¿QUÉ ES LA LOPD?

La Ley Orgánica de Protección de Datos de Carácter Personal 15/1999 de 13 de diciembre (LOPD) tiene por objeto:

“Garantizar y proteger el tratamiento de los datos personales, las libertades públicas y los derechos fundamentales, especialmente de su honor e intimidad personal y familiar.”

La LOPD establece unas obligaciones para empresas, instituciones y administraciones públicas en relación a la protección de datos de carácter personal contenidos en ficheros automatizados (informáticos) y no automatizados (en papel). Estas entidades tratan los datos de carácter personal habitualmente, y lo hacen con distintas finalidades: para la gestión de personal, de proveedores o clientes, campañas de marketing, etc.

En 2003 vencieron todos los plazos marcados por la legislación para que las empresas y organizaciones adaptasen sus tratamientos de datos personales a lo establecido por la LOPD y el R.D. 994/1999. Esto implica que, a día de hoy, empresas que no cumplen con dicha legislación están en situación de ilegalidad, arriesgándose a incurrir en durísimas sanciones.

Desde abril de 2008 es vigente el R.D. 1720/2007, por lo que todas las empresas están en el periodo de readaptación al nuevo reglamento el cual, estipula muchas de las obligaciones relacionadas con el cumplimiento de los principios de la LOPD, y ha redefinido las medidas de seguridad de los ficheros automatizados y, definido específicamente las medidas de los ficheros manuales –en papel–.

Situación en el 2009 (Fuente: CIS –Centro de Investigaciones Sociológicas–):

  • Siete de cada diez ciudadanos se muestran preocupados por la protección de datos y el uso de la información personal por otras personas.
  • El 52% de la población conoce la existencia de una ley para proteger la intimidad personal y familiar contra abusos que puedan producirse con sus datos personales.

Según la memoria de 2009 de la Agencia Española de Protección de Datos, las reclamaciones ante la entidad se incrementaron en 2009 un 75%. Los procedimientos sancionadores aumentaron un 12,99% más que en 2008. La cuantía total de las sanciones ascendió aproximadamente a 24,9 millones de euros, lo que supone un incremento del 12,99% respecto al año anterior.

Fuente: Agencia Española Protección de Datos

 

LEGISLACIÓN ACTUAL
  • Ley Orgánica 15/1999 de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD).
  • Real Decreto 1720/2007 de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD 15/1999 (RLOPD).
  • Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995 relativa la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos

 

CLASIFICACIÓN DE LOS DATOS

Según la naturaleza de los datos, a éstos se les aplicará uno de los siguientes niveles:

  • Nivel Básico:
    • Todos los ficheros que contengan datos de carácter personal.
  • Nivel Medio:
    • Datos relativos a comisiones de infracciones administrativas o penales, Hacienda Pública, Servicios Financieros.
  • Nivel Alto:
    • Datos de ideología, religión, creencias, origen racial, salud o vida sexual.
    • También los recabados con fines policiales sin consentimiento de las personas.

 

OBLIGACIONES BÁSICAS DE LAS EMPRESAS

Para resumir, las empresas instituciones y administraciones públicas deberán:

  • Inscribir el fichero o los ficheros de datos personales en el registro de la Agencia Española de Protección de Datos.
  • Adoptar las medidas de seguridad de índole técnica y organizativa necesarias que garanticen la seguridad de los datos, y disponer de un documento de seguridad.
  • Cumplir ciertos principios en la recogida, almacenamiento y uso de los datos personales, como por ejemplo el de información y consentimiento del afectado o la calidad de los datos.
  • Proteger los ficheros para preservar la confidencialidad, integridad y disponibilidad de los datos siguiendo lo establecido en el Reglamento de Seguridad
  • Disponer de un Documento de Seguridad
  • Definir e implantar los Procedimientos de tratamiento de los datos requeridos
  • Garantizar al afectado el uso de sus derechos ARCO: Acceso, Rectificación, Cancelación y Oposición. o Nombrar un Responsable de Seguridad (cuando se disponga de datos de nivel medio o alto)
  • Formar y concienciar en materia de seguridad de la información a todo el personal, en particular a los que gestione datos personales

Medidas de seguridad del Nivel Básico

  • Ámbito de aplicación y especificación de los recursos protegidos. o Medidas, normas y procedimientos.
  • Funciones y obligaciones del Personal
  • Estructura de los ficheros y descripción de los sistemas de información que los trata. o Procedimientos de notificación, gestión y respuesta ante las incidencias.
  • Procedimientos de copias y recuperación de los datos. o Identificación y autentificación.
  • Control de acceso.

Medidas de seguridad del Nivel Medio
Además de las básicas:

  • Se nombrará uno o varios responsables de seguridad encargados de coordinar y controlar las medidas en el Documento de Seguridad.
  • Los sistemas de información y sistemas se someterán a auditoría interna o externa. o Identificación y autentificación inequívoca.
  • Control de acceso físico a los locales donde estén los sistemas de información con datos de carácter personal. o Gestión de soportes con mayor grado de control y de identificación. Mínimo semanalmente.
  • Gestión de incidencias con consignación de procedimientos.

Medidas de seguridad del Nivel Alto

Además de las de nivel medio:

  • La distribución de datos en soporte digital se hará encriptado.
    • Registro de acceso a los datos, se guardará como mínimo:
    • Identificación del usuario.
    • Fecha y hora en que se realizó.
    • Fichero accedido y si ha sido autorizado o denegado.
  • Se mantendrán como mínimo 2 años los datos registrados.
  • Control de acceso físico a los locales donde estén los sistemas de información con datos de carácter personal. o La copia se guardará en un lugar diferente a donde se encuentren los sistemas de información.
  • La transmisión de datos por redes de telecomunicaciones se realizará cifradas.

 

OBLIGACIONES DE LA LOPD EN MATERIA DE COPIA DE SEGURIDAD Y RECUPERACIÓN DE DATOS

Después de esta breve introducción a la LOPD, adentrémonos únicamente a los aspectos de la Ley relacionados con las copias de seguridad y recuperación de datos.

  • Obligaciones que afectan a datos de todos los niveles (Básico, Medio y Alto)Se deberán garantizar la restauración de datos al momento anterior a producirse la pérdida. Se requiere realizar copias de seguridad al menos una vez a la semana (artículo 94.1 del Reglamento de Desarrollo de la LOPD (RLOPD), RD 1720/2007)
  • Obligaciones que afectan a datos de nivel Medio y AltoEs necesaria una autorización para la ejecución de procedimientos de restauración de datos (RLOPD artículo 100.2)
  • Obligaciones que afectan a datos de nivel AltoAlmacenamiento externo de copias y procedimientos de restauración de datos (RLOPD artículo 100.2)

 

ARTÍCULOS DE LA NORMA A CONSIDERAR

Veamos qué dice la norma:

  • Identificación de soportes (Art. 13)
    Mantener un control de la salida de soportes.
    Asegurarse que el desecho de soportes no pone en riesgo la confidencialidad.
  • Artículo 101.2 – Cifrado de los datos
    La distribución de soportes que contengan datos de carácter personal se realizará cifrando dichos datos garantizando que dicha información no sea vista ni manipulada durante su transporte. Para la encriptación se recomienda un cifrado de 128 bits.
  • Artículo 103 – Registro de accesos
    El administrador no tiene acceso a los datos salvo autorización expresa del cliente. En el caso de necesitar ejecutar una recuperación en el datacenter, el usuario debe proporcionar su clave de seguridad. El acceso queda registrado.
  • Artículo 102 – Copias de seguridad en un lugar diferente al que se encuentran los equipos informáticos que los tratan
    Es la funcionalidad principal de las herramientas de backup online. Obligatorio en las copias para la protección de datos de Nivel Alto.
  • Artículo 104 – Transmisión de datos por redes de telecomunicaciones
    Los datos se transmiten cifrados y comprimidos, bajo un protocolo de comunicación seguro SSL (https).
  • Artículo 94.2 – Verificación periódica de la copia de seguridad
    El responsable del fichero se encargará de verificar cada seis meses la correcta definición, funcionamiento y aplicación de los procedimientos de realización de copias de seguridad y de recuperación de los datos.

 

INFRACCIONES Y SANCIONES

A partir de la publicación de la Ley 2/2011, de 4 de marzo, de Economía Sostenible, las infracciones de la LOPD se sancionarán según la siguiente tabla:

LEVES GRAVES MUY GRAVES
Multa entre 900€ y 40.000€ Multa entre 40.001 y 300.000€ Multa entre 300.001 y 600.000€

 

EJEMPLOS DE LA IMPORTANCIA DEL USO DE COPIAS EXTERNAS

Algunos ejemplos de empresas, instituciones o administraciones públicas para los que soluciones de copia de seguridad remota puede ser una solución adecuada para ayudar a cumplir la LOPD:

  • Formación– Centros de Formación, Colegios, Universidades, AcademiasSuelen almacenar información sobre el patrimonio familiar, IRPF, raza y/o religión
  • Salud – Centros Médicos, Gabinetes de Psicología, Mutuas, Laboratorios
    Suelen almacenar informaciones concernientes a la salud presente o futura, física o mental, de enfermos o fallecidos. Historial médico, uso o abuso del alcohol, consumo de drogas, etc.
  • Servicios – Asesorías, Consultorías, Banca, Seguros, ETTs, Ayuntamientos, …Suelen almacenar información relativa a ideologías y creencias (donaciones, afiliaciones a partidos o sindicatos), salud (altas, bajas, minusvalías, partes) datos sobre el patrimonio o los ingresos familiares, impuestos, etc.
  • Ocio – Hoteles, Clubs deportivos, ArmeríasGestionan certificados de salud para la obtención de permisos y otros
  • Otros – Partidos políticos, Centros religiosos, Sindicatos, Agencias matrimoniales, …Indudablemente, manejan datos que contienen información sobre la ideología, religión, afiliaciones…