El blog de García Larragan y Cía

En este último post de la serie trataré sobre la implantación de las medidas y normas de seguridad asociadas a implantar en la adecuación de pymes y micropymes a la LOPD. Debe quedar claro, tal y como se indicaba en un post anterior, que las obligaciones de la normativa vigente en materia de protección de datos no dependen del tamaño de la empresa y, por tanto, obligan por igual a autónomos, pequeñas, medianas y grandes empresas, ya que sus exigencias se establecen en función del nivel de seguridad aplicable a los datos que maneja la organización (básico, medio y alto). No obstante, lo habitual en pymes y micropymes es que sólo existan datos de nivel básico y que los sistemas de información automatizados existentes no presenten una gran complejidad, por lo que la implantación de las medidas técnicas en estos últimos no será tampoco muy compleja. También debe tenerse en cuenta que la normativa establece qué medidas deben implantarse (por ejemplo: identificación y autenticación an...

En este post trataré sobre los procedimientos que considero más relevantes implantar en la adecuación de pymes y micropymes a la LOPD. Tal y como se indicó en el post anterior, el Documento de Seguridad constituye la entrada para las actividades a realizar en esta fase y, por tanto, todos los aspectos organizativos a implantar deberán estar convenientemente desarrollados en dicho documento. Básicamente, esta segunda actividad consistirá en la implantación de los correspondientes procedimientos, incluyendo la creación de los registros y listas pertinentes (registro de incidencias, registro de entrada/salida de soportes, etc.). La implantación de las medidas y normas de seguridad asociadas se abordará en la tercera y última actividad de esta fase. Los procedimientos más importantes que deberán ser necesariamente implantados son los siguientes: 1º) Acceso, rectificación, cancelación y oposición: este procedimiento tendrá como objetivo garantizar el ejercicio, ante la propia organi...

Finalmente, la última fase que propongo para la implantación de la LOPD en pymes y micropymes es la Fase 4, cuyo objetivo es la implantación de todos los procedimientos, medidas, normas, reglas y estándares recogidos en el Documento de Seguridad elaborado en la fase 2. Por tanto, el Documento de Seguridad constituye la entrada para las actividades a realizar en esta fase, es decir, todos los aspectos a implantar deberán estar convenientemente desarrollados en dicho documento. En la primera actividad a llevar a cabo se trata de regularizar aspectos generales exigidos por la normativa en lo que respecta a los tratamientos de datos de carácter personal, tales como: 1.- Deber de información y consentimiento del afectado: consiste en implantar la normativa en lo que se refiere al derecho de información de los interesados sobre los extremos para los que se exige información previa (art. 5 de la LOPD) y, en el caso que así se requiera, solicitar su consentimiento para el tratamiento y/...

La Fase 3 que propongo para la implantación de la LOPD en pymes y micropymes es la que tiene como objetivo la comunicación, sensibilización y formación de los usuarios que manejan datos de carácter personal en la organización. Todos conocemos la frase en la que se afirma que la fortaleza de una cadena es la misma que la de su eslabón más débil, o algo así. Además, para ilustrar este post me gustaría también recordar algunas de las frases célebres sobre la informática que ya publiqué en este blog y que creo que son muy ilustrativas de lo que quiero decir: - “Las organizaciones gastan millones de dólares en firewalls y dispositivos de seguridad, pero tiran el dinero porque ninguna de estas medidas cubre el eslabón más débil de la cadena de seguridad: la gente que usa y administra los ordenadores” - Kevin Mitnick. - “Las contraseñas son como la ropa interior. No puedes dejar que nadie la vea, debes cambiarla regularmente y no debes compartirla con extraños” - Chris Pirillo. Con esto...

La Fase 2 que propongo para la adecuación de las pymes y micropymes a la LOPD consiste en definir y elaborar la documentación pertinente para ello y tiene como principal objetivo el establecer el marco interno de referencia en lo que respecta a la protección de los datos de carácter personal manejados por la organización. El principal documento que se debe obtener en esta fase es el Documento de Seguridad, que debe regular todos los aspectos ligados a la seguridad de los datos de carácter personal manejados en la organización y será de obligado cumplimiento para todo el personal de la misma con acceso a dichos datos. La elaboración de este documento es obligatoria para el Responsable de Fichero o Tratamiento y, en su caso, para los Encargados de Tratamiento. El Documento de Seguridad tiene la consideración de documento interno de la organización y debe mantenerse permanentemente actualizado ante cambios en la normativa legal y reglamentaria, y cambios en la propia organización que ...

La Fase 1 que propongo para la adecuación de las pymes y micropymes a la LOPD consiste en la Regularización de los Ficheros manejados por la empresa y tiene como principal objetivo la declaración de estos a la Agencia Española de Protección de Datos (AEPD). La primera actividad de esta fase será la de identificar los ficheros con datos de carácter personal que se utilizan. Para ello, recomiendo pensar en conjuntos de datos que se utilizan para una finalidad concreta, con independencia de que estén centralizados o no (por ejemplo, que haya documentación de personal en dos oficinas diferentes) y del tratamiento informático que se pueda realizar de los mismos (por ejemplo, que los datos sean tratados por una o varias aplicaciones informáticas). Lógicamente, la tipología de los ficheros dependerá mucho de la pyme o micropyme concreta de que se trate, pero casi seguro que se tiene los siguientes ficheros: “Personal y Nóminas”, “Clientes”, “Proveedores” y “Contactos”, sin olvidar que ...

Antes de comentar las fases que propongo para la adecuación de pymes y micropymes a la LOPD, creo que es necesario comentar aquellos términos más importantes de la Ley y el Reglamento que la desarrolla. Todo ello, para cumplir el objetivo de estos post, es decir, hacerlos más comprensibles para quienes no estén familiarizados con la LOPD. Es cierto que, lógicamente, se perderá rigor en las definiciones (todas ellas se pueden consultar en la Ley y el Reglamento, donde se encontrará una definición exhaustiva de las mismas), pero entiendo que se ganará en su comprensión. Por tanto, la definición (a mi manera) de los términos más importantes es la siguiente: - Dato de carácter personal: cualquier dato de una persona física que lo identifique (por ejemplo: nombre y apellidos, foto, imagen de una videocámara,…) o a través del cual se le pueda identificar (por ejemplo: dirección de correo electrónico compuesta por la inicial del nombre y primer apellido, la voz,…), y cualquier otro dato p...

Inicio con éste una serie de post cuya única pretensión es aportar mi granito de arena a la divulgación y sensibilización en las pymes y micropymes con respecto a la protección de datos de carácter personal y, en la medida en que sea capaz, para aclarar y sim plificar su adecuación a las exigencias de la normativa vigente en esta materia y su efectivo cumplimiento por parte de las mismas. Empezaré con una breve descripción para, en los siguientes post y basado en mi experiencia en proyectos similares, continuar con las fases a abordar en la adecuación de pymes y micropymes a la LOPD. La Ley orgánica de protección de datos de carácter personal 15/1999 (en adelante LOPD), de 13 de diciembre, afecta y obliga por igual a todas las personas, tanto físicas como jurídicas, que tratan datos de carácter personal, con alguna excepción (ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas, etc.), y, por tanto, es aplicable en igual me...