LOPD 3.0: La gestión integral de riesgos LOPD

Transcripción

1 Cápsulas BB2B La Ley Orgánica 15/1999, de protección de datos de carácter personal, más conocida como LOPD, y el reglamento que la desarrolla, tienen un impacto muy importante en la forma en la que las organizaciones pueden llevar a cabo sus operaciones diarias. Pensar en esta reglamentación única y exclusivamente como la incorporación de cláusulas en los contratos o la mejora de la seguridad de algunas aplicaciones informáticas, es observar sólo la punta del iceberg. Su integración implica una nueva forma de definir procesos, aquella que incorpora la gestión integral de los riesgos LOPD.

2 2 El primero de los pasos imprescindibles para poder valorar el impacto de la LOPD en nuestra organización, es conocer cuáles son los principios en los que se basa esta reglamentación. El derecho a la dignidad de las personas Dato de carácter personal: aquél que identifica o puede identificar a una persona Nuestras normas legales básicas, el Tratado de la UE y la Constitución española, recogen entre su clausulado la necesidad de asegurar la dignidad de las personas. La aceptación y promoción de la libre circulación de mercancías, servicios, personas y capitales debe realizarse bajo un marco que permita la libre circulación de datos personales garantizando la protección de las libertades y los derechos fundamentales. Con este objetivo nace la directiva 95/46/CE que recoge esta preocupación por la protección de la dignidad de las personas y en particular de sus datos. Esta norma debe ser traspuesta en cada uno de los miembros de la Unión de forma que se adapte a la realidad de cada estado miembro. De ahí nacen nuestra Ley Orgánica 15/1999, de Protección de datos de carácter personal y el Real Decreto 1720/2007, 7, de 21 de diciembre que la desarrolla. De esta premisa, sólo se puede obtener una conclusión: cualquier proceso de nuestra organización que incluya el tratamiento y gestión de datos personales, debe cumplir con los principios rectores de la ley. Se puede La trasposición realizada en España es considerada como la más restrictiva realizada, no sólo por encontrar más las sanciones que se imponen por la falta de su cumplimiento, sino también por su nivel de información de la exigencia y detalle. Para asegurar el cumplimiento de la ley y de los diferentes reglamentos que la AEPD y de muchos han desarrollado, se creó la Agencia Española de Protección de Datos (de ahora en adelante otros temas AEPD) que es el ente de derecho público que vela por el cumplimiento de la normativa sobre relevantes en su protección de datos personales en todos los ámbitos, público y privado, por lo que actúa con plena web: independencia de las Administraciones Públicas. De qué nos debemos ocupar? Son cuatro los derechos de los afectados: (A)cceso, (R)ectificación, (C)ancelación y (O)posición Como buenos gestores empresariales, lo que debemos hacer es ocuparnos y no preocuparnos por los asuntos que tenemos encima de la mesa: La falta de buenas prácticas (no es necesario alcanzar la excelencia) en materia de seguridad de la información y en especial en la gestión de los datos de carácter personal, incrementa el nivel de riesgo al que nos exponemos. El exceso de información de carácter personal no estrictamente asociada al fin por el que la hemos recabado implica, por una parte, una vulneración de la norma y por otro, un mayor riesgo en la gestión de esos dt datos. Informar al afectado antes de recabar sus datos ya que debe conocer que la organización dispone de estos datos y donde puede ejercer sus derechos ARCO. Esta gestión afecta a la organización en su conjunto y, por lo tanto, a procesos, tecnología, estructura organizativa e instalaciones. Cualquier ámbito es susceptible de tratar datos de carácter personal. El incumplimiento de la Ley y el Reglamento, además del daño que puede implicar en nuestra imagen,,puede conllevar una sanción de hasta El principal volumen de sanciones impuestas no proviene de un incumplimiento en lo que se consideran requerimientos mínimos (registro de los ficheros en la AEPD, elaboración del documento de Seguridad, adecuación de las medidas técnicas) sino del incumplimiento de la Ley en los procesos de gestión. Ver Figura 1.

