Adaptación a la Ley Orgánica de Protección de Datos (LOPD) Ley 15/1999
¿Qué es la Ley de Protección de Datos (LOPD)?

La LOPD es la Ley Orgánica de Protección de Datos de Carácter Personal, que entró en vigor en enero de 2000. Toda empresa que tenga en su poder cualquier fichero que contenga datos personales debe cumplir una serie de requisitos sobre su funcionamiento, y debe inscribir dichos ficheros en la Agencia de Protección de Datos.

Si su empresa no ha inscrito tales ficheros en la Agencia, ni cumple con los procedimientos exigidos en su tratamiento, está incumpliendo la ley, y puede sufrir graves sanciones económicas, que pueden llegar a alcanzar los 601.012,10€ (100 millones de pesetas.)

La Agencia de Protección de Datos tiene potestad para proceder a una inspección de su empresa, la cual puede actuar de oficio, o por la denuncia de un empleado descontento, un cliente insatisfecho, o incluso su propia competencia, que hayan advertido su inadecuación a la ley, y pretendan dañar a su empresa para conseguir sus objetivos.

GISOFT le ofrece la oportunidad de regularizar la situación de su empresa respecto a la LOPD, realizándole la inscripción de sus ficheros de datos y elaborándole su Documento de Seguridad: un manual que su empresa debe cumplir para garantizar los requisitos de la ley.

Sobre la LOPD

Para un mejor entendimiento de la ley, le presentamos un breve resumen sobre los aspectos más importantes que en ella se contemplan.

La Ley Orgánica 15/99 de Protección de Datos de Carácter Personal (LOPD) tiene como objeto "garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar."

Para ello se establecen los principios de la protección de datos, donde se disponen los derechos de información en la recogida de datos, de consentimiento del titular de los datos, de rectificación y cancelación.

La principal novedad de la ley frente a la anterior, Ley Orgánica 5/92 de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal, estriba en que su vigencia se aplica a cualquier tipo de fichero, entendiendo como tal "todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso."

Para adecuarse a la Ley, es necesaria la notificación e inscripción registral del fichero a la Agencia de Protección de Datos, un Ente de Derecho público cuyo objetivo es "velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación, en especial en lo relativo a los derechos de información, acceso, rectificación, oposición y cancelación de datos."

Además de la inscripción del fichero, es necesario que la empresa cumpla con las obligaciones establecidas en la LOPD, como son el notificar al titular de los datos sobre la inclusión de éstos en un fichero, facilitar el derecho a la consulta, modificación, rectificación y cancelación de los mismos, cumplir el deber de secreto profesional, etc.

Todo ello se viene complementado con la obligación de velar por la seguridad de los datos, con el fin de protegerlos de alteración, pérdida, tratamiento o acceso no autorizado.

Para garantizar la seguridad de los datos, el responsable del fichero o el encargado del tratamiento "deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal." Para los ficheros automatizados se aprobó el Real Decreto 994/99, por el que se establece el "Reglamento Medidas de Seguridad de los Ficheros Automatizados que contengan Datos de Carácter Personal." Entre las medidas a adoptar consta la adopción del adecuado nivel de seguridad, en base al cual se establecen los procedimientos mínimos a implantar.

La LOPD contempla infracciones y sanciones para las empresas que no cumplan la ley, dividiéndolas en infracciones leves, graves y muy graves, con multas que van desde los 601,01€ hasta los 60.101,21€ para las leves, y pueden llegar hasta 601.012,10€ para las muy graves. Entre las infracciones leves se incluye el no notificar a la Agencia de Protección de Datos la creación de un fichero. Y el hecho de no adoptar las medidas de seguridad establecidas en el documento de seguridad supone una infracción grave.

¿En qué consiste nuestro servicio de Adaptación a la LOPD?

El procedimiento completo de adaptación consiste en las siguientes etapas:

1.- Análisis de los datos tratados por su empresa.
2.- Determinación del nivel de seguridad aplicable.
3.- Inscripción de los ficheros de datos personales.
4.- Elaboración del manual de seguridad.
5.- Adaptación de la documentación de su empresa.
6.- Formación de sus empleados en materias de LOPD.
7.- Inspección de seguridad informática.
8.- Aplicación de medidas de seguridad informática.
9.- Instalación Aplicación Gest LOPD 2008.
10.- Auditoria externa bianual del cumplimiento del manual de seguridad (en los casos pertinentes.)

Análisis documental

La completa adaptación a la LOPD requiere de la modificación de todos aquellos documentos en los que se recaben datos personales, así como de aquellos para cuya redacción haya sido necesario extraer datos personales. Tales documentos deben informar al titular de los datos sobre la finalidad para la que se adquieren dichos datos, así como de la existencia de un fichero de datos, sobre el cual se puede realizar consulta, modificación o cancelación.

GISOFT analizará su documentación existente y le informará sobre qué documentos modificar y qué cambios se han de realizar para estar en cumplimiento de la ley.

Formación

Entre los distintos requisitos establecidos en la LOPD cabe destacar la obligación por parte de los empleados de una empresa a conocer y cumplir el Documento de Seguridad.

Para facilitarle la labor de asimilación de tal Documento por parte de sus empleados, GISOFT le ofrece la posibilidad de realizar un cursillo de formación sobre la LOPD, donde se explicarán los diferentes puntos importantes de la ley, y se les dará formación sobre los procedimientos establecidos en el Documento de Seguridad.

Asesoría de Seguridad Informática

Si el cumplimiento del Documento de Seguridad elaborado para su empresa no fuera suficiente para garantizar la seguridad de sus instalaciones que la ley exige, GISOFT le ofrece su conocimiento en materias de seguridad informática para elaborarle un plan técnico de medidas de seguridad, procediendo en las siguientes etapas:

Análisis de sus instalaciones.
Evaluación de puntos débiles.
Informe de medidas a implantar.


De esta forma, su empresa contará con el conocimiento de su situación actual (vulnerabilidades) y de cómo solucionar las debilidades para ofrecer un nivel de seguridad adecuado al grado establecido por la ley.

Además de conseguir su adecuación a la ley en materia de protección de datos, la seguridad informática le prevendrá ante posibles ataques que su empresa pudiera sufrir, evitando que software malicioso pueda provocarle irregularidades en su infraestructura informática, lo cual repercutiría muy negativamente en la capacidad de producción de su empresa.

Implantación de Medidas de Seguridad Informática

Si su empresa ha solicitado los servicios de asesoría de Seguridad Informática, y necesitara implantar las medidas adicionales propuestas en el informe elaborado, GISOFT le ofrece total libertad en su decisión: puede acudir a su proveedor / instalador informático actual, o puede solicitar presupuesto a GISOFT, que le ofrecerá diferentes soluciones a elegir para cubrir sus requerimientos.
Mantenimiento de Seguridad Informática

La seguridad informática no es una vacuna que protegerá indefinidamente sus instalaciones: la aparición de nuevos programas maliciosos, la incorporación de nuevos empleados, o la instalación de nuevo software que pueda presentar vulnerabilidades, son aspectos que pueden afectar a los sistemas de seguridad en cualquier momento.

Por ello, la seguridad informática debe ser revisada con una cierta frecuencia, de tal modo que se puedan analizar y corregir las nuevas situaciones que se presenten, y así mantener siempre un mismo nivel de seguridad.