Algunos aspectos básicos de protección de datos

Algunos aspectos básicos de protección de datos

¿De qué hablamos al referirnos a protección de datos?

Nos referimos con tal expresión al cumplimiento de las obligaciones que la Ley exige en el sentido de las cautelas, medidas y acciones que hemos de aplicar en todo aquello concerniente al tratamiento – a través de Internet o fuera de la red – de cualquier dato de carácter personal que poseamos de terceras personas, físicas, y que alberguemos en nuestros ordenadores o bases de datos. Están excluidas por tanto las personas jurídicas ( empresas, entidades, instituciones, … ) pero no los datos de las personas físicas. Tampoco hay que aplicar la ley cuando tales datos los poseamos con una finalidad puramente doméstica ( como los datos que poseamos de nuestras amistades en una agenda electrónica, por ejemplo ).

¿Cuáles serían las obligaciones básicas?

Por un lado, tenemos que inscribir en el Registro General de Protección de Datos, sito en Madrid, la existencia de los ficheros de datos que poseamos. Dicho trámite se puede hacer a través de Internet, aunque hay también que remitir en formato papel – a través de Correos basta – determinada documentación. Cuando hablamos de inscribir los ficheros no nos referimos a comunicar el contenido concreto del mismo, sino el nombre de dichos ficheros, qué tipo de datos tiene, y su estructura, aparte de otras circunstancias más.

Por otro lado, hemos de elaborar, y aplicar, el llamado documento de seguridad, el cual contendrá las medidas de seguridad que tendremos que aplicar, con la finalidad siempre de impedir el acceso no autorizado por parte de alguien a dichos datos. Tales medidas de seguridad serán variables, dependiendo del tipo de datos, y así unas serán más estrictas que otras, al igual que las sanciones en caso de incumplimiento serán más severas a mayor sea el nivel de seguridad incumplido.

A su vez, hemos de facilitar a los titulares de dichos datos el ejercicio de determinados derechos, siendo los más básicos los de acceso, cancelación, oposición y rectificación en relación a los mismos, advirtiéndoles también de la posibilidad legal que tienen de ejercitar los mismos.

Y por último, no hemos de olvidar tampoco la obligación que recae sobre el titular del fichero en relación a realizar una auditoría de protección de datos cada dos años, con la finalidad de comprobar la adecuación a la Ley de las medidas de seguridad y demás obligaciones recogidas en la normativa existente al respecto.

¿Qué sanciones puede haber en caso de incumplimiento?

En su grado máximo podrían llegar a 600.000 euros – cien millones de pesetas -, y en el mínimo comenzaría su tramo en 600 euros, pudiendo llegar a 60.000 euros – diez millones de pesetas -.

Ejemplo de infracción grave que podría originar la apertura de un procedimiento sancionador que terminase con la imposición de una sanción grave podría ser, por ejemplo, que en datos referentes a la salud, ideología, religión, creencias, origen racial o vida sexual, al enviarlos por la red no lo hiciésemos usando para ello técnicas de cifrado o encriptación, o cualquier otro método o mecanismo que impida que durante su tránsito o viaje por la red dicha información sea inteligible o manipulada por terceros.

Ejemplo de infracción de grado medio – sanciones de 60.000 a 300.000 euros ( 10 a 50 millones de pesetas ) podría ser la consistente en que teniendo en nuestros ordenadores datos de tipo de servicios financieros, o referentes a sanciones administrativas – una mera multa de tráfico o de hacienda lo es – no hayamos realizado la auditoría que prevé la Ley.

Y ejemplo de infracción leve lo sería la no realización de la inscripción en Registro General de Protección de Datos, previsto en la Ley Orgánica de Protección de Datos.

Posible responsabilidad por mal elección del hosting

En más de una ocasión, el empresario de Internet, a la hora de contratar un servicio de hosting, para alojar su página web o portal, suele buscar la oferta más económica, sin fijarse en sus posibles consecuencias negativas. Decimos esto porque no es infrecuente que movidos por el ahorro económico inmediato, más de uno contrate el hosting con una empresa USA, y en tal caso, si dicho sitio web tratase datos de carácter personal de sus usuarios, sin saberlo, por desconocimiento de la Ley, estaría llevando a cabo lo que técnicamente se denomina transferencia internacional de datos, para la cual exige la Ley la autorización previa del Director de la Agencia de Protección de Datos, y en caso de incumplimiento se consideraría infracción grave, por lo que más comentarios sobran a dicho respecto.

La posible solución a ello pasa por la elaboración de determinados contratos entre el empresario y la empresa titular del servidor en el extranjero, debiéndose también de llevar a cabo determinados registros de los mismos, comprometiéndose ambos a respetar y aplicar toda la normativa española, lo cual en la práctica no se realiza, simplemente por desconocimiento, incurriendo en un riesgo extremo en caso de de aperturarse el correspondiente procedimiento sancionador por la APD.

¿Cuáles son los diferentes niveles de seguridad contemplados en la Ley?

Son tres. El máximo será aquel en el que nos encontremos cuando estemos tratando datos referentes a – por ejemplo – la salud, ideología, o vida sexual. No olvidemos que por el mero hecho de usar cookies, es posible saber qué tipo de páginas visita un cliente, y si éstas son, por ejemplo, de contenido gay, ya estamos tratando datos acerca de su orientación sexual.

El nivel medio sería aquel cuyos datos se refiriesen a infracciones administrativas o penales, Hacienda Pública – una gestoría, por ejemplo, que nos realizase la declaración de la Renta -, o datos de tipo financiero.

Y el básico, por exclusión, sería aquel no comprendido en ninguno de los dos niveles expuestos.

Ejemplos de medidas de seguridad de nivel básico

Una de las medidas, y común a todos los niveles de seguridad, es la inscripción del fichero en el Registro General de Protección de Datos; otra, la elaboración del documento de seguridad, en el cual se habrá de especificar qué medidas, normas procedimientos y estándares se usan para garantizar el nivel de seguridad; también incorporar procedimientos de realización de copias de respaldo y de recuperación de los datos; igualmente, y todo esto es a título de ejemplo y de síntesis apresurada, poseer un registro notificación y gestión de incidencias; también, y sin ánimo de ser exhaustivos, poseer una relación actualizada de usuarios que tengan acceso al sistema de información, así como establecer procedimientos de identificación y autentificación para dicho acceso.

Ejemplos de medidas de seguridad de nivel medio

Aparte de bastantes de las medidas exigidas para el nivel básico, se exige también especificar – y aplicar, naturalmente – en el documento de seguridad quién o quiénes serán los responsables de seguridad, y los controles periódicos que habrán de realizarse para verificar el cumplimiento de las medidas; habrán de someterse a una auditoría, cada dos años, con el fin de verificar el cumplimiento de lo establecido en el reglamento desarrollador de las medidas que comentamos; establecer medidas para limitar la posibilidad de intentos reiterados de accesos no autorizados a los datos; registro de entrada y salida de soportes informáticos, etc.

Ejemplos de medidas de seguridad de nivel alto

La distribución de los soportes que contengan datos de carácter personal se llevarán a cabo usando sistemas de encriptación para el cifrado de dichos datos, o bien utilizando cualquier mecanismo que garantice que dicha información no sea inteligible ni manipulada durante el transporte; establecimiento de un registro de accesos, pero más detallado y estricto aún que para los niveles de seguridad inferiores ya comentados; conservar los datos durante un período mínimo de dos años; y también, entre otras, cifrar la información en el caso de que la misma se trasmita a través de redes de telecomunicaciones ( Internet es tan sólo una de ellas, y otra podría ser perfectamente el envío de un fax ).

 

Autor: Javier Hernández Martínez, abogado

Mail: javier@proteccionlegal.com

Web: www.proteccionlegal.com

Tlf.: 678.97.00.64

Se permite su uso y reproducción siempre y cuando se citen: Autor, mail y url, sin modificar su contenido, o en caso de citar parte de él, evitando distorsionar su sentido.

Bajo licencia Creative Commons: