El 2002 fecha límite para la adecuación de datos a la normativa
El Reglamento de Seguridad de la LORTAD a debate en el Foro de Nuevas Tecnologías Cibernos
La seguridad vuelve a inspirar el debate en el Foro de Nuevas Tecnologías emitido a través de la plataforma de televisión Cibernos TV, en la que colabora IDG Communications, aunque en esta ocasión relativa a la protección de datos personales. El “Reglamento de Seguridad de la LORTAD y sus implicaciones en la empresa”, fue el título de la sexta edición del Foro emitido el pasado mes de noviembre, donde quedó de manifiesto la realidad del Reglamento, se mostraron experiencias de empresas con millones de datos de usuarios, se explicó el papel de la Agencia de Protección de Datos, así como la oferta de productos y servicios en este campo, o la importancia de una labor auditora y de análisis.
Moderado como viene siendo habitual por Rafael Fernández Calvo, miembro de la Asociación de Técnicos de Informática (ATI), los participantes que se reunieron ante una audiencia de más de 200 profesionales, fueron: Emilio del Peso Navarro, abogado especializado en Derecho Informático y socio director de Informáticos Europeos Expertos (IEE), Tomás Arroyo, responsable de Protección de Datos del Banco Bilbao Vizcaya Argentaria, Antonio Quintana, director de Sistemas e Innovación de Iberdrola, Emilio Aced, responsable de Relaciones Internacionales de la Agencia de Protección de Datos (APD) y José María González Zubieta, gerente de consultoría de seguridad de Centrisa.
Por seguridad de los datos ya no se espera simplemente un tratamiento automatizado fiable. Ahora un entorno seguro es aquel en el que ninguna información pueda llegar a perderse de manera voluntaria o fortuita, pueda ser vista por terceros no autorizados, se convierta en inaccesible para sus legítimos poseedores o llegue a modificarse.
Sin embargo, en el apartado de los datos personales, la derogación de la LORTAD por la Ley Orgánica 15/1999 de 13 de diciembre de Protección de datos de carácter personal, más que esclarecer las dudas en este punto, lo que logra es una mayor confusión sobre una colectividad que aumenta día a día a medida que la seguridad adquiere una nueva dimensión a las órdenes de unas redes que van desdibujando todo tipo de fronteras. La Disposición Transitoria Tercera autoriza la subsistencia de los Reglamentos que desarrollaban la LORTAD, en tanto no haya otra alternativa legal, así pues valida la efectividad del Real Decreto 994/1999 de 11 de junio por el que se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal. Una vez que Emilio del Peso puso en antecedentes a la audiencia, se apresuró a afirmar que se trata de un “Reglamento de mínimos que se empeña en regular lo que las organizaciones deberían tener ya implementado pero que al recoger duras sanciones por incumplimiento, con multas de entre 10 y 50 millones de pesetas de sanción, podría llegar a potenciar el desarrollo de una auténtica seguridad”.
Un Reglamento de mínimos
“El Reglamento de seguridad no es un estándar cuya aplicación garantice la protección de todos los activos de una organización, ni un catálogo de medidas concretas encaminadas a resolver problemas específicos. Se trata de una norma legal de mínimos de implantación obligatoria y que actúa como instrumento eficaz de concienciación y formación en materia de seguridad de datos personales”, explicaba Emilio Aced Félez, miembro de la Agencia de Protección de Datos, organismo encargado de velar por un correcto tratamiento de los datos personales en el ámbito de la empresa y que en los últimos meses ha asumido un papel más activo en la inpección. Esta norma propone medidas tanto físicas como lógicas y organizativas y procede a una clasificación de los datos en función de niveles y su grado de criticidad más que por volumen de ficheros. En este punto coincidieron tanto Emilio del Peso como Tomás Arroyo del BBVA, quién subrayó que la problemática está en la calidad de los datos.
En el nivel más alto de los datos se incluirían aquellos relativos a la ideología, religión o creencias; origen racial, salud, vida sexual; o los datos recabados con fines policíacos sin consentimiento. El nivel medio alude a los vinculados a la comisión de infracciones administrativas o penales; los de la Hacienda Pública; los de Servicios Financieros o los protegidos por el artículo 29 de la LOPD. Por último, el nivel básico abarca el resto de datos personales. Mientras que los de nivel medio y básico han debido adaptarse ya, el plazo de implantación para los de nivel alto se extienden hasta el 26 de junio de 2001, previendo una moratoria de un año en aquellos casos donde, por cuestiones de complejidad tecnológica, así lo requieran, período tras el cual se presumirá adaptados todos los datos conforme a la normativa.
Con una base de datos de 35 millones de clientes, más de 1.300.000 accionistas, 35.000 empleados en España, 111.000 en el mundo y recién afrontada una fusión, BBVA considera la seguridad como una prioridad básica dentro de la entidad. En este sentido, y junto a la elaboración del Documento de Seguridad que resulta de aplicación al conjunto de datos personales contenidos en las bases de datos, la entidad financiera está llevando a cabo una auditoría en colaboración con el responsable de seguridad, además de habilitar un registro de incidencias. “Hay que conseguir niveles de protección auditables, con controles preferiblemente automáticos y allá donde no sea posible, tendrá que procederse con una evaluación del riesgo”, señala Tomás Arroyo. Con el objetivo de emitir una normativa y proceder tanto a su divulgación como formación, “BBVA está llevando a cabo una relación de ficheros declarados por la Agencia de Propiedad de Datos, una revisión de las declaraciones, datos, finalidad, cesiones...; así como la revisión de la documentación y su adaptación al Reglamento, incluyendo el plan de contingencia, tratamiento y gestión de copias; un inventario de los entornos informáticos y sus conexiones ya sean corporativos, departamentales o especializados”, detalla Arroyo.
En representación de otra gran empresa española, Iberdrola, Antonio Quintana destacó cómo junto a Internet, la seguridad debe ser un aspecto de interés general. En el caso concreto de Iberdrola, la política de seguridad que desarrollan se deriva de la propia misión de la compañía, la cual enuncia que se promoverá y facilitará el uso de la información con las condiciones de calidad adecuadas. En el caso de multinacionales de la talla de Iberdrola, la diversidad de legislación, empleados, o la multiplicidad de sistemas a tener en cuenta, dificultan la implantación de una política de seguridad que garan-tice la disponibilidad de los datos y evite alteraciones o difusiones no autorizadas.
También quedó de manifiesto en el Foro cómo para garantizar una adecuación exitosa de la Ley de Protección de Datos en el marco de la empresa, es convenidente recurrir a aliados tecnológicos, pudiendo ser Centrisa uno de ellos. Desde la división de Consultoría de Seguridad de Centrisa, su gerente, José María González Zubieta, afirma que “un proyecto de este tipo exige una organización interna donde se fundan el expertise de tecnólogos de segur
Moderado como viene siendo habitual por Rafael Fernández Calvo, miembro de la Asociación de Técnicos de Informática (ATI), los participantes que se reunieron ante una audiencia de más de 200 profesionales, fueron: Emilio del Peso Navarro, abogado especializado en Derecho Informático y socio director de Informáticos Europeos Expertos (IEE), Tomás Arroyo, responsable de Protección de Datos del Banco Bilbao Vizcaya Argentaria, Antonio Quintana, director de Sistemas e Innovación de Iberdrola, Emilio Aced, responsable de Relaciones Internacionales de la Agencia de Protección de Datos (APD) y José María González Zubieta, gerente de consultoría de seguridad de Centrisa.
Por seguridad de los datos ya no se espera simplemente un tratamiento automatizado fiable. Ahora un entorno seguro es aquel en el que ninguna información pueda llegar a perderse de manera voluntaria o fortuita, pueda ser vista por terceros no autorizados, se convierta en inaccesible para sus legítimos poseedores o llegue a modificarse.
Sin embargo, en el apartado de los datos personales, la derogación de la LORTAD por la Ley Orgánica 15/1999 de 13 de diciembre de Protección de datos de carácter personal, más que esclarecer las dudas en este punto, lo que logra es una mayor confusión sobre una colectividad que aumenta día a día a medida que la seguridad adquiere una nueva dimensión a las órdenes de unas redes que van desdibujando todo tipo de fronteras. La Disposición Transitoria Tercera autoriza la subsistencia de los Reglamentos que desarrollaban la LORTAD, en tanto no haya otra alternativa legal, así pues valida la efectividad del Real Decreto 994/1999 de 11 de junio por el que se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal. Una vez que Emilio del Peso puso en antecedentes a la audiencia, se apresuró a afirmar que se trata de un “Reglamento de mínimos que se empeña en regular lo que las organizaciones deberían tener ya implementado pero que al recoger duras sanciones por incumplimiento, con multas de entre 10 y 50 millones de pesetas de sanción, podría llegar a potenciar el desarrollo de una auténtica seguridad”.
Un Reglamento de mínimos
“El Reglamento de seguridad no es un estándar cuya aplicación garantice la protección de todos los activos de una organización, ni un catálogo de medidas concretas encaminadas a resolver problemas específicos. Se trata de una norma legal de mínimos de implantación obligatoria y que actúa como instrumento eficaz de concienciación y formación en materia de seguridad de datos personales”, explicaba Emilio Aced Félez, miembro de la Agencia de Protección de Datos, organismo encargado de velar por un correcto tratamiento de los datos personales en el ámbito de la empresa y que en los últimos meses ha asumido un papel más activo en la inpección. Esta norma propone medidas tanto físicas como lógicas y organizativas y procede a una clasificación de los datos en función de niveles y su grado de criticidad más que por volumen de ficheros. En este punto coincidieron tanto Emilio del Peso como Tomás Arroyo del BBVA, quién subrayó que la problemática está en la calidad de los datos.
En el nivel más alto de los datos se incluirían aquellos relativos a la ideología, religión o creencias; origen racial, salud, vida sexual; o los datos recabados con fines policíacos sin consentimiento. El nivel medio alude a los vinculados a la comisión de infracciones administrativas o penales; los de la Hacienda Pública; los de Servicios Financieros o los protegidos por el artículo 29 de la LOPD. Por último, el nivel básico abarca el resto de datos personales. Mientras que los de nivel medio y básico han debido adaptarse ya, el plazo de implantación para los de nivel alto se extienden hasta el 26 de junio de 2001, previendo una moratoria de un año en aquellos casos donde, por cuestiones de complejidad tecnológica, así lo requieran, período tras el cual se presumirá adaptados todos los datos conforme a la normativa.
Con una base de datos de 35 millones de clientes, más de 1.300.000 accionistas, 35.000 empleados en España, 111.000 en el mundo y recién afrontada una fusión, BBVA considera la seguridad como una prioridad básica dentro de la entidad. En este sentido, y junto a la elaboración del Documento de Seguridad que resulta de aplicación al conjunto de datos personales contenidos en las bases de datos, la entidad financiera está llevando a cabo una auditoría en colaboración con el responsable de seguridad, además de habilitar un registro de incidencias. “Hay que conseguir niveles de protección auditables, con controles preferiblemente automáticos y allá donde no sea posible, tendrá que procederse con una evaluación del riesgo”, señala Tomás Arroyo. Con el objetivo de emitir una normativa y proceder tanto a su divulgación como formación, “BBVA está llevando a cabo una relación de ficheros declarados por la Agencia de Propiedad de Datos, una revisión de las declaraciones, datos, finalidad, cesiones...; así como la revisión de la documentación y su adaptación al Reglamento, incluyendo el plan de contingencia, tratamiento y gestión de copias; un inventario de los entornos informáticos y sus conexiones ya sean corporativos, departamentales o especializados”, detalla Arroyo.
En representación de otra gran empresa española, Iberdrola, Antonio Quintana destacó cómo junto a Internet, la seguridad debe ser un aspecto de interés general. En el caso concreto de Iberdrola, la política de seguridad que desarrollan se deriva de la propia misión de la compañía, la cual enuncia que se promoverá y facilitará el uso de la información con las condiciones de calidad adecuadas. En el caso de multinacionales de la talla de Iberdrola, la diversidad de legislación, empleados, o la multiplicidad de sistemas a tener en cuenta, dificultan la implantación de una política de seguridad que garan-tice la disponibilidad de los datos y evite alteraciones o difusiones no autorizadas.
También quedó de manifiesto en el Foro cómo para garantizar una adecuación exitosa de la Ley de Protección de Datos en el marco de la empresa, es convenidente recurrir a aliados tecnológicos, pudiendo ser Centrisa uno de ellos. Desde la división de Consultoría de Seguridad de Centrisa, su gerente, José María González Zubieta, afirma que “un proyecto de este tipo exige una organización interna donde se fundan el expertise de tecnólogos de segur
