IEE
Informáticos Europeos Expertos

Estamos en: 

  1. Artículos y Textos Legales >
  2. Artículos >
  3. La seguridad de la información de la Ley de Protección de datos de carácter personal

Artículos - Protección de Datos de Carácter Personal

La seguridad de la información de la Ley de Protección de datos de carácter personal

Emilio del Peso Navarro
Abogado y Ldo. en Informática

"En mi opinión, compartimentar el conocimiento suponía la esencia misma de la seguridad. Mi regla era sencilla e imposible de tergiversar, todo hombre debería saber cuanto necesitare para realizar su trabajo y nada más."

(Leslie Richard Groves)

SUMARIO:
1. Introducción.
2. Clasificación de la información.
3. Diferentes tipos de seguridad.
4. Características de la seguridad.
5. La seguridad en la nueva Ley de Protección de Datos de carácter personal.
6. El Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal.
7. Visión crítica del Reglamento.
8. Conclusiones.
9. Bibliografía.

1. Introducción

El ser humano a través de su vida va en busca de la seguridad. El niño la busca en su madre, el ser adulto en su empleo, en su domicilio y en mil situaciones que se le van presentando a través de su existencia.

Pero quizás la primera pregunta que hemos de hacernos: ¿qué es la seguridad?. Según el Diccionario de la Lengua Española seguridad es: "cualidad de seguro" y a su vez seguro: "libre y exento de todo peligro"

El Diccionario de uso del español de María Moliner en una de sus acepciones nos habla de: "estado de protegido o asegurado contra un riesgo". Esto es lo que busca el hombre en la seguridad, eliminar, en cierto modo, la incertidumbre ante lo que pueda suceder.

En el presente trabajo vamos a circunscribirnos a un determinado tipo de seguridad, la de la información.

No hace mucho tiempo al escribir la introducción sobre un tema como el que nos ocupa la mayor parte de la misma la teníamos que dedicar a demostrar el valor en sí misma de la información, su diferencia con lo que sucedía en el pasado y la influencia que en el crecimiento y valoración de ésta había tenido la implantación de las Nuevas tecnologías de la Información y las Comunicaciones en nuestra sociedad denominada, ya por muchos, sociedad de la información.

Entendemos que en el momento presente esto ya no es necesario. La información va alcanzando tal influencia en la toma de decisiones de los ejecutivos privados y de los gestores públicos que estos ya no pueden prescindir de ella y cada vez demandan más y, esto es lo importante, cada vez piden más que ésta sea fiable.

Esto nos conduce al principal objetivo de nuestro trabajo: la seguridad de la información aunque después reduzcamos el dominio de nuestro estudio a la información de carácter personal de las personas físicas eliminando cualquier otro tipo de información y asimismo la correspondiente a las personas jurídicas.

Éste ha sido un tema que durante años ha estado proscrito de los foros jurídicos, en los que, por supuesto, si tenía acogida la seguridad jurídica pero no la seguridad de la información. Ésta se contemplaba dentro de la técnica y alejada por tanto del mundo del derecho.

Nosotros, desde un principio, no lo entendíamos así, y ahí están nuestras publicaciones. Siempre pensamos que la Seguridad de la Información y la Auditoría de los Sistemas de Información tenían cabida en estos foros y más aún debían estar presentes.

Por eso nos produjo gran alegría la reciente publicación del libro : La seguridad entre la técnica y el derecho, que amablemente nos envió uno de sus autores, el Profesor M. Yves Poulet.

Como dicen los autores, la seguridad adquiere en el contexto de las redes sin fronteras una nueva y esencial dimensión en el momento mismo en que se multiplican los riesgos y se extienden los objetivos de la seguridad.

No se trata simplemente de asegurar que los tratamientos automatizados de una máquina se efectúen correctamente, es decir, de manera fiable; se trata de asegurar que a través de esas redes que cubren el mundo entero, ninguna información, se pierda de forma voluntaria o fortuita, en dirección a terceros no autorizados, se convierta en inaccesible para sus legítimos poseedores o sea modificada.

Como podemos contemplar la importancia de la seguridad ha aumentado exponencialmente en los últimos tiempos; sin embargo, en nuestro país, y no es sólo nuestra opinión sino la de muchos expertos, la seguridad de la información sigue siendo una asignatura pendiente, una de las primeras partidas a eliminar de un presupuesto en momentos de recesión, cosa que no ocurre en los países de nuestro entorno cultural y económico.

La reciente aprobación del Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal que desarrolla el artículo 9 de la LORTAD, cinco años, siete meses y veintisiete días después de la aprobación de ésta resulta una medida positiva; sin embargo esta larga espera ya significa algo, el nulo interés que existe en nuestro país por estos temas.

Como decíamos esta aprobación puede suponer una concienciación de la sociedad sobre la necesidad de disponer de una información veraz y segura, más aún con los incipientes comienzos del comercio electrónico a través de las redes de comunicaciones principalmente Internet.

Pensamos que seria una barbaridad que las empresas y las Administraciones Públicas implantasen las medidas de seguridad que figuran en el Reglamento de Seguridad sólo en sus ficheros que contengan datos de carácter personal olvidando el resto de información que tienen almacenada.

Después de varios años clamando en el desierto por un Reglamento de Seguridad hemos de decir que el momento elegido no ha sido el más apropiado pues ha coincidido prácticamente el término de su plazo de implantación, por lo que respecta a los sistemas de información de nivel básico, con la fecha clave del efecto 2000 con lo que muchas empresas medianas y pequeñas se han encontrado de pronto con los dos problemas sin tiempo casi para poderlos afrontar.

Si se podía pensar en un mayor dislate, la aprobación de la Ley Orgánica 15/1999 de 13 de diciembre de Protección de los datos de carácter personal deja en una situación de pendencia el Reglamento pues aunque la Disposición Transitoria tercera permite la subsistencia del mismo hasta que el Gobierno apruebe o modifique las disposiciones reglamentarias necesarias para la aplicación y desarrollo de la Ley, esta subsistencia queda supeditada a que no contradiga lo que se dice en la nueva Ley.

Vemos pues que el momento no ha sido el más oportuno, después de esperar más de cinco años para la aparición del Reglamento se podía haber esperado un poco más y haber aprobado un Reglamento de acuerdo con la nueva Ley y así haber eliminado estas situaciones provisionales que suelen ser fuentes de conflictos e inclusive de inseguridad jurídica.

sumario

2. Clasificación de la información

La aplicación de la seguridad a la información nos exige una previa clasificación de ésta pues podría darse el caso de cómo dice el refrán estuviésemos matando pulgas a cañonazos.

Entendemos que ya no existe ninguna duda sobre el hecho de que la información se encuentra entre los activos más importantes de las empresas. Este bien no siempre tiene el mismo valor por lo que hemos de poder distinguirlo fácilmente a la hora de protegerlo pues no es igual proteger algo altamente valioso que una cosa que valga poco. Si aplicásemos los mismos criterios de seguridad a un bien que a otro estaríamos desperdiciando nuestros recursos de seguridad lo que se traduciría en un despilfarro innecesario del presupuesto.

Pues bien, algo que parece tan obvio, la necesidad de tener clasificada la información, pocas veces se hace y no son muchas las organizaciones que tienen establecida la clasificación de sus datos, en realidad que conocen su patrimonio informacional.

En nuestros hogares, sin embargo, si somos conscientes de esa necesidad y así el dinero lo guardamos en los bancos, las joyas en cajas de seguridad y así vamos descendiendo en medidas de seguridad en nuestro hogar en función del menor valor del bien a proteger-

Algo parecido deberían realizar las organizaciones con la información que almacenan.

En definitiva la clasificación de la información debe utilizarse para facilitar la seguridad de los recursos y los datos. Si es utilizada adecuadamente puede contemplarse como un medio para comunicar a todos los usuarios la protección que requiere cada uno de los datos.

Es de destacar una figura que aparece cada vez más en la documentación técnica: el responsable propietario de los ficheros. Según se va desarrollando la tecnología cada vez es más necesaria esta figura. Ya ha terminado la época en la que el responsable de informática lo era también de los ficheros.

Ahora la Informática se contempla como lo que es, una simple herramienta, todo lo poderosa que se quiera, pero sólo eso. Las comunicaciones hacen posible que los responsables de cada Área, verdaderos propietarios de los datos que manejan, asuman también la responsabilidad sobre éstos.

No debemos olvidar que el concepto de propiedad juega un papel primordial en la determinación de la responsabilidad. El propietario de los datos o recursos como hemos dicho, es responsable de la utilización y disposición de estos en la organización.

Deberían identificarse y formalizarse responsables propietarios para todos los recursos y datos de los Sistemas de Información.

En la clasificación de la información puede ocurrir que el responsable propietario no sea único (por ejemplo cuando se trate de información almacenada en las bases de datos corporativas). La asignación de la propiedad en estos casos debe estar coordinada con la función de administración de la información.

Insistimos en que la identificación del responsable propietario es crítica ya que sobre él recae la responsabilidad de la clasificación de los datos y de aprobar quiénes van a ser los usuarios autorizados y los privilegios de accesos especiales.

Un aspecto importante para la seguridad de los datos es la estructura del esquema de clasificación, ya que afectará a su implantación. La estructura es específica de cada organización, existiendo varios esquemas: clasificación por niveles, por categorías, combinada, etc.

La clasificación por niveles se basa en un esquema de clasificación jerárquica en el que el nivel más bajo es, normalmente, "no clasificado" y el nivel más alto, "secreto o alto secreto". El orden de los niveles implica la importancia relativa de los datos y los requisitos de los procedimientos de seguridad.

En algunos casos, especialmente dependencias militares, se utilizan niveles separados para datos y usuarios. El acceso a los datos se basa en el nivel asignado al usuario y en el nivel de clasificación de los datos; si el nivel del usuario no es igual, al menos, al nivel de clasificación de los datos, el acceso se deniega.

La clasificación por categorías no es jerárquica y se utiliza para grupos independientes de datos y recursos que necesitan procedimientos similares de protección. Las categorías diferentes no tienen ninguna relación ni dependencia entre ellas. Las categorías se asignan tanto a usuarios como a datos; si el usuario no tiene la misma categoría (o categorías) que los datos, el acceso es denegado.

La clasificación combinada se basa en ambas estructuras. La combinación de niveles jerárquicos y categorías no jerárquicas se representa en una tabla de seguridad. Para realizar la clasificación completa de la información se necesita tanto el nivel como la categoría.

Los criterios de clasificación deben elegirse en base a los riesgos de los datos y los recursos. Por ejemplo, una clasificación puede hacerse en base a su sensibilidad: a su destrucción, a su modificación o a su difusión.

La sensibilidad a su destrucción se refiere al borrado o a no tener disponibles los recursos, datos o programas. Toda aquella información de la organización que es necesaria para la continuación de su negocio es sensible a su destrucción. Es vital para la supervivencia del negocio de aquélla que esta información esté convenientemente protegida. Este tipo de sensibilidad afecta a la disponibilidad de la información.

La sensibilidad a su modificación se refiere al cambio de los datos o de los programas. La modificación de los datos o los cambios no detectados es un aspecto a considerar en aquellas empresas que manejan datos sensibles. Los cambios no autorizados o no detectados atentan contra una de las principales características de la seguridad de la información: la integridad de los datos y de los programas.

La sensibilidad a su difusión se refiere al conocimiento que se adquiere a través de los datos obtenidos. Esta sensibilidad estará en función del valor de los datos y de los programas y afecta a otra de las características de la seguridad de la información: la confidencialidad.

Vamos a examinar, como ejemplo, con más detalle un esquema de clasificación por niveles jerárquicos utilizando como criterio la sensibilidad a su difusión.

Los diferentes niveles pueden ser los siguientes:

  1. Los datos confidenciales son datos de difusión no autorizada. Su uso puede suponer un importante daño a la organización.
  2. Los datos restringidos son datos de difusión no autorizada. Su utilización iría contra los intereses de la organización y/o sus cliente. (Datos de producción de la organización y/o de sus clientes, programas o utilidades, software, datos de personal, datos de inventarios, etc.)
  3. Los datos de uso interno no necesitan ningún grado de protección para su difusión dentro de la organización. (Organigramas, política y estándares, listín telefónico interno, etc.)
  4. Los datos no clasificados no necesitan ningún grado de protección para su difusión. (Informes anuales públicos, etc.)

Un tipo de datos específico que legalmente se deben proteger son los datos de carácter personal, aquellos que se refieran a la intimidad de las personas físicas. Dicha protección estaba regulada en la Ley Orgánica 5/1992, de 29 de octubre de Regulación del Tratamiento Automatizado de los Datos de carácter personal (LORTAD) y hoy en la Ley Orgánica 15/1999, de 13 de diciembre de Protección de los Datos de carácter personal.

Esto, si cabe, obliga más a llevar a efecto la clasificación de los datos y conocer cuáles son de carácter personal y dentro de ellos los que la Ley denomina especialmente protegidos, pues si se implanta una seguridad generalizada vamos a aumentar sin necesidad el presupuesto de seguridad de la organización.

Para la protección jurídica de los datos de carácter personal se han ido promulgando en los países de nuestro entorno cultural y económico las denominadas leyes de protección de datos.

A la hora de adoptar unas medidas de seguridad no hay que olvidar que debe existir proporcionalidad entre los costes, medidas y procedimientos de seguridad y el grado de dependencia respecto a los datos, la gravedad de los eventuales perjuicios y para ello es primordial conocer qué tipos de datos tenemos, lo que hace necesaria la previa clasificación de estos.

sumario

3. Diferentes tipos de seguridad

La seguridad de la información se puede dividir en los siguientes tipos:

  1. física
  2. lógica
  3. organizativo-administrativa
  4. jurídica

La seguridad física, siguiendo a RIBAGORDA GARNACHO comprende las medidas externas a los Centros de Procesos de Datos, de proteger a estos y a su entorno de amenazas físicas tanto procedentes de la naturaleza de los propios medios, como del hombre.

Entre las amenazas previsibles podemos citar: inundaciones, fuego, cortes de fluido eléctrico, interferencias, atentados, robos, hurtos,etc.

La seguridad lógica pretende proteger el patrimonio informacional que se compone tanto de las aplicaciones informáticas como del contenido de las bases de datos y de los ficheros.

La protección de este tipo se puede realizar a través de contraseñas, tanto lógicas como biométricas, conocimientos y hábitos del usuario, firmas digitales y principalmente la utilización de métodos criptográficos.

La seguridad organizativo-administrativa pretende cubrir el hueco dejado por las dos anteriores y viene, cierto modo a complementarlas.

Difícilmente se puede lograr de forma eficaz la seguridad de la información si no existen claramente definidas:

  1. Políticas de seguridad
  2. Políticas de personal
  3. Políticas de contratación
  4. Análisis de riesgos
  5. Planes de Contingencia.

La seguridad jurídica pretende, a través de la aprobación de normas legales, fijar el marco jurídico necesario para proteger los bienes informáticos.

Ejemplo de éstas son, entre otras las siguientes:

Ley Orgánica de Protección de Datos de carácter personal, Texto Refundido de la Ley de Propiedad Intelectual, Código Penal.

sumario

4. Características de la seguridad

Una definición válida de seguridad de la información podría ser que es el conjunto de sistemas y procedimientos que garantizan: la confidencialidad, la integridad y la disponibilidad de la información. Estas son las tres características que definen lo que es la seguridad de la información.

La confidencialidad pretende que la información sea conocida exclusivamente por los usuarios autorizados en la forma y tiempo determinado previamente.

La integridad pretende que la información sea creada, modificada o borrada sólo por los usuarios autorizados.

La disponibilidad pretende que la información se pueda utilizar cuando y cómo lo requieran los usuarios autorizados.

Al incorporarse las redes debe comprender también:

La autenticación acreditando que el remitente del mensaje es quién dice ser y no otra persona.

No repudio, tanto en origen como en destino, previniendo que ni el remitente ni el destinatario puedan alegar que no han enviado o recibido unos datos cuando en realidad si los han enviado o recibido.

Control de accesos no permitiendo que los usuarios no autorizados accedan a los recursos telemáticos.

En resumen ha de ser imposible alterar los mensajes, su autoría ha de ser inequívoca y debe tener valor probatorio en caso necesario.

sumario

5. La seguridad en la nueva Ley de Protección de Datos de carácter personal

La Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los datos de carácter personal regulaba la seguridad de los datos en su artículo 9.

Dicha Ley ha sido derogada por la Ley Orgánica 15/1999, de 13 de diciembre de 1999, de Protección de los Datos de carácter personal que mantiene el artículo 9 sobre la seguridad de los datos introduciendo en el mismo las modificaciones necesarias para adaptarlos a la nueva Ley.

Éstas son: la responsabilidad de adoptar las medidas de seguridad que anteriormente eran obligatorias tan sólo para el responsable del fichero y en este caso también alcanzan al encargado del tratamiento en las ocasiones que exista esta nueva figura.

Asimismo desaparece del artículo toda referencia a ficheros automatizados toda vez que ésta categoría de ficheros desaparece en la nueva ley al ser el objeto de ésta mucho más ambicioso que el de la LORTAD.

De forma análoga a la antigua Ley, la nueva mantiene la exigencia de implantar medidas de seguridad en varios artículos aunque estos hayan cambiado en su numeración.

En el artículo 12 (antiguo 27) dedicado al "Acceso a los datos por cuenta de terceros" , se especifica que en el contrato, que se debe establecer entre el responsable del tratamiento y el encargado del tratamiento, se estipularán las medidas de seguridad a que se refiere el artículo 9 de la Ley que el encargado del tratamiento estará obligado a implementar.

En el artículo 26 (antiguo 24) ,dentro del Capítulo II del Título IV dedicado a los ficheros de titularidad privada, se señala que toda persona que proceda a la creación de ficheros de datos de carácter personal, en la notificación que debe realizarse a la Agencia de Protección de Datos entre otra información tendrá que incluir las medidas de seguridad con indicación del nivel básico, medio o alto exigible.

Asimismo en el artículo 44 (antiguo 43) en su punto 3 h) se califica de infracción grave: "mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen."

Esta infracción según el artículo 45 (antiguo 44) puede ser sancionada con una multa de diez millones una a cincuenta millones de pesetas.

La cuantía de la sanción se graduará atendiendo a una serie de circunstancias tales como:

  1. naturaleza de los derechos personales afectados
  2. volumen de los tratamientos afectados
  3. beneficios obtenidos
  4. grado de intencionalidad
  5. reincidencia
  6. daños y perjuicios causados a las personas interesadas y a terceras personas
  7. cualquier otra circunstancia que sea relevante para determinar el grado de antijuricidad y de culpabilidad presentes en la concreta actuación infractora.

Se prevé el caso en que se apreciare una cualificada disminución del hecho permitiendo al órgano sancionador establecer la cuantía de la sanción aplicando la escala relativa a la clase de infracción que preceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que se trate.

No se podrá imponer una sanción más grave que la fijada en la Ley para la clase de infracción en la que se integra la que se pretenda sancionar.

La LORTAD remitía a la vía reglamentaria el desarrollo de varios de sus artículos y asi fueron publicándose varios Reales Decretos que aprobaban diferentes Reglamentos que contenían medidas referentes a la seguridad:

  • Real Decreto 428/1993, de 26 de marzo, por el que se aprobaba el Estatuto de la Agencia de Protección de Datos
  • Real Decreto 1332/1994, de 20 de junio, por el que se desarrolla determinados aspectos de la Ley Orgánica 5/1992, de 29 de octubre, LORTAD.
  • Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de Medidas de Seguridad de los ficheros que contengan datos de carácter personal.

Asimismo la Agencia de Protección de Datos fue publicando durante los últimos años hasta cinco Instrucciones en las que aclaraba diferentes aspectos de la Ley.

La nueva Ley (a la que a partir de ahora denominaremos LOPD) en su Disposición transitoria tercera regula la subsistencia de las normas preexistentes disponiendo que hasta que no se lleve a efecto la aprobación o modificación por el Gobierno de las disposiciones reglamentarias para la aplicación y desarrollo de la LOPD, prevista en la Disposición final primera, continuarán en vigor, con su propio rango, las normas reglamentarias preexistentes y en especial los tres Reales Decretos a los que nos referíamos con anterioridad, siempre y cuando no se opongan a la presente Ley.

sumario

6. El Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal

El Reglamento aprobado por Real Decreto 994/1999, el primer problema que nos plantea en el momento en que escribimos estas líneas es que es un Reglamento de Medidas de seguridad para ficheros que deben reunir dos condiciones: estar automatizados y contener datos de carácter personal.

La segunda condición no plantea ningún problema pero la primera si y muy importante.

La LOPD no contempla los ficheros automatizados como una categoria especial de ficheros por lo que no tienen que ser regulados de una manera especialmente distinta de los demás salvo en aquellos aspectos contadisimos en que lo requieran.

Para nosotros, la información en los ficheros puede estar organizada o no lo que dará lugar a ficheros organizados y ficheros no organizados.

Ficheros organizados serán aquellos en los que mediante alguna forma: contraseña, número, clave, nombre etc, se puede acceder directamente a un registro, expediente o carpeta.

Ficheros no organizados serán aquellos en los que lo anterior no será posible y simplemente se trata de una agrupación de información, sin ningún orden, en la cual para acceder a un expediente, hoja clínica o ficha es preciso ir examinandolos uno a uno hasta encontrarlo.

Dentro del primer grupo podemos encontrar a su vez otros tres subgrupos: ficheros automatizados, ficheros con algún grado de mecanización y ficheros convencionales.

Ficheros automatizados serán los comprendidos en la LORTAD.

Ficheros con algún grado de mecanización podrían ser los compuestos por fichas y manejados por artilugios mecánicos que facilitan su almacenamiento y posterior búsqueda.

Ficheros convencionales serían el resto de ficheros organizados entre los que podríamos encontrar: hojas clínicas, expedientes, fichas, manuales, etc.

La LORTAD contemplaba sólo los ficheros automatizados a los que convertía así en una categoría especial de ficheros aunque no hay que olvidar que su Disposición final segunda preveía la posibilidad de que el Gobierno extendiese la aplicación de la Ley a los que denominaba ficheros convencionales.

La LOPD ha eliminado la distinción entre ficheros automatizados y convencionales y en su artículo 2 al referirse al "Ámbito de aplicación" dice: La presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado."

Extiende el ámbito a todos los datos de carácter personal registrado en soporte físico que puede ser cualquiera: papel, cartón, microficha, disquete, disco duro, cartucho, etc.

Por ello entendemos que la aplicación del Reglamento en este periodo, hasta tanto sea modificado por el Gobierno, debe hacerse con sumo cuidado por el riesgo que se corre de exigir el cumplimiento de una norma que después se demuestre que no responde al debido desarrollo de la nueva Ley con los perjuicios y daños que esto pueda ocasionar y que en algunos casos según las circunstancias que concurran pueden llegar a ser irreparables.

El Reglamento se concibe como una norma de mínimos que establece las medidas de seguridad básicas que han de cumplir todos los ficheros que contengan datos de carácter personal sin perjuicio de que se establezcan medidas especiales para aquellos ficheros que por la especial naturaleza de los datos que contienen o por sus especiales características exijan un grado de protección mayor.

Las medidas de seguridad se establecen atendiendo a la naturaleza de la información tratada en relación con la mayor o menor necesidad de garantizar la confidencialidad y la integridad de la información.

Las medidas se clasifican en tres niveles: básico, medio y alto aunque sí analizamos el punto 4 del artículo 4 comprobamos que existe un nivel intermedio entre el nivel básico y el nivel medio.

Pieza clave del Reglamento es el Documento de Seguridad (art. 8) al que podemos considerar un macrodocumento que contiene aunque sea en sus aspectos mínimos:

  • Políticas
  • Plan de Seguridad
  • Plan de Contingencia

Dentro del apartado de Políticas podemos entender que se engloban las siguientes exigencias del Documento:

  • Medidas, normas, procedimientos, reglas y estándares
  • Funciones y obligaciones del personal

El Plan de Seguridad comprende:

  • Ámbito de aplicación con detalle de recursos protegidos
  • Estructura de los ficheros y descripción de los sistemas
  • Procedimientos de notificación, gestion y respuesta ante las incidencias
  • Actualización y adecuación legal.

El miniplan de Contingencias abarcaría:

  • Procedimiento de realización de copias de respaldo y recuperación de los datos.

En el Reglamento aparecen dos figuras importantes para el desarrollo del mismo: una ya conocida, el responsable del fichero y otra nueva que sólo aparece en el caso de que se trate de ficheros con un nivel de seguridad medio y alto.

A continuación enumeramos las funciones de cada uno de ellos:

Responsable del fichero

Funciones:

  • Deberá adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal en los términos establecidos en el Reglamento.
  • Autorizar la ejecución de tratamiento de datos de carácter personal fuera de los locales de la ubicación del fichero (art. 6)
  • Elaborará el Documento de Seguridad (art.8)
  • Adoptará las medidas encesarias para que el personal conozca las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias a que daría lugar su incumplimiento (art.9)
  • Se encargará de que exista una relación actualizada de usuarios que tengan acceso autorizado al Sistema de Información (art.11)
  • Establecerá los procedimientos de identificación y autenticación para dicho acceso (art. 11)
  • Establecerá mecanismos para evitar que un usuario pueda acceder a datos o recursos con derechos distintos de los autorizados (art. 12)
  • Será quien únicamente pueda autorizar la salida fuera de los locales en que esté ubicado el fichero de soportes informáticos que contengan datos de carácter personal (art. 13)
  • Verificará la definición y correcta aplicación de los procedimeintos de realización de copias de respaldo y de recuperación de datos (art. 14).

(Medidas de seguridad de nivel medio y alto de medidas de seguridad)

  • Designará uno o varios responsables de seguridad (art. 15)
  • Adoptará las medidas correctoras necesarias en función de lo que se diga en el informe de auditoría (art. 17)
  • Establecerá un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al Sistema de Información y la verificación de que esté autorizado (art.18)
  • Autorizará por escrito la ejecución de los procedimientos de recuperación (art. 21)

Responsable de seguridad

Funciones:

  • Pueden ser uno o varios
  • Coordinará y controlará las medidas definidas en el documento de seguridad
  • No tiene delegada la responsabilidad que le corresponde al responsable del fichero
  • Analizará los informes de auditoría (art. 17)
  • Elevará las conclusiones del análisis al responsable del fichero (art. 17)
  • Controlará los mecanismos que permiten el registro de accesos (art. 24)
  • Revisará periódicamente la información de control registrada (art. 24)
  • Una vez al mes elaborará un informe de las revisiones realizadas en el registro de accesos (art. 24).

sumario

7. Visión crítica del Reglamento

En el Reglamento, como en casi todo en la vida, aparecen luces y sombras.

Entre las primeras podemos decir que está la propia aparición del Reglamento que marca un hito en el campo de la seguridad de la información en España y que esperamos sirva para que deje de ser la asignatura pendiente de la mayoría de nuestros ejecutivos privados y gestores públicos.

El Documento de Seguridad al que anteriormente definíamos como macrodocuento debe servir para que por fin todo quede documentado y esté accesible cuando se necesite y para que las organizaciones que lo hagan bien conozcan ese activo estratégico tan importante que es su patrimonio informacional.

El Registro de Incidencias, de igual forma, lo consideramos muy necesario para, en unos casos, conocer qué es lo que está pasando en la instalación y por otro como posible pista de auditoría.

El hincapié que se hace en la necesidad de la autenticación refuerza enormemente la simple identificación.

Las últimas incorporaciones al Proyecto de Reglamento, que quedaron incluidas en el texto definitivo, de realización de copias de respaldo y de la necesidad de disponer de procedimientos de recuperación las consideramos un logro importante para el conjunto de la seguridad de la información de carácter personal.

La figura del responsable de seguridad, que ya existe en algunas organizaciones, refleja el interés de la organización y la importancia que da a la seguridad. Entendemos que es una figura con un amplio recorrido profesional.

La necesidad de que se sometan a una auditoria periódica los ficheros de los niveles medios y altos y también ese nivel intermedio al que nos referíamos antes, es también una medida acertada.

Junto a estas medidas que consideramos positivas hay otras que por el contrario representan las sombras y a las que nos referimos a continuación:

La primera sería la inoportunidad de la fecha de su publicación y de los plazos que establecía para su implantación cercanos a la fecha mítica del año 2000 y con los problemas de la implantación del euro; asimismo con la espada de Damoclés pendiente de las sentencias del Tribunal Constitucional respecto a los recursos presentados.

Con un Proyecto de Ley, que ha terminado finalmente con la aprobación de una nueva Ley Orgánica de Protección de Datos de carácter personal que entre otras deroga el propio Reglamento dejándolo momentáneamente subsistente hasta que el Gobierno lo modifique.

La aparición de una nueva categoría de datos: los servicios financieros, inexistente hasta la fecha ayuda a aumentar la confusión.

Normas, como las del artículo 4, respecto al conjunto de datos que se consideren suficientes para obtener la evaluación de la personalidad con el consiguiente aumento del nivel de seguridad requerido no colaboran precisamente a mantener la necesaria seguridad jurídica.

El aumento de las competencias del Director de la Agencia de Protección de Datos respecto a la posibilidad de ordenar la cesación de los tratamientos de datos de carácter personal y la cancelación de los ficheros algo que en la Ley sólo se contempla en las infracciones muy graves nos parece que es una equivocación.

Vemos pues que hay cosas buenas y otras no tan buenas y el rodar del Reglamento y la interpretación que se haga del mismo servirá para que al final podamos calificar los resultados.

sumario

8. Conclusiones

En las líneas que preceden hemos tratado de ofrecer unas pinceladas de lo que supone de seguridad de la información y de su importancia dentro de la Ley Orgánica de Protección de Datos de carácter personal.

Ésta de forma similar a la LORTAD en el caso de infracciones de índole penal o civil remite a sus sedes respectivas: penal y civil la sanción correspondiente y sólo contempla las infracciones de carácter administrativo sancionándolas bien con multas en el caso de los ficheros privados y con propuestas de sanción disciplinaria cuando se trata de ficheros públicos.

En cualquier caso, no debemos olvidar que nos encontramos otra vez en un momento delicado y por otro apasionante para los que tratamos de aprender de una materia tan importante que poco a poco, aunque lentamente, va conociéndose por la ciudadanía de nuestro país.

Las modificaciones que sufran los Reglamentos que se han declarado subsistentes será algo muy importante a la hora de extender la nueva Ley a todo tipo de ficheros por lo que los pasos que se vayan dando deben ser convenientemente meditados.

Sería un error aprovechar la vía reglamentaria, como desgraciadamente ha ocurrido más de una vez, para ir poco a poco modificando la Ley.

sumario

9. Bibliografía

CALLE GUGLIERI, J.A.

  • Reingeniería y Seguridad en el Ciberespacio. Ed. Díaz de Santos. Madrid. 1997.

DAVARA RODRÍGUEZ, MIGUEL ÁNGEL

  • Derecho Informático. Aranzadi. Pamplona. 1997.

PESO NAVARRO, EMILIO del; RAMOS GONZÁLEZ, MIGUEL ÁNGEL; FERNÁNDEZ SÁNCHEZ, CARLOS M. e IGNOTO AZAUSTRE, MARÍA JOSÉ

  • Manual de Dictámenes y Peritajes Informáticos. Díaz de Santos. Madrid 1999.

PESO NAVARRO, EMILIO del y RAMOS GONZÁLEZ, MIGUEL ÁNGEL

  • LORTAD: Reglamento de Seguridad. Díaz de Santos. Madrid 1999.
  • LORTAD: Análisis jurídico de la Ley. Díaz de Santos. Madrid 1998.

PESO NAVARRO, EMILIO del

  • La Ley de Protección de Datos: la nueva LORTAD. (próxima aparición) Díaz de Santos. Madrid 2000.
  • La seguridad de la información. Actualidad Informática Aranzadi. Núm. 26. Enero 1998.
  • Principales diferencias entre la nueva Ley de Protección de Datos y la LORTAD. Actualidad Informática Aranzadi núm. 34. Enero 2000.

PIATTINI VELTHUIS, MARIO y PESO NAVARRO, EMILIO del

  • Auditoría Informática: un enfoque práctico. RA-MA. Madrid 1997.

RAMOS GONZÁLEZ, MIGUEL ÁNGEL

  • La seguridad y la confidencialidad de la información y la LORTAD. Revista Informática y Derecho. UNED 1994.
  • Auditoría (en) Informática. Seguridad Informática. Núm. 17. Noviembre 1995.
  • La seguridad de la información. Revista de Informática y Derecho. UNED. Mérida. Febrero 1995.

RIBAGORDA GARNACHO, ARTURO

  • Glosario de Términos de Seguridad de las T.I. Ediciones CODA. Madrid. Abril 1997.

RIBAGORDA GARNACHO, ARTURO; MORANT RAMÓN, JOSÉ LUIS Y SANCHO RODRIGUEZ, JUSTO

  • Seguridad y protección de la información. Editorial Centro de Estudios Ramón Areces. Madrid. 1994.

SEDISI

  • Guía de la Seguridad Informática. (Asociación Española de Empresas de Tecnologías de la Información). Abril 1997.

1 - J. Hubin e Y. Poulet. La sécurité informatique, entre technique et droit. Facultés Universitaires Notré Dame de la Paix de Namur. Namur. 1998.

2 - Real Decreto 994/1999 de 11 de junio por el que se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal. (BOE núm. 151 de 25 de junio).

3 - Para más información sobre el tema ver: Emilio del Peso y Miguel Ángel Ramos. LORTAD: Reglamento de Seguridad. Díaz de Santos. Madrid 1999.

4 - ARTURO RIBAGORDA GARNACHO. Master en Dirección de Sistemas y Tecnologías de la Información y las Comunicaciones. Seguridad de los Sistemas de Información. Madrid. CREI. 1983.

sumario