El Derecho de las Nuevas Tecnologías ha tenido que actualizarse, en ocasiones apresuradamente, para proporcionar una protección en condiciones ante las amenazas cernidas sobre las informaciones intercambiadas en los dispositivos digitales modernos. En este sentido, el control y la salvaguarda de los ficheros que contenían datos personales, tanto a nivel público como en el sector privado, se convirtieron en una prioridad. En España, el nacimiento de la LOPD y LSSICE ha implicado la respuesta normativa de mayor calado.
La presencia de Internet en todos los órdenes de la vida incrementa notablemente los riesgos sobre estos ficheros, como se ha podido ver en el ciberataque a escala mundial del virus Wanna Cry, por lo que resulta primordial incrementar la seguridad sobre los archivos más vulnerables.
En este sentido, la LOPD ha sido la normativa que ha determinado las garantías de seguridad de estos ficheros. El Reglamento de desarrollo de la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal, aprobado mediante el Real Decreto 1720/2007, de 21 de diciembre, constituye la referencia legal a tener en cuenta en esta materia.
Cabe señalar que, por lo que respecta a las medidas de seguridad que se han de aplicar a los ficheros, establece tres niveles, los cuales están asociados a la naturaleza de los datos, esto es, a su relevancia y la especial sensibilidad de las informaciones.
El artículo 81 del citado Reglamento de desarrollo estipula los niveles de medidas de seguridad básico, medio y alto. Es importante reseñar que esta escala se organiza de modo ascendente y acumulativo, de manera que los estándares de protección relacionados con los niveles más bajos se incluyen en los inmediatamente superiores.
Las medidas del nivel básico, por su parte, son de aplicación a todos los ficheros y tratamientos de datos de carácter personal. Las del nivel medio están recogidas en los 6 subapartados del artículo 81.2. En cuanto a los datos que desea proteger al artículo 81.2.f), hay que valorar que la Agencia Española de Protección de Datos ha auspiciado una visión ciertamente rigurosa, ya que de ellos se pueden desprender perfiles personales y de gustos, lo cual no deja de ser ciertamente atractivo para algunas empresas, las cuales pueden tratar de sacar beneficios de ellos.
Por último, las medidas del nivel alto se reservan a los datos de carácter personal vinculados a la violencia de género, recabando para fines policiales (sin consentimiento de los afectados) y los relativos a la ideología, religión, raza, etc.
Estas medidas, por otra parte, se adaptarán en función de si se trata de ficheros automatizados o no automatizados.
En las siguientes líneas, algunos de los aspectos especialmente relacionados con cada nivel de protección:
Así pues, dependiendo del nivel de protección exigido se requerirán unas medidas de seguridad u otras, a título ilustrativo indicamos las siguientes:
En las siguientes líneas, algunos de los aspectos especialmente relacionados con cada nivel de protección:
– Básico: registro de incidencias, identificaciones, realización de copias, archivo y almacenamiento, custodia…
– Medio: auditorías, seguridad en los controles físicos de acceso, gestión de soportes…
– Alto: telecomunicaciones, registro de accesos, acceso a la documentación y traslado de esta…
En definitiva, es necesaria una oportuna asignación de medidas de seguridad, en función de los riesgos relativos a la naturaleza de cada tipo de datos
y para ello es recomendable contar con una consultoría de protección de datos que conozca la situación de la organización y, en base a su análisis previo, implemente las medidas de seguridad necesarias.
