Guías

Aunque Microsoft es una empresa de carácter global, hay que reconocer que en líneas generales ha sabido captar de forma bastante acertada cual es la situación de las empresas de nuestro país, somos mayoriatariamente pymes, y que ha hecho un esfuerzo considerable para acercarse a esta realidad, ofreciendo recursos como el que me gustaría comentaros en esta entrada, el Centro para empresas y profesionales, una página dentro de su web en la que podemos encontrar información muy interesante.

Como os decía, esta orientada a las pymes y profesionales independientes, y se compone fundamentalmente de artículos que tratan de temas tan diversos como el marketing, Internet y la empresa, ayudas y subvenciones, formación, guías prácticas de diversa temática, etc., la mayoría de ellos redactados por empresas o profesionales que desarrollan su labor en estas áreas y que, aunque colaboran con Microsoft, no forman parte de la compañía.

Leer más

El Observatorio de la Seguridad de la Información de INTECO publica esta guía para que la empresa, y muy particularmente la pequeña y mediana empresa (PYME), se familiarice con la protección de datos: por qué es necesario proteger los datos de los ciudadanos, qué obligaciones afectan a la empresa y qué beneficios para el negocio se derivan de su adopción.
Además, ofrece pautas básicas para la implementación de la normativa, estableciendo el marco general definido en la LOPD y RDLOPD y detallando las disposiciones y obligaciones concretas que afectan a las empresas.

Las empresas, en su calidad de agentes que manejan y tratan datos de carácter personal, están obligadas a garantizar el derecho fundamental a la protección de los datos personales de que disponen. La normativa no contempla excepciones por tamaño, facturación o sector de actividad, de forma que cualquier empresa está incluida en el ámbito de aplicación de la legislación, siempre que trabaje con ficheros con datos personales.

Leer más

En la presentación de esta serie decía:

Como complemento a la serie de “Conceptos Básicos” sobre protección de datos, iniciamos hoy otra bajo el epígrafe “Guías Prácticas”, con el propósito de añadir a la visión teórica de la LOPD diferentes análisis de sus consecuencias practicas en las pymes.

Con esta entrada damos por culminada la serie (que no el tema, que seguirá siendo tratado en el blog). Si el propósito señalado se cumplió o no, es un juicio que queda en manos del lector.

Pero antes de terminar… es bien sabido que la visión “microscópica”, cuando uno acerca mucho la mirada al objeto de su estudio y magnifica cada detalle, pone al descubierto todos los inconvenientes y la complejidad de cada asunto. Y sin duda es un trabajo que hay que
hacer, pero conviene también de vez en cuando volver a una visión “telescópica”, alejarse para tener una perspectiva de conjunto y que los árboles no te impidan ver el bosque.

Por lo tanto, a modo de visión “global”: los cinco pilares de la protección de datos.

Leer más

Los lectores habituales del blog ya sabréis que dedicamos una especial atención a la Ley de Protección de Datos en la publicación, por su relación especial con los sistemas de información y por que afecta a prácticamente todas las empresas sea cual sea su actividad. La Confederación de Empresarios de Andalucía (CEA) ha publicado también una guía en su página web, en la que no sólo tratan temas relacionado con la protección de datos, sino también con la Ley de Servicios de la Sociedad de la Información (LSSI).

Esta guía, en formato flash, está actualizada con la última normativa y además de una recopilación legislativa se incluyen modelos de documentos descargables, enlaces de interés relacionados con la temática, un glosario explicativo que define los términos que se utilizan en la normativa y un apartado centrado en las implicaciones de la LOPD en el comercio electrónico.

No soy muy amante del flash para este tipo de contenidos, pero tengo que reconocer que la organización es bastante clara, es sencillo navegar entre los apartados de información y la recopilación de enlaces y modelos de documentos es suficientemente completa. Se echa de menos una aproximación más práctica en la explicación de la normativa, pero en general es un buen recurso de información al que acudir para despejar dudas.

Vía | Procedimientos Telemáticos
Más información | CEA
En Tecnología Pyme | LOPD: Guías prácticas y conceptos básicos

El Real Decreto 1720/2007, Reglamento de desarrollo de la LOPD, dice en su artículo 96:

1. A partir del nivel medio los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se someterán, al menos cada dos años, a una auditoría interna o externa que verifique el cumplimiento del presente título.

En este caso, al igual que comentaba respecto al Documento de Seguridad, una pyme habrá de valorar con prudencia las alternativas de confección de esta auditoría, ya que el Reglamento autoriza a que sea la propia empresa quien realice el oportuno estudio (“auditoría interna o externa”), pero eso no le rebaja el nivel de exigencia, ya que como indica el mismo artículo en el párrafo 3:

Los informes de auditoría (...) quedarán a disposición de la Agencia Española de Protección de Datos o, en su caso, de las autoridades de control de las comunidades autónomas.

Ya sea porque se ha decidido la opción interna, o para revisar el encargo externalizado, conviene repasar en qué consiste y de que se compone la auditoría en protección de datos.

Leer más

Por una parte tenemos que buena parte de la información que sobre la entidad responsable de un fichero con datos de carácter personal queda recogida en el Documento de Seguridad es de carácter dinámica, es decir, puede verse modificada en el tiempo. Esta información, normalmente en forma de listados, suele recogerse en diferentes Anexos al documento.

Por otro lado, el artículo 7 del Reglamento de desarrollo de la LOPD dice: “El documento de seguridad deberá mantenerse en todo momento actualizado (...)”.

Nos encontramos entonces con que la mayor complejidad en la gestión del Documento de Seguridad no está tanto en su redacción como en su mantenimiento. Veamos de qué se componen estos Anexos y qué cambios han de reflejar.

Leer más

Para comenzar a redactar el Documento de Seguridad al que hacíamos referencia en el anterior post de la serie, el responsable del fichero habrá de definir el ámbito de aplicación del documento, es decir, indicar a qué ficheros con datos de carácter personal se aplica, ya que la ley autoriza a redactar un documento por cada fichero o uno genérico para todos los ficheros de la entidad, siendo éste el caso más usual en una pyme.

Asimismo habrá que indicar cuál es el nivel de seguridad (bajo, medio o alto) a aplicar a cada fichero atendiendo a la naturaleza de la información tratada, en relación con la menor o mayor necesidad de garantizar la confidencialidad y la integridad de la información, indicando también si se trata de sistemas automatizados, manuales o mixtos.

Sin embargo el grueso del texto será la descripción de las medidas, normas, procedimientos, reglas y estándares encaminados a garantizar los niveles de seguridad exigidos en el documento.

Leer más

Nuestro objetivo no es, en ningún caso, convertirnos en la fuente básica sobre la que enfocar el cumplimiento de la ley en vuestra empresa (para ello, deberíais acudir a cualquier consultoría especializada que os ofrezca confianza, la importancia del tema lo merece), sino proporcionar la información necesaria para comprender los pasos que hay que dar y una vez adaptados vuestros procedimientos a la ley, ser capaces de mantenerlos al día con los requisitos que se os exigen, quizá uno de los aspectos más complicados y menos comentados de esta ley.

Esta es una cita de José M. Cestero del primer post de la serie que he querido repetir, ya que tras haber visto el procedimiento para el alta de ficheros, un paso que cualquier empresa puede llevar a cabo por sus propios medios sin recurrir a un asesoramiento externo, vamos a ver un asunto más complejo: qué es y de qué se compone el Documento de Seguridad que toda pyme que mantenga ficheros con datos de carácter personal ha de redactar y tener a disposición de la inspección de la Agencia Española de Protección de Datos (AEPD).

Leer más

Continuando con la nueva serie “Guías Prácticas”, con el propósito de añadir a la visión teórica de la LOPD diferentes análisis de las consecuencias practicas en las pymes, veremos las implicaciones de la externalización de determinados servicios tecnológicos.

Son varias las ocasiones y muchos los motivos, aunque básicamente sean coste y complejidad, por los que una empresa no le conviene asumir a nivel interno todas y cada una de las posibilidades de negocio que le brindan las nuevas tecnologías y prefiere contratar con otra empresa servicios tales como mantenimiento informático, videovigilancia, gestión de su web y/o tienda virtual, backup remoto, etc.

Resulta evidente que la gestión de todas estas herramientas implica necesariamente por parte de la empresa prestataria del servicio un acceso y en muchas ocasiones tratamiento de datos de carácter personal, que son realmente una responsabilidad de la empresa cliente. Es por esto que la Ley Orgánica de Protección de Datos (LOPD) señala que la realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato, y el Reglamento de desarrollo de la LOPD añade además que el responsable de los datos deberá velar por que el encargado del tratamiento reúna las garantías para el cumplimiento de la protección de datos.

Leer más