Tag Archives: proteccion datos

¿Cuándo hacer una auditoría en protección de datos?

Entendemos por auditoría en protección de datos la revisión, verificación, y evaluación del grado de cumplimiento de la normativa vigente, según lo establecido en el Real Decreto 1720/2007, de 21 de diciembre, a través de una serie de procedimientos que el profesional auditor debe cumplir para la recopilación de todos los datos e información que precisa, con la finalidad de elaborar el correspondiente Informe y emitir su valoración. Se trata de una herramienta de control y supervisión que permite descubrir fallos en las estructuras o vulnerabilidades existentes en materia LOPD.

auditoria lopd

Los principales objetivos de llevar a cabo esta obligación son los de comprobar los procedimientos y controles de seguridad en los sistemas de información, así como la adecuación de las medidas de seguridad implantadas por el auditado, para establecer los posibles riesgos de infracción que puedan derivar en sanciones por parte de la Agencia Española de Protección de datos.

El aspecto documental resulta de gran importancia a la hora de realizar el procedimiento, ya que constituye la prueba más evidente y objetiva, centrándose principalmente en el Documento de Seguridad (documento interno que debe mantenerse siempre actualizado). También tienen gran relevancia otros elementos documentales, como los registros de incidencias.

La periodicidad mínima con la que se ha de realizar una Auditoría de los sistemas de información, instalaciones de tratamiento y almacenamiento de datos es de 2 años según establece el RDLOPD en su Art. 96.1.

1. A partir del nivel medio los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se someterán, al menos cada dos años, a una auditoría interna o externa que verifique el cumplimiento del presente título.

No obstante, se establece la obligatoriedad de auditar antes de vencer el plazo bienal cuando se realicen modificaciones sustanciales en el sistema que puedan afectar a la seguridad de los datos.

Como hemos visto sólamente aquéllos ficheros que tienen un nivel medio o alto de seguridad son los que deben someterse a la auditoría, ¿pero qué datos contienen esos ficheros? Según el Art. 81 del RDLOPD

2. Deberán implantarse, además de las medidas de seguridad de nivel básico, las medidas de nivel medio, en los siguientes ficheros o tratamientos de datos de carácter personal:

a) Los relativos a la comisión de infracciones administrativas o penales.
b) Aquellos cuyo funcionamiento se rija por el artículo 29 de la Ley Orgánica 15/1999, de 13 de diciembre.
c) Aquellos de los que sean responsables Administraciones tributarias y se relacionen con el ejercicio de sus potestades tributarias.
d) Aquéllos de los que sean responsables las entidades financieras para finalidades relacionadas con la prestación de servicios financieros.
e) Aquéllos de los que sean responsables las Entidades Gestoras y Servicios Comunes de la Seguridad Social y se relacionen con el ejercicio de sus competencias. De igual modo, aquellos de los que sean responsables las mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social.
f) Aquéllos que contengan un conjunto de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos.

3. Además de las medidas de nivel básico y medio, las medidas de nivel alto se aplicarán en los siguientes ficheros o tratamientos de datos de carácter personal:

a) Los que se refieran a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual.
b) Los que contengan o se refieran a datos recabados para fines policiales sin consentimiento de las personas afectadas.
c) Aquéllos que contengan datos derivados de actos de violencia de género.

Si desea tener una mayor información acerca de nuestros servicios de auditoría LOPD puede consultar nuestro enlace http://www.movalen.com/auditoria-y-mantenimiento-lopd.

Interacciones entre la Ley de Protección de datos y la Ley de Prevención de Blanqueo de Capitales.

La ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y la financiación del terrorismo, enumera una serie de sujetos obligados a su estricto cumplimiento.

Son muchos los sujetos obligados que deben cumplir la normativa en materia de prevención del blanqueo de capitales y la financiación del terrorismo, en este amplio elenco, entre otros, tienen cabida las entidades crediticias y aseguradoras, almonedas, joyerías, asesores fiscales, auditores de cuentas, notarios, y aquellos despachos de abogados que realicen operaciones de compra-venta de bienes inmuebles, valores, gestión de fondos, etc…  por cuenta de sus clientes.

De este modo, aunque la denominación de prevención del blanqueo de capitales y la financiación del terrorismo, pudiera parecer muy ajena a determinadas empresas, en el sentido, de que de entrada, parece una materia más bien, reservada para unos perfiles muy definidos de sujetos pasivos, que siempre parecen asociarse a una exposición más directa con actividades de mayor riesgo, por los territorios internacionales en los que operan, (por ejemplo paraísos fiscales), por desarrollar actividades de comercio exterior, potencialmente más expuestas a este tipo de riesgos, etc… lo cierto es que todos los sujetos obligados recogidos en la norma, aunque su volumen de negocio y su dimensión empresarial no sean muy elevados, siempre pueden ser objetivos potenciales de las organizaciones criminales, que pretenden servirse de ellos con la finalidad de blanquear capitales procedentes de actividades ilícitas. Por ello, es necesario adoptar las medidas adecuadas para su prevención.

¿Spam o Email Marketing?

La dirección e-mail es una de las formas más comunes de registrar nuestra identidad en Internet, la cual se utiliza en múltiples lugares de la red, estando al alcance de terceros sin nuestro consentimiento.

emails

Spam

Las comunicaciones comerciales a través del correo electrónico constituyen una de las herramientas de marketing que mayores beneficios aportan a empresas y profesionales. No obstante, no debemos olvidar que con esta práctica podemos incurrir en la vulneración de varias normativas, entre ellas la Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal, (LOPD) y la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSICE).

Por todos es sabido que el “spam” es todo tipo de comunicación no solicitada, recibida por vía electrónica. Su finalidad es la de ofertar, comercializar o promover algún tipo de producto o servicio, tratando de despertar el interés por parte del destinatario. Para poder emprender una acción comercial efectiva, las empresas necesitan una buena base de datos sobre la que trabajar para segmentar su “target”. Llegar a confeccionar una buena base de datos plantea grandes problemas legales. 

La protección de datos en el teletrabajo

lopd autonomos

Teletrabajo

Un horario flexible y la conciliación de la vida profesional y familiar son los principales factores por los que muchos eligen como opción laboral el coworking o el teletrabajo. Así, la tendencia nos indica que en un futuro quizás no tan lejano, muchos de nosotros realizaremos nuestro trabajo fuera de lo que hoy conocemos con el concepto de “oficina”.

En este aspecto, el avance de la tecnología resulta fundamental para llevar a cabo este objetivo, promoviendo la utilización de servicios tales como videoconferencias, facilitando la comunicación entre las empresas y sus teletrabajadores.

Ahora bien, el uso de equipos informáticos portátiles requiere tener en cuenta los riesgos que supone trabajar en un ambiente desprovisto de la protección adecuada, razón por la cual deberemos adoptar una correcta política de protección de datos, no comprometiendo en ningún momento la seguridad de la información de la empresa u organización.

Para lograr los objetivos de las políticas de seguridad y lograr la protección de los equipos informáticos fuera del centro de trabajo, es recomendable el seguimiento de las siguientes normas: