Todas las empresas, desde las grandes corporaciones a las microempresas, se ven afectadas en su actividad diaria por la normativa sobre Protección de Datos de Carácter Personal, siendo lo que más se conoce por la mayoría de estas empresas, las sanciones económicas que pueden llegarse a imponer. Pero la normativa sobre Protección de Datos establece además otros aspectos cuyo fin es la protección de cualquier información de la empresa. Al igual que de la Luna, de la LOPD sólo conocemos una de sus caras, muchas empresas desconocen su cara oculta.
¿Qué hay en esa cara oculta?. Principalmente, el establecimiento de una política de seguridad en el tratamiento de la información de la empresa; una política que es adaptable a cualquier situación e información y que variará, en cuanto a los medios a adoptar para cada caso concreto, en función del nivel de protección de los datos que tratamos y almacenamos.
Esa política de seguridad no es tan desconocida; todas las empresas conocen la importancia de la información que tratan, conservan y utilizan, y por ello adoptan una serie de cautelas o medidas. Todos conservamos y almacenamos las facturas, los pedidos de los clientes, los datos de los trabajadores, las relaciones con Entidades Bancarias y con la Administración, los contratos de suministro o de prestación de servicios, etc... Y lo hacemos no porque exista una sanción económica si no la conservamos; lo hacemos porque sino nuestra empresa no podría funcionar.
La LOPD establece que esta información, concretamente los datos de carácter personal que se encuentren bajo un tratamiento automatizado, sean protegidos con unas medidas de seguridad, tanto físicas como tecnológicas, que variarán en función de la naturaleza de los datos, y que garantizarán su seguridad y evitarán su alteración, pérdida, tratamiento o acceso no autorizado; medidas que pueden aplicarse en cualquier empresa y a cualquier clase de información, y que variarán, de una a otra empresa, únicamente en función de su actividad, organización y dimensionamiento.
Las medidas de seguridad, establecidas en el Real Decreto 994/1999 (en adelante Reglamento de Medidas de Seguridad) para los ficheros automatizados que contengan datos de carácter personal, se dividen en tres niveles, en función de la sensibilidad de los datos contenidos en el Fichero. Así, establece:
• Cuando se tratan datos de salud, ideología política o religiosa, el nivel de seguridad será el alto, debiendo tomar especiales precauciones.
• Cuando se traten datos relativos a la comisión de servicios financieros, hacienda pública, etc.., o cuando de los datos de carácter personal que contenga el fichero pueda obtenerse una evaluación de la personalidad del individuo, el nivel de seguridad será el medio.
• Todos los ficheros que contengan datos de carácter personal, deberán adoptar las medidas de seguridad calificadas como de nivel básico.
Las medidas de seguridad a implementar, que serán, principalmente, de carácter técnico y organizativo son las siguientes:
a) Control de Acceso. Persigue que sólo pueda acceder a la ubicación física de la información las personas expresamente autorizadas.
b) Procedimiento de asignación y cambio de contraseñas (identificación y autenticación). Al estar la información albergada en equipos informáticos o redes informáticas, es necesario que las personas que accedan a estos equipos estén autorizados e identificados por unas contraseñas de acceso de uso personal, que deberán ser modificadas y cambiadas cada cierto tiempo.
c) Funciones y obligaciones del personal que accede al Fichero. Se persigue que solo las personas autorizadas accedan a los datos de conformidad con sus funciones y obligaciones, debiendo recogerse estos privilegios de acceso en un Documento escrito, y que se establezca un Responsable de Seguridad que vele por el cumplimiento de las medidas de seguridad.
d) Procedimiento de respaldo y recuperación de los datos (Copias de Seguridad). Frente a las posibles amenazas de un virus informático, pérdida y/o borrado accidental de la información tratada y almacenada en equipos o redes informáticas, debe establecerse un procedimiento que asegure el funcionamiento de la empresa a través de una copia de seguridad de la información almacenada.
e) Registro de los Datos, registro de incidencias y gestión de soportes. Destinadas principalmente a establecer un procedimiento de actuación frente a incidencias técnicas de los equipos que albergan el fichero y a la entrada y salida de la información de la empresa.
f) Medidas de protección especial para determinados datos, estableciendo procedimientos o mecanismos que protejan los diferentes niveles de confidencialidad, como puede ser el cifrado de los datos.
g) Todas las medidas de seguridad, procedimientos y funciones se recogen en un Documento de Seguridad.
Es necesario que todas las empresas dispongan de los mecanismos básicos de seguridad para organizar sus propios procedimientos o políticas de seguridad de la información, y así proteger no sólo los Ficheros de Datos de Carácter Personal, sino cualquier información de la empresa. El establecimiento de estos procedimientos y garantías de seguridad frente a vulnerabilidades y amenazas, siempre actuará en beneficio de la propia empresa y su funcionamiento.
© Manaca Consulting, S.L. 2004. Todos los derechos reservados.
|
