Seguritecnia 362

SEGURITECNIA Marzo 2010 157 Artículo Técnico formación con numerosos interlocu- tores a través de medios informáticos: correo electrónico, soportes de datos, CD, etc. En todo tipo de actividades, re- guladas o no, existe un riesgo adicio- nal de pérdida de información como resultado del desorden y la promiscui- dad: ausencia de normas y estándares, empresas intermediarias, pluralidad de clientes y proveedores, manejo intui- tivo y negligente de las tecnologías de la información, ataques de virus, troya- nos o rootkits y, en última instancia, la ley de Murphy. Tarde o temprano, la in- formación confidencial acabará donde no debe y, una vez allí, estallará, cu- briéndonos de vergüenza, quejas de clientes y algo más serio: el peso de la ley. Obligaciones relativas a la Protección de Datos De un tiempo a esta parte, son cada vez más los profesionales independien- tes, las pequeñas empresas y los tra- bajadores por cuenta ajena que se ven obligados a firmar contratos de con- fidencialidad. Si nos tomamos el tra- bajo de leerlos, observaremos referen- cias al cumplimiento de determinados deberes señalados en la Ley Orgánica 15/1999, del 13 de diciembre, sobre Pro- tección de Datos de Carácter Perso- nal (LOPD), así como al Real Decreto 1720/2007, del 21 de diciembre, por el que se aprueba el Reglamento de De- sarrollo de la Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal (RLOPD). Consul- tando en la web de la Agencia Española de Protección de Datos (AEPD), nos da- remos cuenta que bastantes de las em- presas para las cuales trabajamos ya tie- nen registrados en la AEPD sus ficheros de clientes y proveedores, recursos hu- manos y contabilidad 1 . La legislación y una cultura cada vez más exigente en materia de privacidad llevan al estable- cimiento de cauces formales para el tra- tamiento de documentos, con mayores exigencias a las personas encargadas de gestionarlos y un entorno jurídico cada vez más restrictivo. Los buenos propósi- tos ya no bastan. Lo que se pide es pro- actividad. Comencemos, en primer lu- gar, por entender de qué va todo esto de la protección de datos por decreto gubernativo. Antes hablábamos de una serie de documentos con los que habitualmente trabaja el profesional y que le propor- cionan acceso a un mundo de secretos que interesa mantener bajo llave. Con- viene recordar la clasificación estable- cida en cuanto a la información confi- dencial por el RLOPD. No todos los da- tos poseen la misma categoría. He aquí las principales clases: (i) Datos de nivel básico (identificativos, características personales, circunstan- cias sociales, cualificación académica y profesional, empleos y puestos de trabajo desempeñados, información comercial, datos económico-finan- cieros y sobre transacciones mercan- tiles). (ii) Datos de nivel medio (los relaciona- dos con Hacienda y las Administracio- nes Tributarias en el ejercicio de sus potestades específicas, los de las en- tidades gestoras y servicios comunes de la Seguridad Social en relación con el ejercicio de sus competencias, los de las Mutuas de Accidentes de Tra- bajo y Enfermedades Profesionales de la Seguridad Social, información rela- cionada con servicios financieros, sol- vencia patrimonial y de crédito, in- fracciones penales y administrativas y los que permiten evaluar determi- nados aspectos de la personalidad y comportamiento del titular). (iii) Finalmente: datos de nivel alto (re- ferentes a salud, orientación sexual, ideología, creencias, afiliación sindi- cal, religión o violencia de género). Son los más críticos y necesitados de protección. Al margen de la confidencialidad ca- racterística de profesiones como la abo- gacía o la medicina, la LOPD impone una obligación de guardar secreto que afecta no sólo al responsable del fi- chero, sino a todas las personas que intervienen en cualquier fase del tra- tamiento de datos de carácter perso- nal, con independencia de la activi- dad profesional de cada una de ellas . Concretamente, se establece un secreto profesional obligatorio respecto a los datos personales, junto con el deber de guardarlos. Este principio, expuesto en el artículo 9 de la LOPD, impone al res- ponsable del fichero, a todos los posi- bles encargados del tratamiento y a to- das las personas que intervengan en el mismo, la obligación de adoptar las me- didas de carácter técnico y organiza- tivo que sean necesarias para garanti- zar la seguridad de los datos de carácter personal, evitando la alteración, pér- dida, robo o tratamiento no autorizado de los mismos, teniendo en considera- ción el estado de la tecnología, la natu- raleza de los datos almacenados y los riesgos a los que se hallan expuestos, bien como consecuencia de la actua- ción humana, o bien de las influencias del medio físico y material 2 . Examínese la jurisprudencia relativa a Protección de Datos desde que la LOPD fue aprobada en 1999. Las sen- tencias más relevantes, que figuran en la página de la AEPD (http://www. agpd.es) , nos darán una idea de lo que se mueve en el ámbito jurídico de la privacidad, de lo que se puede hacer