En este punto vamos a comentar algunas prácticas habituales y “trucos” que facilitan al Ingeniero en Informática la aplicación de la LOPD, así como conocer los problemas que genera en situaciones reales el incumplimiento de la misma. Vamos a dividir la información en varias categorías:
1. Ficheros de Carácter Personal
La LOPD no afecta a personas jurídicas, pero cualquier fichero con personas jurídicas podría contener información de autónomos, y estos son personas físicas. Como norma general, un registro de empresas (clientes, proveedores, etc.) estará afectado por la LOPD.
2. Medidas de Seguridad
Con Bases de Datos de pruebas lo mejor es no utilizar datos reales. Sin embargo, con datos reales habría que aplicar el RGPD al entonrno de pruebas que es más costoso.
Mantener las copias de seguridad en un lugar diferente del CPD. Legalmente no se indica a qué distancia debe custodiarse la copia de segurida, aunque lo razonable es que sea en otro edificios a varios km. Hay algunas empresas que se dedican a la custodia de información y todo tipo de soportes.
Para muchas de estas normas no es necesario complicarse la vida, con un folio escrito a mano es suficiente. Por ejemplo, para llevar un resgistro de E/S de soportes se puede emplear un CD-ROM o cinta de backup.
3. Derechos y deberes
El personal que maneja los ficheros DCP debería firmar una cláusula (genérica) en su contrato aceptando cumplir el RAT. El RAT y las normas y procedimientos deben ser conocidas por el personal, en caso contrario, la empresa sería culpable de un mal uso de los datos por parte de éstos. Lo mejor es hacer firmar a la gente un “recibo” de que se le han comunicado sus deberes respecto al uso de DCP.
Los usuarios cuyos datos maneja la empresa tiene unos derechos. Entre esos derechos están el deber de información al usuario cuando recogemos sus datos y el plazo de 1 mes por parte de la empresa para responder a una petición del usuario sobre sus datos.
4. Responsable de Seguridad
Suele ser el informático de la empresa.
Entre sus funciones está implantar y vigilar las medidas de seguridad, siguiendo órdenes del responsable del fichero. Además de informar al responsable de fichero de posibles problemas.
Ante la AEPD sí tiene ninguna responsabilidad, además del responsable del tratamiento. Una situación habitual es que el responsable del fichero “pasa” de la LOPD y le pasa el muerto al
de seguridad. Es muy importante que el responsable de seguridad documente por escrito cualquier problema o incidencia y lo notifique con acuse de recibo. Esos informes se pasarán a la AEPD si hay problemas, así el responsable del fichero no tendrá excusas. El responsable del fichero es quien debe asumir y responder de incumplimientos. El
trabajo del responsable de Seguridad es tenerlo informado de qué problemas hay y cómo solucionarlos. Si al final el responsable del fichero no quiere solucionar los fallos será problema suyo.
5. Responsable del Fichero
Es el mayor (aunque no único) responsable de que se cumpla la LOPD.
No tiene por qué ser una persona física. Si ponemos a una persona física, cada vez que cambie habrá que declararlo a la AEPD. La mejor opción es poner un cargo. Normalmente el responsable de fichero en una empresa sería el dueño (director general, consejo de administración,…).
6. AEPD
La AEPD es el organismo con máximas competencias en Protección de Datos.
Hay APD (Agencias de Protección de Datos) autonómicas (Cataluña, País Vasco y Andalucía) que sólo tienen competencias para ficheros de titularidad pública (Comunidad Autónoma o Administración Local). Para ficheros de titularidad privada, hay que ir a la AEPD.
En la web de la AEPD hay plantillas en PDF, y aplicaciones para generar la
documentación a enviar.
7. Auditorías
La auditoría LOPD no tiene por qué ser externa, puede hacerla la propia empresa y así reducir costes.
La auditoría consiste en comprobar si el RAT está debidamente cumplimentado y actualizado, si toda la documentación LOPD es correcta y si lo que dice la documentación es cierto. En la práctica, cualquiera con una plantilla Word/Excel con preguntas y huecos para las respuestas puede hacer auditorías LOPD.