Seguridad informática y protección de datos

Regulación

Hispasec analiza a fondo las cuestiones más controvertidas de la legislación para la protección de datos.

Desde el 13 de diciembre de 1999 existe en España un marco legal de obligado cumplimiento para las empresas y trabajadores autónomos españoles, cuya misión fundamental es velar por la protección de los datos de carácter personal. Éste texto es la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), oficializada en el BOE núm. 298, del 14 de diciembre de 1999.

Históricamente, ésta norma sustituyó a la que se conocía como LORTAD (Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal). En líneas generales es un amplio marco legal donde se describen la necesidad de proteger la privacidad de las personas. Concretamente, en lo referente a la adquisición, tenencia, tratamiento y cesión de ficheros que contengan datos de carácter personal, tales como nombre, apellidos, DNI, número de cuenta bancaria, así como datos especialmente protegidos, como la ideología religiosa, datos relativos a la salud, origen étnico, etc.

Frecuentemente las gerencias de las empresas enfocan la conformidad con la LOPD como un problema, como una traba, como una necesidad de gastar recursos financieros por imperativo legal. El motivo de éste artículo es propiciar una visión a gerentes y responsables, así como a usuarios en general, de que alinearse con este texto legal no debe implicar problemas, sino todo lo contrario; debe dar garantías adicionales en materia de seguridad de la información a las empresas que aplican los procesos de conformidad, así como ventajas competitivas que no deben ser desaprovechadas. A nuestro juicio, la Ley, pese a que es mejorable, constituye un excelente marco para garantizar que el tratamiento de los datos personales de la ciudadanía está sujeto a las máximas condiciones de asepsia, a la par que a las empresas les debe servir como herramienta de gestión de la seguridad.

Operativamente hablando, la LOPD se apoya en el Reglamento de Medidas de Seguridad de los Ficheros Automatizados que contengan Datos de Carácter Personal (RMS), aprobado por Real Decreto 994/1999 de 11 de junio y publicado en el BOE de 25 de junio de 1999, como instrumento para facilitar los mecanismos prácticos para cumplir con las prescripciones establecidas en la LOPD. Existen otros textos legales a considerar, pero no serán objeto de estudio en este artículo.

Así por ejemplo, el artículo octavo del RMS establece la necesidad de disponer de un Documento de Seguridad, que al menos debe contener el ámbito de aplicación del documento. Debe especificar claramente cuáles son los recursos protegidos, así como contener las medidas, normas, procedimientos, reglas y estándares encaminados a garantizar el nivel de seguridad que nos imponga la tipología de datos tratados. También tiene que recoger las funciones y obligaciones del personal que accede a los datos personales.

Así mismo, el Documento de Seguridad tiene que incluir la estructura de los ficheros de datos, describiendo claramente cómo son los sistemas de la información que los tratan y debe contener un procedimiento detallado de notificación, gestión y respuesta ante las incidencias. Adicionalmente, deben enumerarse los procedimientos de realización de copias de respaldo y de recuperación de los datos.

Llegados a este punto, parece lógico abandonar la idea de que alinearse con la LOPD es un engorro legal al que obliga la Agencia Española de Protección de Datos. Está claro que, en un sólo artículo de los 29 que tiene el RMS, se nos indica que proteger los datos es asegurarnos que debemos hacer backups, saber cómo responder ante los problemas e incidentes, formar al personal y explicarle cómo ha de tratar la información, establecer los mecanismos para que haya fluidez en la notificación de problemas, que es imperativo saber responder ante los incidentes… y una larga lista de requisitos que debemos ver como ventajas, y nunca como obligaciones meramente legislativas. Sería un craso error no ver las ventajas que esto nos puede aportar.

En resumen: alinearse con la LOPD y cumplir con sus prescripciones es perfectamente equiparable a disponer de un pequeño sistema de gestión de la seguridad de la información, que prácticamente toca todos los aspectos incluidos en textos reputados y valorados como BS 7799, o la trasposición internacional ISO 17799. La única diferencia estriba en que éstas últimas no son de obligado cumplimiento, mientras que la LOPD sí lo es, y quizás por ello las empresas recelan de su utilidad. Creemos que esto es un planteamiento incorrecto, y que la visión de imperativo legal igual a engorro y dificultad es, en este caso, errónea.

Abandonemos la idea de que las leyes son sólo estorbos que nos implican gastos financieros. Muchas veces, y éste es un buen ejemplo, las leyes además de velar por la seguridad y privacidad de las personas, nos brindan un sistema accesible para mejorar la seguridad de la información en nuestras empresas. Y eso es algo muy beneficioso a la hora de incrementar nuestra competitividad y asegurar la continuidad de nuestros negocios.

Lea también :