07 Mar ¿Estamos preparados para la nueva LOPD Europea? Dos casos que no lo están.
Como sabemos, la Unión Europea ha aprobado la nueva ley de protección de datos (LOPD), que será de obligado cumplimiento a partir de mayo del 2018, a pesar de que entró en vigor el día 25 de mayo del 2016.
Por lo tanto, todas las empresas u organizaciones, ya seamos públicas o privadas, y que tratemos datos debemos adaptarnos antes de dicha fecha al nuevo reglamento comunitario.
Hasta aquí todo claro. Pero para mi sorpresa, hay un gran desconocimiento hacia nuestra LOPD Española. Por lo que muchas organizaciones no la aplican, o la aplican pero de manera muy escasa. Por lo que me lleva a plantearme si realmente están las empresas preparadas para la nueva ley europea.
¿Están preparadas las empresas para la nueva Ley Europea de Protección de Datos (LOPD)?
El fin de la LOPD, es muy claro, se pretende garantizar y proteger los datos personales, libertades públicas y derechos fundamentales de personas físicas. Así se regula el tratamiento de datos y ficheros de carácter personal, con independencia del soporte en el cual sean tratados, los derechos de los ciudadanos sobre ellos y las obligaciones de aquellos que los crean o traten.
Un ejemplo claro del desconocimiento hacia la LOPD lo tenemos en la abogacía y en las administraciones públicas.
Sin generalizar, ya que no es cierto que todos los entes o personas de estos sectores no cumplan con la ley. Pero si es reseñable el desconociendo mayoritario hacia ella.
Me explico, un aspecto importante dentro de LOPD, es que impone el cifrado de datos de una manera correcta a una gran mayoría de organizaciones o empresas. El listado aparece recogido en el art. 81.3 RLPOD. En él se establece que los datos ideológicos, de afiliación sindical, religión… han de ser cifrados. Que es lo lógico.
Pero también obliga a que los abogados en el ejercicio de su profesión, respecto del fichero de clientes, arts. 18 y 24 CE art. 5 Código Deontológico. Y las administraciones públicas en cumplimiento del Esquema Nacional de Seguridad (Anexos RD 3/2010). Deben cifrar sus datos. Y en ambos casos muy pocos lo cumplen, o lo llevan a cabo.
Las administraciones públicas.
Me encuentro con administraciones públicas que desconocen esta obligación. Así hoy en día con la proliferación de malware existente, son muchos los riesgos que se asumen por no cifrar. Y ante la pérdida de información o bien el conocimiento de los datos por terceras personas ajenas a la organización, puede acarrear problemas no sólo de índole económico hacia la administración, sino hacia nosotros como dueños de esos datos. Ya que desconocemos el uso que se pueda dar a los mismos.
Por lo que cuando un ayuntamiento es vulnerado en sus datos, ha de ponerlo en conocimiento de sus usuarios de manera inmediata. Para que estos adopten las medidas oportunas al respecto. Pero lo cierto es que muy pocos llevan a cabo tal acción, bien por desconocimiento nuevamente, o por miedo a las posibles represalias de no haber adoptado medidas para evitar tal fin.
Cifrar la información, así como las comunicaciones, es una línea de defensa fundamental para proteger los datos personales. La propia LOPD especifica medidas concretas de seguimiento obligatorio tanto para el uso de criptografía en las comunicaciones, como para el uso de criptografía en los soportes de información.
Algunos de las principales indicaciones del cifrado son:
Protección de portátiles: “La información de nivel alto almacenada en el disco se protegerá mediante cifrado”
Se deben cifrar las copias de respaldo: “Las copias de respaldo disfrutarán de la misma seguridad que los datos originales en lo que se refiere a integridad, confidencialidad, autenticidad y trazabilidad. En particular, se considerará la conveniencia o necesidad de que las copias de seguridad estén cifradas para garantizar la confidencialidad”
Los abogados.
El caso de los abogados es muy similar, me encuentro a su vez con despachos profesionales carentes de protección y con total ausencia del cifrado de su información. Y eso que el Código Deontológico de la Abogacía Española establece unas normas deontológicas para la función social de la Abogacía, entre las que se encuentra el deber de secreto, que exige el cifrado de datos.
Esta ausencia del mismo, como en el caso de los organismos públicos, es más por desconocimiento que por cuestiones económicas. No es la primera vez que se me objeta que los datos que manejan no son objeto de malware, o que carecen de importancia para terceros.
Pero el problema no es ese, sino que la información que comparten el cliente con los abogados ha de estar protegida básicamente por cuestiones de tratamiento de datos y por el máximo riesgo que supone para el cliente en relación con los derechos a no declarar contra sí mismos, a no confesarse culpables, a la presunción de inocencia, a su intimidad, a su honor y a los demás de los regulados en la LO 1/1982 y en la propia CE.
El desconocimiento y falta de aplicación hacia esta parte fundamental de la LOPD, con el que nos encontramos casi a diario, me hace preguntarme si estamos las empresas preparadas ya no sólo para hacer frente al reglamente europeo, sino para hacer frente a los nuevos problemas tecnológicos que se nos plantean a diario. Problemas de propiedad intelectual, secretos comerciales… ¿cómo enfrentamos estas nuevas vicisitudes, si cuando tenemos a nuestro alcance buenos medios para ello, no lo aplicamos?
¿Está tu empresa preparada para la nueva LOPD europea? ¿Y para el RGPD?
En IPS Technology llevamos la Transformación Digital a tu Empresa.