Normativa

Servi3

LOPD, LSSIce, LISI, RMS

Las siguientes normativas -entre otras- son de obligatorio cumplimiento en España:
  • LOPD Ley Orgánica de Protección de Datos de Carácter Personal (LO 15/1999, de 13 de Diciembre).
  • RDLOPD Reglamento de Desarrollo de la LOPD (Real Decreto de 18 de Diciembre de 2007).
  • LISI Ley de Medidas de Impulso de la Sociedad de la Información (Ley 56/2007, de 28 de Diciembre).
 
Incumplir la LOPD implica sanciones económicas cuya cuantía depende únicamente del tipo de infracción cometida, divididas en "Leves", "Graves" y "Muy Graves" sin tenerse en cuenta factores tales como el volumen de la empresa o su facturación.
 
Tipo de InfracciónImporte de la Sanción
Leve
Ejemplo: No registrar los ficheros
(Art. 44.2.c) 		601,01 € - 60.101,21 €
Grave
Ejemplo: No cumplir las medidas de seguridad del reglamento (Art. 44.3.h) 		60.101,21 € - 300.506,05 €
Muy Grave
Ejemplo: No atender el derecho de acceso a los DCPs. (Art. 44.4.h) 		300.506,05 € - 601.012,10 €
 
El cumplimiento de la LOPD además de evitar las elevadas sanciones, permite mejorar la seguridad y los procedimientos de nuestra organización, así como nuestra imagen ante clientes, proveedores y empleados y proteger y respetar su privacidad.
 

¿Qué es la Protección de Datos de Carácter Personal?

Es un derecho fundamental que reconoce al ciudadano la facultad de controlar sus datos y la capacidad para disponer y decidir sobre los mismos.
La constitución Española que en su artículo 18.4 dispone que la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.
 

¿Qué son los Datos de Carácter Personal (DCPs)?

  • Cualquier información concerniente a personas físicas identificadas o identificables. Es decir los datos personales son aquellos que permiten identificar a una persona.
  • Por ejemplo el nombre, los apellidos, la fecha de nacimiento, la dirección postal o la dirección de correo electrónico... son datos que identifican a una persona, ya sea directa o indirectamente.
  • Incluye: los datos de empresarios individuales, la grabación de voz, imágenes que permitan la identificación de personas, los ficheros de empresas que tengan una relación de personas físicas de contacto, gerente, etc.
  • Para el desarrollo de cualquier actividad, es prácticamente inevitable que se recojan datos personales y se utilicen: nombres y apellidos de empleados, clientes, proveedores...
    Se excluye de protección los datos de las personas jurídicas y los datos de las personas fallecidas.
 

¿A quién afecta la LOPD?

Afecta a cualquier profesional liberal, empresa u organización pública o privada que guarde algún dato de carácter personal (DCP), como nombre o apellidos, de cualquier persona, sea empleado, cliente, proveedor... en cualquier soporte, tanto informático como papel.
En definitiva, afecta a todas las empresas españolas.
Por tanto, las empresas que traten datos de carácter personal serán consideradas responsables del fichero o tratamiento, y deberán cumplir con la Ley.
 

¿A qué obliga -en resumen- la LOPD?

La LOPD y el RDLOPD imponen a las organizaciones obligaciones de carácter legal, organizativo y técnico, entre las que podemos destacar:
  • Registro de ficheros que contengan datos de carácter personal (DCPs).
  • Prioridad de los derechos de los titulares de los datos:
    • Deber de información a los afectados.
    • Solicitud de consentimiento para el tratamiento.
    • Atención de los derechos de Acceso, Rectificación, Cancelación y Oposición.
    • Formación del personal con acceso a DCPs.
  • Seguridad en la gestión de los DCPs:
    • Mantenimiento de un Documento de Seguridad.
    • Cumplimiento del Reglamento de Desarrollo de la LOPD
      (Copias de seguridad, gestión de incidencias, mecanismos de destrucción de soportes...).
  • Deber de secreto sobre los datos tratados.
  • Prohibición de las cesiones de datos sin la autorización expresa de los afectados.
  • Protección contractual del acceso a los datos por cuenta de terceros. Ej.: Asesoría laboral, asesoría fiscal, mantenimiento de la red y/o programas informáticos, etc.
 

