Medidas de seguridad en el Reglamento Europeo

Seguridad y protección de datos

Como sabemos, el RD 1720/2007, de 21 de diciembre (Reglamento de desarrollo de la LOPD), regula un número significativo de medidas técnicas de seguridad que los responsables de fichero han de poner en práctica para hacer efectivo el Derecho a la protección de datos de carácter personal. A nadie se le escapa que dicho Derecho quedaría en nada si no viniera respaldado por un mínimo de seguridad.

Como no podía ser de otra forma, al legislador europeo también le ha preocupado especialmente este tema. Así, en el considerando 78 del nuevo Reglamento Europeo se indica que es necesaria la adopción de medidas técnicas y organizativas que garanticen el cumplimiento de los requisitos del propio Reglamento. Se hace una relación de qué tipo de medidas pueden ser estas; a saber:

  1. Reducir al máximo el tratamiento de datos personales.
  2. Seudonimizar lo antes posible los datos personales.
  3. Dar transparencia a las funciones y el tratamiento de datos personales.

El considerando 81 incide, por otro lado, en la necesidad de que el responsable de fichero que contrata a un encargado de tratamiento, recurra únicamente a encargados que ofrezcan suficientes garantías (conocimientos especializados, fiabilidad, y recursos de cara a la aplicación de medidas técnicas y organizativas propias del reglamento, entre ellas, la seguridad, por supuesto).

Además, la relación con este encargado de tratamiento (como ya dispone nuestro artículo 12 LOPD), debe constar en un contrato escrito con un contenido definido por la norma.

Por tanto, hay que ser muy cautelosos a la hora de contratar a un prestador de servicios que vaya a tratar datos de nuestros clientes (por ejemplo: un asesor fiscal), y elegir a aquellos que cumplan la normativa de protección de datos.

En el considerando 83, nos dice el Reglamento Europeo que el responsable de ficheros debe evaluar los riesgos propios del tratamiento y aplicar medidas para mitigarlos, como el cifrado, y el 85, se impone la obligación de notificar –en un plazo de 72 horas- a la autoridad de control competente las violaciones se seguridad que puedan producirse (también se habrá de notificar al propio perjudicado).

Por su parte el considerando 90 establece que en determinados casos, los responsables de fichero tendrán que realizar una evaluación de impacto sobre protección de datos para valorar la particular gravedad y probabilidad del alto riesgo.

¿Qué comunicar a la AEPD?

Registro Agencia Española Proteccion Datos

A lo largo de las entradas de este blog, he ido hablando de este tema, pero dado que es una de las preguntas que más me hacen a lo largo del día, le quiero dedicar hoy un artículo especial.

Se trata de una cuestión que preocupa mucho a empresarios, profesionales y responsables de otras entidades, a la hora de adaptarse a la normativa sobre protección de datos de carácter personal.

Es la siguiente:

– Pero Vanesa, ¿qué datos le tengo que comunicar yo a la Agencia Española de Protección de Datos?

A esa pregunta, muchos clientes inquietos añaden otra –sin darme tiempo para contestar la primera-, que es ésta:

– ¡¿No tendré que decirle a la Agencia los nombres y datos de todos mis clientes, verdad, Vanesa?!

Tranquilidad.

No, señor.

No tienes que decirle a la Agencia los datos de tus clientes, ni mucho menos.

Realmente los datos que la Ley te obliga a comunicarle a la Agencia son muy pocos:

1º. Tienes que comunicarle a la AEPD qué ficheros de datos de carácter personal vas a almacenar y tratar. Esto se hace mediante un formulario que se notifica al referido organismo, donde tienes que especificar tus datos profesionales de contacto (nombre, domicilio social, CIF, actividad y poco más) y el tipo de datos que manejarás. En ningún momento tienes que trasladar a la Administración información sobre tus clientes, trabajadores, proveedores, contactos…

2º. Brechas o incidentes de seguridad que afecten a datos personales: pero ojo, que esta obligación sólo te afecta si eres un proveedor de servicios de comunicaciones electrónicas. No se te aplica en el resto de los casos.

Y para de contar.

Por supuesto, que en términos más amplios, estás sujeto a lo que se conoce como deber de colaboración con la administración, de tal modo que si te abren un expediente en la Agencia y te requieren para que aportes algún datos, en principio, tendrás que hacerlo.

¡Ah, Vanesa, espera –me añaden los clientes más avispados-, te olvidas de las auditorías bienales!

Pues no, te equivocas. No me he olvidado.

Sencillamente, ni la LOPD ni su Reglamento de desarrollo exigen que envíes a la Agencia el resultado de la auditoría. Sólo se especifica que deberá estar a disposición de una posible inspección.

