Luis Molina

tecnologías de la información, experiencias, conocimiento

Sobre la LOPD y la LSSI-CE

with 6 comments

Gracias a la iniciativa de la Asociación de Webmasters de Málaga, tuve la oportunidad de asistir a una ponencia sobre las leyes de Protección de Datos y de Servicios de la Sociedad de la Información, conocidas como LOPD y LSSI-CE.

El ponente fue Francisco Pardo, quien de una manera amena y sencilla fue comentando algunos de los puntos más interesantes de estas leyes que están directamente relacionados con la creación de sitios web y los negocios en Internet. Las preguntas y comentarios de los asistentes enriquecieron la ponencia y debo decir que fue una experiencia satisfactoria.

Página de información sobre la ponencia

Indico algunos de los puntos que me parecieron relevantes:

  • La Agencia Española de Protección de Datos (AGPD) ha publicado una herramienta llamada Evalúa, que sirve para autoevaluar el grado de cumplimiento de la LOPD.
  • Es importante entender  bien el ámbito de aplicación de la LOPD: cualquier persona o empresa que almacene datos de carácter personal en cualquier medio físico o electrónico debe ajustarse a esta ley.
  • La LOPD contempla un proceso de disociación mediante el cual los datos almacenados no puedan asociarse a ninguna persona identificada o identificable. Por ejemplo, podemos guardar ciertos datos en una tabla de base de datos si identificamos cada registro con un user_id que no permita identificar a una persona  física concreta.
  • Si estamos almacenando datos a los que se le aplica un nivel de seguridad alto, tendremos que utilizar SSL y cualquier otra  herramienta o mecanismo que asegure la privacidad de esos datos.
  • Se contempla también el movimiento internacional de datos, caso que se da cuando almacenamos datos en servidores fuera de España. Debemos estar seguros de que la legislación de esos otros países proporciona al menos la misma garantía de privacidad de datos que la española, cosa que se cumple en cualquier país de la Unión Europea. Por ejemplo, aunque en EE.UU. no existe una ley equiparable a la LOPD española, sí han creado el concepto safe harbor para certificar que una empresa estadounidense está autorizada a tratar con datos de carácter personal europeos.
  • Cuando se cancela (elimina) un dato almacenado, hay que recordar eliminarlo también de archivos históricos tales como las copias de seguridad.

No se profundizó tanto en la LSSI-CE aunque quedó bien claro que jamás se debe enviar comunicaciones comerciales sin consentimiento.

ACTUALIZACIÓN: quiero dar la enhorabuena también a Raúl Jiménez Ortega, de la Asociación de Webmasters de Granada, por su implicación e interés en que este y otros eventos sean un éxito.

Written by Luis Molina

22 febrero 2010 a 17:45

Publicado en Artículos

Tagged with , , ,

6 comentarios

Subscribe to comments with RSS.

  1. Por lo que cuentas, fue una ponencia bastante interesante y útil, una pena que no pudiera asistir. Tal vez la próxima…

    Jose M

    22 febrero 2010 at 17:52

    • Sí, sí que fue interesante, además la sala estaba llena y la gente aportaba preguntas y comentarios… por ejemplo y como anécdota, un asistente indicó que el hecho de grabar la ponencia en vídeo exigía que los asistentes diésemos nuestro consentimiento para salir en esa grabación.

      Luis Molina

      22 febrero 2010 at 17:57

  2. […] quereis saber más, podeis pasaros por el Blog de Luis Molina, quien ha realizado un muy buen resumen, ¡gracias Luis!. Os dejamos las fotos del evento y la […]

  3. Estuvo interesante la ponencia, pero vi un poco de confusión en el tema de la disociación de datos… y en tu comentario creo que también, en mi humilde opinión.

    Lo que comentas del user_id no es otra cosa que normalización de datos en una base de datos. Si ‘alguien’ tiene acceso a tu base de datos, y a las tablas donde haya datos de usuario, te aseguro que sabiendo el user_id del usuario es capaz de enlazar con la tabla correspondiente y averiguar qué usuario es.

    El proceso de disociación se utiliza en la LOPD en el contexto de la cesión de datos, y se dice que no hará falta el consentimiento explícito del interesado/afectado si hay un proceso previo de disociación. Es decir, tu histórico de ventas lo exportas quitándole ese user_id (y cualquier dato que pueda vincular con una persona identificada o identificable) para hacer un estudio de marketing, y como no va el user_id que vincule con nadie, puedes ceder los datos sin necesitar autorización expresa.

    Estaba en la ‘última fila’ e intervine varias veces, por si me ubicas😉

    Saludos.

    Maverick

    26 febrero 2010 at 13:54

    • Hola Maverick, sí te ubico y te agradezco tu aportación, tanto aquí como en la ponencia. Creo que muchos de nosotros nos enteramos bien del concepto de disociación porque sabíamos cómo implementarlo y cómo evitar enlazar un user_id entre tablas de la base de datos, eso sí, tampoco entramos en detalles porque ya sabes que depende de la implementación y de qué datos se necesite ceder.
      Creo que tu explicación aclara la cuestión🙂

      Luis Molina

      26 febrero 2010 at 16:09

  4. […] notas sobre LSSI y LOPD extraídas de otra jornada sobre el tema. […]


Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s