ADECUACIÓN DE LA EMPRESA A LA LOPD
IDENTIFICACIÓN DE FICHEROS Y LOS DISTINTOS NIVELES DE SEGURIDAD APLICABLES
Lo primero a tener en cuenta es que la LOPD establece que los datos de carácter personal son cualquier información numérica, alfabética, gráfica, ortográfica, acústica o de cualquier otro tipo, concerniente a personas físicas identificadas o identificables.
A la hora de identificar los ficheros es muy importante tener en cuenta que un fichero, a efectos de la LOPD, es cualquier conjunto organizado de datos de carácter personal, independientemente de la forma de creación, almacenamiento, organización y acceso. Es decir, un fichero es tanto una agenda de contactos que contenga simplemente el nombre, la dirección y el teléfono de distintas personas físicas, como una base de datos que contenga información financiera de ésas u otras personas.
Identificar los ficheros y las medidas de seguridad que son aplicables a los mismos es el primer paso a seguir para una correcta adecuación de su empresa a la LOPD.
Es de vital importancia conocer tanto el número, como el tipo de ficheros que utilizamos dentro de la empresa, así como los distintos datos de carácter personal que son registrados en los mismos, ya que esto nos permitirá después establecer los niveles y medidas de seguridad que son de obligada aplicación para cumplir con lo que dicta la LOPD.
Una vez identificados los ficheros de que dispone la empresa, se establecerá uno de los 3 niveles de seguridad que dispone la LOPD; Alto, Medio y Bajo. Esto dependerá del tipo de datos que contengan los citados ficheros.
IDENTIFICACIÓN DE LOCALES Y DEPARTAMENTOS
A la hora de definir las medidas de seguridad aplicables a su empresa, es importante identificar tanto los locales de los que dispone la misma, como los distintos departamentos en los que se divide.
Una correcta identificación de todos estos elementos nos permitirá definir las medidas de seguridad que son de obligado cumplimiento por su empresa, según lo establecido en la LOPD.
IDENTIFICACIÓN DE EQUIPOS INFORMÁTICOS, REDES, APLICACIONES Y ARCHIVOS
A día de hoy la mayoría de las empresas disponen de sistemas informatizados para el tratamiento de datos. Identificar los equipos informáticos, las redes y las aplicaciones de que dispone su organización, es parte imprescindible a la hora de adecuar la misma a lo que dicta la LOPD.
Conexiones a Internet, intranet, redes locales, puestos informáticos, programas de gestión de cualquier tipo, etc.… tienen que ser identificados para poder establecer las distintas medidas de seguridad dispuestas en la LOPD.
Así mismo, identificar los archivos en soporte papel que contengan datos de carácter personal es igual de importante, e igualmente obligatorio.
IDENTIFICACIÓN DE USUARIOS
Si identificar los ficheros, locales, departamentos, equipos informáticos, redes de trabajo y comunicación, aplicaciones y archivos en soporte papel de que dispone su organización es parte imprescindible a la hora de definir el nivel y las medidas de seguridad a instaurar en la misma, la identificación de los usuarios que tienen acceso a todos ellos, y el nivel de acceso de que disponen es sin duda la labor más importante a realizar, en tanto serán ellos los encargados de manejar los datos ficheros de los que sea responsable la empresa.
Es deber de su organización definir qué nivel y métodos de acceso tiene cada usuario a los distintos ficheros de que disponga la misma, y poner los medios para que no se cometan irregularidades en dichos accesos.
NOTIFICACIONES A LA AEPD
La LOPD obliga a su empresa a notificar a la Agencia Española de Protección de Datos (AEDP) la creación, modificación o supresión de cualquier fichero que contenga datos de carácter personal.
La AEDP, un ente de derecho público independiente de las Administraciones Públicas, con personalidad jurídica propia, inscribirá sus ficheros en el Registro General de Protección de Datos (RGPD), con objeto de velar por el cumplimiento de la LOPD y controlar la aplicación de ésta, en especial en lo relativo a los derechos de información, acceso, rectificación, oposición y cancelación de datos por parte de los afectados.
La no notificación de creación, modificación o supresión de un fichero a la AEDP supone una infracción grave (sanciones entre 60.101,21 y 300.506,05 €), e incluso muy grave (sanciones entre 300.506,05 y 601.012,12 €)
DOCUMENTO DE SEGURIDAD
El Documento de Seguridad es el informe, de obligado cumplimiento para toda empresa que realice tratamiento de ficheros en los que se dispongan datos de carácter personal, que contendrá toda la información relativa al tratamiento de los mismos.
En el Documento de Seguridad se detallarán la estructura de los ficheros, su nivel de seguridad, la descripción de los locales y los puestos de trabajo, las aplicaciones utilizadas, los usuarios; sus funciones y niveles de acceso, los procedimientos de seguridad y un formulario de incidencias.
La no notificación de creación, modificación o supresión de un fichero a la AEDP supone una infracción grave (sanciones entre 60.101,21 y 300.506,05 €), e incluso muy grave (sanciones entre 300.506,05 y 601.012,12 €).
AUDITORÍAS
La LOPD obliga a todas aquellas empresas que dispongan de ficheros con datos de carácter personal, identificados como nivel medio o alto, a realizar una auditoría de sus medidas de seguridad y procedimientos de tratamiento y control de los mismos cada dos años.
Será también obligatoria la realización de una auditoría en caso de realizarse modificaciones sustanciales que incidan de algún modo en el tratamiento de los datos, aún cuando no hayan pasado dos años desde la inscripción de los ficheros, o la última auditoría.
Según la normativa vigente, la auditoría puede realizarse de manera interna (por el propio personal) o externa. Es aconsejable que, con objeto de mantener la imparcialidad y dependencia de la misma, ésta se realice por un ente externo.
En cualquier caso, una vez realizada la auditoría, será obligación del Responsable de Seguridad (figura encargada de coordinar y controlar las medidas previstas en el Documento de Seguridad en niveles medio y alto) analizar el resultado de la misma, y tomar las medidas correctoras oportunas, así como transmitir los informes de la misma al responsable del fichero.
DERECHOS DE RECTIFICACIÓN, INFORMACIÓN, CANCELACIÓN Y OPOSICIÓN
La LOPD establece como derechos fundamentales de todos los afectados (se entiende por afectado toda aquella persona física de la que exista un tratamiento de sus datos de carácter personal por entidades públicas o privadas), los derechos de Acceso, Rectificación, Cancelación y Oposición (ARCO).
No atender a estos derechos, puede significar infracción leve, grave o muy grave, con la consiguiente sanción que establecería la AEDP (desde 601,01 a 601.012,12 €, e incluso la inmovilización de los ficheros).
Tan importante como atender a estos derechos, es informar de ellos a los afectados a la hora de recabar sus datos, independientemente del formato en el que hagamos la toma de los mismos. Aclarar inequívocamente qué derechos les asisten y ante quién los pueden ejercer es vital para evitar sanciones.