• See other documents that cite the same legislation

Las medidas de seguridad

6.1. NOCIONES GENERALES SOBRE EL DOCUMENTO DE SEGURIDAD

Se trata de un texto configurado jurídicamente a modo de reglamento en donde se regulan los sistemas y los medios de seguridad empleados por el responsable del fichero y de los datos con el fin de garantizar los derechos de los afectados de acuerdo con las disposiciones legales nacionales y comunitarias al uso.

El documento de seguridad es un reglamento interno de control que obliga y rige para todos aquellos –personas físicas o jurídicas– que tengan acceso a las personas, a los locales, máquinas, programas, instalaciones o mobiliario en donde se traten o puedan tratarse datos de carácter personal, entendidos como cualquier tipo de información que afecte directa o indirectamente a personas físicas identificadas o identificables.

Está compuesto por dos elementos: uno estático –el Reglamento de medidas de seguridad– y otro dinámico –los registros perimetrales de uso, administración y autocontrol–.

6.2. REQUISITOS

6.2.1. Establecimiento del nivel de seguridad de los datos

Se establece en aplicación de lo dispuesto en los artículos 3 y 4 del RD 994/1999, de 11 de junio, que disponen textualmente:

«Artículo 3. Niveles de seguridad.

1. Las medidas de seguridad exigibles se clasifican en tres niveles: básico, medio y alto.

2. Dichos niveles se establecen atendiendo a la naturaleza de la información tratada, en relación con la mayor o menor necesidad de garantizar la confidencialidad y la integridad de la información.»

«Artículo 4. Aplicación de los niveles de seguridad.

1. Todos los ficheros que contengan datos de carácter personal deberán adoptar las medidas de seguridad calificadas como de nivel básico.

2. Los ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros y aquellos ficheros cuyo funcionamiento se rija por el artículo 28 de la Ley Orgánica 5/1992, deberán reunir, además de las medidas de nivel básico, las calificadas como de nivel medio.

3. Los ficheros que contengan datos de ideología, religión, creencias, origen racial, salud o vida sexual así como los que contengan datos recabados para fines policiales sin consentimiento de las personas afectadas deberán reunir, además de las medidas de nivel básico y medio, las calificadas de nivel alto.

4. Cuando los ficheros contengan un conjunto de datos de carácter personal suficientes que permitan obtener una evaluación de la personalidad del individuo deberán garantizar las medidas de nivel medio establecidas en los artículos 17, 18, 19 y 20.

5. Cada uno de los niveles descritos anteriormente tienen la condición de mínimos exigibles, sin perjuicio de las disposiciones legales o reglamentarias específicas vigentes.»

La aplicación de los niveles ha llevado a confusión a algunos profesionales del derecho y de la auditoria.

Algunos han interpretado, a nuestro criterio de forma errónea, que los niveles de seguridad había que implantarlos con fundamento en la longitud y calidad de los datos que constan en los ficheros informatizados. Es evidente que en los ficheros de las empresas constan los datos básicos de las personas que intervienen en las operaciones, pero la información realmente relevante se encuentra en soportes que, en la mayor parte de las ocasiones son independientes de los ficheros informatizados. El ejemplo de los hospitales y empresas de salud es claro: en los ficheros informatizados de pacientes sólo consta el nombre, los apellidos, el DNI, dirección, teléfonos y n.º de cuenta corriente. Según esa interpretación, esas empresas habrían de tener las medidas de seguridad de nivel básico; sin embargo, poseen datos de salud (apdo. 3 del art. 4) en soportes distintos de los ficheros informatizados, como es el caso de los historiales clínicos compuestos por radiografías y anotaciones del profesional sanitario.

Por tanto, la clave del error radica en la concepción del objeto y del ámbito de aplicación de la norma. Si bien en la anterior legislación (LORTAD), el ámbito quedaba reducido al tratamiento informatizado de datos de carácter personal y la norma era aplicable a los ficheros, en la presente el ámbito es universal: «Será de aplicación a los datos de carácter personal registrados en soporte físico que los haga susceptibles de tratamiento y a toda modalidad de uso posterior de estos datos por los sectores público y privado» (art. 2.1 LOPD), y su objeto, claramente distinto: «La presente Ley Orgánica tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar» (art. 1 LOPD).

En su consecuencia, para establecer el nivel de seguridad aplicable a los datos que son tratados por las instituciones –tanto públicas, como p...

If you are already a vLex customer, Access Here