Las medidas de seguridad

AutorFrancisco de Quinto Zumárraga
Cargo del AutorPiqué Abogados Asociados

6.1. NOCIONES GENERALES SOBRE EL DOCUMENTO DE SEGURIDAD

Se trata de un texto configurado jurídicamente a modo de reglamento en donde se regulan los sistemas y los medios de seguridad empleados por el responsable del fichero y de los datos con el fin de garantizar los derechos de los afectados de acuerdo con las disposiciones legales nacionales y comunitarias al uso.

El documento de seguridad es un reglamento interno de control que obliga y rige para todos aquellos –personas físicas o jurídicas– que tengan acceso a las personas, a los locales, máquinas, programas, instalaciones o mobiliario en donde se traten o puedan tratarse datos de carácter personal, entendidos como cualquier tipo de información que afecte directa o indirectamente a personas físicas identificadas o identificables.

Está compuesto por dos elementos: uno estático –el Reglamento de medidas de seguridad– y otro dinámico –los registros perimetrales de uso, administración y autocontrol–.

6.2. REQUISITOS

6.2.1. Establecimiento del nivel de seguridad de los datos

Se establece en aplicación de lo dispuesto en los artículos 3 y 4 del RD 994/1999, de 11 de junio, que disponen textualmente:

Artículo 3. Niveles de seguridad.

1. Las medidas de seguridad exigibles se clasifican en tres niveles: básico, medio y alto.

2. Dichos niveles se establecen atendiendo a la naturaleza de la información tratada, en relación con la mayor o menor necesidad de garantizar la confidencialidad y la integridad de la información.

Artículo 4. Aplicación de los niveles de seguridad.

1. Todos los ficheros que contengan datos de carácter personal deberán adoptar las medidas de seguridad calificadas como de nivel básico.

2. Los ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros y aquellos ficheros cuyo funcionamiento se rija por el artículo 28 de la Ley Orgánica 5/1992, deberán reunir, además de las medidas de nivel básico, las calificadas como de nivel medio.

3. Los ficheros que contengan datos de ideología, religión, creencias, origen racial, salud o vida sexual así como los que contengan datos recabados para fines policiales sin consentimiento de las personas afectadas deberán reunir, además de las medidas de nivel básico y medio, las calificadas de nivel alto.

4. Cuando los ficheros contengan un conjunto de datos de carácter personal suficientes que permitan obtener una evaluación de la personalidad del individuo deberán garantizar las medidas de nivel medio establecidas en los artículos 17, 18, 19 y 20.

5. Cada uno de los niveles descritos anteriormente tienen la condición de mínimos exigibles, sin perjuicio de las disposiciones legales o reglamentarias específicas vigentes.

La aplicación de los niveles ha llevado a confusión a algunos profesionales del derecho y de la auditoria.

Algunos han interpretado, a nuestro criterio de forma errónea, que los niveles de seguridad había que implantarlos con fundamento en la longitud y calidad de los datos que constan en los ficheros informatizados. Es evidente que en los ficheros de las empresas constan los datos básicos de las personas que intervienen en las operaciones, pero la información realmente relevante se encuentra en soportes que, en la mayor parte de las ocasiones son independientes de los ficheros informatizados. El ejemplo de los hospitales y empresas de salud es claro: en los ficheros informatizados de pacientes sólo consta el nombre, los apellidos, el DNI, dirección, teléfonos y n.º de cuenta corriente. Según esa interpretación, esas empresas habrían de tener las medidas de seguridad de nivel básico; sin embargo, poseen datos de salud (apdo. 3 del art. 4) en soportes distintos de los ficheros informatizados, como es el caso de los historiales clínicos compuestos por radiografías y anotaciones del profesional sanitario.

Por tanto, la clave del error radica en la concepción del objeto y del ámbito de aplicación de la norma. Si bien en la anterior legislación (LORTAD), el ámbito quedaba reducido al tratamiento informatizado de datos de carácter personal y la norma era aplicable a los ficheros, en la presente el ámbito es universal: «Será de aplicación a los datos de carácter personal registrados en soporte físico que los haga susceptibles de tratamiento y a toda modalidad de uso posterior de estos datos por los sectores público y privado» (art. 2.1 LOPD), y su objeto, claramente distinto: «La presente Ley Orgánica tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar» (art. 1 LOPD).

En su consecuencia, para establecer el nivel de seguridad aplicable a los datos que son tratados por las instituciones –tanto públicas, como privadas– habrá que tener en cuenta no sólo los ficheros informatizados y manuales de los que se dispone, sino cualquier tipo de información que exista en cualquier tipo de soporte que sea susceptible de tratamiento actual o posterior.

Acerca de los soportes que contengan información, se plantean varios interrogantes: ¿Es necesario que los soportes que contengan información sobre personas físicas estén radicados en los mismos espacios físicos en donde radican los ficheros declarados y regidos por el responsable figurante de la recogida y tratamiento? No estando en los mismos locales, ¿quién responde del tratamiento de la información? ¿Es aplicable lo dispuesto en el artículo 43 de la LOPD a los trabajadores de una empresa que trate los datos por cuenta del responsable del fichero?

Tal y como ha quedado establecido, el objeto y el ámbito del tratamiento es universal y afecta a «los centros de tratamiento, locales, equipos, sistemas, programas y las personas que intervengan en el tratamiento de los datos de carácter personal» (art. 1, RD 994/1999, de 11 de junio), por lo tanto, afecta a todos, tanto a personas como a sistemas con independencia del espacio físico que ocupen o si las personas pertenecen a otra entidad distinta a la del responsable. Como principio general, queda establecido que responde quien trate los datos, sea dentro o fuera de la institución responsable del «fichero» o «base de datos».

6.2.2. Procedimiento para implantar los niveles de seguridad de los datos tratados en una institución

Para llegar a definir e implantar el nivel aplicable, es necesario contar con los siguientes datos:

  1. Localización de los soportes.

  2. Análisis de los soportes. Estudio del objeto del tratamiento de cada uno de los soportes.

  3. Análisis de la longitud y calidad de los datos contenidos en los soportes.

  4. Calificación y clasificación de los tipos de información sobre personas físicas contenidas en los soportes analizados.

  5. Establecimiento de especialidades: datos especialmente protegidos, ficheros «Robinson» e información condicionada.

  6. Personal afecto. Estudio de las personas implicadas en el tratamiento.

    En este estudio, se dejará constancia de las formas de acceso, longitud de las autorizaciones en las aplicaciones y los responsables. Asimismo, se dejará constancia de las instituciones a las que pertenece el personal con accesos.

    De acuerdo con los soportes analizados, obtendremos como resultado que habrían de regularse diferentes niveles, según el tipo de soporte.

    Hay quien dice que para cada fichero hay que aplicar un sistema de seguridad de acuerdo con lo dispuesto en el RD 994/1999, de 11 de junio. Es nuestro criterio que una institución tiene la obligación de garantizar los derechos de los afectados y la forma de hacerlo puede sujetarse a los mínimos establecidos en la Ley, sin que esté prevista forma alguna en concreto. Por lo tanto, cada institución aplicará las medidas de seguridad a sus ficheros o soportes de forma que se respeten los niveles de seguridad y se garanticen los mínimos exigibles utilizando las formas y estructuras que tenga por conveniente.

    6.2.3. Establecimiento, concreción e implantación de las medidas a aplicar

    Como es bien sabido, las medidas recomendadas por el RD 994 son mínimos imprescindibles de aplicación obligatoria a tenor de lo dispuesto en el art. 9 de la LOPD. En este caso, el Reglamento propone los mínimos de aplicación, pero las instituciones y responsables han de implantar sistemas eficaces que garanticen los derechos de los afectados de forma, cuanto menos, práctica. Por ello, es necesario seguir un procedimiento de cara a implantar las medidas sin que ello signifique un trauma para la empresa.

    Se trata de que la institución o empresa realice su objeto, continúe con su organigrama funcional, con su jerarquía y con sus rutinas de producción sin que la implantación de las medidas de seguridad modifiquen nada de ello, o, al menos, lo afecten en la menor medida posible. No se trata de poner al día la empresa; se trata de que se implanten sistemas que garanticen los derechos de los afectados en el tratamiento de la información.

    6.3. METODOS PARA DISEÑAR Y REDACTAR EL DOCUMENTO DE SEGURIDAD

    6.3.1. Método deductivo

    Este procedimiento consiste en realizar el documento de seguridad partiendo de la realidad organizativa de la institución y, utilizando sus propios medios disponibles (personales y físicos), atribuirles las funciones, procedimientos y objeto prescritos por el RD 994. Las fases del procedimiento a seguir pasan, necesariamente, por los siguientes procesos: la recogida de datos, la verificación, la redacción del informe de actuación, el listado de medidas correctoras, la puesta en común, la redacción del borrador del documento y la redacción definitiva.

    6.3.2. El método inductivo

    Consiste en realizar el documento de seguridad partiendo del esquema previsto para los mínimos exigidos por el RD 994/1999, de 11 de junio, e implantarlo en la empresa designando las funciones con independencia de la actividad que realice la institución. Se trata de un «estándar» aplicable por igual a...

Para continuar leyendo

Solicita tu prueba

VLEX utiliza cookies de inicio de sesión para aportarte una mejor experiencia de navegación. Si haces click en 'Aceptar' o continúas navegando por esta web consideramos que aceptas nuestra política de cookies. ACEPTAR