domingo, enero 29, 2023
DirectorTIC
  • INICIO
  • ENTREVISTAS
  • DEBATES
    • Retail 2022
    • Gestión del dato 2022
    • Endpoint 2022
    • Aplicaciones 2022
    • Hiperconvergencia 2022
    • Centro de Datos 2022
    • Redes 2022
    • Cloud 2022
    • Puesto de trabajo 2022
    • Sanidad 2022
    • Ciberseguridad 2022
  • GUÍAS
    • Guía de ciberseguridad 2022
    • Guía de ciberseguridad 2021
    • Guía de la transformación digital 2021
  • ENTORNO TIC
  • NOTICIAS
  • REPORTAJES
  • CIO
    • Talleres del CIO
    • Consejos para el CIO
    • Videos
  • SUSCRIPCIONES
  • VMWARE
  • LG
  • HUAWEI
No Result
View All Result
DirectorTIC
  • INICIO
  • ENTREVISTAS
  • DEBATES
    • Retail 2022
    • Gestión del dato 2022
    • Endpoint 2022
    • Aplicaciones 2022
    • Hiperconvergencia 2022
    • Centro de Datos 2022
    • Redes 2022
    • Cloud 2022
    • Puesto de trabajo 2022
    • Sanidad 2022
    • Ciberseguridad 2022
  • GUÍAS
    • Guía de ciberseguridad 2022
    • Guía de ciberseguridad 2021
    • Guía de la transformación digital 2021
  • ENTORNO TIC
  • NOTICIAS
  • REPORTAJES
  • CIO
    • Talleres del CIO
    • Consejos para el CIO
    • Videos
  • SUSCRIPCIONES
  • VMWARE
  • LG
  • HUAWEI
No Result
View All Result
DirectorTIC
No Result
View All Result
Inicio Estrategia IT

Errores Comunes en la aplicación de la LOPD II

Rosa MartínPor: Rosa Martín
22 septiembre, 2015
Errores Comunes en la aplicación de la LOPD II
0
VIEWS
Compartir en TwitterCompartir en Linkedin

Siguiendo con la presentación de algunos de los errores más frecuentes en la aplicación de la LOPD que iniciábamos en una entrega anterior, seguiremos analizando la casuística planteada en torno a las dificultades prácticas de dicha norma y lo que la experiencia acumulada nos ha enseñado a lo largo del tiempo.

En esta tesitura, un error prototípico que se ha visto repetido en multitud de organizaciones es un planteamiento inicial de la declaración de ficheros demasiado acotado. Si bien ya son afortunadamente historia los tiempos de vigencia de la LORTAD en que tendían a inscribirse meros ficheros físicos (Meta4, Denario Deudores, etc.), continua siendo habitual la inscripción de descriptores que hacen referencia a la actividad concreta de la entidad en un momento limitado en el tiempo, sin tomar en consideración las posibilidades de mutación o transformación. Como prototipo de la declaración excesivamente acotada se observan títulos registrales como «Nóminas», «Empleados», «Deudores». Es siempre preferible un paraguas de cobertura más amplio que englobe situaciones futuribles para no tener que rectificar las inscripciones en cada momento (así, tendríamos como una más recomendable opción dicciones como RRHH y selección; crédito; etc…).

Lo mismo cabe decir de las cláusulas informativas empleadas en formularios y pies de página. Con demasiada frecuencia se incluyen descripciones de la finalidad que resultarán  caducas por poco que la entidad varíe sus estrategias de negocio. Conviene no reproducir en este punto el mismo error que veíamos con la inscripción registral.

Otro fallo prototípico consiste en la dejación del Documento de Seguridad para los periodos de auditoría. No son pocas las entidades que no actualizan el Documento de Seguridad con arreglo al ritmo que siguen los cambios fácticos en el plano de los hechos; y postergan revisiones únicamente a las escasas semanas en que transcurren las auditorías bienales. Esto se acrecienta aún más en entidades sin ficheros de nivel medio o alto en que el deber de auditoría no resulte legalmente exigible. En la actualización del documento de seguridad es frecuente no observar un adecuado control de versiones que deje trazabilidad de los cambios operados, su autoría y su aprobación. Deberá seguirse un sistema numérico de control de versiones, fechando sus periodos de vigencia y recogiendo en cajetín de firmas las correspondientes aprobaciones formales. Sin un adecuado control de versiones y cajetines de firma no se habrá conseguido ninguna evidencia de implantación de las medidas descritas.

