Estudio sobre la seguridad de los datos de carácter personal en el ámbito de las Entidades Locales españolas

por

publicado el 2 febrero 2009

Categorías: Estudios e informes / INTECO / LOPD / Protección de Datos / Seguridad

La semana pasada coincidiendo con las celebraciones del Día Europeo de la Protección de Datos, INTECO, tal y como nos comunicaba Pablo Perez San José, publicó un Estudio sobre la seguridad de los datos de carácter personal en el ámbito de las Entidades Locales españolas. Del amplio estudio realizado por el INTECO, donde, tal y como recoge el propio estudio han participado más de 600 entidades locales y 25 expertos, juristas y  profesionales del ámbito local, e INTECO me quedo con algunas (mínimas) pinceladas, pero creo que reflejan claramente la situación de los pequeños municipios del Estado:

Por otro lado, el grado de conocimiento del recientemente aprobado RDLOPD (Real Decreto 1720/2007) es de un 28% en los ayuntamientos frente a un 14% en las PYME españolas. Analizando en detalle este aspecto es del 76% en los ayuntamientos de grandes municipios frente a un 48% en los medianos y un 20% en los pequeños. En las Diputaciones, Consells y Cabildos Insulares el porcentaje alcanza el 66,7%.

El control de accesos se constituye como la medida de seguridad más extendida e implantada dentro de las EELL, alcanzando a nivel global un 70,4% de los ayuntamientos y el 91,7% de las Diputaciones, Consells y Cabildos Insulares. En todo caso, cabe señalar que la complejidad de las medidas hace que su cumplimiento por las Entidades sea diferente en función del tamaño de las mismas, percibiéndose para el conjunto de las medidas, un mayor grado de implantación en los ayuntamientos de mayor tamaño frente al potencial de crecimiento futuro en los de menor tamaño.

La implantación y utilización generalizada de la firma digital y sus certificados de atributos como sistema de identificación y autenticación segura, es el medio idóneo para el control y verificación por el Responsable del Fichero de los accesos de los usuarios a los datos personales en las Entidades.

El estudio finaliza con una serie de recomendaciones y líneas de actuación prpuestas para una mejora de la seguridad de los datos de carácter personal en las entidades locales:

Concienciación y formación. La implantación efectiva de una cultura de protección de datos debería contar con programas estructurados de formación, particularizados y adaptados a las necesidades y peculiaridades de los empleados de las Entidades Locales, con una gran orientación práctica y con acciones continuadas de actualización.
Diagnóstico e información. La implementación de las disposiciones normativas en materia de protección de datos de las Entidades debería contar con estadísticas e indicadores sobre el grado de adaptación a la normativa, a fin de que las entidades y Administraciones dispongan de información actualizada para poder poner en marcha acciones complementarias que permitan a las EELL alcanzar los plazos establecidos por la normativa vigente.
Apoyo presupuestario. La insuficiencia financiera de las Entidades, que se puede ver agudizada por la pérdida de ingresos provenientes del desarrollo urbanístico, deberá apoyarse dando soporte a las necesidades derivadas de la implantación de nuevas medidas del RDLOPD, con ayudas y subvenciones directas de carácter finalista.
Normalización y certificación. La implantación y utilización generalizada de la firma digital y sus certificados de atributos como sistema de identificación y autenticación segura es el medio idóneo para el control y verificación por el responsable del fichero de los accesos de los usuarios a los datos personales en las Entidades.
Promoción e incentivación de los niveles de madurez y buenas prácticas. La implantación efectiva y acreditación de las mejores prácticas identificadas de seguridad de la información, como videncia interna y frente a terceros siguiendo los esquemas de certificación internacional como el ISO IEC 27001 y 27002, contribuirán a la implantación de controles de cumplimiento normativo, en general, y de protección de datos, en particular, así como a las auditorias y revisiones por la Dirección.