BOLETÍN INFORMATIVO DIGITAL - LOPDAT Nº7 Mayo - Agosto 2009
1.
Introducción: la lopd ¿arma arrojadiza en tiempos de crisis?
Una nueva mentalidad en el tratamiento de datos.

Actualmente estamos viviendo un período crítico para las empresas debido a la crisis económica mundial. En estos tiempos tan difíciles emergen conflictos empresariales entre competidores o laborales con los trabajadores, que hacen que cualquier aspecto de la actividad de una empresa sea analizado con lupa, por la posibilidad de utilizarlo como arma arrojadiza contra el contrario.

La Ley Orgánica de Protección de Datos es de obligado cumplimiento en una empresa que tenga trabajadores o clientes con datos personales, y por lo tanto, encaja en el perfil de elemento conflictivo.

En este Boletín queremos destacar que el cumplimiento de la LOPD supone un beneficio para la empresa, un cambio de mentalidad en la gestión de datos y no solo nos evita una posible sanción, sino que optimiza procesos en la organización y genera beneficios a la misma.

Para desarrollar esta idea se tratan los siguientes temas:

  • La LOPD como algo más que el documento de seguridad, un cambio en la mentalidad de como gestionar los datos en una empresa.
  • Sanción de protección de datos, originada en principio por la relajación a la hora de aplicar las normas que dicta el documento de seguridad.
  • La herramienta más efectiva para la aplicación de la LOPD, es la correcta formación de los usuarios que manejan los datos.
  • El tratamiento de datos de menores.
  • Jornadas abiertas sobre protección de datos impartidas por LOPDAT.

 

subir

2.
Tema principal del boletÍn: la lopd es algo más que el documento de seguridad, es un cambio de mentalidad.
Una correcta gestión del documento de seguridad, puede suponer grandes ventajas para la empresa.

Uno de los requisitos para cumplir la LOPD, además de inscribir los ficheros de tratamiento automatizado de datos de carácter personal en el Registro General de Protección de Datos, gestionado por la Agencia Española de Protección de Datos, es el tener un Documento de Seguridad.

El Documento de Seguridad comprende generalmente:

  • Ámbito de aplicación de la ley, donde se definen los datos tratados y la finalidad de dicho tratamiento.
  • Recursos que tratan los datos: equipos, sistemas informáticos, programas.
  • Definición y clasificación de los usuarios con acceso autorizado a datos, se definen las normas de dicho acceso.
  • Apartado legal con avisos, cláusulas y contratos para los encargados de tratamiento.
  • Impresos para que los titulares de los datos puedan ejercer los derechos que les otorga la ley.

... y muchos más documentos necesarios para garantizar el cumplimiento de la ley.

Sin embargo, el tener almacenados estos documentos en una carpeta no nos garantiza el no ser sancionado. Debemo pensar que estos documentos tienen una utilizad mucho más allá que el mero tramite de cumplir con la legislación de protección de datos y debemos afrontar la implantación de la LOPD como un cambio de mentalidad en el tratamiento de datos de carácter personal.

Para garantizar el éxito de esta tarea, dirección y empleados de la empresa deben involucrase en el proceso y procedimientos de gestión en los que se traten datos. Tenemos que llegar a un equilibrio entre cumplir la ley y la gestión más optima del trabajo.

Un paso más en la protección de datos sería:

  • Definir correctamente los formularios o impresos en los que recogemos datos.
  • Utilizar la gestión de incidencias para el análisis de como se procesan datos.
  • El listado de recursos nos puede ayudar a optimizar el espacio en disco utilizado y asignar los equipos con más criterio.
  • Los sistemas de gestión de soportes y documentación, nos ayudan a saber donde está cada dato del que nos hacemos responsables.
  • Al definir los usuarios, debemos estudiar si las funciones son las correctas o el acceso a datos es el indicado para cada puesto de trabajo.
  • Recabar la ayuda e información que se precise para la correcta gestión de datos.

Todas estas medidas se pueden complementar para garantizar que la gestión de los datos es la correcta en todo momento:

  1. Sistemas de copia de seguridad a distancia, que nos garantizan que nuestros datos están seguros independientemente de lo que le ocurra a nuestro sistema de información.
  2. Trituradoras de papel que faciliten la tarea de destruir los datos de carácter personal una vez que no son necesarios, y si estos tienen un volumen considerable, contar con empresas especializadas en la destrucción masiva de papel.
  3. Poder apoyarse en empresas especializadas en protección de datos, que nos asesoren en todo momento de como debe ser una gestión correcta de datos.

