Mucho por hacer en protección de datos
Hoy, 26 de junio, concluye el plazo para implantar por parte de las Administraciones públicas y empresas privadas las medidas de seguridad de nivel alto. Esto significa que cualquier persona, tanto física como jurídica, que realice una actividad profesional y en el ejercicio de la misma, almacene en sus sistemas de información datos relativos a ideología, religión o creencias, origen racial, la salud, vida sexual y afiliación sindical, es decir, datos calificados por la LOPD (Ley Orgánica de Protección de Datos) como de nivel alto, sólo podrá tratarlos si cumple las medidas de seguridad correspondientes a dicho nivel.
Es interesante recordar que ya no cabrá acogerse a la Disposición Transitoria æscaron;nica del Reglamento de las Medidas de Seguridad, como venían haciendo muchas empresas, en la que se establecía que cuando los sistemas de información que se encuentren en funcionamiento no permitan tecnológicamente la implantación de alguna de las medidas de seguridad previstas en el Reglamento, la adecuación de dichos sistemas y la implantación de las medidas de seguridad deberán realizarse en plazo máximo de tres años a contar desde la entrada en vigor del reglamento, es decir, junio de 1999.
Por tanto, a partir de hoy no sólo se pone definitivamente fin a todos los plazos para la adaptación de los sistemas de información al Reglamento de las Medidas de Seguridad sino que se avecinan graves problemas para el 93% de empresas de este país que, según un reciente informe de Landwell-PwC, no cumple con esta normativa, bien porque desconoce la ley, a pesar que entró en vigor hace casi tres años, bien porque tenía olvidadas las obligaciones en esta materia o incluso porque les es difícil cumplir con determinadas medidas previstas en el reglamento y, por lo tanto, a día de hoy no han implementado todavía las medidas de seguridad.
Como consecuencia de esta situación, las entidades que no adopten medidas de seguridad se colocan no sólo en una situación de riesgo ante un ataque tanto interno como externo de seguridad, sino incluso en una situación de ilegalidad en el cumplimiento de la legislación vigente que puede traer como consecuencia una sanción que oscila de 60.000 a 300.000 euros.
A pesar de la reticencia que existe en el 93% de las empresas de este país hay que recordar que, adoptando determinadas medidas organizativas y técnicas, se garantiza la seguridad de los datos de carácter personal y se evita su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que estén expuestos, ya provengan de la acción humana o del medio físico o natural.
A tales efectos, entre las medidas que garantizan la seguridad podemos referenciar algunas como: elaborar un documento en el que se implante la normativa de seguridad y de obligado cumplimiento para el personal con acceso a los datos automatizados de carácter personal; establecer mecanismos para evitar que un usuario pueda tener acceso a datos o recursos con derechos distintos de los autorizados; establecer un sistema de entrada y salida de soportes o establecer mecanismos que permitan la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información.
Además, en este sentido, la Agencia de Protección de Datos, en el caso de que no se cumplan las medidas previstas en el reglamento puede ordenar la cesación de los tratamientos de datos de carácter personal y la cancelación de los ficheros, así como la imposición de una sanción de 60.000 a 300.000 euros
Sólo queda recomendar a aquellas entidades que no hayan adoptado las medidas de previstas en el Reglamento de Seguridad 994/99 que adopten las medidas oportunas para iniciar los proyectos de adaptación al mismo, y las que lo hayan hecho, que adopten las medidas necesarias para mantener los niveles de seguridad exigidos así como la actualización periódica de los mismos, poniéndose para ello en manos de profesionales que les puedan asesorar en la materia.