LOPD - Servicios de CiberSeguridad y Protección Legal - Implantación y Auditoría

Protección de Datos (LOPD)

Ley de protección de datos de carácter personal

La Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal (LOPD) es una Ley Orgánica española que tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor, intimidad, y privacidad personal y familiar. Su objetivo principal es regular el tratamiento de los datos y ficheros, de carácter personal, independientemente del soporte en el cual sean tratados, los derechos de los ciudadanos sobre ellos y las obligaciones de aquellos que los crean o tratan.

No dejes de visitar nuestra sección de Ayuda con la LOPD

Aunque, en un principio, la Ley Orgánica de Protección de Datos nos pueda parecer un engorro más en nuestro negocio, debemos entender que el objetivo que persigue no solo se ajusta a la legalidad sino que además, su legislación es imprescindible para garantizar nuestro derecho a la privacidad, la intimidad y la seguridad. Si lo analizamos con cierta objetividad, rápidamente nos daremos cuenta que se trata de una medida necesaria destinada a frenar y perseguir los abusos cometidos por algunas empresas o personas sin escrúpulos, que partiendo de la buena fe de la mayoría, se dedican a recabar nuestros datos privados y a comerciar indiscriminadamente con ellos.

Resulta lógico pensar que aquella entidad a la que facilitó su número de tarjeta de crédito, o el número de la cuenta corriente, adopte las medidas necesarias para que esos datos no estén al alcance de terceros…Y, de la misma forma, nadie tiene derecho a comerciar o utilizar cualquier otro dato que pueda servir para contactar con usted , para identificar mis sus gustos, su ideología política, raza, inclinaciones sexuales o cualquier otra información que se encuentre dentro de su ámbito privado.

Como personas individuales, debemos exigir a todo aquel al que libremente le hayamos facilitado los datos que debe, primero, establecer todas las medidas necesarias para evitar el acceso a los mismos de terceros no autorizados y segundo, a que se utilicen exclusivamente conforme al fin para los que fueron solicitados.

Si bien, la ley orgánica de protección de datos, entró en vigor en 1999, su cumplimiento había pasado un tanto desapercibida para ciertas empresas y profesionales. No obstante, parece que las medidas de control se están endureciendo considerablemente con sanciones tipificadas de la siguiente manera:




De conformidad con los artículos 96 y 110 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (RDLOPD): "A partir del nivel medio, los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se someterán, al menos cada dos años, a una auditoría interna o externa que verifique el cumplimiento del presente título. Los informes de auditoría serán analizados por el responsable de seguridad competente, que elevará las conclusiones al responsable del fichero o tratamiento para que adopte las medidas correctoras adecuadas y quedarán a disposición de la Agencia Española de Protección de Datos o, en su caso, de las autoridades de control de las comunidades autónomas."

Grupo Adaptalia realiza auditorías bienales exigidas legalmente cuando se gestionan ficheros que contengan datos de carácter personal de nivel medio y alto.

EL SERVICIO DE AUDITORÍA COMPRENDE:

En cumplimiento de la norma, los servicios a prestar consistirán en la observación de los siguientes aspectos:

1. ANÁLISIS DE LAS MEDIDAS TÉCNICAS Y ORGANIZATIVAS



De acuerdo con el citado precepto, es obligatorio practicar la auditoría sobre el cumplimiento de las medidas, técnicas y organizativas, previstas en el RDLOPD.

El procedimiento a seguir para la realización de la auditoría constará de las siguientes acciones:

  • Revisión de la documentación legal, clausulas, contratos con terceros, etc.

  • Revisión del documento de seguridad, verificación de la correcta actualización de los sistemas de información mediante los que se tratan los ficheros, registro de entrada y salida de soportes, registro de incidencias y demás aspectos del mismo.

  • Ficheros automatizados: sistemas informáticos, aplicaciones, copias de seguridad.

  • Ficheros no automatizados: criterios de archivo, dispositivos de almacenamiento, custodia de soportes

  • Verificación del cumplimiento, adecuación y pertinencia de los procedimientos de identificación, autenticación y control de accesos por parte del personal o usuarios a los ficheros que contengan datos de carácter personal.

  • Adecuación de los procedimientos establecidos para la gestión de soportes.

