Cómo adaptarse a la LOPD

Aunque sigue habiendo profesionales y empresarios que siguen totalmente ajenos a  esta cuestión, lo normal es que a la gente, al menos, le suene eso de la protección de datos, y a veces incluso, que hay que cumplirla y adaptarse a ella…

Una pregunta muy habitual que me hacen es: “¿Y cómo me puedo adaptar a la LOPD?”

Y no se refieren al contenido de la adaptación ni a las obligaciones jurídicas, sino a las posibles formas o procedimientos que yo, otro asesor o la AEPD, por ejemplo, ponen a su disposición para hacer efectivo eso de la dichosa adaptación.

Me explico: esta misma mañana me preguntaban si yo podía hacer la adaptación a la LOPD por teléfono.

Aunque de entrada la pregunta puede parecer extraña, la verdad es que yo la encuentro muy interesante, tanto que hoy le dedico esta entrada en mi blog.

Vender adaptaciones a la LOPD “a distancia” es posible, en efecto.

De hecho, en la tarifa de precios que incluyo en mi web, yo misma te invito a ahorrar gastos de la adaptación a la LOPD, sugiriéndote que mantengamos una videoconferencia o usemos otros medios telemáticos.

Cuando planteo algo así  -creo que es obvio-, estoy pensando en interesados que tienen sus negocios fuera de Málaga. De hecho, me piden presupuestos desde puntos muy diversos de España, tales como Cádiz, Granada, Madrid, Jaen, Bilbao, Galicia, Valladolid, Barcelona, etc…

Desplazarme a Madrid desde Málaga, por poner un caso, para adaptarte a la LOPD, si eres una empresa pequeña o un autónomo, te va a costar más caro por los gastos del viaje, que por la adaptación en sí. De modo que te compensa buscar un asesor de tu localidad.

No obstante, también es cierto que se trata de algo que en muchos casos se puede hacer sin tener que viajar.

A mí me gusta conocer a mi cliente, ver sus instalaciones, revisar medidas de seguridad y documentación.

Sin embargo, he trabajado sin ningún problema con clientes que estaban en el otro extremo de la península, usando videoconferencias, llamadas, e-mails… De hecho, tengo empresas que me han hecho llegar por e-mail un completo repertorio de fotos de sus instalaciones, archivadores, salas de servidores, etc…

Y claro, pensaréis, el cliente podría estar mintiéndote, Vanesa.

Cierto, pero para eso antes le he obligado a firmar un contrato en el que, entre otras cosas, el cliente me asegura que los datos proporcionados son ciertos y coinciden con la realidad, y que no me hago responsable de las bolas que quieras meterme. Allá tú.

Además, ya debería el cliente saber que mentirle a su propio abogado es lo más contraproducente del mundo. Las mentiras que me haces llegar, al final se vuelven en tu contra y la sanción te la van a poner a ti, no a mí.

Y siguiendo con lo que iba… pues sí: en ocasiones hago adaptaciones a la LOPD por vías telemáticas y no tengo ningún problema. Los documentos de la adaptación, una vez hechos, se los remito al cliente por e-mail y me tiene a su disposición por correo electrónico o teléfono para cualquier duda o problema que le pueda surgir.

Es un procedimiento de adaptación que, por supuesto, no recomiendo a empresas con procesos de funcionamiento complejos o de cierta entidad. Ahí suele ser fundamental la presencia física del asesor y muchas veces, continuada en el tiempo.

Graduacion sanciones LOPD


En mi entrada de ayer os hablaba de las numerosas multas que se le imponen a VODAFONE por vulneración de la normativa sobre protección de datos, y al echar hoy un vistazo a las nuevas sanciones publicadas en la web de la Agencia Española de Protección de Datos, me encuentro con la Resolución de 10 de octubre, dictada en el Procedimiento Sancionador 192/2013, en la que, por hechos idénticos, se impone otra multa a VODAFONE de 20.000 euros, también por una infracción grave.

Pero es que sigo curioseando y ¿a que no adivináis a quién multan una vez más en  la resolución publicada inmediatamente antes de la que os comentaba ayer (procedimiento sancionador nº 189/2013)?

¡A VODAFONE! ¡Premio!

Y en esta última la sanción asciende a 50.000 euros.

Ya, claro, he seguido mirando y me encuentro con (ojo, que son resoluciones publicadas en los últimos 20 días aproximadamente):

– Procedimiento sancionador 201/2013: multa de 50.000 euros a VODAFONE. Mismos hechos.

– Procedimiento sancionador  188/2013: multa de 50.000 euros a VODAFONE. Mismos hechos.

Y si siguiera avanzando por el listado de resoluciones, sé que encontraría muchísimas más.

A la vista de todo esto, la reflexión que quiero hacer es la siguiente:

En las dos resoluciones más recientes (procedimientos sancionadores nº 192 y 261 del año 2013), se multa a VODAFONE con sólo 20.000 euros de multa. ¿Por qué –puede que te preguntes- si se trata de sanciones graves que están sancionadas con importes comprendidos entre los 40.001 y los 300.000 euros? Pues porque las sanciones han sido graduadas.

