Documente Academic
Documente Profesional
Documente Cultură
La Ley Orgnica 15/1999 de Proteccin de Datos de Carcter Personal y el Real Decreto 1720/2007 que la desarrolla son dos de las normas que influyen de manera ms determinante en la configuracin de los sistemas informticos de cualquier organizacin. Todas las empresas, no importa cual sea su rea de negocio o su tamao, estn obligadas a cumplir con ella si en cualquiera de sus actividades tratan con datos de carcter personal. El primer paso para cumplir la ley es conocerla. Dado que muchas pymes, debido a su estructura organizativa, no disponen de personal suficiente o con la calificacin necesaria para dedicarse a ello, vamos a intentar explicar, paso a paso y de forma sencilla en que consiste, que nos pide que hagamos, cmo podemos hacerlo y las consecuencias de no llevarlo a cabo. No es realmente una tarea complicada, pero si implica a buena parte de las reas de nuestro negocio y muy especialmente a aquellas relacionadas con los sistemas de informacin de nuestra empresa. Aspectos como regular el acceso a los datos por parte de los trabajadores, realizar las copias de seguridad y la manera en que protegemos nuestros sistemas, estn directamente relacionados con esta ley y debemos adaptarlos a ella para evitar las responsabilidades que pueden derivarse de su incumplimiento. Mediante esta gua iremos explicando la terminologa que emplea la ley, sus conceptos bsicos y cmo enfrentarse y resolver las situaciones que os podis encontrar en el da a da, exponiendo los pasos a seguir cuando tengis que lidiar con cada una de ellas. Nuestro objetivo no es, en ningn caso, convertirnos en la fuente bsica sobre la que enfocar el cumplimiento de la ley en vuestra empresa (para ello, deberais a cualquier consultora especializada que os ofrezca confianza, la importancia del tema lo merece), sino proporcionar la informacin necesaria para comprender los pasos que hay que dar y una vez adaptados vuestros procedimientos a la ley, ser capaces de mantenerlos al da con los requisitos que se os exigen, quiz uno de los aspectos ms complicados y menos comentados de esta ley.
tienen cierta relacin entre s. Sin ms prembulos, entramos en materia con las distintas definiciones referidas a datos: de carcter personal, disociados y aquellos relacionados con la salud. Definiciones referidas a datos Datos de carcter personal: cualquier informacin concerniente a personas fsicas que o bien la identifiquen directamente o que permitan hacerlo. Este ltimo sera el caso, por ejemplo de un fichero que slo contuviera DNI, como comentamos hace unos das. Este dato no identifica a la persona por s mismo, pero la hace fcilmente identificable, lo que hace que tenga al consideracin de dato de carcter personal. Los datos pueden ser de cualquier tipo, una foto, un archivo de vdeo o sonido, numricos, textos, etc. Ejemplos de estos datos seran los pertenecientes a clientes si estos son personas, no empresas. Pero atencin, tambin los ficheros con datos de trabajadores incluyen datos personales (algunos de ellos protegidos especialmente, como veremos ms adelante), as como pueden contenerlos tambin los de empresas proveedoras/suministradoras o empresas que son clientes de la nuestra. As, aunque nuestros clientes sean exclusivamente sociedades no podemos descartar directamente la obligacin de aplicar la ley sobre los ficheros que contengan datos sobre ellas, tenemos que analizar cules son esos datos y ver si alguno de ellos se considera dato personal Datos disociados: son aquellos datos que por s mismos no permiten la identificacin del afectado o interesado. Esto tiene su importancia cuando nos planteamos la posibilidad de ceder los datos, y os explico. Imaginemos que tenemos una base de datos de clientes en la que en uno de sus ficheros, junto al nombre de cada cliente, aparece su telfono, edad y sexo, por ejemplo, junto al dinero que se ha gastado en adquirir mis productos. Yo quiero que un tercero, otra empresa, me haga un estudio para averiguar quienes gastan ms dinero en mi compaa, los hombres o las mujeres. Bien, si yo le entrego a esta empresa el fichero con todos los datos, que identifican claramente a estos clientes, estoy realizando una cesin de datos, y si no tengo consentimiento previo de mis clientes, podra tener problemas por ello. Sin embargo, para realizar el estudio nicamente necesitan el sexo y el dinero que se ha gastado cada persona, no su nombre ni otros datos. Si les entrego nicamente estos datos no estoy incurriendo en esa cesin que comentbamos, puesto que con estos datos no pueden identificar a mis clientes, son datos disociados. Datos de carcter personal relacionados con la salud: las informaciones que hacen referencia a la salud pasada, presente y futura, fsica y mental de una persona. Menciona en particular aquellos datos que hacen referencia al porcentaje de discapacidad o a la informacin gentica. Por que diferencia estos de los anteriores? Pues, entre otras cosas, por que considera estos datos como especialmente protegidos, lo que implica la obligacin de aplicar unas medidas mucho ms estrictas para su tratamiento (tema que abordaremos ms adelante). Podra parecer que en una pyme que no trabaje en el mbito sanitario no se van a tratar este tipo de datos, pero no es una situacin tan descabellada. Un ejemplo: Tengo un fichero con el que gestiono los datos para elaborar las nminas de los empleados de la empresa. Entre los datos que se incluyen en l estn los datos fiscales que necesito para cumplimentar declaraciones (modelo 190), y entre ellos figura el grado de discapacidad
del trabajador. Ya tenemos un fichero que contiene un dato especialmente protegido relacionado con la salud.
centrar en las definiciones que tratan de las personas que intervienen en el manejo de los datos de carcter personal, el encargado de tratamiento, responsable del fichero, destinatario, tercero, importador y exportador de datos, etc.
Responsable de seguridad: la persona o personas encargadas por el responsable del fichero de velar por el cumplimiento de las medidas de seguridad asignadas en cada caso. El empleado de la empresa al que se le encarge la tarea (todos aquellos de vosotros a los que os ha cado el regalito). Usuario: en resumidas cuentas, aquellos que acceden a los datos, los trabajadores de la empresa que manejan esta informacin en su actividad diaria de una forma u otra. Tercero: la he dejado para el final porque es muy buena, cito: La persona fsica o jurdica, pblica o privada u rgano administrativo distinta del afectado o interesado, del responsable del tratamiento, del responsable del fichero, del encargado del tratamiento y de las personas autorizadas para tratar los datos bajo la autoridad directa del responsable del tratamiento o del encargado del tratamiento Resumiendo, todo aquel que no encaje en las otras definiciones, ah queda eso. La siguiente entrega del especial ser la ltima en la que trataremos las definiciones del Real Decreto. En ella, nos centraremos en explicar aquellas referentes a los procesos que intervienen en el tratamiento de datos personales, cancelacin, cesin de datos, copias de respaldo, transferencias de datos, accesos, etc.
Consentimiento del interesado: consiste en la aceptacin por parte de ste del tratamiento de sus datos. Cuidado, esta aceptacin debe ser libre, inequvoca, especfica e informada. Esto implica que en el formulario de aceptacin que hagamos firmar al interesado (tenga el formato que tenga), debe quedar claro, sobre todo, para qu se van a utilizar sus datos. Debemos intentar ser lo ms especficos posible en este aspecto. Procedimiento de disociacin: el tratamiento de datos que permita obtener datos disociados. Transferencia internacional de datos: toda aquella transmisin de datos que se realice fuera de la Unin Europea. Un buen ejemplo es el de emplear servicios de alojamiento remoto para nuestras bases de datos de clientes, para temas de copia de seguridad o porque utilizamos algn sistema SaaS (software como servicio). Para poder llevarla a cabo se deben dar determinadas condiciones: No se podrn transferir los datos a paises cuyo reglamento no garantice el mismo nivel de proteccin del que disfrutan en nuestro pas, salvo que lo autorice la Agencia Espaola de Proteccin de Datos previa consulta. A pesar de ello, si el interesado ha dado su consentimiento inequvoco a esta transferencia, se podr realizar. Teniendo esto en cuenta a la hora de recoger su autorizacin, no deberamos tener problemas al respecto. Existen ms excepciones, pero quiz stas son las que ms interesan en el mbito empresarial. Sistema de informacin y sistema de tratamiento: el primero hace referencia al conjunto de herramientas que se utilizan para tratar los datos. Hardware, software, soportes informticos, fsicos, ficheros, etc. El segundo trmino hace referencia al modo en que se organiza o utiliza el primero. De acuerdo a la forma en que se traten los datos, los sistemas podrn ser automatizados (los sistemas informticos), no automatizados (ficheros en papel, organizados de alguna forma, eso s), o parcialmente automatizados (cuando se emplee una combinacin de los anteriores). Transmisin de documentos:se considera transmisin cualquier envo, traslado, comunicacin, entrega o divulgacin de la informacin que contengan estos documentos. Con esta entrada acabamos ya con las definiciones que aparecen en el Real Decreto, con lo que ya disponemos de un marco de referencia que utilizaremos para pasar a tratar temas ms prcticos, como clasificar el tipo de datos que tratamos, condiciones para efectuar copias de respaldo, mantenimiento del documento de seguridad y cualquier otro que sea necesario para estar al da en el cumplimiento de esta normativa.
Vamos a centrarnos en comentar slo aquellos supuestos que se pueden dar con mayor frecuencia en las empresas, dejando el resto al margen de este artculo. Medidas de seguridad de nivel bsico: se aplican a todos los ficheros que contengan datos de carcter personal. Es lo mnimo que debemos implantar en nuestra empresa. Medidas de seguridad de nivel medio: adems de aplicar las medidas del nivel bsico, deberemos aplicar las de nivel medio a aquellos ficheros que contengan informacin que permita evaluar la personalidad o el comportamiento del interesado.Si guardramos datos en los que se vieran reflejados los gustos, aficiones, etc. de nuestros clientes (asociados a otros que los identifiquen), estos ficheros entraran en este nivel. Medidas de seguridad de nivel alto: tendrn que aplicarse sobre los ficheros que contengan datos de ideologa, afiliacin sindical, religin, creencias, origen racial, salud o vida sexual. No ser habitual que nos encontremos con este caso en las empresas, pero en ficheros de nminas en los que se incluyan los datos sindicales para abono de cuotas o de minusvalas para declaracin de renta si habra que aplicar este nivel.Si as fuera, lo ms conveniente (y permitido) sera disgregar, sacar del sistema aquellos registros que tengan los datos especialmente protegidos, de forma que no tendramos que aplicar el nivel alto a todo el sistema de tratamiento, slo a stos ficheros en concreto. En la prxima entrega veremos los requisitos que hay que cumplir en cada uno de los niveles, cules son las medidas que tenemos que implantar y las diferencias existentes si el tratamiento de los ficheros es automatizado o no automatizado.
empresario y que funciones le han sido delegadas. Registro de incidencias Hay que establecer un procedimiento de notificacin y gestin de las incidencias, y documentarlo. En este registro debe constar: Tipo de incidencia (he borrado la copia de seguridad por error). Cundo se ha producido o detectado Quin la notifica y a quin lo hace Qu efectos ha tenido y qu medidas correctoras se han adoptado
Control de acceso Es obligatorio establecer un control de acceso a los ficheros. La opcin ms lgica es establecer los accesos mediante permisos por usuario y asociarlos a contraseas. Cada usuario podr acceder nicamente a los datos necesarios para realizar sus funciones, y hay que establecer mecanismos de seguridad para evitar que suceda lo contrario. Slo aquellas personas autorizadas en el documento de seguridad (normalmente el responsable de seguridad) podrn conceder, alterar o anular estos permisos de acceso. Esto tiene implicaciones importantes a la hora de elegir un sistema de gestin en la empresa. La mayora estn dotados de sistemas de control de acceso, pero no est de ms tenerlo en cuenta si estis valorando un cambio de sistema (o si el que utilizis no permite esta posibilidad). Gestin de soportes y documentos Los soportes y documentos (digamos un DVD con una copia de seguridad) debern permitir identificar el tipo de informacin que contienen y ser inventariados. En el caso del DVD, escribiendo copia de seguridad de tal fecha y tal informacin. Hay que tener en cuenta que las copias de seguridad tambin deben estar protegidas, de forma que slo las personas autorizadas para ello en el documento de seguridad puedan acceder a los datos. Si los datos son especialmente sensibles, la identificacin del soporte se puede hacer mediante cdigos o sistemas comprensibles slo para las personas autorizadas. Toda salida de documentacin o soportes debe estar autorizada y reflejarse en el documento de seguridad. Imagnate que envas un correo electrnico a tu oficina de ventas de Torrevieja con un listado de clientes interesados en comprar los apartamentos que tienes all y que han llamado a la central de tu empresa para informarse. Pues tienes que reflejarlo en el documento de seguridad y debe estar autorizado por el responsable de seguridad. Si se traslada documentacin con datos personales, hay que tomar medidas que eviten su perdida, sustraccin o acceso indebido durante el transporte. Hay que asegurarse de destruir o borrar cualquier documento o soporte que contenga datos de carcter personal cuando se vaya a desechar, de forma que no se pueda luego recuperar la informacin. Es conveniente utilizar algn sistema de borrado seguro, que sobreescriba la informacin de los soportes o, si se da el caso, destructoras de discos pticos, que tambin existen. Identificacin y autenticacin El sistema de tratamiento que utilicemos debe permitir que cada usuario pueda identificarse en l y ser identificado de forma inequvoca. Tenemos que saber quin est conectado a qu, y si tiene permisos de acceso a ello. La forma habitual de hacer esto es mediante el uso de nombres de usuario y contraseas. Si es el caso, debe existir un procedimiento de asignacin, distribucin y almacenamiento que garantice su confidencialidad, y no podrn tener una caducidad superior a un ao. Tenemos que considerar si nuestro sistema de gestin cumple estos requisitos. Copias de respaldo y recuperacin Es naturalmente obligatorio realizar copias de seguridad de los datos (y recomendable aunque no
lo fuera), y hay establecidas una serie de medidas que debemos adoptar para cumplir con el reglamento: Como mnimo se deben realizar semanalmente, salvo que no se hayan producido modificaciones en los datos. Hay que establecer procedimientos que garanticen la recuperacin de los datos en caso de prdida, que deben garantizar la vuelta al estado en el que se encontraban antes de dicha perdida. A mi entender, en la prctica esto supone hacer una copia diaria (cosa recomendable en cualquier caso), al menos en los casos en los que la modificacin de los datos sea frecuente. Cada seis meses hay que comprobar las copias y la recuperacin de las mismas. Ver que se hacen bien, que copian lo que deben y comprobar que se restauran correctamente. Si se van a cambiar o modificar los sistemas de gestin que tratan los datos, las pruebas que se realicen no podrn efectuarse con datos reales a no ser que se garanticen las medidas de seguridad aplicables y se anote en el documento de seguridad. Si as se hace, habr que realizar una copia de seguridad previa. Estas son las medidas bsicas que tenemos que adoptar en todos los casos en que tratemos con datos personales. Si el tipo de datos as lo requiere, tendremos que implantar tambin otras adems de estas, las de nivel medio o alto, que veremos en prximas entregas.
la ley. Los informes deben quedar a disposicin de la autoridad competente en cada caso (hay que guardarlos, lgicamente) y el responsable de seguridad tiene que analizarlos, sacar conclusiones y facilitrselas al responsable del fichero para que acte en consecuencia. Gestin de soportes y documentos: aqu ya nos obligan a establecer un sistema de registro de los soportes, tanto de entrada o de salida. Este sistema debe permitirnos conocer el tipo de soporte o documento, fecha y hora, emisor o destinatario, nmero de documentos o soportes que van en el envo, tipo de informacin que contienen y la persona encargada de la entrega o recogida, que deber estar autorizada expresamente. Esta situacin se puede dar en los casos en los que delegaciones u oficinas externas enven los datos a una central, por ejemplo, y no es necesario que toda esta informacin aparezca directamente en el paquete de envo o correo electrnico. Se puede utilizar un cdigo o referencia que permita luego obtenerla por otros medios. Identificacin y autenticacin: a lo dispuesto en el nivel bsico en este sentido, hay que aadir que se debe limitar las veces que se puede intentar acceder al sistema de informacin. En esencia, establecer el nmero de veces que se puede uno equivocar al introducir la contrasea (no hay un mximo establecido). Control de acceso fsico: slo aquellas personas autorizadas en el documento de seguridad podrn tener acceso a los equipos que dan soporte a los sistemas de informacin. Puede ser un despacho, un armario especial, un rack, lo que se os ocurra, cerrado de alguna forma para impedir el acceso a cualquiera. Registro de incidencias: en este nivel, adems de lo especificado para el nivel bsico, hay que reflejar los procedimientos de restauracin de copias de seguridad que se hayan realizado, consignando si se ha tenido que grabar manualmente algn dato. Adems, ser necesaria la autorizacin del responsable del fichero para efectuar una restauracin de datos.
En todos los niveles lo es, pero a partir de ste es muy importante tener en cuenta la conveniencia de dejar constancia por escrito, con todas las firmas y vistos buenos que hagan falta, de todos los pasos que vamos dando. Es lo que nos va a servir en caso de vernos sometidos a cualquier tipo de inspeccin o requerimiento. La semana que viene analizaremos ya las medidas de nivel alto, que son todava ms divertidas que stas, hasta entonces.
soportes. Adems, cuando haya que distribuirlos, se deben adoptar las medidas necesarias para que no se pueda acceder a la informacin ni manipularla. Lo ms habitual es recurrir en este caso al cifrado de los datos. Si la informacin se transmite a dispositivos porttiles (pda, ordenador porttil, telfonos), sta deber ir cifrada siempre que se utilicen fuera de la oficina. Si los dispositivos no se pueden cifrar y es indispensable utilizarlos, hay que documentar el porqu (en el documento de seguridad) y adoptar otras medidas que impidan el acceso a los datos a personas no autorizadas. Copias de respaldo y recuperacin: como aadido a las exigencias anteriores, es obligatorio conservar una copia de respaldo de los datos en un lugar diferente (otra oficina, la caja de un banco) al de los equipos que realizan el tratamiento de los datos. Naturalmente, el sitio elegido debe cumplir tambin con las normas de seguridad pertinentes. Registro de accesos: cuando un usuario acceda al sistema para trabajar con la informacin, ser necesario conservar su identificacin, fecha y hora, a qu fichero accede, tipo de acceso y si ha sido autorizado o no. Si es autorizado, habra que guardar la informacin que identifique a que registros ha accedido. Estos datos hay que conservarlos como mnimo durante dos aos, y el responsable de seguridad debe realizar una comprobacin mensual de esta informacin, elaborando un informe en el que se detalle que comprobaciones ha realizado y si se ha detectado algn problema. Unicamente el responsable de seguridad puede acceder al registro de accesos, que no debe ser modificable. Muchos sistemas de gestin para empresas tienen en cuenta estos requirimientos y los incluyen, por lo que sera interesante comprobar si el que utilizis lo hace o si al menos tienen previsto incorporar dicha funcionalidad en el futuro. Telecomunicaciones: cualquier transmisin de los datos a travs de redes pblicas deber ser cifrada, al igual que si son redes privadas pero inalmbricas (una red wifi, por ejemplo). Recordar para finalizar que todos estos niveles de medidas son aplicables a los ficheros automatizados, y que aquellos que no lo son disponen de las suyas propias, complementarias a algunas de las aplicadas en los primeros. Como el tratamiento no automatizado est todava muy extendido, prestaremos especial atencin a este supuesto en las prximas entregas de la gua.
No solicitar la inscripcin del fichero de datos de carcter personal en el Registro General de Proteccin de Datos, cuando no sea constitutivo de infraccin grave. Proceder a la recogida de datos de carcter personal de los propios afectados sin informarles de sus derechos. Incumplir el deber de secreto (salvo que constituya infraccin grave). Las infracciones leves sern sancionadas con multa de 601,01 euros a 60.101,21 euros. Son infracciones graves: La recogida de datos de carcter personal con finalidades distintas de las que constituyen el objeto legtimo de la empresa. Proceder a la recogida de datos de carcter personal sin recabar el consentimiento expreso de las personas afectadas, en los casos en que ste sea exigible. El impedimento o la obstaculizacin del ejercicio de los derechos de acceso y oposicin y la negativa a facilitar la informacin que sea solicitada. Mantener datos de carcter personal inexactos o no efectuar las rectificaciones o cancelaciones de los mismos que legalmente procedan. La vulneracin del deber de guardar secreto sobre los datos de carcter personal incorporados a ficheros que contengan datos relativos a la comisin de infracciones administrativas o penales, Hacienda Pblica, servicios financieros, prestacin de servicios de solvencia patrimonial y crdito, as como aquellos otros ficheros que contengan un conjunto de datos de carcter personal suficientes para obtener una evaluacin de la personalidad del individuo. Mantener los ficheros, locales, programas o equipos que contengan datos de carcter personal sin las debidas condiciones de seguridad que por va reglamentaria se determinen. No colaborar con la Agencia de Proteccin de Datos Incumplir el deber de informacin cuando los datos hayan sido recabados de persona distinta del afectado. Las infracciones graves sern sancionadas con multa de 60.101,21 euros a 300.506,05 euros. Son infracciones muy graves: La recogida de datos en forma engaosa y fraudulenta. La comunicacin o cesin de los datos de carcter personal, fuera de los casos en que estn permitidas. No cesar en el uso ilegtimo de los tratamientos de datos de carcter personal cuando sea requerido para ello por el Director de la Agencia de Proteccin de Datos o por las personas titulares del derecho de acceso. No atender, u obstaculizar de forma sistemtica el ejercicio de los derechos de acceso, rectificacin, cancelacin u oposicin. No atender de forma sistemtica el deber legal de notificacin de la inclusin de datos de carcter personal en un fichero. Las infracciones muy graves sern sancionadas con multa de 300.506,05 euros a 601.012,10 euros. La cuanta de las sanciones se graduar atendiendo a la naturaleza de los derechos personales afectados, al volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de intencionalidad, a la reincidencia, a los daos y perjuicios causados a las personas interesadas y a terceras personas.
Si se apreciara una cualificada disminucin de la culpabilidad de la empresa denunciada, la Agencia de Proteccin de Datos (AEPD), que es el organismo que tiene la potestad sancionadora, aplica la escala inferior a la clase de infraccin sealada. Es decir, que las infracciones muy graves se sancionan como graves, y las graves como leves.
euros. En los siguientes posts de la serie veremos otros ejemplos causados por el envo de correos electrnicos con direcciones al descubierto, el uso de videovigilancia, los formularios de pginas web, los backup remotos, etc.
Correos electrnicos con direcciones al descubierto. Si tenemos que enviar un correo electrnico a varias personas (salvo que obviamente todas sean internas de la compaa o pertenezcan a un mismo grupo) nunca debemos poner todas las direcciones en la casilla para, puesto que en ese caso cada uno de los destinatarios ver las direcciones del resto y se considerar una vulneracin del deber de secreto (artculo 8 de la LOPD). Se debe usar la casilla CCO (con copia oculta). Equipos sin medidas bsicas de seguridad. En uno de los procedimientos presenciales de los inspectores de la AEPD se deca con sorpresa: con slo pulsar una tecla cualquiera se tena acceso completo al disco duro del equipo informtico, es decir, que en ese ordenador ni siquiera se haba activado una medida tan bsica como la contrasea de acceso que conlleva cualquier sistema operativo. De nada sirve blindar el acceso a nuestro servidor y cumplir todos los requisitos de seguridad informtica si despus cualquier equipo desprotegido puede suponer una fuga de informacin o un acceso no autorizado. Soportes con copias de seguridad. CD, DVD, discos duros externos, pendrive Son muchos los sistemas que podemos emplear tanto para realizar copias de seguridad (obligatorias tambin segn el Reglamento de Medidas de Seguridad de la LOPD) como
para transportar informacin. En este ltimo caso, independientemente de las medidas tcnicas implantadas para evitar accesos no autorizados o del encriptamiento de los datos, hay que activar un medida tan poco tecnolgica como estar ms atento. Resulta sorprendente (pero ocurre) los casos en los que se pierden soportes con informacin sensible. Mquina de ensobrar. Si su empresa realiza campaas de mailing y dispone de una prctica mquina de ensobrar haga el siguiente experimento: golpee suavemente un sobre sobre una mesa y compruebe si a travs de la ventanilla se ven ms datos personales que los imprescindibles para su distribucin postal. Dejar al descubiertos expresiones como recibo devuelto o deuda pendiente ha causado ya varias sanciones. Fax. Cuando se enva una comunicacin por fax no tenemos ningn control sobre quin es la o las personas que van a tener acceso a esa informacin en el momento de su recepcin. Su uso no es aconsejable cuando se trate de transmitir datos de carcter personal. Continuaremos la serie con un anlisis de la problemtica que puede suponer la contratacin de servicios externos que tienen relacin con la proteccin de datos, como son la videovigilancia, servicios informticos, backup remotos, formularios web y tiendas virtuales, etc
La clave del asunto reside en la ya citada obligacin que marca el Reglamento de la LOPD de velar porque este encargado del tratamiento cumpla la LOPD, que no es sino la aplicacin a un campo tan moderno como las nuevas tecnologas de unos antiqusimos (derecho romano) conceptos jurdicos como son la culpa in eligiendo e in vigilando, es decir, la responsabilidad que recae sobre la entidad que tiene datos de carcter personal cada vez que elige a otra persona fsica o jurdica para realizar determinados trabajos sobre esos datos. Hay que tener en cuenta que en el caso de que esta tercera empresa, la encargada del tratamiento, cometa, por error, omisin o mala fe, cualquier vulneracin de la LOPD con los datos que le hemos cedido que pueda suponer una sancin por parte de la Agencia Espaola de Proteccin de Datos (AEPD), corremos el riesgo de que la AEPD nos rebote dicha sancin multando tambin al responsable de los datos por no haber velado correctamente por que el encargado del tratamiento reuniera las garantas para el cumplimiento de la proteccin de datos. El contrato de tratamiento actuar como un escudo protector frente a esa posible sancin permitindonos demostrar a la AEPD que s hemos cumplido con el deber de elegir y vigilar correctamente hasta donde llegan nuestras posibilidades a quien hemos encargado la realizacin de determinados trabajos con nuestros datos. Por lo tanto, en resumen, cada vez que una pyme se plantee la posibilidad de subcontratar cualquier servicio externo que suponga un acceso a datos de carcter personal, deber estudiar, adems de los componentes tecnolgicos y econmicos de las diferentes ofertas que tenga sobre la mesa, los aspectos legales referentes a la proteccin de datos y exigir en especial que en el contrato de prestacin de servicios a firmar se recojan expresamente los condicionantes exigidos por la LOPD.
de propietarios, clientes, libro recetario de las oficinas de farmacia, pacientes, gestin escolar, videovigilancia, nminas y recursos humanos). Marcar presentacin por internet. Cumplimentar los apartados de la notificacin. En todos los apartados se encuentra disponible la ayuda correspondiente a dicho apartado, as como una opcin que le permitir verificar si el mismo ha sido cumplimentado correctamente. Rellenar la Hoja de solicitud. Generar/Enviar la notificacin. El sistema responder con la Hoja de solicitud (en formato PDF) que confirma que la notificacin ha sido enviada correctamente. Dicha Hoja de solicitud, firmada por la persona que efecta la notificacin, es la que se deber remitir por correo a la AEPD.
Posteriormente la AEPD confirmar por correo la inscripcin de fichero mediante una carta en la que adems de asignar el cdigo de inscripcin correspondiente, seala: sin que de esta inscripcin se pueda desprender el cumplimiento por parte del responsable del fichero del resto de obligaciones previstas (...).
informacin que los tratan. Procedimiento de notificacin, gestin y respuesta ante las incidencias. Los procedimientos de realizacin de copias de respaldo y de recuperacin de los datos en los ficheros o tratamientos automatizados. Las medidas que sea necesario adoptar para el transporte de soportes y documentos, as como para la destruccin de los documentos y soportes, o en su caso, la reutilizacin de estos ltimos. En caso de que fueran de aplicacin a los ficheros las medidas de seguridad de nivel medio o las medidas de seguridad de nivel alto, previstas en este ttulo, el documento de seguridad deber contener adems: La identificacin del responsable o responsables de seguridad. Los controles peridicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento. Adems cuando exista un tratamiento de datos por cuenta de terceros, el documento de seguridad deber contener la identificacin de los ficheros o tratamientos que se traten en concepto de encargado con referencia expresa al contrato o documento que regule las condiciones del encargo, as como de la identificacin del responsable y del perodo de vigencia del encargo. El documento de seguridad deber mantenerse en todo momento actualizado y ser revisado siempre que se produzcan cambios relevantes en el sistema de informacin, en el sistema de tratamiento empleado, en su organizacin, en el contenido de la informacin incluida en los ficheros o tratamientos o, en su caso, como consecuencia de los controles peridicos realizados. En todo caso, se entender que un cambio es relevante cuando pueda repercutir en el cumplimiento de las medidas de seguridad implantadas. En los siguientes posts de la Gua LOPD veremos cmo redactar el mbito de aplicacin, las Medidas que se han de implantar para garantizar los niveles de seguridad y los Anexos que han de complementar el Documento de Seguridad.
Sea cual sea el nivel de proteccin exigido, el Documento de Seguridad deber incluir estos apartados: Identificacin y autenticacin. Control de accesos. Gestin de soportes y documentos. Acceso a datos a travs de redes de comunicaciones. Rgimen de trabajo fuera de los locales de ubicacin del fichero. Ficheros temporales o copias de trabajo de los documentos. Funciones y obligaciones del personal y procedimiento de informacin. Procedimientos de notificacin, gestin y respuesta ante incidencias. Procedimientos de revisin. Procedimiento de registro de accesos. Procedimiento de registro de entrada y salida de soportes. Criterios de archivo. Almacenamiento de la informacin. Custodia de soportes. Mecanismos de cifrado. Traslado de documentacin. Copias de respaldo y recuperacin. Responsable de seguridad. Procedimiento de auditora.
Como ya indicaba, algunos de estos procedimientos generan la obligacin de mantener listados (personal con acceso a datos, autorizaciones, copias de seguridad, etc) que se incorporan al Documento de Seguridad como Anexos. En el siguiente post de la serie veremos qu Anexos son y la obligacin de mantenerlos actualizados.
