El temario se estructura en torno a los siete dominios que componen el corpus de conocimiento de la certificación, a saber:

• Fundamentos de la protección de datos
• Marco general de la protección de datos en España
• Marco sectorial de la protección de datos en España
• Marco internacional y de la Unión Europea
• Protección de los activos de información
• Gestión y respuesta ante incidentes
• Control y auditoría de los sistemas de información

El primer examen se celebrará el próximo 19 de junio en Madrid, Barcelona y Valencia y la inscripción ya está abierta en la página web de ISMS hasta el 31 de mayo.

Por otra parte, hoy 20 de enero se celebra por cuarta vez en Europa el “Día de la Protección de Datos”, ocasión para la que en la AEPD han creado una página Web con una recopilación de recomendaciones, guías y demás informaciones útiles.

Después de definir los contenidos y dominios de conocimiento, el comité de expertos está ultimando ahora los detalles del temario para el primer examen de esta certificación, que se celebrará el próximo 19 de junio de 2010.

Esta certificación, muy apropiada en un momento en el que la privacidad de datos plantea grandes retos a las empresas, tendrá un periodo de grandfathering, que durará hasta el 31 de diciembre de 2010.

Pueden encontrarse más detalles al respecto en esta presentación.

El documento está estructurado en tres partes. En primer lugar reflexiona en profundidad sobre la situación actual y futura de la protección de datos de carácter personal en diversos aspectos, como el grado de conocimiento de los ciudadanos al respecto de sus derechos y la normativa, las garantías de cumplimiento de la misma, el contexto internacional, etc.

Seguidamente ofrece algunas breves recomendaciones tanto normativas como ejecutivas, basadas en la experiencia acumulada por la Agencia. La recomendaciones se dirigen a los poderes públicos y a los agentes económicos y sociales, al objeto de que se promuevan iniciativas que fomenten la efectiva garantía del derecho a la protección de datos en ámbitos concretos.

Finalmente, el documento dedica más de la mitad de sus páginas a ofrecer un resumen de datos estadísticos sobre el funcionamiento de la Agencia (inspecciones, consultas, registro de ficheros, etc.) durante el año pasado.

Aquí van pues algunas de dichas cifras:

• Las reclamaciones ante la AEPD se incrementaron en más del 45% en 2008.
• Las denuncias ante la AEPD (junto con las investigaciones iniciadas de oficio) alcanzaron la cifra de 2.362.
• La AEPD resolvió en 2008 un total de 630 procedimientos sancionadores, casi un 58% más que en 2007, de los cuales 535 culminaron con una sanción.
• El importe de las sanciones impuestas ascendió a 22,6 millones de euros, lo que supone un incremento del 15% respecto a 2007.
• En 2008 se atendieron 1.229 tutelas de derechos, registrándose un incremento del 44% respecto a 2007.
• El número de consultas planteadas al Servicio de Atención al Ciudadano experimentó un incremento del 52,17% respecto a 2007.

Finalmente cabe resaltar que Internet, con especial énfasis en la redes sociales, y la video-vigilancia aparecen como los principales retos para la defensa de la privacidad de los ciudadanos. En este sentido destaca que el número de ficheros de video-vigilancia inscritos en el RGPD en 2008 han duplicado a los de 2007, por ejemplo.

La memoria es prolija en cifras así que los interesados en los detalles tienen en qué invertir su tiempo. En todo caso en Derecho de las TICs podemos encontrar un buen resumen.

Si bien los ficheros, tanto automatizados como no automatizados, creados con posterioridad a la fecha de entrada en vigor del RD 1720/2007 deben tener implantadas la totalidad de las medidas de seguridad que les correspondan, desde el momento de su creación, conviene recordar también para qué medidas de seguridad se ha agotado el plazo de implantación transitorio.
Los tipos de ficheros y las medidas de seguridad aplicables se encuentran perfectamente tipificados y documentados en el propio texto de la disposición transitoria (ver enlace).

Esta preocupación de la ciudadanía, contrasta con el rumor habitual al respecto de que un gran número de pymes incumple las normativas de la LOPD en materia de protección de datos de sus clientes o empleados, lo que podría acarrearles sanciones de hasta 600.000 euros. La información sensible que aparece en documentos como nóminas, facturas, extractos bancarios, etc. puede ser muy valiosa si cae en manos criminales, ya que esta información permitiría efectuar solicitud de préstamos o compras de bienes y servicios en nombre de la víctima. Este fraude, conocido como robo de identidad, es un delito que está teniendo un alarmante crecimiento en los países europeos.

