|
Los ficheros de Nivel Básico en la Protección de Datos
Siguiendo con nuestro enfoque eminentemente divulgativo e informativo, y tal y como habíamos avanzado en nuestro primer artículo, vamos a tratar en el presente sobre los ficheros que tienen un nivel Básico de seguridad.
|
|
|
|
 |
|
|
|
|
|
Nayra Pérez |
|
|
|
|
La LOPD define fichero como “todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma y modalidad de creación, almacenamiento, organización o acceso”.
Ello significa que cualquier tipo de documento (Excel, Word...) o Base de Datos en cualquier programa (Contaplus, ...), es considerado fichero por la LOPD. ¿Pero qué tipo de datos debe contener este fichero para que éste pueda ser considerado como perteneciente a un nivel básico de seguridad?
Según el RD 994/1999, de 11 de junio, por el que se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal, en su artículo 4, por lo que se refiere a la Aplicación de Niveles de Seguridad, “todos los ficheros que contengan datos de carácter personal deberán adoptar las medidas de seguridad calificadas como nivel básico”.
Esto es una definición por exclusión. Está presuponiendo que, en principio, todos los ficheros de nuestra empresa tienen un nivel básico. Entonces, ¿cuándo entran en juego los otros dos niveles? La propia definición nos da la respuesta.
El punto dos especifica que si en ese fichero hay datos de infracciones penales o administrativas, datos de Hacienda pública, o de servicios financieros, entre otros, serán considerados como datos de nivel medio.
Por lo que respecta al nivel alto, todos aquellos ficheros que contengan datos de ideología, religión, creencias, origen racial, salud o vida sexual, también entre otros.
Examinando pues el contenido de este artículo, en definitiva, ¿qué datos se consideran como nivel básico? Pues todos excepto los mencionados anteriormente. Principalmente, se consideran datos de nivel básico los datos de carácter identificativo, es decir, los datos que poseemos de tipo general que nos permiten ponernos en contacto con una persona (nombre y apellidos, dirección, teléfono, e-mail, DNI, etc..).
Hay que tener en cuenta que tener ficheros con imágenes (fotos) o grabaciones sonoras de personas físicas también es considerado un dato de carácter personal y que, en líneas generales, se considerará un dato de nivel básico.
Muchas veces nos podemos encontrar una duda con respecto a cómo calificar los ficheros que contienen nóminas (fichero que causalmente contienen prácticamente todas las empresas).
En el 99, la APD mostró su inclinación a la hora de tratar esta determinada información. Pasamos a presentar su informe, y lo explicaremos paso a paso.
”Con carácter general, debe indicarse que estos ficheros se encontrarán sujetos al nivel de seguridad básico en caso de que en los mismos no se contenga ninguno de los datos a los que posteriormente se hará referencia.” La APD se inclina por que, normalmente, los ficheros de nóminas deben ser considerados como un nivel básico. Sin embargo, a veces las nóminas pueden contener datos que por su tipología, las hacen susceptibles de integrarse en un nivel alto. ¿Cuándo sucede eso? A veces las nóminas pueden reflejar datos de salud (cuando en las mismas aparece el grado de minusvalía de un trabajador) o datos de afiliación sindical. O podrían tener un nivel medio, puesto que en las mismas aparece el porcentaje de la retención de IRPF.
”En cuanto a los datos relativos a las retenciones, y por los motivos que se acaban de indicar, el tratamiento por el empresario de tales datos no supone la inclusión del fichero dentro de los que se refieren a la Hacienda Pública.” Es decir que, por que en la nómina aparezca el dato de retención de IRPF, ello no entraña, por el tipo de dato, que la nómina pase a formar parte de un fichero con un nivel medio.
Una vez solucionado este aspecto, seguimos teniendo la duda sobre cómo tratar aquellas nóminas que contengan datos relativos a salud o afiliación sindical. La misma APD nos da la respuesta:
”Pues bien, de lo establecido en el artículo 4.3 del Reglamento se deduce que, con independencia de la finalidad en virtud de la cual se haya procedido al tratamiento de los datos, será imprescindible que siempre que al fichero se incorporen este tipo de datos se apliquen las medidas de nivel alto.” Es decir, sin solución de continuidad, las nóminas que tengan estos dos tipos de datos serán, irremediablemente, ficheros que tendrán un nivel de seguridad alto, con todo lo que ello comporta.
Sin embargo, la APD permite que, en caso de este tipo de ficheros, podamos distinguir entre datos identificativos (nivel básico) y a estos datos que nos aumentan el nivel, de forma que a los primeros podamos tan sólo aplicar las medidas relativas al nivel básico, y para aquellas nóminas con datos de salud o afiliación sindical, poder realizar un tratamiento diferenciado con sus medidas de seguridad relativas a un nivel alto.
En el próximo artículo entraremos a exponer en qué consisten propiamente las medidas a aplicar para la protección de los ficheros de nivel básico.
Nayra Pérez
Responsable Departamento Nuevas Tecnologías
Ibáñez & Almenara Abogados
www.protecdatos.com
|