¿Cómo puedo adaptar mi organización a la LOPD?

Para poder cumplir adecuadamente con la LOPD se recomienda la participación de expertos técnicos y legales que, en resumen, deberán trabajar en las siguientes líneas:
  • Inscripción de ficheros en el Registro General de Protección de Datos dependiente de la Agencia Española de Protección de Datos.
  • Redacción de cláusulas de información y consentimiento en cumplimiento del art. 5 y 6 de la LOPD a Clientes, Proveedores y Empleados.
  • Formación a los responsables y usuarios que participan en el tratamiento de los datos de carácter personal, a través de manuales y altas.
  • Redacción de un Documento de Seguridad, que detalle las medidas técnicas y organizativas que se aplican en la Empresa.
  • Informe de cumplimiento del Reglamento de Desarrollo de la LOPD (RDLOPD), indicando las obligaciones existentes, las evidencias de las que se parte y las deficiencias encontradas (si las hubiese) junto con medidas propuestas de adaptación y mejora (si procede).
  • Redacción de contratos con terceros (art. 12 LOPD) que acceden a datos de carácter personal titularidad de la Empresa.
  • Asesoramiento legal y técnico continuo sobre:
    • Inscripción, modificación o supresión de ficheros.
    • Redacción de nuevas cláusulas y contratos.
    • Mantenimiento del documento de seguridad
    • Formación a nuevos usuarios.
    • Modificación de políticas de uso de los sistemas.
 

¿Cuáles son -en resumen- las medidas indicadas en el reglamento?

La LOPD distingue tres niveles de ficheros según los datos de carácter personal que contengan. Según el nivel de los ficheros, el reglamento exige el cumplimiento acumulativo de las siguientes medidas -en resumen-:
  • Nivel básico: Ficheros que contengan datos de carácter personal.
    • Documento de Seguridad
    • Formación del Personal
    • Registro de Incidencias
    • Procedimientos de identificación y autenticación
    • Control de acceso
    • Gestión de Soportes
    • Copias de Respaldo
  • Nivel medio: Ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros, solvencia
    • patrimonial y crédito.
    • Auditoría cada dos años
    • Control de acceso físico
  • Nivel alto: Ficheros que contengan datos de ideología, religión, creencias, origen racial, salud o vida sexual así como los recabados para fines policiales
    • sin consentimiento de las personas afectadas.
    • Datos cifrados en soportes
    • Copia de respaldo en ubicación diferente
    • Registro de accesos a los ficheros, informe mensual y conservación durante dos años
    • Transmisiones de datos cifradas

Normativa estándar (ISO y UNE)

Existen varias normativas estándar sobre la gestión de sistemas de la información, siendo las más importantes:
  • ISO 27000 (derivada de ISO 17799): Sistemas de Gestión Segura de la Información
  • ISO 20000: Gestión de Servicios de Tecnologías de la Información
Ya desde la norma ISO 17799 se establecen 10 dominios de control que cubren por completo la Gestión de la Seguridad de la Información encuadrados en 4 ámbitos de seguridad. De estos diez dominios se derivan 36 objetivos de control (resultados que se esperan alcanzar mediante la implementación de controles) y 127 controles (practicas, procedimientos o mecanismos que reducen el nivel de riesgo).
 

 
Muchas empresas no necesitan implementar la normativa ISO, pero ésta sirve de guía para revisar el estado de seguridad de la empresa y definir medidas a corto, medio y largo plazo que permitan alcanzar distintos niveles de seguridad establecidos.

 
Proceso PDCA (Plan-Do-Check-Act)
PDCA
 
 Contacto Proyectos y Servicios de ITT SL