Con la entrada en vigor, el pasado verano, de la obligación de implantar las medidas de seguridad de nivel alto, culmina el proceso de adaptación de los ficheros automatizados con datos de carácter personal* previstos en la disposición transitoria del Reglamento de Medidas de Seguridad de los Ficheros que contengan Datos de Carácter Personal aprobado por Real Decreto 994/1999 de 11 de Junio de 1999.
Este hecho, unido a la entrada en vigor con posterioridad al citado Real Decreto, de la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD) que vino a reformar la antigua LORTAD, suponen un importante avance en la protección de datos de carácter personal.
Con la experiencia acumulada desde la entrada en vigor, a finales de 1992, de la antigua LORTAD y debido a la actividad inspectora de la Agencia de Protección de Datos, las empresas deberían estar en situación de asimilar conceptos tales como la adecuación, finalidad, pertinencia y puesta al día de los datos, el deber de secreto y, sobre todo, de las comunicaciones y los encargos de tratamiento de datos; así como todo lo referente al el los derechos de acceso, de rectificación, cancelación u oposición; la notificación a la Agencia de los ficheros, etc.
A pesar de todo esto, en la realidad el conocimiento de esta ley y, más concretamente, su contenido no son algo generalizado. Por el contrario dicho conocimiento está reservado habitualmente a las personas que, por razón de su cargo o función, están en la obligación de velar por su cumplimiento e implantar las medidas de protección.
La excepción puede encontrarse en sectores empresariales y profesionales concretos, cuya actividad siempre se ha visto relacionada con la necesidad de discreción o el deber de secreto. Algunos ejemplos son las empresas con gran vinculación con la sanidad, en donde sí existe una conciencia clara de lo que son datos sensibles.
Debido a todo esto, muchas empresas y, especialmente, las pymes se encuentran de repente con un problema de repercusión técnica, normativa y organizativa que resulta difícil abordar de golpe, lo que en muchos casos afecta negativamente a su imagen. Esto es especialmente preocupante en aquellas empresas en las que parte o toda su línea de negocios se encuentra en Internet, en donde cualquier síntoma de desconfianza repercute en los resultados económicos y en la viabilidad del negocio en sí. Por el contrario el cumplimiento y respeto evidente a los principios y derechos de confidencialidad y seguridad de los datos son ingredientes potenciadores de la confianza y, de forma directa, del éxito para quienes basan su negocio en este medio tecnológico.
Por todo ello, se comprende la importancia de la obligación de las empresas en realizar una auditoría sobre la LOPD (Reglamento) bianualmente. Dicha auditoría debe proveer de la metodología que permita establecer las referencias adecuadas entre debilidades, riesgos y contramedidas, así como facilitar el desarrollo de planes de implantación y seguimiento de nuevas medidas. De esta forma, la auditoría, lejos de ser un inconveniente, se convierte en una herramienta de ayuda para, de forma natural, asumir una conciencia de respeto hacia estos datos personales y convertir en sencilla la adaptación de nuestro comportamiento (procedimientos) y nuestros procesos de negocio (tratamientos) a la legislación.
Los mayores problemas se encuentran precisamente en empresas con una fuerte inercia y que han despreocupado este aspecto, por lo han de pasar de unos niveles bajos al nivel alto de protección. Este hecho provoca un fuerte impacto no sólo organizativo sino incluso técnico y, por consiguiente, económico.
La experiencia nos enseña que pasar de las medidas de nivel medio a las de nivel alto no debe requerir un esfuerzo organizativo, sino una mayor exigencia en cuanto a las técnicas a aplicar a los datos para que estos no sean inteligibles, un mayor rigor en el registro de acceso y su revisión, y la ubicación en un lugar alternativo de las copias y procedimientos de respaldo y recuperación. Hoy en día la mayoría de las empresas aplican ya, o están en disposición de aplicar, las medidas de seguridad informáticas adecuadas y suficientes. Sin embargo, requieren de una mayor sensibilización para poder asegurar los matices correctos de la aplicación de la ley.
Por ello resulta imprescindible, en nuestra opinión, que la auditoría impuesta por el Reglamento se complete con un informe que analice, desde el punto de vista jurídico, el nivel de cumplimiento de la LOPD en su conjunto. No debemos olvidar que la seguridad de los datos es únicamente una más de las obligaciones impuestas por dicha ley, existiendo otras muchas cuyo incumplimiento acarrea infracciones incluso más graves que las que trae consigo el incumplimiento del Reglamento a que nos venimos refiriendo.
José Ignacio Gordón, responsable Soluciones de Seguridad Thales IS
