Marco normativo
La protección de datos de carácter personal es de aplicación obligatoria para las empresas, profesionales y organizaciones en general. Es su obligación respetar los derechos de los ciudadanos sobre la posesión, el tratamiento y destino de sus datos personales, para lo que deben adopar medidas de índole organizativa y técnica que establezcan los niveles de seguridad apropiados sobre dichos datos. No cumplir con dichas obligaciones puede comportar sanciones de hasta 600.000€ por parte de la Agencia Española de Protección de Datos (AEPD). El nuevo reglamento, aprobado a finales de 2007 requiere de una revisión y actualización de las organizaciones a las novedades de la Ley.
Adicionalmente, la prestación de servicios, las comunicaciones y el comercio electrónico en Internet están también regulados y se preven sanciones de hasta 600.000€ por determinadas malas prácticas, como el uso fraudulento del correo electrónico (spam), por ejemplo.
Así pues, el marco legal de base a considerar incluye:
- Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD).
- Real decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999. Nuevo Reglamento.
- Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y del Comercio Electrónico (LSSI/CE).
Complementariamente, las normas ISO/IEC 27001 y 27002 establecen un estándar de facto internacional para implementar y auditar los aspectos de seguridad de la información en las organizaciones. Puesto que estas normas van más allá de lo establecido por la propia AEPD, es muy recomendable tenerlas en cuenta para enriquecer el proceso de adaptación a la LOPD.
Las obligaciones básicas generales impuestas por la LOPD se puede resumir en:
- Legalizar: Todos los ficheros con datos de carácter personal han de estar inscritos ante la AEPD.
- Legitimar: Todos los datos de carácter personal recogidos por la organización deben recabarse con el consentimiento informado del afectado. Para dicho fin se redactarán los contratos, formularios y las cláusulas necesarias para la recogida de datos, el tratamiento por terceros y las cesiones o comunicaciones de datos.
- Proteger: La LOPD y el Reglamento de Medidas de Seguridad (RD 1720/2007), establecen la obligación de aplicar una serie de medidas de carácter técnico y organizativo que garanticen la seguridad de los datos de carácter personal.
- Documentar: Es necesario disponer de un Documento de Seguridad de obligado cumplimiento para el personal con acceso a los datos de carácter personal y a los sistemas de información.
Adicionalmente, en caso de tratarse de datos de nivel medio o alto, existe una medida de seguridad de especial relevancia y obligado cumplimiento, i.e. la auditoría de protección de datos. Ésta deberá realizarse cada dos años para verificar el cumplimiento de las obligaciones de la Ley y las medidas técnicas y organizativas en materia de seguridad de la información.
Servicios
TATAKI dispone de servicios de adecuación al marco normativo expuesto, de las correspondientes auditorías para verificar las medidas de seguridad implantadas, un servicio de soporte técnico-legal para resolver consultas, etc..
Los servicios de adecuación y auditoría permiten comprobar si la empresa cumple con las obligaciones de protección de los datos personales contenidos en ficheros automatizados y en formato papel, tanto desde el punto de vista legal como de las medidas técnicas y de seguridad asociadas, atendiendo a las siguientes áreas:
- Diagnóstico sobre la adecuación legal y técnica a la normativa vigente en materia de protección de datos.
- Regularización, en función de las deficiencias y problemáticas detectadas.
- Supervisión y/o implementación de las medidas técnicas.
- Mantenimiento y actualización continuada del cumplimento de la normativa.
Como resultado estos servicios permitirán a la empresa adaptarse al cumplimiento del nuevo reglamento de desarrollo de la LOPD (Real Decreto 1720/2007).
Los servicios consultoría LOPD y LSSI/CE se ofrecen en colaboración con el despacho de abogados Copyrait, expertos en derecho de nuevas tecnologías.
Volver a Servicios