Para facilitar estas últimas tareas, LOPDAT PROTECCION DE DATOS ha establecido convenios con empresas líderes en sus sectores y pondrá a su disposición próximamente los siguientes servicios:

  1. COPIAS DE SEGURIDAD ON LINE: sencillo programa que hace una copia de seguridad constante de nuestros equipos y la almacena en un CPD en Madrid.
  2. TRITURADORAS DE PAPEL: oferta de trituradoras de papel que destruyen documentos de forma rápida y silenciosa.
  3. DESTRUCCIÓN MASIVA: destrucción masiva de papel, con certificado de destrucción de datos según las exigencias de la LOPD.
  4. SELLO DE GARANTIA DE PROTECCION DE DATOS: para las empresas comprometidas con el cumplimiento de la LOPD según lo estipulado en este articulo, LOPDAT emitirá un sello que garantiza este compromiso.
    subir

3.
sanciones sobre protecciÓn de datos: la relajación en la aplicación de la lopd, cuesta 6000 €.
la aparición en internet de datos de ficheros de los que somos responsables no puede meter en un lío.

Con el ejemplo de la siguiente sanción pretendemos hacer hincapié en dos aspectos del cumplimiento de la LOPD:

  1. La correcta implantación de las medidas de seguridad informática en los equipos que manejen datos.
  2. La importancia de firmar contratos de confidencialidad con todas las empresas que puedan acceder a los datos de los que nosostros

La sanción que apareció en los medios de comunicación es la siguiente:

Multan con 6.000 euros a un gimnasio por difundir en la red datos bancarios de clientes
La Agencia de Protección rebaja la sanción inicial, de 120.000 euros, al no constar intencionalidad en la divulgación en internet de esas informaciones personales

No disponer de los perceptivos sistemas de seguridad informáticos para la privacidad de información puede salir muy caro. La Agencia Española de Protección de Datos ha sancionado con 6.000 euros a una cadena de gimnasios por difundir datos personales de sus clientes en internet, entre los que se incluyen números de cuentas bancarias.
Inicialmente, la agencia había impuesto dos multas de 60.101,21 millones de euros a la empresa, pero más tarde comprobó que “no constaba intencionalidad ni reincidencia en la conducta, consistente en vulnerar las medidas de seguridad en relación con los datos de carácter personal de sus clientes, apreciándose una cualificada disminución de la culpabilidad”, por lo que procedió a establecer una sanción leve. En este sentido, la agencia también tuvo en cuenta a la hora de rebajar la multa económica “la rapidez para corregir la infracción cometida una vez tuvo conocimiento de la misma (72 horas) y las medidas adoptadas para evitar que se vuelva a producir”.
Protección de Datos, a través de una inspección realizada en los establecimientos de dicha empresa, constató que comparten la aplicación informática para la gestión de la entidad, aunque en ningún momento se ha tenido constancia en ninguno de los ordenadores ubicados en la entidad la existencia del programa “eMule”, que permite compartir archivos y extraer ficheros a otros usuarios de Internet conectados, tal y como reconoce el propio propietario de la cadena de gimnasios, que elude toda responsabilidad y considera “excesiva” la sanción de 6.000 euros impuesta. El abogado del dueño de las instalaciones deportivas ya ha presentado un recurso de reposición contra la resolución de la Agencia Española de Protección de Datos, que dice “no es definitiva”.

La culpa, del informático
El empresario reconoce que el sistema informático de los gimnasios “no tenía el sistema de seguridad que exige la Ley de Protección de Datos, pero inmediatamente procedimos a la contratación de una empresa para instalarlo”. “Hemos demostrado que nosotros no tenemos nada que ver”, añade. La única posibilidad que contempla el dueño del gimnasio es “que por un error se difundiesen los datos cuando llevamos el ordenador a arreglar”.
El empresario defiende que “debería aplicarse en todo caso una sanción leve, no esta totalmente desproporcionada, ya que se debería tener en cuenta que no hubo ninguna denuncia por parte de los clientes. El problema se subsanó en tres días”.
Por su parte, la Agencia de Protección de Datos insiste en que “los ficheros que contengan datos de carácter personal así como el acceso a los mismos están sujetos a la Ley Orgánica de Protección de Datos”, al tiempo que advierte que dicha ley “impone al responsable del fichero la adopción de medidas de seguridad que eviten accesos no autorizados”.

subir

4.
Consejos sobre la LOPD: la formacion de los usuarios, pieza clave en la aplicación de la lopd

En el Documento de Seguridad de Protección de Datos, se incluyen diferentes medidas de seguridad para proteger los sistemas, almacenar los documentos en papel, controlar la gestión de los datos, etc. Pero ninguna de estas medidas seria efectiva si los usuarios que manejan la información no se implican en la aplicación de la LOPD. Reiterando la idea de todo este boletín, no le debemos plantear las medidas como "algo que hay que hacer para que no nos sancionen", sino como un sistema de buenas practicas a la hora de gestionar información.

Muchas empresas ya tenían antes de la implantación, medidas para garantizar el acceso a los sistemas o la correcta gestión de los documentos, con una aceptación muy alta de los usuarios de esta forma de trabajar.

¿Realmente es necesario que una ley nos diga lo importante que es hacer copias de seguridad de nuestros ordenadores?. ¿cuantas empresas pueden sobrevivir a la pérdida total de información?.

Tenemos que aleccionar a nuestros usuarios sobre ciertos puntos clave de la LOPD:

  1. Que las normas que se les obligan a cumplir son por el beneficio de la empresa.
  2. Que tengan interés por resolver todas las dudas que les plantea la protección de datos.
  3. Que una empresa que se preocupa por la correcta gestión de los datos, es una empresa que da una buena imagen al exterior.

subir

5.
Conozca mejor la Ley: tratamiento de datos de menores.
La edad que limita el tratamiento de datos es de 14 años

Existen dudas de que tratamiento debemos hacer de los datos de menores, para solucionarlo vamos a ver los artículos que referencian este tratamiento en el Real Decreto 1720/2007:

Artículo 13. Consentimiento para el tratamiento de datos de menores de edad.

1. Podrá procederse al tratamiento de los datos de los mayores de catorce años con su consentimiento, salvo en aquellos casos en los que la Ley exija para su prestación la asistencia de los titulares de la patria potestad o tutela. En el caso de los menores de catorce años se requerirá el consentimiento de los padres o tutores.

2. En ningún caso podrán recabarse del menor datos que permitan obtener información sobre los demás miembros del grupo familiar, o sobre las características del mismo, como los datos relativos a la actividad profesional de los progenitores, información económica, datos sociológicos o cualesquiera otros, sin el consentimiento de los titulares de tales datos. No obstante, podrán recabarse los datos de identidad y dirección del padre, madre o tutor con la única finalidad de recabar la autorización prevista en el apartado anterior.

3. Cuando el tratamiento se refiera a datos de menores de edad, la información dirigida a los mismos deberá expresarse en un lenguaje que sea fácilmente comprensible por aquéllos, con expresa indicación de lo dispuesto en este artículo.

4. Corresponderá al responsable del fichero o tratamiento articular los procedimientos que garanticen que se ha comprobado de modo efectivo la edad del menor y la autenticidad del consentimiento prestado en su caso, por los padres, tutores o representantes legales.

 

subir

6.
Actualidad: jornadas abiertas de protección de datos.
LOPDAT va a celebrar durante el mes de Junio, jornadas abiertas de protección de datos en diferentes localidades.

En LOPDAT nos preocupa que nuestros clientes o posibles clientes tengan una idea clara de lo que significa implantar la protección de datos en una empresa. Por este motivo se han planificado una serie de jornadas abiertas y gratuitas a todos los interesados en la correcta implantación de la LOPD.

El programa de las jornadas se enfoca a los siguientes puntos:

  • ¿Que es la LOPD y a que se debe la obligación de cumplirla?
  • Realmente, ¿que es lo que tengo que hacer para adaptarme?
  • Ejemplos de como se aplica la ley.
  • Dudas que plantea la legislación actual de protección de datos.

Para facilitar la asistencia se han programado charlas en los siguientes lugares:

  • Santiago de Compostela.
  • A Coruña.
  • Vigo.
  • Vilagarcía de Arousa.
  • Zona de la mariña lucense.
  • Madrid.
  • Pamplona.

Ante el aforo limitado de los locales puede reservar una plaza enviando un correo a lopdat@grupoisonor.es, referenciando en el asunto "ASISTENCIA A JORNADA DE PROTECCION DE DATOS".

subir

Grupo Isonor (www.isonor.es * info@isonor.es * Tel 902 202 145 )

Política de Protección de Datos
Política de Protección de Datos		 Aviso Legal
Aviso Legal		 Comprometidos con el Medio Ambiente
Comprometidos con el Medio Ambiente		 Comprometidos con la Calidad
Comprometidos con la Calidad