Seguridad informática y protección de datos
Desde el 13 de diciembre de 1999 existe en España un marco legal de
obligado cumplimiento para las empresas y trabajadores autónomos
españoles, cuya misión fundamental es velar por la protección de los
datos de carácter personal. Éste texto es la Ley Orgánica 15/1999, de
13 de diciembre, de Protección de Datos de Carácter Personal (LOPD),
oficializada en el BOE núm. 298, del 14 de diciembre de 1999.
Históricamente, ésta norma sustituyó a la que se conocía como LORTAD
(Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento
Automatizado de los Datos de Carácter Personal). En líneas generales
es un amplio marco legal donde se describen la necesidad de proteger
la privacidad de las personas. Concretamente, en lo referente a la
adquisición, tenencia, tratamiento y cesión de ficheros que contengan
datos de carácter personal, tales como nombre, apellidos, DNI, número
de cuenta bancaria, así como datos especialmente protegidos, como la
ideología religiosa, datos relativos a la salud, origen étnico, etc.
Frecuentemente las gerencias de las empresas enfocan la conformidad con
la LOPD como un problema, como una traba, como una necesidad de gastar
recursos financieros por imperativo legal. El motivo de éste artículo
es propiciar una visión a gerentes y responsables, así como a usuarios
en general, de que alinearse con este texto legal no debe implicar
problemas, sino todo lo contrario; debe dar garantías adicionales en
materia de seguridad de la información a las empresas que aplican los
procesos de conformidad, así como ventajas competitivas que no deben
ser desaprovechadas. A nuestro juicio, la Ley, pese a que es mejorable,
constituye un excelente marco para garantizar que el tratamiento de
los datos personales de la ciudadanía está sujeto a las máximas
condiciones de asepsia, a la par que a las empresas les debe servir
como herramienta de gestión de la seguridad.
Operativamente hablando, la LOPD se apoya en el Reglamento de Medidas de
Seguridad de los Ficheros Automatizados que contengan Datos de Carácter
Personal (RMS), aprobado por Real Decreto 994/1999 de 11 de junio y
publicado en el BOE de 25 de junio de 1999, como instrumento para
facilitar los mecanismos prácticos para cumplir con las prescripciones
establecidas en la LOPD. Existen otros textos legales a considerar, pero
no serán objeto de estudio en este artículo.
Así por ejemplo, el artículo octavo del RMS establece la necesidad de
disponer de un Documento de Seguridad, que al menos debe contener el
ámbito de aplicación del documento. Debe especificar claramente cuáles
son los recursos protegidos, así como contener las medidas, normas,
procedimientos, reglas y estándares encaminados a garantizar el nivel
de seguridad que nos imponga la tipología de datos tratados. También
tiene que recoger las funciones y obligaciones del personal que accede
a los datos personales.
Así mismo, el Documento de Seguridad tiene que incluir la estructura de
los ficheros de datos, describiendo claramente cómo son los sistemas de
la información que los tratan y debe contener un procedimiento detallado
de notificación, gestión y respuesta ante las incidencias. Adicionalmente,
deben enumerarse los procedimientos de realización de copias de respaldo
y de recuperación de los datos.
Llegados a este punto, parece lógico abandonar la idea de que alinearse
con la LOPD es un engorro legal al que obliga la Agencia Española de
Protección de Datos. Está claro que, en un sólo artículo de los 29 que
tiene el RMS, se nos indica que proteger los datos es asegurarnos que
debemos hacer backups, saber cómo responder ante los problemas e
incidentes, formar al personal y explicarle cómo ha de tratar la
información, establecer los mecanismos para que haya fluidez en la
notificación de problemas, que es imperativo saber responder ante los
incidentes... y una larga lista de requisitos que debemos ver como
ventajas, y nunca como obligaciones meramente legislativas. Sería un
craso error no ver las ventajas que esto nos puede aportar.
En resumen: alinearse con la LOPD y cumplir con sus prescripciones es
perfectamente equiparable a disponer de un pequeño sistema de gestión de
la seguridad de la información, que prácticamente toca todos los
aspectos incluidos en textos reputados y valorados como BS 7799, o la
trasposición internacional ISO 17799. La única diferencia estriba en que
éstas últimas no son de obligado cumplimiento, mientras que la LOPD sí
lo es, y quizás por ello las empresas recelan de su utilidad. Creemos
que esto es un planteamiento incorrecto, y que la visión de imperativo
legal igual a engorro y dificultad es, en este caso, errónea.
Abandonemos la idea de que las leyes son sólo estorbos que nos implican
gastos financieros. Muchas veces, y éste es un buen ejemplo, las leyes
además de velar por la seguridad y privacidad de las personas, nos
brindan un sistema accesible para mejorar la seguridad de la información
en nuestras empresas. Y eso es algo muy beneficioso a la hora de
incrementar nuestra competitividad y asegurar la continuidad de nuestros
negocios.
Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/2515/comentar
Más información:
Hispasec Sistemas. Servicios de Conformidad LOPD
http://www.hispasec.com/corporate/pdfs/conformidad_lopd.pdf
Agencia Española de Protección de Datos
https://www.agpd.es/index.php
Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de
Carácter Personal.
https://www.agpd.es/upload/Canal_Documentacion/legislacion/Estatal/Ley%2015_99.pdf
Real Decreto 994/1999, de 11 de junio, por el que se aprueba el
Reglamento de Medidas de Seguridad de los ficheros automatizados que
contengan datos de carácter personal.
https://www.agpd.es/upload/Canal_Documentacion/legislacion/Estatal/A.8%29%20Real%20Decreto%20994-1999.pdf
Agencia Española de Protección de Datos. Legislación Autonómica
https://www.agpd.es/index.php?idSeccion=78
Agencia Española de Protección de Datos. Legislación Estatal
https://www.agpd.es/index.php?idSeccion=77
Agencia Española de Protección de Datos. Legislación Iberoamericana
https://www.agpd.es/index.php?idSeccion=82
Sergio Hernando
shernando@hispasec.com