12 Oct LOPD-IMPLICACIONES PARA EL DEPARTAMENTO DE TI
Con la publicación de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de carácter personal (LOPD)y el posterior Reglamento de desarrollo de la LOPD (RLOPD), aprobado por el Real Decreto 1720/2007, de 21 de diciembre, se establecen en la legislación española las medidas para el control y gestión de los ficheros que contienen datos personales en organizaciones y empresas. Auditor LOPD
Auditor LOPD
En la actualidad, la mayoría de las empresas ya se han adaptado a dicha normativa y han establecido sistemas más o menos formales (manuales, procedimientos, formularios, etc.) para gestionar adecuadamente este aspecto. Algunas organizaciones incluso han tenido alguna que otra experiencia desagradable con determinadas “consultoras” que en lo que constituye claramente un fraude, han estado ofreciendo el servicio de implantación de la LOPD con cargo al crédito formativo de la empresa, ofreciendo un servicio de escasa calidad y carente de todo rigor profesional.
La legislación es de aplicación tanto a ficheros no automatizados, como a los automatizados, lo que ha supuesto necesariamente la implicación de los departamentos de TI de las organizaciones.
Durante la implantación, estos se han encargado, bien directamente o bien actuando como enlace con implantadores externos de, entre otras cosas, adaptar el software para poder registrar los accesos a ficheros, establecer o mejorar los sistemas de identificación y autenticación de usuarios, copias de respaldo, etc.
En principio, la adaptación a la LOPD, debería haber supuesto una oportunidad de mejora y no un mero trámite para cumplir con la legislación, ya que al revisar y en algunos casos, hasta formalizarlos mediante la redacción e implantación de procedimientos formales, se presenta una oportunidad para repensar la sistemática de trabajo seguida hasta la fecha e introducir cambios y mejoras en la misma. Auditor LOPD
Una vez implantado el sistema de LOPD no finaliza el trabajo del departamento de TI, sino que se abre una nueva área de trabajo ya que el sistema se debe mantener en el tiempo, especialmente en aquellas organizaciones que, por lo sensible de su información, se hayan visto obligadas a implantar medidas de seguridad de nivel Medio o Alto.
Habrá que llevar al día el registro de usuarios y permisos, también habrá asegurarse que las contraseñas se renuevan con la periodicidad establecida y de acuerdo a lo establecido en el manual de seguridad, se deberá llevar un control y seguimiento de soportes y de las copias de respaldo y habrá que generar los informes necesarios para documentar adecuadamente el acceso a determinados ficheros. Auditor LOPD
No debemos olvidarnos de la obligatoriedad de realizar una auditoría, bien sea realizada por personal interno o externo con una periodicidad bienal, lo que directa o indirectamente va a requerir esfuerzo y dedicación por parte de personal del departamento de TI.
Por todo ello, creo que queda claro que la implantación de la LOPD en las organizaciones no es un tema puntual y pasajero para el Departamento de TI, sino que se abre una nueva área de trabajo a la que habrá que dedicar el tiempo y los recursos necesarios.