La LOPD en mi Empresa (i)

1. Introducción

Vamos a tratar de aclarar algunos aspectos básicos sobre la Ley Orgánica de Protección de Datos (también: LOPD), y sus implicaciones en la empresa o entidades (independientemente del tamaño, de éstas).

2. ¿Realmentue a mí empresa le afecta la LOPD?

Es una pregunta que todavía hoy se escucha a menudo. La respuesta, es que: “lo normal es que sí”. Partimos de la siguiente base: cualquier entidad que trate de manera organizada (es decir: recoja, almacene, consulte, etc.) datos personales, siendo éstos: cualquier dato relativo a una persona como puede ser su nombre, DNI, dirección, teléfono, etc., debe cumplir lo establecido en dicha ley.

Recalcamos el hecho de que se trata de “cualquier dato”, no sólo aquellos digamos “más sensibles”; no es necesario almacenar un dato de salud o creencia religiosa (por poner un par de ejemplos), para tener que cumplir los preceptos establecidos en la ley.

Algunas creencias equivocadas son:

  • Trabajo en una entidad pública, dicha ley no nos afecta.
  • Nuestra empresa es pequeña, no creo que estemos afectados.
  • Nosotros no tratamos datos personales, sólo los datos de trabajadores, clientes y proveedores.

La realidad es que pocas empresas y entidades funcionan sin datos de trabajadores y/o clientes/proveedores, por lo que realmente se puede decir que la mayoría de ellas, se ven afectadas.

3. ¿Por qué debo tomármelo en serio?

Temas éticos aparte, basta pensar que como ley, es de obligado cumplimiento, existiendo multas económicas importantes (desde 600 hasta 600.000€), además, del considerable daño para la imagen de la compañía en caso de un problema: pérdida de la confianza de nuestros clientes, proveedores, etc. Póngamonos en el caso de la venta (u operativa) on-line, una multa de la agencia podría hacer perder la confianza de nuestros clientes en la misma.

Es por esto que el incumplimiento debe considerarse como un riesgo financiero para la compañía (multas, daño de imagen…); la consultoría y la auditoría nos ayudan a limitar éste. Al igual que invertimos para limitar otros riesgos (colocamos cerraduras, alarmas, contratamos seguros…), el Cumplimiento Normativo, así como la Seguridad de la Información, deben ser tratados con seriedad entiendo la inversión en estos un ahorro (evito los costes derivados de un incumplimiento), en lugar de un coste.

4. ¿Qué requisitos tengo?

Existen varias obligaciones básicas que toda empresa, que trate datos personales, debe cumplir. Entre las más importantes:

Cumplimiento de requisitos legales

Entre los que se incluyen:

Inscripción de ficheros

Es imprescindible declarar ante la Agencia de Protección de Datos (también, “la agencia” o AGPD), los datos que tratamos, con qué fin, así como otros detalles sobre su tratamiento. La agencia llama fichero a cualquier colección lógica de datos. Debemos pensar en dicho fichero, no en términos informáticos (un fichero del sistema de ficheros) sino como concepto más amplio y abstracto. Digamos por ejemplo que el “fichero de clientes”, podría estar compuesto por una base de datos Oracle y diversas aplicaciones que acceden a él, o ser, a nivel interno, mucho más complejo, sin dejar de ser por eso, un único fichero: CLIENTES.

La Agencia de Protección de Datos, permite mediante el uso de aplicaciones de su página web la declaración de dichos ficheros, así como su edición o baja.

Deber de informar

Todo tratamiento de datos debe ser informado a los propietarios de los mismos, ya sean: trabajadores, clientes, etc. Deben ser conscientes de que estamos recogiendo dichos datos, el uso que les vamos a dar y cómo deben actuar en caso de querer actualizarlos, u oponerse a dicho tratamiento.

Establecimientos de contratos

Con los proveedores que traten los datos, o los sistemas que les dan soporte, para garantizar el cumplimiento de terceras partes, de la normativa.

Cumplimiento del Reglamento de Medidas de Seguridad

Dicho Reglamento, disponible en la propia web de la Agencia:

RD_1720_2007

Incluye las medidas que debemos aplicar dependiendo del nivel de seguridad (básico, medio, alto), de los datos contenidos en el mismo. Dichas medidas se aplican en diferentes áreas o dominios, como pueden ser: Funciones y Obligaciones del Personal, Copia de Respaldo y Recuperación

Entre las medidas se incluye, la creación e implantación de un Documento de Seguridad, que no es sino la Política de Seguridad de la entidad, la cual debe recoger todos los aspectos implantados para la Seguridad de la Información de carácter personal.

Dicho documento, debe ser divulgado y comprendido por todo el que trate datos personales.

Auditoría

Es una obligación establecida para aquellos ficheros de nivel medio o alto. Implica la ejecución de un proceso de auditoría (interno o externo), mínimo cada dos años, o cuando los sistemas sufran cambios importantes, para revisar el cumplimiento del Reglamento de Medidas de Seguridad.

5. ¿En qué nos puede ayudar Chase The Sun?

Chase The Sun se dedica a diversos campos de la Seguridad Informática incluyendo el Cumplimiento Normativo. Con extensa experiencia en el campo de Protección de Datos, ayudamos continuamente a nuestros clientes en labores de consultoría (qué deben hacer para cumplir la normativa, o para adaptarse mejor a ella) y auditoría (revisión del estado, recomendaciones para el cumplimiento).
Puede utilizar nuestro formulario para solicitar más información:

6. Sobre el Autor

Jesús Arnáiz es Consultor de Seguridad en Chase The Sun S.L., entre otros ha trabajado en proyectos de Auditoría y Consultoría de Seguridad, Pruebas de Intrusión/Hacking Ético, Análisis Forense y Cumplimiento Normativo (LOPD, SOX, ENS…).

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*