Niveles de seguridad 

El Título VIII del Reglamento de desarrollo de la Ley Orgánica de Protección de Datos establece una rigurosa regulación de las medidas de seguridad exigibles a los ficheros y tratamientos de datos. Aunque se mantienen los tres niveles de  seguridad ya previstos en la LOPD, varía el tipo de ficheros incluidos en cada uno. 

Medidas de seguridad de nivel básico 

Como ya apuntaba la LOPD, todos los ficheros o tratamientos de datos personales deberán adoptar las medidas de seguridad calificadas de nivel básico.  

Medidas de seguridad de nivel medio 

En un nivel superior, las medidas seguridad de nivel medio se implantarán, junto con las de nivel básico, en los siguientes ficheros o tratamientos: 

a)       Los que se refieren  a la comisión de infracciones administrativas o penales.

b)       Los que contengan información sobre solvencia patrimonial y crédito conforme al artículo 29 de la LOPD.

c)       Aquéllos de los que sean responsables las Administraciones tributarias en relación con sus potestades tributarias.

d)       Aquéllos de los que sean responsables las entidades financieras para finalidades relacionadas con la prestación de servicios financieros.

e)       Aquéllos de los que sean responsables las Entidades Gestoras y Servicios Comunes de la Seguridad Social, las mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social.

f)         Los que contengan un conjunto de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los ciudadanos. 

Medidas de seguridad de nivel alto 

En último lugar, además de las medidas de nivel básico y medio, se aplicarán las medidas de seguridad de nivel alto en los ficheros o tratamiento que a continuación se indican: 

a)       Los que se refieran a datos especialmente protegidos, que incluyen los de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual.

b)       Los que contengan datos recabados para fines policiales sin consentimiento de las personas afectadas.

c)       Aquéllos que contengan datos derivados de actos de violencia de género.

d)       A los ficheros de los operadores de comunicaciones electrónicas respecto de los datos de tráfico y de localización, se les aplicará la medida de seguridad de nivel alto del artículo 103 del  Reglamento, que se refiere al registro de los intentos de acceso. 

Excepciones

Excepcionalmente, el Reglamento establece dos precisiones respecto de los ficheros o tratamientos que afecten a datos especialmente protegidos. El régimen general impone el nivel de seguridad alto para el tratamiento de este tipo de datos. Sin embargo, en determinados supuestos se permite que se implanten únicamente las medidas de seguridad de nivel básico: 

a)       Cuando los dichos datos se utilicen con la única finalidad de realizar una transferencia dineraria a las entidades de las que los afectados sean asociados o miembros.

b)       Cuando se trate de ficheros o tratamientos no automatizados que contengan estos datos de manera incidental sin guardar relación con su finalidad.

c)       Únicamente en el caso de datos de salud, cuando refieran exclusivamente a la condición de discapacidad o invalidez del afectado o al grado de la misma, con motivo del cumplimiento de deberes públicos.  

El Reglamento permite, así mismo, que se aplique un nivel de seguridad diferente al previsto en el régimen general cuando en la práctica resulte aconsejable un nivel de seguridad concreto, en función de la finalidad o uso concreto, o por la naturaleza de los datos que contengan dichos ficheros o tratamientos, siempre y cuando puedan delimitarse los datos afectados y los usuarios con acceso a los mismos, quedando reflejada esta situación en el Documento de Seguridad.  

MÁS INFORMACIÓN SOBRE EL NUEVO REGLAMENTO 

Si desea más información sobre el nuevo Reglamento de Protección de Datos, LEGALIA ABOGADOS pone a su disposición los siguientes materiales: