WikiJuanan: LeyOrgánicadeProteccióndeDatosdeCaracterPersonal


Hispasec – una-al-día 12/09/2005

Todos los días una noticia de seguridad www.hispasec.com


Seguridad informática y protección de datos


Desde el 13 de diciembre de 1999 existe en España un marco legal de

obligado cumplimiento para las empresas y trabajadores autónomos

españoles, cuya misión fundamental es velar por la protección de los

datos de carácter personal. Éste texto es la Ley Orgánica 15/1999, de 

13 de diciembre, de Protección de Datos de Carácter Personal (LOPD),

oficializada en el BOE núm. 298, del 14 de diciembre de 1999.

Históricamente, ésta norma sustituyó a la que se conocía como LORTAD

(Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento

Automatizado de los Datos de Carácter Personal). En líneas generales

es un amplio marco legal donde se describen la necesidad de proteger

la privacidad de las personas. Concretamente, en lo referente a la

adquisición, tenencia, tratamiento y cesión de ficheros que contengan

datos de carácter personal, tales como nombre, apellidos, DNI, número

de cuenta bancaria, así como datos especialmente protegidos, como la

ideología religiosa, datos relativos a la salud, origen étnico, etc.

Frecuentemente las gerencias de las empresas enfocan la conformidad con

la LOPD como un problema, como una traba, como una necesidad de gastar

recursos financieros por imperativo legal. El motivo de éste artículo

es propiciar una visión a gerentes y responsables, así como a usuarios

en general, de que alinearse con este texto legal no debe implicar

problemas, sino todo lo contrario; debe dar garantías adicionales en

materia de seguridad de la información a las empresas que aplican los

procesos de conformidad, así como ventajas competitivas que no deben

ser desaprovechadas. A nuestro juicio, la Ley, pese a que es mejorable,

constituye un excelente marco para garantizar que el tratamiento de 

los datos personales de la ciudadanía está sujeto a las máximas

condiciones de asepsia, a la par que a las empresas les debe servir

como herramienta de gestión de la seguridad.

Operativamente hablando, la LOPD se apoya en el Reglamento de Medidas de

Seguridad de los Ficheros Automatizados que contengan Datos de Carácter

Personal (RMS), aprobado por Real Decreto 994/1999 de 11 de junio y

publicado en el BOE de 25 de junio de 1999, como instrumento para

facilitar los mecanismos prácticos para cumplir con las prescripciones

establecidas en la LOPD. Existen otros textos legales a considerar, pero

no serán objeto de estudio en este artículo.

Así por ejemplo, el artículo octavo del RMS establece la necesidad de

disponer de un Documento de Seguridad, que al menos debe contener el

ámbito de aplicación del documento. Debe especificar claramente cuáles

son los recursos protegidos, así como contener las medidas, normas,

procedimientos, reglas y estándares encaminados a garantizar el nivel

de seguridad que nos imponga la tipología de datos tratados. También

tiene que recoger las funciones y obligaciones del personal que accede

a los datos personales.

Así mismo, el Documento de Seguridad tiene que incluir la estructura de 

los ficheros de datos, describiendo claramente cómo son los sistemas de 

la información que los tratan y debe contener un procedimiento detallado

de notificación, gestión y respuesta ante las incidencias. Adicionalmente,

deben enumerarse los procedimientos de realización de copias de respaldo

y de recuperación de los datos.

Llegados a este punto, parece lógico abandonar la idea de que alinearse

con la LOPD es un engorro legal al que obliga la Agencia Española de 

Protección de Datos. Está claro que, en un sólo artículo de los 29 que

tiene el RMS, se nos indica que proteger los datos es asegurarnos que 

debemos hacer backups, saber cómo responder ante los problemas e 

incidentes, formar al personal y explicarle cómo ha de tratar la 

información, establecer los mecanismos para que haya fluidez en la

notificación de problemas, que es imperativo saber responder ante los 

incidentes... y una larga lista de requisitos que debemos ver como

ventajas, y nunca como obligaciones meramente legislativas. Sería un 

craso error no ver las ventajas que esto nos puede aportar.

En resumen: alinearse con la LOPD y cumplir con sus prescripciones es

perfectamente equiparable a disponer de un pequeño sistema de gestión de

la seguridad de la información, que prácticamente toca todos los

aspectos incluidos en textos reputados y valorados como BS 7799, o la

trasposición internacional ISO 17799. La única diferencia estriba en que

éstas últimas no son de obligado cumplimiento, mientras que la LOPD sí

lo es, y quizás por ello las empresas recelan de su utilidad. Creemos

que esto es un planteamiento incorrecto, y que la visión de imperativo

legal igual a engorro y dificultad es, en este caso, errónea.

Abandonemos la idea de que las leyes son sólo estorbos que nos implican

gastos financieros. Muchas veces, y éste es un buen ejemplo, las leyes

además de velar por la seguridad y privacidad de las personas, nos

brindan un sistema accesible para mejorar la seguridad de la información

en nuestras empresas. Y eso es algo muy beneficioso a la hora de

incrementar nuestra competitividad y asegurar la continuidad de nuestros

negocios.

Opina sobre esta noticia:

http://www.hispasec.com/unaaldia/2515/comentar

Más información:

Hispasec Sistemas. Servicios de Conformidad LOPD

http://www.hispasec.com/corporate/pdfs/conformidad_lopd.pdf

Agencia Española de Protección de Datos

https://www.agpd.es/index.php

Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de

Carácter Personal.

https://www.agpd.es/upload/Canal_Documentacion/legislacion/Estatal/Ley%2015_99.pdf

Real Decreto 994/1999, de 11 de junio, por el que se aprueba el

Reglamento de Medidas de Seguridad de los ficheros automatizados que

contengan datos de carácter personal.

https://www.agpd.es/upload/Canal_Documentacion/legislacion/Estatal/A.8%29%20Real%20Decreto%20994-1999.pdf

Agencia Española de Protección de Datos. Legislación Autonómica

https://www.agpd.es/index.php?idSeccion=78

Agencia Española de Protección de Datos. Legislación Estatal

https://www.agpd.es/index.php?idSeccion=77

Agencia Española de Protección de Datos. Legislación Iberoamericana

https://www.agpd.es/index.php?idSeccion=82

Sergio Hernando

shernando@hispasec.com