Cualquier pequeño o gran negocio trabaja con datos de carácter personal (los datos de sus trabajadores, clientes, proveedores, etc) y estos datos, que a simple vista pueden parecer poco importantes, en realidad son de gran importancia y deben ser protegidos. Así, y en contra de lo que comúnmente se cree, no solo deben cumplir con la normativa en materia de protección de datos las empresas que se dedican expresamente a recoger datos personales, sino que, cualquier empresa debe cumplir con la normativa y ésta es muy restrictiva.
¿Cómo debo proteger los datos?
Instaurando medidas de seguridad que eviten la pérdida de los datos o el acceso a estos por parte de terceros no autorizados.
No se trata de una recomendación, sino de una obligación legal, cuyo incumplimiento puede acarrear la imposición de elevadas sanciones por parte de la Agencia Española de Protección de Datos.
¿Cuáles son las medidas de seguridad?
Las medidas de seguridad (nivel básico, medio y alto) vienen reguladas en el artículo 80 y siguientes del Reglamento de la Ley Orgánica de Protección de Datos de Carácter Personal (Real Decreto 1720/2007, de 21 de diciembre) y deberán implantase unas u otras medidas dependiendo del nivel de protección de los datos que queramos salvaguardar. Así, los datos se dividen en: datos de nivel básico, medio o alto.
A modo de ejemplo señalar que:
- Son datos de nivel básico: el nombre, DNI, teléfono, dirección, etc.
- Son datos de nivel medio: los que hacen referencia a infracciones administrativas, penales, etc.
- Son datos de nivel alto: los datos relativos a ideología, salud, vida sexual, religión, etc.
Es importante saber que las medidas de seguridad son acumulativas, es decir, si queremos proteger datos de nivel medio, tenemos que implantar medidas de seguridad de nivel básico y medio y, si queremos proteger datos de nivel alto, deberemos implantar medidas de seguridad de nivel básico, medio y alto.
Para entenderlas mejor, podemos clasificar las medidas de seguridad en: documentales, informáticas, físicas y organizativas.
1.- Las medidas documentales son aquellas que se recogen por escrito para acreditar el cumplimiento de la empresa respecto a la normativa sobre protección de datos de carácter personal (esto no significa que la empresa garantice que cumple lo que ha puesto por escrito, solo que cumple con las medidas de seguridad documentales) . Dentro de este grupo se encontraría:
- Dar de alta los ficheros ante la Agencia Española de Protección de Datos.
- Elaborar el documento de seguridad. Este documento recoge por escrito cuáles son los tipos de datos que se recogen, qué nivel de protección precisan y cuáles son las medidas de seguridad que va a implantar la empresa en cumplimiento de la normativa.
- Contratos con el afectado (persona a la que se recoge los datos) conforme se le ha solicitado el consentimiento para tratar sus datos.
- Los contratos con los encargados del tratamiento (contrato con el tercero al que le traspasamos datos de carácter personal para una finalidad concreta). Es el típico caso de la gestoria que hace las nóminas de la empresa.
2.- Dentro de las medidas de seguridad informáticas, podemos encontrar, entre otras:
- Los controles de acceso a los datos.
- La utilización de contraseñas únicas e intransferibles para poder acceder a los datos.
- La realización de copias de seguridad de los datos: cómo se va a hacer y cada cuánto se van a hacer.
3.- Las medidas de seguridad físicas, se refiere a las medidas materiales que se implantan y son, entre otras:
- El acceso a los datos únicamente con llave, código o huella (dato biométrico).
- La colocación de los archivos que contienen datos: cómo y dónde se van a poner.
- La colocación de contenedores para la destrucción de los datos una vez ha finalizado el tratamiento.
4.- Por último, las medidas de seguridad organizativas, son aquellas que tienen que ver con el funcionamiento de la empresa. Dentro de este grupo estarían, por ejemplo:
- Informar y formar al personal de la empresa sobre la importancia de los datos con los que trabajan y concienciar a los trabajadores de sus obligaciones respecto de los mismos.
- El registro de incidencias respecto a los datos.
- Las auditorias obligatorias cada dos años cuando los datos que se tratan son de nivel medio o alto.
En definitiva, debemos concienciarnos de que la pérdida o descontrol de datos de carácter personal supone vulnerar el derecho fundamental a la protección de datos del ciudadano y, por tanto, a fin de evitar tal vulneración y la imposición de una sanción, debemos proteger los datos. No se trata de una buena conducta, sino de una obligación impuesta legalmente y cuyo incumplimiento supone la imposición de sanciones.