Hoy, el «día de la protección de datos» europeo, parece un buen momento para empezar una serie de entradas sobre la seguridad de los documentos, la LOPD (Ley Orgánica de Protección de Datos de carácter personal) y la ISO 27001 (la norma que recoge los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información -SGSI).
Creo que el párrafo anterior resulta bastante aburrido, espeso y poco atractivo, hasta para mí, así que me gustaría dejar claro desde el principio que no voy a intentar siquiera dar un curso sobre esta materia, ni ser sistemático, ni mucho menos aportar nada nuevo. Mi intención es recoger algunas ideas muy prácticas que todos los que tenemos que cumplir la LOPD (es decir, casi todos en cuanto a que trabajamos en una empresa) deberíamos conocer. Son el tipo de ideas que te llaman la atención en una charla, en un taller, en unas jornadas en las que un experto en la materia habla durante 45 minutos (con suerte lo hace ameno, pero es difícil) y al cabo de unos días recuerdas solo unas frases sueltas, que son las que te llamaron más la atención.
A estas alturas creo que sabrás perfectamente que la seguridad de la información de una empresa y la gestión documental tiene mucho que ver, porque si hay algo en la que siempre coincido con los expertos en seguridad es que la instalación de un buen programa de gestión documental simplifica enormemente el cumplimiento de las normas relativas a la custodia de los documentos delicados de una empresa, ya sea para proteger la propiedad intelectual, para cumplir con la LOPD (y evitar sanciones) o para certificarse en el cumplimiento de la ISO 27001.
De hecho, en las 4 ó 5 últimas jornadas en las que he participado para hablar de los conceptos básicos de la gestión documental (con una presentación muy similar a mi video de You Tube), he coincidido con abogados o expertos en general que hablaban de seguridad. La última vez fue el jefe de inspección de la Agencia Española de Protección de Datos, que me citó repetidamente porque yo había nombrado previamente a la Agencia como quien cita a la Guardia Civil cuando estás adelantando en raya continua (sin acordarme que hablaba a continuación).
Pero vamos al grano, empecemos con algunas ideas y datos curiosos (aunque algunos quizás inútiles) sobre la Agencia y la LOPD que, por cierto, ha cumplido 10 años hace unos días (el 14, para ser exacto). (Nota: Aunque ya comenté algunas de estas ideas el 16 de diciembre, las repito brevemente como introducción a esta serie de entradas sobre seguridad).
La Agencia actúa de oficio. Es decir, no inspecciona de una forma sistemática y ordenada a todas las empresas de una zona, ciudad, sector o facturación. La inspección es como consecuencia de una denuncia. ¿De quién? de un competidor, de un empleado (o ex-empleado, cabreado seguramente) o, sobre todo, de un cliente. ¿Cuantas veces nos ha fastidiado la siesta una llamada de una compañía telefónica que nos ofrece el mejor ADSL del mercado? ¿Cuantos correos recibimos de empresas desconocidas que nos venden algo que no nos interesa para nada? (ojo, aquí puede ser un problema de la LSSI – Ley de Servicios de la Sociedad de la Información – que ya comentaré más adelante) En esos casos, una llamada a la APD y una denuncia: la empresa tal tiene el número de teléfono de mi casa (que es sin duda un dato de carácter personal) y me llama sin mi consentimiento.
Todas las denuncias se tramitan. Y en no mucho tiempo. Así que cuidado con no provocar a los posibles clientes porque si nos denuncian, la inspección está asegurada.
Casi todas las resoluciones que se recurren no son para protestar por una multa, sino por que no se multa a la empresa. Claro, son los clientes cabreados los que se cabrean aún más si no multan a la empresa que les está dando la lata (este dato no tiene interés, pero creo que es curioso y el jefe de inspección lo recalcó para demostrar que los malos son los ciudadanos que denuncian, no los inspectores que solo hacen su trabajo).
Las multas son muy importantes. Yo diría que ejemplarizantes. Este dato no lo dio el ponente, pero creo que todos estamos de acuerdo en que 60.000€ por perder un pen-drive en un taxi es una multa muy muy seria. La sensación (y vuelvo a ser subjetivo) es que no tienen mucho personal y quieren que las actuaciones de la APD sean noticia para que salgan en los periódicos y demás medios y los empresarios nos asustemos y corramos a dar de alta nuestros ficheros y, en definitiva, a cumplir la ley. La buena noticia es que, como son pocos, hay pocas multas. La mala noticia es que, como te toque a tí, te va a salir muy caro.
Seguiré otro día, con este tono informal (más de lo habitual) porque la seguridad es un asunto muy serio, y aburrido, pero hay que conocerlo para evitar sorpresas (y multas) y espero que este enfoque facilite la lectura.
Hablaré de la LSSI, la ISO 27001 ya anunciada, firma electrónica (con un enfoque muy práctico) y algo más de LOPD.
Gestión Documental Para Gente (Casi) Normal 
Hola Fernando. Felicitaciones por tu Blog !
Este tema me interesa muchísimo por ser un convencido del futuro de la Gestión Documental, aunque como sabes bien siempre le pongo el calificativo de «segura» 😉
Me ha gustado cómo has engarzado la Gestión Documental con elementos tan importantes como LOPD y los SGSSI. En estos tiempos que corren se está dando un interesante fenómeno en empresas de tecnología y aquellas que de verdad piensan en la calidad, y es que abordan la LOPD como uno de los 133 controles de la ISO 27001, lo que hace que se una inetitablemente los dos mundos hasta ahora separados.
Por otra parte, Gestionar la Seguridad o en definitiva establecer y mantener un sistema que permita gestionar la seguridad TIC, se facilita de un modo extraordinario si disponemos de un gestor documental que ayude a conducir la información, su trazabilidad, control y actualización permanente.
Según leía tu artículo iba pensando que sólo le faltaba una referencia a la firma electrónica y cifrado de documentos, pero veo que al final haces una referencia clara sobre ello.
Tiempo tendremos de ver en 2010 Gestores Documentales profesionales que integren la firma electrónica y cifrado como una más de las capacidades que incidan en el universo documental de la empresa como medidas de salvaguarda y control, no te parece ?
Un fuerte saludo
Hola Julián, gracias por tu comentario.
Es una pena que por unas horas haya llegado antes de mi nuevo post, que es precisamente de firma electrónica.
En él verás que estoy convencido de la importancia de la firma para garantizar la seguridad de los documentos que se guardan en las empresas y AAPP, y en dicho «guardan» y no solo para los que se «envían» porque mucha gente asocia la firma solo a las «comunicaciones electrónicas» olvidando la seguridad interna que es tan importante, si no más, como la seguridad «de cara al exterior».
Espero tus comentarios críticos (constructivos seguro) de los post de seguridad por venir.
Un saludo.
Hola tan solo quería desde el cariño 😉 puntualizar unas cosa como legalista no practicante.
Cuando la AEPD atiende a las denuncias de los particulares en materia de protección de datos lo esta haciendo a INSTANCIA DE PARTE. No de OFICIO.
Cuando se trabaja de Oficio es por motu propio de la AEPD.
Puestos a ser quisquillosos decir que la AEPD puede actuar tanto de oficio como a instancia de parte según se establece en la norma.
Para terminar, más de 60 millones de euros recaudados en 2008 no me parecen pocas inspecciones…
Un saludo.
Gracias por tu comentario. Sin duda es correcto, no soy un experto en la materia. De hecho, me considero «sufridor» de la legislación, como la mayoría de las empresas.
En esta entrada intento trasladar los comentarios del ponente, que sin duda sí que era un experto. Es posible que haya equivocado algún dato o que él lo haya simplificado en una ponencia de solo 45 minutos.
Pero creo que la idea general es correcta: la mayoría, si no todas, las actuaciones son por INSTANCIA DE PARTE, como bien precisas, lo que parecía una cierta posición «defensiva» del funcionario: «nosotros no somos los malos, siempre es un ciudadano el que denuncia».
Y en cuanto a las multas, sigo pensando que son pocas pero de excesiva cuantía. Hace poco leía una noticia de una multa de 300.000€ a un hospital. Por grave que haya sido el error me parece una cifra disparatada. Creo que es más justo sancionar a más infractores con cantidades pequeñas que a unos pocos (pobrecillos) con cifras espeluznantes. Creo que lo que quieren transmitir es: «cuidado con no cumplir las reglas porque como te pillemos te vas a enterar…». Es como la lotería, pero al revés, no quieres que te toque justamente a tí.
Si estás interesada, te recomiendo un blog estupendo sobre LOPD: http://marketingpositivo.blogspot.com/ Aquí si encontrarás opiniones y datos de un experto.
Por mi parte me conformo con transmitir algunas ideas básicas, y recordar que un buen programa de gestión documental es de gran ayuda para cumplir la «dichosa» LOPD.