BB2B
Castellano  |  Català

Bienvenido a Better Business to Be

Servicios de Gestión y Organización de Empresas

Artículos

Adecuación a regulaciones

LOPD 3.0: La gestión de riesgos LOPD
06/10/2009

La Ley Orgánica 15/1999, de protección de datos de carácter personal, más conocida como LOPD, y el reglamento que la desarrolla, tienen un impacto muy importante en la forma en la que las organizaciones pueden llevar a cabo sus operaciones diarias. Pensar en esta reglamentación única y exclusivamente como la incorporación de cláusulas en los contratos o la mejora de la seguridad de algunas aplicaciones informáticas, es observar sólo la punta del iceberg. Su integración implica una nueva forma de definir procesos, aquella que incorpora la gestión integral de los riesgos LOPD.

Con este objetivo nace la directiva 95/46/CE que recoge esta preocupación por la protección de la dignidad de las personas y en particular de sus datos. Esta norma debe ser traspuesta en cada uno de los miembros de la Unión de forma que se adapte a la realidad de cada estado miembro. De ahí nacen nuestra Ley Orgánica 15/1999, de Protección de datos de carácter personal y el Real Decreto 1720/2007, de 21 de diciembre que la desarrolla.

La trasposición realizada en España es considerada como la más restrictiva realizada, no sólo por las sanciones que se imponen por la falta de su cumplimiento, sino también por su nivel de exigencia y detalle. Para asegurar el cumplimiento de la ley y de los diferentes reglamentos que la han desarrollado, se creó la Agencia Española de Protección de Datos (de ahora en adelante AEPD) que es el ente de derecho público que vela por el cumplimiento de la normativa sobre protección de datos personales en todos los ámbitos, público y privado, por lo que actúa con plena independencia de las Administraciones Públicas.

¿De qué nos debemos ocupar?

Como buenos gestores empresariales, lo que debemos hacer es ocuparnos y no preocuparnos por los asuntos que tenemos encima de la mesa:

  • La falta de buenas prácticas (no es necesario alcanzar la excelencia) en materia de seguridad de la información y en especial en la gestión de los datos de carácter personal, incrementa el nivel de riesgo al que nos exponemos.
  • El exceso de información de carácter personal no estrictamente asociada al fin por el que la hemos recabado implica, por una parte, una vulneración de la norma y por otro, un mayor riesgo en la gestión de esos datos.
  • Informar al afectado antes de recabar sus datos ya que debe conocer que la organización dispone de estos datos y donde puede ejercer sus derechos ARCO.
  • Esta gestión afecta a la organización en su conjunto y, por lo tanto, a procesos, tecnología, estructura organizativa e instalaciones. Cualquier ámbito es susceptible de tratar datos de carácter personal.
  • El incumplimiento de la Ley y el Reglamento, además del daño que puede implicar en nuestra imagen, puede conllevar una sanción de hasta 600.000€.
  • El principal volumen de sanciones impuestas no proviene de un incumplimiento en lo que se consideran requerimientos mínimos (registro de los ficheros en la AEPD, elaboración del documento de Seguridad, adecuación de las medidas técnicas) sino del incumplimiento de la Ley en los procesos de gestión.

El nivel de madurez de nuestras organizaciones

El nivel de madurez en materia LOPD es un indicador que ya ha sido definido por Inteco en su estudio titulado "Estudio sobre la seguridad de los datos de carácter personal en el ámbito de las Entidades Locales españolas" de diciembre de 2008 en el que se establecen criterios en función del nivel de adecuación a las medidas que recoge el Reglamento de Medidas de Seguridad.

Esta caracterización, a nuestro parecer, deja fuera un ámbito fundamental y sobre el que ni la Ley ni el Reglamento establecen medidas de revisión, como es el de los procesos de control interno que nos permiten validar que los procedimientos de gestión implantados mitigan los riesgos que hemos identificado. De hecho, en ningún punto, aparece como debe medirse y gestionarse el riesgo, pero de esto ya hablaremos en otro momento.

Se hace difícil encontrar indicadores que permitan averiguar si el nivel de madurez es elevado o no, pero teniendo en cuenta la estructura de nuestro sector empresarial basado en pymes, con un nivel de concienciación en materias de seguridad de la información muy bajo y, por otra parte, unos ciudadanos que en su mayoría desconocen sus derechos nos podemos aventurar a decir que el nivel de madurez es en general mucho peor del que cabría esperar.

