Economía del Comercio Electrónico (G9)
Legislación de protección de datos y comercio electrónico
7. Registro de ficheros
Si tienes que utilizar en tu negocio un fichero que contenga datos personales, tu primera obligación es inscribir ese fichero ante el Registro general de protección de datos que ha creado la Agencia de protección de datos para tener constancia de qué personas y entidades son en nuestro país ‘responsables de ficheros’, qué tipo de ficheros tienen y qué tratamientos realizan. Para cumplir esta obligación sólo tienes que seguir estas instrucciones que la propia Agencia tiene colgado en su web.
Si has hecho antes el primer ejercicio practico ya conoces el Registro, y si no, sería bueno que le echaras un vistazo para ir familiarizándote con él. La principal finalidad del registro no es de control, sino de información. Así, cuando un ciudadano desea conocer quién, y para qué trata sus datos personales, o quiere ejercitar sus derechos de acceso, cancelación y rectificación, puede consultar ese registro y averiguar ante quién tiene que dirigirse.
Como te imaginaras, la Agencia no tiene todos los datos personales de todo el mundo. El registro contiene sólo la identidad del responsable y las características del fichero que ha registrado. Entre la información necesaria para poder inscribir un fichero en el registro, hay que reflejar las medidas de seguridad del fichero. Garantizar la seguridad de los datos personales es una de las principales y más costosas obligaciones de todo responsable de un fichero.
En efecto, registrar sus ficheros no es lo único que tienes que hacer como ‘responsable’. El artículo 9 de la LOPD establece como su obligación (y del encargado del tratamiento, en su caso) que implante unas medidas de seguridad. En seguida profundizaremos un poco más en ellas (§ 8). Antes, quiero mencionar que el responsable tiene que cumplir un deber de secreto sobre los datos personales que maneja (art. 10 de la LOPD). Nada de darle a los amigos/as los teléfonos de los chicos/as que se registran en tu web. La obligación del deber de secreto afecta al responsable del fichero y demás personas que intervengan en cualquier fase del tratamiento de los datos de carácter personal, incluso después de haber finalizado la relación con el titular o el responsable del fichero.
Inscripción de ficheros
Consulta del Registro
Otras obligaciones
Medidas de seguridad
Deber de secreto
Concepto
El artículo 9 de la LOPD establece como obligación del responsable del fichero y (si lo hay) del encargado del tratamiento la implantación de las medidas de seguridad necesarias para mantener los datos personales bajo ciertas garantías. Desde luego, no hacía falta una ley de protección de datos para que las organizaciones articularan ciertas medidas de seguridad para sus sistemas de información. Pero ahora es obligatorio que lo hagan, siempre que los sistemas de información contengan datos personales, porque la ley prohíbe el tratamiento de estos datos en centros de tratamiento, locales, equipos, sistemas y programas que no reúnan las condiciones adecuadas para garantizar la integridad y seguridad de los datos (me dirás, y tienes razón, que la ley prohibirá lo que quiera, pero todavía hay muchas empresas que no cumplen esas condiciones). Estas medidas de seguridad deberán tender a evitar la alteración, pérdida y acceso por parte de personas no autorizadas a los datos almacenados, conforme al estado de la técnica y a la naturaleza de los propios datos. En concreto, las medidas de seguridad que debe adoptar tu empresa y los requisitos de los ficheros se recogen en el Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal (RMS). Aunque es imposible reflejar en estas páginas el contenido del RMS, espero que estas indicaciones te sirvan de orientación.
Clasificación de las medidas en atención a los niveles de seguridad
Lo primero que tienes que hacer es determinar qué nivel de seguridad tienes que aplicar a los datos de los que eres responsable. Si tienes la desgracia de tener que trabajar con el RMS, este análisis comparativo de los niveles de seguridad puede serte útil. El RMS clasifica las medidas de seguridad en tres niveles: básico, medio y alto. La diferencia depende de la naturaleza de la información tratada y de la necesidad de garantizar la confidencialidad e integridad de la misma (art. 3.2 RMS). El nivel de seguridad depende, pues, de qué datos personales sean objeto de tratamiento.
