“Las mayores brechas de seguridad se encuentran dentro de la propia organización”

Enrique Oteo, gerente de Portal Ártico

Enrique Oteo es Licenciado y MBA en Administración y Dirección de Empresas, Socio Fundador y Gerente de Artico desde el año 2001 y  director de Proyectos de Consultoría LOPD-LSSI, ISO27001 e ISO9001. Vigilancia Tecnológica, Legislativa y de Estándares ISO, Gestión y Dirección de Proyectos de Contratación Pública y Subvenciones, modelos de Colaboración con Colectivos Empresariales. 

Un dato de carácter personal es cualquier información que permita identificarte o hacerte identificable. Este derecho fundamental a la protección de datos reconoce al ciudadano la facultad de controlar sus datos personales y la capacidad de disponer y decidir sobre los mismos, tal y como explica la Agencia Española de Protección de Datos, la autoridad de control independiente que vela por el cumplimiento de la normativa de la protección de datos y garantiza y tutela el derecho fundamental a la protección de datos personales.

El deber de la información a las personas de las cuales se vaya a obtener cualquier tipo de datos personales, previo al tratamiento de sus datos de carácter personal, es uno de los principios sobre los que se asienta la LOPD, tal y como recoge en la página oficial de la agencia española de protección de datos (www.agpd.es) .

Para poder informarnos y asesorarnos sobre este tema, existen empresas como Portal Ártico, una consultora jurídico tecnológica cuya estrategia principal se asienta en dos líneas de negocio principales: la Consultoría en Normativa Legal obligatoria relacionada con las Tecnologías y la Consultoría que sería el cumplimiento de Estándares voluntarios certificables (ISO 9001, ISO 14001, ISO 27001).  Hablamos con Enrique Oteo, gerente de Portal Ártico para conocer más sobre la Normativa Legal de la Ley Oficial de Protección de Datos.

  1. ¿Cómo ha sido la trayectoria de Portal Ártico?

Dentro de las dos líneas de Negocio que seguimos, Normativa Legal relacionada con las Tecnologías y la Consultoría y el cumplimiento de estándares voluntarios certificables, los servicios a prestar pueden ser desde proyectos de consultoría de implantación o adaptación, como de auditorías, así como planes específicos de formación, y también software de gestión de apoyo a los servicios relacionados.

  1. Las leyes están vivas y van evolucionando, ¿qué procesos seguís para estar permanentemente actualizados y canalizar esta información a vuestros clientes?

La experiencia de los proyectos  con nuestros clientes también nos proporciona una base de información muy importante. El seguimiento, análisis y estudio de las resoluciones jurídicas y sentencias publicadas, así como el seguimiento de las principales instituciones o entidades relacionadas con la materia y otro tipo de publicaciones.

También realizamos permanentemente un estudio de las necesidades de formación de nuestro equipo en función de los cambios y actualizaciones que se producen en las leyes y otros estándares relacionados. Esto nos permite que nuestro equipo esté totalmente formado respecto de los últimos cambios y actualizaciones que se producen en nuestro sector.

  1. ¿Qué procesos hay que seguir para instaurar la LOPD en nuestros negocios?

Primero de todo hay identificar qué tipo de datos personales hay en nuestra organización, así como ubicarlos en la misma independientemente de si están en papel o informatizados. Esto vendría a ser lo que suele entender como fichero, y una vez ubicado el fichero tenemos que identificar en qué soporte o equipo se encuadra ese fichero.

A continuación hay que ver que tratamiento que se la da esa información. Para conocer con exactitud que tratamiento se da, utilizaríamos el concepto de ciclo de vida del dato, es decir, que pasa con él, de dónde viene, cómo entra, cómo se  trata, cómo se almacena, cómo sale de la organización y si sale a dónde va.

Después de este trabajo de identificación y análisis que se produce, revisa cuál es el estado de la organización frente a las obligaciones de la Ley en cuanto a medidas a aplicar, y para aquellas que se detectan que son inexistentes o insuficientes, se proporciona las soluciones más apropiadas y proporcionadas a cada caso.