  • Gestión y registro de incidencias.

  • Adecuación de los procedimientos de realización de copias de respaldo y de recuperación de datos.

  • Pruebas con datos reales.

  • Control de la creación de los ficheros temporales.

  • Control del acceso a datos a través de redes de comunicaciones y adecuación de la transmisión de datos a través de redes de telecomunicaciones.

  • Control del régimen de trabajo fuera de los locales de ubicación de los ficheros.

  • Verificación de la actualización del contenido del Documento de Seguridad.

  • Verificación del cumplimiento de las medidas de seguridad previstas para los ficheros no automatizados.

2. EMISIÓN DEL INFORME DE AUDITORIA DE MEDIDAS TÉCNICAS Y ORGANIZATIVAS.



El informe de auditoría contendrá:

  • Resultado del análisis efectuado.

  • Deficiencias que fueran encontradas y propuesta de medidas correctoras o complementarias.

  • Recomendaciones que se pudieran efectuar.

  • Conclusiones del auditor acerca del grado de cumplimiento de la normativa legal.

La auditoría de adecuación al RDLOPD dará lugar a un informe que deberá dictaminar sobre la adecuación de las medidas y controles a la Ley y su desarrollo reglamentario, identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias.

Este informe se pondrá a disposición del Responsable de Seguridad, a los efectos de elevar después las conclusiones al Responsable del Fichero o Tratamiento para que adopte las medidas correctoras adecuadas.

La LOPD exige a las empresas cumplir con unos requisitos fundamentales que abordamos de una manera ágil, dinámica y resolutiva para que la empresa quede adecuada a lo que manda la ley. Estos requisitos fundamentales y nuestras soluciones se basan en:

Lo primero a realizar es proceder a la inscripción de ficheros en la Agencia Española de Protección de Datos (AGPD). Dichos ficheros son carpetas conceptuales que indican los datos que gestionamos en la empresa, su finalidad y sistema de tratamiento de esos datos. Ejemplos básicos son: nóminas, clientes y proveedores.

Este proceso burocrático lo gestionamos íntegramente nosotros una vez que nuestro departamento jurídico con la colaboración del responsable asignado en la empresa para la LOPD, realice un análisis previo de su empresa.

El responsable de ficheros debe velar por el cumplimiento de la Ley en su organización. Por lo tanto es el encargado de:

  • Notificar los ficheros ante el Registro General de Protección de Datos para que se proceda a su inscripción.
  • Asegurarse de que los datos sean adecuados y veraces, obtenidos lícita y legítimamente y tratados de modo proporcional a la finalidad para la que fueron recabados.
  • Garantizar el cumplimiento de los deberes de secreto y seguridad.
  • Informar a los titulares de los datos personales en la recogida de éstos.
  • Obtener el consentimiento para el tratamiento de los datos personales.
  • Facilitar y garantizar el ejercicio de los derechos de oposición al tratamiento, acceso, rectificación y cancelación.
  • Asegurar que en sus relaciones con terceros que le presten servicios, que comporten el acceso a datos personales, se cumpla lo dispuesto en la LOPD.
  • Cumplir, cuando proceda, con lo dispuesto en la legislación sectorial que le sea de aplicación.

El documento de seguridad se encuentra regulado en el artículo 88 del Reglamento de la Ley Orgánica de Protección de Datos (Real Decreto 1720/2007). Se trata de un documento de carácter interno que refleja las normas, reglas, procedimientos de actuación y estándares técnicos y organizativos encaminados a garantizar la seguridad de los datos de carácter personal.

El documento de seguridad es de obligado cumplimiento para todo el personal que acceda a los sistemas de información y deberá mantenerse actualizado en todo momento.

Podrá ser único y comprensivo de todos los ficheros o tratamientos, o bien individualizado para cada uno.

Este documento recoge las normas por las que deberá regirse el empleado en su empresa y deberá redactarlo en función del nivel de seguridad que deba imponerse respecto a esos datos.