3 3 Figura 1 Resoluciones 1 de la AEPD en 2009 Recurridas No recurridas Fuente: Datos AEPD, Elaboración propia 1 Resoluciones relativas a LOPD en 2009: 299, resto: 40 Art. 6 Consentimiento del afectado Art. 4 Calidad de los datos Art. 5 Derecho de información en la Art. 10 Deber de secreto Art. 9 Seguridad de los datos Art. 16 Derecho de rectificación y cancelación Art. 26 Notificación e inscripción registral Art. 11 Comunicación de datos Art. 7 Datos especialmente protegidos El nivel de madurez de nuestras organizaciones El nivel de madurez en materia LOPD es un indicador que ya ha sido definido por Inteco en su estudio titulado Estudio sobre la seguridad de los datos de carácter personal en el ámbito de las Entidades Locales españolas de diciembre de 2008 en el que se establecen criterios en función del nivel de adecuación a las medidas que recoge el Reglamento de Medidas de Seguridad. Esta caracterización, a nuestro parecer, deja fuera un ámbito fundamental y sobre el que ni la Ley ni el Reglamento establecen medidas de revisión, como es el de los procesos de control interno que nos permiten validar que los procedimientos de gestión implantados mitigan los riesgos que hemos identificado. De hecho, en ningún punto, aparece como debe medirse y gestionarse el riesgo, pero de esto ya hablaremos en otro momento. Se hace difícil encontrar indicadores que permitan averiguar si el nivel de madurez es elevado o no, pero teniendo en cuenta la estructura de nuestro sector empresarial basado en pymes, con un nivel de concienciación en materias de seguridad de la información muy bajo y, por otra parte, unos ciudadanos que en su mayoría desconocen sus derechos nos podemos aventurar a decir que el nivel de madurez es en general mucho peor del que cabría esperar. Por otra parte, muchos de los asesores que están colaborando en la adecuación a la Ley, limitan el enfoque a la incorporación de algunas cláusulas contractuales (por otra parte necesarias) y a una visión más o menos detallada de los sistemas de información. Esta visión no consigue que sus clientes estén vigilantes a la gestión de los datos de carácter personal en sus procesos de gestión y por lo tanto, la supuesta adecuación se convierte en un cubrir el expediente. En una conferencia en la que estaba como ponente el Director de la AEPD, el Sr. Artemi Rallo, le oí decir que la adecuación a la ley es gratuita. Probablemente cabe interpretar esta afirmación como: La inscripción de los ficheros en el Registro de la AEPD es gratuita La elaboración del Documento de Seguridad utilizando el patrón que ofrece la propia Agencia, no debería suponer un coste.

4 4 Esto no significa que sea gratuita, la adecuación a esta regulación como a otras leyes requiere de un esfuerzo que, como todos se traduce en algún coste para la empresa, entre otros: Comprensión la Ley y el Reglamento asociado. Cambio en los procesos de negocio. Cambio en las plataformas tecnológicas. Compra de elementos que nos permitan guardar la información con el nivel de seguridad requerido. Este coste debe ser visto como una oportunidad para la mejora de nuestros procesos de gestión que debería redundar en mejorar la cuenta de resultados en posteriores ejercicios, o como mínimo, en no empeorarla. Por lo tanto se trata de una inversión, no de un gasto. Figura 2 Nuestra visión de los niveles de madurez en la gestión LOPD Nivel de riesgo Elaboración propia Adaptación de los aspectos legales mínimos que exige la normativa: creación del documento de seguridad, inscripción de los ficheros en el registro,... LOPD 1.0 Adaptación parcial o total de los sistemas de información de la compañía para que cumplan con los requisitos que exige el RDLOPD LOPD 2.0 en materia de seguridad de la información. Análisis de los riesgos que implica la LOPD evaluando y gestionando no sólo los aspectos legales y tecnológicos que exige la ley y el RDLOPD, si no analizando, evaluando, implantando y mejorando todos los procesos y actividades que gestionan datos de carácter personal. LOPD 3.0 Grado de madurez LOPD

5 5 Recomendaciones 1. Siempre que sea posible acceder a la fuente y en este caso lo mejor es acceder a la AEPD ( ). 2. Si el paso 1 es demasiado arduo o se dispone de poco tiempo, busca un asesor o como mínimo una charla gratuita sobre el tema. Te ayudará a asimilar los contenidos y adoptar un enfoque adecuado a tu organización. 3. Difundir el contenido más relevante a toda la organización, sin un conocimiento adecuado, incluyendo roles y responsabilidades, el riesgo de incumplimiento se incrementa sobre manera. 4. Si necesitas un asesor para la adecuación: a) Huye de soluciones mágicas, no existen. b) Aplica la frase, lo barato sale caro. Considera la relevancia del proceso e invierte en consecuencia, ni más ni menos. c) Si un asesor no te pregunta nada de tu negocio y de tus procesos, es imposible que sepa donde puedes tener problemas y lo peor, como priorizarlos. d) Esto no es un tema sólo de abogados o de informáticos implica a toda la organización, sus procesos y la tecnología que le da soporte. e) Busca a alguien que te acompañe en el proceso, el camino es más llevadero si tienes quien te ayuda a sortear obstáculos. f) No hay aplicación informática que te adecue, aunque te puede ayudar en tus procesos de gestión. 5. Considerar esta reglamentación como punto de mejora y de crecimiento sostenible, no como un freno a nuestro negocio. Forma parte de las reglas del juego. Nunca tenemos tiempo de hacer las cosas bien, pero siempre de hacerlo dos veces. Piensa siempre en esta frase antes de iniciar i i cualquier proceso de cambio. Este artículo ha sido elaborado por José Manuel Valdés, Director de BB2B. Esta publicación ha sido escrita en términos generales y por lo tanto puede ser que no cubra situaciones específicas. Better Business To Be, S.L. queda exenta de cualquier responsabilidad que pudiera derivarse por los perjuicios ocasionados por la interpretación o aplicación de cualquier material publicado. Better Business To Be, S.L. estará encantado de asesorar a todos los que lo consideren conveniente en la forma en la que deben ser aplicados los conceptos indicados. Copyright Better Business To Be, S.L. Todos los derechos reservados