Archive for 21 mayo 2009

h1

SICARM 2009

mayo 21, 2009

En realidad, debería de seguir publicando el resumen de la charla realizada para la Diputación de Alicante, pero esto de la crisis hace que uno tenga que trabajar el doble.

Por ese motivo (lo de trabajar el doble) ni siquiera he podido asistir al SICARM de este año. Menos mal que la organización (in primis, el Prof. Julian Valero), se ha encargado de publicar el link donde se pueden ver las intervenciones.

No es como haber estado ahí, pero…

P.S. Estas micro entradas no caben en el Twitter, tendré que resumir.

Anuncios
h1

Una charla con amigos, la e-Administración y la LOPD – 1ª Parte

mayo 8, 2009

El pasado 28 de abril, la Dipitación de Alicante me invitó a dar una charla sobre la Protección de Datos en las Administraciones Locales. La charla era, en realidad, parte de un módulo más amplio sobre los retos de la Administración Electrónica para los pequeños Ayuntamientos.

Cuando llegué al aula, dentro del complejo del Hogar Provincial, me encontré con algunos clientes y, a pesar de ello, amigos. Eso hizo que la charla perdiera parte de su carácter formal-académico y se convirtiera más en un debate sobre los problemas que afectan a los técnicos informáticos de los Ayuntmientos en su día a día. Parece que se ha instaurado una regla no escrita según la cual “el informático” es el que se tiene que ocupar de “estas cosas modernas” como son la LAE y la LOPD.

Teníamos 3 horas a nuestra disposición y resultó que ni pausa café hicimos, tanto nos enfrascamos en los intríngulis de la Protección de Datos. A lo largo de la charla, prometí publicar un resumen en este blog, pero, las cosas como son, no he tenido tiempo. Así que va siendo hora de hacer el resumen prometido.

Después de haber hecho un inicial y rápido resumen sobre los antecedentes de la LAE, la LOPD y sus cruces de intereses, hemos pasado a revisar, también rápidamente, los deberes formales en materia de Protección de Datos que incumben sobre los Entes Locales. De paso, hemos recordado el artículo 4.a de la LAE, donde, entre los principios generales, se hace expresa mención a “El respeto al derecho a la protección de datos de carácter personal en los términos establecidos por la LOPD…“.

En este momento ya han aparecido entre los asistentes las primeras caras de preplejidad: “¿Para qué estaré yo buscando dinero para comprar el Gestor Documental molón si mis compañeros del Ayuntamiento ni siquiera conocen la LOPD?”. La sensación de que, en los procedimientos de implantación de la Administración Electrónica en las entidades locales, se estaba trascurando un aspecto determinante, pues, se empezó a generalizar.

Por ejemplo, salvo un par de honrosas excepciones, nadie había pasado la auditoría en materia de Protección de Datos en los últimos años. Esta situación reflejaba los resultados de la pequeña estadística realizada a través de este blog donde había un preocupante 50% de lectores que había marcado la casilla “¿Auditoría LOPD? ¿Existe eso?“.

¿No estaremos empezando la casa de la Administración Electrónica por el tejado? Las dudas aumentaban.

Si hay que adecuarse a la LOPD, ¿por dónde empezamos?vYo sugerí empezar por los aspectos formales:

DIAP4

Pareció que todos estuvieron de acuerdo, pero algunos ya se empezaron a olerse por dónde irían los tiros.

Si la declaración del fichero (con todas las particularidades descritas por el Título V de la LOPD), y la redacción de un Documento de Seguridad son tareas al alcance de unos funcionarios preparados, la asunción de las responsabilidades propias de la figura del Responsable de Seguridad ya era harina de otro costal.

Cuando se empezó a hablar del Responsable de Seguridad, entró en escena una figura que nos ha acompañado a lo largo del resto de la charla:

DIAP1Este muñequito, sobre cuya foto no tengo derecho de autor y que utilizo sólo docendi causa, quería representar al técnico del Ayuntamiento sobre el cual, de repente, recaían todas las responsabilidades de puesta en marcha de medidas de seguridad para la adecuación a la LOPD. Casi todos se vieron inmediatamente reflejados en él, asumiendo resignadamente que no se podrían librar de ser el Responsable de Seguridad. Eso sí, no llegamos a bautizarlo, pero tarde o temprano le pondremos nombre.

La identificación entre el Responsable de Seguridad y “el informático” parecía automática, pero yo me atreví a introducir un elemento de duda, a partir de la definición prevista en el art. 5.2.l), del R.D. 1720/2007: “Persona o personas a las que el Responsable del Fichero ha asignado formalmente la función de coordinar y controlar las medidas de seguridad aplicables”.

Convertirse o no en DIAP1 dependía ahora de un adverbio: “formalmente“.

“Si no hay ningún nombramiento formal, y aunque en mi actividad diaria yo desarrolle buena parte de las funciones propias del Responsable de Seguridad (controlar y coordinar las medidas de seguridad), ¿soy o no soyDIAP1? Mi opinión es que, si la ley exige un nombramiento formal, sin éste, no puede haber Responsable de Seguridad. Esto afectaríatambién al eventual régimen sancionatorio disciplinar por violación de las medidas de seguridad previstas en la LOPD.

Justo el régimen sancionador ha sido el objeto de la segunda parte de la charla. Prometo seguir con el resumen en breve.

Mi ar y controlar las medidas de seguridad aplicables