Este 1 de julio de 2015 entra en vigor la Ley Orgánica 1/2015, de 30 de marzo, por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal, que puedes leer íntegramente aquí. Entre otros muchos cambios, esta polémica ley es de especial interés para cualquier empresa u organización con personalidad jurídica, para conocer su responsabilidad penal ante acciones punibles de empleados y representantes de la misma; así como para conocer las nuevas exigencias de conservación de documentación.
Esta revisión de la ley, que prevé fuertes penas, como veremos más adelante, incluye la posibilidad de que la empresa se vea sancionada al darse situaciones en las que cualquier trabajador pueda incumplir su cometido, al entender la jurisprudencia que los responsables de la empresa están omitiendo sus “deberes de supervisión, vigilancia y control de su actividad”. Y es que hoy más que nunca las empresas deben saber qué es la gestión segura de información.
En otras palabras, a partir de ahora se responsabiliza a las empresas y a las personas que actúen en nombre de estas del tratamiento ilegal de la información que se pueda realizar por cualquier individuo (trabajador asalariado, gerente, administradores, autorizados, etc.). Esta medida supone una manera de imponer al parque empresarial español la adopción y ejecución de “un modelo de organización y gestión que resulte adecuado para prevenir delitos de la naturaleza del que fue cometido o para reducir de forma significativa el riesgo de su comisión”.
Obviamente, la Ley también recoge cláusulas en las que se libera de esta responsabilidad si se demuestra que sí se han implementado medidas de seguridad de la información y gestión documental segura, pero se han saltado de forma premeditada, “eludiendo fraudulentamente los modelos de organización y de prevención” adoptados previamente.
A continuación reproducimos el contenido íntegro del artículo al que se hace referencia, recogiendo cómo la ley presupone que debe actuar cualquier organización con responsabilidad jurídica:
Por otra parte, aconsejamos a toda empresa u organismo que opere en España que revise esta reforma de la ley en los aspectos que conciernen a los periodos de prescripción. En algunos casos aumentan estos plazos de prescripción, por lo que también aumenta el tiempo que han de conservarse los documentos y bienes susceptibles de ser utilizados en litigios.
Para quien no domine el vocabulario y los tecnicismos legales, aquí van unos breves ejemplos de los cambios que introduce la revisión de la ley, y que especialmente atañe a empresas como Normadat, expertas desde hace más de dos décadas en la gestión segura de la información.
Ejemplos prácticos de aplicación de la nueva legislación
- Gestión peligrosa del wifi de la empresa: un fácil ejemplo es el acceso al wifi, por personas y por dispositivos conectados. Es un fallo de seguridad garrafal que cualquier persona que se encuentre en las instalaciones de la empresa (cliente, proveedor, mensajero, candidatos a una vacante…) pueda conectarse a internet a través de la red a la que están, a su vez, conectados dispositivos que contienen información sensible de la compañía o de terceros. Si cualquier persona accede a esta información y la utiliza en su propio beneficio o, más concretamente, de manera ilegal, la empresa con personalidad jurídica será en parte culpable por no tener una política de seguridad adoptada para su red wifi.
- Accesos personalizados al sistema remoto: hay ciertas carpetas que manejan determinados cargos o departamentos de las organizaciones que, por la calidad de la información, de los archivos que contienen, deben tener acceso limitado. Si cualquier empleado puede ver y usar esta información, la sanción vuelve a recaer también en la empresa.
- Instalación de programas: si cualquier individuo puede descargarse programas sin ser experto en informática, puede estar instalando algunos con funcionalidades que ponen en peligro los documentos y redes a los que el ordenador está conectado. Un ejemplo son los programas P2P.
- No tener instalado un filtrado de direcciones MAC: algo tan sencillo como un filtro en el servidor que identifica cada aparato que se conecta sirve para resolver y analizar accesos malintencionados o que pueden suponer una fuga de información.
Las sanciones por el incumplimiento de los casos que se estipulan en el texto legal pueden suponer una multa económica , como los 150.000 euros impuestos a una clínica ginecológica de Bilbao al filtrarse los datos de más de 11.000 clientes a través de un programa P2P que usaba uno de los empleados para compartir y descargar archivos; pero también sentencias judiciales como la disolución de la empresa, su suspensión o prohibición de realizar determinadas actividades y, también, la inhabilitación para obtener ayudas y subvenciones procedentes de la administración pública. Todas estas sanciones están relacionadas con el incumplimiento de la LOPD, una gran olvidada del mundo empresarial, y es que solo el 34 % de las empresas elaboran planes de concienciación y educación sobre seguridad de la información. Así que atención para que la reforma del código penal no acabe con tu empresa.
En conclusión, si antes del uno de julio tu empresa no encontraba motivos suficientes para adoptar un modelo de seguridad de la información en su actividad diaria (motivos como proteger la confidencialidad de los datos de los clientes o de los trabajadores y las bases de datos, o como asegurar la actividad futura de la empresa), ahora las sanciones que se pueden imponer contra los responsables y autorizados pueden hacer que las partidas presupuestarias incluyan la implantación de estas medidas de seguridad.
Artículos relacionados:
{ BreezingForms : contacto_norma,1 }