Cierro esta entrada comentando el tema de los Códigos Tipo, por si has oído hablar de ellos y te han dicho que se tienen que registrar en la AEPD.

Eso sí es correcto.

No obstante, los Códigos Tipo no son obligatorios y sólo los elaboras si así lo quieres. Tienen el carácter de códigos deontológicos o de buena práctica profesional.

Espero haber aclarado estas cuestiones de una vez.

Incidentes de seguridad LOPD

Imagina que tienes una actividad profesional en marcha.

Has invertido una buena cantidad de dinero y tiempo, le has puesto toda tu ilusión, has cumplido toda esa infinidad de requisitos y normativas que te afectan, e incluso te has adaptado a la LOPD.

Tienes tu documento de seguridad, tu alta en el registro de la Agencia Española de Protección de Datos, has adaptado tu web a las exigencias de la LSSICE, has implantado hasta la última de las medidas de seguridad establecidas en el Reglamento de desarrollo de la LOPD y lo haces todo a la perfección.

Pero un buen día (o mal día, mejor dicho) te levantas como habitualmente, desayunas, tratas con tus clientes, tus proveedores, realizas las llamadas habituales, comes en casa de tu suegra… ¡y de repente: un incidente de seguridad!

Saltan las alarmas, te llevas las manos a la cabeza, cierras los ojos, respiras hondo, cuentas hasta diez y esperas que haya sido una pesadilla, pero no: la realidad te golpea como un mazo y al final te das cuenta de que ha ocurrido y ya no tiene solución.

Un incidente de seguridad –en muchos casos- está tan solo a un click de ratón de cualquiera de nosotros.

A mí me ha pasado. A grandes empresas le ha pasado. A más de una administración pública le ha pasado. A tu amigo Pepe le ha pasado.

No hay ninguna razón para que mañana no te pueda pasar a ti.

Somos personas y nos equivocamos.

Otras veces, fallan las máquinas, los programas, los sistemas automatizados…

Sea lo que sea, en un segundo, te ves como un claro infractor de la LOPD, que – ya lo sabemos- es una norma que impone multas la mar de sustanciosas.

Mi primer consejo, a título personal, es que no te desesperes. Ya ha ocurrido y no tiene remedio. Torturarse sirve de poco.

Eso sí: aprende del incidente, minimiza los daños y haz todo lo posible porque no vuelva a sucederte nunca más.

Uno de los errores que me encuentro con más frecuencia –ya os he hablado en otras entradas de multas de la AEPD por esta cuestión- es el de los envíos masivos de e-mails que por equivocación, se hacen usando la opción CC del correo electrónico, en lugar de la opción BCC o CCO.

Una vez que hiciste click en el botón enviar, ya sabes que no hay marcha atrás…

El resultado –contrario a la LOPD- es que un montón de clientes o destinatarios de e-mail, pueden ver la dirección de correo electrónico de todos los demás.

Sé lo mal que te sientes (a mí me pasó hace muchos años), pero el mundo no se acaba aquí.
Esto es lo que yo –de forma resumida- recomiendo hacer en estas situaciones:

1º. Envía un nuevo e-mail –esta vez usando la opción BCC o CCO, eso sí- explicando lo ocurrido y que se ha debido a un error técnico, humano o del tipo que sea. Haz saber a los destinatarios, en el mismo mensaje, que deben eliminar el e-mail anterior.

2º. ¿Y a la AEPD? ¿Se lo decimos? Sólo los proveedores de servicios de comunicaciones electrónicas están legalmente obligados a comunicar el incidente de seguridad a la AEPD. Hay quien, en estos casos, decide autodenunciarse a la AEPD. Francamente, yo no lo recomiendo ni le veo sentido a hacerlo.

3º. Minimiza los daños en la medida de lo posible. Si tenías programada una segunda tanda de envíos, por supuesto, detén el proceso.

4º. Haz lo que esté en tu mano para evitar que vuelva a ocurrir.

Nuestros amigos de PC-CITOS nos dan una solución muy interesante para evitar en el futuro el problema del envío de e-mails sin usar la función de copia oculta.

Es tan sencillo como instalar una aplicación que –en cierto modo- suprime la maldita opción CC.

Así me lo explica Miguel, de PC-CITOS:

Es tan sencillo como instalar un módulo: se llama “Use Bcc Instead”

Se puede descargar aquí: https://addons.mozilla.org/en-US/thunderbird/addon/use-bcc-instead/

Aunque se puede buscar también en la sección “Complementos” del cliente de correos Thunderbird.

Ahora, configurado correctamente, no permite el envío sin BCC si el correo va dirigido a más de una persona, además comienza las nuevas redacciones con BCC activado por defecto.

Aquí podemos ver cómo configurar el complemento:

 

Y aquí cómo se vería en la lista de complementos o módulos al buscarlo o instalarlo: