20.000 euros de sanción por no tener implantadas correctamente las medidas de seguridad

La Agencia Española de Protección de Datos (AEPD) contempla sanciones para las empresas o entidades que no tengan implantadas de manera adecuada las medidas de seguridad que exige la LOPD.   

Para la correcta implantación y aplicación de las medidas de seguridad, resulta indispensable el asesoramiento de un profesional, ya que las medidas de seguridad no sólo deben estar documentadas, sino que deben aplicarse de forma efectiva. Os planteampos como ejemplo un caso real.

El procedimiento sancionador PS/00076/2011 recoge el caso de una cadena de supermercados que no contaba con las medidas de seguridad oportunas, en relación a información de datos clínicos. Según la persona que denunció esta irregularidad, desde dos terminales ubicados en el muelle de recepción de mercancías, se podían visualizar, entre otros documentos, análisis clínicos de trabajadores de la empresa. 

Durante la visita de las inspectoras de la AEPD, el denunciante pudo acceder a un equipo informático cercano a su puesto de trabajo. Aunque el sistema pedía un usuario y contraseña para acceder, el usuario salía ya por defecto, y la contraseña era la misma que el nombre de usuario.

Además, desde ese equipo, a través de la red local pudieron acceder a carpetas alojadas en el equipo de la jefa de Recursos Humanos del centro. En concreto, pudieron acceder a una carpeta con resultados de analíticas de los empleados del centro.

A pesar de que la irregularidad fue subsanada de inmediato, la empresa tuvo que hacer frente a una sanción de 20.000 euros, por la vulneración del artículo 9.1 de la LOPD, en relación a las medidas de seguridad.

Consejos para proteger el acceso a los datos de carácter automatizado

La legislación vigente en materia de Protección de Datos incluye numerosas cláusulas difíciles de llevar a la práctica. A grandes rasgos, hay que tener en cuenta que, en el caso de ficheros automatizados, todo lo que no está explícitamente autorizado, está prohibido.

El responsable del fichero debe encargarse de establecer e implantar mecanismos de seguridad que restrinjan el acceso a los datos, impidiendo el acceso a los ficheros al personal no autorizado a tal efecto.

En este sentido, hay tener presente que las cuentas por defecto, con contraseñas conocidas, son las que suelen aprovechar terceras personas para acceder a los recursos no autorizados.

Para establecer unas medidas de protección adecuadas, hay que seguir una política que vaya de lo más general a lo concreto. Es decir, se debe proteger el acceso al servidor y sus recursos, seguir con las aplicaciones de gestión utilizadas y terminar protegiendo el acceso a los puestos de trabajo.

Por tanto, una de las primeras medidas que hay que poner en práctica, es proteger el acceso al servidor tanto física como virtualmente.

En cuanto a la protección del acceso físico, el servidor ha de estar ubicado en una sala a la que sólo tenga acceso el personal informático debidamente autorizado. Esta sala debe permanecer cerrada con llave o algún otro mecanismo similar, que sólo posea el personal autorizado.

Por otra parte, también es necesario proteger el acceso al sistema operativo del servidor, eliminando o protegiendo con una contraseña fuerte todas las cuentas que se crean por defecto. De este modo nos aseguraremos de que no queda ninguna cuenta sin proteger.

El Instituto Nacional de Protección de Datos se estrena en los medios sociales

En el Instituto Nacional de Protección de Datos (INPD) estamos de enhorabuena por partida doble: hoy estrenamos blog y, además, comenzamos nuestra andadura en los medios sociales. 

Como ya sabrás, la legislación vigente obliga a cualquier autónomo o empresa que tenga en su poder datos de personas físicas a crear y actualizar ficheros con esta información, comunicar su existencia a la Agencia Española de Protección de Datos o recabar el consentimiento de los titulares, entre otros trámites. El incumplimiento de esta normativa puede suponer sanciones de entre 900 y 600.000 euros para el empresario. 

Conscientes de las dificultades que el cumplimiento de estas normativas supone, en el INPD ofrecemos servicios integrales para el cumplimiento de la legislación vigente sobre Protección de Datos de Carácter Personal, así como de la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico. 

Contamos con un experimentado equipo de abogados, informáticos y expertos en comunicación, formación y gerencia empresarial, para garantizarte un completo asesoramiento en estas materias.

A través de este nuevo blog, te mantendremos informado acerca de todas las novedades relacionadas con la protección de datos y te ofreceremos consejos prácticos para que no incumplas los requisitos marcados por ley. 

Del mismo modo, para mantener un contacto más directo contigo, nos abrimos a los medios sociales y hemos puesto en marcha nuestro canal en Youtube, a través del que podrás conocer mejor nuestros servicios.