A este respecto, los datos del Instituto Nacional de Tecnologías de la Comunicación (INTECO) revelan que el 93% de las pymes afirma tener conocimiento de la existencia de la LOPD, pero ello no implica que estas empresas estén concienciadas de la importancia de la seguridad de la información. Según INTECO, éstos son algunos de los errores más frecuentes que se cometen a la hora de gestionar documentos con información sensible:

• No inscribir los ficheros en la Agencia Española de Protección de Datos, corriendo riesgos como la filtración y uso de sus bases de datos de clientes por parte de empresas competidoras.
• No disponer de una política de seguridad para gestionar los datos confidenciales, protegiéndolos contra virus, software espía, o el robo de ordenadores portátiles o documentos en papel.
• No informar a los clientes, empleados o proveedores de la empresa de la cesión de sus datos a otras compañías o particulares, pudiendo ser éstos utilizados para otros fines distintos a aquellos para los que se facilitaron dichos datos.
• No destruir los documentos con máquinas específicas para ellos, siendo tirados en la mayoría de los casos a la basura, con el riesgo que ello conlleva al poder ser utilizados por otra persona para el robo de identidad.

Como puede extraerse del texto del propio reglamento, este “… viene a abarcar el ámbito tutelado anteriormente por los reales decretos 1332/1994, de 20 de junio, y 994/1999, de 11 de junio, teniendo en cuenta la necesidad de fijar criterios aplicables a los ficheros y tratamientos de datos personales no automatizados. Por otra parte, la atribución de funciones a la Agencia Española de Protección de Datos por la Ley 34/2002, de 11 de julio, de Servicios de la sociedad de la información y de comercio electrónico y la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones obliga a desarrollar también los procedimientos para el ejercicio de la potestad sancionadora por la Agencia.”

Con este nuevo texto legal queda muy patente la obligatoriedad de que las organizaciones cumplan no sólo con los aspectos púramente normativos de la Ley, sino también que implementen las medidas organizativas y técnicas (principalmente medidas de seguridad de la información), acordes con los preceptos de la Ley. Es decir, tan sancionable es no respetar los contratos de cesión de datos de carácter personal, como no disponer del adecuado procedimiento de copia de respaldo de dichos datos.

Al parecer el Nuevo Reglamento está motivando que muchas organizaciones sean más conscientes de las citadas obligaciones de protección de los datos de carácter personal. Como resultado son varios los proyectos de auditoría de LOPD en los que TATAKI está trabajando y seguiremos haciéndolo en los próximos meses, tanto en el sector privado como en el público, y siempre en colaboración con profesionales expertos en el ámbito legal.

Entre otras medidas, se abre el plazo para que tanto las empresas privadas como las entidades de carácter público, adecuen sus ficheros en soporte papel, que hubieran sido creados antes de la entrada en vigor del Reglamento, a los nuevos requerimientos en materia de seguridad establecidos en el mismo.

Así pues, todos los organismos, dispondrán de:

• Un año para adecuar al nuevo Reglamento los ficheros no automatizados que disponen de un nivel de seguridad básico.
• Dieciocho meses para adecuar los ficheros que disponen de un nivel medio de seguridad,
• Dos años para los ficheros con un nivel de seguridad alto.

Recordemos que el RD 1720/2007 no sólo establece un régimen de medidas de seguridad para los ficheros con datos personales, sino que proporciona un auténtico desarrollo reglamentario de la Ley Orgánica de Protección de Datos por lo que las consecuencias de la entrada en vigor de esta normativa se extienden más allá de las meras consideraciones sobre seguridad de datos.

Ayer se celebró el acto “Com ens afecta el nou reglament de la LOPD? Principals novetas per a l’empresa” organizada por Landwell-PwC en colaboración con la Fundación Barcelona Digital y con el apoyo de la Cambra de Comerç de Barcelona.

El acto tuvo un gran éxito de público y contó con la participación de la Sra. Elena Maestre, directora de la división de Advisory de PwC; el Sr. José Guerrero Zaplana, Magistrado Sección 1ª de la Audiencia Nacional; el Sr. Artemi Rallo, Director de la AEPD; el Sr. Javier Ribas, Socio de Landwell-PwC; el Sr. David Vilarrubias, Tecnologías de la Información y Comunicación de la Fundación CECOT Innovación; la Sra. Laura Guerra, Abogada del departamento Jurídico de PIMEC; el Sr. Víctor Torrents, Director del Servicio de información y asesoramiento de la Cambra de Comerç de Barcelona; y el Sr. Santiago Farré Tous, Responsable de la Asesoría Jurídica de la Agencia Catalana de Protección de Datos (APDCAT). Los ponentes expusieron y debatieron sobre las novedades del nuevo reglamento de desarrollo de la LOPD, las medidas de seguridad, casos prácticos y sentencias reales, el punto de vista del empresariado, entre otros.