|
El
reglamento de seguridad para la protección de ficheros automatizados
con datos de carácter personal
El artículo
18.4 de la Constitución Española establece que "la Ley limitará
el uso de la informática para garantizar el honor y la intimidad
personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos".
Como consecuencia
de este derecho fundamental y del artículo 9 de la Ley Orgánica
15/99 de Protección de Datos Personales de 13 de Diciembre de 1999
(en adelante LOPDP) relativo al necesario desarrollo reglamentario de
condiciones de seguridad que garanticen la confidencialidad e integridad
de los datos de carácter personal, surge una nueva medida de control
para garantizar el cumplimiento de estos preceptos. Nos estamos refiriendo
al Real Decreto 994/1999 de 11 de junio sobre medidas de índole
técnico y organizativo que deben cumplir las empresas para evitar
la posible alteración, pérdida, tratamiento o acceso no
autorizado a los ficheros de datos de carácter personal.
El objeto de estas
medidas se encuentra en la necesidad de garantizar la preservación
del derecho a la intimidad del ciudadano en la actual "sociedad de la
información", donde la tecnología posibilita la copia, extracción,
modificación y transmisión de datos de forma sencilla y
a bajo coste. Parece que en el fondo de estas medidas está la preocupación
del legislador en evitar que se produzca la transferencia de datos no
autorizada a empresas o a países en donde no existe un nivel de
protección equiparable al que establece la LOPDP. Está claro
que sería extremadamente fácil transmitir estos datos y
realizar con ellos cualquier tipo de tratamiento informático no
controlado ni sancionado.
Para evitar este efecto,
el nuevo reglamento establece una serie de medidas de seguridad y sus
correspondientes sanciones por incumplimiento de las mismas, destinadas
a garantizar la correcta custodia y manipulación de los ficheros
afectados y evitar la posible fuga de datos (por ejemplo por personal
descontento de la empresa, o por la inexistencia de medidas de seguridad)
sin su correspondiente consentimiento a empresas o países con menor
nivel de protección. Hasta aquí, parece loable y positivo
el esfuerzo legislador para corregir estos hipotéticos problemas,
que evidentemente pueden darse.
Pero este nuevo marco
legal tiene una segunda lectura, no tan positiva y que tiene que ver con
la realidad empresarial española y los usos que en términos
generales se hacen de los ficheros automatizados, pues para muchos pequeños
empresarios del sector (pequeños ficheros de clientes utilizados
para mailings) puede llegar a ser asfixiante, produciendo una clara desventaja
respecto de medianas y grandes empresas (que no tendrán problemas
en implantarlo) y promocionando retroceso de inversión en marketing
y publicidad directa.
Haremos en primer
lugar un breve repaso del reglamento de seguridad y lo que supone en términos
de su aplicación y puesta en marcha.
Marco
general de las medidas de seguridad
Las medidas de seguridad
objeto de este reglamento se aplicarán a ficheros automatizados
de datos de carácter personal de los sectores públicos y
privados (art. 2 de la LOPDP), distinguiendo tres niveles de seguridad
(de menos a más seguridad) que deben aplicarse sobre cada fichero
en función del tipo de datos que contengan.
- Nivel de seguridad
básico: todas las empresas que dispongan de ficheros que contengan
datos de carácter personal (nombre, dirección postal, número
de teléfono) deberán adoptar estas medidas.
- Nivel de seguridad
medio: ficheros que contengan datos relativos a la comisión
de infracciones administrativas o penales, Hacienda Pública, servicios
financieros y ficheros de solvencia patrimonial y crédito.
- Nivel de seguridad
alto: ficheros que contengan datos personales de ideología,
religión, creencias, origen racial, salud o vida sexual así
como los que contengan datos recabados para fines policiales sin consentimiento
de las personas afectadas.
Nivel de seguridad
básico
El plazo de implantación de estas medidas es de seis meses desde
la entrada en vigor del reglamento, es decir, deberían estar implantadas
antes del 28 de diciembre de 1999, sin embargo se ha ampliado el margen
de implantación y se han concedido otros seis meses para la implantación
de estas medidas, pasando a ser la fecha de implantación el 28
de junio del 2000. Hay que entender en cuenta que el plazo de implantación
es para aquellas empresas que ya tenían inscrito un fichero de
datos en la APD, ya que los ficheros de nueva creación deben cumplir
las medidas de seguridad en el momento de su inscripción en la
APD.
En el nivel básico
se establece la necesidad de elaborar e implantar por parte del responsable
del fichero un documento de seguridad que debe contener: el ámbito
de aplicación del mismo, las medidas, normas, procedimientos, reglas
y estándares encaminados a garantizar el nivel de seguridad, las
funciones y obligaciones del personal, la estructura de los ficheros afectados
y descripción de los sistemas de información que los tratan,
el procedimiento de notificación, gestión y respuesta ante
posibles incidencias y los procedimientos de copias de seguridad y de
recuperación de datos.
Esto que parece sencillo
para empresas de cierto tamaño, puede no serlo tanto para las pequeñas
empresas, autónomos y profesionales liberales. Este colectivo supone
ni más ni menos que el 90% del tejido empresarial español.
La gran empresa confiará este asunto a su departamento de asesoría
legal o subcontratará los servicios de una asesoría externa,
pero ¿qué ocurrirá con el millón y medio de
pequeñas empresas? ¿tendrán capacidad para hacer
cumplir la normativa o simplemente deberán abandonar la practica
común de realizar sus pequeños mailings periódicos
para sostener sus empresas?, ¿se les juzgará con el mismo
patrón que a las empresas grandes?.
