Copias de seguridad

Por medio de sus resoluciones, la Agencia Española de Protección de Datos viene manifestando que las copias de seguridad constituyen uno de los cimientos de la disponibilidad de la información, es decir: la capacidad de acceder a la información tras ocurrir un hecho que provoque una interrupción no deliberada en los accesos a la información, bien sea por causas naturales, bien por mal funcionamiento de los sistemas o por otras causas.
Esa capacidad de recuperación de la información frente a una incidencia requiere, en primer lugar, de la disposición de una copia fiel de la información, que será factible en función de los procedimientos de copia de respaldo que se hayan implantado.
Igualmente, la eficacia de la reconstrucción requiere de la capacidad de volver a disponer de la estructura que alberga dicha información, de la de poder volver a reubicar los datos existentes, tarea que es asignada al procedimiento de recuperación de datos.
Se trata de dos procesos interdependientes, necesitando el uno del otro, y ambos en conjunto son imprescindibles para que sea real la capacidad de devolver el sistema al momento anterior al fallo con un grado adecuado de fiabilidad.
Todo ello implica en la práctica que los procedimientos sean definidos con un suficiente grado de detalle, requiriendo incluso la realización de pruebas de los mismos una vez definidos y  configurados.
Muy relacionado con todo lo anterior está el concepto de CONTINUIDAD DEL NEGOCIO, que si bien no encuentra mayor desarrollo en la normativa sobre protección de datos, sí cuenta con un profundo análisis en la ISO 27001, sobre establecimientos de sistemas de gestión de seguridad de la información.
Una interrupción en las operaciones de una empresa (por cualquier causa: terremotos, huracanes, incendios…) provoca que no se pueda operar. Los procesos vitales se ven afectados. Por ello no es posible entregar el producto final o prestar el servicio encomendado y por un tiempo no se puede seguir siendo proveedor confiable. Las estadísticas plantean que una empresa que deja de operar por espacio de diez días consecutivos, jamás se recuperará.
No sirven de mucho los planes estratégicos, ni los modelos de investigación de mercados, ni los sistemas de aseguramiento de la calidad, si no se tiene una metodología implantada que asegure a la cadena de suministros continuidad en el funcionamiento si ocurriera un desastre.
Así, después de la tragedia del 11 de septiembre de 2003, se ha popularizado y se ha convertido en una exigencia mundial que las empresas tengan implantado un Plan de Continuidad del Negocio (PCN) que le permita asegurar a terceros que son proveedores confiables.
Y no sólo los grandes desastres pueden ser fatales para la continuidad del negocio en cualquier empresa, sino también las pequeñas incidencias, como cortes del suministro eléctrico, fallos en internet u otras comunicaciones, defectos en equipos, virus, etc…
Las serias consecuencias de posibles interrupciones en las operaciones de la empresa pueden evitarse si se tiene un PCN.
El PCN es un documento que contiene procedimientos y lineamientos para ayudar a la recuperación y restablecimiento de procesos interrumpidos y recursos al estado de operación normal, en un tiempo prudencial. Se debe organizar en 6 fases:
          FASE 1: BUSINNES IMPACT ANALYSIS: Consiste en identificar los procesos relacionados con apoyar la misión de la empresa y analizar con detalle los impactos en la gestión comercial del negocio si esos procesos fuesen interrumpidos como resultado de un desastre. Se trata de identificar áreas del negocio que son críticas, la magnitud del impacto de una interrupción y los requerimientos de tiempo para la recuperación del negocio.
          FASE 2: GESTIÓN DEL RIESGO: Se evalúan las amenazas de un desastre, se pormenorizan las vulnerabilidades existentes, los potenciales impactos de un desastre, se identifican e implementan controles y se identifican escenarios de amenazas para los procesos esenciales de la empresa.
          FASE 3: DESARROLLO DE ESTRATEGIAS: Se evalúan los requerimientos y se identifican las opciones para la recuperación de procesos críticos y sus recursos, en el escenario en que fuesen interrumpidos por un desastre.
          FASE 4: DESARROLLO DEL PLAN DE REAUNUDACIÓN DE OPERACIONES: Se desarrolla un plan para mantener la continuidad del negocio, basado en las fases previas, por medio de procesos.
          FASE 5: ENSAYO DEL PCN: Se efectúa el ensayo del plan, con miras a poder determinar su grado de precisión y actualización.
          FASE 6: MANTENIMIENTO DEL PCN: se mantiene el PCN en un estado de preparación constante para que en caso de un desastre se pueda ejecutar minimizando las posibilidades de errores.

