Uno de cada dos autó­no­mos, empren­de­do­res y peque­ñas empre­sas de 5 o menos emplea­dos incum­ple la nor­ma­ti­va vigen­te en sus pági­nas web en lo refe­ri­do a Ley de Pro­tec­ción de Datos, Ley de Coo­kies o Ley de Ser­vi­cios de la Socie­dad de la Infor­ma­ción y Comer­cio Elec­tró­ni­co.

El estu­dio desa­rro­lla­do entre los meses de abril, mayo y junio de 2017 por la con­sul­to­ra espe­cia­li­za­da www.ClickDatos.es, pone de mani­fies­to que si bien 8 de cada 10 peque­ñas empre­sas apro­ve­chan las ven­ta­jas del mun­do digi­tal a tra­vés de sus sitios web, la mitad de ellas incum­plen la nor­ma­ti­va vigen­te al no mos­trar los per­ti­nen­tes avi­sos lega­les o hacer­lo de mane­ra inade­cua­da, bien por defec­tos en la redac­ción de los mis­mos o por no resul­tar fácil­men­te acce­si­bles y com­pren­si­bles.

Aspec­to que resul­ta de espe­cial inte­rés para la cam­pa­ña de ins­pec­ción gené­ri­ca pues­ta en mar­cha por el Minis­te­rio de Ener­gía, Turis­mo y Agen­da Digi­tal sobre sitios web con domino .es lle­va­da a cabo el mes de junio.

Ciber­ata­ques, orde­na­do­res y con­tra­se­ñas

Con­tras­ta el hecho de que 8 de cada 10 peque­ñas empre­sas par­ti­ci­pan­tes en el estu­dio rea­li­zan copias de segu­ri­dad (el 70,1% de las cua­les las guar­dan en las mis­mas ins­ta­la­cio­nes fren­te al 29,9% que lo hace fue­ra de ellas), pero úni­ca­men­te 2 de cada 10 empre­sas modi­fi­can su con­tra­se­ña una vez al mes, fren­te a las 3 empre­sas que cam­bian sus cla­ves una vez al año, el 45% que no las modi­fi­ca nun­ca y el 5% que ni siquie­ra uti­li­za con­tra­se­ñas.

En las tareas de pre­ven­ción de ciber­ata­ques, la con­tra­se­ña segu­ra es un impor­tan­te ele­men­to de defen­sa jun­to con el uso de anti­vi­rus, fire­walls y la actua­li­za­ción de sis­te­mas y apli­ca­cio­nes, ade­más del prin­ci­pal recur­so pre­ven­ti­vo: la for­ma­ción de los tra­ba­ja­do­res de la empre­sa. Se ha demos­tra­do en los últi­mos ciber­ata­ques que el esla­bón más débil de la cade­na de defen­sa es el ser humano, por fal­ta de cono­ci­mien­tos, expe­rien­cia o for­ma­ción, apli­ca­ción de téc­ni­cas de inge­nie­ría social o cua­les­quie­ra otros fren­tes sus­cep­ti­bles de ries­go.

Con­sul­to­res espe­cia­li­za­dos, garan­tía de tran­qui­li­dad

En todo lo rela­ti­vo a segu­ri­dad de la infor­ma­ción cabe des­ta­car la impor­tan­cia de con­tar con con­sul­to­res espe­cia­li­za­dos, dado que el 74,7% de los pro­fe­sio­na­les y empre­sas par­ti­ci­pan­tes en el estu­dio lle­va­do a cabo por www.ClickDatos.es había rea­li­za­do pre­via­men­te algún trá­mi­te en mate­ria de pro­tec­ción de datos.

La pro­li­fe­ra­ción de pro­vee­do­res sin cer­ti­fi­ca­do en Segu­ri­dad de la Infor­ma­ción, no espe­cia­li­za­dos o sin expe­rien­cia sufi­cien­te, ha traí­do como con­se­cuen­cia una mer­ma en la cali­dad de la pres­ta­ción del ser­vi­cio agra­va­da por la com­pe­ten­cia des­leal en for­ma inclu­so de frau­de de ley median­te el encu­bri­mien­to de accio­nes de ade­cua­ción LOPD con for­ma­cio­nes boni­fi­ca­das por la Fun­da­ción Tri­par­ti­ta, prác­ti­ca seve­ra­men­te per­se­gui­da con fuer­tes san­cio­nes eco­nó­mi­cas y otras gra­ves con­se­cuen­cias lega­les que pue­den con­lle­var penas de pri­sión.

A la hora de con­tra­tar los ser­vi­cios de un con­sul­tor en mate­ria de pro­tec­ción de datos, con­vie­ne cer­cio­rar­se de que cuen­te con cer­ti­fi­ca­ción ofi­cial en Segu­ri­dad de la Infor­ma­ción, dis­pon­ga del aval de las prin­ci­pa­les ins­ti­tu­cio­nes y orga­nis­mos del sec­tor (Ins­ti­tu­to Nacio­nal de Ciber Segu­ri­dad –INCI­BE–, Aso­cia­ción Pro­fe­sio­nal Espa­ño­la de Pri­va­ci­dad o Euro­pean Ciber Segu­rity Orga­ni­ta­tion –ECSO– a modo de ejem­plo) y ofrez­ca garan­tías que pro­te­jan a usted y a su empre­sa de posi­bles erro­res, negli­gen­cias o mala pra­xis, como una póli­za de res­pon­sa­bi­li­dad civil, pues no olvi­de­mos que el impor­te de la máxi­ma san­ción apli­ca­ble actual­men­te por la Agen­cia Espa­ño­la de Pro­tec­ción de Datos ascien­de a 600.000€ y se verá incre­men­ta­do en bre­ve con la ple­na apli­ca­ción de la nor­ma­ti­va euro­pea pues­ta en mar­cha en abril de 2016.

¿Quién debe cum­plir con la Ley Orgá­ni­ca de Pro­tec­ción de Datos?

Están obli­ga­das al cum­pli­mien­to de la nor­ma­ti­va vigen­te en mate­ria de pro­tec­ción de datos todas las per­so­nas físi­cas o jurí­di­cas que, fru­to de su acti­vi­dad pro­fe­sio­nal, ges­tio­nen y/o alma­ce­nen datos de carác­ter per­so­nal. Se con­si­de­ran datos per­so­na­les, entre otros, el nom­bre, direc­ción, docu­men­to de iden­ti­dad, telé­fono de con­tac­to, correo elec­tró­ni­co, datos de salud (aler­gias, enfer­me­da­des), de sol­ven­cia patri­mo­nial, ideo­lo­gía, orien­ta­ción sexual, etc.

Según el tipo y natu­ra­le­za de la infor­ma­ción mane­ja­da habrá de apli­car­se un nivel de segu­ri­dad bási­co, medio o alto, cuyos pro­to­co­los, herra­mien­tas y dis­po­si­cio­nes han de ver­se refle­ja­dos en el Docu­men­to de Segu­ri­dad, herra­mien­ta bási­ca de tra­ba­jo dia­rio para el res­pon­sa­ble del tra­ta­mien­to de datos de la empre­sa, un docu­men­to que ha de redac­tar­se de mane­ra per­so­na­li­za­da en fun­ción tan­to del tipo de acti­vi­dad del titu­lar como del nivel de segu­ri­dad que apli­que a la mis­ma.