ENTREVISTA A PORTAL ÁRTICO, EXPERTOS EN LEY DE PROTECCIÓN DE DATOS

logo_aepd1. Sois especialistas en Ley de Protección de Datos. ¿Cómo podemos identificar que cumplimos correctamente con la Ley?

Antes de acudir a los tópicos, que por otro lado son obligatorios y que todo el mundo ya conoce, seleccionaría a un empleado de la organización, por ejemplo alguien de administración, y le plantearía las siguientes cuestiones:

¿Su empresa le ha dado a firmar un documento de confidencialidad así como una normativa interna de uso de la información y de los recursos informáticos de la empresa?
¿Sabe qué hacer si un cliente quiere ejercer su derecho de cancelación?
¿Sabe si se pueden publicar imágenes de sus empleados o clientes en internet?

No obstante, las clásicas son:

¿Tiene ficheros inscritos en el Registro General de la Agencia de Protección de Datos?
¿Tiene un Documento de Seguridad que recoja en forma de procedimientos los mecanismos que dan cumplimiento a las obligaciones legales que tiene su empresa?
¿Ha implantado cláusulas legales, contratos con proveedores, etc…?
El aviso legal, la política de privacidad y de cookies, ¿son de corta y pega?

2. La LOPD se da la mano con la Seguridad de la información. ¿Cómo se interrelacionan ambos conceptos?

El ámbito de la LOPD se circunscribe a los datos personales (datos de personas físicas), mientras que siempre que hablemos de Seguridad de la Información abarcaríamos toda la información de la empresa, más allá de los datos de las personas. La norma ISO27001 nos permite certificarnos mucho más allá de los requisitos legales, y además poder demostrarlo.

No obstante, el factor de unión más interesante es el concepto de Riesgo: cuál es el nivel riesgo de un activo de producido por la probabilidad de ocurrencia de una amenaza y nivel de vulnerabilidad que tiene ese activo de información.

Un ejemplo sería cuál es el nivel de riesgo respecto al cumplimiento de la LOPD, donde el activo de información serían los datos de los clientes, la vulnerabilidad sería que no se cumple la LOPD correctamente, y la amenaza sería la probabilidad de que uno de esos clientes nos denunciara.

logo_meyss3. ¿Qué tipo de sanciones se establecen en caso de no cumplir con los requisitos de la LOPD? ¿Afecta a todas las empresas por igual?

Podemos decir que en la actualidad la AEPD, ha tomado el camino de informar a los infractores y corregir las actitudes que vulneran la ley cuando sea posible con la figura del apercibimiento, y por otro lado sancionar debidamente los comportamientos que por su gravedad o por la envergadura del infractor que debiera haber puesto las medidas para evitarlo, exceden la buena voluntad de la AEPD.

Por ejemplo, cuando una empresa de trabajo temporal extravió varias cajas con currículums en la vía pública la sanción fue de 4.000 €, o la empresa que publicó en un tablón de anuncios una relación de los trabajadores ausentes del trabajo y el motivo de esta ausencia, tuvo que pagar 6.000 €.

También son frecuentes las sanciones relacionadas con los envíos de e-mail publicitarios para por ejemplo, ofertar cursos formativos. La LSSI es muy taxativa con los requisitos para realizar dichos envíos y es importante estar bien asesorado al respecto.

Sobre todo hay que tener mucho cuidado con la utilización de bases de datos, compradas o existentes, y la cesión con o sin consentimiento entre empresas; así mismo con aquellos grupos de empresas con diferentes personalidades jurídicas que comparten recursos peros tienen diferentes responsabilidades respecto de la LOPD y la LSSI.

Por último, no es despreciable el impacto negativo que puede tener una sanción de la AEPD en la imagen de nuestra empresa. Anunciará a todo aquel interesado que nuestra empresa no protege los datos personales de sus clientes, trabajadores, proveedores, etcétera.

4. ¿Qué consejos podéis ofrecernos para proteger nuestros datos? ¿Cómo ha cambiado este sector con la aparición de internet y hacia dónde evoluciona con las nuevas tecnologías?

Aunque normalmente se tiende a pensar automáticamente en medidas de seguridad técnicas, como la copia de seguridad, control de contraseñas, mecanismos de cifrado… siguen siendo las vulnerabilidades organizativas donde se encuentran las mayores brechas de seguridad, la falta de formación y/o concienciación por parte de los empleados, así como la regulación laboral respecto del uso de los recursos informáticos y de la propia información de la empresa, estos siguen siendo los factores de éxito para una correcta protección de los datos en la organización.

TeleoperadoresPor experiencia, cabe destacar que aquellas organizaciones que tienen un Sistema de Gestión de Calidad certificado en ISO9001 (y más si cabe con la nueva versión 2015) y son capaces de integrar la LOPD en el sistema de calidad, el ratio de cumplimiento es altísimo, sobre todo a nivel organizativo.

Por último destacar que efectivamente, con la aparición del Cloud Computing o sus derivados, cada vez más las organizaciones tienden a externalizar muchos de sus procesos de gestión y/o venta en aplicaciones en la nube, que además de almacenar información nos dan una gran cantidad de información muy valiosa sobre nuestros clientes. El problema es que muchas veces los proveedores de este tipo de aplicaciones no sabemos quiénes son, donde alojan sus máquinas, que nivel seguridad nos ofrecen, si están Europa etc…. Por eso es muy importante analizar muy bien quién va a ser nuestro proveedor de servicio en la nube, y además si está certificado en ISO27001 nos demuestra una garantía frente a los que no están certificados

Enrique Otero. Gerente Portal Ártico

Enrique Oteo de Codes. Gerente en Portal Ártico

Más información en :

www.portalartico.es

Dejar una respuesta

Su email no se publicará. Obligatorio *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Artículos que te pueden interesar

JOBSHUNTERS.ES es una revista de ANAC
Asociación Nacional de Agencias de Colocación