Art. 5º LOPD: Idioma

Se trata de plantear la cuestión de si es o no obligatorio facilitar en otros idiomas (inglés, por ejemplo, por ser un idioma universal) la información a que se refiere el artículo 5º LOPD, cuando se recogen datos a extranjeros que no hablan el idioma español.
Sobre la materia se ha pronunciado recientemente la Agencia Española de Protección de Datos en su informe nº 340/2010, debiendo llegarse a la conclusión de que si bien no es obligatorio por no exigirlo ninguna norma, sí es recomendable, atendiendo al espíritu de la normativa europea y española.
Así, en el citado informe se indica lo siguiente, como aspectos más relevantes:
1º. La consulta plantea si sería necesario para el cumplimiento de la obligación de información sobre el tratamiento de datos de carácter personal a los clientes de la consultante, ofrecer dicha información en versión inglesa, partiendo de que entre sus clientes figuran personas de habla no española, de acuerdo con lo dispuesto en la LOPD), y a su Reglamento de desarrollo.
2. Según el referido artículo 5, para que los afectados por el tratamiento de datos realizado por la consultante entren a formar parte de la base de datos propiedad de la entidad que realiza la consulta y que será la receptora de los datos, deberán haber sido previamente informados de:
– La existencia de un tratamiento de datos.
– La identidad y dirección del responsable del tratamiento.
– La posibilidad de ejercicio de los derechos de acceso, rectificación, cancelación y oposición, así como ante quién podrán efectuarse.
– La finalidad del tratamiento.
Esta información deberá facilitarse de modo que el afectado tenga un conocimiento inequívoco, expreso y preciso de la misma.
La información en la recogida de datos personales constituye uno de los principios de la protección de datos, un derecho del afectado y un complemento previo de la prestación del consentimiento, cuya omisión puede determinar un vicio del consentimiento para el posterior tratamiento de datos de carácter personal que origine la nulidad del mismo, siendo necesario para que el afectado pueda ejercer otros derechos que la LOPD le reconoce. Así se desprende del texto del artículo 5 al establecer la exigencia de que el mismo sea expreso, preciso e inequívoco.
3. El artículo 18 del Real Decreto 1720/2007, de 21 de diciembre establece que:
El deber de información al que se refiere el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, deberá llevarse a cabo a través de un medio que permita acreditar su cumplimiento, debiendo conservarse mientras persista el tratamiento de los datos del afectado.
El responsable del fichero o tratamiento deberá conservar el soporte en que conste el cumplimiento del deber de informar .Para el almacenamiento de los soportes, el responsable del fichero o tratamiento podrá utilizar medios informáticos o telemáticos. En particular podrá proceder al escaneado de la documentación en soporte papel, siempre y cuando se garantice que en dicha automatización no ha mediado alteración alguna de los soportes originales.”
4. En relación con la concreta cuestión que plantea el consultante referida a si la información debe facilitarse en inglés teniendo en cuenta que entre sus clientes los hay que no son de habla hispana, la normativa sobre protección de datos no recoge esta obligación específica, por lo que puede resultar conveniente acudir al espíritu y finalidad del artículo 5 de la LOPD.
Puede acudirse para ello al Punto VI del Dictamen WP 100 sobre una mayor armonización de las disposiciones relativas a la información, de 25 de noviembre de 2004, del Grupo del Artículo 29.
De acuerdo con el referido Documento, adoptado en el seno del Grupo del artículo 29, la armonización del derecho a la información se basaría en los dos siguientes principios:
a) “Apoyo al principio de que la información proporcionada a los interesados debería utilizar un lenguaje y una presentación fáciles de entender. La comprensión por parte de los interesados constituye un objetivo importante, de manera que puedan adoptar decisiones con conocimiento de causa y dispongan del conocimiento y la comprensión necesarios para influir en las prácticas de los responsables del tratamiento de datos y de los encargados del mismo. En este contexto, es importante garantizar que la información se proporciona de manera adecuada a las personas con necesidades específicas (por ejemplo, a los niños).
b) Apoyo al concepto de un formato de múltiples niveles para los avisos destinados a los interesados. Los avisos de múltiples niveles pueden contribuir a mejorar la calidad de la información recibida sobre laprotección de datos centrando cada nivel en la información que la persona necesita para comprender su posición y adoptar decisiones. En aquellos casos en que el espacio o el tiempo de comunicación sea limitado, los formatos de múltiples niveles pueden mejorar la legibilidad de los avisos”.
En función de todo lo señalado, atendiendo a las circunstancias específicas de las personas clientes de la consultante, parece que el ofrecimiento de la información del artículo 5 de la LOPD no sólo en español, sino en un idioma ampliamente conocido como es el inglés, constituye sin duda una manera más adecuada e inequívoca de llevar a cabo la información.

Videovigilancia y control laboral

Según la definición de dato de carácter personal que hace el artículo 5.1.f) del RLOPD, hemos de partir de que las imágenes se consideran datos de carácter personal, al poder serlo cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables.
El artículo  2 de la instrucción 1/2006, de 8 de noviembre, de la Agencia Española de Protección de Datos, sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras, se remite en cuanto a la legitimación para el tratamiento de imágenes a lo dispuesto en el artículo 6.1 y 2 de la LOPD, donde se establece que “el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa”, sin perjuicio de que dicho consentimiento podrá quedar excluido, de acuerdo con lo dispuesto por el artículo 6.2 cuando el tratamiento sea necesario para el adecuado desenvolvimiento de la relación laboral de los trabajadores con la empresa.
Si la finalidad de la captación de las imágenes es controlar la actividad laboral, hay que estar al artículo 20.3 del el Real Decreto Legislativo 1/1995, de 24 de marzo, por el que se aprueba el texto refundido de la Ley del Estatuto de los Trabajadores (en adelante ET) y que dispone que “El empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad humana y teniendo en cuenta la capacidad real de los trabajadores disminuidos, en su caso”.
Además, conforme a la doctrina del Tribunal Supremo, en Sentencia de 18 de junio de 2006, dichas medidas (como las relacionadas con la utilización de Internet y correo electrónico) deben haber sido hechas constar expresamente al trabajador, pasando así a formar parte de la propia relación laboral y siendo el tratamiento de los datos necesario para su adecuado desenvolvimiento.
De todo ello se desprende que la aplicación del artículo 20.3 ET no legitima por sí solo el tratamiento de las imágenes, si bien éste será posible, aún sin contar con el consentimiento del afectado en caso de que el trabajador haya sido debidamente informado de la existencia de esta medida, debiendo además ser claro que, conforme a lo exigido por el artículo 4.2 LOPD, los datos no podrán ser utilizados para fines distintos.
Se plantea la cuestión de cómo ha de cumplirse el deber de informar, pues el tratamiento de las imágenes por el responsable del tratamiento, le obliga a cumplir con dicho deber, en los términos establecidos en el artículo 5.1 de la LOPD, que dispone que “los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco: a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información; b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas; c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos; d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición; e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.
En  este punto debe tenerse en cuenta la modalidad de cumplimiento del deber de información en materia de videovigilancia que recoge el artículo 3 de la Instrucción 1/2006:
 Los responsables que cuenten con sistemas de videovigilancia deberán cumplir con el deber de información previsto en el artículo 5 de La Ley Orgánica 15/1999, de 13 de diciembre. A tal fin deberán:
a)     Colocar, en las zonas videovigiladas, al menos un distintivo informativo ubicado en lugar suficientemente visible, tanto en espacios abiertos como cerrados y
b)     Tener a disposición de los/las interesados/as impresos en los que se detalle la información prevista en el artículo 5.1 de la Ley Orgánica 15/1999.
El contenido y el diseño del distintivo informativo se ajustará a lo previsto en el Anexo de esta Instrucción.”
Por tanto, la Instrucción prevé dos formas de cumplir con el deber de informar en materia de videovigilancia. Además como se ha señalado anteriormente si la videovigilancia se efectúa para el control laboral, amparado sólo en el Estatuto de los Trabajadores, deberá informarse al trabajador y al comité de empresa.