LOPD – Ismael Lozano Latorre

En el anterior Post de esta serie que estoy escribiendo sobre la Ley de Protección de Datos os hablé de los distintos niveles de Protección, hoy, vamos a hablar sobre el documento fundamental que se debe crear en la implantación, el Documento de Seguridad, sea cual sea el nivel de nuestros ficheros de datos.

Antes que nada quisiera matizar que para llevar a cabo la implantación de la Ley de Protección de Datos en tu empresa (respondiendo a una pregunta que he recibido por e-mail) no es necesario tener ningún tipo de titulación, no debes ser Abogado, Ingeniero ni astronauta, lo puedes hacer tu mismo, lo único que debes hacer es seguir las indicaciones que marca la legislación aplicable (La Ley Orgánica 15/1999 de 13 de Diciembre de Protección de Datos de carácter personal y Real Decreto 1720/2007 de 21 de Diciembre que desarrolla las medidas de seguridad en el tratamiento de datos de carácter personal) cuyas directrices principales estoy explicando en esta serie de Post.

Hablando del Documento de Seguridad comentaros que es un documento interno que deberéis elaborar con independencia del nivel de seguridad de vuestros ficheros porque es exigible y obligatorio.

¿Qué debe contener este documento?

La legislación nos habla del contenido mínimo que debe incluir este documento:

Ámbito de aplicación:
Medidas, normas, procedimientos, reglas y estándares de seguridad:
Funciones y obligaciones del personal:
Estructura y descripción de los ficheros y sistemas de información.
Procedimiento de notificación, gestión y respuesta ante incidencias
Procedimiento de copias de respaldo y recuperación de datos
Medidas adoptadas en el transporte, destrucción y/o reutilización de soportes y documentos.

A nivel medio y alto, además de los anteriores se deberán incluir en el Manual de Seguridad los siguientes puntos:

Identificación del responsable de seguridad.
Control periódico del cumplimiento del documento.

Si estás pensando en implantar la LOPD por ti mismo ¡No te asustes con esto! En la práctica es mucho más fácil de lo que parece a primera vista, en la página de la Agencia Española de Protección de Datos puedes encontrar un ejemplo de este Documento de Seguridad que te puede servir como guía, aunque como bien matiza, es básico, no garantiza que recoja las peculiaridades propias de cada empresa, por lo tanto habrá que personalizarlo.

¿Qué quiero decir con esto? Pues igual que os digo a vosotros que debéis personalizar vuestro manual, todas esas empresas que os visitan que os prometen que os lo van a implantar también deberían hacerlo. Si has subcontratado el servicio ¡No aceptes un Manual de Seguridad que no esté personalizado y adaptado a tu empresas! Hay consultores que simplemente llegan a tu empresa con un CD o un puñado de folios tipo diciéndote que es el Manual de Seguridad, si no han visitado tu empresa y analizado todos los puntos aplicables no está personalizado.

Espero que este segundo Post os haya servido para apr oximaros un poco más a la LOPD, como ya os he comentado, no hace falta ser astronauta para entenderla, sólo se trata de dedicarle un poco de paciencia.

Os recuerdo que os podéis hacer seguidores del Blog si introducís vuestro correo electrónico en la columna de la derecha y así os llegará una notificación cuando se publiquen los siguientes Post.

Gracias.

Todos hemos oído hablar de la Ley de Protección de Datos y sabemos que es obligatoria para TODAS las empresa pero… ¿Realmente sabes que implica y cuáles son tus obligaciones?.

Hoy en día son muchas las consultas que recibo al respecto, sobre todo de clientes que han recibido visitas de comerciales ofreciéndoles servicios de mantenimiento e implantación de la Ley de Protección de Datos (LOPD) por precios que a veces parecen impensables pero que muchos de ellos se cuestionan por desconocimiento del trabajo que van a realizar o incluso, en otros casos, vendiéndoles servicios (como auditorias internas) sin ser necesarios en algunos de los casos.

¿A que nos obligas la LOPD? ¿Qué debemos hacer para cumplirla?.