El documento de seguridad debe contener:

  • Ámbito de aplicación del documento con especificación detallada de los recursos protegidos.
  • Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en este Reglamento.
  • Funciones y obligaciones del personal.
  • Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan.
  • Procedimiento de notificación, gestión y respuesta ante las incidencias.
  • Los procedimientos de realización de copias de respaldo y de recuperación de los datos.
Una parte importante de la regularización en la LOPD es la cesión de datos, ya que diariamente las empresas se relacionan entre ellas por múltiples fines, pero este es solo un ejemplo de la finalidad de los clausurados que necesita una empresa en su actividad diaria.

Las leyendas o clausulados que facilitamos, le servirán para introducirlos en contratos con otras empresas como las asesorías laborales, por ejemplo. Este punto hace llegar a dos objetivos claros:

  • a) Garantizar al particular que la empresa con la que se relaciona mediante contrato cumple con la LOPD.
  • b) Formalizar todos los contratos con las empresas y empleados con los que trabajo.

Al igual, cuando hablamos de comunicación externa nos referimos a la obligatoriedad ante la ley de comunicar a las personas/empresas con las que entraño relación mercantil que actúo conforme a la normativa.
La normativa especifica que debe nombrarse un responsable en LOPD para la empresa, que se encargue de definir la finalidad, el contenido y el uso del tratamiento de los datos personales.

Dicho responsable debe formarse para tener pleno conocimiento de lo que dice la ley a fin de poder velar por el cumplimiento en la gestión diaria de la empresa.

En Grupo Adaptalia ofrecemos cursos formativos para dichos responsables mediante una plataforma e-learning en la que podrán acceder las 24 horas del día.

Cada módulo formativo ha sido diseñado por profesionales en el área concreta a tratar con temarios actualizados basados en las normativas vigentes.

Durante la realización de la capacitación, los responsables tendrán un tutor personal que les resolverá cualquier duda que puedan tener durante el proceso formativo.

Igualmente, en una segunda fase, cuando la política de privacidad de la empresa (documento de seguridad) esté redactada, la empresa tiene la obligación de darla a conocer al resto de los empleados con el fin de asegurarse que comprenden claramente la normativa por las que deben regirse al tratar cualquier tipo de dato personal.

Este proceso lo abarcaremos con cursos formativos adaptados al nivel requerido de cada empleado porque, por ejemplo, no será la misma formación que ha de recibir el mecánico de un taller que el personal administrativo del mismo.

La regulación del régimen jurídico de los servicios de la sociedad de la información y de la contratación por vía electrónica, en lo referente a:


Son servicios de la sociedad de la información, entre otros y siempre que representen una actividad económica, los siguientes:

  • Las obligaciones de los prestadores de servicios incluidos los que actúen como intermediarios en la transmisión de contenidos por las redes de telecomunicaciones.
  • Las comunicaciones comerciales por vía electrónica.
  • La información previa y posterior a la celebración de contratos electrónicos.
  • Las condiciones relativas a su validez y eficacia.
  • El régimen sancionador aplicable a los prestadores de servicios de la sociedad de la información.
  • La contratación de bienes o servicios por vía electrónica.
  • La organización y gestión de subastas por medios electrónicos o de mercados y centros comerciales virtuales.
  • La gestión de compras en la red por grupos de personas. El envío de comunicaciones comerciales.
  • El suministro de información por vía telemática.
  • El vídeo bajo demanda, como servicio en que el usuario puede seleccionar a través de la red, tanto el programa deseado como el momento de su suministro y recepción, y, en general, la distribución de contenidos previa petición individual.

No tendrán la consideración de servicios de la sociedad de la información los que no reúnan las características señaladas en el primer párrafo de este apartado y, en particular, los siguientes:

  • Los servicios prestados por medio de telefonía vocal, fax o télex.
  • El intercambio de información por medio de correo electrónico u otro medio de comunicación electrónica equivalente para fines ajenos a la actividad económica de quienes lo utilizan.

Las sanciones tienen una elevada cuantía. Dichas sanciones dependen de la infracción cometida.

Sanciones y cuantía

  • Las sanciones leves van hasta 30.000 €
  • Las sanciones graves van desde 30.001 a 150.000 €
  • Las sanciones muy graves van desde 150.001 a 600.000 €

El Nuevo Reglamento General de Protección de Datos RGPD aumentará las Sanciones por incumplimiento de la LOPD