Medidas Seguridad LOPD y multas


Cuando asesoro a médicos, abogados, procuradores y otros profesionales o entidades que tratan datos de nivel alto, suelen preguntarme  si deben o no poner cerraduras en las puertas de las habitaciones donde se contienen datos de carácter personal en formato no automatizados (es decir: en papel).

Mi respuesta no puede ser otra que por supuesto que deben, porque así lo exige el artículo 111 del Real Decreto 1720/2007, de 21 de diciembre por el que se aprueba el Reglamento de desarrollo de la LOPD.

Literalmente, exige ese precepto que:

Artículo 111 Almacenamiento de la información

1. Los armarios, archivadores u otros elementos en los que se almacenen los ficheros no automatizados con datos de carácter personal deberán encontrarse en áreas en las que el acceso esté protegido con puertas de acceso dotadas de sistemas de apertura mediante llave u otro dispositivo equivalente. Dichas áreas deberán permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en el fichero.

2. Si, atendidas las características de los locales de que dispusiera el responsable del fichero o tratamiento, no fuera posible cumplir lo establecido en el apartado anterior, el responsable adoptará medidas alternativas que, debidamente motivadas, se incluirán en el documento de seguridad.

Por tanto, la norma es que los documentos estén en áreas cerradas, salvo que por las características del local eso no sea posible y se implanten medidas de seguridad alternativas. Una medida de seguridad alternativa podría ser, por ejemplo, la custodia de las zonas mediante personas destinadas a tal fin. Otra cosa es que luego eso se pueda demostrar ante una inspección, claro está…

Suelen decirme los que me consultan que para ellos es un problema tener que cambiar instalaciones, estructuras y poner cerraduras en las puertas. Cosa que imagino que ocurrirá de verdad en algunos casos, pero intuyo que en otros el problema no es tanto y que más les valdría –para evitar problemas-buscar un cerrajero, comprar pomos con cerradura, instalar algún dispositivo externo con cerradura, o similar…

La cuestión es que mucha gente cree que es una medida de seguridad poco importante, porque “total, nadie va a saber si tengo o no puertas con cerraduras”.

Ya.

Lo mismo nadie lo sabe, o lo mismo acaba trascendiendo y  te imponen una multa por infracción grave (de 40.001 a 300.000 euritos de nada), cuya existencia –por poner un caso- se declaró en el caso  de un Centro de Salud de Lerma (Burgos), mediante la Resolución nº 2560/2012 de la Agencia Española de Protección de Datos (procedimiento nº AP/12/2012).

Se trata de un caso real en el que alguien sustrajo 16 expedientes médicos de los cajones de la mesa de una consulta del referido centro de salud. La consulta tenía dos puertas de acceso que no cerraban bien y bastaba con empujar para acceder a ellas. Además, los cajones de la mesa no tenían cerradura ni equivalente.

Se vulneró por tanto el artículo 9 de  la LOPD, que se refiere al principio de seguridad y que impone al responsable de fichero la obligación de implantar medidas de seguridad físicas que impidan el acceso no autorizado a los datos.

Y sí, podría ocurrirte a ti, y podrías ser sancionado “de verdad”.

Incidentes de seguridad LOPD


DIEZ GRANDES ÉXITOS CINEMALOPDGRÁFICOS

LO QUE EL INCIDENTE DE SEGURIDAD SE LLEVÓ

En un pueblo al sur de España, llamado Malagatlanta, años há, vivía cómodamente la Señorita Escarchata.

Escarchata era dueña de un fructífero negocio de fabricación y venta de peladillas magentas, y cuando la vida más le sonreía, justo entonces, sufrió un indecente de seguridad.

Una noche, cuando ya todos los obreros se habían marchado y vuelto a casa, Escarchata invitó a un champán a su amigo –indecente-, el de seguridad (un vigilante, vamos), Rhett Burlete, dentro de la sala de servidores, donde tres potentes ordenadores procesaban miles y miles de datos de clientes, de proveedores de almendra, de personas y de obreros.

En un momento de sensual distracción, el contenido de una de las copas de champán, cayó sobre uno de los equipos informáticos, lo que inmediatamente provocó un cortocircuito, que a su vez originó un incendio que asoló la sala de servidores y 3/5 partes de la fábrica.

Y lo peor es que ni siquiera tenían copia de seguridad…

A la mañana siguiente, erguida sobre un páramo, la señorita Escarchata lloraba desconsolada viendo aquel panorama desolador, y entonces pronunció aquella famosa frase que pasaría a la historia:

Aunque tenga que matar, engañar, aprender a bailar salsa con el hijoputa de Antonio  o contratar a Vanesa Lopd de LOPD DIRECTA, a Dios pongo por testigo de que jamás volveré a traerme mis ligues a la sala de servidores para tener eso de un indecente de seguridad…

FIN

Epílogo.

Las indecencias se pagan caras.

Y los incidentes de seguridad en tu empresa, también.

Con independencia de lo que la normativa de protección de datos establezca sobre estas materias…: ¿por casualidad te has parado a pensar la catástrofe que podría ser para tu negocio perder miles de datos de tus clientes, contactos, empleados, etc…?

La idea de continuidad del negocio, de la que se habla con insistencia en la ISO 27001 y en la que tanto se centran los SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN, adquiere hoy especial sentido, pues nos movemos en un mundo digital donde importantes cantidades de información se encuentran almacenadas en equipos informáticos propios o de terceros. Así, recuerdo con especial intensidad lo mucho que insistían los auditores de la 27001 en el tema de los planes de continuidad del negocio, cuya elaboración, desarrollo y puesta en práctica son obligatorios para obtener un certificado de la referido ISO.

No es sólo la Ley, sino el sentido común lo que debería obligarte a preparar algún sistema de respuesta ante una incidencia de seguridad que provoque una pérdida de datos en tu negocio.

Mas curiosamente, es este un tema que la mayoría de mis clientes pretenden eludir o al que no le dan la menor importancia.

Centrándonos ya en la legislación de protección de datos, debes saber que el RD 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, se refiere a la problemática de los incidentes de seguridad en su artículo 90, por una parte.

Dice este precepto que:

Deberá existir un procedimiento de notificación y gestión de las incidencias que afecten a los datos de carácter personal y establecer un registro en el que se haga constar el tipo de incidencia, el momento en que se ha producido, o en su caso, detectado, la persona que realiza la notificación, a quién se le comunica, los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas.


Además, si tienes datos de nivel medio o alto, a esta obligación tendrás que añadirle la de incluir en el registro de incidencias, la información relativa a los procesos de recuperación que se hayan llevado a cabo, y la de autorizar expresamente dichos procesos.

Estas normas, además, se completan con las relativas la imposición de realizar copias de seguridad, con lo que la ley pretende que seas en todo momento capaz de reconstruir tus sistemas de información al momento anterior a haberse producido el incidente.

Se trata de que lo antes posible, puedas seguir prestando tus servicios profesionales o desarrollando tu actividad, tras un incidente se seguridad, como puede ser la pérdida de datos tras un incendio o un robo en tus oficinas.

Copias de seguridad-LOPD

DIEZ ERRORES MUY HABITUALES EN MATERIA DE LOPD y LSSICE.

QUINTO ERROR:

En esta ocasión vamos a ver el tema de las copias de seguridad, copias de respaldo y recuperación, o backups.

Aunque a muchos les resulte extraño, hoy día sigue habiendo un número importante de empresarios y profesionales que no han tomado conciencia de la importancia de realizar copias de seguridad de la información existente en sus equipos.

Si bien voy a tratar esta obligación desde el punto de vista de la normativa de protección de datos, probablemente en tus ordenadores haya más cosas aparte de los datos de tus clientes, trabajadores o similares, que no te gustaría perder y que de perderse, te acarrearían bastantes complicaciones.

Con esto se pretende poner de manifiesto, que la realización de copias de seguridad siempre va a ser una medida muy conveniente y que en muchas ocasiones puede asegurar la continuidad de tu negocio y que le prestes a tu clientela un servicio óptimo.

Centrándonos ya en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), encontramos que su artículo 9 se refiere al principio de SEGURIDAD DE LOS DATOS. Su apartado 1º indica que:

El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.

Una de esas medidas de seguridad, que sirven para evitar alteración, pérdidas y accesos no autorizados en relación con los datos personales, es precisamente la realización de copias de seguridad.

Esta obligación se detalla en el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprobó el Reglamento de desarrollo de la LOPD, en concreto en sus artículos 94 y 102.

La norma general es que se harán copias de seguridad una vez por semana –al menos-, y se conservará dicha copia, en sitio distinto a aquel donde se encuentren los soportes que contienen los datos, en caso de datos de nivel alto.

Pese a la claridad de  estos preceptos, con frecuencia, mis clientes me discuten la pertinencia de esta obligación legal de hacer copias de seguridad, alegando que “a la Ley qué más le da si yo hago o no copias de seguridad, pues ese es mi problema, y si pierdo los datos me fastidio, pero es cosa mía”.

Estos detractores de la norma se equivocan radicalmente: un abogado que pierde datos informáticos, como por ejemplo, demandas presentadas por vía electrónica, documentos firmados digitalmente, o un médico que pierde de sus ordenadores informes médicos que ni siquiera habían sido impresos en papel, pueden provocar importantes perjuicios a sus clientes o pacientes. Creo que cualquier persona es capaz de entenderlo en estos supuestos.

A la Ley sí le importa, al legislador sí le importa, y le debe importar que tú pierdas los datos de carácter personal de tus ordenadores. ¿Qué sucedería, por poner otro ejemplo, si las grandes empresas que prestan servicios en internet y que recogen y tratan todos los datos en sus bases de datos informatizadas, tuvieran una avería o incidente y perdieran en unos segundos todos nuestros datos? Tu proveedor de internet, tu proveedor de telefonía móvil, tu empresa de reserva de hoteles online… No podrían seguir prestándote servicios si perdieran definitivamente tus datos.

Es una cuestión más importante de lo que piensas y la Ley no hace excepciones: si estás bajo el ámbito de aplicación de la LOPD, siempre hay que hacer copias de seguridad.