Nivel seguridad ficheros de trabajadores


Me preguntan muchas veces en empresas donde acudo a asesorar o adaptar a la normativa de protección de datos de carácter personal, qué cual es el nivel de seguridad que les corresponde a los ficheros de datos relativos a los trabajadores o plantilla de la entidad.

Como han leído previamente en el Reglamento de desarrollo de la LOPD que datos como los relativos a salud o afiliación sindical, se considerarían de nivel alto, con buen criterio piensan que el fichero que se notifique a la Agencia Española de Protección de Datos, también debería ser de nivel alto.

Pues la respuesta correcta, salvo algún caso excepcional, es que no, no son de nivel alto: los ficheros de datos de trabajadores se consideran de nivel básico.

Veamos por qué.

Antes de nada, debéis saber que la normativa sobre protección de datos de carácter personal establece que hay tres niveles de seguridad para estos datos, que consisten en medidas de seguridad más o menos “intensas” en función de que estemos en el nivel básico, medio o alto, que son los tres que fija el reglamento de desarrollo de la LOPD.

El artículo 81 del referido Reglamento (aprobado por Real Decreto nº 1720/2007, de 21 de diciembre) explica a qué tipo de datos se le aplica cada nivel.

Entre los de nivel alto están:

Los que se refieran a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual.

Es precisamente en esa norma en la que se basan muchos para entender que los datos de los trabajadores deberían ser de nivel alto, ya que es habitual que se tengan en la empresa datos de afiliación sindical del trabajador, grado de minusvalía o un simple parte médico de baja.

Pero hay que seguir leyendo el artículo 81 para encontrar que sus párrafos 5 y 6 hacen una serie de excepciones:

5. En caso de ficheros o tratamientos de datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual bastará la implantación de las medidas de seguridad de nivel básico cuando:

a) Los datos se utilicen con la única finalidad de realizar una transferencia dineraria a las entidades de las que los afectados sean asociados o miembros.

b)Se trate de ficheros o tratamientos en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad. 

6. También podrán implantarse las medidas de seguridad de nivel básico en los ficheros o tratamientos que contengan datos relativos a la salud, referentes exclusivamente al grado de discapacidad o la simple declaración de la condición de discapacidad o invalidez del afectado, con motivo del cumplimiento de deberes públicos.

Además, hay un informe de la Agencia Española de Protección de Datos, que puedes leer en su web aquí:

http://www.agpd.es/portalwebAGPD/canaldocumentacion/informes_juridicos/medidas_seguridad/common/pdfs/2010-0008_Fichero-de-empleados.-Medidas-de-seguridad-nivel-b-aa-sico-o-medio.pdf

En él, como idea general se establece que:

En el supuesto consultado, el fichero de empleados contiene un conjunto de datos de carácter personal que parecen datos vinculados al desenvolvimiento de la relación laboral con el empleador, de forma que si, como es el caso, contiene únicamente el nombre, apellidos, D.N.I, dirección, firma, datos bancarios, fecha de nacimiento, edad, estado civil, nacionalidad, así como el número de afiliación a la seguridad social, se considerará suficiente la implantación del nivel de seguridad básico, siempre que no contenga datos especialmente protegidos- datos de ideología, religión, creencias, origen racial, salud o vida sexual-, así como los recabados para fines policiales sin consentimiento de los titulares o que contengan datos referidos a actos derivados de la violencia de género.

 

Sobre los datos de minusvalía, continúa diciendo el Informe que si son los supuestos en que aparecen como porcentaje en las nóminas para calcular el nivel de retención aplicable, se aplica el nivel básico.

El informe termina hablando de los datos curriculares, que podrían considerarse de nivel medio, ya que permiten crear perfiles de las personas. La Agencia responde esto:

La consulta no aporta información acerca de los datos contenidos en los mencionados ficheros. No obstante, dada su propia denominación, cabe considerar que en principio los mismos contendrían únicamente los datos necesarios para el mantenimiento de una relación laboral con la consultante, por lo que, en principio, podría entenderse que los mismos no se encuentran comprendidos en la previsión contenida en el artículo 81.2 f) del Reglamento.

 

No obstante, si los datos curriculares que se incorporan al fichero contienen información muy detallada sobre el sujeto, por ejemplo, sus aficiones o un perfil de estudios muy concreto, el nivel de medidas de seguridad a implementar sería el medio.

 

No sé si esta entrada te habrá servido para aclarar tus dudas o para aumentarlas. Si te encuentras en el segundo supuesto, no te preocupes: en materia de protección de datos eso es lo normal…

 

 

 

Niveles de seguridad-LOPD


DIEZ GRANDES ÉXITOS CINEMALOPDGRÁFICOS

EL MEDIO, EL ALTO Y EL BÁSICO:

 

Un gran éxito sin duda, del llamado Espagueti Western.

