El blog de García Larragan y Cía

En este post trataré sobre los procedimientos que considero más relevantes implantar en la adecuación de pymes y micropymes a la LOPD. Tal y como se indicó en el post anterior, el Documento de Seguridad constituye la entrada para las actividades a realizar en esta fase y, por tanto, todos los aspectos organizativos a implantar deberán estar convenientemente desarrollados en dicho documento. Básicamente, esta segunda actividad consistirá en la implantación de los correspondientes procedimientos, incluyendo la creación de los registros y listas pertinentes (registro de incidencias, registro de entrada/salida de soportes, etc.). La implantación de las medidas y normas de seguridad asociadas se abordará en la tercera y última actividad de esta fase. Los procedimientos más importantes que deberán ser necesariamente implantados son los siguientes: 1º) Acceso, rectificación, cancelación y oposición: este procedimiento tendrá como objetivo garantizar el ejercicio, ante la propia organi...

Finalmente, la última fase que propongo para la implantación de la LOPD en pymes y micropymes es la Fase 4, cuyo objetivo es la implantación de todos los procedimientos, medidas, normas, reglas y estándares recogidos en el Documento de Seguridad elaborado en la fase 2. Por tanto, el Documento de Seguridad constituye la entrada para las actividades a realizar en esta fase, es decir, todos los aspectos a implantar deberán estar convenientemente desarrollados en dicho documento. En la primera actividad a llevar a cabo se trata de regularizar aspectos generales exigidos por la normativa en lo que respecta a los tratamientos de datos de carácter personal, tales como: 1.- Deber de información y consentimiento del afectado: consiste en implantar la normativa en lo que se refiere al derecho de información de los interesados sobre los extremos para los que se exige información previa (art. 5 de la LOPD) y, en el caso que así se requiera, solicitar su consentimiento para el tratamiento y/...

Para comenzar una serie de post sobre Gobierno de TI, en los que además tendrán cabida las buenas prácticas, metodologías y herramientas (ITIL, COBIT, CMM, Business Inteligence) que le dan soporte, he elegido un tema que creo que tiene que ver con el Gobierno de TI, la Gobernanza de TI, o, al menos, es lo que yo pensaba, pero que según lo que entiendo, en base a la opinión de los expertos, incorpora una perspectiva "nueva" a la visión que sobre las TI se tiene en las organizaciones en lo que respecta a la toma de decisiones, estrategia, directrices, supervisión, y su seguimiento y control, es decir, una visión desde el negocio (Gobernanza) frente a la visión desde la tecnología (Gobierno). Confieso que la primera vez que oí eso de la Gobernanza de TI, recientemente en un grupo de Linkedin, pensé “menuda palabreja” e, incluso, que se trataba de un barbarismo más a los que tan acostumbrados estamos en nuestra profesión, y, además, que hacía referencia al Gobierno de TI. Para re...

Como complemento a la primera entrada de frases célebres sobre la informática, comparto otras citas famosas que he leído en diversos sitios web y que me han gustado: - “la Informática es demasiado importante como para dejarla en manos de los informáticos.” - Parafraseando a G. Vaughn Jhonson. - “Cometer errores es humano, pero para estropear realmente las cosas necesitas un ordenador.” - Paul Ehrlich. - “Un ordenador te permite cometer más errores y más rápido que cualquier otra invención en la historia de la humanidad, con las posibles excepciones de las pistolas y el tequila.” - Mitch Radcliffe. - “El software es como el sexo: mejor si es libre y gratis.” - Linus Torvalds. - "Los Servicios Web son como el sexo entre los adolescentes. Todos hablan de hacerlo, pero aquellos que realmente lo hacen, lo hacen muy mal." - Michelle Bustamante. “La mayoría del software actual es muy parecido a una pirámide egipcia, con millones de ladrillos puestos unos encima de otros ...

La Fase 3 que propongo para la implantación de la LOPD en pymes y micropymes es la que tiene como objetivo la comunicación, sensibilización y formación de los usuarios que manejan datos de carácter personal en la organización. Todos conocemos la frase en la que se afirma que la fortaleza de una cadena es la misma que la de su eslabón más débil, o algo así. Además, para ilustrar este post me gustaría también recordar algunas de las frases célebres sobre la informática que ya publiqué en este blog y que creo que son muy ilustrativas de lo que quiero decir: - “Las organizaciones gastan millones de dólares en firewalls y dispositivos de seguridad, pero tiran el dinero porque ninguna de estas medidas cubre el eslabón más débil de la cadena de seguridad: la gente que usa y administra los ordenadores” - Kevin Mitnick. - “Las contraseñas son como la ropa interior. No puedes dejar que nadie la vea, debes cambiarla regularmente y no debes compartirla con extraños” - Chris Pirillo. Con esto...

La Fase 2 que propongo para la adecuación de las pymes y micropymes a la LOPD consiste en definir y elaborar la documentación pertinente para ello y tiene como principal objetivo el establecer el marco interno de referencia en lo que respecta a la protección de los datos de carácter personal manejados por la organización. El principal documento que se debe obtener en esta fase es el Documento de Seguridad, que debe regular todos los aspectos ligados a la seguridad de los datos de carácter personal manejados en la organización y será de obligado cumplimiento para todo el personal de la misma con acceso a dichos datos. La elaboración de este documento es obligatoria para el Responsable de Fichero o Tratamiento y, en su caso, para los Encargados de Tratamiento. El Documento de Seguridad tiene la consideración de documento interno de la organización y debe mantenerse permanentemente actualizado ante cambios en la normativa legal y reglamentaria, y cambios en la propia organización que ...

La Fase 1 que propongo para la adecuación de las pymes y micropymes a la LOPD consiste en la Regularización de los Ficheros manejados por la empresa y tiene como principal objetivo la declaración de estos a la Agencia Española de Protección de Datos (AEPD). La primera actividad de esta fase será la de identificar los ficheros con datos de carácter personal que se utilizan. Para ello, recomiendo pensar en conjuntos de datos que se utilizan para una finalidad concreta, con independencia de que estén centralizados o no (por ejemplo, que haya documentación de personal en dos oficinas diferentes) y del tratamiento informático que se pueda realizar de los mismos (por ejemplo, que los datos sean tratados por una o varias aplicaciones informáticas). Lógicamente, la tipología de los ficheros dependerá mucho de la pyme o micropyme concreta de que se trate, pero casi seguro que se tiene los siguientes ficheros: “Personal y Nóminas”, “Clientes”, “Proveedores” y “Contactos”, sin olvidar que ...