La LOPD para micro-emprendedores (parte 2)

Continuamos con la serie de artículos acerca del cumplimiento de la LOPD para micro-emprendedores. En el anterior artículo acerca de la LOPD vimos los conceptos básicos y las obligaciones de cada una de las figuras que distingue la legislación. En este artículo profundizaremos en los niveles de seguridad que se especifican en la LOPD y cómo implementar el nivel básico que es el que la mayoría de nosotros tocaremos en la práctica.

Datos especialmente protegidos y niveles de protección

Si hay que tener cuidado con los datos «normales», hay un subtipo de datos con los que debemos tener un cuidado exquisito. Por ejemplo, para recopilar datos acerca de ideología, afiliación sindical, religión y creencias es necesario el consentimiento por escrito del interesado, además de advertirle, por supuesto, que no está obligado a revelarlos. He visto muchas veces por ahí webs que hacen el típico «test de política» que al final te preguntan «¿a quien votaste en las pasadas elecciones?» y que caerían dentro de este nivel de protección de datos y que ni siquiera han registrado su fichero en la agencia. ¡¡No saben a lo que se están exponiendo!!

Los datos de origen racial, salud y vida sexual, todavía le dan una vuelta de tuerca más al asunto y solo pueden ser recabados cuando el fin sea de interés general. ¿Qué se entiende por interés general? Pues otra vez tenemos una pregunta complicada, como cuando nos preguntábamos por qué se define como datos personales y otra vez la misma respuesta: sentido común. A mi, con la presente ley, no se me ocurriría hacer una web dónde preguntara a la gente cuantos polvos echa a la semana y si se le levanta o no en plan «voy a comparar con tus amigos de Facebook». «Jugar» con esos datos no es una opción.

Esta diferenciación en el grado de protección de los datos nos lleva a los 3 niveles de seguridad que marca la ley:

• Nivel básico: el más bajo nivel de protección exigible para datos «normales». Por ejemplo, es el nivel que deberás implementar en un programa de facturación de una empresa de transporte. Si tu aplicación no cae en un nivel superior, simplemente aplica este nivel.
• Nivel medio: este es muy raro que lo tengas que tocar, ya que solo trata con datos Hacienda, administraciones penales y datos de entidades financieras. Digo que es raro, ya que normalmente los micro-emprendedores no tratan con este tipo de organismos tan grandes; lo habitual será caer en el nivel básico o el alto. Aunque la verdad es que hay una disposición que dice que si con los datos recopilados puedes obtener una evaluación de la personalidad de un individuo, debes implementar este nivel (ya tenemos otro tema de discusión abierto!!).
• Nivel alto: ficheros con datos de ideología, religión, creencias, origen racial, salud o vida sexual son nivel alto inexcusablemente.

Por supuesto, hay que notar que todos estos niveles son acumulativos, es decir, si tienes que implementar un nivel alto de protección, vas a tener que implementar todos los del nivel básico y todos los del nivel medio también.

¿Y cuales son las medidas obligatorias para cada uno de los niveles de protección? Empecemos por el nivel básico:

1. Documento de seguridad: la ley lo dice claro: «el responsable del fichero elaborará e implantará la normativa de seguridad mediante un documento de obligado cumplimiento para el personal con acceso a los datos automatizados de carácter personal y a los sistemas de información». Es decir, que hay que escribir un documento dónde se recojan las medidas de seguridad exigibles y hay que implantarlas en la organización. ¡Atención! Solo el responsable, no el encargado, que tendrá su propio documento de seguridad a no ser que responsable y encargado sean la misma persona. Para hacer el documento de seguridad hay una guía y un modelo. No es complicado, pero es tedioso: es el paso que más tiempo te puede llevar.
2. Crear un registro de incidencias dónde se notificará cualquier anomalía que se produzca. Se puede hacer una simple hoja Excel con los siguientes campos: tipo de incidencia, momento (día y hora aproximada), quién ha notificado la incidencia, a quién se lo ha notificado y qué efectos ha producido la misma.
3. Las contraseñas deben garantizar su confidencialidad e integridad, almacenándose de forma ininteligible (encriptadas) y deberán ser cambiadas con la periodicidad que se indique en el documento de seguridad.
4. Backups semanales y asegurándote de que funcionan y se puede restaurar el sistema al momento en el que se encontraba el día que se produjo el desastre.

El resto de normas son menos importantes y, de nuevo, de sentido común, así que estoy seguro de que las habrás implementado en tu organización (solo los administradores pueden conceder permisos, no se pueden sacar datos sin autorización del responsable, etc). Cuando elabores el documento de seguridad descubrirás el resto de medidas y deberás cumplirlas.

En el próximo y último artículo de la serie profundizaremos en lo visto en este artículo y abordaremos las medidas de seguridad cuando desarrollemos un proyecto cuyos datos sean considerados de nivel medio o alto de protección.