En la resolución

R/01306 de la AEPD podemos ver la sanción que puede sufrir una entidad por no tener implantadas las medidas de seguridad exigidas.

Con fecha 29 de marzo de 2010 tiene entrada en la AEPD un escrito de D. A.A.A., en el que declara que, la empresa HIPERCOR, S.A., no cuenta con las medidas de seguridad oportunas con relación a información de datos clínicos, ya que desde dos terminales ubicados en el muelle de recepción de mercancías, donde tiene su puesto de trabajo, se pueden visualizar, entre otros, análisis clínicos de trabajadores de la empresa.

Durante la visita de las inspectoras de la AEPD, el denunciante accede a un equipo informático que está en el muelle, observándose que aunque el sistema pide un usuario y contraseña para acceder, el usuario sale ya por defecto, y la contraseña es la misma que el nombre de usuario.

Se puede además comprobar que desde ese equipo, a través de la red local es posible acceder a carpetas que están situadas en el equipo de la Jefa de Recursos Humanos del centro, en concreto es posible acceder a una carpeta denominada "Servicio Médico" y que contiene los resultados analíticos de los empleados del centro.

A las 15:30 horas, las inspectoras de la Agencia y los representantes de la entidad, se trasladan al muelle, verificándose que ha sido subsanado el error.

Resultado: Sanción de 20.000 € por vulneración del artículo 9.1 de la LOPD en relación a las medidas de seguridad.

Fuente AEPD

Hay un artículo en el RD1720/2007 que pasa casi desapercibido pero que es de una enorme importancia a la hora de elegir el encargado del tratamiento por parte del responsable del fichero:

Art. 20.2. Cuando el responsable del tratamiento contrate la prestación de un servicio que comporte un tratamiento de datos personales sometido a lo dispuesto en este capítulo deberá velar por que el encargado del tratamiento reúna las garantías para el cumplimiento de lo dispuesto en este Reglamento.

Es decir, que antes de seleccionar un encargado del tratamiento, como el asesor fiscal, empresa de mantenimiento informático, Hosting, etc. debemos comprobar –en la medida de lo posible- que está cumpliendo la LOPD.

Pero, ¿y qué puede hacer el responsable para comprobar que el encargado cumple con la normativa vigente en protección de datos personales?

Pues fundamentalmente dos cosas:

 Comprobar que tiene notificados los ficheros a la AEPD a través de su página web (www.agpd.es).

 Solicitarle un documento firmado y sellado por el encargado en el cuál manifieste de forma expresa que dispone de Documento de Seguridad y cumple con normativa vigente en protección de datos personales.

"Como Responsables de Fichero, debemos conformar el contrato de encargado del tratamiento antes de que comience la prestación del servicio"

Constituye una infracción leve la transmisión de datos a un encargado del tratamiento sin dar cumplimiento a los deberes que establece el art. 12 de la LOPD, con sanción de entre 900 y 40.000€.

 

 

Se debe hacer un contrato de acceso a datos por cuenta de terceros con los encargados del tratamiento, es decir, con todas las empresas externas que accedan, puedan acceder ó suministremos datos personales con la finalidad de prestarnos un servicio.

Estos son algunos de los encargados del tratamiento que pueden existir:

·         Consultora de la LOPD.

·         Mantenimiento informático de hardware y/o videovigilancia.

·         Proveedor/soporte de software.

·         Servicio de prevención de riesgos laborales y de la vigilancia de la salud.

·         Asesoría laboral, fiscal y/o contable.

A TENER EN CUENTA

Con la empresa de limpieza,  seguridad, o cualquier otra que con motivo de su desempeño pudiera tener acceso a datos personales aunque no sea este su cometido,  también debe hacerse un contrato de prestación de servicio sin acceso a datos

 

·         Consultora de calidad, medioambiente, SGSI, etc.

·         Certificadora de la norma de calidad, medioambiente, SGSI, etc.

·         Proveedor de alojamiento y/o correo electrónico.

·         Diseño web, comercio electrónico, etc.

·         Organizadora y/o impartidora de formación para los trabajadores.

·         Envío de mailings.

Una pregunta que hacen muchos clientes es: de qué forma puedo limitar el acceso a los equipos, de forma que los usuarios únicamente accedan a los recursos necesarios para su trabajo.

Existen diversas maneras de identificación y autenticación del usuario en función del mecanismo o tecnología que se aplique.

Podemos clasificar los sistemas en estos tipos:

·         Sistemas basados en algo que el usuario conoce (contraseña).

