Niveles de seguridad-LOPD


DIEZ GRANDES ÉXITOS CINEMALOPDGRÁFICOS

EL MEDIO, EL ALTO Y EL BÁSICO:

 

Un gran éxito sin duda, del llamado Espagueti Western.

El Medio, el Alto y el Básico son tres ficheros de datos, enfrentados en busca de un tesoro oculto en las dependencias de la Agencia Española de Protección de Datos.

El Medio es el típico fichero de curriculums dentro de una empresa de selección de personal.

El Alto es un fichero despiadado lleno de informes médicos de un doctor estresado de Villajofainas.

Y el Básico es un fichero cualquiera, de ínfima categoría, con algún nombre, apellido y número de teléfono.

Los tres forajidos se batirán en duelo hasta la puesta de sol y más allá.

– ¿Sabes que tu cara se parece a la de un fichero de datos personales no inscrito que vale una multa de 2.000 euros? – preguntó el Alto al Básico.

– Sí, pero tú no te parece al que la va a cobrar: eso es cosa de la AEPD –respondió sobrado el Básico.

– Perdonad que me meta en vuestra conversación –agregó el Medio, que hasta ese momento los observaba en silencio-: pero es que el mundo se divide en dos categorías: los que tiene el fichero cargado y van a la AEPD, y los que no tienen datos y van a la calle. Tú, cavas.

– ¿Cavar? –preguntaron al unísono el Alto y el Básico.

El Medio sonrió enigmáticamente por toda respuesta. Sabía que aquellos dos no estaban capacitados para entender.

– Y pensar que aún ni siquiera tenéis copia de seguridad… -dijo al fin.

FIN.

 

Epílogo:

El fichero que nace sabiendo, no tiene rival.

No cabe duda de quién fue de los tres el que encontró el tesoro.

Pero lo importante de esta apasionante historia que os he relatado hoy, es que el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Persona, aprobado por RD 1720/2007, de 21 de diciembre, hace una clasificación de niveles de seguridad aplicable a los datos, en función de la mayor o menor sensibilidad de esos datos.

De cara a llevar a cabo una adaptación a la normativa de protección de datos, es importante que tengas claro qué nivel, dentro de esa clasificación, le corresponde al tipo de información que recoges y tratas de tus clientes, pues de ello dependerá que tengas que implantar en tu organización un tipo de medidas de seguridad u otro.

El artículo 80 del mencionado RLOPD establece que hay tres niveles de seguridad para las medidas que se aplicarán a los ficheros: básico, medio y alto.

Las medidas de seguridad tienen carácter acumulativo. De este modo, siempre tendrás que aplicar las medidas de nivel básico. Las medidas de nivel medio incluyen las propias de ese nivel más las medidas de nivel básico; y las medidas de nivel alto, incluyen las tres: medidas de nivel básico, medio y alto.

¿Cuándo se entiende que tengo que aplicar las medidas de nivel medio? Se aplicarán en los supuestos del artículo 81.2 RLOPD. Es decir, cuando uses datos de alguno o varios de estos tipos:

a) Los relativos a la comisión de infracciones administrativas o penales.

b) Aquellos cuyo funcionamiento se rija por el artículo 29 de la Ley Orgánica 15/1999, de 13 de diciembre.

c) Aquellos de los que sean responsables Administraciones tributarias y se relacionen con el ejercicio de sus potestades tributarias.

d) Aquéllos de los que sean responsables las entidades financieras para finalidades relacionadas con la prestación de servicios financieros.

e) Aquéllos de los que sean responsables las Entidades Gestoras y Servicios Comunes de la Seguridad Social y se relacionen con el ejercicio de sus competencias. De igual modo, aquellos de los que sean responsables las mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social.

f) Aquéllos que contengan un conjunto de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos.

¿Y las medidas de nivel alto? ¿En qué supuestos proceden?

En los del artículo 81.3 RLOPD, y por tanto en ficheros de datos de este tipo:

a) Los que se refieran a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual.

b) Los que contengan o se refieran a datos recabados para fines policiales sin consentimiento de las personas afectadas.

c) Aquéllos que contengan datos derivados de actos de violencia de género.

Las medidas de seguridad que tienes que poner en marcha en tu negocio para cumplir la LOPD se detallan en los artículo 89 y ss del RLOPD. Pueden ir (dependiente del nivel básico, medio o alto), desde tener contraseñas en los PC y hacer copias de seguridad periódicamente, hasta nombrar responsable de seguridad, hacer auditorias bienales, o guardar la copia de seguridad en lugar distinto a aquel donde se encuentran los soportes que contienen los datos.

En esta materia es recomendable que te dejes informar por un asesor, porque la norma puede resulta complicada para quien no está habituado a ella.

Deja un comentario