En la presentación de esta serie decía:

Como complemento a la serie de “Conceptos Básicos” sobre protección de datos, iniciamos hoy otra bajo el epígrafe “Guías Prácticas”, con el propósito de añadir a la visión teórica de la LOPD diferentes análisis de sus consecuencias practicas en las pymes.

Con esta entrada damos por culminada la serie (que no el tema, que seguirá siendo tratado en el blog). Si el propósito señalado se cumplió o no, es un juicio que queda en manos del lector.

Pero antes de terminar… es bien sabido que la visión “microscópica”, cuando uno acerca mucho la mirada al objeto de su estudio y magnifica cada detalle, pone al descubierto todos los inconvenientes y la complejidad de cada asunto. Y sin duda es un trabajo que hay que
hacer, pero conviene también de vez en cuando volver a una visión “telescópica”, alejarse para tener una perspectiva de conjunto y que los árboles no te impidan ver el bosque.

Por lo tanto, a modo de visión “global”: los cinco pilares de la protección de datos.

• La documentación es importante. Como ya hemos señalado, buena parte de la documentación generada por las exigencias del Reglamento de Medidas de Seguridad que complementa la LOPD, y en especial el Documento de Seguridad, es de carácter dinámico, es decir, refleja hechos y circunstancias, como empleados con acceso a datos o terminales informáticos, que no es extraño que se modifiquen en el tiempo. Además hay que incluir en este capítulo los registros de copias de seguridad, salida de soportes informáticos, contratos con terceros, etc… Deberemos crear por lo tanto un procedimiento de revisión, al menos de periodicidad mensual, de esta documentación.
• La documentación no es lo más importante. La LOPD no nació con el objetivo de inundar de papeles las pymes ni de dar una linea de negocio añadido a las consultoras, sino para defender el derecho a la intimidad de las personas físicas, y donde hace especial hincapié en las exigencias no es tanto si tal o cual papel es jurídicamente perfecto. Donde la ley se muestra especialmente exigente es en el concepto del consentimiento: es necesario el permiso de las personas para poder tratar sus datos dentro de la legalidad y además deberemos informar en cada caso, de modo explícito, de los derechos ARCO que la ley otorga a cada ciudadano.
• Implica a los empleados. Cumplir con la LOPD no es una cuestión que se pueda resolverse en el despacho del gerente. Más allá de una simple ley significa un cambio de orden casi “cultural” que necesariamente ha de implicar a los empleados, ya que al final de la cadena son ellos los que tratan la información, los que envían los correos electrónicos, los que preparan presupuestos o llevan análisis médicos de una unidad a otra. La formación es una etapa fundamental del cumplimiento.
• Y a tus clientes también. Según datos del Centro de Investigaciones Sociológicas (CIS), casi el 80% de los españoles está bastante o muy preocupados por lo que se hace con sus datos personales. ¿Y tus clientes? Seguro que también. Aprovecha este “clima” social de inquietud y convierte la obligación legal en una ventaja para la imagen de tu empresa. Dile a tus clientes: “Conmigo no tienes que preocuparte. Somos un empresa seria, cumplimos la LOPD. Tus datos están seguros conmigo.”
• El valor de la seguridad. ¿Le has puesto cerradura a la oficina y al almacén? ¿Y en qué BOE está escrito esta exigencia? No ha hecho falta ¿verdad?, simplemente has decidido proteger tus bienes y no necesitas que ningún gobierno dicte una ley para obligarte a ello, lo haces por tu propia seguridad. ¿Y cómo tienes los datos? (en muchos casos el activo más importante de la empresa). ¿Vas a esperar a que la ley te obligue para tomarte en serio proteger uno de tus bienes mas preciosos: la información? Antivirus, firewall, copias de seguridad, y otras exigencias de la LOPD, deberían en cualquier caso ser parte de las políticas habituales y activas de cualquier pyme.

¿Se cumple ya en tu empresa la LOPD? ¿Te ayudaron en alguna forma estas Guías Prácticas?

