Cuando se habla de Datos de Carácter Personal y LOPD, lo primero que viene a la mente no suele ser positivo. Es como si lo que recorre la mente en primer lugar fuera una especie de escepticismo, que da paso inmediato a la convicción de que quieren coartar nuestra libertad, someternos a normas estúpidas, sacarnos el dinero con servicios profesionales que no necesitamos…
© Creativa – Fotolia.com
Pero, la verdad es que hace tiempo que los hackers dejaron de ser simples adolescentes con ganas de diversión para convertirse en verdaderos delincuentes. Aprovechando sus amplios conocimientos y habilidades en las nuevas tecnologías logran lucrarse a expensas de personas físicas y empresas provocando grandes perjuicios económicos. Esta estructura delictiva se ha ido consolidando hasta tal punto, que a día de hoy existe todo un mercado negro para la comercialización de datos de carácter personal, donde no está exenta la participación de verdaderas mafias.
Por ejemplo, se estima que en 2.013 dicho mercado llegó a mover en torno a 400.000.000 €. Solo hay que tener en cuenta que el coste unitario de datos personales (DNI + Tarjeta de crédito) en dicho mercado oscila los 15 € y los 225 €, según los casos. Pues bien, si haces un simple ejercicio de multiplicar esta cifra por el número de registros existente en tus bases de datos, listas de prospectos, etc., te darás cuenta de que robarte los datos de tus prospectos, es un negocio muy lucrativo para todas esas bandas de las que todos hemos oído hablar, e incluso hemos recibido correos, avisándonos de que hemos resultado beneficiarios de una herencia inexistente, o que tenemos que autenticarnos en la página de un banco, con el que ni siquiera trabajamos, para desbloquear nuestra cuenta bancaria, o mejor dicho, para que nos la vacíen estos cibercriminales.
Por todo ello, no es de extrañar que la LOPD y su Reglamente de desarrollo, impongan la obligación, de adoptar MEDIDAS TÉCNICAS Y ORGANIZATIVAS, que puedan garantizar la seguridad de los datos de carácter personal, y evitar su alteración, pérdida, tratamiento o acceso no autorizado. Por supuesto que hacer esto en términos absolutos es imposible,y por ello, añade este párrafo del art. 9 de la LOPD, que se hará “habida cuenta del estado de la tecnología”, entre otros.
Así pues, la grandes preguntas que deberías hacerte son: ¿cuáles son estas medidas?, y ¿cuáles tengo yo que aplicar?.
Pues bien, estas medidas de seguridad, tienen que girar en torno a las siguientes 12 áreas:
- Funciones y obligaciones del personal
- Registro de incidencias
- Control de Acceso
- Gestión y de soportes y documentos
- Identificación y autenticación
- Copias de respaldo y recuperación
- Responsable de seguridad
- Auditoría
- Control de acceso físico a los lugares donde se guardan los datos
- Gestión y distribución de soportes
- Registro de Accesos
- Telecomunicaciones, (accesos remotos).
Ahora bien, como no todos los datos son igualmente de importantes, relevantes y potencialmente peligrosos, existen tres categorías según la ley de ellos, y en función del tipo de datos que contenga tu fichero o ficheros, habrá que aplicarlas todas o solo algunas.
Los tres niveles de seguridad por tipología de datos contenidos en los ficheros son:
A.- Básico, referidos a todos los datos que no pertenezcan a los dos niveles siguientes, y que suelen ser los más habituales, (nombre, dni, teléfono, email…).
B.- Medio, referidos a ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, o de solvencia patrimonial o de crédito, o que contengan un “conjunto de datos” que, de manera individual o separada no tendrían más transcendencia, pero que considerados de manera conjunta, permitan obtener un perfil o definición de las características de la personalidad de las personas, y evaluar determinados aspectos de ella o de su comportamiento, entre otros.
C.- Alto, referidos a ficheros que contengan datos sobre la ideología, afiliación sindical, religión, creencias, origen racial, saludo o vida sexual, y de violencia de género entre otros.
Así pues, el primer trabajo a realizar es clasificar los datos que contienen tus ficheros, para así poder determinar en qué nivel te encuentras, y a continuación, aplicar medidas de seguridad de carácter técnico y organizativo para garantizar su seguridad. Estas medidas, deben de trasladarse al documento de seguridad que la ley te obliga a elaborar y tener en todo momento a disposición de la Agencia Española de Protección de Datos.
Finalmente, me doy cuenta de que en este momento hay una pregunta que te atraviesa la cabeza de un lado a otro, y es que, una vez determinado el tipo de ficheros que estás usando, (básico, medio o alto), y teniendo en cuenta que puesto que tienes varios ficheros, (clientes, prospectos, sus segmentaciones, proveedores…), unos podrían ser de nivel básico mientras otros podrían ser de nivel alto, ¿qué medidas de seguridad concretas tendrás que aplicar a tu caso particular, toda vez que de las 12 áreas listadas más arriba, no todas se aplican en función del tipo de fichero?.
Pues para facilitarte esta labor, quiero regalarte la lista –“checklist”- que yo uso en mi trabajo diario para ello, y puedes descargarla aquí.
Que la disfrutes, y recuerda que estoy a tu disposición para resolver tus dudas por email, (dtierno@proemabogados.com), o contestando a los comentarios que hagas más abajo, que me comprometo a responder.
Descargar la herramienta “Medidas de Seguridad”.
David Tierno García, es abogado y director del blog sobre protección de datos para bloggeros, “proemdata”. En el campo del derecho de las nuevas tecnologías, ayuda a profesionales y empresas de Internet, a diseñar estrategias legales que les permitan continuar con sus estrategias de marketing y de ventas, sin que la LOPD, la LSSI ni la Ley de Defensa de Consumidores y Usuarios, sean un problema.