·         Sistemas basados en algo que el usuario posee (DNI electrónico, token, etc.).

·         Sistemas basados en una característica física del usuario, también denominados biométricos (reconocimiento de huella dactilar, voz, rostro, patrón ocular, etc.).

·         Sistemas mixtos, que combinan dos o más de los descritos anteriormente.

En caso de que utilicemos el sistema más extendido, a través de contraseñas, para garantizar la seguridad se debe realizar una correcta gestión de las mismas:

·         Evitar todas aquellas contraseñas deducibles por terceros y asociadas a parámetros comunes del usuario (fechas de nacimiento, nombre de familiares, matrículas de coches, aficiones, etc.).

·         Emplear al menos 6 caracteres combinando mayúsculas, minúsculas, números y otros caracteres especiales.

·         Establecer la periodicidad de cambio de las contraseñas a menos de 1 año.

·         Limitar el número de intentos fallidos de acceso al sistema.

A TENER EN CUENTA

 

No tener implantadas las medidas de seguridad es una infracción grave, con sanción de entre 40.001 y 300.000€.

 

El informe 0191/2010 de la AEPD aclara el plazo de conservación de los informes de auditoría que exige la LOPD para los ficheros de nivel medio y alto.

De dicho informe jurídico se extrae lo siguiente:

·         A partir de nivel medio, los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se someterán, al menos cada dos años, a una auditoría interna o externa.

·         Con carácter extraordinario deberá realizarse dicha auditoría siempre que se realicen modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptación, adecuación y eficacia de las mismas. Esta auditoría inicia el cómputo de dos años señalado en el párrafo anterior.

·         Teniendo en cuenta los plazos de prescripción y de obligación de sometimiento a la auditoría, el término durante el cual el informe debería estar a disposición de la Agencia Española de Protección de Datos o autoridad autonómica de control competente debería ser el de dos años.

·         Solo existe la obligación de guardar el último informe de auditoría.

IMPORTANTE

No realizar la obligada auditoría en los plazos que marca la Ley es una infracción grave, con sanción de entre 40.001 y 300.000€.

 

Una pregunta que hacen muchos clientes es: de qué forma puedo limitar el acceso a los equipos, de forma que los usuarios únicamente accedan a los recursos necesarios para su trabajo.

Existen diversas maneras de identificación y autenticación del usuario en función del mecanismo o tecnología que se aplique.

Podemos clasificar los sistemas en estos tipos:

·         Sistemas basados en algo que el usuario conoce (contraseña).

·         Sistemas basados en algo que el usuario posee (DNI electrónico, token, etc.).

·         Sistemas basados en una característica física del usuario, también denominados biométricos (reconocimiento de huella dactilar, voz, rostro, patrón ocular, etc.).

·         Sistemas mixtos, que combinan dos o más de los descritos anteriormente.

En caso de que utilicemos el sistema más extendido, a través de contraseñas, para garantizar la seguridad se debe realizar una correcta gestión de las mismas:

·         Evitar todas aquellas contraseñas deducibles por terceros y asociadas a parámetros comunes del usuario (fechas de nacimiento, nombre de familiares, matrículas de coches, aficiones, etc.).

·         Emplear al menos 6 caracteres combinando mayúsculas, minúsculas, números y otros caracteres especiales.

·         Establecer la periodicidad de cambio de las contraseñas a menos de 1 año.

·         Limitar el número de intentos fallidos de acceso al sistema.

 

A TENER EN CUENTA

No tener implantadas las medidas de seguridad es una infracción grave, con sanción de entre 40.001 y 300.000€.

 

En el procedimiento sancionador de la AEPD PS/00733/2012, podemos ver qué ocurre cuando una organización graba imágenes de personas en la calle sin obtener el consentimiento de ellas y lo sube posteriormente a internet.

Con fecha 29 de febrero de 2012, la AEPD recibe una reclamación del denunciante poniendo de manifiesto que la asociación A.P.P.D.P.D.J. ha publicado dos grabaciones de vídeo en YouTube con imágenes y voz del denunciante y de sus hijos menores de edad, captadas sin su consentimiento.

La A.P.P.D.P.D.J. alegó, entre otras cosas, que es legal grabar en la calle sin pedir la autorización de las personas a las que se graba, así como la exhibición de las grabaciones en páginas web.

