A menudo centramos la atención en el cumplimiento normativo por parte de las empresas únicamente en las personas que por unos motivos u otros asumen la función de interlocución en los temas de protección de datos: abogados, informáticos, responsables de administración.
Estas personas se sienten “incomprendidas” en sus organizaciones porque su labor consiste, además de garantizar un cumplimiento adecuado de la actual LOPD -y del próximo Reglamento-, en implantar unas obligaciones que sus propios compañeros no entienden y consideran incluso “molestas”.
Si el lector pertenece a una gran empresa y sigue leyendo, se sorprenderá de que lo que a continuación expongo “exista” todavía. Sin embargo, el tejido empresarial de nuestro país está mucho más plagado de pequeñas empresas (muy pequeñas) que de grandes corporaciones con las que las dificultades se encuentran más en la complejidad organizativa o en la falta de comunicación interna que en el absoluto desconocimiento de unas mínimas medidas de seguridad. Contraseñas que nunca se cambian, compartidas, a la vista de todos, papel que se tira a la basura, accesos indiscriminados, inexistencia de copias de seguridad…. Por no hablar de los documentos con información confidencial en mesas al alcance de cualquiera… No es tan infrecuente, lamentablemente.
Si a ello lo sumamos el uso del email como medio casi exclusivo de comunicación y la posible entrada de malware (recordamos el reciente Wannacry, entre otros), convertimos al usuario y a su “despiste” al abrir un email malicioso, en una bomba de relojería.
Todos los expertos en seguridad coinciden en que el eslabón más débil de la cadena es siempre el usuario, el propio empleado que si no ha sido convenientemente aleccionado en la materia, cometerá errores y pondrá en riesgo la organización por puro desconocimiento. Y lo peor es que nada le podremos echar en cara…
El actual Real Decreto 1720/2007 por el que se aprueba el Reglamento de Desarrollo de la LOPD (y que quedará sin efecto en mayo del 2018 aunque nos puede servir de referencia), establece como una de las obligaciones del responsable del tratamiento. El artículo 89 establece:
“El responsable del fichero o tratamiento adoptará las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento. “
Estamos pues ante una obligación explícita de la propia normativa de protección de datos pero también de cualquier protocolo de seguridad de la información. Si el usuario no sabe, no puede cumplir. Así de sencillo. Y a la posible brecha de seguridad producida se sumará la responsabilidad por no haber cumplido esta obligación.
No vamos a recordar otra vez las elevadas multas por los incumplimientos. No se trata aquí nuevamente de asustar. Sin embargo no es tan difícil “meter la pata” si no se sabe: sacar una bolsa de basura con papel confidencial a la calle le ha costado muy caro a muchas empresas… Y quien lo hizo probablemente ni fue consciente de ello…
¿Cómo se hace?
Formando.
Mejor dicho, formando e informando. La seguridad de la información en general y la protección de datos en particular no son estáticos. Hay que formar pero también periódicamente, recordar, informar de posibles amenazas, controlar posibles desviaciones o malos cumplimientos.
La experiencia nos demuestra que además de circulares escritas que la gente lee con desgana y se cuelgan en las intranet, la formación presencial es básica. Se ofrece a los empleados la posibilidad de expresar sus dudas, de preguntar, de ver montones de ejemplos prácticos y de percibir que su función, en su puesto de trabajo, es muy importante para garantizar la seguridad de la compañía, tenga el tamaño que tenga: desde la consulta de un dentista, la academia de idiomas, el gimnasio online o cualquier pequeño negocio con su pequeña base de datos de clientes.
No subestimemos el poder de un par de horas de “sensibilización” en estas materias al menos una vez al año. Nos acordamos más de lo que nos cuentan de lo que leemos y si son ejemplos “llamativos”, mucho mejor. El resultado tras una formación suele ser triple:
- Una mayor concienciación de los propios empleados.
- Una mejor definición de las obligaciones de privacidad en el puesto de trabajo.
- Un mayor flujo de consultas respecto a situaciones cotidianas que un consultor difícilmente es capaz de detectar desde fuera.
Cualquier proyecto de cumplimiento debería, necesariamente, cerrarse con formación. Por el bien de todos.
Feliz verano.
Comentarios
No hay comentarios