background image
Ley Orgánica de Protección de Datos (LOPD)
14
más
cerca
| otoño 2011
información
otoño 2011 |
más
cerca
15
más
cerca
crk
crk
texto: César de Echagüe
"Una herramienta para la autodeterminación
informativa. El poder para que el ciudadano
pueda saber en todo momento quién tiene
sus datos, para qué los tiene y, en caso de
no estar de acuerdo, exigir la cancelación de
los mismos, u oponerse a su tratamiento", así
describe a la Ley orgánica de Protección de
Datos de Carácter Personal (LoPD) Jesús Sán-
chez Echeverría, director ejecutivo de Audea
Seguridad de la Información, una consulto-
ría dedicada a la gestión de información. Y
conviene no olvidar que un dato personal
es cualquier información que sea posible
relacionar con una persona física: nombre y
apellidos, número de DNI, de teléfono o de
la Seguridad Social, una fotografía, la imagen
grabada por una videocámara o una graba-
ción de la voz. Así como también lo son las
informaciones que se relacionen con estado
de salud, ingresos, domicilio o compras.
Responsables de ficheRos
Con la LoPD se establece el conjunto de
principios, derechos y deberes que han de
regir en las empresas, asociaciones, autó-
nomos o administraciones que tratan este
tipo de datos. Esta ley garantiza, ni más ni
menos, un derecho individual, por lo que la
obligatoriedad de su aplicación no depen-
de del tipo ni del tamaño de la compañía, y
tampoco se aplica tan sólo a bases de datos
automatizadas. Desde multinacionales hasta
autónomos, pasando por administraciones
públicas, colegios u hospitales en los que
Aplicar esta ley
es obligatorio
para todas, no
depende del tipo
ni del tamaño de
la empresa
La última oportunidad
datos tendrá que permitir que otra empresa
o administración pública trate los datos que
recogió. Cuando se genere un nuevo vínculo
entre la nueva entidad y el ciudadano, habrá
una cesión de datos, y los responsables de
ambas organizaciones tendrán que informar
al ciudadano de ello: por ejemplo, una cesión
de datos a la Seguridad Social para dar de
alta a un nuevo empleado. "Por el contrario,
cuando la nueva entidad se limite a tratar los
La LOPD prevé sanciones en caso de incumplimientos
aunque sean accidentales. Las multas pueden ir desde 900 hasta 600.000 euros,
y la multa estándar está fijada actualmente en 40.000 euros. Eso sí, del importe
de la sanción es beneficiario el Estado, no el denunciante. No obstante, la Ley
de Economía Sostenible ha incluido, en el primer trimestre de este año, el
apercibimiento: una última advertencia cuyo objetivo es evitar que una sanción
obligue, por ejemplo, al cierre de la empresa. La Agencia Española de Protección
de Datos podrá solicitar acciones correctoras cuando el infractor no haya sido
sancionado o apercibido con anterioridad.
se recogen y tratan datos personales a dia-
rio, todos son responsables de los ficheros,
y como tales tienen que velar por la `calidad
de los datos': tienen que ser correctos y estar
actualizados, y deben ser los necesarios para
cumplir con la finalidad legítima para la que
se quieren tratar. Esto supone que, una vez
cumplida la finalidad, los datos deben dejar
de ser tratados.
Además, toda vía de recogida de datos
personales tiene que estar asociada a un tex-
to legal que informe sobre quién y para qué
se están recogiendo los datos, así como los
derechos que tiene el ciudadano al respecto.
Si éste acepta darlos, una vez informado, el
responsable de la empresa solicitante tendrá
el consentimiento inequívoco, y podrá tratar
los datos. Eso sí, ciertos tipos de datos reciben
una protección adicional (como los relativos
a la salud, orientación sexual o ideología po-
lítica), y dicho responsable necesitará probar
que obtuvo un consentimiento expreso..
seGURidad
Según la sensibilidad de los datos, las medi-
das de seguridad a emplear son más sencillas
y comunes, como por ejemplo hacer copias
de seguridad, tener contraseñas o introducir
a los destinatarios de un correo electrónico
con copia oculta. otras resultan más compli-
cadas o requieren una mayor inversión, como
mantener un registro de todos los empleados
que accedieron al dato de una persona en los
dos últimos años.
también hay que tener en cuenta que,
en ocasiones, el responsable de manejar los
LA LoPD obLIgA
A LAS EmPrESAS
A ProtEgEr
LoS DAtoS
qUE mANEJA
por accidente, por usar sistemas inadecuados o por ataques de hackers,
algunas empresas son primera plana de los diarios porque su seguridad ha
sido vulnerada y los datos de usuarios, clientes o socios han quedado al
descubierto o han sido robados. proteger esa información es básico.
datos para prestar un servicio al responsable,
se llamará a esta figura como `encargado del
tratamiento', y tendrá que firmar un contrato
garantizando que utilizará los datos correc-
tamente y los protegerá con las medidas de
seguridad necesarias", aclara Sánchez Eche-
varría. De cara a mejorar los estándares de
seguridad de la información, los expertos re-
comiendan también tener en cuenta referen-
cias como la ISo/IEC 27001 o de continuidad
de negocio, como la bS25999.
Una ley compleja
A la pregunta de si es difícil cumplir con la Ley,
el director ejecutivo de Audea asegura que el
cumplimiento estricto de toda la normativa
es realmente complejo: "Hay que manejar va-
rias leyes, que en ocasiones se contradicen,
y desde Europa están aprobándose nuevas
normas que complicarán aún más esta cues-
tión a responsables y encargados". Un claro
ejemplo es la inminente regulación de las co-
okies, esos ficheros que se utilizan en las webs
para conocer información sobre los usuarios.
Si hasta ahora bastaba con informar sobre su
uso y borrado a través de un texto legal perdi-
do en una esquina de la pantalla, en breve, y
previsiblemente, las webs tendrán que pedir
consentimiento expreso al navegante para
obtener esta información.
Ante lo delicado de los datos y las ame-
nazas que existen, es necesario conseguir el
compromiso de todos los empleados, contar
con un buen asesoramiento, y poner todos
los medios tecnológicos que se requieran
para evitar cualquier fuga o un mal uso de
la información `ajena' que se maneja en las
empresas. ¡que ni las palabras del titular de
este reportaje queden desprotegidas!
¿Protejo bien los...
... datos?
En su página web, la Agencia
Española de Protección de Datos proporciona la
posibilidad de elaborar un test ­que no identifica
a quienes lo realizan y que su formalización no
genera responsabilidad alguna­ a quien lo desee
para que evalúe la situación de su empresa
en lo que a la protección de datos se refiere. El
resultado del test es meramente orientativo, pero
sí se convierte en una herramienta que ayuda
a establecer si se están siguiendo los criterios
oportunos para cumplir con la LoPD.
Según el tipo
de datos, las
medidas a
tomar serán
más complejas