LOPD: Los datos y su seguridad sí son importantes Autor: Esther Macías Fuente: idg.es (18 Junio 2002) Comunicaciones World Han pasado casi tres años desde que se aprobara la Ley Orgánica de Protección de Datos (LOPD) y, sin embargo, muchas compañías, especialmente pymes, no se han adecuado aún a este marco legal con las consecuencias económicas que esto les puede acarrear, en términos de duras sanciones. Para ello, es necesario contar con ayuda legal y técnica, que adapte sus sistemas informáticos a la normativa, un negocio que moverá 2.000 millones de euros en 2003 según Gartner y en el que están entrando de lleno múltiples asesorías, empresas de seguridad y consultoras. Los datos importan. Y mucho. Los múltiples datos que almacenan las empresas y todo tipo de organizaciones tanto públicas como privadas de cualquier sector son información valiosísima de los ciudadanos que la ley española y la normativa europea protege. Precisamente así lo estableció en 1999 la Ley Orgánica de Protección de Datos (LOPD), una ley que sustituyó a la antigua Ley Orgánica sobre el Tratamiento Automatizado de Datos (LORTAD) ampliándola y haciendo mayor hincapié en el derecho a la protección de los datos de los usuarios. Ley que, sin embargo, muchas compañías no cumplen, habitualmente por desconocimiento y, otras veces, porque es difícil realizar los cambios técnicos pertinentes en materia de seguridad de la información, que exige la ley, pues se requiere disponer de personal cualificado para realizar este cambio y dinero para invertir en procesos que, por lo general, son costosos. Como asegura José María Anguiano, socio del bufete Garrigues, “muchas empresas todavía piensan que la ley sólo afecta a las compañías que manejan muchos datos como las de marketing, pero no es así, pues cualquier organización pública o privada cuenta con abundante información, por ejemplo de sus empleados, que es obligatorio que se ajuste a lo que dice la LOPD para estar más segura”. Según Anguiano, no es hasta que la Agencia de Protección de Datos (APD), la institución pública que se ocupa de proteger un derecho reconocido por la Constitución Española en su artículo 18.4, impone sus duras sanciones, cuando se conciencian sobre la necesidad de adecuarse a la ley y “ya se han sancionado muchas empresas”, entre ellas la misma Telefónica y el gigante del software Microsoft. Información facilitada por HELGUERO ASOCIADOS C/ Magallanes, 24 – 1º C 28015 Madrid Tfno. 902.440.003 www.protegemostusdatos.com 1 ¿Y qué exige la ley? La LOPD obliga a las empresas a registrar los ficheros de datos en la APD, redactar un documento de seguridad de obligado cumplimiento para el personal con acceso a los datos automatizados de carácter personal y a los sistemas de información, redactar también unas cláusulas de protección de datos, realizar auditorías cada cierto tiempo para comprobar la seguridad de los datos, llevar a cabo las medidas precisas de seguridad y de tipo técnico y organizativo para garantizar la seguridad de los datos y elaborar contratos, formularios y cláusulas para la recogida de datos, los tratamientos por parte de terceros y las cesiones o comunicaciones de los datos. En concreto, la ley establece tres niveles de seguridad en función del tipo de datos personales, el básico y el medio, cuyo plazo para que las empresas lo cumplieran finalizó en 2000, y el alto, cuyo plazo acaba este mes de junio. El nivel básico, que comprende aquellos datos como nombres y apellidos, direcciones de contacto tanto físicas como electrónicas, teléfonos y otros, obliga a las empresas a disponer de un documento de seguridad, registrar las incidencias, hacer que los usuarios se indentifiquen y autentiquen, controlar el acceso a los sistemas donde se almacenan los datos, etc. El nivel medio, se refiere a datos relacionados con las infracciones penales y administrativas, información de Hacienda y de servicios financieros y exige a las empresas disponer de las medidas de seguridad que se precisan en el nivel básico y, además, contar con un responsable de seguridad, realizar auditorías de seguridad cada dos años, implantar medidas adicionales de autenticación e identificación y controlar el acceso físico a los datos. Finalmente, el nivel alto de seguridad comprende los datos que contienen información sobre la ideología de las personas, su religión, creencias, origen racial, salud y su vida, en general. Las empresas que dispongan de estos datos están obligadas por la LOPD a disponer de las medidas de seguridad antes comentadas de los niveles básico y medio y tener seguridad en la distribución de soportes, un registro en los accesos, medidas adicionales en copias de respaldo y cifrado de telecomunicaciones. Las sanciones, si no se cumplen estas obligaciones, no son pequeñas. Las leves oscilan entre los 601,01 euros y los 60.101.21 (de 100.000 a 10 millones de pesetas), las graves van de 60.101,21 euros a 300.506,05 euros (de 10 millones de pesetas a 50 millones) y las de carácter muy grave oscilan entre 300.506,05 euros y 601.012,10 euros (de 50 millones a 100 millones de pesetas). Un negocio muy rentable Sí, en un suculento negocio se está convirtiendo el mercado de la protección de datos que pasará, según la consultora Gartner, de mover 325 millones de euros en 1999 a facturar previsiblemente 1.954 millones de euros en el año 2003. Y es que desde que las empresas se han empezado a preocupar por su adecuación a la LOPD y a ser conscientes de que muchas veces ellas solas no son capaces, por falta de personal técnico y jurídico cualificado, de hacerlo solas, requieren de las prestaciones de compañías de seguridad y asesorías que se han apresurado a ofrecer este tipo de servicios. Este es el caso de Información facilitada por HELGUERO ASOCIADOS C/ Magallanes, 24 – 1º C 28015 Madrid Tfno. 902.440.003 www.protegemostusdatos.com 2 gigantes de la consultoría como PricewaterhouseCoopers, que dispone de un equipo de profesionales dedicado en exclusiva a esta tarea y de otros bufetes de abogados como el Bufet Almeida y Garrigues, entre muchos otros. Incluso se están produciendo uniones entre los mismos bufetes con compañías dedicadas a la seguridad informática para ofrecer servicios conjuntos. Este ha sido el caso de Garrigues y Osiatis, compañía especializada en la gestión de infraestructuras informáticas y comunicaciones, que han firmado un acuerdo recientemente en virtud del cual ofrecen este tipo de servicios a universidades y ayuntamientos, y es extensible a las pymes. Como explica Juan Ignacio Sanz, director de ingeniería y proyectos de Osiatis, “con nuestra alianza queremos ofrecer a las universidades y en unfuturo próximo a ayuntamientos y empresas servicios para su adecuación a la LOPD que comprendan tanto los aspectos jurídicos necesarios, que llevará a cabo Garrigues, como los propiamente técnicos, que realizaremos nosotros, asegurando que a la información de los ficheros personales no accedan hackers ni nadie que la pueda vulnerar”. De momento, han tenido como clientes la Universidad de Salamanca, la de Extremadura y la Pontificia de Salamanca y el coste del servicio oscila en torno a los 30.000 y 40.000 euros, en función del tamaño de las empresas. “Normalmente las grandes empresas españolas ya se han adaptado a la ley, pero aún quedan muchas pymes que no lo han hecho”, asegura Sanz. De hecho, según datos dados a conocer por las Cámaras de Comercio más del 95% de las pymes españolas incumple la LOPD y no registra sus ficheros en la APD. Bruselas aprueba una directiva sobre la protección de datos personales en las comunicaciones electrónicas Claro que la actual normativa nacional que regula la protección de datos, la LOPD y también la, a punto de aprobarse definitivamente, Ley de Servicios de la Sociedad de la Información y el Comercio Electrónico (LSSICE), tendrán que modificarse en breve debido a la aprobación, a finales de mayo y por parte del Parlamento europeo, de una nueva directiva, que forma parte de un paquete comprendido a su vez por cinco directivas y que pretende regular el mercado de las telecomunicaciones en la Unión. La normativa, además de autorizar bajo ciertas condiciones el uso de las cookies en Internet y exigir el consentimiento previo (opt-in) para la recepción de mensajes no solicitados con fines de venta directa enviados por teléfono, fax y correo electrónico, permite a los estados miembros que exijan a los proveedores de Internet (ISPs) y las operadoras de telecomunicaciones el almacenamiento de los datos de sus usuarios durante un plazo limitado si está justificado por motivos de seguridad nacional, seguridad pública o persecución de delitos. Una decisión que ha acarreado duras críticas por parte de los ISPs que se quejan de los gastos que conlleva este almacenamiento, y de los grupos de ciberderechos que consideran la medida como un atentado a su privacidad. Información facilitada por HELGUERO ASOCIADOS C/ Magallanes, 24 – 1º C 28015 Madrid Tfno. 902.440.003 www.protegemostusdatos.com 3 En lo que respecta a la prohibición del spam Fernando Pardo, presidente de la Asociación Española de Comercio Electrónico (AECE) asegura estar contento pues la directiva sí permite a las empresas el envío de publicidad a sus clientes lo que, según él, demuestra que “Para evitar el spam no hay que acabar con la publicidad responsable y sensata”. En este sentido, José María Anguiano, socio de Garrigues, puntualiza que “las leyes nacionales relacionadas con la privacidad de los datos chocan en este aspecto pues, mientras la LOPD autoriza la utilización de los datos de carácter personal con fines publicitarios siempre y cuando sean accesibles públicamente, la LSSI prohíbe este uso a no ser que se haga con el consentimiento expreso del cliente”. En los próximos meses ambas leyes deberán adecuarse a la directiva que entrará en vigor a partir de julio de 2003. Información facilitada por HELGUERO ASOCIADOS C/ Magallanes, 24 – 1º C 28015 Madrid Tfno. 902.440.003 www.protegemostusdatos.com 4