2005-09-13 08:23:52

Hispasec – una-al-d�a 12/09/2005
Todos los d�as una noticia de seguridad www.hispasec.com

Seguridad inform�tica y protecci�n de datos

Desde el 13 de diciembre de 1999 existe en Espa�a un marco legal de
obligado cumplimiento para las empresas y trabajadores aut�nomos
espa�oles, cuya misi�n fundamental es velar por la protecci�n de los
datos de car�cter personal. �ste texto es la Ley Org�nica 15/1999, de
13 de diciembre, de Protecci�n de Datos de Car�cter Personal (LOPD),
oficializada en el BOE n�m. 298, del 14 de diciembre de 1999.

Hist�ricamente, �sta norma sustituy� a la que se conoc�a como LORTAD
(Ley Org�nica 5/1992, de 29 de octubre, de Regulaci�n del Tratamiento
Automatizado de los Datos de Car�cter Personal). En l�neas generales
es un amplio marco legal donde se describen la necesidad de proteger
la privacidad de las personas. Concretamente, en lo referente a la
adquisici�n, tenencia, tratamiento y cesi�n de ficheros que contengan
datos de car�cter personal, tales como nombre, apellidos, DNI, n�mero
de cuenta bancaria, as� como datos especialmente protegidos, como la
ideolog�a religiosa, datos relativos a la salud, origen �tnico, etc.

Frecuentemente las gerencias de las empresas enfocan la conformidad con
la LOPD como un problema, como una traba, como una necesidad de gastar
recursos financieros por imperativo legal. El motivo de �ste art�culo
es propiciar una visi�n a gerentes y responsables, as� como a usuarios
en general, de que alinearse con este texto legal no debe implicar
problemas, sino todo lo contrario; debe dar garant�as adicionales en
materia de seguridad de la informaci�n a las empresas que aplican los
procesos de conformidad, as� como ventajas competitivas que no deben
ser desaprovechadas. A nuestro juicio, la Ley, pese a que es mejorable,
constituye un excelente marco para garantizar que el tratamiento de
los datos personales de la ciudadan�a est� sujeto a las m�ximas
condiciones de asepsia, a la par que a las empresas les debe servir
como herramienta de gesti�n de la seguridad.

Operativamente hablando, la LOPD se apoya en el Reglamento de Medidas de
Seguridad de los Ficheros Automatizados que contengan Datos de Car�cter
Personal (RMS), aprobado por Real Decreto 994/1999 de 11 de junio y
publicado en el BOE de 25 de junio de 1999, como instrumento para
facilitar los mecanismos pr�cticos para cumplir con las prescripciones
establecidas en la LOPD. Existen otros textos legales a considerar, pero
no ser�n objeto de estudio en este art�culo.

As� por ejemplo, el art�culo octavo del RMS establece la necesidad de
disponer de un Documento de Seguridad, que al menos debe contener el
�mbito de aplicaci�n del documento. Debe especificar claramente cu�les
son los recursos protegidos, as� como contener las medidas, normas,
procedimientos, reglas y est�ndares encaminados a garantizar el nivel
de seguridad que nos imponga la tipolog�a de datos tratados. Tambi�n
tiene que recoger las funciones y obligaciones del personal que accede
a los datos personales.

As� mismo, el Documento de Seguridad tiene que incluir la estructura de
los ficheros de datos, describiendo claramente c�mo son los sistemas de
la informaci�n que los tratan y debe contener un procedimiento detallado
de notificaci�n, gesti�n y respuesta ante las incidencias. Adicionalmente,
deben enumerarse los procedimientos de realizaci�n de copias de respaldo
y de recuperaci�n de los datos.

Llegados a este punto, parece l�gico abandonar la idea de que alinearse
con la LOPD es un engorro legal al que obliga la Agencia Espa�ola de
Protecci�n de Datos. Est� claro que, en un s�lo art�culo de los 29 que
tiene el RMS, se nos indica que proteger los datos es asegurarnos que
debemos hacer backups, saber c�mo responder ante los problemas e
incidentes, formar al personal y explicarle c�mo ha de tratar la
informaci�n, establecer los mecanismos para que haya fluidez en la
notificaci�n de problemas, que es imperativo saber responder ante los
incidentes... y una larga lista de requisitos que debemos ver como
ventajas, y nunca como obligaciones meramente legislativas. Ser�a un
craso error no ver las ventajas que esto nos puede aportar.

En resumen: alinearse con la LOPD y cumplir con sus prescripciones es
perfectamente equiparable a disponer de un peque�o sistema de gesti�n de
la seguridad de la informaci�n, que pr�cticamente toca todos los
aspectos incluidos en textos reputados y valorados como BS 7799, o la
trasposici�n internacional ISO 17799. La �nica diferencia estriba en que
�stas �ltimas no son de obligado cumplimiento, mientras que la LOPD s�
lo es, y quiz�s por ello las empresas recelan de su utilidad. Creemos
que esto es un planteamiento incorrecto, y que la visi�n de imperativo
legal igual a engorro y dificultad es, en este caso, err�nea.

Abandonemos la idea de que las leyes son s�lo estorbos que nos implican
gastos financieros. Muchas veces, y �ste es un buen ejemplo, las leyes
adem�s de velar por la seguridad y privacidad de las personas, nos
brindan un sistema accesible para mejorar la seguridad de la informaci�n
en nuestras empresas. Y eso es algo muy beneficioso a la hora de
incrementar nuestra competitividad y asegurar la continuidad de nuestros
negocios.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/2515/comentar

M�s informaci�n:

Hispasec Sistemas. Servicios de Conformidad LOPD
http://www.hispasec.com/corporate/pdfs/conformidad_lopd.pdf

Agencia Espa�ola de Protecci�n de Datos
https://www.agpd.es/index.php

Ley Org�nica 15/1999, de 13 de diciembre, de Protecci�n de Datos de
Car�cter Personal.
https://www.agpd.es/upload/Canal_Documentacion/legislacion/Estatal/Ley%2015_99.pdf

Real Decreto 994/1999, de 11 de junio, por el que se aprueba el
Reglamento de Medidas de Seguridad de los ficheros automatizados que
contengan datos de car�cter personal.
https://www.agpd.es/upload/Canal_Documentacion/legislacion/Estatal/A.8%29%20Real%20Decreto%20994-1999.pdf

Agencia Espa�ola de Protecci�n de Datos. Legislaci�n Auton�mica
https://www.agpd.es/index.php?idSeccion=78

Agencia Espa�ola de Protecci�n de Datos. Legislaci�n Estatal
https://www.agpd.es/index.php?idSeccion=77

Agencia Espa�ola de Protecci�n de Datos. Legislaci�n Iberoamericana
https://www.agpd.es/index.php?idSeccion=82

Sergio Hernando
shernando@hispasec.com

WikiJuanan - LeyOrg�nicadeProtecci�ndeDatosdeCaracterPersonal

2005-09-13 08:23:52