El Medio, el Alto y el Básico son tres ficheros de datos, enfrentados en busca de un tesoro oculto en las dependencias de la Agencia Española de Protección de Datos.

El Medio es el típico fichero de curriculums dentro de una empresa de selección de personal.

El Alto es un fichero despiadado lleno de informes médicos de un doctor estresado de Villajofainas.

Y el Básico es un fichero cualquiera, de ínfima categoría, con algún nombre, apellido y número de teléfono.

Los tres forajidos se batirán en duelo hasta la puesta de sol y más allá.

– ¿Sabes que tu cara se parece a la de un fichero de datos personales no inscrito que vale una multa de 2.000 euros? – preguntó el Alto al Básico.

– Sí, pero tú no te parece al que la va a cobrar: eso es cosa de la AEPD –respondió sobrado el Básico.

– Perdonad que me meta en vuestra conversación –agregó el Medio, que hasta ese momento los observaba en silencio-: pero es que el mundo se divide en dos categorías: los que tiene el fichero cargado y van a la AEPD, y los que no tienen datos y van a la calle. Tú, cavas.

– ¿Cavar? –preguntaron al unísono el Alto y el Básico.

El Medio sonrió enigmáticamente por toda respuesta. Sabía que aquellos dos no estaban capacitados para entender.

– Y pensar que aún ni siquiera tenéis copia de seguridad… -dijo al fin.

FIN.

 

Epílogo:

El fichero que nace sabiendo, no tiene rival.

No cabe duda de quién fue de los tres el que encontró el tesoro.

Pero lo importante de esta apasionante historia que os he relatado hoy, es que el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Persona, aprobado por RD 1720/2007, de 21 de diciembre, hace una clasificación de niveles de seguridad aplicable a los datos, en función de la mayor o menor sensibilidad de esos datos.

De cara a llevar a cabo una adaptación a la normativa de protección de datos, es importante que tengas claro qué nivel, dentro de esa clasificación, le corresponde al tipo de información que recoges y tratas de tus clientes, pues de ello dependerá que tengas que implantar en tu organización un tipo de medidas de seguridad u otro.

El artículo 80 del mencionado RLOPD establece que hay tres niveles de seguridad para las medidas que se aplicarán a los ficheros: básico, medio y alto.

Las medidas de seguridad tienen carácter acumulativo. De este modo, siempre tendrás que aplicar las medidas de nivel básico. Las medidas de nivel medio incluyen las propias de ese nivel más las medidas de nivel básico; y las medidas de nivel alto, incluyen las tres: medidas de nivel básico, medio y alto.

¿Cuándo se entiende que tengo que aplicar las medidas de nivel medio? Se aplicarán en los supuestos del artículo 81.2 RLOPD. Es decir, cuando uses datos de alguno o varios de estos tipos:

a) Los relativos a la comisión de infracciones administrativas o penales.

b) Aquellos cuyo funcionamiento se rija por el artículo 29 de la Ley Orgánica 15/1999, de 13 de diciembre.

c) Aquellos de los que sean responsables Administraciones tributarias y se relacionen con el ejercicio de sus potestades tributarias.

d) Aquéllos de los que sean responsables las entidades financieras para finalidades relacionadas con la prestación de servicios financieros.

e) Aquéllos de los que sean responsables las Entidades Gestoras y Servicios Comunes de la Seguridad Social y se relacionen con el ejercicio de sus competencias. De igual modo, aquellos de los que sean responsables las mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social.

f) Aquéllos que contengan un conjunto de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos.

¿Y las medidas de nivel alto? ¿En qué supuestos proceden?

En los del artículo 81.3 RLOPD, y por tanto en ficheros de datos de este tipo:

a) Los que se refieran a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual.

b) Los que contengan o se refieran a datos recabados para fines policiales sin consentimiento de las personas afectadas.

c) Aquéllos que contengan datos derivados de actos de violencia de género.

Las medidas de seguridad que tienes que poner en marcha en tu negocio para cumplir la LOPD se detallan en los artículo 89 y ss del RLOPD. Pueden ir (dependiente del nivel básico, medio o alto), desde tener contraseñas en los PC y hacer copias de seguridad periódicamente, hasta nombrar responsable de seguridad, hacer auditorias bienales, o guardar la copia de seguridad en lugar distinto a aquel donde se encuentran los soportes que contienen los datos.

En esta materia es recomendable que te dejes informar por un asesor, porque la norma puede resulta complicada para quien no está habituado a ella.