El eslabón más débil de la cadena
A través de los datos publicados en la última memoria anual publicada por la Agencia Española de Protección de Datos, correspondiente al ejercicio 2011 (sí, 2011), podemos concluir que la protección de datos sigue en pleno auge.
Las consultas y ficheros inscritos se incrementan todos los años. Sin embargo, resulta curioso que también se incrementan las denuncias y las sanciones.
En términos generales, se puede decir que la sociedad española se sensibiliza y compromete cada vez más con la protección de datos.
Pero entonces, ¿por qué aumentan las denuncias y las sanciones?
Hay 2 explicaciones fundamentales para este hecho:
- Por un lado, cuanto más conscientes son los ciudadanos de sus propios derechos, más denuncias interponen cuando los sienten vulnerados.
- Por otra parte, a pesar de que las empresas dedican grandes esfuerzos a adecuarse a la normativa de protección de datos, a menudo las infracciones se producen por accidente o desconocimiento de un empleado en particular.
¿Y cómo se puede luchar contra el error o el desconocimiento?
Es de sobra conocido que el factor humano es el eslabón más débil de la cadena de la seguridad de la información.
De nada sirve que la empresa ponga toda clase de medidas de seguridad técnicas, si la “llave” que permite el paso está en manos de un empleado que no es consciente de la relevancia de la información que protege.
Es por ello que todas las normas de seguridad de la información establecen la necesidad de formar y concienciar a todos los empleados. A modo de muestra, analicemos los siguientes:
- El artículo 10 de la Ley Orgánica de Protección de Datos (LOPD): “El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.”
- El artículo 89.2 del Reglamento de Desarrollo de la LOPD: “El responsable del fichero o tratamiento adoptará las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento.”
- El control A.8.2.2 de la ISO 27001: “Todos los empleados de la organización y, cuando corresponda, los contratistas y terceros, deberían recibir una adecuada concienciación y formación, con actualizaciones periódicas, sobre las políticas y procedimientos de la organización, según corresponda con su puesto de trabajo.”
Asimismo, hay que tener en cuenta que el régimen sancionador de la LOPD prevé, entre sus circunstancias atenuantes, que la empresa tenga “implantados procedimientos adecuados de actuación en la recogida y tratamiento de los datos de carácter personal, siendo la infracción consecuencia de una anomalía en el funcionamiento de dichos procedimientos no debida a una falta de diligencia exigible al infractor”. Poder acreditar la concienciación de los empleados jugará un papel importante en la fijación de la cuantía de una posible infracción cometida por un empleado.
En resumen, tanto si se manejan datos personales, como si se tiene acceso a información confidencial de la empresa que debe ser protegida, el empleado debe recibir formación y concienciación periódica sobre sus funciones y obligaciones en esta materia, así como sobre el uso adecuado de los recursos de la empresa para garantizar la confidencialidad, integridad y disponibilidad de la información.
Obviamente, ninguno estamos a salvo de cometer un error. Pero a través de la formación y la concienciación, los empleados tendrán una mayor preparación para evitar errores accidentales o por desconocimiento, e incluso podrán identificar situaciones de riesgo sobre las que deban solicitar asesoramiento a los responsables de la organización.
En conclusión, el gasto en formación y concienciación, debe ser entendido como una inversión igual de importante que la de adquirir un nuevo software o dispositivo de seguridad, con la ventaja adicional de que, este gasto puede ser compensado con los créditos para la formación, gestionados por la Fundación Tripartita para la Formación en el Empleo.
Áudea Seguridad de la Información
José Carlos Moratilla
Departamento Derecho TIC