Introducción a la LOPD y guía de implementación
Desde el año 1999, en el que se aprobara la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de carácter personal (LOPD), la legislación española quedó homologada con la Europea en lo referido a la protección de archivos que contengan información de carácter personal. Sin embargo, 8 años después, el nivel de difusión y cumplimiento de las medidas reguladoras es insuficiente
La AGPD estima que sólo el 10% de las PYMES españolas cumplen con la legislación. Curiosamente, muchas de estas empresas ya incorporan a su operativa diaria la inmensa mayoría de las obligaciones que establece la ley. En este artículo se hace un recorrido por los aspectos principales de la norma, de modo que quien quiera adaptarse a la LOPD disponga de una buena referencia. En la mayoría de los casos, basta una semana para lograrlo.
Inscripción del fichero
La primera obligación de toda persona que tenga ficheros que contenga información de carácter personal es la de registrarlos en la Agencia española de Protección de Datos. El registro deberá realizarlo el Responsable del Fichero, que es aquella persona con capacidad de decidir sobre la finalidad, contenido y uso de los datos incluidos en su fichero. Además, es la persona jurídicamente responsable de la seguridad de la información.
El proceso de inscripción debe realizarse ANTES de iniciar cualquier tratamiento de dicho fichero, y repetirse siempre que se modifique la estructura de la información o las finalidades de su tratamiento, de modo que la AGPD disponga siempre de información actualizada. El trámite es gratuito y puede realizarse completando el formulario de registro por Internet, si disponemos de firma digital, o por correo postal. La AGPD resolverá sobre la solicitud y en unos días nos remitirá una resolución informándonos si proceden a la inscripción del fichero o no.
Al realizar este trámite, el Responsable del Fichero deberá indicar qué datos de carácter personal se recogerán en el fichero y con qué finalidad. Cabe recordar que la LOPD establece los siguientes límites al tratamiento de dicha información:
- El tratamiento de datos personales debe realizarse para fines legítimos. Dichos fines deberán declararse de forma explícita y concreta, y el tratamiento deberá ceñirse a los fines declarados.
- Deben recogerse los mínimos datos necesarios, y todos ellos deberán ser adecuados y pertinentes para el objetivo del tratamiento que sobre ellos se realice.
Además de la inscripción de los ficheros, la LOPD obliga a crear un Documento de Seguridad, donde se recojan todas las medidas técnicas y organizativas destinadas a garantizar la Confidencialidad, Integridad y Disponibilidad de los datos. Dicho documento debe ser mantenido a día y conocido por todas las personas con acceso a la información de carácter personal. El Responsable del Fichero deberá dirigir la implantación y comprobar el cumplimiento de todas las medidas de seguridad recogidas en el mismo.
La Agencia de Protección de Datos de la Comunidad de Madrid tiene en su web modelos de Documento de Seguridad de nivel básico, medio y alto. Aunque dichos documentos están destinados a Organismos Públicos, son un buen ejemplo para elaborar un documento de Seguridad propio.
Medidas de seguridad respecto a la información
La inmensa mayoría de incidencias de seguridad relacionadas con ficheros que contienen datos de carácter personal se deben a la manipulación negligente o malintencionada de los ficheros. Tristemente famosos son los casos de cientos de solicitudes de empleo abandonadas en la basura con anotaciones, o el caso de CC.OO, donde un trabajador estaba compartiendo, a través de un programa de descargas de películas, un fichero con los datos de 20.000 personas que habían asistido a cursos del sindicato.
La falta o desconocimiento de los procedimientos de seguridad de la información es un riesgo real, que puede causar importantes pérdidas a cualquier empresas. En este sentido, cabe señalar que la seguridad de la información no debe limitarse a los datos personales, protegidos por la LOPD, sino que se debe proteger toda la información de la empresa. ¿Cuanto estaría dispuesto a pagar por recuperar la información destruida si se incendiara su oficina? ¿Y por recuperar los ficheros de clientes o facturación si hubieran caído en manos de sus competidores? ¿Y por minimizar la posibilidad de ser sancionado con multas de hasta 601.012,10€ limite máximo que establece la LOPD?.
La inversión en seguridad de la información es vital para toda empresa, ya que si desapareciera, se alterase o se divulgase, afectaría muy negativamente a cualquier actividad que desarrollemos. Todo Responsable, ya sea del Fichero o de Seguridad, debe evaluar qué nivel de riesgo desea asumir, e incorporar aquellas medias de protección que le ofrezcan el nivel de seguridad deseado dentro de su presupuesto. No obstante, existen medidas que toda organización está obligada a cumplir.
El actual Reglamento de Medidas de Seguridad (RD 994/1999), que será sustituido a finales de año por otro reglamento que desarrollará la LOPD, establece tres niveles de seguridad para los ficheros, en función de los datos contenidos en ellos, y una serie de medidas que el Titular del fichero deberá implementar para cada nivel. La AGPD ha realizado un cuadro resumen muy util, en el que se recogen los criterios de clasificación y las medidas de seguridad para cada nivel. Entre las medidas de carácter organizativo,comunes a todo fichero con datos personales encontramos las siguientes:
- Establecer contractualmente la obligación de proteger la información de la organización. Deben incluirse cláusulas que informen del deber de proteger la información, y las consecuencias de no hacerlo, en los contratos de trabajo de los empleados y en los contratos comerciales cuando otras empresas tengan acceso al contenido de los ficheros de datos.
- Informar y formar sobre las medidas de seguridad de la información. Todo el mundo con acceso a la información debe tener acceso inmediato a una copia actualizada del las secciones del Documento de Seguridad que sean aplicables a su caso, y conocer las medidas de seguridad recogidas en el mismo.
- Implementar controles efectivos de acceso a la información, de modo que no quede expuesta en ningún momento a lo largo de su tratamiento. Esto incluye desde la creación de una política de contraseñas y la asignación a cada usuario del acceso estrictamente necesario para las funciones que realiza, hasta el almacenamiento seguro de copias de seguridad y destrucción de los soportes cuando dejan de ser necesarios, incluidos los discos duros de los equipos informáticos que se deshechan.
- Crear un registro de incidencias y documentar todas aquellas que se produzcan, de modo que se pueda investigar su origen, mitigar los perjuicios ocasionados y corregir posibles defectos en las medidas de seguridad.
- Desarrollar procedimientos para que las personas cuyos datos son objeto de tratamiento puedan ejercitar los derechos definidos en la LOPD.
Sin entrar a analizar en detalle las implicaciones de cada medida, la idea que subyace en la ley es la necesidad de implantar en toda organización una cultura compartida de la protección de la información.
Derechos de las personas cuyos datos son objeto de tratamiento
La LOPD confiere una serie de derechos a toda persona física cuyos datos son objeto de tratamiento en ficheros de datos. El primero y más importante es el derecho a ser informado de forma previa, precisa e inequívoca cuando se recaben datos personales. Se debe informar de la existencia del fichero de datos, la finalidad del mismo, y la identidad de su responsable y de quienes tendrán acceso a él.
Dicha información debe figurar en los diferentes medios utilizados para recabar datos personales. A este respecto cabe recordar que el tratamiento de datos personales requiere el consentimiento inequívoco del afectado, o la notificación al mismo en un plazo no superior a tres meses si los datos no se recavaron directamente del interesado.
Además del derecho de información, la LOPD recoge tres derechos más, de los que se debe informar a los afectados, así como de los mecanismos habilitados por la empresa para ejercitarlos:
- Derecho de Acceso: Derecho a obtener gratuitamente información de sus datos de carácter personal, su origen y las comunicaciones realizadas o que se prevén hacer de los mismos.
- Derecho de Rectificación y Cancelación: Derecho a modificar o cancelar la información de carácter personal errónea o incompleta, o cuyo tratamiento no se ajuste a la LOPD.
- Derecho de Oposición: Derecho a impugnar decisiones privadas que impliquen una valoración del comportamiento o afecten de manera significativa al interesado, y estén basadas únicamente en el tratamiento de datos de carácter personal.
El plazo para resolver las peticiones de Acceso es de 1 mes, y de 10 días en el resto de los casos, debiendo quedar constancia en el Libro de Incidencias cada vez que alguien haga ejercicio de alguno de estos derechos.
Conclusiones
Como hemos visto, las exigencias que establece la legislación en cuanto a proteción de datos de carácter personal no son complejas de implementar ni costosas. De hecho, son las medidas mínimas que tomaría cualquier persona consciente de la importancia que los sistemas de información tienen para el desarrollo de cualquier actividad.
Para su implantación no resultan necesarios grandes conocimientos técnicos ni legales, haciendo posible que cualquier PYME pueda adaptarse sin dificultad. No obstante, si necesita ayuda, Reinventia ofrece un servicio de adaptación a la LOPD a un precio muy competitivo.
