Cumplimiento de la LOPD al alcance de las PYMEs con Prot-On
Todos somos conscientes del bajo nivel de cumplimiento de la LOPD en las PYMEs. Si bien en algunos casos se puede achacar a una falta de conocimiento sobre la ley, en muchos otros el empresario opta por anteponer la eficiencia de su operativa diaria en el manejo de información y disminuir los costes de “cuestionable retorno de inversión” que puede suponer la implantación y mantenimiento de la LOPD, asumiendo conscientemente el riesgo a enfrentarse a importantes sanciones.
Imaginemos una pequeña clínica, no es disparatado pensar que los historiales médicos y otros datos de los pacientes estén en archivos Excel almacenados en los ordenadores de trabajo y que, por evidente operatividad, no están protegidos bajo llave, ni probablemente estén en unidades de almacenamiento cifradas. Esto ya supone un incumplimiento de la LOPD que, por tratarse de archivos de nivel de seguridad alto, conllevaría unas sanciones muy elevadas en caso de una eventual inspección de la Agencia de Protección de Datos. Pero además, no existe ningún control sobre si esos archivos son copiados, impresos, distribuidos por email, etc., lo que independientemente de las sanciones por incumplimiento de la LOPD, añade un riesgo importante de deterioro de la imagen de la empresa ante una eventual fuga de información.
El uso de Prot-On facilita el cumplimiento de la LOPD a muy bajo coste y sin alterar sustancialmente el modo de trabajo ni la eficiencia operativa de los empleados. Volviendo a nuestro ejemplo, el empresario solo debería proteger el archivo Excel con Prot-On dando, por ejemplo, permiso de edición al personal sanitario y permiso de lectura al personal administrativo.
Los ficheros sujetos a LOPD estarían así cifrados, con una clave almacenada en servidores seguros debidamente protegidos, de modo que quien tiene acceso a las claves de cifrado no tiene acceso a los documentos, y quien tiene acceso a los documentos no tiene acceso a las claves de cifrado. El empleado para poder acceder al archivo debe identificarse previamente en el sistema, y éste le permite operar con el archivo protegido, conforme a las restricciones establecidas por el responsable del archivo según el puesto del empleado. Además, el sistema registra toda la actividad sobre el documento, requisito que también impone el reglamento de la LOPD: quién y cuándo abre, imprime, edita, etc. cada documento protegido.
De esta forma sencilla, sin implantar costosas herramientas, alterar los procesos de trabajo de los empleados o mantener manualmente el registro de acceso a datos personales, la PYME superaría los requisitos para el cumplimiento de la LOPD más difíciles de afrontar por una pequeña empresa debido a que tradicionalmente requerían de infraestructura, herramientas y personal informático dedicado a ello. Sin olvidar la protección de la imagen de la empresa gracias a la prevención de una posible fuga de información.