Nivel de seguridad
medio
Además del cumplimiento de las medidas de nivel básico,
el nivel de seguridad medio, implica realizar una auditoría (interna
o externa) que verifique el cumplimiento del reglamento, establecer un
control de acceso físico a los locales donde se encuentran ubicados
los sistemas de información, y nombrar un responsable de seguridad,
el cual coordinará y controlará las medidas descritas en
el documento de seguridad. Otra obligación propia de este nivel
es la de establecer sistemas de identificación y autenticación
en relación con el acceso a los sistemas informáticos y
el establecimiento de un sistema de registro de entrada y salida de soportes
informáticos.
A diferencia de las
medidas de nivel básico el plazo de implantación de estas
medidas es de doce meses, es decir, deberán estar implantadas antes
del 26 de junio del 2000.
Nivel de seguridad
alto.
Debido a la naturaleza sensible de los datos personales propios de este
nivel se deberán adoptar unas medidas de seguridad aparentemente
mucho más restrictivas. Por ejemplo, las copias de seguridad deben
custodiarse en un lugar distinto al lugar de ubicación de los soportes
informáticos y los sistemas informáticos deben registrar
puntualmente todos los accesos. En cuanto al transporte de la información
se requerirá una autorización firmada del responsable de
seguridad y se procederá a la encriptación de los datos
para evitar que sean capturados durante el trasiego telemático.
Para una correcta implantación de estas medidas de nivel alto será
necesaria la implantación de una infraestructura de clave pública
en donde se garanticen los principios de intimidad, autenticación
y confidencialidad. Siendo por tanto crucial el desarrollo de las autoridades
de certificación o terceras partes de confianza, y el de las Firmas
digitales que influirán de forma positiva al correcto desarrollo
de estas medidas de seguridad.
Debido a la naturaleza
sensible de los datos será necesaria la aplicación del reglamento
para conseguir la eficacia jurídica pretendida. Además el
plazo de implantación de estas medidas de nivel alto es de veinticuatro
meses, es decir, suficiente tiempo como para poder ser implantadas antes
del 26 de junio del 2001.
Problemática
en la aplicación del reglamento.
Dentro del articulado
del reglamento hay una serie de preceptos que a nuestro juicio no estarán
exentos de polémica en su aplicación por parte de la Agencia
de Protección de Datos.
Nos referimos al art.
6 donde se establece que la ejecución del tratamiento de datos
de carácter personal fuera de los locales de ubicación del
fichero, deberá ser autorizada por el responsable del fichero y
lo que es más importante, deberá garantizarse el nivel de
seguridad correspondiente al tipo de fichero tratado. Este artículo
supone, para las empresas que presten servicios de tratamiento de datos
la exigencia de garantizar las medidas de seguridad correspondientes al
nivel del fichero de la empresa cliente. Siendo por tanto muy importante
garantizar en el contrato de prestación de servicios la responsabilidad
en materia de seguridad, ya que de lo contrario la sanción puede
ascender a 50 millones.
Por otro lado el art.
4.4 del reglamento establece que se aplicarán medidas propias del
nivel medio cuando los ficheros contengan un conjunto de datos de carácter
personal suficientes para obtener una evaluación de la personalidad
del individuo. En este caso se habrán de cumplir las medidas de
auditoría, identificación y autenticación, control
de acceso a los locales y gestión de soportes propios del nivel
medio pues esto podría constituir una clara barrera para el desarrollo
de la pequeña y mediana empresa. Habrá que esperar a que
la Agencia de Protección de Datos se pronuncie al respecto, pues
en el texto legal no se específica que ha de entenderse por "personalidad"
o por "suficiente".
Conclusiones
La proliferación
de las redes de información y comunicaciones está produciendo
un gran impacto en el desarrollo económico y en el comercio mundial.
La globalización hace que los datos personales sean cada día
más vulnerables, siendo necesaria la aplicación de medidas
de seguridad y procedimientos técnicos y legales para la protección
de los datos. Sin embargo, no hay que olvidar que esta normativa podría
obstaculizar el desarrollo del comercio, de ahí que sea necesario
un justo equilibrio para no crear barreras y al mismo tiempo evitar un
tratamiento no autorizado de datos de carácter personal.
Se hace necesario
por tanto, un esfuerzo de todos los actores involucrados (empresas usuarias
afectadas, proveedores de servicios, listbrokers, administración,
etc.) para que este nuevo marco legal se torne beneficioso para todos
y produzca la deseada confianza en el consumidor. Así con el establecimiento
de reglas claras y la tutela de los derechos fundamentales se incrementará
la confianza de los consumidores en las nuevas tecnologías, convirtiéndose
en una condición para el desarrollo del sector y en particular
del comercio electrónico. De igual forma, la aplicación
de estas reglas de seguridad es una oportunidad inmejorable para que la
empresa española se introduzca en el ámbito de las nuevas
tecnologías y obtenga de esta forma la seguridad necesaria para
operar en el ámbito de la nueva "sociedad de la información".
|
Recomendamos
la visita de la web de LEGALIA y la cumplimentación del cuestionario
de seguridad en el área de Protección de Datos para
conocer automáticamente y de forma on-line el nivel de seguridad
y las medidas técnicas y organizativas que debe implantar
para evitar una sanción de la APD.
La
dirección web es: http://www.legalia.com/dti.htm
|
|
