¿Proporcionalidad o desproporcionalidad?

26 de julio de 2007 Por

Imagino que conocen ustedes la LOPD y las sanciones que conlleva su incumplimiento: de 600 a 600.000 euros o más, dependiendo de la severidad y el número de incumplimientos, ya que las sanciones son acumulativas; no es lo mismo tener una página web con los nombres y apellidos de tus empleados, que otra que incluya además información de discapacidad o afiliación sindical con todo lujo de detalles (el ejemplo es inventado). No se preocupen, no vengo a meterle miedo a nadie ni pretendo ser agorero. Vengo a hablar de la proporcionalidad o desproporcionalidad de tales sanciones, algo sobre lo que probablemente ya tengan ustedes formada una opinión.

Uno de los colaboradores habituales de S2 Grupo comenta en ocasiones, en relación con este tema, que mientras la muerte de un trabajador en accidente laboral puede “arreglarse” económicamente con cerca de 120.000 euros, por muy duro y frívolo que eso suene, un incumplimiento severo de la LOPD —o de su acompañante, el RMS— puede conllevar una sanción de varias veces esa cantidad, algo que en apariencia al menos carece de sentido. Personalmente, considero la comparación bastante apropiada, ya que por muy flagrante y grave que sea la exposición de tales datos (sin tener en cuenta que incluso en empresas relativamente concienciadas, no es muy difícil tener alguna no conformidad grave), la muerte de una persona la supera con creces.

No obstante, pienso que esta aparente desproporcionalidad en las sanciones contempladas por la LOPD viene motivada no tanto por las consecuencias que se generan de los incumplimientos detectados, sino de la necesidad de concienciar —casi por la fuerza— a las empresas de llevar a cabo una adecuada gestión de los datos de carácter personal. En otras palabras, una multa de 20.000 euros sería asumible por muchas empresas, mientras que una de 300.000 no lo es; se trata de que el riesgo, tomado como la probabilidad de que suceda un determinado evento en relación con el impacto que éste tiene sobre la organización, sea de una magnitud suficiente como para que deba ser tenido en cuenta. Y la manera más sencilla —y única de momento— de hacer esto es incrementar el impacto, puesto que la probabilidad de la que les hablaba viene de momento limitada por la carga de trabajo de la AEPD. No es un secreto, y si lo es, es un secreto a voces, que la Agencia se encuentra totalmente saturada de trabajo y sus intervenciones están motivadas principal, aunque no únicamente, por denuncias de particulares, más que por actuaciones de oficio.

Dejando al margen consideraciones presupuestarias en las que no voy a entrar y que conllevan a su vez otras relativas a la escasez de personal, pienso que es necesario tener en cuenta que a pesar de la importancia de las sanciones, es de suponer que la AEPD conoce el estado actual de la adaptación a la LOPD en las empresas de este país, y las consecuencias que inspecciones masivas podrían tener en el tejido empresarial. Miguel me apunta además que debe tomarse en cuenta como un factor adicional y de importancia que mientras con la muerte de un trabajador una empresa no obtiene ningún beneficio —o eso es de esperar—, con el trasiego de datos de carácter personal muchas empresas hacen el agosto, y no me refiero únicamente a un beneficio directo (léase venta de bases de datos) sino también indirecto (léase realización de campañas comerciales dirigidas). Esto es, sin duda, un punto a favor de la diferencia en el volumen de las multas que aplica la LOPD en relación con otras leyes.

Visto en perspectiva, y a la vista de lo que iba comentando, es cierto que el riesgo de recibir una multa desproporcionada es relativamente bajo para cualquier empresa que tenga un mínimo cuidado y atención a la Ley y a lo que hace (las cláusulas ARCO donde toca y gestionadas como toca, ficheros declarados, Documento de Seguridad, copias de seguridad, etc). Adoptando un planteamiento futurista, me pregunto qué sucedería dentro de unos años si la Agencia, provista de un cuerpo suficiente de inspectores, fuese capaz de abordar inspecciones sectoriales en masa; ¿no creen que esa combinación de impacto y probabilidad generaría, entonces sí, un riesgo totalmente desproporcionado en relación con la violación de otras leyes tanto o más importantes?

No tan rápido, vaquero; es asunto tuyo.

7 de junio de 2007 Por

Volvemos con más LOPD, si me lo permiten. ¿Recuerdan cómo empieza el Reglamento de Medidas de Seguridad (RMS), verdad? Les hago memoria, por si acaso:

«[…] La Ley Orgánica 5/1992, de 29 de Octubre, de Regulación del Tratamiento Automatizado de Datos de Carácter Personal, prevé en su artículo 9, la obligación del responsable del fichero de adoptar las medidas de índole técnica y organizativas que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de […]»

El resto se lo saben, seguro. Por supuesto, la ley mencionada en ese párrano no es la LOPD, sino la LORTAD, ya que como saben, la LOPD carece de reglamento, en perpetua elaboración. Pasemos a otras cosas. ¿Saben lo que dice el RMS sobre las copias de seguridad, verdad? Les vuelvo a hacer memoria, de nuevo, por si acaso:

«Artículo 14. Copias de respaldo y recuperación.