organizarlos y agruparlos de una forma lgica: Descripcin de ficheros: nombre del fichero o tratamiento, descripcin; unidad/es con acceso al fichero o tratamiento; identificador del Registro General de Proteccin de Datos de la AEPD; nivel de medidas seguridad a adoptar (bsico, medio o alto); Cdigo Tipo y otras leyes aplicables (si las hubiere); procedimiento y servicio ante el que puedan ejercitarse los derechos de acceso, rectificacin, cancelacin y oposicin; descripcin detallada y periodicidad de las copias de respaldo y de los procedimientos de recuperacin; relacin de usuarios con acceso autorizado; funciones del personal con acceso a los datos personales; descripcin de los procedimientos de control de acceso e identificacin, y el responsable de seguridad (ste ltimo dato slo para niveles medio o alto). Nombramientos: que afecten a los diferentes perfiles incluidos en este documento, como el del responsable de seguridad. Autorizaciones de salida o recuperacin de datos: autorizaciones que el responsable del fichero ha firmado para la salida de soportes que contengan datos de carcter personal, as como aquellas relativas a la ejecucin de los procedimientos de recuperacin de datos. Inventario de soportes y registro de salida y entrada: los soportes debern permitir identificar el tipo de informacin, que contienen, ser inventariados y almacenarse en un lugar con acceso restringido al personal autorizado para ello. Adems en los niveles medio y alto es obligatorio llevar un registro de salida y entrada de cada soporte. Registro de incidencias: las que se produzcan en cualquier fichero y puedan afectar a la integridad y seguridad de la informacin. Encargados del tratamiento: recoger aqu el contrato que establecer expresamente que el encargado de tratamiento tratar los datos conforme a las instrucciones del responsable del los ficheros, que no los aplicar o utilizar con fin distinto al que figure en dicho contrato, y que no los comunicarn, ni siquiera para su conservacin a otras personas. El contrato estipular las medidas de seguridad que el encargado del tratamiento esta obligado a implementar. En el caso de que la empresa tenga frecuentes cambios en estas reas puede ser conveniente automatizar los listados mediante alguna aplicacin informtica.
Ya sea porque se ha decidido la opcin interna, o para revisar el encargo externalizado, conviene repasar en qu consiste y de que se compone la auditora en proteccin de datos. El artculo 96 del Reglamento seala: 2. El informe de auditora deber dictaminar sobre la adecuacin de las medidas y controles a la Ley y su desarrollo reglamentario, identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias. Deber, igualmente, incluir los datos, hechos y observaciones en que se basen los dictmenes alcanzados y las recomendaciones propuestas. Por lo tanto la primera fase consistir en recopilar informacin acerca del grado de mantenimiento y cumplimiento del Documento de Seguridad, y en especial de los apartados Funciones y Obligaciones del Personal; Almacenamiento de la informacin; Registros de incidencias, accesos, copias de seguridad, salida de soportes y en general todos los listados de los Anexos comentados en el post anterior, con especial atencin a la relacin de usuarios autorizados y al inventario de soportes. Con esta informacin se proceder a la redaccin del informe, que deber dictaminar sobre: Adecuacin de las medidas y controles establecidas a lo dispuesto en el Ttulo VIII del Reglamento. Identificacin de deficiencias y propuesta de medidas correctoras o complementarias. Incluir los datos, hechos y observaciones en que se basen los dictmenes alcanzados y recomendaciones propuestas. Ser analizado por el responsable de seguridad, y elevar sus conclusiones al responsable del ficheros para que adopte las medidas adecuadas. Deber quedar a disposicin de la Agencia Espaola de Proteccin de Datos. Por lo tanto se trata no slo de revisar los aspectos documentales (que tenemos en orden y actualizados todos los papeles) sino de comprobar las polticas activas de la compaa a todos los niveles, para evitar que el cumplimiento de la LOPD (que es continuo puesto que en ningn momento se puede dejar de utilizar datos de carcter personal) se olvide con el paso del tiempo. Como hemos dicho, esta auditora deber repetirse cada dos aos, pero el Reglamento indica adems: Con carcter extraordinario deber realizarse dicha auditora siempre que se realicen modificaciones sustanciales en el sistema de informacin que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptacin, adecuacin y eficacia de las mismas. Esta auditora inicia el cmputo de dos aos sealado en el prrafo anterior. La auditora en proteccin de datos en un requisito de obligado cumplimiento para toda pyme que almacene datos de carcter personal de nivel medio o alto, pero adems es una excelente oportunidad para revisar todos los procedimientos y polticas implantadas en una rea tan sensible para cualquier empresa como es la proteccin de datos.
