|
PROTECCIÓN
DE DATOS : ALGUNOS ASPECTOS BÁSICOS
¿ De qué hablamos al referirnos a protección
de datos ?
Nos referimos con tal expresión al cumplimiento
de las obligaciones que la Ley exige en el sentido de las cautelas,
medidas y acciones que hemos de aplicar en todo aquello concerniente
al tratamiento – a través de Internet o fuera de la
red – de cualquier dato de carácter personal que poseamos
de terceras personas, físicas, y que alberguemos en nuestros
ordenadores o bases de datos. Están excluidas por tanto las
personas jurídicas ( empresas, entidades, instituciones,
... ) pero no los datos de las personas físicas. Tampoco
hay que aplicar la ley cuando tales datos los poseamos con una finalidad
puramente doméstica ( como los datos que poseamos de nuestras
amistades en una agenda electrónica, por ejemplo ).
¿ Cuáles serían las
obligaciones básicas ?
Por un lado, tenemos que inscribir en el Registro
General de Protección de Datos, sito en Madrid, la existencia
de los ficheros de datos que poseamos. Dicho trámite se puede
hacer a través de Internet, aunque hay también que
remitir en formato papel – a través de Correos basta
– determinada documentación. Cuando hablamos de inscribir
los ficheros no nos referimos a comunicar el contenido concreto
del mismo, sino el nombre de dichos ficheros, qué tipo de
datos tiene, y su estructura, aparte de otras circunstancias más.
Por otro lado, hemos de elaborar, y aplicar, el
llamado documento de seguridad, el cual contendrá las medidas
de seguridad que tendremos que aplicar, con la finalidad siempre
de impedir el acceso no autorizado por parte de alguien a dichos
datos. Tales medidas de seguridad serán variables, dependiendo
del tipo de datos, y así unas serán más estrictas
que otras, al igual que las sanciones en caso de incumplimiento
serán más severas a mayor sea el nivel de seguridad
incumplido.
A su vez, hemos de facilitar a los titulares de
dichos datos el ejercicio de determinados derechos, siendo los más
básicos los de acceso, cancelación, oposición
y rectificación en relación a los mismos, advirtiéndoles
también de la posibilidad legal que tienen de ejercitar los
mismos.
Y por último, no hemos de olvidar tampoco
la obligación que recae sobre el titular del fichero en relación
a realizar una auditoría de protección de datos cada
dos años, con la finalidad de comprobar la adecuación
a la Ley de las medidas de seguridad y demás obligaciones
recogidas en la normativa existente al respecto.
¿ Qué sanciones puede haber
en caso de incumplimiento ?
En su grado máximo podrían llegar
a 600.000 euros – cien millones de pesetas -, y en el mínimo
comenzaría su tramo en 600 euros, pudiendo llegar a 60.000
euros – diez millones de pesetas -.
Ejemplo de infracción grave que podría
originar la apertura de un procedimiento sancionador que terminase
con la imposición de una sanción grave podría
ser, por ejemplo, que en datos referentes a la salud, ideología,
religión, creencias, origen racial o vida sexual, al enviarlos
por la red no lo hiciésemos usando para ello técnicas
de cifrado o encriptación, o cualquier otro método
o mecanismo que impida que durante su tránsito o viaje por
la red dicha información sea inteligible o manipulada por
terceros.
Ejemplo de infracción de grado medio –
sanciones de 60.000 a 300.000 euros ( 10 a 50 millones de pesetas
) podría ser la consistente en que teniendo en nuestros ordenadores
datos de tipo de servicios financieros, o referentes a sanciones
administrativas – una mera multa de tráfico o de hacienda
lo es – no hayamos realizado la auditoría que prevé
la Ley.
Y ejemplo de infracción leve lo sería
la no realización de la inscripción en Registro General
de Protección de Datos, previsto en la Ley Orgánica
de Protección de Datos.
Posible responsabilidad por mal elección del hosting
En más de una ocasión, el empresario
de Internet, a la hora de contratar un servicio de hosting, para
alojar su página web o portal, suele buscar la oferta más
económica, sin fijarse en sus posibles consecuencias negativas.
Decimos esto porque no es infrecuente que movidos por el ahorro
económico inmediato, más de uno contrate el hosting
con una empresa USA, y en tal caso, si dicho sitio web tratase datos
de carácter personal de sus usuarios, sin saberlo, por desconocimiento
de la Ley, estaría llevando a cabo lo que técnicamente
se denomina transferencia internacional de datos, para la cual exige
la Ley la autorización previa del Director de la Agencia
de Protección de Datos, y en caso de incumplimiento se consideraría
infracción grave, por lo que más comentarios sobran
a dicho respecto.
La posible solución a ello pasa por la elaboración
de determinados contratos entre el empresario y la empresa titular
del servidor en el extranjero, debiéndose también
de llevar a cabo determinados registros de los mismos, comprometiéndose
ambos a respetar y aplicar toda la normativa española, lo
cual en la práctica no se realiza, simplemente por desconocimiento,
incurriendo en un riesgo extremo en caso de de aperturarse el correspondiente
procedimiento sancionador por la APD.
¿ Cuáles son los diferentes
niveles de seguridad contemplados en la Ley ?
Son tres. El máximo será aquel en
el que nos encontremos cuando estemos tratando datos referentes
a – por ejemplo - la salud, ideología, o vida sexual.
No olvidemos que por el mero hecho de usar cookies, es posible saber
qué tipo de páginas visita un cliente, y si éstas
son, por ejemplo, de contenido gay, ya estamos tratando datos acerca
de su orientación sexual.
El nivel medio sería aquel cuyos datos se
refiriesen a infracciones administrativas o penales, Hacienda Pública
– una gestoría, por ejemplo, que nos realizase la declaración
de la Renta -, o datos de tipo financiero.
Y el básico, por exclusión, sería
aquel no comprendido en ninguno de los dos niveles expuestos.
Ejemplos de medidas de seguridad de nivel
básico
Una de las medidas, y común a todos los
niveles de seguridad, es la inscripción del fichero en el
Registro General de Protección de Datos; otra, la elaboración
del documento de seguridad, en el cual se habrá de especificar
qué medidas, normas procedimientos y estándares se
usan para garantizar el nivel de seguridad; también incorporar
procedimientos de realización de copias de respaldo y de
recuperación de los datos; igualmente, y todo esto es a título
de ejemplo y de síntesis apresurada, poseer un registro notificación
y gestión de incidencias; también, y sin ánimo
de ser exhaustivos, poseer una relación actualizada de usuarios
que tengan acceso al sistema de información, así como
establecer procedimientos de identificación y autentificación
para dicho acceso.
Ejemplos de medidas de seguridad de nivel medio
Aparte de bastantes de las medidas exigidas para
el nivel básico, se exige también especificar –
y aplicar, naturalmente – en el documento de seguridad quién
o quiénes serán los responsables de seguridad, y los
controles periódicos que habrán de realizarse para
verificar el cumplimiento de las medidas; habrán de someterse
a una auditoría, cada dos años, con el fin de verificar
el cumplimiento de lo establecido en el reglamento desarrollador
de las medidas que comentamos; establecer medidas para limitar la
posibilidad de intentos reiterados de accesos no autorizados a los
datos; registro de entrada y salida de soportes informáticos,
etc.
Ejemplos de medidas de seguridad de nivel
alto
La distribución de los soportes que contengan
datos de carácter personal se llevarán a cabo usando
sistemas de encriptación para el cifrado de dichos datos,
o bien utilizando cualquier mecanismo que garantice que dicha información
no sea inteligible ni manipulada durante el transporte; establecimiento
de un registro de accesos, pero más detallado y estricto
aún que para los niveles de seguridad inferiores ya comentados;
conservar los datos durante un período mínimo de dos
años; y también, entre otras, cifrar la información
en el caso de que la misma se trasmita a través de redes
de telecomunicaciones ( Internet es tan sólo una de ellas,
y otra podría ser perfectamente el envío de un fax
).
|
