Niveles y medidas de seguridad

Seguimos a vueltas con la LOPD, que es de lo que me gusta hablar. Quizá por eso no tengo amigos… Bueno, pelillos a la mar, nosotros a lo nuestro.

Hoy quería aclarar una confusión que habitualmente existe —o existía— en relación con los niveles de seguridad de los tratamientos que se declaran a la AEPD y las medidas de seguridad que hay que aplicar a los datos que integran dichos ficheros. Aclaremos, aunque no creo que sea necesario, que cuando hablamos de «Fichero» o «Tratamiento» no lo hacemos en un sentido lógico del término, sino en un sentido más bien conceptual; tal y como indica el RD 1720/2007, un «fichero» es, según el artículo 5:

k) Fichero: Todo conjunto organizado de datos de carácter personal, que permita el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.

Por tanto, un tratamiento denominado «Recursos Humanos» podrá estar formado, por ejemplo, por una base de datos, un par de documentos ofimáticos, y una carpeta de expedientes en soporte papel.

La confusión que les comentaba al comienzo proviene de pensar que si el tratamiento «Recursos Humanos» es declarado de nivel alto por contener datos de minusvalías físicas —y no con el único propósito de realización de la nómina, por si alguien se me adelanta—, entonces es necesario que todas las aplicaciones, sistemas y soportes que lo integran tengan implantadas medidas de nivel alto, por su mera inclusión en el tratamiento. Como habrán adivinado a estas alturas, en realidad no es así; claro que uno puede aplicar medidas de seguridad de nivel alto a datos de nivel básico (pero no al contrario), pero como les decía, no es necesario. Sólo deberá aplicarlas en aquellos sistemas que realmente traten datos de nivel alto; en el resto, se podrán aplicar las medidas correspondientes, según el nivel de los datos tratados. Esto significa, según nuestro anterior ejemplo, que si los datos de minusvalías están en los documentos de ofimática (que por cierto es casi el peor tipo de soporte para los datos de nivel alto, y a la vez el más habitual; una interesante, preocupante e inapropiada combinación) y el resto de «componentes» del fichero sólo contienen datos de nivel básico, únicamente será necesario aplicar las medidas de seguridad de nivel alto a los documentos ofimáticos. Al resto, nivel básico.

Aunque esto es algo que parece lógico y bastante intuitivo (se trata, al fin y al cabo, de proteger los datos; un «fichero» es un concepto y una forma de estructurar la información en torno a finalidades, no algo que haya que proteger per se), no estaba —o no recuerdo que lo estuviese— explícitamente contemplado en el anterior reglamento, el escueto, interpretable y obsoleto RMS, con lo que no era del todo extraño ver medidas de seguridad de cierto nivel aplicadas a datos que no las requerían. En cualquier caso, y por fortuna, el largo, nuevo e igualmente interpretable RDLOPD viene a aclarar este punto, en su artículo 81.8:

8. A los efectos de facilitar el cumplimiento de lo dispuesto en este título, cuando en un sistema de información existan ficheros o tratamientos que en función de su finalidad o uso concreto, o de la naturaleza de los datos que contengan, requieran la aplicación de un nivel de medidas de seguridad diferente al del sistema principal, podrán segregarse de este último, siendo de aplicación en cada caso el nivel de medidas de seguridad correspondiente y siempre que puedan delimitarse los datos afectados y los usuarios con acceso a los mismos, y que esto se haga constar en el documento de seguridad

Ya lo han visto. Apasionante, ¿no creen? Nada más por hoy. Disfruten del resto del día.