LOPD IMPORTANTE

LOPD: Los datos y su seguridad sí son importantes
Autor: Esther Macías
Fuente: idg.es (18 Junio 2002) Comunicaciones World
Han pasado casi tres años desde que se aprobara la Ley Orgánica de Protección
de Datos (LOPD) y, sin embargo, muchas compañías, especialmente pymes, no
se han adecuado aún a este marco legal con las consecuencias económicas que
esto les puede acarrear, en términos de duras sanciones.
Para ello, es necesario contar con ayuda legal y técnica, que adapte sus sistemas
informáticos a la normativa, un negocio que moverá 2.000 millones de euros en 2003
según Gartner y en el que están entrando de lleno múltiples asesorías, empresas de
seguridad y consultoras.
Los datos importan. Y mucho. Los múltiples datos que almacenan las empresas y todo tipo
de organizaciones tanto públicas como privadas de cualquier sector son información
valiosísima de los ciudadanos que la ley española y la normativa europea protege.
Precisamente así lo estableció en 1999 la Ley Orgánica de Protección de Datos (LOPD),
una ley que sustituyó a la antigua Ley Orgánica sobre el Tratamiento Automatizado de
Datos (LORTAD) ampliándola y haciendo mayor hincapié en el derecho a la protección de
los datos de los usuarios. Ley que, sin embargo, muchas compañías no cumplen,
habitualmente por desconocimiento y, otras veces, porque es difícil realizar los cambios
técnicos pertinentes en materia de seguridad de la información, que exige la ley, pues se
requiere disponer de personal cualificado para realizar este cambio y dinero para invertir
en procesos que, por lo general, son costosos.
Como asegura José María Anguiano, socio del bufete Garrigues, “muchas empresas
todavía piensan que la ley sólo afecta a las compañías que manejan muchos datos como
las de marketing, pero no es así, pues cualquier organización pública o privada cuenta con
abundante información, por ejemplo de sus empleados, que es obligatorio que se ajuste a
lo que dice la LOPD para estar más segura”. Según Anguiano, no es hasta que la Agencia
de Protección de Datos (APD), la institución pública que se ocupa de proteger un derecho
reconocido por la Constitución Española en su artículo 18.4, impone sus duras sanciones,
cuando se conciencian sobre la necesidad de adecuarse a la ley y “ya se han sancionado
muchas empresas”, entre ellas la misma Telefónica y el gigante del software Microsoft.
Información facilitada por HELGUERO ASOCIADOS
C/ Magallanes, 24 – 1º C
28015 Madrid
Tfno. 902.440.003
www.protegemostusdatos.com
1
¿Y qué exige la ley?
La LOPD obliga a las empresas a registrar los ficheros de datos en la APD, redactar un
documento de seguridad de obligado cumplimiento para el personal con acceso a los
datos automatizados de carácter personal y a los sistemas de información, redactar
también unas cláusulas de protección de datos, realizar auditorías cada cierto tiempo para
comprobar la seguridad de los datos, llevar a cabo las medidas precisas de seguridad y de
tipo técnico y organizativo para garantizar la seguridad de los datos y elaborar contratos,
formularios y cláusulas para la recogida de datos, los tratamientos por parte de terceros y
las cesiones o comunicaciones de los datos.
En concreto, la ley establece tres niveles de seguridad en función del tipo de datos
personales, el básico y el medio, cuyo plazo para que las empresas lo cumplieran finalizó
en 2000, y el alto, cuyo plazo acaba este mes de junio. El nivel básico, que comprende
aquellos datos como nombres y apellidos, direcciones de contacto tanto físicas como
electrónicas, teléfonos y otros, obliga a las empresas a disponer de un documento de
seguridad, registrar las incidencias, hacer que los usuarios se indentifiquen y autentiquen,
controlar el acceso a los sistemas donde se almacenan los datos, etc. El nivel medio, se
refiere a datos relacionados con las infracciones penales y administrativas, información de
Hacienda y de servicios financieros y exige a las empresas disponer de las medidas de
seguridad que se precisan en el nivel básico y, además, contar con un responsable de
seguridad, realizar auditorías de seguridad cada dos años, implantar medidas adicionales
de autenticación e identificación y controlar el acceso físico a los datos. Finalmente, el
nivel alto de seguridad comprende los datos que contienen información sobre la ideología
de las personas, su religión, creencias, origen racial, salud y su vida, en general. Las
empresas que dispongan de estos datos están obligadas por la LOPD a disponer de las
medidas de seguridad antes comentadas de los niveles básico y medio y tener seguridad
en la distribución de soportes, un registro en los accesos, medidas adicionales en copias
de respaldo y cifrado de telecomunicaciones.
Las sanciones, si no se cumplen estas obligaciones, no son pequeñas. Las leves oscilan
entre los 601,01 euros y los 60.101.21 (de 100.000 a 10 millones de pesetas), las graves
van de 60.101,21 euros a 300.506,05 euros (de 10 millones de pesetas a 50 millones) y
las de carácter muy grave oscilan entre 300.506,05 euros y 601.012,10 euros (de 50
millones a 100 millones de pesetas).
Un negocio muy rentable
Sí, en un suculento negocio se está convirtiendo el mercado de la protección de datos que
pasará, según la consultora Gartner, de mover 325 millones de euros en 1999 a facturar
previsiblemente 1.954 millones de euros en el año 2003. Y es que desde que las empresas
se han empezado a preocupar por su adecuación a la LOPD y a ser conscientes de que
muchas veces ellas solas no son capaces, por falta de personal técnico y jurídico
cualificado, de hacerlo solas, requieren de las prestaciones de compañías de seguridad y
asesorías que se han apresurado a ofrecer este tipo de servicios. Este es el caso de
Información facilitada por HELGUERO ASOCIADOS
C/ Magallanes, 24 – 1º C
28015 Madrid
Tfno. 902.440.003
www.protegemostusdatos.com
2
gigantes de la consultoría como PricewaterhouseCoopers, que dispone de un equipo de
profesionales dedicado en exclusiva a esta tarea y de otros bufetes de abogados como el
Bufet Almeida y Garrigues, entre muchos otros. Incluso se están produciendo uniones
entre los mismos bufetes con compañías dedicadas a la seguridad informática para ofrecer
servicios conjuntos. Este ha sido el caso de Garrigues y Osiatis, compañía especializada en
la gestión de infraestructuras informáticas y comunicaciones, que han firmado un acuerdo
recientemente en virtud del cual ofrecen este tipo de servicios a universidades y
ayuntamientos, y es extensible a las pymes. Como explica Juan Ignacio Sanz, director de
ingeniería y proyectos de Osiatis, “con nuestra alianza queremos ofrecer a las
universidades y en unfuturo próximo a ayuntamientos y empresas servicios para su
adecuación a la LOPD que comprendan tanto los aspectos jurídicos necesarios, que llevará
a cabo Garrigues, como los propiamente técnicos, que realizaremos nosotros, asegurando
que a la información de los ficheros personales no accedan hackers ni nadie que la pueda
vulnerar”. De momento, han tenido como clientes la Universidad de Salamanca, la de
Extremadura y la Pontificia de Salamanca y el coste del servicio oscila en torno a los
30.000 y 40.000 euros, en función del tamaño de las empresas. “Normalmente las
grandes empresas españolas ya se han adaptado a la ley, pero aún quedan muchas
pymes que no lo han hecho”, asegura Sanz. De hecho, según datos dados a conocer por
las Cámaras de Comercio más del 95% de las pymes españolas incumple la LOPD y no
registra sus ficheros en la APD.
Bruselas aprueba una directiva sobre la protección de datos personales en las
comunicaciones electrónicas
Claro que la actual normativa nacional que regula la protección de datos, la LOPD y
también la, a punto de aprobarse definitivamente, Ley de Servicios de la Sociedad de la
Información y el Comercio Electrónico (LSSICE), tendrán que modificarse en breve debido
a la aprobación, a finales de mayo y por parte del Parlamento europeo, de una nueva
directiva, que forma parte de un paquete comprendido a su vez por cinco directivas y que
pretende regular el mercado de las telecomunicaciones en la Unión.
La normativa, además de autorizar bajo ciertas condiciones el uso de las cookies en
Internet y exigir el consentimiento previo (opt-in) para la recepción de mensajes no
solicitados con fines de venta directa enviados por teléfono, fax y correo electrónico,
permite a los estados miembros que exijan a los proveedores de Internet (ISPs) y las
operadoras de telecomunicaciones el almacenamiento de los datos de sus usuarios
durante un plazo limitado si está justificado por motivos de seguridad nacional, seguridad
pública o persecución de delitos. Una decisión que ha acarreado duras críticas por parte
de los ISPs que se quejan de los gastos que conlleva este almacenamiento, y de los
grupos de ciberderechos que consideran la medida como un atentado a su privacidad.
Información facilitada por HELGUERO ASOCIADOS
C/ Magallanes, 24 – 1º C
28015 Madrid
Tfno. 902.440.003
www.protegemostusdatos.com
3
En lo que respecta a la prohibición del spam Fernando Pardo, presidente de la Asociación
Española de Comercio Electrónico (AECE) asegura estar contento pues la directiva sí
permite a las empresas el envío de publicidad a sus clientes lo que, según él, demuestra
que “Para evitar el spam no hay que acabar con la publicidad responsable y sensata”.
En este sentido, José María Anguiano, socio de Garrigues, puntualiza que “las leyes
nacionales relacionadas con la privacidad de los datos chocan en este aspecto pues,
mientras la LOPD autoriza la utilización de los datos de carácter personal con fines
publicitarios siempre y cuando sean accesibles públicamente, la LSSI prohíbe este uso a
no ser que se haga con el consentimiento expreso del cliente”. En los próximos meses
ambas leyes deberán adecuarse a la directiva que entrará en vigor a partir de julio de
2003.
Información facilitada por HELGUERO ASOCIADOS
C/ Magallanes, 24 – 1º C
28015 Madrid
Tfno. 902.440.003
www.protegemostusdatos.com
4