Ilustre Colegio de Ingenieros en Informática de la Región de Murcia
Ilustre Colegio de Ingenieros en Informática de la Región de Murcia
Nº3-Julio '05
 
 

 

 

 

 
Publicación Trimestral
buscar 
InforMAS. Revista de Ingeniería Informática del CIIRM - Grado de inclumplimiento de la LOPD
Detalle del Artículo
artículo  Grado de inclumplimiento de la LOPD
por Javier Cao Avellaneda. Consultor de Seguridad de la Información 
Javier Cao Avellaneda Tras casi ya un periodo de 6 años desde la entrada en vigor de la Ley 15/1999, de Protección de Datos de Carácter Personal, es importante destacar que el grado de incumplimiento real de la Ley es todavía demasiado preocupante.

En unas primeras reflexiones sobre el tema con el objetivo de explicar esta situación, podemos identificar varios factores que han contribuido y contribuyen a generar este alto grado de incumplimiento. El presente artículo pretende hacer reflexionar sobre el tema y tratará de poner un poco de luz a la hora de comprender qué persigue la Ley de Protección de Datos de Carácter Personal y cual debe ser la filosofía de una empresa a la hora adaptarse a ella para garantizar el correcto cumplimiento.

Reflexiones sobre los principales motivos que generan incumplimiento.

A la hora de buscar razones sobre la poca y mala adaptación de las empresas a la legislación en materia de protección de datos, una de las principales causas es el desconocimiento de la norma tanto en su contenido como en sus objetivos, así como el desconocimiento sobre el reglamento de medidas de seguridad que garantizan la protección de esta valiosa información que son los datos de carácter personal.

Como bien se expone en el Artículo 1, el objetivo de esta ley es "garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar". Como puede verse, se trata de la protección de uno de los derechos fundamentales reconocidos por nuestra Constitución Española que ya en el año 1978 establecía en su artículo 18.4 que "La Ley limitara el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos".

Por aquellas fechas ya se intuía que las tecnologías producirían importantes beneficios en la capacidad de cómputo y proceso de información, pero estas mejoras jamás podrían dañar derechos tan fundamentales como la intimidad o el honor de las personas.

¿Qué importancia tiene para la Empresa garantizar la intimidad o privacidad de las personas que se relacionan con ella?

Esta pregunta puede servir para valorar en qué medida es importante el tema de protección de datos en el modelo de negocio de la empresa. Respecto al tratamiento de datos de carácter personal, toda empresa realiza como mínimo gestiones sobre los datos de empleados, los datos de proveedores y los datos de clientes. Si respondemos a esta pregunta analizando las diferentes fuentes de datos que se manejan, podemos valorar mejor la importancia del tema:
  • Respecto a los datos de nuestros empleados, la empresa es responsable de la protección de la intimidad de sus trabajadores como propietaria de información relacionada con el poder adquisitivo, la salud del empleado, capacidades laborales, etc.

  • Respecto a los datos de los proveedores y clientes, la seguridad de esta información puede ser algo estratégico y crítico para la empresa, puesto que si fuera conocida por la competencia, podría causar daños en la cuenta de ingresos. A ello también se suma, el impacto que puede tener en la imagen de la empresa de cara a sus clientes si cierta información relacionada con estos es conocida por terceros o sale a la luz debido a una acción negligente en el tratamiento de los datos que se realice.
Por tanto, la empresa como ente social debe contribuir y responsabilizarse de la correcta custodia de esta información que ampara derechos fundamentales de los ciudadanos. Esta debe ser la principal motivación por la que el tema de la protección de datos de carácter personal debe ser considerado como algo importante dentro de la empresa.

Entendida cual es la importancia del tratamiento de datos de carácter personal respecto de las actividades de negocio de la empresa, ahora tenemos que explicar otro de los conceptos mal entendidos en general por las empresas, la RESPONSABILIDAD SOBRE LA CUSTODIA DE LA INFORMACIÓN.

La Ley establece como Responsable del fichero a "la persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento". En este sentido, también debe aclararse la confusión respecto a quién es responsable del fichero y quiénes son responsables de su tratamiento. Muchas empresas tienen contratadas en entidades externas funciones relacionadas con la administración, la contabilidad, la gestión de nóminas, etc. El concepto de responsable aquí hace referencia a la Entidad que DECIDE sobre QUE DATOS se tienen que RECOGER Y PARA QUÉ. Siguiendo con nuestra explicación sobre los ficheros que normalmente existen en toda empresa, la necesidad de tener los datos de empleados, datos de proveedores o de clientes es de la propia empresa que necesita esa información para sus procesos de negocio. Por tanto, es la empresa la RESPONSABLE de esos ficheros. Según la Ley, existen otros roles relacionados con el tratamiento de datos de carácter personal que vienen definidos por el concepto de ENCARGADO del TRATAMIENTO. Según la definición de la LOPD, son "la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento". Como bien expresa esta definición, un encargado del tratamiento proporciona un servicio relacionado con el tratamiento de datos al responsable del fichero. Esta es la figura por tanto que desempeñan todas aquellas empresas y asesorías que dan apoyo a la empresa responsable del fichero para la realización de las gestiones como la contabilidad, nóminas, etc. en los casos en los que estas gestiones se realicen por parte de empresas externas.