En el 2011 se introdujeron una serie de modificaciones en la regulación del  régimen sancionador de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de carácter personal (LOPD). Una de ellas fue la de la graduación de  las sanciones. Los distintos casos en que cabe graduarla, se recogen en los párrafos 4 y 5 del artículo 45 LOPD.

¿Por qué entonces la Agencia Española de Protección de Datos elige disminuir una multa a VODAFONE acogiéndose a ciertos supuestos que lo permiten, en lugar de tener en cuenta la reincidencia de la entidad infractora, que es un hecho  público y notorio?

No lo entiendo, la verdad.

¿Qué piensa la Agencia? ¿Pobrecito Vodafone?

Tiene guasa y de la buena.

Las multas pueden graduarse si hay reincidencia. Por tanto, es obvio que si una empresa comete una y otra vez las mismas infracciones, se le puede aplicar la multa en un tramo más alto, en vez de reducirla.

Pero no, pobrecito Vodafone, no seamos malos con ellos, que son muy majos y nos nutrimos básicamente de sus multas… Tampoco hay que pasarse, que si no, lo mismo los quebramos y ahora a ver quién nos paga…

Una empresa que reincide sin cesar en conductas contrarias a la LOPD debería ser sancionada con las multas de máximo importe permitidas en la normativa.

¿De qué sirve todo esto si la Agencia se dedica a reducirles las sanciones?

Lamentable.

Asesor proteccion datos Malaga

Hay algo que me resulta curioso en mi trabajo y es que la mayor parte de mis clientes están convencidos de que yo tengo que ir a su despacho u oficina para ver sus instalaciones y, sobre todo, sus equipos informáticos.

Esta es una frase habitual que me dirigen:

– “Pues entonces vamos a quedar un día para que puedas venir a mirarme el ordenador y el despacho, para lo de la LOPD”.

Sinceramente, a mi no me importa en absoluto ir a tu oficina a ver tus ordenadores y tus instalaciones. Los ordenadores me gustan poco y me parece todos iguales, salvo los Mac, que son bastante decorativos. Sobre tu oficina, bueno, de decoración en general entiendo bastante poco y para mí los mejores adornos son los que no existen. Soy mini minimalista.

Es más, me gusta atender a mis clientes en su sede y lo más normal es que yo misma te proponga tener la reunión allí.

Pero lo único cierto es que en el 98% de los casos, para adaptarte a la LOPD no me hace falta ni ver tus equipos informáticos ni tus instalaciones. Bastará con que me respondas a algunas preguntas puntuales sobre unos y otras y poco más en lo que se refiere a esa cuestión.

También es verdad que en empresas grandes y de cierta complejidad, me ha resultado necesario hacer un examen presencial, para aclarar dudas y analizar información, y sobre todo es una parte importante a la hora de construir un SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN, y más aún si buscas obtener una certificación de ISO 27001.

Aparte de esos supuestos, no será necesario mi examen in situ, como dirían esos romanos.

La forma en que la normativa sobre protección de datos afecta a tus ordenadores (u otros dispositivos como PDAs, Iphones, Tablets, etc…) y a tus instalaciones es obligándote a implantar en ellos ciertas medidas de seguridad, en función del tipo de información más o menos sensible que manejes.

Esas medidas que has de implantar son las relacionadas en los artículos 89 y siguientes del RD 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de carácter personal.

A nivel de ordenadores y similares, estamos hablando de medidas, como por ejemplo, tener usuario y contraseña, gestionando debidamente los permisos de quienes acceden a la información; hacer copias de seguridad al menos una vez por semana; inventariar estos soportes automatizados; cifrar la información de los dispositivos portátiles cuando sean trasladados…

A nivel de instalaciones, las medidas pueden ser, entre otras, las siguientes: crear zonas de acceso restringido para alojar los equipos que contengan la información y documentación; establecer –siempre que sea posible- mecanismos que dificulten la apertura de los muebles y/o habitaciones donde se guarden los documentos…

Para hacer una evaluación y poder adaptarte correctamente a la LOPD, me interesaré por estas cuestiones, como debe ser. Pero de ahí a que sea imprescindible que yo realice un examen de tus instalaciones y equipos informáticos, hay ciertas diferencias. Otro mito más, en fin, que puedes descartar.

Pero por supuesto, que yo no vaya a visitarte, no quiere decir que no tengas que adoptar las medidas de seguridad reglamentarias. Mi obligación es documentarte, asesorarte y decirte qué tienes que hacer, así como gestionar ciertos trámites en tu nombre si así me lo solicitas.

Otra cosa es que me encargues una auditoría. En ese caso -y sobre todo si no te conozco previamente ni te he hecho la adaptación a la LOPD con anterioridad- sí que insistiré en comprobar sobre el terreno lo que me dices que has hecho, puesto que yo como auditora, he de recogerlo en mis observaciones y en la propuesta de informe.

Y eso sí, como te estarás imaginando, quien más se interesará del mundo en comprobar in situ estas cosas, será un inspector de la Agencia de Protección de Datos, en el caso de que tengas una inspección, que más te vale no tener.