¿Cómo implatar el Documento de Seguridad para empresas de ecommerce?

Startups

7 octubre, 2012

world-webEl Art. 9. Seguridad de los datos, de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter  Personal, (LOPD), genera a los Responsables de ficheros y Encargados del tratamiento, una Obligación de Seguridad. Esta conlleva la implementación de medidas de seguridad de tipo: técnico, organizativo etc.  Para garantizar la seguridad de los datos personales y evitar su alteración, perdida, acceso o tratamiento  no autorizado. Sus destinatarios habitualmente personas jurídicas, la cumplen, elaborando e implementando el preceptivo Documento de Seguridad (D.S.). Este afecta a  tratamientos automatizados y a los “convencionales” o no automatizados.

El “carácter” del D.S., y su “fuerza”, es un tema de gran transcendencia  para sus destinatarios, por lo general personas jurídicas, aunque también lo son, personas físicas (empresarios individuales, profesionales etc.) y para aquellos, vinculados mediante contratos laborales, mercantiles etc., que desarrollan la actividad en su entorno, sean usuarios finales de los sistemas de información o no. Esto es así, porque el D.S. no tiene carácter de recomendación. La normativa de protección de datos personales prohíbe realizar el tratamiento si no están implementadas las medidas de seguridad. La Inspección de la Agencia Española de Protección  de Datos (AEPD) lo solicita en la visita y es pieza clave en cualquier proceso de auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI)  u (LOPD). 

La normativa de protección de datos personales, sostiene que, el D.S. tiene “carácter de documento interno de la organización”. En cuanto a su “fuerza” plantea, que es de “obligado cumplimiento para el personal” que accede a los sistemas de información. El D.S. supone, por lo tanto, un reglamento interno para los obligados o  destinatarios. No observarlo implica: incurrir en infracciones administrativas tipificadas en la (LOPD). Infracciones y faltas laborales catalogadas en el Estatuto de los Trabajadores, Convenio Colectivo etc. Ilícitos civiles, que generan responsabilidad por daños y perjuicios de naturaleza contractual o extracontractual, etc. Por ellas responden el Responsable del Fichero y sus empleados, el Encargado del Tratamiento y los suyos, los proveedores de servicios y sus empleados, etc. 

El contenido mínimo del D.S. lo indica  el Art. 88.3 del Real Decreto 1720/2007 que desarrolla la (LOPD) este es: Ámbito de aplicación y recursos protegidos; Medidas, normas, procedimientos etc. que garanticen el nivel de seguridad; Funciones y obligaciones del personal vinculadas con el tratamiento de datos; Estructura de ficheros con datos personales y descripción de los sistemas de información que los tratan; Procedimiento, gestión, incidencias de seguridad; Procedimientos de copia de respaldo y recuperación de datos; Medidas aplicables al transporte de soportes y documentos; Medidas concernientes a la destrucción de documentos y soportes, así como para su reutilización. Esta estructura del D.S. responde al nivel de seguridad básico. Las medidas, normas, etc. correspondiente a los niveles medio y alto se “acumulan” sobre las preexistentes. 

La implantación del D.S. exige que el Responsable del Fichero, “comunique” a los usuarios de los sistemas de información, que  ostenten funciones de: Administración de sistemas, redes, seguridad, gestión de soportes de datos, auditoria TIC interna, etc. o sean usuarios finales de los mismos. “Las normas de seguridad que afecten al desarrollo de sus funciones” y las consecuencias del incumplimiento. Conforme a esto, las personas físicas que intervienen en el tratamiento de datos personales, deben conocer y tener presentes: las medidas, normas, procedimientos etc. adoptados para lograr el nivel de seguridad; las funciones que ejecutan respecto del tratamiento de datos personales; las obligaciones de hacer y/o no hacer, vinculadas con sus competencias. 

Esta “comunicación” se logra, junto a otros medios, impartiendo una acción formativa, destinada al 100% de la plantilla, agrupado en bloques homogéneos, creados de acuerdo con los perfiles de los participantes. La estructura tipo de la acción formativa puede ser: 

  • La Obligación de Seguridad;
  • Secciones del Documento de Seguridad;
  • Política de Seguridad de la Información;
  • Activos, amenazas e incidencias de seguridad;
  • Tratamiento de datos personales y niveles de seguridad;
  • Medidas aplicables a ficheros y tratamientos no automatizados;
  • El Registro de Incidencias;
  • Procedimientos transversales del Documento de Seguridad;
  • Normas uso: ficheros, sistemas, soportes de datos, aplicaciones, telefonía y dispositivos móviles, servicios Internet; 
  • Obligaciones de quienes intervienen en el tratamiento y consecuencias de su incumplimiento.

Estudio-Legal Velázquez elabora e imparte acciones formativas (LOPD, LSSI etc.) en el ámbito del Derecho de Tecnologías de la Información. Los cursos son estándar ó diseñados a medida para el cliente. 

Cuando los empleados de los proveedores de servicios desarrollen la actividad en las oficinas  o locales del Responsable del Fichero, como el contenido del D.S. les afecta, pero no son  destinatarios naturales de la acción formativa, el Responsable del fichero debe “comunicarles”, la Política de Seguridad, las medidas, normas, procedimientos, etc., que les conciernen, publicándolas  en el área de Seguridad de Datos de la Intranet, incorporándolas en un folleto informativo etc. También el contrato TIC celebrado con el proveedor de servicios, debe comprender, lo relativo a la Obligación de seguridad, así como lo referente a la responsabilidad del proveedor cuando incumpla dicha obligación. 

El  Responsable del Fichero o tratamiento, también debe elaborar un procedimiento que estandarice  la “comunicación” de las normas de seguridad que incidan en el desarrollo de las funciones del personal y las consecuencias del incumplimiento. Este debe recoger: la personalización de los envíos, el acuse de recibo por los destinatarios, la recepción de los archivos adjuntos al correo electrónico, etc. Aspectos esenciales para acreditar la recepción de contenidos que incorporan obligaciones jurídicamente exigibles.  

La acción formativa tiene un objeto general: “concienciar sobre las implicaciones de la seguridad de los datos e información personal”. Y otros derivados como: Tratar el deber de secreto profesional respecto de los datos personales; Analizar la figura del Encargado del Tratamiento; Plantear el catálogo de incidencias de seguridad; Examinar procedimientos transversales como: Comunicación y gestión incidencias de seguridad, Régimen de trabajo fuera de las instalaciones donde está ubicado el Fichero, etc. 

La evaluación de la acción formativa (programa, metodología, monitor, duración etc.) es esencial, para saber si se lograron los objetivos y mejorarla. Las conclusiones del cuestionario de evaluación, hay que “conectarlas” con el listado de personas que participaron en la acción formativa, el cual debe comprender: nombre y apellidos, departamento o área,  puesto desempeñado, fecha en la que se  impartió, etc. Esta documentación se  incorpora  en  un Registro, que está  a disposición de los auditores, internos o externos, que ejecutan la auditoria (LOPD) y  las vinculadas con los Sistemas Gestión Seguridad Información (SGSI).

Puede consultar más información sobre Tratamiento Datos Personales en nuestra sección:

Noticias Jurídicas y de Negocios

© Rafael Velázquez Bautista. Madrid, 2012            

Impacto

¿Qué te pareció este artículo?

  • 576
  • 0

Recomendar

Recomendar

Si te pareció interesante este artículo, sé el primero en recomendarlo.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

RECIBE NUESTRA NEWSLETTER



*Email: *Nombre apellidos: *Empresa:

Cargo:

Sector:  

   

Please don't insert text in the box below!

Patrocinado por: Patrocinador

Ecommbrunch BF Madrid: La financiación Instantánea como impulsor de las tasas de conversión en BF

Más de 10.000 MM$ en 1 hora; más de 30.000 MM$ en total: así fue el Singles Day 2018

Mobile Commerce Congress 2018: Mesa redonda de retos y tendencias en los métodos de pago

Nueva edición del Taller “Transformación digital en 3 horas” en Madrid

Trabajadores de Amazon convocan paros durante el Black Friday y la campaña de navidad

Mobile Commerce Congress: mesa redonda: omnichannel best practices

Las claves para manejar la logística en los picos de la campaña navideña, a fondo en la jornada de UNO

La importancia de invertir en soluciones de pago adecuadas para aumentar la tasa de conversión de socios en ONGs

Black Friday, una oportunidad para hacer crecer las ventas de tu ecommerce

La suscripción y los servicios de entrega a domicilio, unidos para satisfacer las necesidades del consumidor

El funcionamiento del exitoso modelo de las digitally native vertical brand, las startups que compiten con Amazon

El ecosistema de los mejores

Dónde invierto el presupuesto de marketing para e-commerce en 2019

Consejos para mejorar la visibilidad en tu e-commerce

Mobile Commerce Congress 2018: Mesa redonda de retos y tendencias en los métodos de pago

Mobile Commerce Congress 2018: El Voice Commerce en los métodos de pago, de la mano de Mastercard

Mobile Commerce Congress 2018: La revolución del Voice Commerce

Mobile Commerce Congress 2018: El commerce que viene, de la mano de UniversalPay

Ecommerce Tour Mallorca: Las claves de la Mesa Redonda sobre eTravel

Ecommerce Tour Mallorca: Logística y Transporte: engranajes de la fidelización

Ecommerce Tour Zaragoza: ‘Case Study’ de Gran Velada

Más leídas

Showroomprive presenta #NoTePrives, su nueva campaña de publicidad

Showroomprive presenta #NoTePrives, su nueva campaña de publicidad

Juan Roig: “No creía en Mercadona Online y me he cambiado la chaqueta, porque es rentable”

Juan Roig: "No creía en Mercadona Online y me he cambiado la chaqueta, porque es rentable"

¿Cuáles son las palabras mas buscadas en Google en España?

¿Cuáles son las palabras mas buscadas en Google en España?

La estrategia de negocio de Amazon, en el Forbes Summit Transformación Digital

La estrategia de negocio de Amazon, en el Forbes Summit Transformación Digital

Mobile Commerce Congress 2018: La revolución del Voice Commerce

Mobile Commerce Congress 2018: La revolución del Voice Commerce

Ecommerce News celebró con éxito la 6ª Edición del Mobile Commerce Congress convocando a más 500 asistentes

Ecommerce News celebró con éxito la 6ª Edición del Mobile Commerce Congress convocando a más 500 asistentes

Mobile Commerce Congress 2018: El Voice Commerce en los métodos de pago, de la mano de Mastercard

Mobile Commerce Congress 2018: El Voice Commerce en los métodos de pago, de la mano de Mastercard

Amazon duplica su número de empleados en dos años y ya cuenta con 340.000 en todo el mundo

Amazon duplica su número de empleados en dos años y ya cuenta con 340.000 en todo el mundo

Más de 10.000 MM$ en 1 hora; más de 30.000 MM$ en total: así fue el Singles Day 2018

Más de 10.000 MM$ en 1 hora; más de 30.000 MM$ en total: así fue el Singles Day 2018

Black Friday, una oportunidad para hacer crecer las ventas de tu ecommerce

Black Friday, una oportunidad para hacer crecer las ventas de tu ecommerce

Último número

Wait

Optimization WordPress Plugins & Solutions by W3 EDGE