Nivel seguridad ficheros de trabajadores


Me preguntan muchas veces en empresas donde acudo a asesorar o adaptar a la normativa de protección de datos de carácter personal, qué cual es el nivel de seguridad que les corresponde a los ficheros de datos relativos a los trabajadores o plantilla de la entidad.

Como han leído previamente en el Reglamento de desarrollo de la LOPD que datos como los relativos a salud o afiliación sindical, se considerarían de nivel alto, con buen criterio piensan que el fichero que se notifique a la Agencia Española de Protección de Datos, también debería ser de nivel alto.

Pues la respuesta correcta, salvo algún caso excepcional, es que no, no son de nivel alto: los ficheros de datos de trabajadores se consideran de nivel básico.

Veamos por qué.

Antes de nada, debéis saber que la normativa sobre protección de datos de carácter personal establece que hay tres niveles de seguridad para estos datos, que consisten en medidas de seguridad más o menos “intensas” en función de que estemos en el nivel básico, medio o alto, que son los tres que fija el reglamento de desarrollo de la LOPD.

El artículo 81 del referido Reglamento (aprobado por Real Decreto nº 1720/2007, de 21 de diciembre) explica a qué tipo de datos se le aplica cada nivel.

Entre los de nivel alto están:

Los que se refieran a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual.

Es precisamente en esa norma en la que se basan muchos para entender que los datos de los trabajadores deberían ser de nivel alto, ya que es habitual que se tengan en la empresa datos de afiliación sindical del trabajador, grado de minusvalía o un simple parte médico de baja.

Pero hay que seguir leyendo el artículo 81 para encontrar que sus párrafos 5 y 6 hacen una serie de excepciones:

5. En caso de ficheros o tratamientos de datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual bastará la implantación de las medidas de seguridad de nivel básico cuando:

a) Los datos se utilicen con la única finalidad de realizar una transferencia dineraria a las entidades de las que los afectados sean asociados o miembros.

b)Se trate de ficheros o tratamientos en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad. 

6. También podrán implantarse las medidas de seguridad de nivel básico en los ficheros o tratamientos que contengan datos relativos a la salud, referentes exclusivamente al grado de discapacidad o la simple declaración de la condición de discapacidad o invalidez del afectado, con motivo del cumplimiento de deberes públicos.

Además, hay un informe de la Agencia Española de Protección de Datos, que puedes leer en su web aquí:

http://www.agpd.es/portalwebAGPD/canaldocumentacion/informes_juridicos/medidas_seguridad/common/pdfs/2010-0008_Fichero-de-empleados.-Medidas-de-seguridad-nivel-b-aa-sico-o-medio.pdf

En él, como idea general se establece que:

En el supuesto consultado, el fichero de empleados contiene un conjunto de datos de carácter personal que parecen datos vinculados al desenvolvimiento de la relación laboral con el empleador, de forma que si, como es el caso, contiene únicamente el nombre, apellidos, D.N.I, dirección, firma, datos bancarios, fecha de nacimiento, edad, estado civil, nacionalidad, así como el número de afiliación a la seguridad social, se considerará suficiente la implantación del nivel de seguridad básico, siempre que no contenga datos especialmente protegidos- datos de ideología, religión, creencias, origen racial, salud o vida sexual-, así como los recabados para fines policiales sin consentimiento de los titulares o que contengan datos referidos a actos derivados de la violencia de género.

 

Sobre los datos de minusvalía, continúa diciendo el Informe que si son los supuestos en que aparecen como porcentaje en las nóminas para calcular el nivel de retención aplicable, se aplica el nivel básico.

El informe termina hablando de los datos curriculares, que podrían considerarse de nivel medio, ya que permiten crear perfiles de las personas. La Agencia responde esto:

La consulta no aporta información acerca de los datos contenidos en los mencionados ficheros. No obstante, dada su propia denominación, cabe considerar que en principio los mismos contendrían únicamente los datos necesarios para el mantenimiento de una relación laboral con la consultante, por lo que, en principio, podría entenderse que los mismos no se encuentran comprendidos en la previsión contenida en el artículo 81.2 f) del Reglamento.

 

No obstante, si los datos curriculares que se incorporan al fichero contienen información muy detallada sobre el sujeto, por ejemplo, sus aficiones o un perfil de estudios muy concreto, el nivel de medidas de seguridad a implementar sería el medio.

 

No sé si esta entrada te habrá servido para aclarar tus dudas o para aumentarlas. Si te encuentras en el segundo supuesto, no te preocupes: en materia de protección de datos eso es lo normal…

 

 

 

Documento Seguridad-LOPD

DIEZ ERRORES MUY HABITUALES EN MATERIA DE LOPD y LSSICE.

SEXTO ERROR:

El error de hoy se llama DOCUMENTO DE SEGURIDAD.

– “¿Documento de qué?”

Repito: DOCUMENTO DE SEGURIDAD.

Para ser exactos, el error es no tenerlo elaborado.

Si bien a las empresas y profesionales que visito para explicarles la normativa de protección de datos, les suena de algo que existe esa Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), y que también tiene algo que ver con ellos, sin embargo no les dice lo más mínimo el concepto de “documento de seguridad”. Me preguntan extrañados que eso qué es y de qué trata ese documento. 

Si tuvieras la desgracia de recibir en tu negocio la visita de un inspector de la Agencia Española de Protección de Datos (o de la Agencia de tu comunidad, donde existen), una de las cosas que puede pedirte es esa: tu documento de seguridad.

Al igual que un inspector de trabajo te puede pedir documentos de cotización, nóminas y contratos de tus empleados, un Inspector de Protección de Datos te puede pedir el documento de seguridad, entre otras cosas.

La esencia de ese documento, tenemos que buscarla en el artículo 9 de la LOPD, que enuncia el conocido como principio de seguridad de los datos. El responsable de los datos viene obligado a adoptar medidas técnicas y organizativas eficaces para garantizar la seguridad de los datos, evitando su pérdida, alteración o acceso no autorizado.

Al documento de seguridad se refiere ya el artículo 88 del Real Decreto 1720/2007, de 21 de diciembre, por el que aprueba el Reglamento de desarrollo de la LOPD.

Todos los que estén bajo el ámbito de aplicación de la LOPD, tienen que contar con un documento de seguridad, en el que se recogerán las medidas de índole técnica y organizativa acordes a la normativa de seguridad vigente que será de obligado cumplimiento para el personal con acceso a los sistemas de información.

Su contenido mínimo serán en todos los supuestos el siguiente (párrafo 3 del artículo 88 citado):

a) Ámbito de aplicación del documento con especificación detallada de los recursos protegidos.

b) Medidas, normas, procedimientos de actuación, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en este reglamento.

c) Funciones y obligaciones del personal en relación con el tratamiento de los datos de carácter personal incluidos en los ficheros.

d) Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan.

e) Procedimiento de notificación, gestión y respuesta ante las incidencias.

f) Los procedimientos de realización de copias de respaldo y de recuperación de los datos en los ficheros o tratamientos automatizados.

g) Las medidas que sea necesario adoptar para el transporte de soportes y documentos, así como para la destrucción de los documentos y soportes, o en su caso, la reutilización de estos últimos.

El documento de seguridad es un documento vivo, que tiene que ser revisado y actualizado en la medida en que se produzcan cambios relevantes en los sistemas de información, organización, contenidos, etc…

Además, se trata de un documento interno, que no tiene que ser notificado a la Agencia de Protección de Datos, pero sí habrá de estar a disposición de la misma si en una inspección así se solicita.

¿Y existe algún modelo de documento de seguridad?, te estarás preguntando.

Pues sí, existe un modelo, que es una guía más que un modelo. Es decir, que no se ha publicado un modelo oficial, sino unas instrucciones sobre cómo hacerlo y una estructura de documento.

Lo puedes consultar en la web de la Agencia Española de Protección de Datos, en este link:

https://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/Guias/modelo_doc_seguridad.pdf

Copias de seguridad-LOPD

DIEZ ERRORES MUY HABITUALES EN MATERIA DE LOPD y LSSICE.

QUINTO ERROR:

En esta ocasión vamos a ver el tema de las copias de seguridad, copias de respaldo y recuperación, o backups.

Aunque a muchos les resulte extraño, hoy día sigue habiendo un número importante de empresarios y profesionales que no han tomado conciencia de la importancia de realizar copias de seguridad de la información existente en sus equipos.

Si bien voy a tratar esta obligación desde el punto de vista de la normativa de protección de datos, probablemente en tus ordenadores haya más cosas aparte de los datos de tus clientes, trabajadores o similares, que no te gustaría perder y que de perderse, te acarrearían bastantes complicaciones.

Con esto se pretende poner de manifiesto, que la realización de copias de seguridad siempre va a ser una medida muy conveniente y que en muchas ocasiones puede asegurar la continuidad de tu negocio y que le prestes a tu clientela un servicio óptimo.

Centrándonos ya en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), encontramos que su artículo 9 se refiere al principio de SEGURIDAD DE LOS DATOS. Su apartado 1º indica que:

El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.

Una de esas medidas de seguridad, que sirven para evitar alteración, pérdidas y accesos no autorizados en relación con los datos personales, es precisamente la realización de copias de seguridad.

Esta obligación se detalla en el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprobó el Reglamento de desarrollo de la LOPD, en concreto en sus artículos 94 y 102.

La norma general es que se harán copias de seguridad una vez por semana –al menos-, y se conservará dicha copia, en sitio distinto a aquel donde se encuentren los soportes que contienen los datos, en caso de datos de nivel alto.

Pese a la claridad de  estos preceptos, con frecuencia, mis clientes me discuten la pertinencia de esta obligación legal de hacer copias de seguridad, alegando que “a la Ley qué más le da si yo hago o no copias de seguridad, pues ese es mi problema, y si pierdo los datos me fastidio, pero es cosa mía”.

Estos detractores de la norma se equivocan radicalmente: un abogado que pierde datos informáticos, como por ejemplo, demandas presentadas por vía electrónica, documentos firmados digitalmente, o un médico que pierde de sus ordenadores informes médicos que ni siquiera habían sido impresos en papel, pueden provocar importantes perjuicios a sus clientes o pacientes. Creo que cualquier persona es capaz de entenderlo en estos supuestos.

A la Ley sí le importa, al legislador sí le importa, y le debe importar que tú pierdas los datos de carácter personal de tus ordenadores. ¿Qué sucedería, por poner otro ejemplo, si las grandes empresas que prestan servicios en internet y que recogen y tratan todos los datos en sus bases de datos informatizadas, tuvieran una avería o incidente y perdieran en unos segundos todos nuestros datos? Tu proveedor de internet, tu proveedor de telefonía móvil, tu empresa de reserva de hoteles online… No podrían seguir prestándote servicios si perdieran definitivamente tus datos.

Es una cuestión más importante de lo que piensas y la Ley no hace excepciones: si estás bajo el ámbito de aplicación de la LOPD, siempre hay que hacer copias de seguridad.