jueves, 31 de marzo de 2011

Rincón del Responsable de Seguridad: ¿Qué nivel de seguridad tiene este cacharro?

Ahora que es Usted responsable de seguridad se enfrentará al reto de la correcta aplicación del art. 81 del RLOPD, o dicho de otra forma, tendrá que determinar el nivel de seguridad de los ficheros de su empresa.

Hoy estudiaremos uno de los aspecto más complicado de esta tarea: las excepciones a la aplicación del nivel de seguridad alto, previstas en los apartados 5 y 6 del citado art. 81. 

Pero antes, déjeme explicarle algunas nociones básicas. 

Lo primero de todo, no me sea Usted hortera y llame a las cosas por su nombre. Los niveles de seguridad son "básico, medio y alto", no "1, 2 y 3" o "bajo, intermedio y alto". Un responsable de seguridad fetén, que aspire al respeto de los auditores externos y de los abogados de la casa, debe utilizar la terminología lopedera con corrección.

Pues bien, las reglas para determinar cuándo se deben aplicar las medidas correspondientes a cada nivel, como ya habrá adivinado, se encuentran en el art. 81 del RLOPD. Estas medidas se asignan en función de los datos tratados, de la importancia que el legislador les otorga. De esta forma, teniendo presente que en todos los ficheros y tratamientos, como norma general, deben ser implantar las medidas de seguridad básicas, se seleccionan algunos susceptibles de contener categorías de datos merecedoras de mayor protección. 

Por una parte, se aplica el nivel medio a los ficheros y tratamientos que les indico a continuación:

- Los relativos a la comisión de infracciones administrativas o penales.

- Aquellos cuyo funcionamiento se rija por el artículo 29 de la Ley Orgánica 15/1999, de 13 de diciembre (esto es, ficheros con información sobre solvencia patrimonial y crédito).

- Aquellos de los que sean responsables Administraciones tributarias y se relacionen con el ejercicio de sus potestades tributarias.

- Aquéllos de los que sean responsables las entidades financieras para finalidades relacionadas con la prestación de servicios financieros.

- Aquéllos de los que sean responsables las Entidades Gestoras y Servicios Comunes de la Seguridad Social y se relacionen con el ejercicio de sus competencias. De igual modo, aquellos de los que sean responsables las mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social.

- Aquéllos que contengan un conjunto de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos.

Por su parte, el nivel de seguridad alto se aplica a los ficheros y tratamientos siguientes:
- Los que se refieran a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual.

- Los que contengan o se refieran a datos recabados para fines policiales sin consentimiento de las personas afectadas.

- Aquéllos que contengan datos derivados de actos de violencia de género.
  
No comentan el error de identificar datos especialmente protegidos (art. 7 de la LOPD) con datos de nivel alto. El legislador no establece esa correspondencia (entre otras cosas, porque si no, habría dos niveles de seguridad, no tres). Además, es posible aplicar el nivel de seguridad básico, aún tratando datos especialmente protegidos, cuando se den las circunstancias contempladas en el art. 81.5 y 6 del RLOPD.

Dichas circunstancias son muy importantes en la práctica, ya que operan en casi todos los ficheros de Recursos Humanos de una empresa tipo. La Agencia ha emitido diversos informes jurídicos aclarando los apartados 5 y 6 del art. 81 del RLOPD. El más claro de todos ellos, el Informe 511/2009, dice:

"La consulta plantea el nivel de seguridad exigible a los ficheros mantenidos por los colegiados pertenecientes a la Corporación consultante y relativos a la gestión de recursos humanos de empresas clientes de los mismos o a la realización de actividades de asesoría fiscal de clientes que sean personas físicas.

En relación con estas cuestiones, debe tenerse en cuenta el parecer mantenido por esta Agencia en diversos informes y que puede ser resumido de la siguiente manera:

a) En relación con las labores de gestión de recursos humanos, y en relación con los datos de salud de los empleados, esta Agencia ha señalado en diversos informes a partir del de 1 de julio de 2008 que será la aplicación la previsión contenida en el artículo 81.6 del Reglamento de desarrollo de la Ley Orgánica y, en consecuencia, serán únicamente exigibles las medidas de seguridad de nivel básico en aquellos ficheros que contengan uno o varios de los siguientes datos:

- La mera indicación del grado o porcentaje de minusvalía del afectado o de los miembros de su unidad familiar a los efectos previstos para el cálculo de las retenciones en la legislación reguladora del Impuesto sobre la Renta de las Personas Físicas.

- La indicación del datos “apto” o “no apto” de un trabajador a los efectos previstos en la Ley de Prevención de Riesgos Laborales.

- Los datos relacionados con las obligaciones impuestas al empresario por la legislación vigente en materia de seguridad social que se limiten a señalar únicamente la existencia o no de enfermedad común, enfermedad profesional o accidente laboral o no laboral, así como la incapacidad laboral del trabajador.

Por el contrario, si el fichero contuviera cualesquiera datos relacionados con los resultados de las acciones de vigilancia de la salud distintos del meramente referido a la aptitud del trabajador o incorporasen los datos relacionados con la concreta enfermedad o accidente padecido por el trabajador no será posible entender aplicable el artículo 81.6 del Reglamento, debiendo implantarse las medidas de seguridad de nivel alto.

b) Por lo que respecta al tratamiento en dichos ficheros del dato de afiliación sindical de los trabajadores, la Agencia se ha referido al tratamiento en la nómina de la condición de afiliado a un sindicato del trabajador con la finalidad de proceder a la detracción de la cuota sindical, entendiendo que la misma puede subsumirse en el supuesto contemplado en el artículo 81.5 a) del Reglamento de desarrollo de la Ley Orgánica 15/1999, que excluye de la implantación de las medidas de seguridad de nivel alto los tratamientos que tengan por objeto la realización de una transferencia dineraria a la organización de la que sea miembro el trabajador."

En fin, pensaba dedicar también unas líneas al cuarto nivel de seguridad (sí, hay un cuarto nivel de seguridad, una cenicienta de la lopedé que por no tener, no tiene ni nombre), pero mi estado de salud no me lo permite. Creo que es hora de irse a la cama. 

Buenas noches. 

2 comentarios:

Anónimo dijo...

¿cuarto nivel? ¿una dimensión espiritual? gracias por el blog, es entretenido (a la par que interesante) :)

Ad Edictum dijo...

Estimado Anónimo:

Gracias por su comentario. Lo del cuarto nivel lo explicaré en el siguiente post... Me gusta mantener la tensión dramática.