El siguiente artículo que nos envía un atento lector trata sobre las medidas de seguridad que se deben implementar en la empresa a raíz de la entrada en vigor del
reglamento sobre medidas de seguridad en la custodia de los datos
personales. Comenta Fernando Ramos en el email que acompaña a su documento que, «a pesar de que pertenezco a una empresa que precisamente
quiere la libertad en el tratamiento de los datos de carácter personal,
nos hemos dado cuenta que este reglamento puede ser un medio para
espabilar a la empresa española en un tema tan importante como puede ser
la seguridad. Por ello me dirijo a usted y en concreto a su página web
en la que estoy suscrito para la recepción de noticias. Si estiman
necesario algún otro tipo de participación no duden en ponerse en contacto por e-mail o
teléfono.

Sin otro particular y esperando sea de su agrado, reciba un cordial saludo.
Fernando Ramos Suárez

Nuevo reglamento de seguridad para la protección de ficheros automatizados con datos de carácter personal: ¿obstáculo o ayuda al desarrollo de la empresa española?

El artículo 18.4 de la Constitución Española establece que «la Ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos».
Como consecuencia de este derecho fundamental y del artículo 9 de la LORTAD (Ley Orgánica 5/92) relativo al necesario desarrollo reglamentario de condiciones de seguridad que garanticen la confidencialidad e integridad de los datos de carácter personal, surge una nueva medida de control para garantizar el cumplimiento de estos preceptos. Nos estamos refiriendo al Real Decreto 994/1999 de 11 de junio sobre medidas de índole técnico y organizativo que deben cumplir las empresas para evitar la posible alteración, pérdida, tratamiento o acceso no autorizado a los ficheros de datos de carácter personal.
El objeto de estas medidas se encuentra en la necesidad de garantizar la preservación del derecho a la intimidad del ciudadano en la actual «sociedad de la información», donde la tecnología posibilita la copia, extracción, modificación y transmisión de datos de forma sencilla y a bajo coste. Parece que en el fondo de estas medidas está la preocupación del legislador en evitar que se produzca la transferencia de datos no autorizada a empresas o a países en donde no existe un nivel de protección equiparable al que establece la LORTAD. Está claro que sería extremadamente fácil transmitir estos datos y realizar con ellos cualquier tipo de tratamiento informático no controlado ni sancionado.
Para evitar este efecto, el nuevo reglamento establece una serie de medidas de seguridad y sus correspondientes sanciones por incumplimiento de las mismas, destinadas a garantizar la correcta custodia y manipulación de los ficheros afectados y evitar la posible fuga de datos (por ejemplo por personal descontento de la empresa, o por la inexistencia de medidas de seguridad) sin su correspondiente consentimiento a empresas o países con menor nivel de protección. Hasta aquí, parece loable y positivo el esfuerzo legislador para corregir estos hipotéticos problemas, que evidentemente pueden darse.

Pero este nuevo marco legal tiene una segunda lectura, no tan positiva y que tiene que ver con la realidad empresarial española y los usos que en términos generales se hacen de los ficheros automatizados, pues para muchos pequeños empresarios del sector (pequeños ficheros de clientes utilizados para mailings) puede llegar a ser asfixiante, produciendo una clara desventaja respecto de medianas y grandes empresas (que no tendrán problemas en implantarlo) y promocionando retroceso de inversión en marketing y publicidad directa.
Haremos en primer lugar un breve repaso del reglamento de seguridad y lo que supone en términos de su aplicación y puesta en marcha.
Marco general de las medidas de seguridad

Las medidas de seguridad objeto de este reglamento se aplicarán a ficheros automatizados de datos de carácter personal de los sectores públicos y privados (art. 2 de la LORTAD), distinguiendo tres niveles de seguridad (de menos a más seguridad) que deben aplicarse sobre cada fichero en función del tipo de datos que contengan.
* Nivel de seguridad básico: todas las empresas que dispongan de ficheros que contengan datos de carácter personal (nombre, dirección postal, número de teléfono) deberán adoptar estas medidas.
* Nivel de seguridad medio: ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros y ficheros de solvencia patrimonial y crédito.
* Nivel de seguridad alto: ficheros que contengan datos personales de ideología, religión, creencias, origen racial, salud o vida sexual así como los que contengan datos recabados para fines policiales sin consentimiento de las personas afectadas.
Nivel de seguridad básico
El plazo de implantación de estas medidas es de seis meses desde la entrada en vigor del reglamento, es decir, deberán estar implantadas antes del 28 de diciembre de 1999.
En el nivel básico se establece la necesidad de elaborar e implantar por parte del responsable del fichero un documento de seguridad que debe contener: el ámbito de aplicación del mismo, las medidas, normas, procedimientos, reglas y estándares encaminados a garantizar el nivel de seguridad, las funciones y obligaciones del personal, la estructura de los ficheros afectados y descripción de los sistemas de información que los tratan, el procedimiento de notificación, gestión y respuesta ante posibles incidencias y los procedimientos de copias de seguridad y de recuperación de datos.

