Documento Seguridad-LOPD

DIEZ ERRORES MUY HABITUALES EN MATERIA DE LOPD y LSSICE.

SEXTO ERROR:

El error de hoy se llama DOCUMENTO DE SEGURIDAD.

– “¿Documento de qué?”

Repito: DOCUMENTO DE SEGURIDAD.

Para ser exactos, el error es no tenerlo elaborado.

Si bien a las empresas y profesionales que visito para explicarles la normativa de protección de datos, les suena de algo que existe esa Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), y que también tiene algo que ver con ellos, sin embargo no les dice lo más mínimo el concepto de “documento de seguridad”. Me preguntan extrañados que eso qué es y de qué trata ese documento. 

Si tuvieras la desgracia de recibir en tu negocio la visita de un inspector de la Agencia Española de Protección de Datos (o de la Agencia de tu comunidad, donde existen), una de las cosas que puede pedirte es esa: tu documento de seguridad.

Al igual que un inspector de trabajo te puede pedir documentos de cotización, nóminas y contratos de tus empleados, un Inspector de Protección de Datos te puede pedir el documento de seguridad, entre otras cosas.

La esencia de ese documento, tenemos que buscarla en el artículo 9 de la LOPD, que enuncia el conocido como principio de seguridad de los datos. El responsable de los datos viene obligado a adoptar medidas técnicas y organizativas eficaces para garantizar la seguridad de los datos, evitando su pérdida, alteración o acceso no autorizado.

Al documento de seguridad se refiere ya el artículo 88 del Real Decreto 1720/2007, de 21 de diciembre, por el que aprueba el Reglamento de desarrollo de la LOPD.

Todos los que estén bajo el ámbito de aplicación de la LOPD, tienen que contar con un documento de seguridad, en el que se recogerán las medidas de índole técnica y organizativa acordes a la normativa de seguridad vigente que será de obligado cumplimiento para el personal con acceso a los sistemas de información.

Su contenido mínimo serán en todos los supuestos el siguiente (párrafo 3 del artículo 88 citado):

a) Ámbito de aplicación del documento con especificación detallada de los recursos protegidos.

b) Medidas, normas, procedimientos de actuación, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en este reglamento.

c) Funciones y obligaciones del personal en relación con el tratamiento de los datos de carácter personal incluidos en los ficheros.

d) Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan.

e) Procedimiento de notificación, gestión y respuesta ante las incidencias.

f) Los procedimientos de realización de copias de respaldo y de recuperación de los datos en los ficheros o tratamientos automatizados.

g) Las medidas que sea necesario adoptar para el transporte de soportes y documentos, así como para la destrucción de los documentos y soportes, o en su caso, la reutilización de estos últimos.

El documento de seguridad es un documento vivo, que tiene que ser revisado y actualizado en la medida en que se produzcan cambios relevantes en los sistemas de información, organización, contenidos, etc…

Además, se trata de un documento interno, que no tiene que ser notificado a la Agencia de Protección de Datos, pero sí habrá de estar a disposición de la misma si en una inspección así se solicita.

¿Y existe algún modelo de documento de seguridad?, te estarás preguntando.

Pues sí, existe un modelo, que es una guía más que un modelo. Es decir, que no se ha publicado un modelo oficial, sino unas instrucciones sobre cómo hacerlo y una estructura de documento.

Lo puedes consultar en la web de la Agencia Española de Protección de Datos, en este link:

https://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/Guias/modelo_doc_seguridad.pdf

Seguridad de los datos

 

 

Fundamentalmente, el artículo 9 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal señala que:

El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.

Estas medidas de seguridad, se detallan en el Reglamento de desarrollo de la LOPD mencionada, y tienes que tenerlas implantadas en tu negocio si recoges y tratas datos personales de tus clientes, trabajadores, proveedores, etc…

Incumplir estas obligaciones o tener medidas de seguridad ineficaces que provoquen vulneración del derecho a la protección de datos, puede conllevar multas muy elevadas.

Hoy vamos a ver un ejemplo real: se ha impuesto una multa de 50.000 euros (CINCUENTA MIL EUROS, sí) a la entidad MAPFRE TECH, SA, vinculada a la aseguradora MAPFRE, por incumplir esa obligación de seguridad del artículo 9 LOPD, considerada como infracción grave. Se trata del procedimiento sancionador nº 83/2013, Resolución nº 1859/2013 de la AEPD.

¿Y qué hizo MAPFRE TECH para que se le haya impuesto tan elevada sanción?

Pues resumiendo mucho, cometió el error de subir a una de sus bases de datos unos informes de clientes sin anonimizar, de tal modo que através de internet se podían ver datos de uno de ellos, incluidos datos médicos, simplemente poniendo en un buscador su nombre y apellidos. Se trataba de una información que nunca debió estar allí.

Cosas como estas ocurren con frecuencia y sí, a ti también puede pasarte.

Como bien dice la Agencia Española de Protección de Datos en la Resolución citada:

El trascrito artículo 9 de la LOPD establece el “principio de seguridad de los datos” imponiendo
la obligación de adoptar las medidas de índole técnica y organizativa que garanticen dicha
seguridad, añadiendo que tales medidas tienen como finalidad evitar, entre otros aspectos,
el “acceso no autorizado” por parte de terceros.
Y no basta con alegar, como hizo la sancionada, que ya tenía implantadas las debidas medidas
de seguridad, sino que recae sobre el responsable de fichero una obligación de resultado, es
decir: que si las medidas de seguridad no han logrado impedir el acceso a la información por
terceros no autorizados, las medidas no son eficaces y por tanto se vulnera la LOPD.
Tampoco sirve alegar que no hubo intencionalidad en la acción y que fue accidental. Eso es algo
que se puede alegar en otros ámbitos jurisdiccionales (como en el penal), pero no en estas
materias.