Niveles de seguridad: sepa cuál corresponde a cada fichero (y no se equivoque ni por exceso ni por defecto)

No todos los datos personales requieren la misma protección. La normativa fija tres niveles de seguridad atendiendo al tipo de la información que contiene un fichero: básico, medio y alto. Así, no es lo mismo archivar información como el nombre y los apellidos, la dirección y el teléfono (que la LOPD considera de nivel “básico”), que datos como salud, ideología o religión (que son de nivel “alto” y que deberá guardar poco menos que bajo siete llaves).
Saber qué nivel de seguridad corresponde a los ficheros que maneja su empresa es esencial porque condiciona las medidas de seguridad que deberá aplicar a cada uno(lógicamente, a mayor nivel, mayores medidas de seguridad). Y no crea que son medidas sencillas (ni siquiera las del nivel más bajo): contraseñas informáticas confidenciales, control de acceso a los locales, copias de seguridad, registros de incidencias actualizados, comunicaciones encriptadas, destrucción de documentos, cláusulas legales que deben firmarse…

¿Está seguro de tener cada fichero con el nivel de seguridad que le corresponde?

Saber el nivel de seguridad que corresponde a un fichero no es sota, caballo y rey, pues a las reglas generales empiezan a aplicársele excepciones: datos de teórico nivel de seguridad alto a los que en ciertos casos puede aplicárseles un nivel bajo; ficheros que contienen datos que individualmente son de nivel básico pero que todos juntos hacen que les corresponda medidas de nivel medio…

No se pierda en el laberinto de los niveles de seguridad. En el último número de PractiLetter PROTECCIÓN DE DATOS encontrará un artículo que será su brújula, su faro y su cuaderno de bitácora -todo en uno- y que le permitirá:

 

Saber qué nivel de seguridad le corresponde a cada dato, simplemente mirando en la lista que hemos preparado.
No equivocarse aplicando medidas de seguridad de un nivel menor al que corresponde… con el consiguiente peligro de perder su información y además con el riesgo de ser sancionado por ello.
No cometer el error de aplicar medidas de seguridad más altas de lo que corresponde a un fichero. No le sancionarán por ello, pero invertirá tiempo, dinero y recursos… inútilmente.

 

¿Quiere tener claro qué nivel de seguridad le corresponde a cada uno de sus ficheros y cuáles son las medidas de seguridad necesarias?

NL2010 03 000 (Marzo – 2010)

Estimados clientes y amigos:
Es mi intención ir enviándoles periódicamente información, comentarios, resoluciones, sentencias, sugerencias, opiniones, artículos, etc., que sean de interés y utilidad en relación a la “ Protección de Datos de Carácter Personal”, indicando sobre todo aquellos aspectos a resaltar y tener en cuenta en nuestro despacho, actividad, negocio, empresa, comunidad,  asociación, etc., para cumplir con lo establecido en la Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal y también con el RD.1720/2007, de 21 de diciembre por el que se aprueba el Reglamento de desarrollo de la misma.
El Artículo 18.4 de la Constitución Española garantiza como derecho fundamental autónomo la protección de los datos de carácter personal. La inicial regulación dictada en 1992 en desarrollo de dicha previsión constitucional ha sido sustituida por la Ley Orgánica 15/1999, de Protección de los Datos de Carácter Personal, dictada asimismo para adaptar la regulación española a la Directiva 95/46/CE. En ella se definen como ámbito objetivo de su regulación los datos personales, esto es, cualquier información relativa a una persona identificada o identificable, fijando un estricto régimen para el uso de los mismos.
La sociedad de principios de siglo XXI tiene una enorme dependencia de la información, hasta el punto de que resultaría inimaginable pensar en situaciones y servicios en que no se manejen datos personales. Ahora bien, la utilización de los mismos se encuentra sometida a un estricto régimen jurídico cuyo incumplimiento puede generar severas sanciones económicas o, en su caso, determinar la invalidez de las decisiones que se adopten en base a la misma. Desgraciadamente, estas consecuencias se utilizan habitualmente como una amenaza contra empresas y entidades públicas.

Últimamente están saliendo, prácticamente a diario, en los medios de comunicación distintos casos como el de suplantación de identidad, denuncias por malos usos de los datos, expedientes médicos o judiciales en contenedores de basura, curricullums que se utilizan para tomar los datos personales para confeccionar facturas falsas, etc.

Últimamente son cada vez más las empresas, profesionales, colegios oficiales, fundaciones, asociaciones, comunidades, agrupaciones, federaciones, entidades de titularidad privada como pública, que han o están regularizando su situación legal en relación a la LOPD.
Las obligaciones iniciales como usuarios de datos de tipo personal en nuestras empresas o actividades son la de inscripción de los ficheros que utilizamos en el Registro General de la Agencia Española de Protección de Datos, también tenemos que confeccionar sus “Documentos de Seguridad” y conservarlos debidamente actualizado, además tenemos que realizar bienalmente una auditoria de protección de datos sobre los ficheros de nivel medio y alto de protección. Es muy importante en relación al nivel de protección de los datos que utilizamos en nuestro, ir poniendo medidas correctoras en aquellos aspectos de seguridad en los datos que tengamos que mejorar, no sólo para cumplir con lo establecido en la Ley, sino que también como medida de calidad dentro de nuestros servicios, dándole a nuestros clientes, proveedores y terceros en general la confianza y tranquilidad de que sus datos serán tratados adecuadamente y con completa confidencialidad en todo momento.
Seguidamente y para finalizar esta News Letter, voy a poner un caso real que nos puede servir para corregir malos hábitos en las comunicaciones mediante correo electrónico.

