Español | English
rss facebook linkedin Twitter

Niveles de seguridad aplicables a ficheros y tratamientos de datos personales

Recientemente he podido desarrollar un estudio pormenorizado de los niveles de seguridad establecidos en el nuevo Reglamento 1720/2007 de desarrollo de la LOPD (en adelante RDLOPD) en sus arts. 80 y 81 y varias son las cuestiones que me han suscitado algún comentario o debate.

En primer lugar una de las novedades que aporta el RDLOPD es que el establecimiento de los niveles de seguridad ya no se realiza únicamente en función de “la naturaleza de la información tratada” tal como fijaba el art. 3.2. del ya extinto Reglamento 994/1999 de Medidas de Seguridad (RMS), sino que el nuevo RDLOPD tiene en cuenta diferentes factores como son el tipo y naturaleza de los datos contenidos, el tipo de actividad objeto social del Responsable del fichero o la naturaleza pública o privada del mismo. Parece claro que un mismo rasero para todos los responsables de ficheros ya no era la postura más lógica y aquí las administraciones públicas han salido ganando frente a otros colectivos como las telecomunicaciones o la banca.

Respecto de los niveles de seguridad dos tipos de ficheros suscitan la mayor parte de mis dudas…

En el caso “sui generis” de los ficheros de los que sean responsables los operadores que presten servicios de comunicaciones electrónicas disponibles al público o exploten redes públicas de comunicaciones electrónicas respecto a los datos de tráfico y localización; las medidas de seguridad aplicables serán las medidas de nivel básico y medio más el registro de control de accesos del art. 103 RDLOPD. Todo un éxito en la puja entre las empresas de telecomunicaciones y el gobierno que en un primer momento quería obligar a estos operadores a implantar todas las medidas de nivel alto a sus ficheros de facturación y trafico…

Ahora bien, la duda que se nos ha suscitado no pocas veces, recae sobre qué nivel de seguridad declarar ante el Registro General de Protección de Datos respecto de este tipo de ficheros. El sistema de declaración de ficheros de la Agencia, el sistema “NOTA”, tampoco establece una solución del tema. En mi caso entiendo que la solución más prudente en estos casos pasa por declararlos como ficheros de nivel medio y luego incluir en el documento de seguridad la medida de registro de control de accesos exigida, no sea que por declarar el fichero como de nivel alto los inspectores entiendan que son de aplicación todas las medidas de nivel alto y que por tanto se han incumplido las mismas, aunque todos sabemos que la declaración de ficheros únicamente tiene efectos declarativos…

Otro hecho destacable dentro del listado de niveles de seguridad es el siempre controvertido fichero que contenga datos para la “evaluación de la personalidad o comportamiento de los ciudadanos”. La actual redacción del RDLOPD ofrece una mejora respecto del RMS ya que ahora no se habla de la necesidad de contar con “datos suficientes para poder obtener una evaluación de la personalidad” sino que exige que efectivamente el fichero contenga datos referentes a “características o personalidad de los ciudadanos” y que estos datos permitan a su vez “evaluar la personalidad y comportamiento” de los mismos.

¿Es esto un doble requisito o bastaría tener datos “suficientes” como decía el RMS para poder hacer una evaluación de la personalidad?. ¿Cuáles son los datos de características del individuo o de su personalidad?. Tampoco se dice si estos datos deben provenir directamente del individuo o pueden ser fruto de una tratamiento que de los datos iniciales y objetivos del individuo pueda realizar el responsable del fichero Ejemplo típico de estos tratamientos los tenemos en el escoring financiero realizado por bancos o los estudios de fiabilidad hechos por las aseguradoras.

Quizás el art. 36.1 RDLOPD, pueda aportar algo de luz al tema pues al hablar del derecho de oposición habla tangencialmente de las actividades que pueden suponer una evaluación de personalidad, refiriéndose a ellas como aquellas actividades encaminadas a “evaluar el rendimiento laboral, crédito, fiabilidad o conducta” del individuo.

En resumen, ¿Son estas actividades del art. 36.1 RDLOP las evaluaciones de personalidad a las que se refiere el art.81.2.f)? ¿Qué son datos de características del individuo o de su personalidad? y ¿estos datos han de existir de forma previa a la evaluación o basta con un conjunto de datos suficientes para hacerlo?. Última pregunta: ¿Estos datos sobre características y personalidad, han de ser aportados directamente por el individuo o pueden ser elaborados por el responsable del tratamiento a partir de datos objetivos de aquel?

He ahí el debate…

Raúl Rodriguez Celaya

Dpto. Consultoría

2 comentarios:

Anónimo dijo...

Creo que, leyendo entero el artículo 81.2.f del RDLOPD no queda otra posibiidad, comparándolo con el texto del no todavía extinto RD 994/1999 (hasta el día 19 del mes que viene), de interpretación en sentido extensivo y no restrictivo en cuanto a que las características se han de referir a todas las posibles características en el orden social, económino, jurídico, etc. Y además se sigue usando el "que permitan evaluar". No que se evalúen de hecho sino que permitan; osea, posibilidad. Se haga o no.
"determinados aspectos de la personalidad o del comportamiento de los mismos". Insisto. Creo que el "un determinado aspecto" de todos los posibles (ya citados varios en el párrafo anterior)o del comportamiento: sea personal, de consumo, etc.
¡A exponer opiniones!

Raúl dijo...

Lo que parece claro es que en esta ocasion el nuevo reglamento exige que para tener la posibilidad de elaborar perfiles PRIMERO debes de tener unos datos sobre caracteristicas de la personalidad, etc.
Con ello el cambio es susntancial ya da a entender que cualquier dato no sirve para hacer perfiles. Por ejemplo antes si sabias direccion, edad y estudios podias realizar perfiles de consumo y estabas dentro del "tipo" del articulo. Así si eres de una zona de renta per capita alta y tienes 55 años eres un consumo eres un publico objetivo para promociones de articulos de lujo mientras que si fueras de un barrio marginal y tuvieses por ejemplo 15 años no era así. No digamos ya de los estudios de riesgo para conceder seguros de coche que tiene en cuenta el color del coche, los caballos, etc. Ahora parece que estos datos no serian suficientes para aplicar nivel medio sino que habria que tener datos referentes por ejemplo a gustos, preferencias, hobbies, aficiones,...
En todo caso parece dificil que las tecnicas de minerias de datos y ciertos scoring que parten de datos simples queden fuera del ambito de aplicacion de este articulo cuando de hecho efectivamente realizan estos perfiles. Por ello la otra pregunta era... ¿los estudios que hacen las empresas, por ejemplo de escoring, constituyen este tipo de datos "de caracteristicas de la personalidad" sobre los que luego se hacen valoraciones y perfiles?. Con esto, el articulo seria aplicable a este tipo de tratamientos (scoring, mineria de datos,...) aunque los datos de los qwure parten los tratamientos sean datos "simples"...


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login