teléfono 916 591 311 email normadat@normadat.es

Cómo afecta la reforma del código penal a tu gestión de la información y la documentación

Este 1 de julio de 2015 entra en vigor la Ley Orgánica 1/2015, de 30 de marzo, por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal, que puedes leer íntegramente aquí. Entre otros muchos cambios, esta polémica ley es de especial interés para cualquier empresa u organización con personalidad jurídica, para conocer su responsabilidad penal ante acciones punibles de empleados y representantes de la misma; así como para conocer las nuevas exigencias de conservación de documentación.


Esta revisión de la ley, que prevé fuertes penas, como veremos más adelante, incluye la posibilidad de que la empresa se vea sancionada al darse situaciones en las que cualquier trabajador pueda incumplir su cometido, al entender la jurisprudencia que los responsables de la empresa están omitiendo sus “deberes de supervisión, vigilancia y control de su actividad”. Y es que hoy más que nunca las empresas deben saber qué es la gestión segura de información.Robo de información en la empresa

En otras palabras, a partir de ahora se responsabiliza a las empresas y a las personas que actúen en nombre de estas del tratamiento ilegal de la información que se pueda realizar por cualquier individuo (trabajador asalariado, gerente, administradores, autorizados, etc.). Esta medida supone una manera de imponer al parque empresarial español la adopción y ejecución de “un modelo de organización y gestión que resulte adecuado para prevenir delitos de la naturaleza del que fue cometido o para reducir de forma significativa el riesgo de su comisión”.

Obviamente, la Ley también recoge cláusulas en las que se libera de esta responsabilidad si se demuestra que sí se han implementado medidas de seguridad de la información y gestión documental segura, pero se han saltado de forma premeditada, “eludiendo fraudulentamente los modelos de organización y de prevención” adoptados previamente.

A continuación reproducimos el contenido íntegro del artículo al que se hace referencia, recogiendo cómo la ley presupone que debe actuar cualquier organización con responsabilidad jurídica:

1.º Identificarán las actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos.
2.º Establecerán los protocolos o procedimientos que concreten el proceso de formación de la voluntad de la persona jurídica, de adopción de decisiones y de ejecución de las mismas con relación a aquéllos.
3.º Dispondrán de modelos de gestión de los recursos financieros adecuados para impedir la comisión de los delitos que deben ser prevenidos.
4.º Impondrán la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención.
5.º Establecerán un sistema disciplinario que sancione adecuadamente el incumplimiento de las medidas que establezca el modelo.
6.º Realizarán una verificación periódica del modelo y de su eventual modificación cuando se pongan de manifiesto infracciones relevantes de sus disposiciones, o cuando se produzcan cambios en la organización, en la estructura de control o en la actividad desarrollada que los hagan necesarios.»

Por otra parte, aconsejamos a toda empresa u organismo que opere en España que revise esta reforma de la ley en los aspectos que conciernen a los periodos de prescripción. En algunos casos aumentan estos plazos de prescripción, por lo que también aumenta el tiempo que han de conservarse los documentos y bienes susceptibles de ser utilizados en litigios.

Para quien no domine el vocabulario y los tecnicismos legales, aquí van unos breves ejemplos de los cambios que introduce la revisión de la ley, y que especialmente atañe a empresas como Normadat, expertas desde hace más de dos décadas en la gestión segura de la información.

Ejemplos prácticos de aplicación de la nueva legislación

-          Gestión peligrosa del wifi de la empresa: un fácil ejemplo es el acceso al wifi, por personas y por dispositivos conectados. Es un fallo de seguridad garrafal que cualquier persona que se encuentre en las instalaciones de la empresa (cliente, proveedor, mensajero, candidatos a una vacante…) pueda conectarse a internet a través de la red a la que están, a su vez, conectados dispositivos que contienen información sensible de la compañía o de terceros. Si cualquier persona accede a esta información y la utiliza en su propio beneficio o, más concretamente, de manera ilegal, la empresa con personalidad jurídica será en parte culpable por no tener una política de seguridad adoptada para su red wifi.

Angustia, preocupación... -          Accesos personalizados al sistema remoto: hay ciertas carpetas que manejan determinados cargos o departamentos de las organizaciones que, por la calidad de la información, de los archivos que contienen, deben tener acceso limitado. Si cualquier empleado puede ver y usar esta información, la sanción vuelve a recaer también en la empresa.

-          Instalación de programas: si cualquier individuo puede descargarse programas sin ser experto en informática, puede estar instalando algunos con funcionalidades que ponen en peligro los documentos y redes a los que el ordenador está conectado. Un ejemplo son los programas P2P.

-          No tener instalado un filtrado de direcciones MAC: algo tan sencillo como un filtro en el servidor que identifica cada aparato que se conecta sirve para resolver y analizar accesos malintencionados o que pueden suponer una fuga de información.

Las sanciones por el incumplimiento de los casos que se estipulan en el texto legal pueden suponer una multa económica , como los 150.000 euros impuestos a una clínica ginecológica de Bilbao al filtrarse los datos de más de 11.000 clientes a través de un programa P2P que usaba uno de los empleados para compartir y descargar archivos; pero también sentencias judiciales como la disolución de la empresa, su suspensión o prohibición de realizar determinadas actividades y, también, la inhabilitación para obtener ayudas y subvenciones procedentes de la administración pública. Todas estas sanciones están relacionadas con el incumplimiento de la LOPD, una gran olvidada del mundo empresarial, y es que solo el 34 % de las empresas elaboran planes de concienciación y educación sobre seguridad de la información. Así que atención para que la reforma del código penal no acabe con tu empresa.

En conclusión, si antes del uno de julio tu empresa no encontraba  motivos suficientes para adoptar un modelo de seguridad de la información en su actividad diaria (motivos como proteger la confidencialidad de los datos de los clientes o de los trabajadores y las bases de datos, o como asegurar la actividad futura de la empresa), ahora las sanciones que se pueden imponer contra los responsables y autorizados pueden hacer que las partidas presupuestarias incluyan la implantación de estas medidas de seguridad.


Artículos relacionados:

 

Comunicaciones Normadat

Sector
Área
Please wait

Artículos más leídos

Últimos Tweets

Especialidad Normadat

Digitalización de documentos, Custodia de backup, Backup online remoto, Custodia de archivos, Montaje de instalaciones de custodia, Organización e inventariado de documentación, Servicios a bibliotecas, Destrucción confidencial certificada, cumplimiento LOPD...

 

Formas de Contacto

Centro de Soporte
Chat ONLINE
Tel: +34 916 591 311
Email: normadat@normadat .es
Website: www.normadat.es

Canales Sociales

   

Certificaciones

Normadat certificada en ISO 9001 de Gestión de Calidad Normadat certificada en ISO 27001 de Gestión de la Seguridad de la Información
Normadat servicio certificado Destrucción Confidencial Normadat certificada en UNE-EN ISO 14001 GA-2014/0182

Subvenciones

Subvencionados por el programa de impulso a la contratación de jóvenes inscritos en el Fichero del Sistema Nacional de Garantía Juveníl, en el ámbito de la Comunidad de Madrid

Este sitio usa cookies propias y de terceros.

Si no cambias la configuración del navegador, aceptas su uso para tener una mejor experiencia de usuario. Saber más

OK

En Normadat utilizamos cookies propias y de terceros para un correcto funcionamiento del sitio y análisis de navegación para la optimización de la web. Si no cambias la configuración del navegador entendemos que aceptas nuestra Política de Cookies. Url de la política de cookies de normadat: Política de Cookies.