Multa de 601 euros por no utilizar “Copia con conocimiento Oculto” (CCO)

Interesante resolución de la AEPD que pone de manifiesto el alcance de la Ley Orgánica de Protección de Datos en nuestra vida cotidiana. La denuncia tiene como implicados dos particulares (personas físicas), lo cual hace aun más cercano a la sociedad los hechos denunciados.
En resumen, se entiende que la denunciada ha infringido el deber de secreto que establece el artículo 10 LOPD al enviar un correo electrónico a 42 destinatarios distintos e incluir las direcciones de e-mail en el campo “Copia con Conocimiento (CC)” dejando, por tanto, visibles a todos los destinatarios las direcciones de correo electrónico de los receptores. A juicio de la AEPD, ha supuesto una vulneración del deber de sigilo, pues no debería haber dado a conocer las direcciones de correo electrónico al resto de destinatarios; es decir, debería haber utilizado la opción “Copia con Conocimiento Oculto” (CCO).
Sin embargo, la sancionada alega que la dirección de correo electrónico de la denunciante puede ser encontrada en Internet en diferentes páginas, y que por tanto no ha vulnerado ningún secreto pues ella misma publica su dirección electrónica en Internet. ¿Cómo resuelve la AEPD esta cuestión? y además ¿la dirección de correo electrónico es un dato  personal? y si los datos fueron obtenidos de Internet ¿no son de acceso público y podemos tratarlos como queramos?.
La primera cuestión que se debe analizar es si la dirección de correo electrónico es un dato personal; el artículo 3.a LOPD define este concepto.
En base a esa definición, la AEPD emitió en 1999 un informe jurídico donde se pronunciaba respecto a si la dirección de correo electrónico encajaba o no dentro de esa definición del artículo 3.1, diferenciando entre dos clases de direcciones: las de tipo juanperez@empresa.com y las de tipo loquesea@hotmail.com , dejando claro, que en cualquiera de los dos casos nos encontramos ante un dato personal pues es posible identificar a la persona que se encontraría detrás de una dirección de e-mail.
Por tanto, la dirección de correo electrónico es un dato personal; ahora queda por resolver la cuestión relativa a que la dirección de la demandante se encuentra en varias páginas de Internet. En principio podríamos pensar que por el hecho de estar la dirección en Internet podemos hacer lo que queramos con ella: nada más lejos de la realidad. La AEPD afirma que “la inclusión voluntaria de dicha dirección de correo electrónico por aquél […] no legitima la utilización de la misma por terceros para fines distintos de los expresamente señalados por el denunciante en cualquiera de las páginas en las que éste hubiera reflejado su dirección de correo electrónico, pues sólo el denunciante, como titular de sus datos personales, más concretamente, en este caso, de su dirección de correo electrónico, está legitimado, en los términos y con las excepciones establecidas en la LOPD, para decidir sobre el destino y uso de sus datos personales.” Esto nos deja claro que aunque la dirección aparezca en Internet, si no tenemos consentimiento del interesado no podremos utilizarla para ningún tipo de comunicación. Completa, afirmando que “en el caso que se examina, efectivamente la dirección de correo electrónico del denunciante constaba en varias páginas de Internet, pero, como ya se ha señalado, a los fines expresamente indicados en las mismas. La publicación en Internet de una dirección de correo electrónico por su titular no la convierte en un dato que pueda ser utilizado sin límite alguno por parte del responsable del fichero en el que se encuentren incluida.”

Llegados a este punto, conviene analizar el alcance de ese deber de secreto mencionado al principio; la propia resolución lo explica, comentando que “El deber de secreto profesional que incumbe a los responsables de los ficheros y a todos aquellos que intervengan en cualquier fase del tratamiento de los datos de carácter personal, recogido en el artículo 10 de la LOPD, comporta su obligación de no revelar ni dar a conocer su contenido, así como “deber de guardarlos”.
Continúa dicho artículo añadiendo: “obligaciones que subsistirán aún después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo”. […], y por lo que ahora interesa, comporta que los datos tratados no pueden ser conocidos por ninguna persona o entidad ajena fuera de los casos autorizados por la Ley, pues en eso consiste, precisamente, el secreto.”
Queda fundado suficientemente como la sancionada no cumplió con las exigencias que la LOPD otorga a nuestros datos personales en lo que se refiere al deber de secreto. Espero en futuros documentos tratar temas de vuestro interés.
Un saludo,
José J. Mendoza

Si no desea recibir correos electrónicos con información de interés sobre protección de datos, puede enviar un correo a “ jjmendoza@regesdat.com ”, indicando en Asunto: “ Dar de baja en correos con información de interés sobre protección de datos”.
Le informamos que en cumplimiento del artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, que usted nos ha facilitado, serán incorporados en un fichero informatizado, pudiendo ejercer por escrito a ésta misma dirección de correos su derecho de acceso, rectificación, cancelación y oposición previsto en la Ley.