Para resolver esta y otras cuestiones os invito a leer los Post sobre LOPD que voy a ir colgando en mi blog, siendo éste el primero de ellos y que espero os sea de utilidad y poder ir contestando vuestras preguntas.

Antes de nada ¿Cuál es el marco legal?

La Ley Orgánica 15/1999 de 13 de Diciembre de Protección de Datos de carácter personal.
Real Decreto 1720/2007 de 21 de Diciembre que desarrolla las medidas de seguridad en el tratamiento de datos de carácter personal.

A partir de ahí, y partiendo de la legislación, vamos a ver cómo se clasifican las empresas según la LOPD porque las medidas de seguridad y obligaciones serán distintas en función de que tipo de datos de carácter personal manejemos.

Las medidas de seguridad exigibles se clasifican en tres niveles: BASICO, MEDIO y ALTO.

Antes que nada deberás clasificar los distintos ficheros que tu empresa maneja (datos de clientes, proveedores, personal…) y ver a que rango de esa clasificación pertenecen, porque si son Altos las medidas que se deberán tomar y las acciones serán mucho más específicas que si son bajos.

¿Qué nos dice la legislación?

NIVEL ALTO:

La base de datos o su tratamiento contiene ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual entre otros, siendo estos los más usuales.

Si lo analizamos fríamente podríamos decir que todas las empresas tendrían en este caso datos de nivel alto, recordad por ejemplo que en recursos humanos se disponen datos del grado de minusvalía de los trabajadores, pero como ya veremos más adelante esta es una de las excepciones.

Ejemplos claros de empresas que tengan este tipo de ficheros de sus clientes por ejemplo son las clínicas.

NIVEL MEDIO:

Relativos a la comisión de infracciones administrativas o penales, de Administraciones tributarias y que se relacionen con el ejercicio de sus potestades tributarias (impuestos), de entidades financieras para las finalidades relacionadas con la prestación de servicios financieros y de entidades gestoras y servicios comunes de Seguridad Social.

Leyendo esto se ve claro por ejemplo que tanto Asesorías Fiscales, Contables, Laborales y/o bancos dispondrán de este tipo de ficheros.

NIVEL BÁSICO:

Cualquier otro fichero que contenga datos de carácter personal.

Y ahora hablamos de las excepciones que hablamos antes….

Y también aquellos ficheros que contengan datos de ideología, afiliación sindical, religión, creencias, salud, origen racial o vida sexual cuando:

Los datos se utilicen con la única finalidad de realizar una transferencia dineraria a entidades de las que los afectados sean asociados o miembros, por ejemplo, tenemos esos datos de nuestro personal pero sólo los usamos para pagar las nóminas.
Se trata de ficheros no automatizados o sean tratamientos manuales de estos tipos de datos de forma accidental o accesoria que no guarden relación esos ficheros, por ejemplo, si un señor me entrega su currículo vitae y entre sus datos personales me incluye que es judío ¡No por eso voy a dar de alta un fichero de nivel alto! Se trata de esta excepción… Ahora bien… Si lo informatizas y usas esa información para algo más si hablaríamos de ALTO.
En los ficheros o tratamientos que contengan datos de salud que se refieran exclusivamente al grado o condición de discapacidad o la simple declaración de invalidez, con motivos del cumplimiento de deberes públicos. Como ya comentamos anteriormente.

Espero que esta pequeña introducción os haya servido de ayuda para aclarar algunos conceptos sobre el nivel de seguridad exigible en tus ficheros, en el próximo Post de LOPD os hablaré del Documento de Seguridad que es obligatorio sea cual sea el nivel de seguridad.

Quedo a vuestra disposición para cualquier pregunta,

Si queréis recibir una notificación en vuestro email cuando se publique el siguiente artículo sólo tenéis que suscribiros al blog (es gratuito jeje)

Etiqueta: LOPD

¿Qué sabes de la Ley de Protección de Datos? Parte 2: Documento de Seguridad

¿Qué sabes de la Ley de Protección de Datos? Parte I: Niveles de Protección

NIVEL ALTO:

NIVEL MEDIO:

NIVEL BÁSICO: