En la actividad diaria de una empresa, normalmente se gestiona datos de terceros y es muy importante tener en cuenta si éstos datos son personales y corresponden a clientes, proveedores, socios, administradores, personal, agentes, pacientes, contribuyentes, asegurados… ya que en ese caso, la empresa estaría obligada a cumplir con la Ley Orgánica de Protección de Datos.
La Agencia Española de Protección de Datos contempla tres niveles acumulativos para clasificar las medidas de seguridad exigibles a los ficheros y tratamientos de datos personales. Esta clasificación se divide en BÁSICO, MEDIO y ALTO y se realiza atendiendo a la naturaleza de la información tratada, en relación con la menor o mayor necesidad de garantizar la confidencialidad y la integridad de la información.
A continuación, vamos a indicar los ficheros y tratamientos a los que corresponde aplicar las medidas de seguridad relativas a cada uno de los niveles que determina el RLOPD:
NIVEL ALTO. Ficheros o tratamientos con datos:
• de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual y respecto de los que no se prevea la posibilidad de adoptar el nivel básico;
• recabados con fines policiales sin consentimiento de las personas afectadas; y
• derivados de actos de violencia de género.
NIVEL MEDIO. Ficheros o tratamientos con datos:
• relativos a la comisión de infracciones administrativas o penales;
• que se rijan por el artículo 29 de la LOPD (prestación de servicios de solvencia patrimonial y crédito);
• de Administraciones tributarias, y que se relacionen con el ejercicio de sus potestades tributarias;
• de entidades financieras para las finalidades relacionadas con la prestación de servicios financieros;
• de Entidades Gestoras y Servicios Comunes de Seguridad Social, que se relacionen con el ejercicio de sus competencias;
• de mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social;
• que ofrezcan una definición de la personalidad y permitan evaluar determinados aspectos de la misma o del comportamiento de las personas; y
• de los operadores de comunicaciones electrónicas, respecto de los datos de tráfico y localización
NIVEL BÁSICO. Cualquier otro fichero que contenga datos de carácter personal. También aquellos ficheros que contengan datos de ideología, afiliación sindical, religión, creencias, salud, origen racial o vida sexual, cuando:
• los datos se utilicen con la única finalidad de realizar una transferencia dineraria a entidades de las que los afectados sean asociados o miembros;
• se trate de ficheros o tratamientos de estos tipos de datos de forma incidental o accesoria, que no guarden relación con la finalidad del fichero; y
• en los ficheros o tratamientos que contengan datos de salud, que se refieran exclusivamente al grado o condición de discapacidad o la simple declaración de invalidez, con motivo del cumplimiento de deberes públicos.
Las medidas de seguridad de nivel básico son exigibles en todos los casos. Las medidas de nivel medio complementan a las anteriores en el caso de ficheros clasificados en este nivel, y las de nivel alto, cuando deban adoptarse, incluyen también las de nivel básico y medio.