Medidas de seguridad

Autor:Carlos Marín Lama; José Mauro Vicente Hernández
Cargo del Autor:Abogado. Profesor, Universidad de Barcelona/Abogado y documentalista, Planificación Jurídica
Páginas:42-49
RESUMEN

12.1-. Disposiciones generales. Objetivos y obligaciones. 12.2-. Documento de seguridad. 12.3-. Medidas de seguridad. 12.3.1-. Medidas de seguridad aplicables a ficheros y tratamientos automatizados. 12.3.2-. Medidas de seguridad aplicables a los ficheros y tratamientos no automatizados.

 
ÍNDICE
EXTRACTO GRATUITO

Page 42

12. 1- Disposiciones generales. Objetivos y obligaciones

Como ya hemos señalado en la introducción del presente texto, el Título VIII del Reglamento regula un aspecto esencial para la tutela del derecho fundamental a la protección de datos como es el de la seguridad, en el que el legislador ha utilizado el máximo rigor posible debido a la repercusión que este deber tiene en los múltiples aspectos organizativos, de gestión y de inversión de las entidades que traten datos personales y a las dificultades con las que se encontraban los responsables.

Abriendo este Título, el art. 79 hace un llamamiento a los responsables de los tratamientos o los ficheros y a los encargados del tratamiento para implantar las medidas de seguridad previstas en el Reglamento, y el art. 80 introduce cuáles serán los niveles de seguridad exigibles: básico, medio y alto.

En relación con lo dispuesto anteriormente, el art. 81 establece la aplicación de esos niveles de seguridad:

  1. Deberán adoptar las medidas de seguridad de nivel básico todos los ficheros o tratamientos de datos de carácter personal.

  2. Deberán implantarse las medidas de seguridad de nivel medio, además de las de nivel básico, en los siguientes ficheros o tratamientos de carácter personal:

    - Los relativos a las comisiones de infracciones administrativas o penales.

    - Aquellos que hagan referencia a la prestación de servicios de información sobre solvencia patrimonial y crédito.

    - Aquellos de los que sean responsables Administraciones tributarias y se relacionen con el ejercicio de sus potestades tributarias.

    - Aquellos de los que sean responsables las Entidades Gestoras y Servicios Comunes de la Seguridad Social y se relacionen con el ejercicio de sus competencias, así como los que sean responsabilidad de las mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social.

    En relación con los ficheros o tratamientos que contengan datos relativos a la salud, el apartado sexto del art. 81 dispone que podrán adoptarse medidas de seguridad de nivel básico cuando hagan referencia exclusivamente al grado de discapacidad o a la simple declaración de la condición de discapacidad o invalidez del afectado.

    - Los que contengan datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los ciudadanos.

  3. Las medidas de nivel alto, además de las de nivel básico y medio, se aplicarán en los siguientes ficheros o tratamientos de datos de carácter personal:

    - Los que hagan referencia a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual.

    Respecto a este tipo de ficheros el apartado quinto del art. 81 hace una observación, señalando que bastará la implantación de las medidas de seguridad de nivel básico cuando los datos se utilicen con el único fin de realizar una transferencia dineraria a las entidades de las que los afectados sean miembros y cuando se trate de ficheros o tratamientos no automatizados en los que aquellosPage 43 datos aparezcan de forma incidental y sin mantener relación alguna con su finalidad.

    - Los que contengan datos recabados para fines policiales sin consentimiento de las personas afectadas.

    - Los que contengan datos derivados de violencia de género.

    - Los ficheros de los que sean responsables los operadores que presenten servicios de comunicaciones electrónicas disponibles al público o exploten redes públicas de comunicaciones electrónicas respecto a los datos de tráfico y de localización, deberán observar concretamente la medida de seguridad de nivel alto contenida en el art. 103 del Reglamento.

    El art. 82 incorpora la regulación de la figura del encargado del tratamiento, en los supuestos en que ésta exista, en relación con la aplicación de los niveles de seguridad observados en los artículos anteriores. En este sentido:

  4. Cuando el encargado del tratamiento preste sus servicios en los locales del responsable deberá constar esta circunstancia en el documento de seguridad del mismo, comprometiéndose el personal del encargado al cumplimiento de las medidas de seguridad previstas.

  5. Cuando el acceso a los datos del responsable del fichero o tratamiento sea remoto habiéndose prohibido al encargado incorporar tales datos en sistemas o soportes distintos a los del responsable, también deberá hacerse constar esa circunstancia en el documento de seguridad del responsable, comprometiéndose igualmente el personal del encargado al cumplimiento de las medidas de seguridad.

  6. Si el encargado prestase el servicio en sus propios locales, ajenos a los del responsable, deberá elaborar un documento de seguridad o completar el que exista identificando el fichero o tratamiento y el responsable del mismo e indicando las medidas de seguridad a implantar.

    Por otra parte, el responsable del fichero o tratamiento podrá adoptar las medidas necesarias para limitar el acceso del personal a datos personales en aquellos casos en que el trabajo a realizar no implique tratamiento de datos personales; cuando se trate de personal ajeno, el contrato de prestación de servicios deberá recoger expresamente la prohibición de acceder a datos personales y la obligación de secreto respecto a los que se hubieran podido conocer con motivo de la prestación del servicio (art. 83).

    Los artículos 84 a 86 hacen referencia cuestiones relativas a la posibilidad...

Para continuar leyendo

SOLICITA TU PRUEBA