Niveles de Seguridad según tipología de datos

Niveles de Seguridad según tipología de datos

Las medidas de seguridad técnicas y organizativas recogidas en el RLOPD, deben aplicarse según la clasificación y sensibilidad de los ficheros que contienen los datos personales objeto de tratamiento.

Así, conforme a la tipología de datos personales pueden diferenciarse tres grupos

1.1         Nivel Básico

La información más habitual que comprende este nivel de seguridad, son los datos definidos como meramente identificativos, tales como: D.N.I. o N.I.F., NUM.S.S. o MUTUALIDAD, NOMBRE, APELLIDOS, DIRECCION, TELÉFONO, FIRMA/HUELLA u otra información biométrica de identificación, IMAGEN/VOZ, E-MAIL, NOMBRE USUARIO, FIRMA ELECTRÓNICA, NÚMERO DE TARJETA, MATRÍCULA, etc.

1.2        Nivel Medio

Los datos a los cuales se les aplica una seguridad nivel medio son aquellos contenidos en ficheros con información relativa a:

  • La comisión de infracciones administrativas o penales.
  • Solvencia patrimonial y crédito.
  • Datos tributarios responsabilidad de las distintas Administraciones.
  • La prestación de servicios financieros.
  • Datos responsabilidad de las Entidades Gestoras y Servicios Comunes de la Seguridad Social.
  • La obtención de características o información sobre la personalidad y el comportamiento de las personas, como por ejemplo los test psicotécnicos sobre la profesionalidad o personalidad de una persona, y aquella recabada con la finalidad de ofrecer ofertas y servicios relacionados con los gustos, costumbres o aficiones de una persona.

Además de las medidas de nivel básico, se aplicarán a los ficheros que contengan este tipo de información, las medidas correspondientes al nivel medio.

1.3         Nivel Alto

Las medias de seguridad de nivel alto se aplican a los ficheros que contengan datos personales en relación a la información sobre:

  • Ideología, afiliación sindical, religión, creencias, origen racial, sobre salud o vida sexual.
  • Fines policiales sin consentimiento de los afectados.
  • Violencia de género.
  • Tráfico y localización, que en el ámbito de las comunicaciones electrónicas públicas o que exploten redes públicas, dispongan los distintos operadores.

Las medidas de seguridad aplicables para esta tipología de datos corresponden a una acumulación de las de nivel básico, medio y alto.

No obstante, el RLOPD ha introducido una serie de excepciones sobre las medidas aplicables a los datos sobre ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual, permitiendo la aplicación de las medidas de nivel básico cuando:

  • Los datos se utilicen con la única finalidad de realizar una transferencia dineraria a las entidades de las que los afectados sean asociados o miembros.
  • Se trate de ficheros o tratamientos no automatizados en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad.

Para los datos exclusivos de salud, se permite aplicar las medidas de nivel básico, cuando se refieran al grado de discapacidad o declaración de condición de discapacidad o invalidez de una persona, y siempre que el tratamiento esté asociado al cumplimiento de deberes públicos.

La introducción de estas excepciones en el RLOPD, permitirá facilitar el tratamiento de la información exclusivamente de salud a un gran número de Responsables del tratamiento, al posibilitar la declaración y aplicación a los ficheros relativos a la administración y gestión del personal de las medidas de nivel básico, siempre que puedan acogerse a dicha excepción.

Departamento de Comunicación

Áudea Seguridad de la Información

www.audea.com