lunes, 4 de abril de 2011

Rincón del Responsable de Seguridad: Más sobre el art. 81 RLOPD

Como recordarán, el jueves me fui a la cama cuando estaba a punto de contarles los detalles más interesantes sobre la aplicación práctica del art. 81 del RLOPD. Mi estado de salud no me ha permitido retomar el hilo de mi exposición hasta la fecha. Espero que sepan disculparme.

En fin, vamos al lío. En este post, les deleitaré con dos nuevas curiosidades sobre los niveles de seguridad:
 
1.- El cuarto nivel de seguridad. Muchos me han preguntado qué es eso del cuarto nivel de seguridad. Como verán a continuación, se trata de una chorrada para mantener la tensión narrativa (reconozcan que este blog tiene cierta gracia).

Aunque, teóricamente, los niveles de seguridad son tres, el legislador establece un nivel medio reforzado para aquellos ficheros mantenidos por los operadores de servicios de comunicaciones electrónicas. Éstos deberán aplicar las medidas de nivel medio y una de las establecidas para el nivel alto de seguridad: la relativa al mantenimiento de registros de control de acceso. Según dispone el art. 81.4 RLOPD:

“A los ficheros de los que sean responsables los operadores que presten servicios de comunicaciones electrónicas disponibles al público o exploten redes públicas de comunicaciones electrónicas respecto a los datos de tráfico y a los datos de localización, se aplicarán, además de las medidas de seguridad de nivel básico y medio, la medida de seguridad de nivel alto contenida en el artículo 103 de este reglamento.”

2. Datos que permiten obtener un perfil de la persona. La AEPD ha determinado en su informe jurídico 8/2010 que, si los currícula almacenados en un fichero contienen información muy detallada sobre el sujeto (por ejemplo, incluyen aficiones, circunstancias personales o sociales, además de los típicos datos académicos y laborales), se podrían considerar de nivel medio:
 
“(…) la consultante duda de si, al contener el fichero datos de formación y experiencia profesional, es decir, datos curriculares, tendría que adoptar las medidas de nivel medio en aplicación el artículo 81.2 apartado f) del Reglamento referido a aquéllos ficheros que contengan un conjunto de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos.

La consulta no aporta información acerca de los datos contenidos en los mencionados ficheros. No obstante, dada su propia denominación, cabe considerar que en principio los mismos contendrían únicamente los datos necesarios para el mantenimiento de una relación laboral con la consultante, por lo que, en principio, podría entenderse que los mismos no se encuentran comprendidos en la previsión contenida en el artículo 81.2 f) del Reglamento.

No obstante, si los datos curriculares que se incorporan al fichero contienen información muy detallada sobre el sujeto, por ejemplo, sus aficiones o un perfil de estudios muy concreto, el nivel de medidas de seguridad a implementar sería el medio.”

Y con esto, les dejo hasta mañana. Buenas noches.


1 comentario:

Osete dijo...

Tiene usted mucha gracia...