img

La ausencia de avisos legales o su presencia incorrecta, principal error legal en los sitios web de autónomos, emprendedores y empresas españolas de 5 o menos trabajadores. Pese a la proliferación de ciberataques y el alto coste económico soportado por las empresas víctimas de los mismos, sólo 2 de cada 10 pequeñas empresas cambian una vez al mes las contraseñas de acceso a sus equipos informáticos

Uno de cada dos autónomos, emprendedores y pequeñas empresas de 5 o menos empleados incumple la normativa vigente en sus páginas web en lo referido a Ley de Protección de Datos, Ley de Cookies o Ley de Servicios de la Sociedad de la Información y Comercio Electrónico.

El estudio desarrollado entre los meses de abril, mayo y junio de 2017 por la consultora especializada www.ClickDatos.es, pone de manifiesto que si bien 8 de cada 10 pequeñas empresas aprovechan las ventajas del mundo digital a través de sus sitios web, la mitad de ellas incumplen la normativa vigente al no mostrar los pertinentes avisos legales o hacerlo de manera inadecuada, bien por defectos en la redacción de los mismos o por no resultar fácilmente accesibles y comprensibles.

Aspecto que resulta de especial interés por la campaña de inspección genérica puesta en marcha por el Ministerio de Energía, Turismo y Agenda Digital sobre sitios web con domino .es llevada a cabo el mes de junio (ver nota del MINETAD).

Ciberataques, ordenadores y contraseñas

Contrasta el hecho de que 8 de cada 10 pequeñas empresas participantes en el estudio realizan copias de seguridad (el 70,1% de las cuales las guardan en las mismas instalaciones frente al 29,9% que lo hace fuera de ellas) pero únicamente 2 de cada 10 empresas modifican su contraseña una vez al mes, frente a las 3 empresas que cambian sus claves una vez al año, el 45% que no las modifica nunca y el 5% que ni siquiera utiliza contraseñas.

En las tareas de prevención de ciberataques, la contraseña segura es un importante elemento de defensa junto con el uso de antivirus, firewalls y la actualización de sistemas y aplicaciones, además del principal recurso preventivo: la formación de los trabajadores de la empresa. Se ha demostrado en los últimos ciberataques que el eslabón más débil de la cadena de defensa es el ser humano, por falta de conocimientos, experiencia o formación, aplicación de técnicas de ingeniera social o cualesquiera otros frentes susceptibles de riesgo.

Consultores especializados, garantía de tranquilidad

En todo lo relativo a seguridad de la información cabe destacar la importancia de contar con consultores especializados dado que el 74,7% de los profesionales y empresas participantes en el estudio llevado a cabo por www.ClickDatos.es había realizado previamente algún trámite en materia de protección de datos.

La proliferación de proveedores sin certificado en Seguridad de la Información, no especializados o sin experiencia suficiente, ha traído como consecuencia una merma en la calidad de la prestación del servicio agravada por la competencia desleal en forma incluso de fraude de ley mediante el encubrimiento de acciones de adecuación LOPD con formaciones bonificadas por la Fundación Tripartita, práctica severamente perseguida con fuertes sanciones económicas, sin perjuicio de otras graves consecuencias legales que pueden conllevar penas de prisión.

A la hora de contratar los servicios de un consultor en materia de protección de datos, conviene cerciorarse de que cuente con certificación oficial en Seguridad de la Información, disponga del aval de las principales instituciones y organismos del sector (Instituto Nacional de Ciber Seguridad –INCIBE–, Asociación Profesional Española de Privacidad o European Ciber Segurity Organitation –ECSO– a modo de ejemplo) y ofrezca garantías que protejan a usted y a su empresa de posibles errores, negligencias o mala praxis, como una póliza de responsabilidad civil, pues no olvidemos que el importe de la máxima sanción aplicable actualmente por la Agencia Española de Protección de Datos asciende a 600.000€ y se verá incrementado en breve con la plena aplicación de la normativa europea puesta en marcha en abril de 2016.

¿Quién debe cumplir con la Ley Orgánica de Protección de Datos?

Están obligadas al cumplimiento de la normativa vigente en materia de protección de datos todas las personas físicas o jurídicas que, fruto de su actividad profesional, gestionen y/o almacenen datos de carácter personal. Se consideran datos personales, entre otros: nombre, dirección, documento de identidad, teléfono de contacto, correo electrónico, datos de salud (alergias, enfermedades), de solvencia patrimonial, ideología, orientación sexual etcétera.

Según el tipo y naturaleza de la información manejada habrá de aplicarse un nivel de seguridad básico, medio o alto, cuyos protocolos, herramientas y disposiciones han de verse reflejadas en el Documento de Seguridad, herramienta básica de trabajo diario para el responsable del tratamiento de datos de la empresa, un documento que ha de redactarse de manera personalizada en función tanto del tipo de actividad del titular como del nivel de seguridad que aplique a la misma.

Metodología: análisis de 1.000 cuestionarios cumplimentados por los nuevos clientes de www.ClickDatos.es, consultora especializada en Ley Orgánica de Protección de Datos, entre los meses de abril, mayo y junio de 2017. Su elección ha sido aleatoria mediante sistema informático aplicando como único criterio de selección el número de trabajadores en la empresa (intervalo entre 1-5 trabajadores) con objeto de centrar el estudio en autónomos, emprendedores y pequeñas empresas. Tras dicha selección aleatoria se descartaron 10 formularios por defectos de forma -no dar respuesta a todas las preguntas planteadas-. La selección final asciende a 990 cuestionarios con 6 preguntas de respuesta cerrada, siendo 5 de ellas dicotómicas y 1 politómica. Se han trabajado dos campos de interés, relativos a LOPD y LSSI por un lado y a seguridad de la información por otro, con 3 preguntas asignadas a cada campo.

 

Cuestionario:

 

¿Ha realizado algún trámite en materia de Protección de Datos con anterioridad? Sí – 71,7% No – 28,3% ¿Tiene página web? Sí - 84,5% (836 empresas) No – 15,5% ¿Cumple con la LSSI, LOPD y Ley de Cookies (mostrando adecuadamente los respectivos avisos legales)? Sí – 37,5% No – 62,5% (522 empresas) ¿Realizan copias de seguridad de sus archivos, bases de datos, documentos etcétera? Sí – 77,1% No – 22,9% Las copias de seguridad realizadas ¿dónde se guardan? En las instalaciones – 70,1% Fuera de las instalaciones – 29,9% ¿Con qué frecuencia cambian las contraseñas de sus equipos informáticos? 1 vez al mes – 21,3% 1 vez al año – 29,7% No se cambian nunca – 44,6% No tengo contraseñas – 5,4%