En Tecnología Pyme | LOPD: Guías prácticas y conceptos básicos

Es un hecho que salta a la vista la generalización en los últimos años del uso de la videovigilancia en las empresas. Ya sea con el fin de vigilar los accesos, de garantizar la seguridad de las instalaciones o de controlar a los empleados, el caso es que cámaras cada vez más precisas, diminutas y en algunos casos disimuladas, proliferan y se reproducen provocando muchas veces inquietud en el ciudadano, que se siente vigilado como en el clásico “1984” por el ojo del Gran Hermano que todo lo ve.

Y hay que tener en cuenta que la vulneración de las normas de protección de datos que hacen referencia a la videovigilancia es uno de los motivos más frecuentes de denuncia de los afectados y sanción por parte de la Agencia Española de Protección de Datos (AEPD), que suele ser de entre 600 y 1.200 euros la primera ocasión, pero que en caso de reincidencia puede llegar a los 60.000 euros.

Veamos entonces cuáles son las implicaciones legales en protección de datos del uso de videovigilancia.

Ante todo hay que aclarar que según la ley sólo se considerará admisible la instalación de cámaras o videocámaras cuando la finalidad de vigilancia no pueda obtenerse mediante otros medios que, sin exigir esfuerzos desproporcionados, resulten menos intrusivos para la intimidad de las personas y para su derecho a la protección de datos de carácter personal. Por lo tanto habremos de ponderar las necesidades de seguridad, sus costes y la posibilidad de utilizar otros recursos, pero si finalmente decidimos optar por la videovigilancia estos los aspectos que habremos de tener en cuenta.

• Inscripción del fichero. La primera cuestión a tener clara es si se trata de un sistema que graba o no las imágenes captadas. En el caso de que se mantenga el registro (durante el plazo máximo durante un mes) estaremos ante un fichero de datos personales y por descontado, la creación de un fichero de videovigilancia exige su previa notificación a la AEPD, para la inscripción en su Registro General.
• Instalación. Toda instalación deberá respetar el principio de proporcionalidad, lo que en definitiva supone prevenir interferencias injustificadas en los derechos y libertades fundamentales. Es decir, que debemos asegurarnos que el área de cobertura de las cámaras no vaya más allá de las instalaciones a proteger o vigilar, sin filmar zonas públicas salvo que resulte imprescindible.
• Información. Como siempre uno de los aspectos más importantes de cualquier asunto relacionado con la LOPD. Todo responsable de un sistema de videovigilancia deberá colocar, en las zonas videovigiladas, al menos un distintivo informativo ubicado en lugar suficientemente visible, tanto en espacios abiertos como cerrados, y por otro lado deberá tener a disposición de los/las interesados/as impresos en los que se detalle la información acerca de sus derechos y la identidad del responsable del fichero ante quien ejercerlos.
• Seguridad y secreto. El responsable deberá adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos y eviten su alteración, pérdida, tratamiento o acceso no autorizado. Asimismo cualquier persona que por razón del ejercicio de sus funciones tenga acceso a los datos deberá de observar la debida reserva, confidencialidad y sigilo en relación con las mismas. El responsable deberá informar a las personas con acceso a los datos de su deber de secreto.
• Empresa externa. En el caso de que la videovigilancia vaya a ser subcontratada con un empresa de seguridad, además de asegurarnos de que sea una empresa legalmente autorizada para realizar tal actividad, hay que tener en cuenta que al disponer de acceso a los datos de carácter personal de los que somos responsables, se convertirá en un encargado del tratamiento con el que deberemos firmar el correspondiente contrato de tratamiento.

¿Te has planteado o estás ya usando sistemas de videovigilancia en tu negocio? ¿Conocías estas implicaciones legales?

En Tecnología Pyme | LOPD: Guías prácticas y conceptos básicos
Cartel videovigilancia | AEPD
Cláusula informativa | AEPD

El Real Decreto 1720/2007, Reglamento de desarrollo de la LOPD, dice en su artículo 96:

1. A partir del nivel medio los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se someterán, al menos cada dos años, a una auditoría interna o externa que verifique el cumplimiento del presente título.

En este caso, al igual que comentaba respecto al Documento de Seguridad, una pyme habrá de valorar con prudencia las alternativas de confección de esta auditoría, ya que el Reglamento autoriza a que sea la propia empresa quien realice el oportuno estudio (“auditoría interna o externa”), pero eso no le rebaja el nivel de exigencia, ya que como indica el mismo artículo en el párrafo 3:

Los informes de auditoría (...) quedarán a disposición de la Agencia Española de Protección de Datos o, en su caso, de las autoridades de control de las comunidades autónomas.

Ya sea porque se ha decidido la opción interna, o para revisar el encargo externalizado, conviene repasar en qué consiste y de que se compone la auditoría en protección de datos.

El artículo 96 del Reglamento señala:

2. El informe de auditoría deberá dictaminar sobre la adecuación de las medidas y controles a la Ley y su desarrollo reglamentario, identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias. Deberá, igualmente, incluir los datos, hechos y observaciones en que se basen los dictámenes alcanzados y las recomendaciones propuestas.

Por lo tanto la primera fase consistirá en recopilar información acerca del grado de mantenimiento y cumplimiento del Documento de Seguridad, y en especial de los apartados Funciones y Obligaciones del Personal; Almacenamiento de la información; Registros de incidencias, accesos, copias de seguridad, salida de soportes y en general todos los listados de los Anexos comentados en el post anterior, con especial atención a la relación de usuarios autorizados y al inventario de soportes.

Con esta información se procederá a la redacción del informe, que deberá dictaminar sobre:

• Adecuación de las medidas y controles establecidas a lo dispuesto en el Título VIII del Reglamento.
• Identificación de deficiencias y propuesta de medidas correctoras o complementarias. Incluirá los datos, hechos y observaciones en que se basen los dictámenes alcanzados y recomendaciones propuestas.
• Será analizado por el responsable de seguridad, y elevará sus conclusiones al responsable del ficheros para que adopte las medidas adecuadas.
• Deberá quedar a disposición de la Agencia Española de Protección de Datos.

Por lo tanto se trata no sólo de revisar los aspectos documentales (que tenemos en orden y actualizados todos los papeles) sino de comprobar las políticas activas de la compañía a todos los niveles, para evitar que el cumplimiento de la LOPD (que es continuo puesto que en ningún momento se puede dejar de utilizar datos de carácter personal) se “olvide” con el paso del tiempo.

Como hemos dicho, esta auditoría deberá repetirse cada dos años, pero el Reglamento indica además:

Con carácter extraordinario deberá realizarse dicha auditoría siempre que se realicen modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptación, adecuación y eficacia de las mismas. Esta auditoría inicia el cómputo de dos años señalado en el párrafo anterior.

La auditoría en protección de datos en un requisito de obligado cumplimiento para toda pyme que almacene datos de carácter personal de nivel medio o alto, pero además es una excelente oportunidad para revisar todos los procedimientos y políticas implantadas en una área tan sensible para cualquier empresa como es la protección de datos.

En Tecnología Pyme | LOPD: Guías prácticas y conceptos básicos

Por una parte tenemos que buena parte de la información que sobre la entidad responsable de un fichero con datos de carácter personal queda recogida en el Documento de Seguridad es de carácter dinámica, es decir, puede verse modificada en el tiempo. Esta información, normalmente en forma de listados, suele recogerse en diferentes Anexos al documento.

Por otro lado, el artículo 7 del Reglamento de desarrollo de la LOPD dice: “El documento de seguridad deberá mantenerse en todo momento actualizado (...)”.

Nos encontramos entonces con que la mayor complejidad en la gestión del Documento de Seguridad no está tanto en su redacción como en su mantenimiento. Veamos de qué se componen estos Anexos y qué cambios han de reflejar.

Es importante aclarar que el Reglamento LOPD no impone un listado taxativo de estos Anexos, sino que indica la obligación de mantener actualizadas una serie de informaciones requeridas, y por lo tanto existe cierta flexibildad a la hora de redactar estos documentos. Esta es una propuesta para organizarlos y agruparlos de una forma lógica:

• Descripción de ficheros: nombre del fichero o tratamiento, descripción; unidad/es con acceso al fichero o tratamiento; identificador del Registro General de Protección de Datos de la AEPD; nivel de medidas seguridad a adoptar (básico, medio o alto); Código Tipo y otras leyes aplicables (si las hubiere); procedimiento y servicio ante el que puedan ejercitarse los derechos de acceso, rectificación, cancelación y oposición; descripción detallada y periodicidad de las copias de respaldo y de los procedimientos de recuperación; relación de usuarios con acceso autorizado; funciones del personal con acceso a los datos personales; descripción de los procedimientos de control de acceso e identificación, y el responsable de seguridad (éste último dato sólo para niveles medio o alto).
• Nombramientos: que afecten a los diferentes perfiles incluidos en este documento, como el del responsable de seguridad.
• Autorizaciones de salida o recuperación de datos: autorizaciones que el responsable del fichero ha firmado para la salida de soportes que contengan datos de carácter personal, así como aquellas relativas a la ejecución de los procedimientos de recuperación de datos.
• Inventario de soportes y registro de salida y entrada: los soportes deberán permitir identificar el tipo de información, que contienen, ser inventariados y almacenarse en un lugar con acceso restringido al personal autorizado para ello. Además en los niveles medio y alto es obligatorio llevar un registro de salida y entrada de cada soporte.
• Registro de incidencias: las que se produzcan en cualquier fichero y puedan afectar a la integridad y seguridad de la información.
• Encargados del tratamiento: recoger aquí el contrato que establecerá expresamente que el encargado de tratamiento tratará los datos conforme a las instrucciones del responsable del los ficheros, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, y que no los comunicarán, ni siquiera para su conservación a otras personas. El contrato estipulará las medidas de seguridad que el encargado del tratamiento esta obligado a implementar.

En el caso de que la empresa tenga frecuentes cambios en estas áreas puede ser conveniente automatizar los listados mediante alguna aplicación informática.

En Tecnología Pyme | LOPD: Guías prácticas y conceptos básicos

Para comenzar a redactar el Documento de Seguridad al que hacíamos referencia en el anterior post de la serie, el responsable del fichero habrá de definir el ámbito de aplicación del documento, es decir, indicar a qué ficheros con datos de carácter personal se aplica, ya que la ley autoriza a redactar un documento por cada fichero o uno genérico para todos los ficheros de la entidad, siendo éste el caso más usual en una pyme.

Asimismo habrá que indicar cuál es el nivel de seguridad (bajo, medio o alto) a aplicar a cada fichero atendiendo a la naturaleza de la información tratada, en relación con la menor o mayor necesidad de garantizar la confidencialidad y la integridad de la información, indicando también si se trata de sistemas automatizados, manuales o mixtos.

Sin embargo el grueso del texto será la descripción de las medidas, normas, procedimientos, reglas y estándares encaminados a garantizar los niveles de seguridad exigidos en el documento.

Hay que distinguir esta parte del documento de los Anexos que se incluyen al final del mismo. Es en estos Anexos dónde se indicarán los listados y registros que hay que mantener actualizados, mientras que aquí estamos estableciendo las medidas tomadas para garantizar y proteger los datos de carácter personal, digamos las “reglas del juego”.

Sea cual sea el nivel de protección exigido, el Documento de Seguridad deberá incluir estos apartados:

• Identificación y autenticación.
• Control de accesos.
• Gestión de soportes y documentos.
• Acceso a datos a través de redes de comunicaciones.
• Régimen de trabajo fuera de los locales de ubicación del fichero.
• Ficheros temporales o copias de trabajo de los documentos.
• Funciones y obligaciones del personal y procedimiento de información.
• Procedimientos de notificación, gestión y respuesta ante incidencias.
• Procedimientos de revisión.

En el caso de ficheros de nivel medio o alto, se añadirá además:

• Procedimiento de registro de accesos.
• Procedimiento de registro de entrada y salida de soportes.
• Criterios de archivo.
• Almacenamiento de la información.
• Custodia de soportes.
• Mecanismos de cifrado.
• Traslado de documentación.
• Copias de respaldo y recuperación.
• Responsable de seguridad.
• Procedimiento de auditoría.

Como ya indicaba, algunos de estos procedimientos generan la obligación de mantener listados (personal con acceso a datos, autorizaciones, copias de seguridad, etc…) que se incorporan al Documento de Seguridad como Anexos. En el siguiente post de la serie veremos qué Anexos son y la obligación de mantenerlos actualizados.

En Tecnología Pyme | LOPD: Guías prácticas y conceptos básicos

Nuestro objetivo no es, en ningún caso, convertirnos en la fuente básica sobre la que enfocar el cumplimiento de la ley en vuestra empresa (para ello, deberíais acudir a cualquier consultoría especializada que os ofrezca confianza, la importancia del tema lo merece), sino proporcionar la información necesaria para comprender los pasos que hay que dar y una vez adaptados vuestros procedimientos a la ley, ser capaces de mantenerlos al día con los requisitos que se os exigen, quizá uno de los aspectos más complicados y menos comentados de esta ley.

Esta es una cita de José M. Cestero del primer post de la serie que he querido repetir, ya que tras haber visto el procedimiento para el alta de ficheros, un paso que cualquier empresa puede llevar a cabo por sus propios medios sin recurrir a un asesoramiento externo, vamos a ver un asunto más complejo: qué es y de qué se compone el Documento de Seguridad que toda pyme que mantenga ficheros con datos de carácter personal ha de redactar y tener a disposición de la inspección de la Agencia Española de Protección de Datos (AEPD).

El Real Decreto 1720/2007, Reglamento de desarrollo de la LOPD, establece las medidas de índole técnico y organizativo que los responsables de los los ficheros y los encargados de tratamiento han de implantar para garantizar la seguridad en los ficheros, los centros de tratamiento, locales, equipos, sistemas, programas y las personas que intervengan en el tratamiento de datos de carácter personal.
Entre estas medidas, se encuentra la elaboración de un documento que recogerá las medidas de índole técnica y organizativa acorde a la normativa de seguridad vigente que será de obligado cumplimiento para el personal con acceso a los datos de carácter personal.

El documento deberá contener, como mínimo, los siguientes aspectos:

• Ámbito de aplicación del documento con especificación detallada de los recursos protegidos.
• Medidas, normas, procedimientos de actuación, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en este reglamento.
• Funciones y obligaciones del personal en relación con el tratamiento de los datos de carácter personal incluidos en los ficheros.
• Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan.
• Procedimiento de notificación, gestión y respuesta ante las incidencias.
• Los procedimientos de realización de copias de respaldo y de recuperación de los datos en los ficheros o tratamientos automatizados.
• Las medidas que sea necesario adoptar para el transporte de soportes y documentos, así como para la destrucción de los documentos y soportes, o en su caso, la reutilización de estos últimos.

En caso de que fueran de aplicación a los ficheros las medidas de seguridad de nivel medio o las medidas de seguridad de nivel alto, previstas en este título, el documento de seguridad deberá contener además:

• La identificación del responsable o responsables de seguridad.
• Los controles periódicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento.

Además cuando exista un tratamiento de datos por cuenta de terceros, el documento de seguridad deberá contener la identificación de los ficheros o tratamientos que se traten en concepto de encargado con referencia expresa al contrato o documento que regule las condiciones del encargo, así como de la identificación del responsable y del período de vigencia del encargo.

El documento de seguridad deberá mantenerse en todo momento actualizado y será revisado siempre que se produzcan cambios relevantes en el sistema de información, en el sistema de tratamiento empleado, en su organización, en el contenido de la información incluida en los ficheros o tratamientos o, en su caso, como consecuencia de los controles periódicos realizados. En todo caso, se entenderá que un cambio es relevante cuando pueda repercutir en el cumplimiento de las medidas de seguridad implantadas.

En los siguientes posts de la Guía LOPD veremos cómo redactar el Ámbito de aplicación, las Medidas que se han de implantar para garantizar los niveles de seguridad y los Anexos que han de complementar el Documento de Seguridad.

En Tecnología Pyme | LOPD: Guías prácticas y conceptos básicos

El primer paso en el cumplimiento de la Ley Orgánica de Protección de Datos (LOPD) es la obligación de notificar los ficheros que contengan datos de carácter personal a la Agencia Española de Protección de Datos (AEPD).

Con este fin se creó el sistema de Notificaciones Telemáticas a la AEPD (NOTA), que permite a cualquier entidad de titularidad pública y/o privada notificar sus ficheros de forma gratuita a través de una herramienta que le informa y asesora acerca de los requerimientos de la notificación, ya sea con o sin firma electrónica. Además permite preseleccionar de forma simplificada una serie de ficheros relacionados con los usos más habituales de las pymes.

Gracias a la sencillez del formulario y a la claridad de su manual de instrucciones éste es un paso que cualquier empresa puede llevar a cabo por sus propios medios, sin recurrir a un asesoramiento externo.

Antes que nada es importante aclarar que el formulario electrónico NOTA incorpora funcionalidades que requieren la instalación de Adobe Reader versión 7.0.8 ó superior.

En este caso veremos los pasos a dar en el uso más habitual de la herramienta: la notificación de ficheros de titularidad privada a través de internet sin firma electrónica.

• En la web de la AEPD ir a Canal del responsable de ficheros > Inscripción de Ficheros > Notificaciones Telemáticas a la AEPD (NOTA) > Obtención del formulario NOTA: Formulario NOTA de titularidad privada
• Seleccionar Alta, y luego Tipo (modelos precumplimentados para gestión de comunidades de propietarios, clientes, libro recetario de las oficinas de farmacia, pacientes, gestión escolar, videovigilancia, nóminas y recursos humanos). Marcar presentación por internet.
• Cumplimentar los apartados de la notificación. En todos los apartados se encuentra disponible la ayuda correspondiente a dicho apartado, así como una opción que le permitirá verificar si el mismo ha sido cumplimentado correctamente.
• Rellenar la Hoja de solicitud.
• Generar/Enviar la notificación.
• El sistema responderá con la Hoja de solicitud (en formato PDF) que confirma que la notificación ha sido enviada correctamente. Dicha Hoja de solicitud, firmada por la persona que efectúa la notificación, es la que se deberá remitir por correo a la AEPD.

Posteriormente la AEPD confirmará por correo la inscripción de fichero mediante una carta en la que además de asignar el código de inscripción correspondiente, señala: “sin que de esta inscripción se pueda desprender el cumplimiento por parte del responsable del fichero del resto de obligaciones previstas (...)”.

Iremos viendo en las sucesivas entregas de esta Guía Práctica LOPD cuáles son esas otras obligaciones previstas.

Formulario | Formulario NOTA de titularidad privada
Más información | Manual del formulario electrónico de notificación de ficheros de Titularidad privada
En Tecnología Pyme | LOPD: guías prácticas y conceptos básicos

Continuando con la nueva serie “Guías Prácticas”, con el propósito de añadir a la visión teórica de la LOPD diferentes análisis de las consecuencias practicas en las pymes, veremos las implicaciones de la externalización de determinados servicios tecnológicos.

Son varias las ocasiones y muchos los motivos, aunque básicamente sean coste y complejidad, por los que una empresa no le conviene asumir a nivel interno todas y cada una de las posibilidades de negocio que le brindan las nuevas tecnologías y prefiere contratar con otra empresa servicios tales como mantenimiento informático, videovigilancia, gestión de su web y/o tienda virtual, backup remoto, etc.

Resulta evidente que la gestión de todas estas herramientas implica necesariamente por parte de la empresa prestataria del servicio un acceso y en muchas ocasiones tratamiento de datos de carácter personal, que son realmente una responsabilidad de la empresa cliente. Es por esto que la Ley Orgánica de Protección de Datos (LOPD) señala que la realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato, y el Reglamento de desarrollo de la LOPD añade además que el responsable de los datos deberá velar por que el encargado del tratamiento reúna las garantías para el cumplimiento de la protección de datos.

En el contrato citado deberá establecerse expresamente que:

• El encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable de los datos.
• No los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.
• Se estipularán, asimismo, las medidas de seguridad que el encargado del tratamiento está obligado a implementar.
• Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento.

La clave del asunto reside en la ya citada obligación que marca el Reglamento de la LOPD de “velar” porque este encargado del tratamiento cumpla la LOPD, que no es sino la aplicación a un campo tan moderno como las nuevas tecnologías de unos antiquísimos (derecho romano) conceptos jurídicos como son la culpa “in eligiendo” e “in vigilando”, es decir, la responsabilidad que recae sobre la entidad que tiene datos de carácter personal cada vez que “elige” a otra persona física o jurídica para realizar determinados trabajos sobre esos datos.

Hay que tener en cuenta que en el caso de que esta tercera empresa, la encargada del tratamiento, cometa, por error, omisión o mala fe, cualquier vulneración de la LOPD con los datos que le hemos cedido que pueda suponer una sanción por parte de la Agencia Española de Protección de Datos (AEPD), corremos el riesgo de que la AEPD nos “rebote” dicha sanción multando también al responsable de los datos por no haber “velado” correctamente por que el encargado del tratamiento reuniera las garantías para el cumplimiento de la protección de datos.

El contrato de tratamiento actuará como un “escudo protector” frente a esa posible sanción permitiéndonos demostrar a la AEPD que sí hemos cumplido con el deber de elegir y vigilar correctamente hasta donde llegan nuestras posibilidades a quien hemos encargado la realización de determinados trabajos con nuestros datos.

Por lo tanto, en resumen, cada vez que una pyme se plantee la posibilidad de subcontratar cualquier servicio externo que suponga un acceso a datos de carácter personal, deberá estudiar, además de los componentes tecnológicos y económicos de las diferentes ofertas que tenga sobre la mesa, los aspectos legales referentes a la protección de datos y exigir en especial que en el contrato de prestación de servicios a firmar se recojan expresamente los condicionantes exigidos por la LOPD.

En Tecnología Pyme | LOPD: guías prácticas y conceptos básicos

Resulta obvio que la ofimática ha supuesto un enorme avance en la manera en la que incluso una empresa muy pequeña puede llegar a procesar información en grandes volúmenes, pero al tiempo nos obliga a ser precavidos ya que sus automatismos también aumentan los riesgos de vulnerar la legislación sobre protección de datos.

Es fundamental resaltar el hecho de que como ya señalaba en la nota anterior todos estos ejemplos proceden de Resoluciones (sanciones) publicadas en la página web de la Agencia Española de Protección de Datos (AEPD), es decir, son circunstancias que ya han ocurrido y nos deben servir para aprender en piel ajena. Y también que no basta con que estos procedimientos se entiendan a nivel de gerencia en una pyme, sino que cualquier empleado con acceso a datos de carácter personal ha de mantener el mismo tipo de precauciones. Así que si el lector resulta ser un usuario avanzado y algunos de estos errores le resultan demasiado “básicos”, le conviene preguntarse: ¿saben esto mis empleados?

• Correos electrónicos con direcciones al descubierto. Si tenemos que enviar un correo electrónico a varias personas (salvo que obviamente todas sean internas de la compañía o pertenezcan a un mismo grupo) nunca debemos poner todas las direcciones en la casilla “para”, puesto que en ese caso cada uno de los destinatarios verá las direcciones del resto y se considerará una vulneración del deber de secreto (artículo 8 de la LOPD). Se debe usar la casilla CCO (con copia oculta).


• Equipos sin medidas básicas de seguridad. En uno de los procedimientos presenciales de los inspectores de la AEPD se decía con sorpresa: “con sólo pulsar una tecla cualquiera se tenía acceso completo al disco duro del equipo informático”, es decir, que en ese ordenador ni siquiera se había activado una medida tan básica como la contraseña de acceso que conlleva cualquier sistema operativo. De nada sirve “blindar” el acceso a nuestro servidor y cumplir todos los requisitos de seguridad informática si después cualquier equipo desprotegido puede suponer una fuga de información o un acceso no autorizado.


• Soportes con copias de seguridad. CD, DVD, discos duros externos, pendrive… Son muchos los sistemas que podemos emplear tanto para realizar copias de seguridad (obligatorias también según el Reglamento de Medidas de Seguridad de la LOPD) como para transportar información. En este último caso, independientemente de las medidas técnicas implantadas para evitar accesos no autorizados o del encriptamiento de los datos, hay que activar un medida tan poco tecnológica como “estar más atento”. Resulta sorprendente (pero ocurre) los casos en los que “se pierden” soportes con información sensible.


• Máquina de ensobrar. Si su empresa realiza campañas de mailing y dispone de una práctica máquina de ensobrar haga el siguiente experimento: golpee suavemente un sobre sobre una mesa y compruebe si a través de la ventanilla se ven más datos personales que los imprescindibles para su distribución postal. Dejar al descubiertos expresiones como “recibo devuelto” o “deuda pendiente” ha causado ya varias sanciones.


• Fax. Cuando se envía una comunicación por fax no tenemos ningún control sobre quién es la o las personas que van a tener acceso a esa información en el momento de su recepción. Su uso no es aconsejable cuando se trate de transmitir datos de carácter personal.

Continuaremos la serie con un análisis de la problemática que puede suponer la contratación de servicios externos que tienen relación con la protección de datos, como son la videovigilancia, servicios informáticos, backup remotos, formularios web y tiendas virtuales, etc…

En Tecnología Pyme | LOPD: guías prácticas y conceptos básicos

En la página web de la Agencia Española de Protección de Datos (AEPD) se publican, en la sección Resoluciones, todos aquellos procedimientos sancionadores iniciados por la AEPD, tanto los que terminan en sanción como los que son archivados.

Cada uno de estos procedimientos, además de fundamentar jurídicamente la resolución señalando los preceptos legales vulnerados, “cuenta una historia” y de sus detalles se aprende que los mayores riesgos de una sanción no proceden de errores documentales o de la falta de determinados contratos, sino del uso diario de la información y los datos de carácter personal que toda empresa maneja. Riesgo en ocasiones agravado por el uso de algunos avances tecnológicos.

Veamos ejemplos de los errores “tecnológicos” más habituales que han causado en algunos casos sanciones de muy elevada cuantía, para que de esta manera aprendamos lo que no hay que hacer y estemos más vigilantes ante algunas prácticas aún muy extendidas en las empresas.

• Spam (mail, fax, SMS): sin duda el número 1 por la cantidad de sanciones. Se denomina “spam” a todo tipo de comunicación de carácter comercial no solicitada, realizada por vía electrónica, y esta vía incluye no sólo el correo electrónico, sino también el fax o un SMS. Hay que tener en cuenta que en este ámbito además de la Ley Orgánica de Protección de Datos (LOPD) aparece también la Ley de Servicios de la Sociedad de la Información (LSSI) que no distingue entre personas físicas y jurídicas, de manera que los datos electrónicos de las empresas están tan protegidos como los de los particulares y no pueden ser utilizados sin consentimiento de sus destinatarios. La sanción habitual en caso de denuncia oscila la primera vez entre 1.000 euros y 3.000 euros, aunque en caso de reincidencia puede llegar a los 60.000 euros.
• Datos personales que aparecen en el eMule: por desgracia un asunto que se está convirtiendo en una plaga. Son ya decenas los casos de empresas e instituciones sancionadas por aparecer datos de clientes, trabajadores o alumnos en redes P2P, especialmente el eMule. En la mayor parte de los casos se trata del error involuntario de un empleado que aprovecha los ratos muertos para descargarse algo de música y configura el programa de forma que en vez de dar acceso a una carpeta determinada lo hace a todo el disco duro. Hay que tener en cuenta la especial gravedad del asunto, puesto que ya no se solamente trata de la vulneración de un derecho fundamental (intimidad), sino que además se produce con los datos de muchas personas y queda en Internet al alcance de cualquiera, incluyendo las secciones de delitos telemáticos de las fuerzas de orden público, que suelen ser quienes inician con su denuncia este tipo de procedimientos. Uno de los ejemplos más graves lo podemos ver en el caso de la pequeña clínica en la que los datos de miles de mujeres que se habían sometido legalmente a una interrupción voluntaria del embarazo aparecieron en el emule causando para la doctora (autónoma) dueña de la clínica una sanción de 150.000 euros.

En los siguientes posts de la serie veremos otros ejemplos causados por el envío de correos electrónicos con direcciones al descubierto, el uso de videovigilancia, los formularios de páginas web, los backup remotos, etc.

En Tecnología Pyme | LOPD: guías prácticas y conceptos básicos