Una vez hemos terminado con las definiciones de conceptos importantes en la legislación, vamos a centranos ahora en aquellos aspectos de la ley que tienen mayor impacto en el cumplimiento de ésta. Hoy comenzamos con los niveles de seguridad.
Los datos personales, según cuáles sean, están sujetos a determinados grados de protección, que nos indican las medidas de seguridad que tendremos la obligación de aplicar en cada caso.
Vamos a centrarnos en comentar sólo aquellos supuestos que se pueden dar con mayor frecuencia en las empresas, dejando el resto al margen de este artículo.
- Medidas de seguridad de nivel básico: se aplican a todos los ficheros que contengan datos de carácter personal. Es lo mínimo que debemos implantar en nuestra empresa.
- Medidas de seguridad de nivel medio: además de aplicar las medidas del nivel básico, deberemos aplicar las de nivel medio a aquellos ficheros que contengan información que permita evaluar la personalidad o el comportamiento del interesado.Si guardáramos datos en los que se vieran reflejados los gustos, aficiones, etc. de nuestros clientes (asociados a otros que los identifiquen), estos ficheros entrarían en este nivel.
- Medidas de seguridad de nivel alto: tendrán que aplicarse sobre los ficheros que contengan datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual. No será habitual que nos encontremos con este caso en las empresas, pero en ficheros de nóminas en los que se incluyan los datos sindicales para abono de cuotas o de minusvalías para declaración de renta si habría que aplicar este nivel.Si así fuera, lo más conveniente (y permitido) sería disgregar, sacar del sistema aquellos registros que tengan los datos especialmente protegidos, de forma que no tendríamos que aplicar el nivel alto a todo el sistema de tratamiento, sólo a éstos ficheros en concreto.
En la próxima entrega veremos los requisitos que hay que cumplir en cada uno de los niveles, cuáles son las medidas que tenemos que implantar y las diferencias existentes si el tratamiento de los ficheros es automatizado o no automatizado.
En Tecnología pyme | LOPD: Guías prácticas y conceptos básicos