Según lo indicado por AEPD: "en el presente caso se trata de la difusión de imágenes de menores obtenidas mediante cámara oculta, es decir captadas directamente sin conocimiento, ni consentimiento, grabadas en un lugar próximo al colegio y referidas a la entrega de los mismos entre los progenitores, sin que ningún interés informativo se aprecie en la difusión de las imágenes de dichos niños, que son accesibles a un gran número de personas, como lo son los usuarios de la red internet, a los que es accesible en abierto, con lo cual, por mucho que pretenda justificar el carácter de periodístico por la razón de que en la web conste un apartado denominado "noticias", tal afirmación resulta inaceptable por simplista".

El resultado: una sanción de 1.000€ y otra de 2.000€ por infringir el artículo 6 de la LOPD al no disponer de consentimiento. La segunda sanción es más alta por tratarse, además, de datos de menores de edad.

IMPORTANTE

No podemos ir con una cámara en mano grabando personas en la calle y subir luego esas imágenes a internet sin haber recabado el consentimiento de ellas.

El artículo 107 del RD1720/2007 establece que:

Los dispositivos de almacenamiento de los documentos que contengan datos de carácter personal deberán disponer de mecanismos que obstaculicen su  apertura.

Cuando las características físicas de aquéllos no permitan adoptar esta medida, el responsable del fichero o tratamiento adoptará medidas que impidan el acceso de personas no autorizadas.

Es decir, que todos los archivadores, carpetas, documentos, etc. que contengan datos personales deberán estar almacenados en armarios (u otro mobiliario) que dispongan de cerradura y deberán estar cerrados cuando no sea necesario acceder a ellos.

Excepción:

Cuando los armarios no dispongan de dichas cerraduras, se podrán almacenar soporten con datos personales siempre que se adopten otras medidas que impidan el acceso a los soportes por parte de personas no autorizadas.

Ejemplos de medidas alternativas:

·         Que los soportes estén en un recinto cerrado con llave y se cierre cuando no se esté accediendo a dichos soportes.

·         Que los soportes estén vigilados en todo momento por personal autorizado, no dejando sola a ninguna persona no autorizada.

A TENER EN CUENTA

Las medidas alternativas que indiquemos en el Documento de Seguridad han de cumplirse, no basta solo con describirlas.

 

 

 

A TENER EN CUENTA

El registro de incidencias puede estar en soporte papel o bien, puede registrarse de forma automatizada.

En el registro de incidencias que debe disponer la organización, se registrará cualquier incidente que afecte, o pueda afectar a la seguridad de los ficheros con datos personales.

Se deberán tener en cuenta, entre otras, las siguientes incidencias:

 Pérdida de información de algún fichero con datos personales.

 Modificación de datos personales por personal no autorizado o desconocido.

 Existencia de sistemas sin las debidas medidas de seguridad.

 Los intentos de acceso no autorizados a ficheros.

 El conocimiento por terceros de la clave de acceso al sistema.

 El intento no autorizado de salida de un soporte con datos personales.

 La existencia de soportes con datos personales sin inventariar.

 La destrucción total o parcial de un soporte que contenga datos de carácter personal.

 La caída del sistema de seguridad informática, que posibilite el acceso a datos por personas no autorizadas.

 

LA LOPD EN EL DÍA A DÍA

Los beneficios de cumplir correctamente la LOPD para la empresa, (aparte de evitar cuantiosas sanciones) son diversos:

 Ayuda a establecer pautas y procedimientos que de forma directa ayudan a la empresa a proteger su activo más valioso: sus clientes (copias de seguridad, custodia de documentación, etc.).

 Inicia a la organización en la gestión de la seguridad de la información que poseen (imprescindible para la implantación efectiva de la factura electrónica, ya que las facturas dejarán de estar en papel para estar en los equipos informáticos).

 Clarifica el organigrama de la empresa, las funciones de cada individuo y a qué puede y no puede acceder.

 Ayuda a tener un conocimiento del inventario tecnológico de la empresa, de sus posibilidades y vulnerabilidades (muchos clientes no se habían planteado si sus empleados podían acceder desde casa al servidor de la empresa hasta que se les hizo la pregunta, a veces no sabiendo qué responder).

 Aporta una mejor imagen ante los clientes, ya que les demostramos que nos preocupamos por sus datos.

A TENER EN CUENTA

Cada vez más los ciudadanos están sensibilizados con sus datos personales y el uso que hacen las empresas y entidades de ellos.

 

 

EN LA EMPRESA

EL PROFESIONAL RESPONDE

5