Niveles de Seguridad según tipología de datos

Las medidas de seguridad técnicas y organizativas recogidas en el RLOPD (Reglamento de LOPD – Ley Orgánica de Protección de Datos), deben aplicarse según la clasificación y sensibilidad de los ficheros que contienen los datos personales objeto de tratamiento.

Así, conforme a la tipología de datos personales pueden diferenciarse tres grupos

Nivel Básico

La información más habitual que comprende este nivel de seguridad, son los datos definidos como meramente identificativos. Estos pueden ser: DNI o NIF, NUM.S.S. o MUTUALIDAD, NOMBRE, APELLIDOS, DIRECCIÓN, TELÉFONO, FIRMA/HUELLA u otra información biométrica de identificación. IMAGEN/VOZ, E-MAIL, NOMBRE USUARIO, FIRMA ELECTRÓNICA, NÚMERO DE TARJETA, MATRÍCULA, etc.

Nivel Medio

Los datos a los que se aplica una seguridad nivel medio son aquellos contenidos en ficheros con información relativa a:

  • La comisión de infracciones administrativas o penales.
  • Solvencia patrimonial y crédito.
  • Datos tributarios responsabilidad de las distintas Administraciones.
  • La prestación de servicios financieros.
  • Datos responsabilidad de las Entidades Gestoras y Servicios Comunes de la Seguridad Social.
  • La obtención de características o información sobre la personalidad y el comportamiento de las personas. Como por ejemplo, los test psicotécnicos sobre la profesionalidad o personalidad de una persona. También, aquella recabada con la finalidad de ofrecer ofertas y servicios relacionados con gustos, costumbres o aficiones de una persona.

Además de medidas de nivel básico, se aplicarán a ficheros que contengan este tipo de información, medidas de nivel medio.

Nivel Alto

Las medias de seguridad de nivel alto se aplican a ficheros que contengan datos personales en relación a información sobre:

  • Ideología, afiliación sindical, religión, creencias, origen racial, sobre salud o vida sexual.
  • Fines policiales sin consentimiento de los afectados.
  • Violencia de género.
  • Tráfico y localización, que en el ámbito de comunicaciones electrónicas públicas o que exploten redes públicas, dispongan los distintos operadores.

Las medidas de seguridad aplicables a esta tipología de datos corresponden a una acumulación de las de los tres niveles.

No obstante, el RLOPD ha introducido una serie de excepciones. Estas son medidas aplicables a los datos sobre ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual. Permite la aplicación de las medidas de nivel básico cuando:

  • Se utilicen con la única finalidad de realizar una transferencia dineraria a entidades de las que los afectados sean miembros.
  • Sean ficheros o tratamientos no automatizados en que de forma incidental o accesoria contengan datos sin relación con su finalidad.

Para los datos exclusivos de salud, se permite aplicar las medidas de nivel básico, cuando se refieran al grado de discapacidad o declaración de condición de discapacidad o invalidez de una persona, y siempre que el tratamiento esté asociado al cumplimiento de deberes públicos.

La introducción de estas excepciones en el RLOPD, permitirá facilitar el tratamiento de la información exclusivamente de salud a un gran número de Responsables del tratamiento, al posibilitar la declaración y aplicación a los ficheros relativos a la administración y gestión del personal de las medidas de nivel básico, siempre que puedan acogerse a dicha excepción.

Áudea Seguridad de la Información (www.audea.com)

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *