| Artículos | 01 JUL 2006

Medidas de seguridad impuestas por la LOPD

Tags: Histórico
Las medidas de seguridad necesarias para cumplir la LOPD
Gonzalo Alvarez.
Toda persona física o jurídica que cree o trate ficheros que contengan datos de carácter personal está obligada a cumplir las disposiciones de la Ley Orgánica de Protección de Datos de carácter personal (LOPD). Pero las obligaciones legales no se limitan al deber de legalizar todos los ficheros y legitimar todos los datos recogidos, sino también a protegerlos mediante una serie de medidas de carácter técnico y organizativo que garanticen su seguridad. Este artículo se centrará en esta parte más oscura de la ley, especialmente en la obligación de crear y poner en práctica una política de seguridad.

Desde la entrada en vigor de la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD) el 14 de enero de 2000, la protección de los datos personales es un derecho fundamental de la persona, comenzando los quebraderos de cabeza para muchas organizaciones, puesto que la LOPD establece numerosas obligaciones de sencillo cumplimiento cuando se sabe cómo proceder, pero que sin lugar a dudas exigen tiempo y recursos. Este artículo se centra en el deber de protección, basado en la implantación de una serie de medidas técnicas y organizativas, siendo la más importante la confección y aplicación de una sólida política de seguridad.

Legalización
La LOPD establece la obligación de inscribir y legalizar en el registro de la Agencia Española de Protección de Datos (www.agpd.es) todos los ficheros de datos de carácter personal, es decir, “cualquier información concerniente a personas físicas identificadas o identificables”. Ahora bien, la Ley no considera igualmente importantes todos los datos personales, sino que distingue entre “datos personales” y “datos personales especialmente protegidos”, que se refieren a ideología, religión o creencias, afiliación sindical, origen racial, salud y vida sexual, comisión de infracciones penales y administrativas.
¿Y qué es un fichero? Entiéndese por tal “todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso”. Téngase muy presente que esta definición no sólo comprende los ficheros informáticos susceptibles de tratamiento automatizado, sino también los ficheros en papel, sujetos a tratamiento manual, como por ejemplo las carpetas sobre historiales de pacientes en los archivadores de una consulta médica.
No resulta necesario inscribir todos y cada uno de los ficheros físicos, sino solamente los lógicos que los agrupan. El nivel de seguridad del fichero lógico final corresponderá al nivel más alto de los ficheros físicos que agrupa. Más adelante se verán las medidas de seguridad obligatorias para protegerlos.
Así pues, una vez localizados e inventariados, la notificación de estos ficheros debe efectuarse en el Registro General de Protección de Datos (RGPD), órgano de la Agencia Española de Protección de Datos al que corresponde velar por la publicidad de la existencia de los ficheros y tratamientos de datos de carácter personal, con miras a hacer posible el ejercicio de los derechos de información, acceso, rectificación y cancelación de datos. La inscripción es gratuita y debe realizarse previamente a su creación. Los modelos, disponibles en la página web de la Agencia, podrán cumplimentarse indistintamente en soporte papel, magnético o telemático.

Legitimación
La legalización de los ficheros, descrita en el apartado anterior, es previa a su creación. Cumplidas las primeras disposiciones de la Ley, las organizaciones deben cerciorarse de que la recogida y tratamiento de los datos son legítimos.
Respecto a la recogida, en atención al art. 5, Derecho de información en la recogida de datos, se debe informar a la persona de quien se recaban los datos acerca de las finalidades del tratamiento, del carácter obligatorio/facultativo de las respuestas, de los derechos que le asisten y su posibilidad de ejercicio, así como de la dirección y, en su caso, las condiciones para ejercitar tales derechos, y del titular del fichero inscrito. Para ciertos datos, también se necesitará el consentimiento expreso del afectado, según recoge el art. 6, Consentimiento del afectado.
En cuanto al tratamiento, las organizaciones están sujetas a una serie de obligaciones. En primer lugar, los principios de protección de datos establecen los límites y las pautas a las que debe someterse todo tratamiento de datos personales, como el consentimiento del afectado, información en la recogida de datos, calidad de los mismos, datos especialmente protegidos, deber de secreto, medidas de seguridad, cesión de datos y acceso a datos por cuenta de terceros. En segundo lugar, los derechos de los afectados son irrenunciables y personalísimos, y sólo pueden ejercitarse por el interesado ante el responsable del fichero. Los derechos comprenden el derecho de acceso, de rectificación, de cancelación, de oposición, de impugnación, a indemnización y de consulta al Registro General de Protección de Datos. En tercer lugar, los procedimientos establecidos por la Ley tienen como finalidad la consecución efectiva de los derechos de los afectados, estableciendo los mecanismos de reclamación ante la Agencia de Protección de Datos Estatal y la aplicación de los principios de protección de datos, estableciendo mecanismos de control.

Protección
Qué duda cabe que toda organización debería contar con una política de seguridad que recoja estos aspectos, pero desde la aparición de la LOPD, todas las organizaciones, grandes y pequeñas, que traten, almacenen y accedan a datos de carácter personal, deben seguir una norma de mínimos que acrediten que se cumplieron las diligencias para asegurar la confidencialidad, integridad y disponibilidad de los datos.
Concretamente, los responsables de los ficheros de datos de carácter personal están obligados a implantar una serie de medidas de seguridad, recogidas en el artículo 9 para garantizar la integridad de los datos y evitar su alteración, pérdida, tratamiento o acceso no autorizado.
Estas medidas se clasifican en tres niveles acumulativos que tienen condición de mínimos exigibles: básico, medio y alto, atendiendo a la naturaleza de la información tratada, en relación con la mayor o menor necesidad de garantizar la confidencialidad, integridad y disponibilidad de la información.
- Nivel básico: Todos los ficheros que contengan datos de carácter personal.
- Nivel medio: Los ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros.
- Nivel alto: Los ficheros que contengan datos de ideología, religión, creencias, origen racial, salud o vida sexual así como los que contengan datos recabados para fines policiales sin consentimiento de las personas afectadas y de afiliación sindical.
La Agencia proporciona en www.agpd.es/upload/Informa% 20AEPD/cuadro_reglamento1.pdf un cuadro resumen que muestra de forma sintética todas las medidas de seguridad aplicables para cada nivel.

Medidas de seguridadde nivel básico
Cuando se traten datos de nivel básico, deberán adoptarse las medidas enumeradas a continuación.

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información