Por otra parte, muchos de los asesores que están "colaborando" en la adecuación a la Ley, limitan el enfoque a la incorporación de algunas cláusulas contractuales (por otra parte necesarias) y a una visión más o menos detallada de los sistemas de información. Esta visión no consigue que sus clientes estén vigilantes a la gestión de los datos de carácter personal en sus procesos de gestión y por lo tanto, la supuesta adecuación se convierte en un "cubrir el expediente".

En una conferencia en la que estaba como ponente el Director de la AEPD, el Sr. Artemi Rallo, le oí decir que la adecuación a la ley es gratuita. Probablemente cabe interpretar esta afirmación como:

  • La inscripción de los ficheros en el Registro de la AEPD es gratuita.
  • La elaboración del Documento de Seguridad utilizando el patrón que ofrece la propia Agencia, no debería suponer un coste.

Esto no significa que sea gratuita, la adecuación a esta regulación como a otras leyes requiere de un esfuerzo que, como todos se traduce en algún coste para la empresa, entre otros:

  • Comprensión la Ley y el Reglamento asociado.
  • Cambio en los procesos de negocio.
  • Cambio en las plataformas tecnológicas.
  • Compra de elementos que nos permitan guardar la información con el nivel de seguridad requerido.

Este coste debe ser visto como una oportunidad para la mejora de nuestros procesos de gestión que debería redundar en mejorar la cuenta de resultados en posteriores ejercicios, o como mínimo, en no empeorarla. Por lo tanto se trata de una inversión, no de un gasto.

Recomendaciones

  • Siempre que sea posible acceder a la fuente y en este caso lo mejor es acceder a la AEPD (www.agpd.es).
  • Si el paso 1 es demasiado arduo o se dispone de poco tiempo, busca un asesor o como mínimo una charla gratuita sobre el tema. Te ayudará a asimilar los contenidos y adoptar un enfoque adecuado a tu organización.
  • Difundir el contenido más relevante a toda la organización, sin un conocimiento adecuado, incluyendo roles y responsabilidades, el riesgo de incumplimiento se incrementa sobre manera.
  • Si necesitas un asesor para la adecuación:
  • Huye de soluciones mágicas, no existen. Aplica la frase, lo barato sale caro. Considera la relevancia del proceso e invierte en consecuencia, ni más ni menos. Si un asesor no te pregunta nada de tu negocio y de tus procesos, es imposible que sepa donde puedes tener problemas y lo peor, como priorizarlos. Esto no es un tema sólo de abogados o de informáticos implica a toda la organización, sus procesos y la tecnología que le da soporte. Busca a alguien que te acompañe en el proceso, el camino es más llevadero si tienes quien te ayuda a sortear obstáculos. No hay aplicación informática que te adecue por sí sola a la legislación, aunque te puede ayudar en tus procesos de gestión.
  • Considerar esta reglamentación como punto de mejora y de crecimiento sostenible, no como un freno a nuestro negocio. Forma parte de las reglas del juego.

Este artículo ha sido elaborado por José Manuel Valdés, Director de BB2B

Esta publicación ha sido escrita en términos generales y por lo tanto puede ser que no cubra situaciones específicas. Better Business To Be, S.L. queda exenta de cualquier responsabilidad que pudiera derivarse por los perjuicios ocasionados por la interpretación o aplicación de cualquier material publicado.

Better Business To Be, S.L. estará encantado de asesorar a todos los que lo consideren conveniente en la forma en la que deben ser aplicados los conceptos indicados.

Copyright © 2009. Better Business To Be, S.L. Todos los derechos reservados

© BB2B 2018. Todos los derechos reservados  |  Nota Legal  |  Política de Privacidad  |  Mapa Web  |  Contactar  |    RSS  |  Política de cookies
diseño: dommia
Diseño Web
Dommia Soluciones Internet
c/ Lepant, 326, Entlo. 1, Desp. 2
08025 - Barcelona
Tel. 902 024 678 | +34 936 241 455
Portfolio visible en: www.dommia.es