Para que los
datos personales puedan ser tratados es requisito indispensable que previamente
existan unas medidas de seguridad. Esta cuestión ya la abordó el Tribunal
Constitucional en su Sentencia 292/2000, de 30 de noviembre de
2000, quien manifestó que “garantizada la seguridad de los datos,
resulta legítimo el tratamiento de datos personales”. Sin medidas de
seguridad no sería posible la recogida, grabación, elaboración, bloqueo,
modificación, cancelación, cesión y conservación de los datos personales.
La
importancia de una concienciación de la seguridad en las empresas
La
implantación de medidas de seguridad en las empresas y administraciones
públicas viene a ser un problema de organización que requiere un cambio en la
metodología de trabajo por parte de los responsables y encargados del
tratamiento de datos. Ya no se trata solo de conocer las operaciones o
procedimientos técnicos para el tratamiento de datos, también es necesario
tomar las medidas oportunas que eviten:
1. El acceso no autorizado a los
ficheros automatizados y no automatizados con datos personales.
2. La utilización de los datos para
otros fines no establecidos previamente.
3. La manipulación o alteración de los
datos por persona no autorizada para fines ilícitos.
4. La reproducción, lectura o retirada
de los datos personales por personal no autorizado.
O asegurar:
1. El correcto tratamiento de los datos
personales cedidos a terceros.
2. El acceso exclusivo del personal
autorizado.
3. El correcto transporte de datos
personales a terceros autorizados o a otras instalaciones sin que personas no
autorizadas puedan acceder a los mismos, copiarlos o eliminarlos.
4. El control del acceso a los datos en
un momento determinado y por quién.
5. El control de qué datos han sido
tratados por una persona determinada y cuando.
Serán
los responsables de los tratamientos o los ficheros y
los encargados del tratamiento quienes deban implantar las
medidas de seguridad oportunas (Art. 79 Reglamento LOPD)
Los niveles
de seguridad según los datos
En base a
los tipos de datos que puedan tratarse existen tres niveles de seguridad: alto,
medio y básico. El criterio para asignar un nivel viene en función del tipo de
datos personales y la finalidad para la que fue creado el fichero.
Los niveles
de seguridad vienen recogidos en el artículo 81 del Reglamento de la
LOPD.
Nivel alto
Los datos
que están enmarcados en el nivel alto son:
1. Ideología, afiliación sindical,
religión, creencias, origen racial, salud o vida sexual y respecto de los que
no se prevea la posibilidad de adoptar el nivel básico.
2. Recabados con fines policiales sin
consentimiento de las personas afectadas.
3. Derivados de actos de violencia de
género.
Las medidas
de seguridad que deben proteger este tipo de datos han de estar reflejadas en
el documento de seguridad y ponerlas en marcha la organización privada o
pública que los gestione. Los archivos con datos personales que estén en el
nivel alto deberán implementar también las medidas de seguridad de los niveles
medio y básico.
Nivel medio
Se
encuentran los siguientes datos:
1. La comisión de infracciones
administrativas o penales.
2. Aquellos que se rijan por el artículo
29 de la LOPD (prestación de servicios de solvencia patrimonial y crédito).
3. Los de administraciones tributarias
y que se relacionen con el ejercicio de sus potestades tributarias.
4. Entidades financieras para las
finalidades relacionadas con la prestación de servicios de sus competencias.
5. Entidades gestoras y servicios
comunes de seguridad social que se relacionen con el ejercicio de sus
competencias.
6. Mutuas de accidentes de trabajo y
enfermedades profesionales de la seguridad social.
7. Aquellos que ofrezcan una definición
de la personalidad y permitan evaluar determinados aspectos de la misma o del
comportamiento de las personas.
Igualmente,
deben registrarse en el documento de seguridad e incluir las medidas de
seguridad del nivel básico.
Nivel básico
Pertenecen
los datos relativos a:
1. Identificativos (DNI/NIF, nombre y
apellidos, dirección, teléfono, firma/huella, imagen/voz, marcas físicas).
2. Características personales (datos
estado civil, familiar, fecha/lugar de nacimiento, características
físicas/antropométricas, edad, sexo, nacionalidad, lengua materna).
3. Circunstancias sociales
(características de alojamiento/vivienda, situación militar,
propiedades/posesiones, aficiones y estilo de vida, pertenencia a clubes o
asociaciones, licencias, permisos, autorizaciones).
4. Académicos y profesionales
(formación, titulaciones, historial de estudiante, experiencia profesional,
pertenencia a asociaciones profesionales).
5. Datos de detalles de empleo
(profesión, puestos de trabajo, historial del trabajador).
6. Información comercial (actividades y
negocios, licencias comerciales, suscripciones a publicaciones/medios de
comunicación, creaciones artísticas, literarias, científicas o técnicas).
7. Datos económicos-financieros y de
seguros (ingresos, rentas, inversiones, bienes patrimoniales, créditos,
préstamos, avales, datos bancarios, tarjetas de crédito, planes de pensiones,
jubilación, datos económicos de nómina, datos de deducciones
impositivas/impuestos, hipotecas, subsidios, beneficios, historial de
créditos).
8. Datos de transacciones (bienes y
servicios suministrados por el afectado, transacciones/indemnizaciones).