1. El responsable del fichero se encargará de verificar la definición y correcta aplicación de los procedimientos de realización de copias de respaldo y de recuperación de los datos.

2. Los procedimientos establecidos para la realización de copias de respaldo y para la recuperación de los datos deberá garantizar su reconstrucción en el estado en el que se encontraban al tiempo de producirse la pérdida o destrucción.

3. Deberán realizarse copias de respaldo, al menos semanalmente, salvo que en dicho período no se hubiera producido ninguna actualización de los datos.»

A la vista de esto, hay dos cosas que parecen claras. La primera es que los datos de carácter personal (DCP) gestionados por una empresa son de su responsabilidad —que no de su propiedad—, y por tanto los DCP tratados por un empleado son responsabilidad de la empresa, no del empleado. La segunda cosa que parece clara es que hay que hacer copias periódicas de éstos.

Ahora bien, a poco que uno estudia la política de copias de seguridad que suele haber en muchas empresas, se da cuenta de que algo cruje. Y no me refiero a la cantidad de aplicativos y DCP, en ocasiones sensibles, que a menudo existen a espaldas de los departamentos de Sistemas de Información, bien sean hojas Excel, programas de gestión de Recursos Humanos, o simples documentos Word. Aunque no es del todo correcto disculpar totalmente a los responsables de TI de que se produzcan este tipo de situaciones, sí es cierto que aún poniendo el departamento en cuestión los medios necesarios y suficientes, tales como unidades de red departamentales o sistemas de copia de seguridad de determinados directorios del PC del usuario, es típico que el empleado ignore sistemáticamente estas facilidades e insista casi de modo perverso y maligno en utilizar ubicaciones lógicas de las que sabe —o debería saber, y esto puede ser tanto responsabilidad y/o culpa tanto de unos como de otros, cuya ignorancia debería ser subsanada a través de normativas escritas y entregadas, políticas adecuadamente publicitadas o sesiones de formación del personal— que no se hace copia de seguridad.

No, como les decía no me refiero a esas situaciones. No. De lo que estoy hablando, concretamente, es de esas políticas en las que el departamento de TI establece, a veces por escrito, a veces de facto, que el usuario es el único responsable y encargado de la realización de las copias de seguridad de su PC o portátil, y que la pérdida de datos es, de una forma coloquial, “su problema”. Bien, pues como seguramente han adivinado, va a ser que no; si antes podíamos de alguna forma compadecer al departamento de TI por la maldad y poca colaboración del usuario, ahora no, ya que en la medida en que en ese PC o en ese portátil contienen DCP, sus datos son responsabilidad de la empresa.

Determinar quién debe por tanto preocuparse por que esas copias se hagan, se deja como ejercicio para el lector avispado.

Proyectos LOPD basura

5 de junio de 2007 Por

En los últimos tiempos estamos inmersos en la fiebre de las X-Basura. Hablamos de Tele-Basura que ninguno vemos, comemos comida-basura, firmamos contratos basura y ahora nos ponemos a hacer proyectos basura. No me malinterpreten; es evidente que cada uno puede hacer lo que estime oportuno, siempre y cuando respete los derechos de los demás. Pero aquí, no obstante, es donde radica el problema que analizo a continuación.

En la actualidad, y a raíz del auge y la importancia que va adquiriendo tanto la LOPD como la concienciación en torno a los derechos de privacidad de las personas, patente por la publicidad que adquieren a menudo las sentencias de la AEPD, se ha creado un negocio de grandes proporciones relacionado con la seguridad de la información en la que despachos de abogados, grandes consultoras, empresas de seguridad y hasta las tiendas de informática de la esquina intentan coger lo que les pueda corresponder a pesar, a veces, de no hacer un trabajo de calidad que cubra lo que el espíritu de la Ley pretende mínimamente.

Y es que como les decía, hasta la tienda de informática de la esquina, cuyo negocio se centra en la venta de PCs, mp3, y demás artilugios para el uso y disfrute personal, hace proyectos de adaptación a la LOPD sin ser consciente de los riesgos que por ello está asumiendo y el flaco favor que le está haciendo a su cliente. Vaya por delante que no tengo nada en contra de ningún tipo de negocio y que muchas veces es mucho mejor trabajar con la tienda de informática de la esquina que con una gran consultora de las que se comen el mundo, pero quede claro que, sobre todo y ante todo, creo en la profesionalidad de las personas que forman el equipo de trabajo de una organización sea ésta grande o pequeña.

En este sentido, debo decir que muchas de las adaptaciones a la LOPD que pueden observarse en el mercado dejan mucho que desear en la mayor parte de las ocasiones, aunque estoy convencido de que en muchas ocasiones no son fruto de la mala fe de sus autores sino de un profundo desconocimiento de los aspectos técnico-legales relacionados con el cumplimiento de la misma. No hay que olvidar en ningún momento el carácter legislativo de la Ley Orgánica de Protección de Datos, y que por tanto, abordar la adaptación de una empresa a ésta requiere siempre el trabajo de un equipo mixto técnico-legal que sea capaz de cubrir todos los aspectos de la misma. No sé realmente si las personas que abordan este tipo de proyectos de una forma tan inconsciente son conocedoras de los riesgos indirectos a los que se enfrentan por una demanda interpuesta por un cliente con una sanción de la AEPD.

Por último, además del riesgo implícito que asumen como compañías y en algunos casos incluso como autónomos -esto ya es para nota-, me gustaría destacar el hecho de que la Ley Orgánica de Protección de Datos es una ley cuyo fin es la protección de los derechos de las personas, y como tal defiende los principios básicos en los que se basa la convivencia de la sociedad en la que vivimos. Es por ello que, dejando al margen consideraciones profesionales, pienso que en algunos de los casos se está jugando con un derecho fundamental de las personas, y les aseguro que por lo que he podido ver, en ocasiones se atraviesa esa frontera que nuestro sentido común marca como frontera límite.

Contraseñas: fortaleza y confidencialidad

25 de mayo de 2007 Por

politica.jpg

¿Se acuerdan ustedes de aquello que decía que «El 96% de las empresas tiene implantados aspectos relacionados con la política de contraseñas»?

(…)

Las cosas como son. Al menos, caducar, caducan: antes era ‘Registro8’.

Fotografía tomada el miércoles 23 en una organización real.

El doble juego de las entidades de certificación

8 de mayo de 2007 Por

Hay una cosa que no he acabado de entender nunca y tal vez tenga una explicación mejor que la que yo le encuentro.

Hace ya mucho tiempo -los años no pasan en balde-, cuando me enfrenté por primera vez a un Sistema de Gestión de Calidad me llevé una grata sorpresa porque vi en ellos una forma de racionalizar el trabajo que se desarrolla en una organización sin perder ese punto de intuición y el espíritu creativo que el ser humano lleva dentro. Un sistema formal y estricto con un punto de escape para la creatividad y la innovación a través del concepto de mejora continua implantado mediante el Ciclo de Deming que preside, desde un lugar de honor, el funcionamiento de estos sistemas de gestión.

La verdad es que no es oro todo lo que reluce y, en este tiempo, ya he tenido tiempo de ver de todo. He visto sistemas de gestión de calidad colgados en lo alto de una pared, adornando algún despacho, y también he visto -no muchos desgraciadamente- sistemas de gestión que aportan valor y mucho a las organizaciones que hacen de ellos su forma de trabajo. Como se desprende de las palabras anteriores soy un convencido de los Sistemas de Gestión en general, aunque creo que deberíamos empezar a hablar de UN solo modelo de gestión con procesos certificados por distintos referenciasles: ISO9001, ISO27001, ISO14001, OSHAS18001, etc.

Lo que aun no he acabado de entender, en todo este tiempo, es el papel exacto que juegan o deben jugar las entidades de certificación en este escenario. Hay entidades de certificación que hacen de la certificación y de la normalización su trabajo y hay entidades de certificación que además de certificar sistemas de gestión, trabajan en la implantación de los sistemas de gestión. Creo francamente que se pueden compatibilizar los trabajos de auditoría y los de consultoría, pero me cuesta entender cómo se puede compatibilizar la función de entidad de certificación con la labor de consultoría.

En este contexto siempre me he preguntado por qué en un sistema de gestión como el de Calidad, el incumplimiento de una ley que es de aplicación en todas las empresas, como es el caso de la LOPD, se observa -cuando se hace- como una salvedad menor y no como un impedimento para la obtención de la certificación. Evidentemente, si hablamos de la certificación del SGSI según la ISO 27001:2005, las leyes que tienen una relación directa o indirecta con la seguridad de la información o de los sistemas de información cobran un protagonismo especial. Es en este caso donde el auditor de la entidad de certificación debe estar realmente preparado para identificar la diligencia de la organización en el cumplimiento de las mismas y obrar en consecuencia. En este sentido yo les pregunto: ¿son todas las entidades certificadas dignas de merecer tan preciado galardón?

En definitiva, en general, supongo que las entidades de certificación, como cualquier otra organización, deben cuidar su actividad y/o negocio y por este motivo la explicación que yo le encuentro al doble juego que a veces practican, entre la exigencia y la permisividad, es una explicación comercial, y esta, hablando de certificaciones, no me parece, a priori, una buena razón.

Falsa seguridad

26 de abril de 2007 Por

El artículo 26 del actual Reglamento de Medidas de Seguridad (RMS), dentro del Capítulo IV, y en relación a las medidas de seguridad de nivel alto, dice lo siguiente:

Artículo 26. Telecomunicaciones

La transmisión de datos de carácter personal a través de redes de telecomunicaciones se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros.

Como es obvio, uno de esos medios es el correo electrónico, y es común que en departamentos clave en la gestión de datos especialmente protegidos se haga un uso intensivo de esta herramienta para la comunicación con terceros. Mutuas o gestorías, entre otros, suelen ser receptores habituales de este tipo de información, en el papel de Encargados del Tratamiento. Hasta aquí, nada que objetar al respecto.

[Read more…]