Cuando hablamos de Datos de Carácter Personal y LOPD, lo primero que viene a la mente no suele ser positivo. Es como si lo que recorre la mente en primer lugar fuera una especie de escepticismo, que da paso inmediato a la convicción de que quieren coartar nuestra libertad, someternos a normas estúpidas, sacarnos el dinero con servicios profesionales que no necesitamos…
Los hackers hace tiempo que dejaron de ser simples adolescentes con ganas de diversión para convertirse en verdaderos delincuentes. Aprovechando sus amplios conocimientos y habilidades en las nuevas tecnologías logran lucrarse a expensas de personas físicas y empresas provocando grandes perjuicios económicos. Esta estructura delictiva se ha ido consolidando hasta tal punto, que a día de hoy existe todo un mercado negro para la comercialización de datos de carácter personal, donde no está exenta la participación de verdaderas mafias. Solo hay que tener en cuenta que el coste unitario de datos personales (DNI + Tarjeta de crédito) en dicho mercado oscila los 15 € y los 225 €, según los casos.
No es de extrañar que la LOPD y su Reglamente de desarrollo, impongan la obligación, de adoptar MEDIDAS TÉCNICAS Y ORGANIZATIVAS, que puedan garantizar la seguridad de los datos de carácter personal, y evitar su alteración, pérdida, tratamiento o acceso no autorizado.
Las grandes preguntas que deberíamos hacernos son:
¿Cuáles son estas medidas?
¿Cuáles tenemos que aplicar?
En estas medidas de seguridad, debemos tener en cuenta:
- Funciones y obligaciones del personal
- Registro de incidencias
- Control de Acceso
- Gestión y de soportes y documentos
- Identificación y autenticación
- Copias de respaldo y recuperación
- Responsable de seguridad
- Auditoría
- Control de acceso físico a los lugares donde se guardan los datos
- Gestión y distribución de soportes
- Registro de Accesos
- Telecomunicaciones, (accesos remotos)
Existen tres categorías de DATOS según la LOPD en función del tipo de datos que contenga tu fichero o ficheros, habrá que aplicarlas todas o solo algunas.
Los tres niveles de seguridad por tipología de datos contenidos en los ficheros son:
Básico, referidos a todos los datos que no pertenezcan a los dos niveles siguientes, y que suelen ser los más habituales, (nombre, dni, teléfono, email…).
Medio, referidos a ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, o de solvencia patrimonial o de crédito, o que contengan un “conjunto de datos” que, de manera individual o separada no tendrían más transcendencia, pero que considerados de manera conjunta, permitan obtener un perfil o definición de las características de la personalidad de las personas, y evaluar determinados aspectos de ella o de su comportamiento, entre otros.
Alto, referidos a ficheros que contengan datos sobre la ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual, y de violencia de género entre otros.
Estas medidas, deben de trasladarse al Documento de Seguridad que la LOPD obliga a elaborar y tener en todo momento a disposición de la Agencia Española de Protección de Datos.