lunes, 15 de septiembre de 2008

¿Se está haciendo correctamente el documento de seguridad de la LOPD?

El Real Decreto 1720/2007 en su artículo 88 establece lo siguiente:

"3. El documento deberá contener, como mínimo, los siguientes aspectos:
a) Ámbito de aplicación del documento con especificación detallada de los recursos protegidos.
b) Medidas, normas, procedimientos de actuación, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en este reglamento.
c) Funciones y obligaciones del personal en relación con el tratamiento de los datos de carácter personal incluidos en los ficheros.
d) Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan.
e) Procedimientos de notificación, gestión y respuesta ante las incidencias.
f) Los procedimientos de realización de copias de respaldo y de recuperación de los datos en los ficheros o tratamientos automatizados.
g) Las medidas que sea necesario adoptar para el transporte de soportes y documentos, así como para la destrucción de los documentos y soportes, o en su caso, la reutilización de los mismos".

La propia Agencia de Protección de Datos dentro de su Guía de Seguridad publicada en abril de este año, incluye una guia modelo del documento de seguridad. A modo de ejemplo, dentro del apartado de gestión de soportes y documentos, podemos encontrar, entre otras, las siguientes recomendaciones:

"Los soportes que vayan a ser desechados, deberán ser previamente (detallar procedimiento a realizar para su destrucción o borrado) de forma que no sea posible el acceso a la información contenida en ellos o su recuperación posterior.
En el traslado de la documentación se adoptarán (indicar medidas y procedimientos previstos) las para evitar la sustracción, pérdida o acceso indebido a la información".

Tras lo expuesto queda claro que, en el documento de seguridad, es necesario detallar los procedimientos y medidas técnicas exigidas por el Real Decreto. Sin embargo, la práctica nos lleva a encontrar documentos de seguridad que son una mera copia del Real Decreto. Por ejemplo, cuando el Real Decreto determina en su artículo 94, punto 4 que:

"Siempre que vaya a desecharse cualquier documento o soporte que contenga datos de carácter personal deberá procederse a su destrucción o borrado, mediante la adopción de medidas dirigidas a evitar el acceso a la información contenida en el mismo o su recuperación posterior".

En el documento de seguridad aparece un texto similar al siguiente:

"Los soportes que tengan que ser desechados, se destruirán siguiendo un mecanismo que no permita recuperar la información contenida en los mismos"

Es decir, simplemente se copia el artículo de la ley sin detallar ni procedimientos (responsabilidades) ni medidas. El resultado ya es conocido por todos: currículums con anotaciones subjetivas sobre el comportamiento de los candidatos en papeleras, historias clínicas en contenedores públicos, etc.

¿Cuál es la razón?. Probablemente, porque se ve la LOPD como un trámite burocrático impuesto que viene a complicar la ya difícil realidad diaria de las empresas. Sin obviar que el Real Decreto es criticable en muchos de sus aspectos, creo que es conveniente tener en cuenta que:

1. La LOPD es como una moneda, tiene dos caras: como empresa nos parece un lastre burocrático más pero, como personas, constituye un garante de nuestros derechos individuales. Con esta perspectiva, como responsables del cumplimiento de la ley, debemos poner empeño en tratar los datos de los demás como nos gustaría que trataran los nuestros. Es decir, podemos intentar aplicar lo que podemos llamar la "regla de oro del tratamiento de datos de carácter personal".

2. Además, es muy interesante hacer una aproximación a la LOPD como algo más que el mero cumplimiento de una obligación legal. Podemos ver la LOPD com el principio, o la parte, de un SGSI o Sistema de Gestión de Seguridad de la Información. SGSI que puede estar basado en la norma ISO27000. Con esta perspectiva, vemos que prácticamente todas las medidas de seguridad exigidas por el Real Decreto tienen su equivalente en controles definidos en la norma. Por tanto, implantando las medidas de seguridad técnicas del Real Decreto, estamos construyendo el SGSI de nuestra organización.

No hay comentarios: