LOPD 3.0: La gestión integral de riesgos LOPD

Cápsulas BB2B

Cápsulas

 

BB2B

La

 

Ley

 

Orgánica

 

15/1999,

 

de

 

protección

 

de

 

datos

 

de

 

carácter

 

personal,

 

más

 

conocida

 

como

 

LOPD,

 

y

 

el

 

reglamento

 

que

 

la

 

desarrolla,

 

tienen

 

un

 

impacto

 

muy

 

importante

 

en

 

la

 

LOPD

 

3.0:

 

La

 

gestión

 

integral

 

de

 

riesgos

 

LOPD

, y

g

q

,

p

y

p

forma

 

en

 

la

 

que

 

las

 

organizaciones

 

pueden

 

llevar

 

a

 

cabo

 

sus

 

operaciones

 

diarias.

 

Pensar

 

en

 

esta

 

reglamentación

 

única

 

y

 

exclusivamente

 

como

 

la

 

incorporación

 

de

 

cláusulas

 

en

 

los

 

contratos

 

o

 

la

 

mejora

 

de

 

la

 

seguridad

 

de

 

algunas

 

aplicaciones

 

informáticas,

 

es

 

observar

 

sólo

 

la

 

punta

 

del

 

iceberg.

 

Su

 

integración

 

implica

 

una

 

nueva

 

forma

 

de

 

definir

 

procesos,

 

aquella

 

que

 

incorpora

 

la

 

gestión

 

integral

 

de

 

los

 

riesgos

 

LOPD.

El primero de los pasos imprescindibles para poder valorar el impacto de la LOPD en nuestra  organización, es conocer cuáles son los principios en los que se basa esta reglamentación.

El derecho a la dignidad de las personas

Nuestras normas legales básicas, el Tratado de la UE y la Constitución española, recogen entre su  clausulado la necesidad de asegurar la dignidad de las personas. La aceptación y promoción de la  libre circulación de mercancías servicios personas y capitales debe realizarse bajo un marco que 

Dato de carácter  personal: aquél  que identifica o  libre circulación de mercancías, servicios, personas y capitales debe realizarse bajo un marco que  permita la libre circulación de datos personales garantizando la protección de las libertades y los  derechos fundamentales. Con este objetivo nace la directiva 95/46/CE que recoge esta preocupación por la protección de la  dignidad de las personas y en particular de sus datos. Esta norma debe ser traspuesta en cada uno  de los miembros de la Unión de forma que se adapte a la realidad de cada estado miembro. De ahí  nacen nuestra Ley Orgánica 15/1999, de Protección de datos de carácter personal y el Real  Decreto 1720/2007, de 21 de diciembre que la desarrolla. que identifica o  puede identificar a  una persona 7 7, q La trasposición realizada en España es considerada como la más restrictiva realizada, no sólo por  las sanciones que se imponen por la falta de su cumplimiento sino también por su nivel de 

De

 

esta

 

premisa,

 

sólo

 

se

 

puede

 

obtener

 

una

 

conclusión:

 

cualquier

proceso

 

de

 

nuestra

 

organización

 

que

 

incluya

 

el

 

tratamiento

 

y

 

gestión

de

 

datos 

personales

,

 

debe

 

cumplir

con

 

los

 

principios

 

rectores

 

de

 

la

 

ley

.

Se puede  t   á  las sanciones que se imponen por la falta de su cumplimiento, sino también por su nivel de  exigencia y detalle. Para asegurar el cumplimiento de la ley y de los diferentes reglamentos que la  han desarrollado, se creó la Agencia Española de Protección de Datos  (de ahora en adelante  AEPD) que es el ente de derecho público que vela por el cumplimiento de la normativa sobre  protección de datos personales en todos los ámbitos, público y privado, por lo que actúa con plena  independencia de las Administraciones Públicas.

