Nuestro objetivo no es, en ningún caso, convertirnos en la fuente básica sobre la que enfocar el cumplimiento de la ley en vuestra empresa (para ello, deberíais acudir a cualquier consultoría especializada que os ofrezca confianza, la importancia del tema lo merece), sino proporcionar la información necesaria para comprender los pasos que hay que dar y una vez adaptados vuestros procedimientos a la ley, ser capaces de mantenerlos al día con los requisitos que se os exigen, quizá uno de los aspectos más complicados y menos comentados de esta ley.

Esta es una cita de José M. Cestero del primer post de la serie que he querido repetir, ya que tras haber visto el procedimiento para el alta de ficheros, un paso que cualquier empresa puede llevar a cabo por sus propios medios sin recurrir a un asesoramiento externo, vamos a ver un asunto más complejo: qué es y de qué se compone el Documento de Seguridad que toda pyme que mantenga ficheros con datos de carácter personal ha de redactar y tener a disposición de la inspección de la Agencia Española de Protección de Datos (AEPD).

El primer paso en el cumplimiento de la Ley Orgánica de Protección de Datos (LOPD) es la obligación de notificar los ficheros que contengan datos de carácter personal a la Agencia Española de Protección de Datos (AEPD).

Con este fin se creó el sistema de Notificaciones Telemáticas a la AEPD (NOTA), que permite a cualquier entidad de titularidad pública y/o privada notificar sus ficheros de forma gratuita a través de una herramienta que le informa y asesora acerca de los requerimientos de la notificación, ya sea con o sin firma electrónica. Además permite preseleccionar de forma simplificada una serie de ficheros relacionados con los usos más habituales de las pymes.

Gracias a la sencillez del formulario y a la claridad de su manual de instrucciones éste es un paso que cualquier empresa puede llevar a cabo por sus propios medios, sin recurrir a un asesoramiento externo.

Continuando con la nueva serie “Guías Prácticas”, con el propósito de añadir a la visión teórica de la LOPD diferentes análisis de las consecuencias practicas en las pymes, veremos las implicaciones de la externalización de determinados servicios tecnológicos.

Son varias las ocasiones y muchos los motivos, aunque básicamente sean coste y complejidad, por los que una empresa no le conviene asumir a nivel interno todas y cada una de las posibilidades de negocio que le brindan las nuevas tecnologías y prefiere contratar con otra empresa servicios tales como mantenimiento informático, videovigilancia, gestión de su web y/o tienda virtual, backup remoto, etc.

Resulta evidente que la gestión de todas estas herramientas implica necesariamente por parte de la empresa prestataria del servicio un acceso y en muchas ocasiones tratamiento de datos de carácter personal, que son realmente una responsabilidad de la empresa cliente. Es por esto que la Ley Orgánica de Protección de Datos (LOPD) señala que la realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato, y el Reglamento de desarrollo de la LOPD añade además que el responsable de los datos deberá velar por que el encargado del tratamiento reúna las garantías para el cumplimiento de la protección de datos.

Continuando con la nueva serie “Guías Prácticas”, con el propósito de añadir a la visión teórica de la LOPD diferentes análisis de las consecuencias practicas en las pymes, vamos a ver los riesgos que respecto a al manejo de datos de carácter personal puede provocar el uso de algunos de los hardware y software que tenemos en nuestras oficinas.

Resulta obvio que la ofimática ha supuesto un enorme avance en la manera en la que incluso una empresa muy pequeña puede llegar a procesar información en grandes volúmenes, pero al tiempo nos obliga a ser precavidos ya que sus automatismos también aumentan los riesgos de vulnerar la legislación sobre protección de datos.

Es fundamental resaltar el hecho de que como ya señalaba en la nota anterior todos estos ejemplos proceden de Resoluciones (sanciones) publicadas en la página web de la Agencia Española de Protección de Datos (AEPD), es decir, son circunstancias que ya han ocurrido y nos deben servir para aprender en piel ajena. Y también que no basta con que estos procedimientos se entiendan a nivel de gerencia en una pyme, sino que cualquier empleado con acceso a datos de carácter personal ha de mantener el mismo tipo de precauciones. Así que si el lector resulta ser un usuario avanzado y algunos de estos errores le resultan demasiado “básicos”, le conviene preguntarse: ¿saben esto mis empleados?

Como complemento a la serie de “Conceptos Básicos” sobre protección de datos, iniciamos hoy otra bajo el epígrafe “Guías Prácticas”, con el propósito de añadir a la visión teórica de la LOPD diferentes análisis de sus consecuencias practicas en las pymes.