Como consecuencia de todo el trabajo anterior se procede a la generación de toda la documentación obligatoria, tanto del Documento de Seguridad como toda la documentación de aplicación práctica.  Y a continuación se procede a la notificación de ficheros en el Registro general de la Agencia de Protección de Datos.

Por último, se procede a realizar la entrega al responsable de la empresa cliente de toda la documentación obligatoria. Pero lo más importante es la explicación práctica, de qué documentos tiene que poner en práctica y, sobre todo, lo que puede y  lo que no puede hacer; hay casos en los que habrá que explicarlo a diferentes personas en una misma organización.

  1. ¿Qué tipo de sanciones se establecen en caso de no cumplir con los requisitos de la LOPD? ¿Afecta a todas las empresas por igual?

Podemos decir que en la actualidad la AEPD, ha tomado el camino de informar a los infractores y corregir las actitudes que vulneran la ley cuando sea posible con la figura del apercibimiento, y por otro lado sancionar debidamente los comportamientos que por su gravedad o por la envergadura del infractor que debiera haber puesto las medidas para evitarlo,  exceden la buena voluntad de la AEPD.

Por ejemplo, si una comunidad de vecinos instala mal un dispositivo de videovigilancia, la AEPD normalmente apercibirá a dicha comunidad y dará plazo de un mes para que subsanen la instalación. Por el contrario, cuando una empresa de trabajo temporal extravió varias cajas con currículums en la vía pública la sanción fue de 4.000 €, o la empresa que publicó en un tablón de anuncios una relación de los trabajadores ausentes del trabajo y el motivo de esta ausencia, tuvo que pagar 6.000€.

También son frecuentes las sanciones relacionadas con los envíos de e-mail publicitarios para por ejemplo, ofertar cursos formativos. La LSSI es muy taxativa con los requisitos para realizar dichos envíos y es importante estar bien asesorado al respecto.

Por último, no es despreciable el impacto negativo que puede tener una sanción de la AEPD en la imagen de nuestra empresa. Anunciará a todo aquel interesado que nuestra empresa no protege los datos personales de sus clientes, trabajadores, proveedores, etcétera.

  1. ¿Qué consejos podéis ofrecernos para proteger nuestros datos? ¿Cómo ha cambiado este sector con la aparición de internet y hacia dónde evoluciona con las nuevas tecnologías?

Aunque normalmente se tiende de a pensar automáticamente en medidas de seguridad técnicas, como la copia de seguridad, control de contraseñas, mecanismos de cifrado… siguen siendo las vulnerabilidades organizativas donde se encuentran las mayores brechas de seguridad, la falta de formación y/o concienciación por parte de los empleados, así como la regulación laboral respecto del uso de los recursos informáticos y de la propia información de la empresa siguen siendo los factores de éxito para una correcta protección de los datos en la organización.

“Uno de los cambios más significativos en la evolución de las nuevas tecnologías es el Cloud Computing”

Por último destacar que efectivamente, uno de los cambios más significativos en el sector derivado de la evolución de las nuevas tecnologías es el “Cloud Computing” también conocido como “la nube” o sus derivados como aplicaciones en la nube. Cada vez más las organizaciones tienden a externalizar muchos de sus procesos de gestión y/o venta en aplicaciones en la nube, que además almacenar información nos dan una gran cantidad de información muy valiosa sobre nuestros clientes. El problema es que muchas veces los proveedores de este tipo de aplicaciones no sabemos quiénes son, donde alojan sus máquinas, que nivel seguridad nos ofrecen etc…. Por eso es muy importante a analizar muy bien quién va a ser nuestro proveedor de servicio en la nube, y además si está certificado en ISO27001 nos demuestra una serie de garantía frente a los que no están certificados.

Dejar una respuesta

Su email no se publicará. Obligatorio *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Artículos que te pueden interesar

JOBSHUNTERS.ES es una revista de ANAC
Asociación Nacional de Agencias de Colocación