¿De qué nos debemos ocupar?

encontrar más  información de la  AEPD y de muchos  otros temas  relevantes en su  web:  www.agpd.es Como buenos gestores empresariales, lo que debemos hacer es ocuparnos y no preocuparnos por  los asuntos que tenemos encima de la mesa: ƒ La falta de buenas prácticas (no es necesario alcanzar la excelencia) en materia de seguridad  de la información y en especial en la gestión de los datos de carácter personal, incrementa el  nivel de riesgo al que nos exponemos. ƒ El exceso de información de carácter personal no estrictamente asociada al fin por el que la  hemos recabado implica, por una parte, una vulneración de la norma y por otro, un mayor  i    l   tió  d    d t riesgo en la gestión de esos datos. ƒ Informar al afectado antes de recabar sus datos ya que debe conocer que la organización  dispone de estos datos y donde puede ejercer sus derechos ARCO. ƒ Esta gestión afecta a la organización en su conjunto y, por lo tanto, a procesos, tecnología,  estructura organizativa e instalaciones. Cualquier ámbito es susceptible de tratar datos de  carácter personal. ƒ El incumplimiento de la Ley y el Reglamento,  además del daño que puede implicar en nuestra  imagen, puede conllevar una sanción de hasta 600.000€. Son cuatro los  derechos de los  afectados:  (A)cceso,  (R)ectificación,  (C)ancelación y  (O)posición _{g , p} ƒ El principal volumen de sanciones impuestas no proviene de un incumplimiento en lo que se  consideran requerimientos mínimos (registro de los ficheros en la AEPD, elaboración del  documento de Seguridad, adecuación de las medidas técnicas) sino del incumplimiento de la  Ley en los procesos de gestión. Ver Figura 1.

Cápsulas BB2B LOPD 3.0: La gestión integral de riesgos LOPD 3 Art. 4 ‐Calidad de los datos Art. 6 ‐Consentimiento del afectado Recurridas No recurridas Figura 1 Resoluciones1_{de la AEPD en 2009}

Fuente: Datos AEPD, Elaboración propia

Art. 26 ‐Notificación e inscripción registral Art. 16 ‐Derecho de rectificación y cancelación Art. 9 ‐Seguridad de los datos Art. 10 ‐Deber de secreto Art. 5 ‐Derecho de información en la … 0 30 60 90 120 Art. 7 ‐Datos especialmente protegidos Art. 11 ‐Comunicación de datos

1_{Resoluciones relativas a LOPD en 2009: 299, resto: 40} 

El nivel de madurez de nuestras organizaciones

El nivel de madurez en materia LOPD es un indicador que ya ha sido definido por Intecoen su  estudio titulado “Estudio sobre la seguridad de los datos de carácter personal en el ámbito de  las Entidades Locales españolas”  de diciembre de 2008 en el que se establecen  criterios en  función del nivel de adecuación a las medidas que recoge el Reglamento de Medidas de Seguridad.  Esta caracterización, a nuestro parecer, deja fuera un ámbito fundamental y sobre el que ni la Ley  ni el Reglamento establecen medidas de revisión, como es el de los procesos de control interno  que nos permiten validar que los procedimientos de gestión implantados mitigan los riesgos que  hemos identificado. De hecho, en ningún punto, aparece como debe medirse y gestionarse el  riesgo, pero de esto ya hablaremos en otro momento. Se hace difícil encontrar indicadores que permitan averiguar si el nivel de madurez es elevado o  no, pero teniendo en cuenta la estructura de nuestro sector empresarial basado en pymes, con un  nivel de concienciación en materias de seguridad de la información muy bajo y, por otra parte,  unos ciudadanos que en su mayoría desconocen sus derechos nos podemos aventurar a decir que  unos ciudadanos que en su mayoría desconocen sus derechos nos podemos aventurar a decir que  el nivel de madurez es en general mucho peor del que cabría esperar. Por otra parte, muchos de los asesores que están “colaborando” en la adecuación a la Ley, limitan  el enfoque a la incorporación de algunas cláusulas contractuales (por otra parte necesarias) y a una  visión más o menos detallada de los sistemas de información. Esta visión no consigue que sus  clientes estén vigilantes a la gestión de los datos de carácter personal en sus procesos de gestión y  por lo tanto, la supuesta adecuación se convierte en un “cubrir el expediente”. En una conferencia en la que estaba como ponente el Director de la AEPD, el Sr. Artemi Rallo, le oí  decir que la adecuación a la ley es gratuita. Probablemente cabe interpretar esta afirmación como: ƒ La inscripción de los ficheros en el Registro de la AEPD es gratuita  ƒ La elaboración del Documento de Seguridad utilizando el patrón que ofrece la propia Agencia,  no debería suponer un coste. 

Esto no significa que sea gratuita, la adecuación a esta regulación como a otras leyes requiere de  un esfuerzo que, como todos se traduce en algún coste para la empresa, entre otros: ƒ Comprensión la Ley y el Reglamento asociado. ƒ Cambio en los procesos de negocio. ƒ Cambio en las plataformas tecnológicas. ƒ Compra de elementos que nos permitan guardar la información con el nivel de seguridad  requerido. Este coste debe ser visto como una oportunidad para la mejora de nuestros procesos de gestión  que debería redundar en mejorar la cuenta de resultados en posteriores ejercicios, o como  mínimo, en no empeorarla. Por lo tanto se trata de una inversión, no de un gasto. Figura 2

Nuestra visión de los niveles de madurez  en la gestión LOPD Elaboración propia Nivel de riesgo

LOPD

 

1.0

LOPD

 

2 0

en la gestión LOPD Adaptación de los aspectos legales mínimos que exige la normativa:  creación del documento de seguridad, inscripción de los ficheros en  el registro,... Adaptación parcial o total de los sistemas de información de la  compañía para que cumplan con los requisitos que exige el RDLOPD 

LOPD

 

2.0

LOPD

 

3.0

compañía para que cumplan con los requisitos que exige el RDLOPD  en materia de seguridad de la información. Análisis de los riesgos que implica la LOPD evaluando y  gestionando no sólo los aspectos legales y tecnológicos que exige la  ley y el RDLOPD, si no analizando, evaluando, implantando y  mejorando todos los procesos y actividades que gestionan datos de  carácter personal. Grado  de madurez  LOPD

Cápsulas BB2B LOPD 3.0: La gestión integral de riesgos LOPD 5

Recomendaciones

1. Siempre que sea posible acceder a la fuente y en este caso lo mejor es acceder a la AEPD  (www.agpd.es). 2. Si el paso 1 es demasiado arduo o se dispone de poco tiempo, busca un asesor o como mínimo  una charla gratuita sobre el tema. Te ayudará a asimilar los contenidos y adoptar un enfoque  adecuado a tu organización. adecuado a tu organización. 3. Difundir el contenido más relevante a toda la organización, sin un conocimiento adecuado,  incluyendo roles y responsabilidades, el riesgo de incumplimiento se incrementa sobre  manera. 4. Si necesitas un asesor para la adecuación: a) Huye de soluciones mágicas, no existen. b) Aplica la frase, lo barato sale caro. Considera la relevancia del proceso e invierte en ) p , p consecuencia, ni más ni menos.  c) Si un asesor no te pregunta nada de tu negocio y de tus procesos, es imposible que sepa  donde puedes tener problemas y lo peor, como priorizarlos. d) Esto no es un tema sólo de abogados o de informáticos implica a toda la organización, sus  procesos y la tecnología que le da soporte. e) Busca a alguien que te acompañe en el proceso, el camino es más llevadero si tienes quien  te ayuda a sortear obstáculos. f) No hay aplicación informática que te adecue, aunque te puede ayudar en tus procesos de  gestión. 5. Considerar esta reglamentación como punto de mejora y de crecimiento sostenible, no como  un freno a nuestro negocio. Forma parte de las reglas del juego.

Nunca

 

tenemos

 

tiempo

 

de

 

hacer

 

las

 

cosas

 

bien,

 

pero

 

siempre

 

de

 

hacerlo

 

d

 

 

Pi

 

i

   

t

 

f

 

t

 

d

 

i i i

 

l i

 

 

dos

 

veces.

 

Piensa

 

siempre

 

en

 

esta

 

frase

 

antes

 

de

 

iniciar

 

cualquier

 

proceso

 

de

 

cambio.

Este artículo ha sido elaborado por José Manuel Valdés, Director de BB2B.

Esta publicación ha sido escrita en términos generales y por lo tanto puede ser que no cubra situaciones específicas. Better Business To Be, S.L. queda exenta de cualquier responsabilidad que pudiera derivarse  por los perjuicios ocasionados por la  interpretación o aplicación de cualquier material publicado.

Better Business To Be, S.L. estará encantado de asesorar a todos los que lo consideren conveniente en la forma en la que  deben ser aplicados los conceptos indicados.