¿Estamos seguros de que cumplimos con la Ley de Protección de Datos? En la mayoría de los casos, consideramos que no.
Sobre el “Documento de Seguridad”
Ya lo hemos reflejado en multitud de soportes y artículos, lo volvemos a hacer dada la más que probable proximidad de una nueva normativa EU que, parece supuestamente, nos pondrá las cosas más complicadas.
La Ley dice claramente en el artículo 88 que debe de existir en la empresa un Documento de Seguridad que regula las medias que tomamos para cumplir con la ley. Me refiero a dicho documento, ya que si ahí se refleja lo que hago en mi empresa en la materia, doy por hecho que es porque estoy cumpliendo con la Ley. Digamos que es nuestro “diario” Hasta ahí bien…
En principio, podemos descargar la guía de dicho Documento en la propia AGPD, pero luego nos encontramos con art. 88. 7 y 8 que dice explícitamente:7. El Documento de Seguridad deberá mantenerse en todo momento actualizado y será revisado siempre que se produzcan cambios relevantes en el sistema de información, en el sistema de tratamiento empleado, en su organización, en el contenido de la información incluida en los ficheros o tratamientos o, en su caso, como consecuencia de los controles periódicos realizados. En todo caso, se entenderá que un cambio es relevante cuando pueda repercutir en el cumplimiento de las medidas de seguridad implantadas.
8. El contenido del Documento de Seguridad deberá adecuarse, en todo momento, a las disposiciones vigentes en materia de seguridad de los datos de carácter personal. (fuente. www.agpd.es )
Y ¿A qué le llama la ley una actualización? Lo que es más confuso a mi parecer, ¿Qué se entiende por procedimientos y/o incidencias a actualizar?
Sin entrar en retóricas ni tecnicismos, supuestamente con un cambio de ordenador, una pérdida de cualquier soporte informático, un cambio en el personal de la empresa etc., por ejemplo y entre otros, son motivo de obligatoria actualización.
Aquí viene mi pregunta… ¿Cómo van a cumplir las empresas con la normativa y como actualizar el Documento de Seguridad de los Datos, que las empresas recogen, si no hay explícitamente una guía para hacerlo pero siendo por Ley dicha actualización?
Dicha guía existe y la propia AGPD nos “recomienda” como cumplir, sin embargo, a pesar de explicar claramente la necesidad de tener dicho documento actualizado en cuanto a procedimientos e incidencias, no refleja cómo hacerlo, pero si expone las sanciones a las que estamos expuestos en caso de no actualizarlo.
Llevamos varios años como asesores para Cámaras de Comercio y otros organismos y comprendí hace mucho tiempo, que si quería dedicarme a esto de forma profesional, lo primero que teníamos que hacer es resolver este enigma.
– ¿Cómo actualizo cada Documento de Seguridad de cada uno de mis Clientes?
– ¿Me desplazo a sus oficinas cada vez que haya una incidencia?
– ¿Cuánto debería de cobrarles por Servicio?
En definitiva, considero que no hay forma humana, o yo por lo menos no la veo de cumplir con la Ley si el mencionado Documento de Seguridad lo redacto para mis Clientes en papel o se lo instalo en su ordenador.
¿Por qué? Si cada vez que una empresa o un Administrador de Fincas, tiene que actualizar y/o modificar dicho Documento nos tiene que llamar, e ir a sus oficinas a modificarlo, sería tan costoso como inviable.
Imposible a no ser que las actualizaciones las podamos hacer vía on line.
¿Cómo?
Teníamos que hacer un programa informático que se pudiera modificar desde nuestras oficinas sin tener que desplazaros y que fuera flexible para actualizarlo a a la Ley cuando fuera necesario.
Nos pusimos manos a la obra y aunque ha costado, después de dos años y medio, contamos DataScude By Mediter. Un programa informático donde cada Cliente tiene todos sus documentos, contratos y cláusulas, al día. Dicho Software lo tenemos en Servidor propio, por lo que nos encargamos de las copias de seguridad y el mantenimiento del mismo.
El Cliente puede acceder mediante conexión a Internet, siempre y bajo contraseña, a toda su documentación y en el caso del Administrador/a de Fincas, puede acceder tanto a sus documentos como a todas las Comunidades de Vecinos que regente de forma global, y a la vez cada Comunidad de Vecinos puede acceder a la suya si así lo decide.
Los procedimientos de Ley los actualizáramos en Mediter Jurídico de forma globalizada, siendo luego nuestro Departamento Jurídico el que lo realiza cada vez que haya una modificación que afecte al global de los Clientes.
Pero hay una parte que no depende de nosotros sino del Cliente.
No podemos saber si han cambiado ordenadores, personal etc, a no ser que nos lo indiquen, (en el caso del Administrador de Fincas como Encargado del Tratamiento de Comunidades de Vecinos, cada alta y baja de Comunidades, entre otros procedimientos), siendo los Clientes los que nos deben de indicar por mail puntualmente motivos de actualización.
Para ello, hemos creado un Servicio de envío de Boletines de News recordando las medidas a seguir y casos prácticos, así como insistimos constantemente y de forma muy gráfica, en qué casos se debe de actualizar el Documento de
Seguridad. Dicho boletín se envía de una a dos veces al mes.
Es la única forma que hemos encontrado para cumplir con la Ley.
Habrá quien me diga, bueno… ¿Esto es una forma de publicitar tu empresa? Y yo les comento, “sin duda” Pero no la principal razón…
Todo lo que hemos comentado en este post es bien cierto, muchos profesionales desconocen el tema pero también es innegable que no hay más que llamar a la propia Agencia de Protección de Datos www.agpd.es para corroborar mis comentarios.
Existe en el mercado un grado muy alto de intrusismo, el cual nos perjudica a los profesionales del sector tanto como a las empresas y estamos seguros de hacer todo lo que está en nuestras manos para realizar lo correcto, por eso lo exponemos aquí, porque creo que es de justicia informar y porque, como he comentado al principio de este post, el publicarlo ahora es por recordatorio y porque hay una nueva normativa europea a la vista y más vale prevenir que curar…