La implantación de la LOPD: arduo trabajo, señores y señoras. Parte II

16/09/2016

El otro día, sentadas en una terraza, una amiga me preguntó qué era eso de las cookies. En un intento de aclararle sus dudas, lo que conseguí fue crearle más confusión:

- Pero no entiendo. Si yo tengo una web y no sé nada de informática, ni de programación, ni nada, ¿cómo voy a saber qué cookies se instalan, su duración, su gestor, su finalidad y esas cosas?


Y es que, si una cosa es cierta, la LOPD (y la LSSICE, para el caso de las cookies) no es de fácil aplicación.



Ejemplo de diagrama de un responsable del fichero tipo en relación a la LOPD


En este post queremos mostrarles algunas dificultades con las que nos hemos encontrado a la hora de realizar los proyectos que implantamos en las empresas.



Dificultades en la toma de datos:

  • Segmentación de la información en departamentos, empresas externas...
  • Escasa prioridad para la adecuación por parte de la empresa
  • Procesos y funciones del personal no definidas con anterioridad


Dificultades en la inscripción de ficheros

  • Falta de concreción en los ficheros en la empresa y sus finalidades
  • Segmentación y dispersión de los ficheros que se tratan en la empresa entre sus departamentos
  • Falta de conocimiento del origen de los datos y legitimación para su tratamiento
  • No comunicación de creación de nuevos ficheros y/o tratamientos paralelos a los ya registrados

Dificultades en las relaciones con encargados del tratamiento

  • Falta de información sobre la subcontratación
  • Dificultad a la hora de firmar el contrato
  • No adecuación previa del encargado a la normativa de protección de datos
  • Definición de cláusulas compleja en función del tipo de servicio contratado
  • Encargados del tratamiento que no cumplen con las garantías de seguridad exigidas


Dificultades en la recogida de datos por parte de la empresa

  • Falta de control por externalización de servicios
  • Uso a posteriori de datos con distinta finalidad sin información previa en la recogida de datos
  • No trazabilidad en las bases de datos
  • Bases de datos adquiridas de terceros
  • Falta de información sobre el tratamiento de datos en los diseños de formularios
  • Comunicaciones comerciales no informadas ni consentidas


Dificultades en la legislación complementaria

  • Conocimiento y manejo de leyes
  • Puesta al día en las modificaciones legislativas sectoriales y complementarias


Dificultades en las transferencias internacionales de datos

  • No transparencia por parte del proveedor del servicio
  • Ubicación internacional del proveedor del servidor
  • Idioma
  • Inexactitud y/o falta de información acerca de los servidores y su alojamiento
  • Falta de documentación
  • Falta de información sobre la subcontratación de servicios


Dificultades en las relaciones internas en la empresa

  • Desconocimiento de protocolos internos por parte del personal, administradores y/o gerentes
  • No implicación del personal y/o administradores
  • Percepción de carga en el trabajo por parte de los trabajadores
  • Funciones del personal no delimitadas


Dificultades en la aplicabilidad de informes y medias de seguridad

  • Informes muy técnicos
  • Documentación extensa y compleja
  • No revisión y aplicación de los informes por el responsable de seguridad
  • Hábitos y costumbres adquiridos

 

En definitiva: creemos que la mejor frase que resume las dificultades es, sin duda, “falta de comunicación, implicación y gran complejidad”.




Idaira Hernández Peraza

Directora de Consultores Peraza & Asociados, S.L.



Fuente de fotografía: Google Imágenes etiquetada para reutilización