Medidas de seguridad en el Reglamento Europeo

Seguridad y protección de datos

Como sabemos, el RD 1720/2007, de 21 de diciembre (Reglamento de desarrollo de la LOPD), regula un número significativo de medidas técnicas de seguridad que los responsables de fichero han de poner en práctica para hacer efectivo el Derecho a la protección de datos de carácter personal. A nadie se le escapa que dicho Derecho quedaría en nada si no viniera respaldado por un mínimo de seguridad.

Como no podía ser de otra forma, al legislador europeo también le ha preocupado especialmente este tema. Así, en el considerando 78 del nuevo Reglamento Europeo se indica que es necesaria la adopción de medidas técnicas y organizativas que garanticen el cumplimiento de los requisitos del propio Reglamento. Se hace una relación de qué tipo de medidas pueden ser estas; a saber:

  1. Reducir al máximo el tratamiento de datos personales.
  2. Seudonimizar lo antes posible los datos personales.
  3. Dar transparencia a las funciones y el tratamiento de datos personales.

El considerando 81 incide, por otro lado, en la necesidad de que el responsable de fichero que contrata a un encargado de tratamiento, recurra únicamente a encargados que ofrezcan suficientes garantías (conocimientos especializados, fiabilidad, y recursos de cara a la aplicación de medidas técnicas y organizativas propias del reglamento, entre ellas, la seguridad, por supuesto).

Además, la relación con este encargado de tratamiento (como ya dispone nuestro artículo 12 LOPD), debe constar en un contrato escrito con un contenido definido por la norma.

Por tanto, hay que ser muy cautelosos a la hora de contratar a un prestador de servicios que vaya a tratar datos de nuestros clientes (por ejemplo: un asesor fiscal), y elegir a aquellos que cumplan la normativa de protección de datos.

En el considerando 83, nos dice el Reglamento Europeo que el responsable de ficheros debe evaluar los riesgos propios del tratamiento y aplicar medidas para mitigarlos, como el cifrado, y el 85, se impone la obligación de notificar –en un plazo de 72 horas- a la autoridad de control competente las violaciones se seguridad que puedan producirse (también se habrá de notificar al propio perjudicado).

Por su parte el considerando 90 establece que en determinados casos, los responsables de fichero tendrán que realizar una evaluación de impacto sobre protección de datos para valorar la particular gravedad y probabilidad del alto riesgo.

Abogados y procuradores ante la LOPD

Paradójicamente, dos de los colectivos que siguen estando más «despistados» en materia de Protección de Datos son los abogados y los procuradores.

Diariamente recibo llamadas de profesionales de ambos sectores que confiesan no tener ni la más remota idea de qué es esto de la LOPD, aunque no obstante son conscientes de que deberían haberse adaptado ya a la misma.

El problema de la adaptación es siempre el mismo: ¿cómo la llevo a cabo?

Yo siempre recomiendo que trates de informarte en la web de la Agencia Española de Protección de datos (www.agpd.es), que para eso está. Incluso tienen teléfonos de información. Me consta que no es fácil aclararse, una vez leída la web y si encima decides leerte la Ley y el Reglamento, terminarás mucho peor de lo que comenzaste y es probable que incluso sufras una ligera a la par que molesta cefalea…

No es que trate de desanimarte. Simplemente es así.

Abogados y procuradores, igual que sucede con otras profesiones (como todas las relacionadas con la medicina) manejan a diario numerosos datos de carácter personal de sus clientes, de los que, además, la normativa considera especialmente protegidos o sensibles, lo que supone más complicaciones a la hora de adaptarse a la LOPD.

En Málaga, mi colegio profesional – ILUSTRE COLEGIO DE ABOGADOS DE MÁLAGA– se esfuerza en echar una mano a sus colegiados para que estén debidamente informados sobre su obligación de adaptación a la LOPD, a través de un servicio -del que me ocupo personalmente- en colaboración con esta letra de Málaga.

Lo puedes ver aquí y ,por supuesto, contactar conmigo cuando quieras:

http://www.icamalaga.es/portalMalaga/printPortal.do?urlPagina=/S015007019001/1243952151348_es_ES.html

Cómo adaptarse a la LOPD

Aunque sigue habiendo profesionales y empresarios que siguen totalmente ajenos a  esta cuestión, lo normal es que a la gente, al menos, le suene eso de la protección de datos, y a veces incluso, que hay que cumplirla y adaptarse a ella…

Una pregunta muy habitual que me hacen es: «¿Y cómo me puedo adaptar a la LOPD?»

Y no se refieren al contenido de la adaptación ni a las obligaciones jurídicas, sino a las posibles formas o procedimientos que yo, otro asesor o la AEPD, por ejemplo, ponen a su disposición para hacer efectivo eso de la dichosa adaptación.

Me explico: esta misma mañana me preguntaban si yo podía hacer la adaptación a la LOPD por teléfono.

Aunque de entrada la pregunta puede parecer extraña, la verdad es que yo la encuentro muy interesante, tanto que hoy le dedico esta entrada en mi blog.

Vender adaptaciones a la LOPD «a distancia» es posible, en efecto.

De hecho, en la tarifa de precios que incluyo en mi web, yo misma te invito a ahorrar gastos de la adaptación a la LOPD, sugiriéndote que mantengamos una videoconferencia o usemos otros medios telemáticos.

Cuando planteo algo así  -creo que es obvio-, estoy pensando en interesados que tienen sus negocios fuera de Málaga. De hecho, me piden presupuestos desde puntos muy diversos de España, tales como Cádiz, Granada, Madrid, Jaen, Bilbao, Galicia, Valladolid, Barcelona, etc…

Desplazarme a Madrid desde Málaga, por poner un caso, para adaptarte a la LOPD, si eres una empresa pequeña o un autónomo, te va a costar más caro por los gastos del viaje, que por la adaptación en sí. De modo que te compensa buscar un asesor de tu localidad.

No obstante, también es cierto que se trata de algo que en muchos casos se puede hacer sin tener que viajar.

A mí me gusta conocer a mi cliente, ver sus instalaciones, revisar medidas de seguridad y documentación.

Sin embargo, he trabajado sin ningún problema con clientes que estaban en el otro extremo de la península, usando videoconferencias, llamadas, e-mails… De hecho, tengo empresas que me han hecho llegar por e-mail un completo repertorio de fotos de sus instalaciones, archivadores, salas de servidores, etc…

Y claro, pensaréis, el cliente podría estar mintiéndote, Vanesa.

Cierto, pero para eso antes le he obligado a firmar un contrato en el que, entre otras cosas, el cliente me asegura que los datos proporcionados son ciertos y coinciden con la realidad, y que no me hago responsable de las bolas que quieras meterme. Allá tú.

Además, ya debería el cliente saber que mentirle a su propio abogado es lo más contraproducente del mundo. Las mentiras que me haces llegar, al final se vuelven en tu contra y la sanción te la van a poner a ti, no a mí.

Y siguiendo con lo que iba… pues sí: en ocasiones hago adaptaciones a la LOPD por vías telemáticas y no tengo ningún problema. Los documentos de la adaptación, una vez hechos, se los remito al cliente por e-mail y me tiene a su disposición por correo electrónico o teléfono para cualquier duda o problema que le pueda surgir.

Es un procedimiento de adaptación que, por supuesto, no recomiendo a empresas con procesos de funcionamiento complejos o de cierta entidad. Ahí suele ser fundamental la presencia física del asesor y muchas veces, continuada en el tiempo.