En estructuras con poca madurez sobre sistemas de cumplimiento normativo, habitualmente es solamente una división de la compañía quien patrocina el proyecto de implantación (IT, legal, administración y finanzas), y se descuida la vertiente integral de las medidas. Un proyecto de implantación sólido no puede contar con un patrocinio sesgado o incompleto en el que no estén presentes todas las áreas estratégicas de la firma y se cuente con la aprobación y proactividad de la más alta dirección. Se han visto demasiadas experiencias de implementación en que el patrocinio provenía exclusivamente de una de las áreas aludidas (solamente IT; o solamente el Dpto. Jurídico; solamente RRHH); lo cual, como es fácil deducir, redundará siempre en resultados ineficientes. El patrocinio exclusivo o predominante de IT negligirá los aspectos de seguridad organizativa y documental, un patrocinio monográficamente focalizado en los aspectos jurídicos no podrá abarcar la vertiente técnica, y todo ello tendrá consecuencias tangibles.

Aún en entidades que hayan contado con el acierto de iniciar el proyecto de forma interdisciplinar e inclusiva de todos los departamentos, idealmente, instaurando un comité LOPD, cuando desde el mismo se diseñan estrategias prácticas para el cumplimiento del Documento de seguridad, es habitual la dejación de funciones y obligaciones sobre los tratamientos no automatizados, que suele considerarse erróneamente como un aspecto de relevancia menor. Bien al contrario, la gestión del riesgo sancionatorio ha de comprender este elemento, pues todo buen implantador de la LOPD conoce que en la jurisprudencia del ente regulador una parte muy importante de las sanciones provienen precisamente del desecho inadecuado de documentación en papel que contenía datos de carácter personal.

En aquellas empresas con actividad volcada a consumidor final, será también crucial la participación del Dpto. de Márketing. Normalmente estas divisiones tienden a percibir cualquier estrategia de compliance como una simple traba a su actividad, a la que deben allanarse sin convicción, e intentando circunvenirla en lo posible. Es solo parcial y sesgadamente cierto que las restricciones regulatorias a la actividad de márketing pueden en ciertos casos ralentizar balances de venta, ya que en una estrategia a largo plazo una entidad no puede ser ajena al riesgo sancionatorio; que alcanza ya altos umbrales pecuniarios en la legislación, y se espera que aún se acrecentará más con la entrada en vigor de la legislación común a nivel europeo, en el proyecto de Reglamento unificado sobre protección de datos previsto para 2014.

Asimismo, todo buen proyecto de implantación deberá comprender un apartado de formación, concienciación y gestión del cambio; con atención especial y justificación de motivos ante aquellos departamentos que, como el de Márketing, pueden potencialmente ser poco receptivos a ciertos estándares regulatorios.

El bloque de formación, por definición, pues, no puede ser monolítico y omnímodo. Las entidades que se han limitado a distribuir copias con meras reproducciones de recomendaciones genéricas se ven incapaces de llevar a la práctica ninguna de las obligaciones previstas en la ley. Una gestión del cambio bien entendida conllevará siempre la personalización de decálogos, y otros materiales de impacto sectorial que contribuyan a la efectiva concienciación de los implicados, desde un entendimiento profundo y exhaustivo de las circunstancias de negocio que rodean a cada empresa.

 

Isaac Grauer, Asociado Senior Information Technology. ECIJA

 

Etiquetas: aplicaciónerroresiniciativas

DESTACADO

Zona LG

Zona LG

30 noviembre, 2022

Adéntrate en el “universo LG” y descúbrelo. En Director TIC te mostramos un mundo de soluciones para diferentes sectores. Empezamos...

Leer más
Eusebio Nieva-CheckPoint Software-directortic-taieditorial-España
Destacado

Las organizaciones, incapaces de detectar los ataques en los dispositivos móviles de los empleados

5 octubre, 2022

Hablar de ciberseguridad es hablar de la eterna lucha entre ciberdelincuentes y fabricantes de seguridad. Es ver cómo los primeros...

Leer más

Zona VMware

30 noviembre, 2022

Tecnología en libertad con VMware. Hablar de VMware es hablar de una de las multinacionales tecnológicas de mayor crecimiento y...

Leer más
Propuesta de valor de Econocom y VMware-directortic-taieditorial-España
Destacado

¿Cómo potenciar el workspace con Econocom y VMware?

12 enero, 2023

Workspace ONE, la plataforma de trabajo de VMware que integra el control de acceso, la gestión y la entrega de...

Leer más

Zona Huawei

30 noviembre, 2022

Huawei: simplificando la tecnología. Conoce, de manera sencilla, el valor que la tecnología de Huawei aporta a tu organización y...

Leer más
El “poder” de Schneider Electric en el entorno edge
Destacado

El “poder” de Schneider Electric en el entorno edge

3 octubre, 2022

En un mundo en el que en el próximo lustro se espera que el 75 % de los datos empresariales...

Leer más
almacenamiento con Lenovo-David Rebollo-directortic-taieditorial-España
Destacado

¿Cómo revolucionar el almacenamiento con Lenovo?

6 octubre, 2022

Lenovo sigue creciendo. Así lo reflejan sus espectaculares crecimientos durante nueve trimestres consecutivos, con el segmento de servidores y almacenamiento...

Leer más
Neteris-directortic-taieditorial-España
Destacado

Neteris ayuda a incrementar la competitividad con SAP Business ByDesign y SAP Finanzas45

3 noviembre, 2022

Neteris, compañía especializada en la implantación de soluciones de gestión y uno de los actores fundamentales en el mercado ERP,...

Leer más
Ingram Micro - Director TIC - ESIC - Tai Editorial - España
Destacado

El proyecto Event Bus by ESIC, basado en la tecnología de AWS, sigue avanzando

20 diciembre, 2022

El proyecto Event Bus by ESIC se puso en marcha el año pasado y durante este periodo ha seguido avanzando...

Leer más
Destacado

Consejos de VMware para mejorar la gestión de costes en la nube

20 diciembre, 2022

Reducir costes es necesario en cualquier empresa, independientemente de la coyuntura, pero es especialmente delicado en tiempos de crisis y...

Leer más
Toshiba-discos duros-directortic-taieditorial-España
Destacado

De 20 Megabytes a 20 Terabytes: 40 años de tecnología de disco duro

22 diciembre, 2022

40 años en tecnología es una eternidad. Cuatro décadas en las que los discos duros se han transformado por completo....

Leer más
Next Post
Vincci Hoteles construye una arquitectura de almacenamiento con FlexPod

Vincci Hoteles construye una arquitectura de almacenamiento con FlexPod

  • INICIO
  • ENTREVISTAS
  • DEBATES
  • GUÍAS
  • ENTORNO TIC
  • NOTICIAS
  • REPORTAJES
  • CIO
  • SUSCRIPCIONES
  • VMWARE
  • LG
  • HUAWEI

© 2023 JNews - Premium WordPress news & magazine theme by Jegtheme.

No Result
View All Result
  • INICIO
  • ENTREVISTAS
  • DEBATES
    • Retail 2022
    • Gestión del dato 2022
    • Endpoint 2022
    • Aplicaciones 2022
    • Hiperconvergencia 2022
    • Centro de Datos 2022
    • Redes 2022
    • Cloud 2022
    • Puesto de trabajo 2022
    • Sanidad 2022
    • Ciberseguridad 2022
  • GUÍAS
    • Guía de ciberseguridad 2022
    • Guía de ciberseguridad 2021
    • Guía de la transformación digital 2021
  • ENTORNO TIC
  • NOTICIAS
  • REPORTAJES
  • CIO
    • Talleres del CIO
    • Consejos para el CIO
    • Videos
  • SUSCRIPCIONES
  • VMWARE
  • LG
  • HUAWEI

© 2023 JNews - Premium WordPress news & magazine theme by Jegtheme.