Por tanto, en los casos en los que se confíen ciertas actividades relacionadas con el tratamiento de datos de carácter personal a empresas externas, ha de entenderse que a nivel de Responsabilidad, la Empresa propietaria de los datos responde igualmente ante la Agencia de Protección de Datos. Ello debe hacernos reflexionar dado que la contratación de estos servicios debe especificar contractualmente cómo va a garantizar esta empresa de servicios la custodia correcta de a información que se le confía para que nos preste el servicio contratado tal y como regula el artículo 12 relacionado con los encargados del tratamiento.

Explicado ya el POR QUÉ de esta LEY ahora debemos también aclarar la problemática relacionada con la seguridad y protección de la información que es el otro principal motivo por el cual las adaptaciones a la LOPD no están consiguiendo el cumplimiento de la Ley.

La LOPD en su artículo 9 determina que "El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural".

Este enunciado obliga por tanto a garantizar la seguridad de la información relacionada con datos de carácter personal. En materia de seguridad, no podemos hablar en términos absolutos. Nada es seguro al 100% dado que las medidas de protección están pensadas para paliar o evitar ciertas amenazas. Conocido este hecho por el legislador, y dado la LOPD no establece ningún criterio para determinar cuando las medidas de seguridad son suficientes, era necesario al menos declarar cuales son los MÍNIMOS de protección a exigir al tratamiento de datos de carácter personal. Es este hecho lo que justifica la publicación del R.D. 994/1999, Reglamento de Medidas de Seguridad asociadas al tratamiento de datos de carácter personal. Por tanto, el actual Reglamento de medidas de seguridad es un conjunto de mínimos.

Respecto a la filosofía en materia de seguridad que recoge el Reglamento de Medidas, han de destacarse los siguientes hechos:
  • La seguridad de la información requiere de la participación activa de las personas implicadas en la protección.

  • Las medidas de seguridad tienen en su mayoría un carácter organizativo aunque también se exigen medidas de aplicación técnica.

  • Las medidas de seguridad no son "la tenencia de un documento de seguridad donde se indican las que existen" SINO "su aplicación en el día a día en todos aquellos procesos de negocio que realicen tratamiento de datos de carácter personal".

  • La protección de la información es un proceso en constante ejecución, no un producto o un documento.
Aclarados estos hechos, ha de comprenderse que un proceso de adaptación a la LOPD y el Reglamento de medidas que se queda en la declaración de los ficheros ante la Agencia de Protección de Datos y en la redacción del obligado documento de seguridad no consigue garantizar el cumplimiento de la citada ley.

Es más, el objetivo de redactar un documento donde se detallen las medidas de seguridad tanto técnicas como organizativas que la empresa ha contemplado, tiene un carácter práctico que facilita la acción inspectora tanto al Responsable del Fichero en el desarrollo de sus funciones como a la Agencia de Protección de Datos en los casos de inspección. Cuando se realiza una denuncia sobre una infracción y la Agencia de Protección de Datos resuelve investigarla, lo primero que tiene que conocer es qué información de carácter personal trata esa empresa. Para ello, dispone del registro de ficheros en donde todas las empresas tienen la obligación legal de haber declarado qué datos de carácter personal procesa. Una vez conocido esto, necesita saber qué personas tienen acceso y cuales son las medidas técnicas de seguridad aplicadas y los procedimientos de seguridad establecidos. El papel de la inspección se limita a comprobar y verificar el cumplimiento de lo escrito en el citado documento.

Por tanto, la adaptación de una empresa a la Legislación vigente en materia de protección de datos de carácter personal debe asemejarse al proceso de adaptación que muchas organizaciones han realizado para obtener la certificación de sus procesos entorno a la norma ISO 9000. La Empresa debe identificar cuales son sus procesos de negocio relacionados con el tratamiento de datos de carácter personal y establecer sobre ellos cada uno de los controles requeridos por el Reglamento de medidas de seguridad de la LOPD.

Para ello, es necesario que la metodología utilizada para la adaptación cubra todos los aspectos del ciclo de vida, en lo que referido al tratamiento de datos de carácter personal. Podemos considerar en este ciclo, los siguientes procesos básicos:
  • Identificación de los datos de carácter personal que sufren tratamiento

  • Legalización de los ficheros y legitimación del tratamiento de los datos

  • Procesamiento de los datos

  • Mantenimiento y soporte de los procesos de tratamiento de datos

  • Revisión periódica y auditoria de cumplimiento
Ilustración 1. Ciclo de vida del tratamiento de datos de carácter personal

Ilustración 1. Ciclo de vida del tratamiento de datos de carácter personal


Cada uno de los procesos del ciclo de vida en el tratamiento de datos de carácter personal, definirá y detallará como se produce dicho tratamiento, logrando al final del ciclo, el total cumplimiento de la legislación vigente, la documentación de los procesos asociados con datos de carácter personal y la seguridad de la información que sufre tratamiento.

El objetivo final será garantizar la correcta implantación de los procesos necesarios para conseguir los objetivos de negocio de la Empresa y satisfacer la legislación vigente. Garantizar la seguridad en el tratamiento de datos de carácter personal, contribuye en la consecución de estos objetivos, a la vez que mejora y optimiza la correcta implementación de los mismos por parte de la Empresa.

El impacto en la organización de esta adaptación a la legislación vigente en materia de protección de datos de carácter personal, implica:
  • Revisión de los procesos que manipulen datos de carácter personal

  • Incorporación de las medidas técnicas para garantizar los requisitos de seguridad

  • Establecer en el documento de seguridad la política de protección de datos de carácter personal que la empresa ha implantado.
La seguridad en el tratamiento de información, implica garantizar la seguridad en todos los elementos involucrados en la ejecución del mismo. Recordemos que la seguridad es como una cadena de eslabones y "máxima seguridad obtenida es tan fuerte como el más débil de los eslabones".

Podemos definir tres elementos que aparecerán siempre en todos los sistemas de información donde se realice procesamiento de información. Estos son:
  • Personal relacionado con el tratamiento

  • Procesos de los sistemas información

  • Tecnología
Hasta ahora, el tratamiento de datos de carácter personal forma parte de los procesos normales de los sistemas de información. Con la aplicación del Reglamento de Seguridad, estos procesos deben incorporar mecanismos de seguridad y control que, en esencia, no los modifican, pero que requieren de ciertas tareas adicionales con el objetivo de garantizar la seguridad del procesamiento.

Tal como hemos ido explicando a lo largo del presente artículo, ahora es más fácil comprender el por qué muchas de las adaptaciones no han conseguido el objetivo perseguido y el grado de incumplimiento real de la Ley es todavía demasiado preocupante. No quiero terminar sin antes hacer una reflexión autocrítica hacia el gremio de profesionales de las Tecnologías de la Información en dos aspectos:
  • Como profesionales tenemos unas responsabilidades asociadas al ejercicio de nuestra actividad y tenemos un marco legal que regula nuestras actuaciones. No somos conscientes del valor de la información a la que tenemos acceso y que podría constituir una lesión grave hacia el derecho a la intimidad de las personas cuyos datos están en nuestra mano.

  • Desconocemos el marco legal que afecta a nuestras competencias. En concreto, la LOPD establece en su artículo 10 el Deber de Secreto que afecta en general a toda persona relacionada con el tratamiento de datos de carácter personal. Es necesario empezar a ser conscientes de los límites entre lo técnicamente posible y realizable y entre lo legalmente adecuado o permitido. Aunque muchas veces sólo somos una herramienta técnica utilizada por los responsables de las organizaciones para realizar investigaciones o tratamiento de datos no adecuados, está en nuestra mano el prestarnos o no a este juego.
Como resumen y conclusión solo quiero aclarar que una ADAPTACIÓN A LA LEY DE PROTECCIÓN DE DATOS no es SOLO declarar los ficheros ante la Agencia de Protección de Datos y TENER un documento de seguridad.

Una adaptación a la Ley de protección de datos es como bien define nuestra Constitución Española en su artículo 18.4 "La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos."

Fecha: 30/6/2005

InforMAS. Revista de Ingeniería Informática del Colegio de Ingenieros en Informática de la Región de Murcia
Diseño e ingeniería por Juan Pedro Rubio Hernández
Avda. de la Libertad, 3, 2º-C, Murcia 30009
Telf 968285488 / Fax 968285385
Email: info@cii-murcia.es
InforMAS. Revista de Ingeniería Informática del CIIRM. Depósito Legal: MU-2419-2004 ISSN: 1689-8841