Para cualquier fichero que contenga datos personales deben aplicarse las medidas de seguridad de nivel básico, que consisten básicamente en la elaboración de un documento de seguridad (en seguida vemos qué contiene este documento). Las medidas de nivel medio se aplican, además de las del nivel básico, a los ficheros de la administración tributaria, a los ficheros de servicios financieros (bancos) y a los de solvencia patrimonial y de crédito (morosos) y a los ficheros sobre comisión de infracciones penales y administrativas. Normalmente, estas normas no te afectarán. Pero hay un supuesto especial que sí te afecta: también se aplican las medidas de nivel medio cuando los ficheros contengan un conjunto de datos que permitan obtener una evaluación de la personalidad del individuo (sólo se aplican aquí los arts. 17-20 RMS). Este último caso te interesa, porque si mantienes suficiente información sobre tus clientes como para elaborar un perfil personalizado de sus hábitos de consumo, o de su historial de compras o de navegación on-line, debes aplicar medidas de nivel medio. Si el fichero contiene datos especialmente protegidos (recuerda: salud, ideología, vida sexual...), debe reunir, además de las medidas de nivel básico y medio, las de nivel alto.
El documento de seguridad
Entre las numerosas reglas que establece el RMS, la principal es la obligación de elaborar una normativa de seguridad de la empresa en materia de protección de datos, a la que llamamos documento de seguridad. El documento de seguridad tiene como función regular las condiciones de seguridad de los ficheros que contienen datos personales dentro de la entidad, estableciendo las normas y procedimientos necesarios para garantizarlas. Este documento, que debe elaborar toda entidad que realice un tratamiento de datos y que debe conservarse siempre a disposición de la APD, será de obligado cumplimiento para todo el personal con acceso a los datos de carácter personal y a los sistemas de información de la entidad. Como contenido mínimo, el documento debe reflejar: (1) su ámbito de aplicación (a quién y a qué ficheros y tratamientos se aplica), (2) las medidas, normas, procedimientos, reglas y estándares que se siguen para garantizar la seguridad de los datos; (3) las funciones y obligaciones del personal de la empresa que tenga acceso a los datos y a los sistemas de información. Esto quiere decir que la empresa tiene que mantener una relación actualizada de las personas que tengan acceso al sistema de información y establecer los medios de identificación y autenticación para dicho acceso (contraseñas, por ejemplo); (4) la estructura de los ficheros y la descripción de los sistemas de información; (5) el procedimiento de notificación, gestión y respuesta ante las incidencias. Una incidencia es cualquier acontecimiento que ponga en peligro la seguridad del sistema de información: puede ser desde un incendio y una caída de tensión en la red (incidencias físicas), hasta una salida no autorizada de soportes de datos de la empresa que se produce porque un trabajador se plancha la base de datos de clientes en un CD (incidencias internas); o incluso el ataque de un hacker (incidencias externas) trabajador se lleva un ordenador para trabajar en casa y (6) el procedimiento de realización de copias de respaldo (backup).
Todos estos contenidos son obligatorios para todas las empresas o entidades. Resumiendo, se puede decir que el documento de seguridad contiene una parte relativamente fija o estática (en la que se determinan las normas de seguridad y los procedimientos de acceso y tratamiento de la información) y una serie de registros (dinámicos) en los que se recogen las incidencias que afectan al tratamiento de los datos y al sistema de información. Todo esto, como digo, para el nivel básico. Si los datos personales merecen una protección media o alta, habrás de sumar a tu documento los siguientes aspectos.
Medidas de nivel medio
Cuando corresponde aplicar las medidas de nivel medio, es necesario designar un responsable de seguridad, es decir, una persona encargada de coordinar y controlar las medidas definidas en el documento de seguridad (art. 16 RMS). Además, habrás de realizar una auditoría del sistema de seguridad, interna o externa, al menos cada dos años. El informe resultante de esta auditoría tiene que estar también a disposición de la APD (art. 17 RMS). Tendrás que reflejar en el documento de seguridad el control de acceso físico (art. 19 RMS), es decir, quién esta autorizado para entrar en los locales donde se ubican los equipos que contienen datos personales, así como los mecanismos que se emplean para la autenticación de estos accesos (desde el clásico número de identificación personal o pin, hasta a los sistemas de identificación biométrica, como el escáner de iris o el reconocimiento de la huella). Junto a ello, es necesario contar con un sistema de acceso lógico al sistema de información, mediante identificación inequívoca y autenticación de la identidad, para evitar que puedan obtener datos personas no autorizadas a ello (art. 18 RMS). A diferencia del control de acceso al sistema en el nivel básico (que puede ser una única contraseña para todos), el sistema exigido en el nivel medio debe asegurar la identificación inequívoca y personalizada de cada usuario. También es obligatorio fijar procedimientos específicos de gestión de entrada y salida de los soportes en los que se contienen datos personales (disquetes, cederrones, cintas magnéticas) (art. 20 RMS). Por último, deberás llevar un registro de incidencias más detallado que en el nivel básico, reflejando, por ejemplo, el procedimiento realizado para la recuperación datos, indicación de la persona que ejecutó el proceso, los datos restaurados y los que haya sido necesarios grabar manualmente en el proceso de recuperación (art. 21 RMS). Recuerda que las obligaciones referidas al registro de incidencias y a la designación del responsable de seguridad (art. 16 RMS) no se aplican a los ficheros que contengan un conjunto de datos que permitan obtener una evaluación de la personalidad del individuo.
Medidas de nivel alto
Además de todas las medidas que acabamos de ver, para garantizar un máximo nivel de seguridad para los datos especialmente protegidos se han previsto todavía algunas otras obligaciones adicionales, entre las que destacan estas tres: (1) siempre que salgan de la empresa soportes (disquetes, cederrones, cintas magnéticas) o se envíen datos a través de redes de telecomunicación, deben cifrarse los datos de modo que no sea accesibles o manipulados por terceros (arts. 21 y 26 RMS); (2) deben añadirse al registro de control de accesos determinadas características, como la identificación del usuario, fecha y hora, fichero al que se accede, tipo de acceso... (art. 22 RMS); y (3) debe conservarse, cifrada, una copia de respaldo en un lugar diferente al que se encuentren los equipos informáticos.
Cuestiones prácticas
Como ves, elaborar un documento de seguridad no es cosa sencilla. Basta con que sepas que, para definir e implantar el nivel aplicable a tus ficheros, tendrás que localizar y analizar los equipos en los que se almacenan datos personales (hardware, incluidos los periféricos), el tipo de datos que se almacenan en cada uno, los programas y aplicaciones informáticas que utilizas (software), así como estudiar las características de los locales y las responsabilidades y las obligaciones de todo el personal que interviene o puede intervenir de algún modo en el tratamiento de los datos personales. Pero si todo esto te suena a chino, no te preocupes, en esta web encontrarás modelos de documento de seguridad.
Uno de los problemas típicos que plantea el documento de seguridad es si debe realizarse un documento por cada fichero de datos o si es posible realizar un único documento de seguridad para todos los tratamientos de datos de la empresa. Si bien se pueden hacer ambas cosas, creo que la primera opción es muy costosa y poco operativa. Es mejor concebir que el conjunto de información personal de la empresa constituye un único sistema de información, de modo que es suficiente con que elabores un único documento de seguridad en el que se refleje toda la estructura de tratamiento de datos de la empresa.
La
otra cuestión a la que me quiero referir es que la sola
presencia de un dato especialmente protegido determina la aplicación
al fichero de las medidas de nivel alto. El caso típico
de este problema es el fichero de nóminas de los trabajadores.
