Todas las entradas de Álvaro Aritio

Acerca de Álvaro Aritio

Departamento de Gestión en Áudea Seguridad de la Información, S.L.

01Ene/15

La formación como fundamento del Cumplimiento LOPD

Trabajos

La formación como fundamento del Cumplimiento LOPD

Creo que a estas alturas no es necesario convencer a nadie de la importancia que tiene el respeto y cuidado a la hora de tratar datos personales de terceros. Todos conocemos los riesgos tanto económicos como de imagen que puede ocasionar ser sancionado o salir en la prensa por haber perdido, publicado o lo que sea, información de nuestros clientes.

Además esta vez no voy a centrar el discurso en cuestiones concretas como el cumplimiento de ciertas medidas de seguridad o el respeto escrupuloso de lo que marca la Ley. No, esta vez quiero centrar el foco de atención en aquellos que son los que tratan de verdad y día a día los datos personales y por lo tanto aquellos sobre los que descansa la responsabilidad de respetar y cumplir la legislación, los empleados.

Quiero empezar diciendo que una persona que no ha recibido formación legal no tiene porque conocer en profundidad las leyes, incluso un abogado es muy posible que tenga su especialidad y tenga sus lagunas en otras ramas del derecho. Pues bien, dicho esto creo que es normal pensar que el empleado medio de una empresa no tiene ni la más remota idea de las exigencias de la legislación en cuanto a protección de datos.

Y es aquí donde quería llegar, a unir dos conceptos fundamentales, que el cumplimiento depende del empleado pero que este no tiene porque saber como conseguir ese cumplimiento. Creo que la idea que quiero expresar puede empezar a vislumbrarse, si alguien es encargado de hacer algo pero no sabe como hacerlo… el principal interesado (la empresa) tendrá que poner los medios para enseñarle y formarle.

Y ahora sí, ahora sí aparece la figura de la empresa o responsable del fichero, el responsable de conseguir que sus empleados tengan los conocimientos y la concienciación necesaria sobre temas que afectan a la empresa de forma tan directa. Al igual que la empresa demanda la excelencia en sus empleados, también debe formarla, buscarla e invertir en ella.

Este es un pequeño alegato a favor de los empleados y requiriendo a las empresas una mayor implicación en la formación, sobre todo cuando es la propia empresa la que se juega tanto.

 

01Ene/15

La subcontratación en la LOPD

Trabajos,

La subcontratación en la LOPD

La posibilidad de subcontratación de servicios que implican un acceso a datos por parte de terceros esta regulada en el artículo 21 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, en su Titulo III referente al encargado de tratamiento.

La subcontratación para la prestación de servicios es algo que según la actividad puede llegar a ser algo bastante normal, por lo que vamos a resumir de una forma sencilla lo que supone y sus características fundamentales.

El primer punto a tratar son los sujetos que intervienen. Como sabemos la LOPD a la hora de las prestaciones de servicios que impliquen un acceso a datos identifica dos partes, el responsable del fichero y el encargado del tratamiento. Pues bien, a la hora de la subcontratación, ¿esa tercera empresa que aparece en la ecuación que figura asume? La LOPD deja claro que la empresa subcontratada asumirá la figura de encargado del tratamiento, con todas las obligaciones y deberes de esta figura, y es que la empresa que subcontrata no lo hace como encargado del tratamiento del responsable sino que lo hace en nombre y por cuenta de este. Por lo tanto en esta situación podríamos hablar de la existencia de un responsable del fichero y dos encargados de tratamiento sobre la misma situación o servicio prestado.

La siguiente pregunta que puede surgir es cuando se puede subcontratar, o si con la voluntad del encargado del tratamiento es suficiente para hacerlo. Para la subcontratación del servicio entre el responsable y el encargado es condición obligatoria contar con el consentimiento expreso del responsable del fichero, ya sea en el momento de la contratación del servicio o a posteriori pero siempre antes de proceder a la subcontratación.

Una vez se tiene la autorización del responsable, el último paso es regularizar la situación entre el encargado del tratamiento y la empresa subcontratada. Aquí la legislación nos remite a lo ya establecido para los contratos entre responsables de fichero y encargados de tratamiento para regular los accesos a datos para la prestación de un servicio, es decir, al contrato del artículo 12 de la LOPD.

En definitiva, la LOPD regula la subcontratación de forma muy parecida a como lo hace cuando simplemente se trata de una relación entre el responsable del fichero y el encargado del tratamiento, no reconociendo al subcontratista como una figura nueva y asignándole la misma personalidad y obligaciones que un encargado del tratamiento.

 

01Ene/14

La formación de empleados como elemento fundamental

Trabajos

La formación de empleados como elemento fundamental para proteger la información de nuestra empresa

No cabe duda de que cuando hablamos de información en el ámbito profesional, nos estamos refiriendo a uno de los activos más importantes que manejan las empresas como elemento básico sobre el que fundamentan, realizan y prestan sus servicios. Por ello la gestión de esta información, sea personal, económica, estratégica u organizativa cobra una importancia vital para la consecución de los objetivos marcados y el buen desarrollo del negocio.

Esta importancia de la información crea una necesidad de control y gestión de la seguridad sobre la misma y no solo desde un punto de vista legal en cuanto a datos personales se refiere, sino con carácter general a toda la información manejada por una compañía, convirtiéndose en un complemento importante y que aporta un plus de confianza y compromiso ante clientes o terceros ajenos a la empresa. Como ejemplo de este punto es la cada vez más aceptada e incluso exigida aplicación de normas ISO en la contratación entre empresas a nivel internacional.

Pero en este artículo quería resaltar no la conveniencia o incluso necesidad de adoptar este tipo de normas, sino uno de los puntos más importantes que acompañan a su implantación y requisito necesario para su éxito, la formación. Como cualquier proyecto en que se incluye un nuevo elemento en la estructura de funcionamiento de una empresa, la implantación de un sistema de gestión de la seguridad de la información pasa por las fases de estudio, desarrollo, aprobación y aplicación, quedando en este punto los nuevos protocolos instaurados y activos, pero no se puede entender como finalizado sin las necesaria labor formativa y de concienciación al personal afectado. Podríamos utilizar la analogía de que de poco sirve comprarse un coche si no se sabe conducir, por lo que el factor formación cobra una importancia capital.

El usuario medio, que maneja información confidencial de la empresa a diario, por lo general no tiene unos conocimientos avanzados sobre seguridad de la información, basando su manera de trabajar en normas que podríamos llamar de ‘sentido común’, propiciando que este conocimiento básico deje lagunas de seguridad que pueden causar no solo perjuicios económicos a la empresa en forma de sanciones sino perdida de confianza de clientes presentes y futuros y por lo tanto perdida de negocio. Se debe considerar por lo tanto un elemento fundamental que dentro de una organización se promuevan de forma continua acciones formativas dirigidas a los empleados buscando una concienciación sobre la importancia y necesidad de la aplicación de las normas establecidas por la propia empresa en materia de seguridad, buscando que entiendan el por qué y para qué se hacen y su compromiso para su cumplimiento.