Principales normativas que afectan a la protección de la información en el Reino Unido

Basel II

El objetivo de esta normativa es alinear mejor las necesidades de capital de los bancos con los riesgos subyacentes. Los bancos están obligados a supervisar, mitigar y divulgar los riesgos.

http://www.bis.org/publ/bcbsca.htm

• Organizaciones de servicios financieros globales
• Los bancos internacionales con activos mayores de 250 millones de dólares, o exposición al riesgo cambiario de más de 10 mil millones de dólares.

Estándar de seguridad de datos para el sector de las tarjetas de pago (PCI)

El objetivo de este estándar es proporcionar un conjunto único de requisitos de seguridad para que lo utilicen todas las organizaciones de pagos. Los comerciantes y proveedores de servicios deben utilizar el estándar para evaluar su estado de seguridad.

https://www.pcisecuritystandards.org/

• Todos los miembros, comerciantes y proveedores de servicios que almacenan, procesan o transmiten datos de los titulares de tarjetas.

La guía Turnbull 1999

El objetivo de esta normativa es alentar a las empresas para que identifiquen y gestionen los riesgos internos y externos dentro de sus organizaciones.

http://www.frc.org.uk/corporate/internalcontrol.cfm

• Todas las empresas que cotizan en la Bolsa del Reino Unido.

La ley de sociedades 1985 y Normativas 2005

Estas normativas modifican la Ley de Sociedades de 1985 e introducen la necesidad de un Análisis Operativo y Financiero. Debe contener una exposición fiel de la actividad de la empresa y una descripción de los principales riesgos e incertidumbres a los que se enfrenta la empresa.

http://www.opsi.gov.uk/SI/si2005/20051011.htm

• Informe ampliado de dirección: grandes compañías
• Análisis Operativo y Financiero (OFR): Compañías cotizadas del Reino Unido.

La ley de sociedades 2004

Esta ley tiene como objetivo mejorar la fiabilidad de la información financiera y la independencia de los auditores. Se hace hincapié en el papel de FRRP (Grupo de análisis de información financiera) en la aplicación de una buena contabilidad y presentación de informes.

http://www.opsi.gov.uk/ACTS/acts2004/20040027.htm

• Todas las empresas auditadas en el Reino Unido, y sus directores.

Normativas sobre el blanqueo de dinero 2003 (MLR)

Estas normativas obligan a las empresas a designar un oficial de información sobre blanqueo de dinero (MLRO) para formar a los empleados sobre los principios y los requisitos pertinentes de la legislación, verificar la identidad de nuevos clientes, y mantener de forma segura los registros de identificación del cliente y las transacciones durante cinco años.

http://www.opsi.gov.uk/si/si2003/20033075.htm

• Instituciones de servicios financieros y profesionales de servicios financieros
• Industrias pertinentes, como las agencias inmobiliarias
• Entidades que se ocupan de bienes que implican transacciones de más de 15.000 €.

Ley de protección de datos del Reino Unido

Esta ley obliga jurídicamente a cualquier entidad de proceso de datos personales a establecer buenas prácticas en la gestión y el uso de los datos. Todas las entidades deben cumplir con los ocho principios aplicables de buenas prácticas en el manejo de información. Estos principios también requieren de las entidades que éstas eviten el procesamiento no autorizado o ilegal de los datos, y la pérdida accidental o daños a los datos.

http://www.opsi.gov.uk/ACTS/acts1998/19980029.htm

• Cualquier organización que recopila datos personales.

Ley de libertad de información 2000 – Reino Unido

Esta ley establece que la información de las autoridades públicas no se pueden alterar, borrar, dañar ni destruir. Las autoridades públicas deben asegurar la actividad de los sistemas que contiene la información.

http://www.opsi.gov.uk/ACTS/acts2000/20000036.htm

• Esta ley ofrece al público general acceso a la información que conservan las autoridades públicas.

Directiva sobre protección de datos de la UE (EU DPD)

Esta directiva cubre el tratamiento de datos personales, incluyendo los datos que se procesan de forma automática y manual en un sistema de archivos. Las organizaciones deben implementar las medidas adecuadas para proteger los datos personales frente al acceso no autorizado, destrucción accidental o ilícita, pérdida accidental, y alteración o divulgación no autorizados.

El acuerdo norteamericano Safe Harbor es un proceso simplificado para que las empresas de EE.UU. cumplan con esta Directiva.

http://www.cdt.org/privacy/eudirective/EU_Directive_.html

• La directiva se aplica a los países miembros y a otros países que hacen negocios con ellos.

Normativas sobre privacidad y comunicaciones electrónicas de la CE
(Directiva de la CE) – 2003

Esta directiva protege al público de las prácticas de marketing electrónico que ocasionan molestias, infracciones e invasión de la privacidad. Recoge una serie de medidas de seguridad para asegurar que los registros electrónicos de marketing están disponibles y son correctos. Los proveedores de servicios electrónicos están obligados a mantener la disponibilidad del sistema y de la red, así como implementar medidas de seguridad para proteger los datos de los clientes.

http://europa.eu.int/comm/justice_home/fsj/privacy/law/index_en.htm

• Organizaciones que ponen en práctica el marketing a través del correo electrónico
• Las compañías de telecomunicaciones y proveedores de Internet deben implementar prácticas y tecnologías adicionales de seguridad para salvaguardar sus servicios.

Anexo 11 UE, Sistemas informatizados

El objetivo principal de esta normativa es garantizar que "los registros se realicen con precisión y estén protegidos frente a pérdidas, daños o alteración no autorizada de modo que sea posible un seguimiento de auditoría claro y preciso en todo el proceso de fabricación".

http://www.labcompliance.com/documents/europe/h-213-eu-gmp-annex11.pdf

• Fabricantes de productos farmacéuticos que utilizan sistemas informatizados.