Las medidas de seguridad técnicas y organizativas recogidas en el RLOPD (Reglamento de LOPD - Ley Orgánica de Protección de Datos), deben aplicarse según la clasificación y sensibilidad de los ficheros que contienen los datos personales objeto de tratamiento.
Así, conforme a la tipología de datos personales pueden diferenciarse tres grupos
Nivel Básico
La información más habitual que comprende este nivel de seguridad, son los datos definidos como meramente identificativos. Estos pueden ser: DNI o NIF, NUM.S.S. o MUTUALIDAD, NOMBRE, APELLIDOS, DIRECCIÓN, TELÉFONO, FIRMA/HUELLA u otra información biométrica de identificación. IMAGEN/VOZ, E-MAIL, NOMBRE USUARIO, FIRMA ELECTRÓNICA, NÚMERO DE TARJETA, MATRÍCULA, etc.
Nivel Medio
Los datos a los que se aplica una seguridad nivel medio son aquellos contenidos en ficheros con información relativa a:
- La comisión de infracciones administrativas o penales.
- Solvencia patrimonial y crédito.
- Datos tributarios responsabilidad de las distintas Administraciones.
- La prestación de servicios financieros.
- Datos responsabilidad de las Entidades Gestoras y Servicios Comunes de la Seguridad Social.
- La obtención de características o información sobre la personalidad y el comportamiento de las personas. Como por ejemplo, los test psicotécnicos sobre la profesionalidad o personalidad de una persona. También, aquella recabada con la finalidad de ofrecer ofertas y servicios relacionados con gustos, costumbres o aficiones de una persona.
Además de medidas de nivel básico, se aplicarán a ficheros que contengan este tipo de información, medidas de nivel medio.
Nivel Alto
Las medias de seguridad de nivel alto se aplican a ficheros que contengan datos personales en relación a información sobre:
- Ideología, afiliación sindical, religión, creencias, origen racial, sobre salud o vida sexual.
- Fines policiales sin consentimiento de los afectados.
- Violencia de género.
- Tráfico y localización, que en el ámbito de comunicaciones electrónicas públicas o que exploten redes públicas, dispongan los distintos operadores.
Las medidas de seguridad aplicables a esta tipología de datos corresponden a una acumulación de las de los tres niveles.
No obstante, el RLOPD ha introducido una serie de excepciones. Estas son medidas aplicables a los datos sobre ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual. Permite la aplicación de las medidas de nivel básico cuando:
- Se utilicen con la única finalidad de realizar una transferencia dineraria a entidades de las que los afectados sean miembros.
- Sean ficheros o tratamientos no automatizados en que de forma incidental o accesoria contengan datos sin relación con su finalidad.
Para los datos exclusivos de salud, se permite aplicar las medidas de nivel básico, cuando se refieran al grado de discapacidad o declaración de condición de discapacidad o invalidez de una persona, y siempre que el tratamiento esté asociado al cumplimiento de deberes públicos.
La introducción de estas excepciones en el RLOPD, permitirá facilitar el tratamiento de la información exclusivamente de salud a un gran número de Responsables del tratamiento, al posibilitar la declaración y aplicación a los ficheros relativos a la administración y gestión del personal de las medidas de nivel básico, siempre que puedan acogerse a dicha excepción.
Áudea Seguridad de la Información (www.audea.com)