Es un hecho que salta a la vista la generalizacin en los ltimos aos del uso de la videovigilancia en las empresas. Ya sea con el fin de vigilar los accesos, de garantizar la seguridad de las instalaciones o de controlar a los empleados, el caso es que cmaras cada vez ms precisas, diminutas y en algunos casos disimuladas, proliferan y se reproducen provocando muchas veces inquietud en el ciudadano, que se siente vigilado como en el clsico 1984 por el ojo del Gran Hermano que todo lo ve. Y hay que tener en cuenta que la vulneracin de las normas de proteccin de datos que hacen referencia a la videovigilancia es uno de los motivos ms frecuentes de denuncia de los afectados y sancin por parte de la Agencia Espaola de Proteccin de Datos (AEPD), que suele ser de entre 600 y 1.200 euros la primera ocasin, pero que en caso de reincidencia puede llegar a los 60.000 euros. Veamos entonces cules son las implicaciones legales en proteccin de datos del uso de videovigilancia. Ante todo hay que aclarar que segn la ley slo se considerar admisible la instalacin de cmaras o videocmaras cuando la finalidad de vigilancia no pueda obtenerse mediante otros medios que, sin exigir esfuerzos desproporcionados, resulten menos intrusivos para la intimidad de las personas y para su derecho a la proteccin de datos de carcter personal. Por lo tanto habremos de ponderar las necesidades de seguridad, sus costes y la posibilidad de utilizar otros recursos, pero si finalmente decidimos optar por la videovigilancia estos los aspectos que habremos de tener en cuenta. Inscripcin del fichero. La primera cuestin a tener clara es si se trata de un sistema que graba o no las imgenes captadas. En el caso de que se mantenga el registro (durante el plazo mximo durante un mes) estaremos ante un fichero de datos personales y por descontado, la creacin de un fichero de videovigilancia exige su previa notificacin a la AEPD, para la inscripcin en su Registro General. Instalacin. Toda instalacin deber respetar el principio de proporcionalidad, lo que en definitiva supone prevenir interferencias injustificadas en los derechos y libertades fundamentales. Es decir, que debemos asegurarnos que el rea de cobertura de las cmaras no vaya ms all de las instalaciones a proteger o vigilar, sin filmar zonas pblicas salvo que resulte imprescindible. Informacin. Como siempre uno de los aspectos ms importantes de cualquier asunto relacionado con la LOPD. Todo responsable de un sistema de videovigilancia deber colocar, en las zonas videovigiladas, al menos un distintivo informativo ubicado en lugar suficientemente visible, tanto en espacios abiertos como cerrados, y por otro lado deber tener a disposicin de los/las interesados/as impresos en los que se detalle la informacin acerca de sus derechos y la identidad del responsable del fichero ante quien ejercerlos. Seguridad y secreto. El responsable deber adoptar las medidas de ndole tcnica y organizativas necesarias que garanticen la seguridad de los datos y eviten su alteracin, prdida, tratamiento o acceso no autorizado. Asimismo cualquier persona que por razn del ejercicio de sus funciones tenga acceso a los datos deber de observar la debida reserva, confidencialidad y sigilo en relacin con las mismas. El responsable deber informar a las personas con acceso a los datos de su deber de secreto. Empresa externa. En el caso de que la videovigilancia vaya a ser subcontratada con un empresa de seguridad, adems de asegurarnos de que sea una empresa legalmente autorizada para realizar tal actividad, hay que tener en cuenta que al disponer de acceso a los datos de carcter personal de los que somos responsables, se convertir en un encargado del tratamiento con el que deberemos firmar el correspondiente contrato de tratamiento. Te has planteado o ests ya usando sistemas de videovigilancia en tu negocio? Conocas estas
implicaciones legales?
LOPD. Tus datos estn seguros conmigo. El valor de la seguridad. Le has puesto cerradura a la oficina y al almacn? Y en qu BOE est escrito esta exigencia? No ha hecho falta verdad?, simplemente has decidido proteger tus bienes y no necesitas que ningn gobierno dicte una ley para obligarte a ello, lo haces por tu propia seguridad. Y cmo tienes los datos? (en muchos casos el activo ms importante de la empresa). Vas a esperar a que la ley te obligue para tomarte en serio proteger uno de tus bienes mas preciosos: la informacin? Antivirus, firewall, copias de seguridad, y otras exigencias de la LOPD, deberan en cualquier caso ser parte de las polticas habituales y activas de cualquier pyme. Se cumple ya en tu empresa la LOPD? Te ayudaron en alguna forma estas Guas Prcticas?
Fase I. Adaptacin de ficheros: una de las principales implicaciones que la normativa sobre proteccin de datos tiene para las empresas es la necesidad de notificar sus ficheros ante el Registro de la AEPD. Para ello, como paso previo, es necesario que la empresa identifique los datos de carcter personal que se estn manejando en su mbito y cmo se encuentran stos organizados (ficheros automatizados, no automatizados, mixtos). Fase II. Legitimacin de datos: todos los datos de carcter personal recogidos por la empresa, deben contar con el consentimiento del afectado, as como cumplir una serie de principios y obligaciones bsicas previstas en la normativa, que se tratarn en detalle en este apartado. Fase III. Polticas de seguridad de datos: la LOPD y el RDLOPD establecen una serie de medidas de carcter tcnico y organizativo que garanticen la seguridad de los datos de carcter personal, que habrn de adoptarse por la empresa o profesional que almacene estos datos. Entre estas medidas se incluye la elaboracin de un documento de seguridad en el que se detallarn los datos almacenados, las medidas de seguridad adoptadas, as como las personas que tienen acceso a esos datos. Tras haber repasado la gua, mi opinin personal es que efectivamente puede ser muy til como iniciacin en el cumplimiento de los aspectos jurdicos de la LOPD y su Reglamento de desarrollo para aquellas pymes que no hayan implantado an la proteccin de datos, pero se queda corta como instrumento de control posterior (probablemente tampoco era esa la intencin de sus autores), y sobre todo parece olvidar un aspecto fundamental: la formacin de los empleados que manejan los datos dentro de la empresa en el da a da. No me cansar nunca de advertir que las mayores sanciones en proteccin de datos no se producen porque en la empresa falte tal o cual documento, sino por vulnerar los derechos individuales de las personas fsicas en el uso de la informacin, y esto difcilmente se resuelve con documentos: es una cuestin ms cultural que legal, ms de conocimientos que de papeles.