En la página web de la Agencia Española de Protección de Datos (AEPD) se publican, en la sección Resoluciones, todos aquellos procedimientos sancionadores iniciados por la AEPD, tanto los que terminan en sanción como los que son archivados.

Cada uno de estos procedimientos, además de fundamentar jurídicamente la resolución señalando los preceptos legales vulnerados, “cuenta una historia” y de sus detalles se aprende que los mayores riesgos de una sanción no proceden de errores documentales o de la falta de determinados contratos, sino del uso diario de la información y los datos de carácter personal que toda empresa maneja. Riesgo en ocasiones agravado por el uso de algunos avances tecnológicos.

La Ley Orgánica de Protección de Datos (LOPD) tiene como objeto garantizar y proteger derechos fundamentales de las personas físicas, como son especialmente su honor e intimidad personal y familiar. Es por eso que es una ley de rango orgánico, y que en caso de incumplimiento prevee importantes sanciones económicas.

Si una pyme ha de prestar una importante atención a este capítulo se debe a que estás sanciones, al regular un derecho individual de cada ciudadano, no están en función del tamaño de la empresa sino del artículo vulnerado, del nivel de seguridad exigido a esos datos y de una serie de factores que pueden atemperar la sanción y que veremos más adelante.

Analicemos primero qué tipo de infracciones señala la LOPD.

Tras haber visto el cumplimiento de los deberes de información del artículo 10 de la LSSI, vamos a examir otras cuestiones que suelen incluirse dentro del Aviso Legal de un sitio en internet, como propiedad intelecual, normas de uso, protección de datos, limitaciones o exclusiones de responsabilidad por los contenidos y condiciones de comercio electrónico.

En ocasiones cada uno de estos aspectos se recogen en documentos separados, con títulos tales como: Política de Privacidad, Condiciones Legales, etc. Ninguna ley obliga a agruparlos bajo un solo epígrafe, pero resulta aconsejable de cara a la confianza y comodidad de los visitantes del sitio volcar toda la información legal en un solo documento y no obligar al ususario a navegar por varios enlaces hasta completar todos los aspectos. Veamos cada uno de estos puntos.

Tras comentar en la pasada entrega de esta guía las medidas de seguridad de nivel medio, vamos a cerrar este capítulo haciéndolo con las medidas de nivel alto. No es una situación habitual en las pymes tener que aplicarlas, pues el tipo de datos que las requiren no están entre los más comunes que tenemos que manejar.

De todas formas, no está de más conocer los requerimientos legales si nos encontramos en esta situación, que no son pocos y requieren además de unas medidas organizativas bastante complejas y costosas de implantar, sobre todo en lo referente al registro de accesos a la información protegida. Recordad que todas estas medidas se deben aplicar además de las de los niveles anteriores, éstas se añaden y complementan o modifican las anteriores.

En esta entrada vamos a repasar las exigencias que nos impone estar en un nivel de seguridad medio. Como ya dijimos en la anterior, este nivel se aplicará según el tipo de datos que tratemos en nuestra empresa, y complementando siempre a las medidas que fija el nivel de seguridad anterior. Si este es nuestro caso, además de las medidas de nivel básico, tendremos que aplicar las de nivel medio.

Como vais a ver, si la cosa ya estaba complicada, con el cambio de nivel se pone todavía mejor. Tanto, que me hace reflexionar sobre la importancia de analizar detenidamente que datos necesitamos realmente para hacer funcionar nuestro negocio, y sobre la conveniencia de descartar el empleo de todos aquellos que no nos sean realmente de utilidad. Vamos con el tema.

En la entrega anterior del especial sobre la LOPD repasamos los distintos niveles de seguridad necesarios según el tipo de datos que contengan los ficheros con los que trabajamos. En este capítulo vamos a revisar las medidas que hay que aplicar en el nivel de seguridad básico, que son también las mínimas que deberemos disponer en cualquier caso (siempres que trabajemos con datos de carácter personal, naturalmente).

Vamos a seguir paso por paso lo que nos indica el Real Decreto 1720/2207, revisando las funciones del personal, registro de incidencias, medidas de control de acceso, gestión de soportes y documentos, identificación y autenticación y realización de copias de respaldo. Estas medidas de seguridad son las aplicables en el caso de tratamiento automatizado de datos. El tratamiento no automatizado tiene las suyas propias, adecuadas a sus características.