Categorías
Proyectos

La LOPD para micro-emprendedores (parte 3)

lopd2En los anteriores artículos de la serie aprendimos cuales eran las medidas de seguridad «normales» para cualquier tipo de proyecto. El artículo de hoy estará dedicado básicamente a cuales son las medidas a implementar en caso de que nos decidamos a crear una aplicación con un alto nivel de protección de sus datos.

Las medidas que la LOPD prevee para los datos de nivel medio de protección son:

  1. Identificar al responsable de seguridad en el documento de seguridad. Es una nueva figura que aparece a partir de este nivel y que se encarga de velar por la seguridad de los datos de la organización. El responsable de seguridad puede ser el mismo responsable del fichero u otra persona o personas designadas por este.
  2. Realizar un auditoria periódica: al menos cada dos años, puede ser interna o externa y verificará todas medidas de seguridad. Se deberá generar un informe justificado que se guardará por si en algún momento lo solicita la AGPD.
  3. Se debe fortalecer las medidas de control de acceso, con el control típico que limita a un número máximo de intentos de acceder al sistema.
  4. Al registro de incidencias se le añade un campo para registrar «los procedimientos realizados de recuperación de los datos, indicando la persona que ejecutó el proceso, los datos restaurados y, en su caso, qué datos ha sido necesario grabar manualmente en el proceso de recuperación».

El nivel alto establece:

  1. Creación de un registro de accesos en el que se identificarán todos los intentos de acceso con los siguientes datos: el usuario, fecha y hora, fichero accedido, tipo de acceso y si se ha concedido el acceso o no. Personalmente a pesar de lo que he leído en algunos foros, creo que con el registro del log que ofrece Apache no es suficiente, así que tendrás que programarte uno (que no es algo nada complicado!). Para curarte en salud, yo añadiría en dicho log TODAS las operaciones que haga el usuario, no solo el acceso en sí. El log este debe conservarse durante dos años (lo lógico hablando a nivel de implementación es que cada cierto tiempo, por ejemplo, cada mes, generes el log y lo almacenes junto con las copias de seguridad, así te guardas las copias de seguridad y los logs de los últimos dos años juntos y vas desechando los anteriores). Por cierto, una vez al mes el responsable de seguridad debería revisar los logs y hacer un informe (lo lógico es que este informe simplemente diga: «no se ha encontrado ninguna anomalía» o «se intentó acceder el día XX a las XX con el usuario XX desde la IP XX», aunque se puede añadir una pequeña investigación… «Al ser preguntado el usuario XX indicó que trató de acceder, pero se equivocó de contraseña»).
  2. El backup deberá guardarse en un lugar diferente de dónde se generan (algo obvio y de lógica aplastante).
  3. Es necesario utilizar SSL para la transmisión de datos de este tipo, es decir, tienes que hacer que tu página web sea HTTPS por narices, pasar por el aro de comprar el certificado correspondiente y modificar los servidores como sea oportuno. La buena noticia es que todo esto es muy fácil y no es tan caro como en principio puedas imaginar. Otro día explicaré como hacerlo.

Hay que decir que la ley habla bastante de la gestión de soportes, pero que en realidad, la mayor parte de las micro-empresas no «sacan» datos de los ordenadores, puesto que es totalmente innecesario para su trabajo. Por eso he omitido toda esa parte. Sin embargo, si tu negocio necesita manejar copias de seguridad o información impresa o en formato digital y llevarla de un local a otro, será mejor que te leas directamente lo que dice la ley acerca de eso.

Otros temas importantes

Hay cierta controversia en algunos foros de Internet (y no es para menos) acerca de qué pasa si tu servidor no está situado en el estado español. ¿Que dice la ley para que haya tanto debate? Aquí dice que no se pueden realizar transferencias de datos (ni siquiera temporales) a países que «no proporcionen un nivel de protección equiparable al que presta» la ley española y la europea en general. ¡Vaya! ¿Ahora tendremos que conocer las leyes de todos los países? Pues si interpretamos que los datos que guardamos en un servidor de otro país son transferencias de datos, parece que sí, al menos del país donde tengamos el servidor. La ley deja la puerta abierta a obtener la autorización previa del director de la AGPD para hacer dicha transferencia de datos. Mi opinión es que es mejor utilizar algún servicio que tenga sus servidores en España o en su defecto en la Unión Europea y dejarnos de líos o interpretaciones de la ley, especialmente porque la ley marca esta infracción como muy grave. En caso de que seas un temerario y quieras utilizar un servidor fuera de la UE, alguien en cierta ocasión me contó que hay un documento por ahí que ambas partes (el que te ofrece el servicio y tu) deberéis firmar. Ni idea de dónde está el documento ese ni si realmente existe (yo no lo he visto pero tampoco lo he buscado por no necesitarlo).

Para finalizar y para que puedas ver lo importante que es cumplir la LOPD, aquí van las sanciones que se imponen:

  • Leve: 900 a 40.000 euros
  • Grave: 40.001 a 300.000 euros
  • Muy grave: 300.001 a 600.000 euros

¿Vale la pena o no cumplir con las 4 obligaciones básicas y de sentido común que impone la ley?

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *