Otros Departamentos de PFS-Grupo

• auditoría
• asesoría
• informática
• legal

ARTICULOS

• Calidad

• I+D+I

• Informática

• Medio Ambiente

• Modelo EFQM

• Otros

• Protección de datos

• Seguridad y Salud Laboral

Protección de Datos de Carácter Personal: ¿Qué es y en qué consiste?

El crecimiento experimentado por el desarrollo y uso de las tecnologías de la información está suponiendo cambios continuos en nuestra vida personal y profesional. Asimismo, estos cambios también afectan al propio desarrollo de la tecnología, ya que cada vez más personas son conscientes de los derechos y libertades con que cuentan, y fomentan o reclaman la existencia de una normativa que proteja mediante medidas de seguridad jurídicas y técnicas el tratamiento de sus datos personales.

En este sentido, la Ley Orgánica 15/1999, de 13 de Diciembre, de Protección de Datos de Carácter Personal (LOPD), tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas y, especialmente de su honor e intimidad personal y familiar, según indica su primer artículo.

Asimismo, el Real Decreto 994/1999, del 11 de Junio, que aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal (en adelante, el Reglamento), establece las medidas de seguridad de índole técnica y organizativa que hhab de garantizar protección en cuanto a la confidencialidad e integridad de la información contenida en los ficheros automatizados (ficheros, programas y soportes) que almacenan datos de carácter personal, frente a la alteración, pérdida, tratamiento o acceso no autorizado a dichos ficheros.

Pero, ¿qué son datos de carácter personal?: Cualquier información numérica, alfabética, gráfica, fotográfica, acústica, o de cualquier otro tipo, concerniente a personas físicas identificativas o identificables (pej: Nombre, número de teléfono, firma, huella, fotografías, imágenes de video, ...., o incluso la dirección de correo electrónico (siempre que esté personalizada, pej: monicapomar@asturecopfs.com)

En cuanto al ámbito de aplicación de esta normativa, desde el punto de vista objetivo, la LOPD es la aplicación a los datos personales registrados en cualquier soporte físico, es decir, tanto los ficheros informatizados como los convencionales (manuales, impresos o en soporte papel), mientras que el Reglamento de Medidas de Seguridad sólo se aplica a los ficheros informatizados.

Desde el punto de vista subjetivo, no sólo las empresas privadas están sometidas al cumplimiento de la LOPD sino toda persona física o jurídica, de naturaleza pública o privada, incluyendo cualquier entidad, organización, asociación, fundación, sociedad, Cámaras de Comercio e Industria, órganos administrativos, profesionales, empresarios individuales, colegios, sindicatos, entidades financieras, bancos, compañías aseguradoras e incluso personas físicas que traten datos de carácter personal.

Obligaciones principales en materia de protección de datos de carácter personal

Toda persona, entidad u organización que decida sobre la finalidad, contenido y uso del fichero, será responsable del mismo y estará sujeto al cumplimiento de ciertas obligaciones y al respeto de los principios relativos al tratamiento de datos personales. En particular los responsables de ficheros de titularidad privada, deberán cumplir las obligaciones que se exponen a continuación.

A) Respeto a los principios relativos de Protección de Datos:

El responsable del fichero debe de guardar secreto profesional respecto de los datos personales.

Como regla general, el responsable del fichero está obligado a solicitar el consentimiento del titular de los datos para el tratamiento y la cesión de los mismos.

Para ello, la LOPD establece el llamado consentimiento del afectado, es decir, que el responsable de ficheros debe de informar al titular de los datos personales, con carácter previo al tratamiento de los mismos, acerca de los extremos referidos en su artículo 5 (es decir, la existencia de un fichero o tratamiento de datos de carácter personal, la finalidad de la recogida de éstos, los destinatarios de la información, la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición y la identidad y dirección del responsable del tratamiento, por citar los más importantes), tanto en el caso de que los datos se recaben del propio titular como en el supuesto de que se recojan de persona distinta de éste.

Así, cuando los datos personales han dejado de ser necesarios para la finalidad para la que fueron recabados, el responsable de tratamiento deberá proceder a la cancelación de los mismos, de forma tal que se impida la identificación del titular de dichos datos.

Además, los datos personales no podrán usarse para finalidades incompatibles con aquellas para las que fueron recabados y deberán ser exactos, actuales, veraces, adecuados, pertinentes y no excesivos.

B) Adopción de Medidas de Seguridad:

La implantación de las medidas de seguridad recogidas en el Reglamento de Medidas de Seguridad es obligatoria únicamente para los ficheros informatizados, quedando excluidos de su ámbito de aplicación otra clase de ficheros, como los ficheros en soporte papel.

Existen tres niveles de medidas de seguridad - básico, medio y alto - exigibles a los ficheros automatizados, los centros de tratamiento, locales, equipos, sistemas, programas y las personas que intervengan en el tratamiento automatizado de datos de carácter personal, en función de la naturaleza de los datos objeto del tratamiento.

Estos niveles son acumulativos, es decir, que los obligados a adoptar las medidas de nivel medio deberán adoptar también las de nivel básico y los que deban adoptar las de nivel alto deberán adoptar también las de nivel medio y básico.

Medidas de Seguridad de NIVEL BÁSICO:

Serán las que deberán aplicarse en todo caso y para todo tipo de ficheros, independientementede que para alguno de ellos sea necesario añadir otro nivel de seguridad en virtud de los datos que contenga.

Medidas de Seguridad de NIVEL MEDIO:

Las medidas de seguridad de nivel medio es necesario adoptarlas cuando los ficheros contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública (ambos de titularidad pública, a criterio de la APD), servicios financieros y aquellos ficheros contemplados en el artículo 29 LOPD: prestación de servicios de información sobre solvencia patrimonial y crédito.

Medidas de Seguridad de NIVEL ALTO:

Las medidas de seguridad de nivel alto es necesario adoptarlas cuando los ficheros contengan datos relativos a ideología, religión, creencias, origen racial, salud o vida sexual.

En el siguiente cuadro se pretende esquematizar las medidas de seguridad en sus diferentes niveles:

Medidas de Seguridad de Nivel Básico

1. Documento con Normas de Seguridad
2. Régimen de Funciones y obligaciones del personal con acceso al fichero.
3. Registro de Incidencias que pueden afectar a los datos.
4. Control de acceso al fichero.
5. Gestión de los soportes informáticos que contienen la información.
6. Copias de apoyo y recuperación de los datos.

Medidas de Seguridad de Nivel Medio

1. Documento de Seguridad de las Medidas de Seguridad de Nivel Básico.
2. Nombramiento de Responsable de Seguridad.
3. Auditoría Bianual para verificar el cumplimiento de las medidas.
4. Medidas adicionales de identificación y autenticación de los usuarios.
5. Control de acceso físico a las bases de datos.
6. Medidas adicionales de gestión de los soportes informáticos.
7. Registro de Incidencias del Fichero.
8. Pruebas con datos reales para no vulnerar la seguridad

Medidas de Seguridad de Nivel Alto

1. Documento de Seguridad de las Medidas de Seguridad de Nivel Básico y Medio.
2. Seguridad en la distribución de los soportes informáticos.
3. Registro de los accesos al fichero.
4. Medidas adicionales para copias de apoyo de los datos.
5. Cifrado de los datos para poder transmitirlos por red de telecomunicaciones.

volver a Protección de datos

volver a la página anterior