Este fichero, ya que la legislación laboral exige que contenga
ciertos datos de salud, entendiendo también como tales las fechas
y periodos de Incapacidad temporal o ‘bajas’ por enfermedad,
como podría ser el caso de reflejar minusvalías a los efectos
de la declaración de la renta, o datos de ideología sindical
cuando se aplica el descuento de la cuota sindical, se le aplicarán
las medidas de nivel alto. Los datos contenidos en los ficheros de bajas,
que según la Ley de Prevención de Riesgos Laborales deben
elaborar todos los empleadores respecto de sus trabajadores, son datos
de carácter personal relativos a la salud que indican el estado
de salud presente o pasado de los trabajadores. Todos los responsables
del tratamiento que empleen a personas físicas mediante contratación
laboral (y que se encuentren obligados por la normativa en prevención
de riesgos laborales a elaborar ficheros de los partes de baja por incapacidad
temporal) son responsables del tratamiento de datos de carácter
personal de nivel alto.
Medidas de seguridad
RMS
Los niveles de seguridad
Documento de seguridad obligatorio
¿Qué debe contener?
Resumen
Nivel medio: medidas adicionales
Nivel alto: medidas adicionales
Un ejemplo de documento de seguridad
¿Un único documento o varios?
Bajas laborales por enfermedad
9. El contrato de prestación de servicios (outsourcing)
Como sabes, es muy frecuente que, para poder realizar sus actividades, una empresa tenga que contratar a otra para que realice ciertos servicios. En estos casos se produce una externalización de funciones o servicios de la empresa, un contrato de outsourcing. Aunque seguramente te lo han explicado antes mucho mejor, el contrato de outsourcing en general responde a la tendencia de las empresas a concentrar sus esfuerzos en el ‘business’ y a encomendar a un tercero las tareas periféricas, como pueden ser el manejo de stock, transporte, almacenaje, procesamiento de datos... ¿He oído datos? Efectivamente, el outsourcing no sólo es una cuestión de las grandes empresas. Este tipo de contrato lo celebras, por ejemplo, cuando encargas a una asesoría que lleve la gestión de cuestiones laborales de tu empresa; cuando alquilas un espacio en un servidor web para alojar tus páginas paginas (hosting) o una determinadas instalaciones para instalar tus propios servidores (housing); cuando encargas a una empresa de transportes el reparto de los productos que vendes en tu tienda on-line; o cuando contratas a una empresa especializada para que atienda telefónicamente los pedidos o las quejas de tus clientes virtuales. En todos estos casos, la empresa que has contratado tendrá que procesar datos personales de los que tú eres el responsable (porque son datos de tus clientes o de tus empleados). A esta empresa la llamamos encargado del tratamiento, porque realiza tratamientos de datos por cuenta de otros, en este caso, de tu empresa, que es la responsable del tratamiento.
Siempre que exista un contrato de externalización o outsourcing que implique el tratamiento de datos personales, la ley te obliga a cumplir ciertas condiciones y a reflejarlas en un contrato escrito (art. 12 LOPD). La realización de tratamientos por cuenta de terceros debe estar regulada en un contrato por escrito (vale también un contrato electrónico, B2B) que debe contener algunas cláusulas obligatorias. Debe constar expresamente, por ejemplo, que el encargado del tratamiento sólo tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará o cederá, ni siquiera para su conservación, a otras personas. En el contrato han de fijarse, además, las medidas de seguridad que el encargado del tratamiento está obligado a implementar (ver epígrafe siguiente). Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento. Como ocurre siempre en cuando hablamos de cómo deben hacerse los contratos, lo mejor es que veas uno: este es el modelo que ha publicado la Universidad de Zaragoza.
Outsourcing
Ejemplos
Encargado del tratamiento
Contrato de outsourcing (en protección de datos)
Cláusulas obligatorias
Espero haber sido capaz de resumir las principales elementos del derecho de protección de datos, pero de todos modos será bueno que le eches un vistazo a este cuadro explicativo (fuente: mastertic.com) donde se explica cronológicamente la vida del fichero que contiene datos personales (aunque contiene más cosas de las que hemos estudiado, lo he querido poner porque explica graficamente todo lo que dice la ley sobre la vida de un fichero).
lllllll llllllll lllll llllllllllll
la vida de un fichero