Protección de datos y Seguridad de la información

Certificacion-Operaciones-Administrativas-Documentacion-SanitariaLa documentación administrativa y/o empresarial está plagada de datos personales. Continuamente las empresas y consultores de gestión documental se encuentran con nóminas, pólizas, contratos, historias clínicas, expedientes, escrituras, facturas, etc., y por ello resulta conveniente, además de una obligación legal, que tengan en cuenta la legislación relacionada con la protección de datos personales a la hora de redactar los informes y ejecutar los proyectos.

La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante LOPD), extrapola en España el dictamen en materia de protección de datos de la Directiva europea 95/46/CE, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. En su artículo 3, la LOPD se contempla las principales definiciones vinculadas con la protección de datos:

  • Datos de carácter personal
  • Fichero
  • Tratamiento de datos
  • Responsable del fichero o tratamiento
  • Afectado o interesado
  • Procedimiento de disociación
  • Encargado del tratamiento
  • Consentimiento del interesado
  • Cesión o comunicación de datos
  • Fuentes accesibles al público

En títulos posteriores se exponen lo relativo a los principios que caracterizan la protección de datos, los derechos de las personas, el procedimiento de creación de ficheros de titularidad pública y privada, el movimiento internacional de datos, las competencias de la Agencia Española de Protección de Datos y las infracciones y sanciones.

backupCon la consulta de esta norma fundamental, tendremos una base sólida para salvaguardar la parte de la seguridad de la información, que atañe a la protección de los datos personales, que forman parte de los documentos que tendremos que digitalizar, metadatar o almacenar. En concreto, en el Real Decreto 1720/2007, de 21 de diciembre, Reglamento de la LOPD, se diferencian en sus artículos 80 y 81 los niveles básico, medio y alto de protección de la información personal y se establece en qué casos se aplican. Posteriormente en el Capítulo III (medidas de seguridad aplicables a ficheros y tratamientos automatizados), el texto ilustra sobre las medidas de seguridad que se han de aplicar según el nivel de protección en lo que respecta a:

  • Funciones y obligaciones del personal
  • Registro de incidencias
  • Controles de acceso
  • Gestión de soportes y documentos
  • Identificación y autenticación
  • Copias de respaldo y recuperación
  • Responsable de seguridad
  • Auditoría
  • Telecomunicaciones

Todas las recomendaciones anteriores, servirán para la redacción de los informes con indicaciones claras de protección de datos personales, contenidos en los documentos, así como para garantizar la seguridad de la información en los sistemas informáticos, mediante medidas de seguridad de infraestructura, de autenticación y de autorización.

De forma similar, cuando se trata de custodia física de los documentos, el Reglamento de la LOPD expone en su Capítulo IV medidas concretas de seguridad para ficheros no automatizados, que pueden resultar de aplicación al archivado y almacenamiento seguro de los documentos, en lo relativo a:

  • Criterios de archivo y de almacenamiento de la información
  • Dispositivos de almacenamiento
  • Custodia de los soportes
  • Responsable de seguridad
  • Auditoría
  • Copia o reproducción
  • Acceso a la documentación
  • Traslado de documentación

Como complemento a la LOPD y su reglamento, conviene considerar la Norma ISO 27001, de Sistemas de Gestión de Seguridad de la Información, que estandariza de forma universal los criterios expuestos por las normativas legales y permite manejar flujos de información evitando amenazas predecibles.

¿Qué beneficios obtienen las empresas de la protección de los datos personales, presentes en sus documentos?

Las empresas obtienen ventajas derivadas de una gestión segura de la armarios_seguridadinformación, garantizando que los documentos y la información que contienen estén accesibles, se conserven de forma integra y solo sean mostrados a las personas autorizadas. El respeto a la protección de datos permite a las empresas destruir sus documentos de forma segura, evitar los robos de datos y, en definitiva, procurar la confidencialidad de la información con las máximas garantías posibles.

El incumplimiento con la LOPD en lo que se refiere a la destrucción de los documentos puede conllevar que una empresa tenga que hacer frente a sanciones de hasta 600.000 €. Los métodos legalmente disponibles en la actualidad para no incurrir en incumplimiento es subcontratar a una empresa especializada, triturar el papel o quemarlo. Así de simple y así de complicado. Requerirá, por tanto, invertir en contratar a profesionales, o disponer de medios e infraestructura para eliminar los documentos sin que puedan volver a ser reconstruidos.

La empresa que asuma el servicio de destrucción deberá estar como mínimo certificada en la norma UNE-EN 15713:2010, cuyas equivalencias de niveles de seguridad y de triturado del papel, sirven para destruir los documentos de forma certificada.

calaveraEl robo de datos y de información empresarial es ahora más fácil que nunca. Por ejemplo a través del WIFI de la empresa. Los <<piratas>> aprovechan la ventaja que muchas empresas encuentran de trabajar con sus documentos en la nube o con soluciones de gestión documental en línea, que hacen la documentación de las empresas más vulnerables a los cibertataques. El problema viene dado por las fugas de información estratégica, con las que las empresas pierden información de vital importancia para garantizar la viabilidad de sus negocios y en algunos casos puede ocasionar la vulneración de la privacidad de las personas, cuyos datos estén contenidos en los documentos sustraídos.

Finalmente, con la aplicación de las indicaciones facilitadas por el Reglamento de la LOPD, podrán solucionar problemas derivados de no saber qué hacer con aquella documentación que ha dejado de tener un uso habitual, pero que no se puede eliminar. La solución es plantear la custodia documental mediante la externalización. De esta forma podrá garantizarse que la empresa contratada almacene los documentos, teniendo en cuenta las recomendaciones antes mencionadas del Reglamento de la LOPD.

Créditos imagen armario | http://lmpseguridad.com/armarios_seguridad/fotos/armarios_seguridad1.jpg

Publicidad