Medidas de Seguridad LOPD – LOPD en Malaga

Medidas de seguridad en el Reglamento Europeo

Como sabemos, el RD 1720/2007, de 21 de diciembre (Reglamento de desarrollo de la LOPD), regula un número significativo de medidas técnicas de seguridad que los responsables de fichero han de poner en práctica para hacer efectivo el Derecho a la protección de datos de carácter personal. A nadie se le escapa que dicho Derecho quedaría en nada si no viniera respaldado por un mínimo de seguridad.

Como no podía ser de otra forma, al legislador europeo también le ha preocupado especialmente este tema. Así, en el considerando 78 del nuevo Reglamento Europeo se indica que es necesaria la adopción de medidas técnicas y organizativas que garanticen el cumplimiento de los requisitos del propio Reglamento. Se hace una relación de qué tipo de medidas pueden ser estas; a saber:

Reducir al máximo el tratamiento de datos personales.
Seudonimizar lo antes posible los datos personales.
Dar transparencia a las funciones y el tratamiento de datos personales.

El considerando 81 incide, por otro lado, en la necesidad de que el responsable de fichero que contrata a un encargado de tratamiento, recurra únicamente a encargados que ofrezcan suficientes garantías (conocimientos especializados, fiabilidad, y recursos de cara a la aplicación de medidas técnicas y organizativas propias del reglamento, entre ellas, la seguridad, por supuesto).

Además, la relación con este encargado de tratamiento (como ya dispone nuestro artículo 12 LOPD), debe constar en un contrato escrito con un contenido definido por la norma.

Por tanto, hay que ser muy cautelosos a la hora de contratar a un prestador de servicios que vaya a tratar datos de nuestros clientes (por ejemplo: un asesor fiscal), y elegir a aquellos que cumplan la normativa de protección de datos.

En el considerando 83, nos dice el Reglamento Europeo que el responsable de ficheros debe evaluar los riesgos propios del tratamiento y aplicar medidas para mitigarlos, como el cifrado, y el 85, se impone la obligación de notificar –en un plazo de 72 horas- a la autoridad de control competente las violaciones se seguridad que puedan producirse (también se habrá de notificar al propio perjudicado).

Por su parte el considerando 90 establece que en determinados casos, los responsables de fichero tendrán que realizar una evaluación de impacto sobre protección de datos para valorar la particular gravedad y probabilidad del alto riesgo.

Medidas Seguridad LOPD y multas

Cuando asesoro a médicos, abogados, procuradores y otros profesionales o entidades que tratan datos de nivel alto, suelen preguntarme si deben o no poner cerraduras en las puertas de las habitaciones donde se contienen datos de carácter personal en formato no automatizados (es decir: en papel).

Mi respuesta no puede ser otra que por supuesto que deben, porque así lo exige el artículo 111 del Real Decreto 1720/2007, de 21 de diciembre por el que se aprueba el Reglamento de desarrollo de la LOPD.

Literalmente, exige ese precepto que:

Artículo 111 Almacenamiento de la información

1. Los armarios, archivadores u otros elementos en los que se almacenen los ficheros no automatizados con datos de carácter personal deberán encontrarse en áreas en las que el acceso esté protegido con puertas de acceso dotadas de sistemas de apertura mediante llave u otro dispositivo equivalente. Dichas áreas deberán permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en el fichero.

2. Si, atendidas las características de los locales de que dispusiera el responsable del fichero o tratamiento, no fuera posible cumplir lo establecido en el apartado anterior, el responsable adoptará medidas alternativas que, debidamente motivadas, se incluirán en el documento de seguridad.

Por tanto, la norma es que los documentos estén en áreas cerradas, salvo que por las características del local eso no sea posible y se implanten medidas de seguridad alternativas. Una medida de seguridad alternativa podría ser, por ejemplo, la custodia de las zonas mediante personas destinadas a tal fin. Otra cosa es que luego eso se pueda demostrar ante una inspección, claro está…

Suelen decirme los que me consultan que para ellos es un problema tener que cambiar instalaciones, estructuras y poner cerraduras en las puertas. Cosa que imagino que ocurrirá de verdad en algunos casos, pero intuyo que en otros el problema no es tanto y que más les valdría –para evitar problemas-buscar un cerrajero, comprar pomos con cerradura, instalar algún dispositivo externo con cerradura, o similar…

La cuestión es que mucha gente cree que es una medida de seguridad poco importante, porque “total, nadie va a saber si tengo o no puertas con cerraduras”.

Ya.

Lo mismo nadie lo sabe, o lo mismo acaba trascendiendo y te imponen una multa por infracción grave (de 40.001 a 300.000 euritos de nada), cuya existencia –por poner un caso- se declaró en el caso de un Centro de Salud de Lerma (Burgos), mediante la Resolución nº 2560/2012 de la Agencia Española de Protección de Datos (procedimiento nº AP/12/2012).

Se trata de un caso real en el que alguien sustrajo 16 expedientes médicos de los cajones de la mesa de una consulta del referido centro de salud. La consulta tenía dos puertas de acceso que no cerraban bien y bastaba con empujar para acceder a ellas. Además, los cajones de la mesa no tenían cerradura ni equivalente.

Se vulneró por tanto el artículo 9 de la LOPD, que se refiere al principio de seguridad y que impone al responsable de fichero la obligación de implantar medidas de seguridad físicas que impidan el acceso no autorizado a los datos.

Y sí, podría ocurrirte a ti, y podrías ser sancionado “de verdad”.

Copias de seguridad-LOPD

DIEZ ERRORES MUY HABITUALES EN MATERIA DE LOPD y LSSICE.

QUINTO ERROR:

En esta ocasión vamos a ver el tema de las copias de seguridad, copias de respaldo y recuperación, o backups.

Aunque a muchos les resulte extraño, hoy día sigue habiendo un número importante de empresarios y profesionales que no han tomado conciencia de la importancia de realizar copias de seguridad de la información existente en sus equipos.

Si bien voy a tratar esta obligación desde el punto de vista de la normativa de protección de datos, probablemente en tus ordenadores haya más cosas aparte de los datos de tus clientes, trabajadores o similares, que no te gustaría perder y que de perderse, te acarrearían bastantes complicaciones.

Con esto se pretende poner de manifiesto, que la realización de copias de seguridad siempre va a ser una medida muy conveniente y que en muchas ocasiones puede asegurar la continuidad de tu negocio y que le prestes a tu clientela un servicio óptimo.

Centrándonos ya en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), encontramos que su artículo 9 se refiere al principio de SEGURIDAD DE LOS DATOS. Su apartado 1º indica que:

El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.

Una de esas medidas de seguridad, que sirven para evitar alteración, pérdidas y accesos no autorizados en relación con los datos personales, es precisamente la realización de copias de seguridad.

Esta obligación se detalla en el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprobó el Reglamento de desarrollo de la LOPD, en concreto en sus artículos 94 y 102.

La norma general es que se harán copias de seguridad una vez por semana –al menos-, y se conservará dicha copia, en sitio distinto a aquel donde se encuentren los soportes que contienen los datos, en caso de datos de nivel alto.

Pese a la claridad de estos preceptos, con frecuencia, mis clientes me discuten la pertinencia de esta obligación legal de hacer copias de seguridad, alegando que “a la Ley qué más le da si yo hago o no copias de seguridad, pues ese es mi problema, y si pierdo los datos me fastidio, pero es cosa mía”.

Estos detractores de la norma se equivocan radicalmente: un abogado que pierde datos informáticos, como por ejemplo, demandas presentadas por vía electrónica, documentos firmados digitalmente, o un médico que pierde de sus ordenadores informes médicos que ni siquiera habían sido impresos en papel, pueden provocar importantes perjuicios a sus clientes o pacientes. Creo que cualquier persona es capaz de entenderlo en estos supuestos.

A la Ley sí le importa, al legislador sí le importa, y le debe importar que tú pierdas los datos de carácter personal de tus ordenadores. ¿Qué sucedería, por poner otro ejemplo, si las grandes empresas que prestan servicios en internet y que recogen y tratan todos los datos en sus bases de datos informatizadas, tuvieran una avería o incidente y perdieran en unos segundos todos nuestros datos? Tu proveedor de internet, tu proveedor de telefonía móvil, tu empresa de reserva de hoteles online… No podrían seguir prestándote servicios si perdieran definitivamente tus datos.

Es una cuestión más importante de lo que piensas y la Ley no hace excepciones: si estás bajo el ámbito de aplicación de la LOPD, siempre hay que hacer copias de seguridad.