Esto que parece sencillo para empresas de cierto tamaño, puede no serlo tanto para las pequeñas empresas, autónomos y profesionales liberales. Este colectivo supone ni más ni menos que el 90% del tejido empresarial español. La gran empresa confiará este asunto a su departamento de asesoría legal o subcontratará los servicios de una asesoría externa, pero ¿qué ocurrirá con el millón y medio de pequeñas empresas? ¿tendrán capacidad para hacer cumplir la normativa o simplemente deberán abandonar la practica común de realizar sus pequeños mailings periódicos para sostener sus empresas?, ¿se les juzgará con el mismo patrón que a las empresas grandes?.
Nivel de seguridad medio
Además del cumplimiento de las medidas de nivel básico, el nivel de seguridad medio, implica realizar una auditoría (interna o externa) que verifique el cumplimiento del reglamento, establecer un control de acceso físico a los locales donde se encuentran ubicados los sistemas de información, y nombrar un responsable de seguridad, el cual coordinará y controlará las medidas descritas en el documento de seguridad. Otra obligación propia de este nivel es la de establecer sistemas de identificación y autenticación en relación con el acceso a los sistemas informáticos y el establecimiento de un sistema de registro de entrada y salida de soportes informáticos.
A diferencia de las medidas de nivel básico el plazo de implantación de estas medidas es de doce meses, es decir, deberán estar implantadas antes del 26 de junio del 2000.
Nivel de seguridad alto.

Debido a la naturaleza sensible de los datos personales propios de este nivel se deberán adoptar unas medidas de seguridad aparentemente mucho más restrictivas. Por ejemplo, las copias de seguridad deben custodiarse en un lugar distinto al lugar de ubicación de los soportes informáticos y los sistemas informáticos deben registrar puntualmente todos los accesos. En cuanto al transporte de la información se requerirá una autorización firmada del responsable de seguridad y se procederá a la encriptación de los datos para evitar que sean capturados durante el trasiego telemático. Para una correcta implantación de estas medidas de nivel alto será necesaria la implantación de una infraestructura de clave pública en donde se garanticen los principios de intimidad, autenticación y confidencialidad. Siendo por tanto crucial el desarrollo de las autoridades de certificación o terceras partes de confianza, y el de las Firmas digitales que influirán de forma positiva al correcto desarrollo de estas medidas de seguridad.
Estas medidas de seguridad pueden ser para empresas como los, sindicatos, partidos políticos o asociaciones de carácter religioso o sexual, unas medidas restrictivas, pues difícilmente dispondrán de estructura técnica adecuada para conseguir cumplir el reglamento. Sin embargo, debido a la naturaleza sensible de los datos será necesaria la aplicación del reglamento para conseguir la eficacia jurídica pretendida. Además el plazo de implantación de estas medidas de nivel alto es de veinticuatro meses, es decir, suficiente tiempo como para poder ser implantadas antes del 26 de junio del 2001. Mención aparte merecerían las ONG´s las cuales si necesitarían de un apoyo y aplicación flexible del reglamento por parte de la Agencia de Protección de Datos.
Problemática en la aplicación del reglamento.
Dentro del articulado del reglamento hay una serie de preceptos que a nuestro juicio no estarán exentos de polémica en su aplicación por parte de la Agencia de Protección de Datos.

Nos referimos al art. 6 donde se establece que la ejecución del tratamiento de datos de carácter personal fuera de los locales de ubicación del fichero, deberá ser autorizada por el responsable del fichero y lo que es más importante, deberá garantizarse el nivel de seguridad correspondiente al tipo de fichero tratado. Este artículo supone, para las empresas que presten servicios de tratamiento de datos (art. 27 de la LORTAD) la exigencia de garantizar las medidas de seguridad correspondientes al nivel del fichero de la empresa cliente. Siendo por tanto muy importante garantizar en el contrato de prestación de servicios la responsabilidad en materia de seguridad, ya que de lo contrario la sanción puede ascender a 50 millones, según el artículo 43.3 h) de la LORTAD.
Por otro lado el art. 4.4 del reglamento establece que se aplicarán medidas propias del nivel medio cuando los ficheros contengan un conjunto de datos de carácter personal suficientes para obtener una evaluación de la personalidad del individuo. En este caso se habrán de cumplir las medidas de auditoría, identificación y autenticación, control de acceso a los locales y gestión de soportes propios del nivel medio pues esto podría constituir una clara barrera para el desarrollo de la pequeña y mediana empresa. Habrá que esperar a que la Agencia de Protección de Datos se pronuncie al respecto, pues en el texto legal no se específica que ha de entenderse por «personalidad» o por «suficiente».

Conclusiones
La proliferación de las redes de información y comunicaciones está produciendo un gran impacto en el desarrollo económico y en el comercio mundial. La globalización hace que los datos personales sean cada día más vulnerables, siendo necesaria la aplicación de medidas de seguridad y procedimientos técnicos y legales para la protección de los datos. Sin embargo, no hay que olvidar que esta normativa podría obstaculizar el desarrollo del comercio, de ahí que sea necesario un justo equilibrio para no crear barreras y al mismo tiempo evitar un tratamiento no autorizado de datos de carácter personal.
Se hace necesario por tanto, un esfuerzo de todos los actores involucrados (empresas usuarias afectadas, proveedores de servicios, listbrokers, administración, etc.) para que este nuevo marco legal se torne beneficioso para todos y produzca la deseada confianza en el consumidor. Así con el establecimiento de reglas claras y la tutela de los derechos fundamentales se incrementará la confianza de los consumidores en las nuevas tecnologías, convirtiéndose en una condición para el desarrollo del sector y en particular del comercio electrónico. De igual forma, la aplicación de estas reglas de seguridad es una oportunidad inmejorable para que la empresa española se introduzca en el ámbito de las nuevas tecnologías y obtenga de esta forma la seguridad necesaria para operar en el ámbito de la nueva «sociedad de la información».

Fernando Ramos Suárez
Abogado especializado en Derecho Informático
Departamento de Asesoría Jurídica
ITEM (Información Tecnología y Marketing)
Tlfno: 91 729 13 90
e-mail: ramosuarez@colon.net
framos@item.es
ITEM (información Tecnología y Marketing)
«Convertimos los Datos en Conocimiento»
C/ Francisco Gervás 10, CP 28020, Tlfn:91 567 25 50, Fax: 91 571 96 57