede dejar de utilizar datos de carácter personal) se “olvide” con el paso del tiempo.

Como hemos dicho, esta auditoría deberá repetirse cada dos años, pero el Reglamento indica además:

Con carácter extraordinario deberá realizarse dicha auditoría siempre que se realicen modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptación, adecuación y eficacia de las mismas. Esta auditoría inicia el cómputo de dos años señalado en el párrafo anterior.

La auditoría en protección de datos en un requisito de obligado cumplimiento para toda pyme que almacene datos de carácter personal de nivel medio o alto, pero además es una excelente oportunidad para revisar todos los procedimientos y políticas implantadas en una área tan sensible para cualquier empresa como es la protección de datos.

En Tecnología Pyme | LOPD: Guías prácticas y conceptos básicos

Por una parte tenemos que buena parte de la información que sobre la entidad responsable de un fichero con datos de carácter personal queda recogida en el Documento de Seguridad es de carácter dinámica, es decir, puede verse modificada en el tiempo. Esta información, normalmente en forma de listados, suele recogerse en diferentes Anexos al documento.

Por otro lado, el artículo 7 del Reglamento de desarrollo de la LOPD dice: “El documento de seguridad deberá mantenerse en todo momento actualizado (...)”.

Nos encontramos entonces con que la mayor complejidad en la gestión del Documento de Seguridad no está tanto en su redacción como en su mantenimiento. Veamos de qué se componen estos Anexos y qué cambios han de reflejar.

Es importante aclarar que el Reglamento LOPD no impone un listado taxativo de estos Anexos, sino que indica la obligación de mantener actualizadas una serie de informaciones requeridas, y por lo tanto existe cierta flexibildad a la hora de redactar estos documentos. Esta es una propuesta para organizarlos y agruparlos de una forma lógica:

• Descripción de ficheros: nombre del fichero o tratamiento, descripción; unidad/es con acceso al fichero o tratamiento; identificador del Registro General de Protección de Datos de la AEPD; nivel de medidas seguridad a adoptar (básico, medio o alto); Código Tipo y otras leyes aplicables (si las hubiere); procedimiento y servicio ante el que puedan ejercitarse los derechos de acceso, rectificación, cancelación y oposición; descripción detallada y periodicidad de las copias de respaldo y de los procedimientos de recuperación; relación de usuarios con acceso autorizado; funciones del personal con acceso a los datos personales; descripción de los procedimientos de control de acceso e identificación, y el responsable de seguridad (éste último dato sólo para niveles medio o alto).
• Nombramientos: que afecten a los diferentes perfiles incluidos en este documento, como el del responsable de seguridad.
• Autorizaciones de salida o recuperación de datos: autorizaciones que el responsable del fichero ha firmado para la salida de soportes que contengan datos de carácter personal, así como aquellas relativas a la ejecución de los procedimientos de recuperación de datos.
• Inventario de soportes y registro de salida y entrada: los soportes deberán permitir identificar el tipo de información, que contienen, ser inventariados y almacenarse en un lugar con acceso restringido al personal autorizado para ello. Además en los niveles medio y alto es obligatorio llevar un registro de salida y entrada de cada soporte.
• Registro de incidencias: las que se produzcan en cualquier fichero y puedan afectar a la integridad y seguridad de la información.
• Encargados del tratamiento: recoger aquí el contrato que establecerá expresamente que el encargado de tratamiento tratará los datos conforme a las instrucciones del responsable del los ficheros, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, y que no los comunicarán, ni siquiera para su conservación a otras personas. El contrato estipulará las medidas de seguridad que el encargado del tratamiento esta obligado a implementar.

En el caso de que la empresa tenga frecuentes cambios en estas áreas puede ser conveniente automatizar los listados mediante alguna aplicación informática.

En Tecnología Pyme | LOPD: Guías prácticas y conceptos básicos

Para comenzar a redactar el Documento de Seguridad al que hacíamos referencia en el anterior post de la serie, el responsable del fichero habrá de definir el ámbito de aplicación del documento, es decir, indicar a qué ficheros con datos de carácter personal se aplica, ya que la ley autoriza a redactar un documento por cada fichero o uno genérico para todos los ficheros de la entidad, siendo éste el caso más usual en una pyme.

Asimismo habrá que indicar cuál es el nivel de seguridad (bajo, medio o alto) a aplicar a cada fichero atendiendo a la naturaleza de la información tratada, en relación con la menor o mayor necesidad de garantizar la confidencialidad y la integridad de la información, indicando también si se trata de sistemas automatizados, manuales o mixtos.

Sin embargo el grueso del texto será la descripción de las medidas, normas, procedimientos, reglas y estándares encaminados a garantizar los niveles de seguridad exigidos en el documento.

Hay que distinguir esta parte del documento de los Anexos que se incluyen al final del mismo. Es en estos Anexos dónde se indicarán los listados y registros que hay que mantener actualizados, mientras que aquí estamos estableciendo las medidas tomadas para garantizar y proteger los datos de carácter personal, digamos las “reglas del juego”.

Sea cual sea el nivel de protección exigido, el Documento de Seguridad deberá incluir estos apartados:

• Identificación y autenticación.
• Control de accesos.
• Gestión de soportes y documentos.
• Acceso a datos a través de redes de comunicaciones.
• Régimen de trabajo fuera de los locales de ubicación del fichero.
• Ficheros temporales o copias de trabajo de los documentos.
• Funciones y obligaciones del personal y procedimiento de información.
• Procedimientos de notificación, gestión y respuesta ante incidencias.
• Procedimientos de revisión.

En el caso de ficheros de nivel medio o alto, se añadirá además:

• Procedimiento de registro de accesos.
• Procedimiento de registro de entrada y salida de soportes.
• Criterios de archivo.
• Almacenamiento de la información.
• Custodia de soportes.
• Mecanismos de cifrado.
• Traslado de documentación.
• Copias de respaldo y recuperación.
• Responsable de seguridad.
• Procedimiento de auditoría.

Como ya indicaba, algunos de estos procedimientos generan la obligación de mantener listados (personal con acceso a datos, autorizaciones, copias de seguridad, etc…) que se incorporan al Documento de Seguridad como Anexos. En el siguiente post de la serie veremos qué Anexos son y la obligación de mantenerlos actualizados.

En Tecnología Pyme | LOPD: Guías prácticas y conceptos básicos

Nuestro objetivo no es, en ningún caso, convertirnos en la fuente básica sobre la que enfocar el cumplimiento de la ley en vuestra empresa (para ello, deberíais acudir a cualquier consultoría especializada que os ofrezca confianza, la importancia del tema lo merece), sino proporcionar la información necesaria para comprender los pasos que hay que dar y una vez adaptados vuestros procedimientos a la ley, ser capaces de mantenerlos al día con los requisitos que se os exigen, quizá uno de los aspectos más complicados y menos comentados de esta ley.

Esta es una cita de José M. Cestero del primer post de la serie que he querido repetir, ya que tras haber visto el procedimiento para el alta de ficheros, un paso que cualquier empresa puede llevar a cabo por sus propios medios sin recurrir a un asesoramiento externo, vamos a ver un asunto más complejo: qué es y de qué se compone el Documento de Seguridad que toda pyme que mantenga ficheros con datos de carácter personal ha de redactar y tener a disposición de la inspección de la Agencia Española de Protección de Datos (AEPD).

El Real Decreto 1720/2007, Reglamento de desarrollo de la LOPD, establece las medidas de índole técnico y organizativo que los responsables de los los ficheros y los encargados de tratamiento han de implantar para garantizar la seguridad en los ficheros, los centros de tratamiento, locales, equipos, sistemas, programas y las personas que intervengan en el tratamiento de datos de carácter personal.
Entre estas medidas, se encuentra la elaboración de un documento que recogerá las medidas de índole técnica y organizativa acorde a la normativa de seguridad vigente que será de obligado cumplimiento para el personal con acceso a los datos de carácter personal.

El documento deberá contener, como mínimo, los siguientes aspectos:

• Ámbito de aplicación del documento con especificación detallada de los recursos protegidos.
• Medidas, normas, procedimientos de actuación, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en este reglamento.
• Funciones y obligaciones del personal en relación con el tratamiento de los datos de carácter personal incluidos en los ficheros.
• Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan.
• Procedimiento de notificación, gestión y respuesta ante las incidencias.
• Los procedimientos de realización de copias de respaldo y de recuperación de los datos en los ficheros o tratamientos automatizados.
• Las medidas que sea necesario adoptar para el transporte de soportes y documentos, así como para la destrucción de los documentos y soportes, o en su caso, la reutilización de estos últimos.

En caso de que fueran de aplicación a los ficheros las medidas de seguridad de nivel medio o las medidas de seguridad de nivel alto, previstas en este título, el documento de seguridad deberá contener además:

• La identificación del responsable o responsables de seguridad.
• Los controles periódicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento.

Además cuando exista un tratamiento de datos por cuenta de terceros, el documento de seguridad deberá contener la identificación de los ficheros o tratamientos que se traten en concepto de encargado con referencia expresa al contrato o documento que regule las condiciones del encargo, así como de la identificación del responsable y del período de vigencia del encargo.

El documento de seguridad deberá mantenerse en todo momento actualizado y será revisado siempre que se produzcan cambios relevantes en el sistema de información, en el sistema de tratamiento empleado, en su organización, en el contenido de la información incluida en los ficheros o tratamientos o, en su caso, como consecuencia de los controles periódicos realizados. En todo caso, se entenderá que un cambio es relevante cuando pueda repercutir en el cumplimiento de las medidas de seguridad implantadas.

En los siguientes posts de la Guía LOPD veremos cómo redactar el Ámbito de aplicación, las Medidas que se han de implantar para garantizar los niveles de seguridad y los Anexos que han de complementar el Documento de Seguridad.

En Tecnología Pyme | LOPD: Guías prácticas y conceptos básicos

El primer paso en el cumplimiento de la Ley Orgánica de Protección de Datos (LOPD) es la obligación de notificar los ficheros que contengan datos de carácter personal a la Agencia Española de Protección de Datos (AEPD).

Con este fin se creó el sistema de Notificaciones Telemáticas a la AEPD (NOTA), que permite a cualquier entidad de titularidad pública y/o privada notificar sus ficheros de forma gratuita a través de una herramienta que le informa y asesora acerca de los requerimientos de la notificación, ya sea con o sin firma electrónica. Además permite preseleccionar de forma simplificada una serie de ficheros relacionados con los usos más habituales de las pymes.

Gracias a la sencillez del formulario y a la claridad de su manual de instrucciones éste es un paso que cualquier empresa puede llevar a cabo por sus propios medios, sin recurrir a un asesoramiento externo.

Antes que nada es importante aclarar que el formulario electrónico NOTA incorpora funcionalidades que requieren la instalación de Adobe Reader versión 7.0.8 ó superior.

En este caso veremos los pasos a dar en el uso más habitual de la herramienta: la notificación de ficheros de titularidad privada a través de internet sin firma electrónica.

• En la web de la AEPD ir a Canal del responsable de ficheros > Inscripción de Ficheros > Notificaciones Telemáticas a la AEPD (NOTA) > Obtención del formulario NOTA: Formulario NOTA de titularidad privada
• Seleccionar Alta, y luego Tipo (modelos precumplimentados para gestión de comunidades de propietarios, clientes, libro recetario de las oficinas de farmacia, pacientes, gestión escolar, videovigilancia, nóminas y recursos humanos). Marcar presentación por internet.
• Cumplimentar los apartados de la notificación. En todos los apartados se encuentra disponible la ayuda correspondiente a dicho apartado, así como una opción que le permitirá verificar si el mismo ha sido cumplimentado correctamente.
• Rellenar la Hoja de solicitud.
• Generar/Enviar la notificación.
• El sistema responderá con la Hoja de solicitud (en formato PDF) que confirma que la notificación ha sido enviada correctamente. Dicha Hoja de solicitud, firmada por la persona que efectúa la notificación, es la que se deberá remitir por correo a la AEPD.

Posteriormente la AEPD confirmará por correo la inscripción de fichero mediante una carta en la que además de asignar el código de inscripción correspondiente, señala: “sin que de esta inscripción se pueda desprender el cumplimiento por parte del responsable del fichero del resto de obligaciones previstas (...)”.

Iremos viendo en las sucesivas entregas de esta Guía Práctica LOPD cuáles son esas otras obligaciones previstas.

Formulario | Formulario NOTA de titularidad privada
Más información | Manual del formulario electrónico de notificación de ficheros de Titularidad privada
En Tecnología Pyme | LOPD: guías prácticas y conceptos básicos

Continuando con la nueva serie “Guías Prácticas”, con el propósito de añadir a la visión teórica de la LOPD diferentes análisis de las consecuencias practicas en las pymes, veremos las implicaciones de la externalización de determinados servicios tecnológicos.

Son varias las ocasiones y muchos los motivos, aunque básicamente sean coste y complejidad, por los que una empresa no le conviene asumir a nivel interno todas y cada una de las posibilidades de negocio que le brindan las nuevas tecnologías y prefiere contratar con otra empresa servicios tales como mantenimiento informático, videovigilancia, gestión de su web y/o tienda virtual, backup remoto, etc.

Resulta evidente que la gestión de todas estas herramientas implica necesariamente por parte de la empresa prestataria del servicio un acceso y en muchas ocasiones tratamiento de datos de carácter personal, que son realmente una responsabilidad de la empresa cliente. Es por esto que la Ley Orgánica de Protección de Datos (LOPD) señala que la realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato, y el Reglamento de desarrollo de la LOPD añade además que el responsable de los datos deberá velar por que el encargado del tratamiento reúna las garantías para el cumplimiento de la protección de datos.

En el contrato citado deberá establecerse expresamente que:

• El encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable de los datos.
• No los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.
• Se estipularán, asimismo, las medidas de seguridad que el encargado del tratamiento está obligado a implementar.
• Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento.

La clave del asunto reside en la ya citada obligación que marca el Reglamento de la LOPD de “velar” porque este encargado del tratamiento cumpla la LOPD, que no es sino la aplicación a un campo tan moderno como las nuevas tecnologías de unos antiquísimos (derecho romano) conceptos jurídicos como son la culpa “in eligiendo” e “in vigilando”, es decir, la responsabilidad que recae sobre la entidad que tiene datos de carácter personal cada vez que “elige” a otra persona física o jurídica para realizar determinados trabajos sobre esos datos.

Hay que tener en cuenta que en el caso de que esta tercera empresa, la encargada del tratamiento, cometa, por error, omisión o mala fe, cualquier vulneración de la LOPD con los datos que le hemos cedido que pueda suponer una sanción por parte de la Agencia Española de Protección de Datos (AEPD), corremos el riesgo de que la AEPD nos “rebote” dicha sanción multando también al responsable de los datos por no haber “velado” correctamente por que el encargado del tratamiento reuniera las garantías para el cumplimiento de la protección de datos.

El contrato de tratamiento actuará como un “escudo protector” frente a esa posible sanción permitiéndonos demostrar a la AEPD que sí hemos cumplido con el deber de elegir y vigilar correctamente hasta donde llegan nuestras posibilidades a quien hemos encargado la realización de determinados trabajos con nuestros datos.

Por lo tanto, en resumen, cada vez que una pyme se plantee la posibilidad de subcontratar cualquier servicio externo que suponga un acceso a datos de carácter personal, deberá estudiar, además de los componentes tecnológicos y económicos de las diferentes ofertas que tenga sobre la mesa, los aspectos legales referentes a la protección de datos y exigir en especial que en el contrato de prestación de servicios a firmar se recojan expresamente los condicionantes exigidos por la LOPD.

En Tecnología Pyme | LOPD: guías prácticas y conceptos básicos