Los tres niveles en la protección de datos


El Reglamento de protección de datos, aprobado por el Real Decreto 1720/2007, de 21 de diciembre, establece que existen tres tipos de datos personales: datos de nivel básico, medio y alto. En función del tipo de datos que estemos tratando como empresa responsable de ese tratamiento, deberemos adoptar, también más o menos medidas de seguridad y también más o menos complejas. 

Primero de todo, a mi entender, debemos definir en qué consiste un dato de carácter personal. Pues bien, no es más que cualquier dato que nos permita identificar a una persona. Por eso se llama dato personal. Si bien, según la normativa, existen datos de nivel básico, entre los que encontramos, por ejemplo, el nombre, apellidos, DNI, imagen, domicilio, dirección de correo electrónico de una persona; datos de nivel medio, que engloban cualquier infracción administrativa o penal que pueda estar relacionada con una persona o bien cualquier dato que permita identificar la personalidad de esa persona (datos sobre gustos, hobbies, actividades o incluso el currículum). Y luego tenemos los datos de nivel alto, que engloban datos más sensibles de las personas, como su raza, ideología, pensamiento político, vida sexual, o la salud, entre otros.  Si queréis ver más el detalle, os recomiendo leáis la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos y el Reglamento antes mencionado.

¿Y qué medidas deben implantarse en función del tipo de datos? Pues en todo tipo de datos, deberemos adoptar medidas correspondientes al nivel básico, como disponer de las funciones y obligaciones del personal de nuestra empresa, claramente definidas en un documento de seguridad (lo comentaremos más adelante); un registro de incidencias, para anotar cualquier incidencia que se haya producido con relación a información personal (pérdida de archivos documentales o informáticos, por ejemplo); disponer de un sistema de identificación y autenticación de los usuarios; de perfiles otorgados sólo por razón de cargo (es decir, que no haya gente que tenga acceso a más información de la que debería por razón de su perfil, por ejemplo…); de un inventario de equipos y de un sistema de copias de seguridad para la empresa… Si disponemos ya de datos de nivel medio, deberemos disponer, además, de un registro de entradas y salidas de información tanto vía informática como física, de un registro de incidencias que registra todavía más campos que el registro para datos de nivel medio; y deberá procederse a una auditoria de la empresa, cada dos años, entre otros aspectos. Mientras que si disponemos o tratamos datos de nivel alto, deberemos utilizar sistemas de etiquetado y cifrado para el caso de que tengamos que distribuir o entregar algunos de estos soportes; disponer de un registro de acceso a la base de datos que contemple una serie de campos y deberá conservarse una copia fuera de la entidad.

¿Por qué es necesaria la adopción de estas medidas?

Estas medidas son necesarias para garantizar una seguridad en el tratamiento de los datos de las personas. Imaginemos que estamos trabajando con historias clínicas y no hacemos copias de seguridad y, de repente, se nos pierde alguna información. ¿Qué hacemos? La información que no se ha grabado correctamente, igual no la podemos recuperar. Por eso es necesario disponer de este tipo de medidas. Otra pregunta: ¿por qué el personal debe tener acceso en razón de su perfil? Pues a mi parecer, por dos motivos: en primer lugar, porque la ley indica que sólo debe tener acceso a la información el personal a quién corresponda, por razón de su trabajo, cosa lógica; y, en segundo lugar, para detectar cualquier incidente que pudiera producirse. Imaginemos que en ese historial que comentábamos antes, alguien ha escrito algo que no era correcto, causando un perjuicio al paciente. ¿Cómo detectamos quién ha incorporado esa información?

¿Y por qué esa graduación en los niveles de seguridad y en el tipo de datos?

Pues porque tampoco es lo mismo, por ejemplo, que se pierda un nombre de una persona, como un dato de salud, que es más sensible, por ejemplo. Tiene su lógica y por ello es necesario adoptar más y mayores medidas de seguridad. Es una cuestión de sensibilidad y peligro que pueda haber incluso detrás de esa información…

En definitiva, que si en tu negocio tratáis con datos, es importante que apliquéis la Ley y que adoptéis la protección que corresponde en función del tipo de datos, como hemos dicho.

 

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s