La Protección de Datos

     El Ordenamiento Jurídico español ha considerado la trascendencia de ciertos datos dotándolos de unas medidas de seguridad especiales que garanticen, en todo lo posible, su correcta gestión y tratamiento. Así, el artículo 80 del R.D.1720/2007 establece tres categorías de datos a los que vincula concretas medidas de protección.

     La ley impone la obligación de contar en todo caso con lo que llama documento de seguridad en el que consten las directrices a seguir en el tratamiento de los datos (reglas, medidas, normas, estructura del fichero, obligaciones del personal, etc.) de igual forma que impone una especial diligencia en este sentido. Prueba de ello es el contenido de la Sentencia de la Audiencia Nacional de fecha 4 de marzo de 2010 que determina que es exigible a las entidades que habitualmente operan en el mercado de datos de carácter personal una especial diligencia a la hora de llevar a cabo el uso o tratamiento de tales datos, o su cesión a terceros. Y ello porque, siendo el de la protección de los datos personales un derecho fundamental (STC 292/2000, de 30 de noviembre), los depositarios de esos datos –más aún cuando se trata de empresas habituadas o dedicadas específicamente a la gestión de los repetidos datos de carácter personal– deben ser especialmente diligentes y cuidadosos a la hora de realizar operaciones con ellos y deben optar siempre por la interpretación más favorable a la protección de los bienes jurídicos protegidos por la LOPD.

Nivel de protección básico

     Como punto de partida se aplicará a todo fichero, constituyendo el suelo de la protección. Así, la ley configura los mecanismos de protección de forma acumulativa y progresiva por lo que un dato personal calificado como necesitado de un nivel alto de protección gozará de las medidas establecidas en el nivel básico más las determinadas en el nivel medio más las específicas del nivel alto.

     La categoría básica es residual por lo que se aplicará a todos aquellos casos en que la ley no depare una protección especial y cuenta, entre otras, con las siguientes medidas:

• Necesidad de un registro de incidencias respecto del tratamiento de los datos. Así, toda modificación sufrida en los mismos ha de hacerse constar separadamente y de forma concreta, con el fin de controlar globalmente el procedimiento de gestión.

• Necesidad de implantar un control de acceso a los datos de forma que éstos no sean utilizados más allá de la finalidad con la que fueron recabados ni sean modificados arbitrariamente.

• Inventario de ficheros, en el que conste qué tipo de datos contienen y quiénes son los autorizados para su gestión.

• Necesidad de autorización por el responsable del fichero para poder sacar datos del mismo fuera de las dependencias donde éste se encuentre naturalmente.

• Destrucción o borrado total cuando éstos no sean necesarios. Éste es uno de los ámbitos en los que se genera un mayor volumen de expedientes sancionadores, según las estimaciones de la Agencia Estatal de Protección de Datos (ej. Tirar a la basura historiales clínicos que permitan la identificación de las personas, etc).

• Cambio de contraseña de acceso a los datos obligatoriamente cada año.

• Revisión general del sistema, al menos, cada seis meses y elaboración de un informe en el que figuren los principales defectos del mismo, si los hubiere, para facilitar su reparación.

• Otros.

Nivel de protección medio

     Este grupo aúna aquellos datos que ofrecen una información más concreta y detallada de la persona, de su ámbito financiero o de su personalidad. Se encuentran catalogados en el artículo 81 del RD 1.720/2007 y corresponden a datos referentes a:

• Infracciones penales o administrativas.

• Procedimientos en los que se haya actuado con la potestad tributaria reconocida a la Administración.

• Servicios y estado financiero.

• Competencias propias del sistema de Seguridad Social, que incluye tanto a datos sanitarios como a los de empleo o prestaciones por invalidez, jubilación, etc.

• Datos que permitan la definición de la personalidad del interesado.

     En estos casos, además de los mecanismos exigidos para el llamado nivel básico, deberán ponerse en funcionamiento otros tales como las auditorías externas cada dos años –de las que habrá que remitir los resultados a la Agencia Estatal de Protección de Datos–, la creación de mecanismos de seguridad más sofisticados –como aquellos que impidan el acceso introduciendo repetidamente contraseñas al azar– o la mayor rigidez en cuestiones de acceso a los datos.

Nivel de protección alto

     Este nivel corresponde a ciertos datos considerados especialmente dignos de tutela por el Ordenamiento Jurídico, entre ellos se encuentran los correspondientes a:

• Ideología, creencias, actividad sindical, religión, origen racial, salud (salvo que sea una mera referencia a la situación de incapacidad, en cuyo caso sólo quedarán protegidos por el nivel básico) o vida sexual.

• Actuaciones policiales obtenidas sin su consentimiento (ej. Identificación forzosa).

• Procedimientos de violencia de género.

     A este nivel le corresponden, entre otras, aquellas medidas que dificulten el conocimiento de los datos (encriptación, codificación, cifrado) así como informes anuales o la conservación de un registro de las personas que hayan accedido a los mismos en un plazo de dos años, donde figure igualmente el momento de hacerlo y la gestión realizada.