Con la aprobación, el día 6 de diciembre de 2018, de la Ley Orgánica 3/2018, de 5 de diciembre, de
Protección de Datos Personales y garantía de los derechos digitales
(LOPDGDD), hay determinados conceptos que no se definen claramente y otros no
contemplados. Esto lleva a cierta confusión o vacío conceptual a los
responsables y encargados de los ficheros de datos personales no
experimentados. Las empresas e instituciones públicas que trabajan con grandes
cantidades de datos ya poseen un profesional denominado Delegado de Protección de Datos (DPD) que asesora al responsable y
encargado. Sin embargo, las pymes y autónomos suelen trabajar con software o
programas informáticos estándar sin conocer los procesos de gestión de los
datos personales.
Tal y como viene a decir tanto el Reglamento Europeo como la
nueva Ley Orgánica, el responsable del
tratamiento no debe limitarse a recopilar, almacenar y tratar datos de carácter
personal. Está obligado, desde antes de recopilar y almacenar información, a
diseñar y tomar las medidas técnicas y organizativas para garantizar la
seguridad de los datos personales. Tras la puesta en marcha del “fichero”,
deberá llevar un control y seguimiento de la gestión de los datos así como una
evaluación de impacto y el establecimiento de medidas ante una brecha digital.
Por tanto, es importante tener unas nociones básicas de lo
que es un Sistema de Gestión de Bases de Datos ya que el 90% de las empresas,
administraciones y autónomos almacenan y tratan datos personales en bases de
datos. Esto permite a los no iniciados a conocer ciertos conceptos y el
funcionamiento del tratamiento para evitar fallos o brechas de seguridad.
El concepto de
dato
En líneas generales, según la antigua LOPD, el RLOPD y el
RGPD, el concepto de dato se aplica
a cualquier información numérica, alfabética, gráfica, fotográfica, acústica o
de cualquier otro tipo. Y dato de
carácter personal cuando esa información identifica directa o
indirectamente a una persona física.
Lo que no explican las leyes es lo que consideran
información. Para tener una visión clara pongamos como ejemplo el dato
“Herrera”. Puede ser un apellido, una marca comercial o un antiguo oficio
realizado por mujeres. Como tal no tiene un significado especial y, por tanto,
carece de información. No puede considerarse dato de carácter personal. Si
juntamos dos datos “Carolina” y “Herrera” creando uno nuevo, ya se convierte en
información porque tiene relevancia al significar tanto el nombre de una
persona como una marca comercial. Si tomamos el dato “12345678-A” puede
considerarse información porque tiene unas características iguales al Documento
Nacional de Identidad.
Por tanto, no hay que confundir dato con información. El
primero puede o no tener significado mientras que el segundo sí.
En este sentido las leyes deberían ser más explícitas y
definir mejor este concepto para evitar confusiones. Más que hablar de dato de
carácter personal debería referirse a información de carácter personal.
También hay que tener en cuenta que los datos personales son
representaciones de personas físicas cuya importancia debe ser registrada. Por
sí solos no tienen valor hasta que son procesados para convertirlos en
información con significado.
Pongamos como ejemplo a Patricia Robles, estudiante de un
Instituto. En la figura 1 encontramos una realidad (también se define como
entidad) que es la imagen de la alumna y datos en una tabla que identifican a
esa alumna. Por el momento no consideremos la fotografía como un dato de
carácter personal sino la persona física en sí.
 |
| Figura 1 |
A partir de la realidad física o entidad que es la alumna,
se han ido estableciendo una serie de datos: nombre, apellidos, fecha de
nacimiento y nacionalidad. Si esos datos los sacáramos de la tabla, por sí
solos no son considerados información. Sin embargo, juntándolos en una tabla
nos da un nuevo dato con significado: alumna llamada Patricia Robles, nacida el
23 de junio de 1999 y de nacida en México.
En terminología de Base de datos relacional esa fila de
datos se denomina Registro o Tupla
(en lenguaje SQL se denomina Fila). Aunque está compuesta por campos (unidad mínima de una tabla que
contiene un dato, en hojas de cálculo se denominan celdas) y, por tanto, por
varios datos, en conjunto pasa a convertirse en un solo dato relevante que
proporciona información. Ese registro o tupla es un dato personal.
Tabla, relación o Base relvar
En una tabla se encuentra estructurada los datos de una
entidad (en nuestro ejemplo anterior los alumnos de un Instituto). Está
dividida por un conjunto de filas
(tupla o registro) y columnas
(atributo), semejante a una hoja de cálculo. A su vez, debe contener un nombre que la diferencie de las demás;
una Clave primaria que define y
diferencia cada registro, tupla o fila; atributos
que etiquetan o indican las características de un registro; y dominios que agrupan un conjunto de
atributos. Los dominios sirven para realizar restricciones como por ejemplo
saber cuántos alumnos del atributo “Nacimiento” nacieron en 1998.
En una base de datos no pueden existir dos o más tablas
iguales.
 |
| Figura 2 |
Base de datos
relacional
Cuando los datos de una entidad son básicos, por ejemplo la
información de contacto de una persona, suele existir una sola tabla con
nombre, apellidos, teléfono, dirección, correo electrónico, etc. Pero en
entidades más complejas como la información de los alumnos de un Instituto es
necesario el diseño de varias tablas.
Al conjunto de esas tablas se llama Base de datos. Actualmente
se utiliza el modelo relacional ya que se establece una conexión entre cada una
de las tablas (padre e hijo) por medio de claves primarias y claves foráneas (o
ajenas).
Siguiendo con el ejemplo anterior, necesitamos saber en qué
curso están varios alumnos. Nuevamente se crea otra tabla llamada “Curso” con
otros atributos:
 |
| Figura 3 |
Ya podemos ver dos atributos esenciales: IdCurso que es la
clave principal de la tabla e IdAlumnos_1 que identifica al alumno de la tabla “Alumnos”.
Ambos tienen un valor numérico que identifican cada fila o tupla como única. El
resto de atributos son: “Curso”, “Grupo” y “Especialidad”.
Para saber qué alumno está en un curso, grupo y especialidad
hay que relacionar ambas tablas. De esta forma, a partir de unos datos creamos
otros nuevos.
En el caso de Patricia Robles, además de saber que nació el
23 de junio de 1999 y es de México, cursa 3º, Grupo B y especialidad de
Ciencias.
Sistema de
Gestión de Bases de Datos (Database Management System)
Aunque tengamos una o varias tablas con datos y las
relacionemos es necesario contar con un conjunto de programas que permitan el
almacenamiento, modificación y consulta de la información. De esta forma, en
base al ejemplo anterior, un profesor puede consultar los alumnos que están en
su clase.
Este tipo de aplicaciones también se encargan de mantener la
integridad de los datos, recuperar información en caso de fallo en el sistema y
administrar el flujo de información que cada usuario necesita o puede acceder.
El lenguaje que impera actualmente para comunicarse con la
base de datos es el llamado SQL (Structured
Query Language). Fue creado por IBM en los años setenta y la primera empresa en
utilizarlo fue Oracle.
Importancia del
diseño del Sistema de Gestión de Bases de Datos
El RGPD y la LOPDGDD establecen claramente que tanto el
responsable como el encargado del tratamiento deben desde el inicio mantener
actualizados los datos en todo momento, suprimiendo o rectificando cuando sea
necesario y solo tratando aquellos que sean imprescindibles para la finalidad
establecida. También recalca el control del tratamiento de los datos
personales, sobretodo los especialmente sensibles, asegurando en todo momento
la integridad y seguridad.
Es por esto que un mal diseño en las tablas de las bases de
datos o una mala relación entre las mismas puede provocar la creación de otros
datos que no se ajusten a la realidad. Incluso fallos en la programación del
Sistema de Gestión de Bases de Datos puede suponer un peligro en la integridad
y seguridad, vulnerando los derechos de intimidad y honor de las personas
afectadas.
No es la primera vez que una empresa ha llamado al cliente
informando de una deuda inexistente o se ha producido el acceso a facturas de
miles de clientes por una brecha en la página web.
Lo esencial es tener bien claro qué datos son necesarios,
como diseñar la relación entre ellos, determinar qué nuevos datos crear a
partir de los iniciales y controlar que la información final sea fiel reflejo
de la realidad. Una vez controlada la información, se deberán poner todas las
medidas de seguridad.