Ley de Proteccin de Datos: guas prcticas y conceptos bsicos

La Ley Orgnica 15/1999 de Proteccin de Datos de Carcter Personal y el Real Decreto 1720/2007 que la desarrolla son dos de las normas que influyen de manera ms determinante en la configuracin de los sistemas informticos de cualquier organizacin. Todas las empresas, no importa cual sea su rea de negocio o su tamao, estn obligadas a cumplir con ella si en cualquiera de sus actividades tratan con datos de carcter personal. El primer paso para cumplir la ley es conocerla. Dado que muchas pymes, debido a su estructura organizativa, no disponen de personal suficiente o con la calificacin necesaria para dedicarse a ello, vamos a intentar explicar, paso a paso y de forma sencilla en que consiste, que nos pide que hagamos, cmo podemos hacerlo y las consecuencias de no llevarlo a cabo. No es realmente una tarea complicada, pero si implica a buena parte de las reas de nuestro negocio y muy especialmente a aquellas relacionadas con los sistemas de informacin de nuestra empresa. Aspectos como regular el acceso a los datos por parte de los trabajadores, realizar las copias de seguridad y la manera en que protegemos nuestros sistemas, estn directamente relacionados con esta ley y debemos adaptarlos a ella para evitar las responsabilidades que pueden derivarse de su incumplimiento. Mediante esta gua iremos explicando la terminologa que emplea la ley, sus conceptos bsicos y cmo enfrentarse y resolver las situaciones que os podis encontrar en el da a da, exponiendo los pasos a seguir cuando tengis que lidiar con cada una de ellas. Nuestro objetivo no es, en ningn caso, convertirnos en la fuente bsica sobre la que enfocar el cumplimiento de la ley en vuestra empresa (para ello, deberais a cualquier consultora especializada que os ofrezca confianza, la importancia del tema lo merece), sino proporcionar la informacin necesaria para comprender los pasos que hay que dar y una vez adaptados vuestros procedimientos a la ley, ser capaces de mantenerlos al da con los requisitos que se os exigen, quiz uno de los aspectos ms complicados y menos comentados de esta ley.

Conceptos bsicos de la LOPD (I): definiciones referidas a datos

En esta primera entrega de nuestro especial sobre la LOPD, vamos a empezar a tratar los conceptos que se manejan en el Real Decreto 1720/2007 que desarrolla la ley. Explicarlos nos va a permitir entender mejor los casos prcticos que ms adelante abordaremos. Las definiciones que figuran en el artculo 5 del Real Decreto no son ms que la explicacin de lo que entiende el legislador que significan determinados trminos como dato de carcter personal o encargado del tratamiento, por poner dos ejemplos. En lugar de seguir el orden alfabtico que marca el texto legal, hemos preferido agrupar estas definiciones por temticas, por decirlo de alguna forma, explicando en cada entrega aquellas que

tienen cierta relacin entre s. Sin ms prembulos, entramos en materia con las distintas definiciones referidas a datos: de carcter personal, disociados y aquellos relacionados con la salud. Definiciones referidas a datos Datos de carcter personal: cualquier informacin concerniente a personas fsicas que o bien la identifiquen directamente o que permitan hacerlo. Este ltimo sera el caso, por ejemplo de un fichero que slo contuviera DNI, como comentamos hace unos das. Este dato no identifica a la persona por s mismo, pero la hace fcilmente identificable, lo que hace que tenga al consideracin de dato de carcter personal. Los datos pueden ser de cualquier tipo, una foto, un archivo de vdeo o sonido, numricos, textos, etc. Ejemplos de estos datos seran los pertenecientes a clientes si estos son personas, no empresas. Pero atencin, tambin los ficheros con datos de trabajadores incluyen datos personales (algunos de ellos protegidos especialmente, como veremos ms adelante), as como pueden contenerlos tambin los de empresas proveedoras/suministradoras o empresas que son clientes de la nuestra. As, aunque nuestros clientes sean exclusivamente sociedades no podemos descartar directamente la obligacin de aplicar la ley sobre los ficheros que contengan datos sobre ellas, tenemos que analizar cules son esos datos y ver si alguno de ellos se considera dato personal Datos disociados: son aquellos datos que por s mismos no permiten la identificacin del afectado o interesado. Esto tiene su importancia cuando nos planteamos la posibilidad de ceder los datos, y os explico. Imaginemos que tenemos una base de datos de clientes en la que en uno de sus ficheros, junto al nombre de cada cliente, aparece su telfono, edad y sexo, por ejemplo, junto al dinero que se ha gastado en adquirir mis productos. Yo quiero que un tercero, otra empresa, me haga un estudio para averiguar quienes gastan ms dinero en mi compaa, los hombres o las mujeres. Bien, si yo le entrego a esta empresa el fichero con todos los datos, que identifican claramente a estos clientes, estoy realizando una cesin de datos, y si no tengo consentimiento previo de mis clientes, podra tener problemas por ello. Sin embargo, para realizar el estudio nicamente necesitan el sexo y el dinero que se ha gastado cada persona, no su nombre ni otros datos. Si les entrego nicamente estos datos no estoy incurriendo en esa cesin que comentbamos, puesto que con estos datos no pueden identificar a mis clientes, son datos disociados. Datos de carcter personal relacionados con la salud: las informaciones que hacen referencia a la salud pasada, presente y futura, fsica y mental de una persona. Menciona en particular aquellos datos que hacen referencia al porcentaje de discapacidad o a la informacin gentica. Por que diferencia estos de los anteriores? Pues, entre otras cosas, por que considera estos datos como especialmente protegidos, lo que implica la obligacin de aplicar unas medidas mucho ms estrictas para su tratamiento (tema que abordaremos ms adelante). Podra parecer que en una pyme que no trabaje en el mbito sanitario no se van a tratar este tipo de datos, pero no es una situacin tan descabellada. Un ejemplo: Tengo un fichero con el que gestiono los datos para elaborar las nminas de los empleados de la empresa. Entre los datos que se incluyen en l estn los datos fiscales que necesito para cumplimentar declaraciones (modelo 190), y entre ellos figura el grado de discapacidad

del trabajador. Ya tenemos un fichero que contiene un dato especialmente protegido relacionado con la salud.

Conceptos bsicos de la LOPD (II): definiciones referidas a ficheros

Las definiciones referidas a ficheros son quiz las que menos explicacin necesitan, o las menos sujetas a interpretacin, dicho de otra forma. Vamos a ver a que se refiere la Ley cuando habla de ficheros, ficheros de titularidad pblica y privada, ficheros temporales y ficheros no automatizados. Ficheros: Todo conjunto organizado de datos de carcter personal que permita el acceso a los mismos con arreglo a criterios determinados Est bastante clara. Cualquier tipo de archivo, automatizado (ficheros informticos) o no automatizado (documentos en papel). En cuanto a los automatizados, podran ser un documento de word, hoja de excel, archivo de base de datos, lo que sea, simpre que los datos estn organizados mediante algn criterio, cualquiera que ste sea. Alfabtico, numrico, por colores, etc. Hay definido un reglamento de medidas de seguridad aplicables a estos ficheros. Ficheros no automatizados: estaran incluidos en la definicin anterior, pero los menciona especficamente en el Real Decreto. Son los relativos a personas fsicas que no estn informatizados, por decirlo de alguna manera. Por ejemplo, un listado en papel de clientes. Tambin estn amparados por la Ley de proteccin de datos, y estn especificadas las medidas de seguridad que les son aplicables. Ficheros de titularidad privada: en lneas generales, aquellos de los que son responsables empresas o personas fsicas. Tambin se consideran como tales aquellos ficheros cuyo responsable sea una entidad pblica siempre que estos ficheros no estn vinculados al ejercicio de la funcin pblica de dicha entidad. En lo que nos atae, todos los ficheros con datos personales que tenemos en las empresas son de titularidad privada. Ficheros de titularidad pblica: lo que os comentaba antes, pero al revs. Todos los ficheros cuyo titular sea una entidad pblica (gobierno, autonomas, Administraciones pblicas, etc) y que estn vinculados a su actividad pblica. Ficheros temporales: Ficheros de trabajo creados por usuarios o procesos necesarios para un tratamiento ocasional, o como paso intermedio para la realizacin de un tratamiento Un buen ejemplo sera una lista de clientes que nos creamos en una hoja de clculo para enviar una actualizacin puntual del precio de un producto, y que despus no se vuelve a utilzar. O el empleo de esa misma hoja de clculo para exportar los datos que contiene a una base de datos permanente. Una vez se ha utilizado, debe ser borrado o destruido, y aunque sean temporales, debern cumplir con el nivel de seguridad que les corresponda de acuerdo a los datos que contengan. Hasta aqu llegamos con los conceptos referentes a ficheros. En la prxima entrega nos vamos a

centrar en las definiciones que tratan de las personas que intervienen en el manejo de los datos de carcter personal, el encargado de tratamiento, responsable del fichero, destinatario, tercero, importador y exportador de datos, etc.

Conceptos bsicos de la LOPD (III): definiciones referidas a personas

En esta nueva entrega vamos a explicar las definiciones que tratan sobre las personas, tanto fsicas como jurdicas, que intervienen en cualquier concerniente a la ley o cuyos datos son susceptibles de proteccin. Hablaremos de afectado o interesado, destinatario, exportador e importador de datos, responsable del fichero, encargado del tratamiento, tercero, persona identificable, responsable de seguridad y usuario. Afectado o interesado: est bastante clara, la persona fsica titular de los datos que vayamos a tratar. Un caso muy claro sera el de los clientes (personas fsicas) de nuestra empresa. Destinatario o cesionario: las personas o empresas, pblicas o privadas a las que revelamos los datos que nosotros tratamos. Un buen ejemplo sera el de una empresa consultora a la que facilito los datos de mis clientes para que haga un estudio de hbitos de compra. Estaramos llevando a cabo una cesin de datos, tema que trataremos en profundidad ms adelante. Exportador e importador de datos personales: el caso del exportador es el de aquella persona o empresa situada en Espaa que realice una transferencia de los datos que trata a otro pas. Es una situacin ms habitual de lo que pudiera parecer. Si alojamos nuestras bases de datos en un servidor externo y este no est en nuestro territorio, estaremos realizando una transferencia internacional de datos, que debe ajustarse a ciertos parametros establecidos que desarrollaremos en prximas entregas del especial. En cuanto al importador de datos personales, sera aquella persona o empresa que recibe los datos en caso de transferencia internacional de los mismos, ya sea responsable del tratamiento, encargada de ste, o tercero, conceptos que tratamos a continuacin. Responsable del fichero o del tratamiento: persona o empresa que decida sobre la finalidad, contenido y uso del tratamiento de los datos, aunque no lo haga materialmente. Para centrarnos, y en nuestro caso, cada empresa es considerada como responsable de los ficheros de carcter personal que maneje. Encargado del tratamiento: persona o empresa que trate datos personales por cuenta del responsable del fichero. El caso de una empresa que subcontrate con otra el servicio de atencin a sus clientes, por ejemplo (caso de muchas operadoras telefnicas, sin ir ms lejos). Persona identificable: aquella persona fsica cuya identidad pueda determinarse mediante cualquier informacin, directa o indirectamente. Se refiere aqu a la identificacin de personas mediante datos que no lo hacen de forma directa. Podra ser el caso del DNI, no es evidentemente una identificacin directa, pero podramos llegar a determinar la identidad de la persona a travs de este dato. Es importante mencionar que no se consider identificable si lograrlo a travs de cualquier dato supone un plazo o actividad desproporcionada (faltara ver que consideran desproporcionado, claro).

 Responsable de seguridad: la persona o personas encargadas por el responsable del fichero de velar por el cumplimiento de las medidas de seguridad asignadas en cada caso. El empleado de la empresa al que se le encarge la tarea (todos aquellos de vosotros a los que os ha cado el regalito). Usuario: en resumidas cuentas, aquellos que acceden a los datos, los trabajadores de la empresa que manejan esta informacin en su actividad diaria de una forma u otra. Tercero: la he dejado para el final porque es muy buena, cito: La persona fsica o jurdica, pblica o privada u rgano administrativo distinta del afectado o interesado, del responsable del tratamiento, del responsable del fichero, del encargado del tratamiento y de las personas autorizadas para tratar los datos bajo la autoridad directa del responsable del tratamiento o del encargado del tratamiento Resumiendo, todo aquel que no encaje en las otras definiciones, ah queda eso. La siguiente entrega del especial ser la ltima en la que trataremos las definiciones del Real Decreto. En ella, nos centraremos en explicar aquellas referentes a los procesos que intervienen en el tratamiento de datos personales, cancelacin, cesin de datos, copias de respaldo, transferencias de datos, accesos, etc.

Conceptos bsicos de la LOPD (IV): definiciones referidas a procesos

Hoy nos vamos a centrar en las definiciones referidas a los procesos que intervienen en el tratamiento de los datos personales. Cancelacin de datos, consentimiento, transferencias y traslados, cesiones Todas aquellas operaciones que son habituales cuando manejamos los datos personales en la empresa y que estn sujetas a esta reglamentacin. Vamos con ello: Tratamiento de datos: toda operacin que permita la recogida, grabacin, conservacin, elaboracin, modificacin, consulta, utilizacin, modificacin, cancelacin, bloqueo o supresin, as como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias. Para abreviar, casi cualquier cosa que hagamos con los datos personales, sea o no de forma automatizada. Cancelacin: es el procedimiento por el cual dejamos de utilizar los datos. Hay que tomar medidas para que no se pueda acceder a ellos, pero no se pueden destruir o eliminar hasta que no prescriba el plazo de responsabilidades que puedan surgir del tratamiento de estos datos (de acuerdo con la LOPD, un mnimo de tres aos, aunque en determinadas circunstancias el plazo puede variar). Su forma de conservacin debe permitir la puesta a disposicin de las Administraciones pblicas, Jueces y Tribunales con este fin. Cesin o comunicacin de datos: todo tratamiento de los datos que suponga su revelacin a una persona distinta del interesado (el titular de los datos).

 Consentimiento del interesado: consiste en la aceptacin por parte de ste del tratamiento de sus datos. Cuidado, esta aceptacin debe ser libre, inequvoca, especfica e informada. Esto implica que en el formulario de aceptacin que hagamos firmar al interesado (tenga el formato que tenga), debe quedar claro, sobre todo, para qu se van a utilizar sus datos. Debemos intentar ser lo ms especficos posible en este aspecto. Procedimiento de disociacin: el tratamiento de datos que permita obtener datos disociados. Transferencia internacional de datos: toda aquella transmisin de datos que se realice fuera de la Unin Europea. Un buen ejemplo es el de emplear servicios de alojamiento remoto para nuestras bases de datos de clientes, para temas de copia de seguridad o porque utilizamos algn sistema SaaS (software como servicio). Para poder llevarla a cabo se deben dar determinadas condiciones: No se podrn transferir los datos a paises cuyo reglamento no garantice el mismo nivel de proteccin del que disfrutan en nuestro pas, salvo que lo autorice la Agencia Espaola de Proteccin de Datos previa consulta. A pesar de ello, si el interesado ha dado su consentimiento inequvoco a esta transferencia, se podr realizar. Teniendo esto en cuenta a la hora de recoger su autorizacin, no deberamos tener problemas al respecto. Existen ms excepciones, pero quiz stas son las que ms interesan en el mbito empresarial. Sistema de informacin y sistema de tratamiento: el primero hace referencia al conjunto de herramientas que se utilizan para tratar los datos. Hardware, software, soportes informticos, fsicos, ficheros, etc. El segundo trmino hace referencia al modo en que se organiza o utiliza el primero. De acuerdo a la forma en que se traten los datos, los sistemas podrn ser automatizados (los sistemas informticos), no automatizados (ficheros en papel, organizados de alguna forma, eso s), o parcialmente automatizados (cuando se emplee una combinacin de los anteriores). Transmisin de documentos:se considera transmisin cualquier envo, traslado, comunicacin, entrega o divulgacin de la informacin que contengan estos documentos. Con esta entrada acabamos ya con las definiciones que aparecen en el Real Decreto, con lo que ya disponemos de un marco de referencia que utilizaremos para pasar a tratar temas ms prcticos, como clasificar el tipo de datos que tratamos, condiciones para efectuar copias de respaldo, mantenimiento del documento de seguridad y cualquier otro que sea necesario para estar al da en el cumplimiento de esta normativa.

Conceptos bsicos de la LOPD (V): seguridad segn el tipo de ficheros

Una vez hemos terminado con las definiciones de conceptos importantes en la legislacin, vamos a centranos ahora en aquellos aspectos de la ley que tienen mayor impacto en el cumplimiento de sta. Hoy comenzamos con los niveles de seguridad. Los datos personales, segn cules sean, estn sujetos a determinados grados de proteccin, que nos indican las medidas de seguridad que tendremos la obligacin de aplicar en cada caso.

Vamos a centrarnos en comentar slo aquellos supuestos que se pueden dar con mayor frecuencia en las empresas, dejando el resto al margen de este artculo. Medidas de seguridad de nivel bsico: se aplican a todos los ficheros que contengan datos de carcter personal. Es lo mnimo que debemos implantar en nuestra empresa. Medidas de seguridad de nivel medio: adems de aplicar las medidas del nivel bsico, deberemos aplicar las de nivel medio a aquellos ficheros que contengan informacin que permita evaluar la personalidad o el comportamiento del interesado.Si guardramos datos en los que se vieran reflejados los gustos, aficiones, etc. de nuestros clientes (asociados a otros que los identifiquen), estos ficheros entraran en este nivel. Medidas de seguridad de nivel alto: tendrn que aplicarse sobre los ficheros que contengan datos de ideologa, afiliacin sindical, religin, creencias, origen racial, salud o vida sexual. No ser habitual que nos encontremos con este caso en las empresas, pero en ficheros de nminas en los que se incluyan los datos sindicales para abono de cuotas o de minusvalas para declaracin de renta si habra que aplicar este nivel.Si as fuera, lo ms conveniente (y permitido) sera disgregar, sacar del sistema aquellos registros que tengan los datos especialmente protegidos, de forma que no tendramos que aplicar el nivel alto a todo el sistema de tratamiento, slo a stos ficheros en concreto. En la prxima entrega veremos los requisitos que hay que cumplir en cada uno de los niveles, cules son las medidas que tenemos que implantar y las diferencias existentes si el tratamiento de los ficheros es automatizado o no automatizado.

Conceptos bsicos de la LOPD (VI): medidas de seguridad de nivel bsico

En la entrega anterior del especial sobre la LOPD repasamos los distintos niveles de seguridad necesarios segn el tipo de datos que contengan los ficheros con los que trabajamos. En este captulo vamos a revisar las medidas que hay que aplicar en el nivel de seguridad bsico, que son tambin las mnimas que deberemos disponer en cualquier caso (siempres que trabajemos con datos de carcter personal, naturalmente). Vamos a seguir paso por paso lo que nos indica el Real Decreto 1720/2207, revisando las funciones del personal, registro de incidencias, medidas de control de acceso, gestin de soportes y documentos, identificacin y autenticacin y realizacin de copias de respaldo. Estas medidas de seguridad son las aplicables en el caso de tratamiento automatizado de datos. El tratamiento no automatizado tiene las suyas propias, adecuadas a sus caractersticas. Funciones y obligaciones del personal Todas las personas, los usuarios, que intervengan en el tratamiento de los datos deben tener definidas sus funciones, y hay que reflejarlas en el documento de seguridad, al igual que los perfiles de usuario que utilicen. Es decir, se debe incluir en el documento de seguridad (del que hablaremos ms adelante) que Pepe Domnguez, de ventas, utiliza un perfil de usuario (digamos Operador de Ventas) que le da acceso a tal o cual fichero. Adems, la empresa, como responsable del fichero, debe definir en este documento qu funciones de control o autorizaciones ha delegado y a quien lo ha hecho, y debe informar al personal de las normas de seguridad que afecten a sus funciones y de las consecuencias de incumplirlas (y dejar constancia de que lo ha hecho). En la prctica, esto supone entregar un documento informando a cada usuario, que lo firmen, y adjuntarlo en el documento de seguridad. En cuanto a la delegacin de funciones, lo mismo. Habr que indicar quien es el responsable de seguridad designado por el

empresario y que funciones le han sido delegadas. Registro de incidencias Hay que establecer un procedimiento de notificacin y gestin de las incidencias, y documentarlo. En este registro debe constar: Tipo de incidencia (he borrado la copia de seguridad por error). Cundo se ha producido o detectado Quin la notifica y a quin lo hace Qu efectos ha tenido y qu medidas correctoras se han adoptado

Control de acceso Es obligatorio establecer un control de acceso a los ficheros. La opcin ms lgica es establecer los accesos mediante permisos por usuario y asociarlos a contraseas. Cada usuario podr acceder nicamente a los datos necesarios para realizar sus funciones, y hay que establecer mecanismos de seguridad para evitar que suceda lo contrario. Slo aquellas personas autorizadas en el documento de seguridad (normalmente el responsable de seguridad) podrn conceder, alterar o anular estos permisos de acceso. Esto tiene implicaciones importantes a la hora de elegir un sistema de gestin en la empresa. La mayora estn dotados de sistemas de control de acceso, pero no est de ms tenerlo en cuenta si estis valorando un cambio de sistema (o si el que utilizis no permite esta posibilidad). Gestin de soportes y documentos Los soportes y documentos (digamos un DVD con una copia de seguridad) debern permitir identificar el tipo de informacin que contienen y ser inventariados. En el caso del DVD, escribiendo copia de seguridad de tal fecha y tal informacin. Hay que tener en cuenta que las copias de seguridad tambin deben estar protegidas, de forma que slo las personas autorizadas para ello en el documento de seguridad puedan acceder a los datos. Si los datos son especialmente sensibles, la identificacin del soporte se puede hacer mediante cdigos o sistemas comprensibles slo para las personas autorizadas. Toda salida de documentacin o soportes debe estar autorizada y reflejarse en el documento de seguridad. Imagnate que envas un correo electrnico a tu oficina de ventas de Torrevieja con un listado de clientes interesados en comprar los apartamentos que tienes all y que han llamado a la central de tu empresa para informarse. Pues tienes que reflejarlo en el documento de seguridad y debe estar autorizado por el responsable de seguridad. Si se traslada documentacin con datos personales, hay que tomar medidas que eviten su perdida, sustraccin o acceso indebido durante el transporte. Hay que asegurarse de destruir o borrar cualquier documento o soporte que contenga datos de carcter personal cuando se vaya a desechar, de forma que no se pueda luego recuperar la informacin. Es conveniente utilizar algn sistema de borrado seguro, que sobreescriba la informacin de los soportes o, si se da el caso, destructoras de discos pticos, que tambin existen. Identificacin y autenticacin El sistema de tratamiento que utilicemos debe permitir que cada usuario pueda identificarse en l y ser identificado de forma inequvoca. Tenemos que saber quin est conectado a qu, y si tiene permisos de acceso a ello. La forma habitual de hacer esto es mediante el uso de nombres de usuario y contraseas. Si es el caso, debe existir un procedimiento de asignacin, distribucin y almacenamiento que garantice su confidencialidad, y no podrn tener una caducidad superior a un ao. Tenemos que considerar si nuestro sistema de gestin cumple estos requisitos. Copias de respaldo y recuperacin Es naturalmente obligatorio realizar copias de seguridad de los datos (y recomendable aunque no

lo fuera), y hay establecidas una serie de medidas que debemos adoptar para cumplir con el reglamento: Como mnimo se deben realizar semanalmente, salvo que no se hayan producido modificaciones en los datos. Hay que establecer procedimientos que garanticen la recuperacin de los datos en caso de prdida, que deben garantizar la vuelta al estado en el que se encontraban antes de dicha perdida. A mi entender, en la prctica esto supone hacer una copia diaria (cosa recomendable en cualquier caso), al menos en los casos en los que la modificacin de los datos sea frecuente. Cada seis meses hay que comprobar las copias y la recuperacin de las mismas. Ver que se hacen bien, que copian lo que deben y comprobar que se restauran correctamente. Si se van a cambiar o modificar los sistemas de gestin que tratan los datos, las pruebas que se realicen no podrn efectuarse con datos reales a no ser que se garanticen las medidas de seguridad aplicables y se anote en el documento de seguridad. Si as se hace, habr que realizar una copia de seguridad previa. Estas son las medidas bsicas que tenemos que adoptar en todos los casos en que tratemos con datos personales. Si el tipo de datos as lo requiere, tendremos que implantar tambin otras adems de estas, las de nivel medio o alto, que veremos en prximas entregas.

Conceptos bsicos de la LOPD (VII): medidas de seguridad de nivel medio

En esta entrada vamos a repasar las exigencias que nos impone estar en un nivel de seguridad medio. Como ya dijimos en la anterior, este nivel se aplicar segn el tipo de datos que tratemos en nuestra empresa, y complementando siempre a las medidas que fija el nivel de seguridad anterior. Si este es nuestro caso, adems de las medidas de nivel bsico, tendremos que aplicar las de nivel medio. Como vais a ver, si la cosa ya estaba complicada, con el cambio de nivel se pone todava mejor. Tanto, que me hace reflexionar sobre la importancia de analizar detenidamente que datos necesitamos realmente para hacer funcionar nuestro negocio, y sobre la conveniencia de descartar el empleo de todos aquellos que no nos sean realmente de utilidad. Vamos con el tema. Medidas de seguridad de nivel medio Responsable de seguridad: si tenemos que implantar este nivel de seguridad, la designacin de un responsable de seguridad es obligatoria . No quiere decir sto que no se pueda hacer en el nivel bsico, todas las medidas contempladas por la ley son las mnimas a implantar, y personalmente opino que es importante designar a alguien que se encargue de la tarea. Puede ser una nica persona o varias en caso de utilizar distintos sistemas de tratamiento, y debe quedar reflejado en el documento de seguridad. El que exista un responsable de seguridad no exime de responsabilidad al responsable del fichero o encargado del tratamiento de los datos (habitualmente la empresa). Auditora: a partir de este nivel hay que someter al sistema de informacin a una auditora (interna o externa) mnimo cada dos aos. En caso de cambios importantes en el sistema informtico (un cambio de servidor, de programa de gestin), ser necesario realizarla tambin. El informe que se redacte sobre ella debe identificar las deficiencias, si existen, y proponer medidas correctoras, apoyndose en datos, observaciones, etc. Vamos, que hay que documentar bien las afirmaciones que se hagan, valorando todo de acuerdo a su adaptacin a

la ley. Los informes deben quedar a disposicin de la autoridad competente en cada caso (hay que guardarlos, lgicamente) y el responsable de seguridad tiene que analizarlos, sacar conclusiones y facilitrselas al responsable del fichero para que acte en consecuencia. Gestin de soportes y documentos: aqu ya nos obligan a establecer un sistema de registro de los soportes, tanto de entrada o de salida. Este sistema debe permitirnos conocer el tipo de soporte o documento, fecha y hora, emisor o destinatario, nmero de documentos o soportes que van en el envo, tipo de informacin que contienen y la persona encargada de la entrega o recogida, que deber estar autorizada expresamente. Esta situacin se puede dar en los casos en los que delegaciones u oficinas externas enven los datos a una central, por ejemplo, y no es necesario que toda esta informacin aparezca directamente en el paquete de envo o correo electrnico. Se puede utilizar un cdigo o referencia que permita luego obtenerla por otros medios. Identificacin y autenticacin: a lo dispuesto en el nivel bsico en este sentido, hay que aadir que se debe limitar las veces que se puede intentar acceder al sistema de informacin. En esencia, establecer el nmero de veces que se puede uno equivocar al introducir la contrasea (no hay un mximo establecido). Control de acceso fsico: slo aquellas personas autorizadas en el documento de seguridad podrn tener acceso a los equipos que dan soporte a los sistemas de informacin. Puede ser un despacho, un armario especial, un rack, lo que se os ocurra, cerrado de alguna forma para impedir el acceso a cualquiera. Registro de incidencias: en este nivel, adems de lo especificado para el nivel bsico, hay que reflejar los procedimientos de restauracin de copias de seguridad que se hayan realizado, consignando si se ha tenido que grabar manualmente algn dato. Adems, ser necesaria la autorizacin del responsable del fichero para efectuar una restauracin de datos.

En todos los niveles lo es, pero a partir de ste es muy importante tener en cuenta la conveniencia de dejar constancia por escrito, con todas las firmas y vistos buenos que hagan falta, de todos los pasos que vamos dando. Es lo que nos va a servir en caso de vernos sometidos a cualquier tipo de inspeccin o requerimiento. La semana que viene analizaremos ya las medidas de nivel alto, que son todava ms divertidas que stas, hasta entonces.

Conceptos bsicos de la LOPD (VIII): medidas de seguridad de nivel alto

Tras comentar en la pasada entrega de esta gua las medidas de seguridad de nivel medio, vamos a cerrar este captulo hacindolo con las medidas de nivel alto. No es una situacin habitual en las pymes tener que aplicarlas, pues el tipo de datos que las requiren no estn entre los ms comunes que tenemos que manejar. De todas formas, no est de ms conocer los requerimientos legales si nos encontramos en esta situacin, que no son pocos y requieren adems de unas medidas organizativas bastante complejas y costosas de implantar, sobre todo en lo referente al registro de accesos a la informacin protegida. Recordad que todas estas medidas se deben aplicar adems de las de los niveles anteriores, stas se aaden y complementan o modifican las anteriores. Gestin y distribucin de soportes: la identificacin de los soportes deber ser comprensible para las personas con autorizacin de acceso a los datos que contengan, pero no para el resto. La identificacin debe hacerse de tal forma que cualquier otra persona distinta a las que tienen acceso sea incapaz de averiguar que es lo que contienen dichos

soportes. Adems, cuando haya que distribuirlos, se deben adoptar las medidas necesarias para que no se pueda acceder a la informacin ni manipularla. Lo ms habitual es recurrir en este caso al cifrado de los datos. Si la informacin se transmite a dispositivos porttiles (pda, ordenador porttil, telfonos), sta deber ir cifrada siempre que se utilicen fuera de la oficina. Si los dispositivos no se pueden cifrar y es indispensable utilizarlos, hay que documentar el porqu (en el documento de seguridad) y adoptar otras medidas que impidan el acceso a los datos a personas no autorizadas. Copias de respaldo y recuperacin: como aadido a las exigencias anteriores, es obligatorio conservar una copia de respaldo de los datos en un lugar diferente (otra oficina, la caja de un banco) al de los equipos que realizan el tratamiento de los datos. Naturalmente, el sitio elegido debe cumplir tambin con las normas de seguridad pertinentes. Registro de accesos: cuando un usuario acceda al sistema para trabajar con la informacin, ser necesario conservar su identificacin, fecha y hora, a qu fichero accede, tipo de acceso y si ha sido autorizado o no. Si es autorizado, habra que guardar la informacin que identifique a que registros ha accedido. Estos datos hay que conservarlos como mnimo durante dos aos, y el responsable de seguridad debe realizar una comprobacin mensual de esta informacin, elaborando un informe en el que se detalle que comprobaciones ha realizado y si se ha detectado algn problema. Unicamente el responsable de seguridad puede acceder al registro de accesos, que no debe ser modificable. Muchos sistemas de gestin para empresas tienen en cuenta estos requirimientos y los incluyen, por lo que sera interesante comprobar si el que utilizis lo hace o si al menos tienen previsto incorporar dicha funcionalidad en el futuro. Telecomunicaciones: cualquier transmisin de los datos a travs de redes pblicas deber ser cifrada, al igual que si son redes privadas pero inalmbricas (una red wifi, por ejemplo). Recordar para finalizar que todos estos niveles de medidas son aplicables a los ficheros automatizados, y que aquellos que no lo son disponen de las suyas propias, complementarias a algunas de las aplicadas en los primeros. Como el tratamiento no automatizado est todava muy extendido, prestaremos especial atencin a este supuesto en las prximas entregas de la gua.

Conceptos bsicos de la LOPD (IX): infracciones y sanciones

La Ley Orgnica de Proteccin de Datos (LOPD) tiene como objeto garantizar y proteger derechos fundamentales de las personas fsicas, como son especialmente su honor e intimidad personal y familiar. Es por eso que es una ley de rango orgnico, y que en caso de incumplimiento prevee importantes sanciones econmicas. Si una pyme ha de prestar una importante atencin a este captulo se debe a que ests sanciones, al regular un derecho individual de cada ciudadano, no estn en funcin del tamao de la empresa sino del artculo vulnerado, del nivel de seguridad exigido a esos datos y de una serie de factores que pueden atemperar la sancin y que veremos ms adelante. Analicemos primero qu tipo de infracciones seala la LOPD. Son infracciones leves: No atender, por motivos formales, la solicitud del interesado de rectificacin o cancelacin de los datos personales objeto de tratamiento cuando legalmente proceda. No proporcionar la informacin que solicite la Agencia de Proteccin de Datos en el ejercicio de las competencias que tiene legalmente atribuidas.

 No solicitar la inscripcin del fichero de datos de carcter personal en el Registro General de Proteccin de Datos, cuando no sea constitutivo de infraccin grave. Proceder a la recogida de datos de carcter personal de los propios afectados sin informarles de sus derechos. Incumplir el deber de secreto (salvo que constituya infraccin grave). Las infracciones leves sern sancionadas con multa de 601,01 euros a 60.101,21 euros. Son infracciones graves: La recogida de datos de carcter personal con finalidades distintas de las que constituyen el objeto legtimo de la empresa. Proceder a la recogida de datos de carcter personal sin recabar el consentimiento expreso de las personas afectadas, en los casos en que ste sea exigible. El impedimento o la obstaculizacin del ejercicio de los derechos de acceso y oposicin y la negativa a facilitar la informacin que sea solicitada. Mantener datos de carcter personal inexactos o no efectuar las rectificaciones o cancelaciones de los mismos que legalmente procedan. La vulneracin del deber de guardar secreto sobre los datos de carcter personal incorporados a ficheros que contengan datos relativos a la comisin de infracciones administrativas o penales, Hacienda Pblica, servicios financieros, prestacin de servicios de solvencia patrimonial y crdito, as como aquellos otros ficheros que contengan un conjunto de datos de carcter personal suficientes para obtener una evaluacin de la personalidad del individuo. Mantener los ficheros, locales, programas o equipos que contengan datos de carcter personal sin las debidas condiciones de seguridad que por va reglamentaria se determinen. No colaborar con la Agencia de Proteccin de Datos Incumplir el deber de informacin cuando los datos hayan sido recabados de persona distinta del afectado. Las infracciones graves sern sancionadas con multa de 60.101,21 euros a 300.506,05 euros. Son infracciones muy graves: La recogida de datos en forma engaosa y fraudulenta. La comunicacin o cesin de los datos de carcter personal, fuera de los casos en que estn permitidas. No cesar en el uso ilegtimo de los tratamientos de datos de carcter personal cuando sea requerido para ello por el Director de la Agencia de Proteccin de Datos o por las personas titulares del derecho de acceso. No atender, u obstaculizar de forma sistemtica el ejercicio de los derechos de acceso, rectificacin, cancelacin u oposicin. No atender de forma sistemtica el deber legal de notificacin de la inclusin de datos de carcter personal en un fichero. Las infracciones muy graves sern sancionadas con multa de 300.506,05 euros a 601.012,10 euros. La cuanta de las sanciones se graduar atendiendo a la naturaleza de los derechos personales afectados, al volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de intencionalidad, a la reincidencia, a los daos y perjuicios causados a las personas interesadas y a terceras personas.

Si se apreciara una cualificada disminucin de la culpabilidad de la empresa denunciada, la Agencia de Proteccin de Datos (AEPD), que es el organismo que tiene la potestad sancionadora, aplica la escala inferior a la clase de infraccin sealada. Es decir, que las infracciones muy graves se sancionan como graves, y las graves como leves.

Guas prcticas de la LOPD (I): el spam y el P2P

Como complemento a la serie de Conceptos Bsicos sobre proteccin de datos, iniciamos hoy otra bajo el epgrafe Guas Prcticas, con el propsito de aadir a la visin terica de la LOPD diferentes anlisis de sus consecuencias practicas en las pymes. En la pgina web de la Agencia Espaola de Proteccin de Datos (AEPD) se publican, en la seccin Resoluciones, todos aquellos procedimientos sancionadores iniciados por la AEPD, tanto los que terminan en sancin como los que son archivados. Cada uno de estos procedimientos, adems de fundamentar jurdicamente la resolucin sealando los preceptos legales vulnerados, cuenta una historia y de sus detalles se aprende que los mayores riesgos de una sancin no proceden de errores documentales o de la falta de determinados contratos, sino del uso diario de la informacin y los datos de carcter personal que toda empresa maneja. Riesgo en ocasiones agravado por el uso de algunos avances tecnolgicos. Veamos ejemplos de los errores tecnolgicos ms habituales que han causado en algunos casos sanciones de muy elevada cuanta, para que de esta manera aprendamos lo que no hay que hacer y estemos ms vigilantes ante algunas prcticas an muy extendidas en las empresas. Spam (mail, fax, SMS): sin duda el nmero 1 por la cantidad de sanciones. Se denomina spam a todo tipo de comunicacin de carcter comercial no solicitada, realizada por va electrnica, y esta va incluye no slo el correo electrnico, sino tambin el fax o un SMS. Hay que tener en cuenta que en este mbito adems de la Ley Orgnica de Proteccin de Datos (LOPD) aparece tambin la Ley de Servicios de la Sociedad de la Informacin (LSSI) que no distingue entre personas fsicas y jurdicas, de manera que los datos electrnicos de las empresas estn tan protegidos como los de los particulares y no pueden ser utilizados sin consentimiento de sus destinatarios. La sancin habitual en caso de denuncia oscila la primera vez entre 1.000 euros y 3.000 euros, aunque en caso de reincidencia puede llegar a los 60.000 euros. Datos personales que aparecen en el eMule: por desgracia un asunto que se est convirtiendo en una plaga. Son ya decenas los casos de empresas e instituciones sancionadas por aparecer datos de clientes, trabajadores o alumnos en redes P2P, especialmente el eMule. En la mayor parte de los casos se trata del error involuntario de un empleado que aprovecha los ratos muertos para descargarse algo de msica y configura el programa de forma que en vez de dar acceso a una carpeta determinada lo hace a todo el disco duro. Hay que tener en cuenta la especial gravedad del asunto, puesto que ya no se solamente trata de la vulneracin de un derecho fundamental (intimidad), sino que adems se produce con los datos de muchas personas y queda en Internet al alcance de cualquiera, incluyendo las secciones de delitos telemticos de las fuerzas de orden pblico, que suelen ser quienes inician con su denuncia este tipo de procedimientos. Uno de los ejemplos ms graves lo podemos ver en el caso de la pequea clnica en la que los datos de miles de mujeres que se haban sometido legalmente a una interrupcin voluntaria del embarazo aparecieron en el emule causando para la doctora (autnoma) duea de la clnica una sancin de 150.000

euros. En los siguientes posts de la serie veremos otros ejemplos causados por el envo de correos electrnicos con direcciones al descubierto, el uso de videovigilancia, los formularios de pginas web, los backup remotos, etc.

Guas prcticas de la LOPD (II): los riesgos de la ofimtica

Continuando con la nueva serie Guas Prcticas, con el propsito de aadir a la visin terica de la LOPD diferentes anlisis de las consecuencias practicas en las pymes, vamos a ver los riesgos que respecto a al manejo de datos de carcter personal puede provocar el uso de algunos de los hardware y software que tenemos en nuestras oficinas. Resulta obvio que la ofimtica ha supuesto un enorme avance en la manera en la que incluso una empresa muy pequea puede llegar a procesar informacin en grandes volmenes, pero al tiempo nos obliga a ser precavidos ya que sus automatismos tambin aumentan los riesgos de vulnerar la legislacin sobre proteccin de datos. Es fundamental resaltar el hecho de que como ya sealaba en la nota anterior todos estos ejemplos proceden de Resoluciones (sanciones) publicadas en la pgina web de la Agencia Espaola de Proteccin de Datos (AEPD), es decir, son circunstancias que ya han ocurrido y nos deben servir para aprender en piel ajena. Y tambin que no basta con que estos procedimientos se entiendan a nivel de gerencia en una pyme, sino que cualquier empleado con acceso a datos de carcter personal ha de mantener el mismo tipo de precauciones. As que si el lector resulta ser un usuario avanzado y algunos de estos errores le resultan demasiado bsicos, le conviene preguntarse: saben esto mis empleados?

Correos electrnicos con direcciones al descubierto. Si tenemos que enviar un correo electrnico a varias personas (salvo que obviamente todas sean internas de la compaa o pertenezcan a un mismo grupo) nunca debemos poner todas las direcciones en la casilla para, puesto que en ese caso cada uno de los destinatarios ver las direcciones del resto y se considerar una vulneracin del deber de secreto (artculo 8 de la LOPD). Se debe usar la casilla CCO (con copia oculta). Equipos sin medidas bsicas de seguridad. En uno de los procedimientos presenciales de los inspectores de la AEPD se deca con sorpresa: con slo pulsar una tecla cualquiera se tena acceso completo al disco duro del equipo informtico, es decir, que en ese ordenador ni siquiera se haba activado una medida tan bsica como la contrasea de acceso que conlleva cualquier sistema operativo. De nada sirve blindar el acceso a nuestro servidor y cumplir todos los requisitos de seguridad informtica si despus cualquier equipo desprotegido puede suponer una fuga de informacin o un acceso no autorizado. Soportes con copias de seguridad. CD, DVD, discos duros externos, pendrive Son muchos los sistemas que podemos emplear tanto para realizar copias de seguridad (obligatorias tambin segn el Reglamento de Medidas de Seguridad de la LOPD) como

para transportar informacin. En este ltimo caso, independientemente de las medidas tcnicas implantadas para evitar accesos no autorizados o del encriptamiento de los datos, hay que activar un medida tan poco tecnolgica como estar ms atento. Resulta sorprendente (pero ocurre) los casos en los que se pierden soportes con informacin sensible. Mquina de ensobrar. Si su empresa realiza campaas de mailing y dispone de una prctica mquina de ensobrar haga el siguiente experimento: golpee suavemente un sobre sobre una mesa y compruebe si a travs de la ventanilla se ven ms datos personales que los imprescindibles para su distribucin postal. Dejar al descubiertos expresiones como recibo devuelto o deuda pendiente ha causado ya varias sanciones. Fax. Cuando se enva una comunicacin por fax no tenemos ningn control sobre quin es la o las personas que van a tener acceso a esa informacin en el momento de su recepcin. Su uso no es aconsejable cuando se trate de transmitir datos de carcter personal. Continuaremos la serie con un anlisis de la problemtica que puede suponer la contratacin de servicios externos que tienen relacin con la proteccin de datos, como son la videovigilancia, servicios informticos, backup remotos, formularios web y tiendas virtuales, etc

Guas prcticas de la LOPD (III): servicios externos

Continuando con la nueva serie Guas Prcticas, con el propsito de aadir a la visin terica de la LOPD diferentes anlisis de las consecuencias practicas en las pymes, veremos las implicaciones de la externalizacin de determinados servicios tecnolgicos. Son varias las ocasiones y muchos los motivos, aunque bsicamente sean coste y complejidad, por los que una empresa no le conviene asumir a nivel interno todas y cada una de las posibilidades de negocio que le brindan las nuevas tecnologas y prefiere contratar con otra empresa servicios tales como mantenimiento informtico, videovigilancia, gestin de su web y/o tienda virtual, backup remoto, etc. Resulta evidente que la gestin de todas estas herramientas implica necesariamente por parte de la empresa prestataria del servicio un acceso y en muchas ocasiones tratamiento de datos de carcter personal, que son realmente una responsabilidad de la empresa cliente. Es por esto que la Ley Orgnica de Proteccin de Datos (LOPD) seala que la realizacin de tratamientos por cuenta de terceros deber estar regulada en un contrato, y el Reglamento de desarrollo de la LOPD aade adems que el responsable de los datos deber velar por que el encargado del tratamiento rena las garantas para el cumplimiento de la proteccin de datos. En el contrato citado deber establecerse expresamente que: El encargado del tratamiento nicamente tratar los datos conforme a las instrucciones del responsable de los datos. No los aplicar o utilizar con fin distinto al que figure en dicho contrato, ni los comunicar, ni siquiera para su conservacin, a otras personas. Se estipularn, asimismo, las medidas de seguridad que el encargado del tratamiento est obligado a implementar. Una vez cumplida la prestacin contractual, los datos de carcter personal debern ser destruidos o devueltos al responsable, al igual que cualquier soporte o documentos en que conste algn dato de carcter personal objeto del tratamiento.

La clave del asunto reside en la ya citada obligacin que marca el Reglamento de la LOPD de velar porque este encargado del tratamiento cumpla la LOPD, que no es sino la aplicacin a un campo tan moderno como las nuevas tecnologas de unos antiqusimos (derecho romano) conceptos jurdicos como son la culpa in eligiendo e in vigilando, es decir, la responsabilidad que recae sobre la entidad que tiene datos de carcter personal cada vez que elige a otra persona fsica o jurdica para realizar determinados trabajos sobre esos datos. Hay que tener en cuenta que en el caso de que esta tercera empresa, la encargada del tratamiento, cometa, por error, omisin o mala fe, cualquier vulneracin de la LOPD con los datos que le hemos cedido que pueda suponer una sancin por parte de la Agencia Espaola de Proteccin de Datos (AEPD), corremos el riesgo de que la AEPD nos rebote dicha sancin multando tambin al responsable de los datos por no haber velado correctamente por que el encargado del tratamiento reuniera las garantas para el cumplimiento de la proteccin de datos. El contrato de tratamiento actuar como un escudo protector frente a esa posible sancin permitindonos demostrar a la AEPD que s hemos cumplido con el deber de elegir y vigilar correctamente hasta donde llegan nuestras posibilidades a quien hemos encargado la realizacin de determinados trabajos con nuestros datos. Por lo tanto, en resumen, cada vez que una pyme se plantee la posibilidad de subcontratar cualquier servicio externo que suponga un acceso a datos de carcter personal, deber estudiar, adems de los componentes tecnolgicos y econmicos de las diferentes ofertas que tenga sobre la mesa, los aspectos legales referentes a la proteccin de datos y exigir en especial que en el contrato de prestacin de servicios a firmar se recojan expresamente los condicionantes exigidos por la LOPD.

Guas prcticas de la LOPD (IV): inscripcin de ficheros

El primer paso en el cumplimiento de la Ley Orgnica de Proteccin de Datos (LOPD) es la obligacin de notificar los ficheros que contengan datos de carcter personal a la Agencia Espaola de Proteccin de Datos (AEPD). Con este fin se cre el sistema de Notificaciones Telemticas a la AEPD (NOTA), que permite a cualquier entidad de titularidad pblica y/o privada notificar sus ficheros de forma gratuita a travs de una herramienta que le informa y asesora acerca de los requerimientos de la notificacin, ya sea con o sin firma electrnica. Adems permite preseleccionar de forma simplificada una serie de ficheros relacionados con los usos ms habituales de las pymes. Gracias a la sencillez del formulario y a la claridad de su manual de instrucciones ste es un paso que cualquier empresa puede llevar a cabo por sus propios medios, sin recurrir a un asesoramiento externo. Antes que nada es importante aclarar que el formulario electrnico NOTA incorpora funcionalidades que requieren la instalacin de Adobe Reader versin 7.0.8 superior. En este caso veremos los pasos a dar en el uso ms habitual de la herramienta: la notificacin de ficheros de titularidad privada a travs de internet sin firma electrnica. En la web de la AEPD ir a Canal del responsable de ficheros > Inscripcin de Ficheros > Notificaciones Telemticas a la AEPD (NOTA) > Obtencin del formulario NOTA: Formulario NOTA de titularidad privada Seleccionar Alta, y luego Tipo (modelos precumplimentados para gestin de comunidades

de propietarios, clientes, libro recetario de las oficinas de farmacia, pacientes, gestin escolar, videovigilancia, nminas y recursos humanos). Marcar presentacin por internet. Cumplimentar los apartados de la notificacin. En todos los apartados se encuentra disponible la ayuda correspondiente a dicho apartado, as como una opcin que le permitir verificar si el mismo ha sido cumplimentado correctamente. Rellenar la Hoja de solicitud. Generar/Enviar la notificacin. El sistema responder con la Hoja de solicitud (en formato PDF) que confirma que la notificacin ha sido enviada correctamente. Dicha Hoja de solicitud, firmada por la persona que efecta la notificacin, es la que se deber remitir por correo a la AEPD.

Posteriormente la AEPD confirmar por correo la inscripcin de fichero mediante una carta en la que adems de asignar el cdigo de inscripcin correspondiente, seala: sin que de esta inscripcin se pueda desprender el cumplimiento por parte del responsable del fichero del resto de obligaciones previstas (...).

Guas prcticas de la LOPD (V): el Documento de Seguridad

Nuestro objetivo no es, en ningn caso, convertirnos en la fuente bsica sobre la que enfocar el cumplimiento de la ley en vuestra empresa (para ello, deberais acudir a cualquier consultora especializada que os ofrezca confianza, la importancia del tema lo merece), sino proporcionar la informacin necesaria para comprender los pasos que hay que dar y una vez adaptados vuestros procedimientos a la ley, ser capaces de mantenerlos al da con los requisitos que se os exigen, quiz uno de los aspectos ms complicados y menos comentados de esta ley. Esta es una cita de Jos M. Cestero del primer post de la serie que he querido repetir, ya que tras haber visto el procedimiento para el alta de ficheros, un paso que cualquier empresa puede llevar a cabo por sus propios medios sin recurrir a un asesoramiento externo, vamos a ver un asunto ms complejo: qu es y de qu se compone el Documento de Seguridad que toda pyme que mantenga ficheros con datos de carcter personal ha de redactar y tener a disposicin de la inspeccin de la Agencia Espaola de Proteccin de Datos (AEPD). El Real Decreto 1720/2007, Reglamento de desarrollo de la LOPD, establece las medidas de ndole tcnico y organizativo que los responsables de los los ficheros y los encargados de tratamiento han de implantar para garantizar la seguridad en los ficheros, los centros de tratamiento, locales, equipos, sistemas, programas y las personas que intervengan en el tratamiento de datos de carcter personal. Entre estas medidas, se encuentra la elaboracin de un documento que recoger las medidas de ndole tcnica y organizativa acorde a la normativa de seguridad vigente que ser de obligado cumplimiento para el personal con acceso a los datos de carcter personal. El documento deber contener, como mnimo, los siguientes aspectos: mbito de aplicacin del documento con especificacin detallada de los recursos protegidos. Medidas, normas, procedimientos de actuacin, reglas y estndares encaminados a garantizar el nivel de seguridad exigido en este reglamento. Funciones y obligaciones del personal en relacin con el tratamiento de los datos de carcter personal incluidos en los ficheros. Estructura de los ficheros con datos de carcter personal y descripcin de los sistemas de

informacin que los tratan. Procedimiento de notificacin, gestin y respuesta ante las incidencias. Los procedimientos de realizacin de copias de respaldo y de recuperacin de los datos en los ficheros o tratamientos automatizados. Las medidas que sea necesario adoptar para el transporte de soportes y documentos, as como para la destruccin de los documentos y soportes, o en su caso, la reutilizacin de estos ltimos. En caso de que fueran de aplicacin a los ficheros las medidas de seguridad de nivel medio o las medidas de seguridad de nivel alto, previstas en este ttulo, el documento de seguridad deber contener adems: La identificacin del responsable o responsables de seguridad. Los controles peridicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento. Adems cuando exista un tratamiento de datos por cuenta de terceros, el documento de seguridad deber contener la identificacin de los ficheros o tratamientos que se traten en concepto de encargado con referencia expresa al contrato o documento que regule las condiciones del encargo, as como de la identificacin del responsable y del perodo de vigencia del encargo. El documento de seguridad deber mantenerse en todo momento actualizado y ser revisado siempre que se produzcan cambios relevantes en el sistema de informacin, en el sistema de tratamiento empleado, en su organizacin, en el contenido de la informacin incluida en los ficheros o tratamientos o, en su caso, como consecuencia de los controles peridicos realizados. En todo caso, se entender que un cambio es relevante cuando pueda repercutir en el cumplimiento de las medidas de seguridad implantadas. En los siguientes posts de la Gua LOPD veremos cmo redactar el mbito de aplicacin, las Medidas que se han de implantar para garantizar los niveles de seguridad y los Anexos que han de complementar el Documento de Seguridad.

Guas prcticas de la LOPD (VI): mbito y Medidas del Documento de Seguridad

Para comenzar a redactar el Documento de Seguridad al que hacamos referencia en el anterior post de la serie, el responsable del fichero habr de definir el mbito de aplicacin del documento, es decir, indicar a qu ficheros con datos de carcter personal se aplica, ya que la ley autoriza a redactar un documento por cada fichero o uno genrico para todos los ficheros de la entidad, siendo ste el caso ms usual en una pyme. Asimismo habr que indicar cul es el nivel de seguridad (bajo, medio o alto) a aplicar a cada fichero atendiendo a la naturaleza de la informacin tratada, en relacin con la menor o mayor necesidad de garantizar la confidencialidad y la integridad de la informacin, indicando tambin si se trata de sistemas automatizados, manuales o mixtos. Sin embargo el grueso del texto ser la descripcin de las medidas, normas, procedimientos, reglas y estndares encaminados a garantizar los niveles de seguridad exigidos en el documento. Hay que distinguir esta parte del documento de los Anexos que se incluyen al final del mismo. Es en estos Anexos dnde se indicarn los listados y registros que hay que mantener actualizados, mientras que aqu estamos estableciendo las medidas tomadas para garantizar y proteger los datos de carcter personal, digamos las reglas del juego.

Sea cual sea el nivel de proteccin exigido, el Documento de Seguridad deber incluir estos apartados: Identificacin y autenticacin. Control de accesos. Gestin de soportes y documentos. Acceso a datos a travs de redes de comunicaciones. Rgimen de trabajo fuera de los locales de ubicacin del fichero. Ficheros temporales o copias de trabajo de los documentos. Funciones y obligaciones del personal y procedimiento de informacin. Procedimientos de notificacin, gestin y respuesta ante incidencias. Procedimientos de revisin. Procedimiento de registro de accesos. Procedimiento de registro de entrada y salida de soportes. Criterios de archivo. Almacenamiento de la informacin. Custodia de soportes. Mecanismos de cifrado. Traslado de documentacin. Copias de respaldo y recuperacin. Responsable de seguridad. Procedimiento de auditora.

En el caso de ficheros de nivel medio o alto, se aadir adems:

Como ya indicaba, algunos de estos procedimientos generan la obligacin de mantener listados (personal con acceso a datos, autorizaciones, copias de seguridad, etc) que se incorporan al Documento de Seguridad como Anexos. En el siguiente post de la serie veremos qu Anexos son y la obligacin de mantenerlos actualizados.

Guas prcticas de la LOPD (VII): Anexos al Documento de Seguridad

Por una parte tenemos que buena parte de la informacin que sobre la entidad responsable de un fichero con datos de carcter personal queda recogida en el Documento de Seguridad es de carcter dinmica, es decir, puede verse modificada en el tiempo. Esta informacin, normalmente en forma de listados, suele recogerse en diferentes Anexos al documento. Por otro lado, el artculo 7 del Reglamento de desarrollo de la LOPD dice: El documento de seguridad deber mantenerse en todo momento actualizado (...). Nos encontramos entonces con que la mayor complejidad en la gestin del Documento de Seguridad no est tanto en su redaccin como en su mantenimiento. Veamos de qu se componen estos Anexos y qu cambios han de reflejar. Es importante aclarar que el Reglamento LOPD no impone un listado taxativo de estos Anexos, sino que indica la obligacin de mantener actualizadas una serie de informaciones requeridas, y por lo tanto existe cierta flexibildad a la hora de redactar estos documentos. Esta es una propuesta para

organizarlos y agruparlos de una forma lgica: Descripcin de ficheros: nombre del fichero o tratamiento, descripcin; unidad/es con acceso al fichero o tratamiento; identificador del Registro General de Proteccin de Datos de la AEPD; nivel de medidas seguridad a adoptar (bsico, medio o alto); Cdigo Tipo y otras leyes aplicables (si las hubiere); procedimiento y servicio ante el que puedan ejercitarse los derechos de acceso, rectificacin, cancelacin y oposicin; descripcin detallada y periodicidad de las copias de respaldo y de los procedimientos de recuperacin; relacin de usuarios con acceso autorizado; funciones del personal con acceso a los datos personales; descripcin de los procedimientos de control de acceso e identificacin, y el responsable de seguridad (ste ltimo dato slo para niveles medio o alto). Nombramientos: que afecten a los diferentes perfiles incluidos en este documento, como el del responsable de seguridad. Autorizaciones de salida o recuperacin de datos: autorizaciones que el responsable del fichero ha firmado para la salida de soportes que contengan datos de carcter personal, as como aquellas relativas a la ejecucin de los procedimientos de recuperacin de datos. Inventario de soportes y registro de salida y entrada: los soportes debern permitir identificar el tipo de informacin, que contienen, ser inventariados y almacenarse en un lugar con acceso restringido al personal autorizado para ello. Adems en los niveles medio y alto es obligatorio llevar un registro de salida y entrada de cada soporte. Registro de incidencias: las que se produzcan en cualquier fichero y puedan afectar a la integridad y seguridad de la informacin. Encargados del tratamiento: recoger aqu el contrato que establecer expresamente que el encargado de tratamiento tratar los datos conforme a las instrucciones del responsable del los ficheros, que no los aplicar o utilizar con fin distinto al que figure en dicho contrato, y que no los comunicarn, ni siquiera para su conservacin a otras personas. El contrato estipular las medidas de seguridad que el encargado del tratamiento esta obligado a implementar. En el caso de que la empresa tenga frecuentes cambios en estas reas puede ser conveniente automatizar los listados mediante alguna aplicacin informtica.

Guas prcticas de la LOPD (VIII): la auditoria en proteccin de datos

El Real Decreto 1720/2007, Reglamento de desarrollo de la LOPD, dice en su artculo 96: 1. A partir del nivel medio los sistemas de informacin e instalaciones de tratamiento y almacenamiento de datos se sometern, al menos cada dos aos, a una auditora interna o externa que verifique el cumplimiento del presente ttulo. En este caso, al igual que comentaba respecto al Documento de Seguridad, una pyme habr de valorar con prudencia las alternativas de confeccin de esta auditora, ya que el Reglamento autoriza a que sea la propia empresa quien realice el oportuno estudio (auditora interna o externa), pero eso no le rebaja el nivel de exigencia, ya que como indica el mismo artculo en el prrafo 3: Los informes de auditora (...) quedarn a disposicin de la Agencia Espaola de Proteccin de Datos o, en su caso, de las autoridades de control de las comunidades autnomas.

Ya sea porque se ha decidido la opcin interna, o para revisar el encargo externalizado, conviene repasar en qu consiste y de que se compone la auditora en proteccin de datos. El artculo 96 del Reglamento seala: 2. El informe de auditora deber dictaminar sobre la adecuacin de las medidas y controles a la Ley y su desarrollo reglamentario, identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias. Deber, igualmente, incluir los datos, hechos y observaciones en que se basen los dictmenes alcanzados y las recomendaciones propuestas. Por lo tanto la primera fase consistir en recopilar informacin acerca del grado de mantenimiento y cumplimiento del Documento de Seguridad, y en especial de los apartados Funciones y Obligaciones del Personal; Almacenamiento de la informacin; Registros de incidencias, accesos, copias de seguridad, salida de soportes y en general todos los listados de los Anexos comentados en el post anterior, con especial atencin a la relacin de usuarios autorizados y al inventario de soportes. Con esta informacin se proceder a la redaccin del informe, que deber dictaminar sobre: Adecuacin de las medidas y controles establecidas a lo dispuesto en el Ttulo VIII del Reglamento. Identificacin de deficiencias y propuesta de medidas correctoras o complementarias. Incluir los datos, hechos y observaciones en que se basen los dictmenes alcanzados y recomendaciones propuestas. Ser analizado por el responsable de seguridad, y elevar sus conclusiones al responsable del ficheros para que adopte las medidas adecuadas. Deber quedar a disposicin de la Agencia Espaola de Proteccin de Datos. Por lo tanto se trata no slo de revisar los aspectos documentales (que tenemos en orden y actualizados todos los papeles) sino de comprobar las polticas activas de la compaa a todos los niveles, para evitar que el cumplimiento de la LOPD (que es continuo puesto que en ningn momento se puede dejar de utilizar datos de carcter personal) se olvide con el paso del tiempo. Como hemos dicho, esta auditora deber repetirse cada dos aos, pero el Reglamento indica adems: Con carcter extraordinario deber realizarse dicha auditora siempre que se realicen modificaciones sustanciales en el sistema de informacin que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptacin, adecuacin y eficacia de las mismas. Esta auditora inicia el cmputo de dos aos sealado en el prrafo anterior. La auditora en proteccin de datos en un requisito de obligado cumplimiento para toda pyme que almacene datos de carcter personal de nivel medio o alto, pero adems es una excelente oportunidad para revisar todos los procedimientos y polticas implantadas en una rea tan sensible para cualquier empresa como es la proteccin de datos.

Guas prcticas de la LOPD (X): Videovigilancia

Es un hecho que salta a la vista la generalizacin en los ltimos aos del uso de la videovigilancia en las empresas. Ya sea con el fin de vigilar los accesos, de garantizar la seguridad de las instalaciones o de controlar a los empleados, el caso es que cmaras cada vez ms precisas, diminutas y en algunos casos disimuladas, proliferan y se reproducen provocando muchas veces inquietud en el ciudadano, que se siente vigilado como en el clsico 1984 por el ojo del Gran Hermano que todo lo ve. Y hay que tener en cuenta que la vulneracin de las normas de proteccin de datos que hacen referencia a la videovigilancia es uno de los motivos ms frecuentes de denuncia de los afectados y sancin por parte de la Agencia Espaola de Proteccin de Datos (AEPD), que suele ser de entre 600 y 1.200 euros la primera ocasin, pero que en caso de reincidencia puede llegar a los 60.000 euros. Veamos entonces cules son las implicaciones legales en proteccin de datos del uso de videovigilancia. Ante todo hay que aclarar que segn la ley slo se considerar admisible la instalacin de cmaras o videocmaras cuando la finalidad de vigilancia no pueda obtenerse mediante otros medios que, sin exigir esfuerzos desproporcionados, resulten menos intrusivos para la intimidad de las personas y para su derecho a la proteccin de datos de carcter personal. Por lo tanto habremos de ponderar las necesidades de seguridad, sus costes y la posibilidad de utilizar otros recursos, pero si finalmente decidimos optar por la videovigilancia estos los aspectos que habremos de tener en cuenta. Inscripcin del fichero. La primera cuestin a tener clara es si se trata de un sistema que graba o no las imgenes captadas. En el caso de que se mantenga el registro (durante el plazo mximo durante un mes) estaremos ante un fichero de datos personales y por descontado, la creacin de un fichero de videovigilancia exige su previa notificacin a la AEPD, para la inscripcin en su Registro General. Instalacin. Toda instalacin deber respetar el principio de proporcionalidad, lo que en definitiva supone prevenir interferencias injustificadas en los derechos y libertades fundamentales. Es decir, que debemos asegurarnos que el rea de cobertura de las cmaras no vaya ms all de las instalaciones a proteger o vigilar, sin filmar zonas pblicas salvo que resulte imprescindible. Informacin. Como siempre uno de los aspectos ms importantes de cualquier asunto relacionado con la LOPD. Todo responsable de un sistema de videovigilancia deber colocar, en las zonas videovigiladas, al menos un distintivo informativo ubicado en lugar suficientemente visible, tanto en espacios abiertos como cerrados, y por otro lado deber tener a disposicin de los/las interesados/as impresos en los que se detalle la informacin acerca de sus derechos y la identidad del responsable del fichero ante quien ejercerlos. Seguridad y secreto. El responsable deber adoptar las medidas de ndole tcnica y organizativas necesarias que garanticen la seguridad de los datos y eviten su alteracin, prdida, tratamiento o acceso no autorizado. Asimismo cualquier persona que por razn del ejercicio de sus funciones tenga acceso a los datos deber de observar la debida reserva, confidencialidad y sigilo en relacin con las mismas. El responsable deber informar a las personas con acceso a los datos de su deber de secreto. Empresa externa. En el caso de que la videovigilancia vaya a ser subcontratada con un empresa de seguridad, adems de asegurarnos de que sea una empresa legalmente autorizada para realizar tal actividad, hay que tener en cuenta que al disponer de acceso a los datos de carcter personal de los que somos responsables, se convertir en un encargado del tratamiento con el que deberemos firmar el correspondiente contrato de tratamiento. Te has planteado o ests ya usando sistemas de videovigilancia en tu negocio? Conocas estas

implicaciones legales?

Guas prcticas de la LOPD (X): Los cinco pilares de la proteccin de datos

En la presentacin de esta serie deca: Como complemento a la serie de Conceptos Bsicos sobre proteccin de datos, iniciamos hoy otra bajo el epgrafe Guas Prcticas, con el propsito de aadir a la visin terica de la LOPD diferentes anlisis de sus consecuencias practicas en las pymes. Con esta entrada damos por culminada la serie (que no el tema, que seguir siendo tratado en el blog). Si el propsito sealado se cumpli o no, es un juicio que queda en manos del lector. Pero antes de terminar es bien sabido que la visin microscpica, cuando uno acerca mucho la mirada al objeto de su estudio y magnifica cada detalle, pone al descubierto todos los inconvenientes y la complejidad de cada asunto. Y sin duda es un trabajo que hay que hacer, pero conviene tambin de vez en cuando volver a una visin telescpica, alejarse para tener una perspectiva de conjunto y que los rboles no te impidan ver el bosque. Por lo tanto, a modo de visin global: los cinco pilares de la proteccin de datos. La documentacin es importante. Como ya hemos sealado, buena parte de la documentacin generada por las exigencias del Reglamento de Medidas de Seguridad que complementa la LOPD, y en especial el Documento de Seguridad, es de carcter dinmico, es decir, refleja hechos y circunstancias, como empleados con acceso a datos o terminales informticos, que no es extrao que se modifiquen en el tiempo. Adems hay que incluir en este captulo los registros de copias de seguridad, salida de soportes informticos, contratos con terceros, etc Deberemos crear por lo tanto un procedimiento de revisin, al menos de periodicidad mensual, de esta documentacin. La documentacin no es lo ms importante. La LOPD no naci con el objetivo de inundar de papeles las pymes ni de dar una linea de negocio aadido a las consultoras, sino para defender el derecho a la intimidad de las personas fsicas, y donde hace especial hincapi en las exigencias no es tanto si tal o cual papel es jurdicamente perfecto. Donde la ley se muestra especialmente exigente es en el concepto del consentimiento: es necesario el permiso de las personas para poder tratar sus datos dentro de la legalidad y adems deberemos informar en cada caso, de modo explcito, de los derechos ARCO que la ley otorga a cada ciudadano. Implica a los empleados. Cumplir con la LOPD no es una cuestin que se pueda resolverse en el despacho del gerente. Ms all de una simple ley significa un cambio de orden casi cultural que necesariamente ha de implicar a los empleados, ya que al final de la cadena son ellos los que tratan la informacin, los que envan los correos electrnicos, los que preparan presupuestos o llevan anlisis mdicos de una unidad a otra. La formacin es una etapa fundamental del cumplimiento. Y a tus clientes tambin. Segn datos del Centro de Investigaciones Sociolgicas (CIS), casi el 80% de los espaoles est bastante o muy preocupados por lo que se hace con sus datos personales. Y tus clientes? Seguro que tambin. Aprovecha este clima social de inquietud y convierte la obligacin legal en una ventaja para la imagen de tu empresa. Dile a tus clientes: Conmigo no tienes que preocuparte. Somos un empresa seria, cumplimos la

LOPD. Tus datos estn seguros conmigo. El valor de la seguridad. Le has puesto cerradura a la oficina y al almacn? Y en qu BOE est escrito esta exigencia? No ha hecho falta verdad?, simplemente has decidido proteger tus bienes y no necesitas que ningn gobierno dicte una ley para obligarte a ello, lo haces por tu propia seguridad. Y cmo tienes los datos? (en muchos casos el activo ms importante de la empresa). Vas a esperar a que la ley te obligue para tomarte en serio proteger uno de tus bienes mas preciosos: la informacin? Antivirus, firewall, copias de seguridad, y otras exigencias de la LOPD, deberan en cualquier caso ser parte de las polticas habituales y activas de cualquier pyme. Se cumple ya en tu empresa la LOPD? Te ayudaron en alguna forma estas Guas Prcticas?

Gua sobre cmo adaptarse a la normativa de proteccin de datos

El Observatorio de la Seguridad de la Informacin de INTECO publica esta gua para que la empresa, y muy particularmente la pequea y mediana empresa (PYME), se familiarice con la proteccin de datos: por qu es necesario proteger los datos de los ciudadanos, qu obligaciones afectan a la empresa y qu beneficios para el negocio se derivan de su adopcin. Adems, ofrece pautas bsicas para la implementacin de la normativa, estableciendo el marco general definido en la LOPD y RDLOPD y detallando las disposiciones y obligaciones concretas que afectan a las empresas. Las empresas, en su calidad de agentes que manejan y tratan datos de carcter personal, estn obligadas a garantizar el derecho fundamental a la proteccin de los datos personales de que disponen. La normativa no contempla excepciones por tamao, facturacin o sector de actividad, de forma que cualquier empresa est incluida en el mbito de aplicacin de la legislacin, siempre que trabaje con ficheros con datos personales. El nivel de exigencia en cuanto al cumplimiento de la LOPD es el mismo para todas las empresas, sin que se establezcan criterios distintos dependiendo de si es una gran empresa o una microempresa. La LOPD establece un marco general para todos y debe ser cumplida por todos. La adaptacin a la normativa sobre proteccin de datos es un trabajo que exige una monitorizacin y seguimiento constantes. Por ello el esfuerzo por parte de la empresa ha de ser decidido y continuado. Lo que se ofrece en esta gua son unas pautas para las pymes que todava no se hayan iniciado en la proteccin de los datos personales.

 Fase I. Adaptacin de ficheros: una de las principales implicaciones que la normativa sobre proteccin de datos tiene para las empresas es la necesidad de notificar sus ficheros ante el Registro de la AEPD. Para ello, como paso previo, es necesario que la empresa identifique los datos de carcter personal que se estn manejando en su mbito y cmo se encuentran stos organizados (ficheros automatizados, no automatizados, mixtos). Fase II. Legitimacin de datos: todos los datos de carcter personal recogidos por la empresa, deben contar con el consentimiento del afectado, as como cumplir una serie de principios y obligaciones bsicas previstas en la normativa, que se tratarn en detalle en este apartado. Fase III. Polticas de seguridad de datos: la LOPD y el RDLOPD establecen una serie de medidas de carcter tcnico y organizativo que garanticen la seguridad de los datos de carcter personal, que habrn de adoptarse por la empresa o profesional que almacene estos datos. Entre estas medidas se incluye la elaboracin de un documento de seguridad en el que se detallarn los datos almacenados, las medidas de seguridad adoptadas, as como las personas que tienen acceso a esos datos. Tras haber repasado la gua, mi opinin personal es que efectivamente puede ser muy til como iniciacin en el cumplimiento de los aspectos jurdicos de la LOPD y su Reglamento de desarrollo para aquellas pymes que no hayan implantado an la proteccin de datos, pero se queda corta como instrumento de control posterior (probablemente tampoco era esa la intencin de sus autores), y sobre todo parece olvidar un aspecto fundamental: la formacin de los empleados que manejan los datos dentro de la empresa en el da a da. No me cansar nunca de advertir que las mayores sanciones en proteccin de datos no se producen porque en la empresa falte tal o cual documento, sino por vulnerar los derechos individuales de las personas fsicas en el uso de la informacin, y esto difcilmente se resuelve con documentos: es una cuestin ms cultural que legal, ms de conocimientos que de papeles.