Preguntas más frecuentes: Medidas de Seguridad
¿Qué se quiere decir en el Reglamento de desarrollo de la LOPD (Real Decreto 1720/2007, de 21 de diciembre), con la expresión será preciso guardar la información que permita identificar el registro accedido?
De conformidad con lo dispuesto en el artículo 103 del Reglamento de desarrollo de la LOPD, para cada acceso deberán guardarse, como mínimo, la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado. En el caso de que el acceso haya sido autorizado, será preciso guardar la información que permita identificar el registro accedido.
De lo expuesto se deduce que el registro de accesos se refiere, en primer lugar al fichero y dentro del fichero, a los distintos registros accedidos (es decir, a los concretos datos personales que se consultan).
¿Los empleados de un banco pueden acceder libremente a todos los datos que figuran en las Bases de datos del banco?
El artículo 91 del Reglamento de desarrollo de la LOPD, relativo al control de acceso, establece que:
1.- Los usuarios tendrán acceso únicamente a aquellos recursos que precisen para el desarrollo de sus funciones.
2.- El responsable del fichero se encargará de que exista una relación actualizada de usuarios y perfdiles de usuarios y los accesos autorizados para cada uno de ellos.
3.- El responsable del fichero establecerá mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados.
4.- Exclusivamente el personal autorizado para ello en el documento de seguridad podrá conceder, alterar o anular el acceso autorizado sobre los recursos, conforme a los criterios establecidos por el responsable del fichero."
5.- En caso de que exista personal ajeno al responsable del fichero que tenga acceso a los recursos deberá estar sometido a las mismas condiciones y obligaciones de seguridad que el personal propio.
En consecuencia, los accesos de los trabajadores de una entidad financiera a las bases de datos deben estar previamente autorizados por el responsable del fichero.
El hecho de que una persona alquile películas pornográficas en un vídeo club ¿Es suficiente para considerar que el fichero debe incluir el nivel de seguridad alto?
El artículo 81 del Reglamento de desarrollo de la LOPD, señala que:
1.- Todos los ficheros que contengan datos de carácter personal deberán adoptar las medidas de seguridad calificadas como de nivel básico.
2.- Los ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros y aquellos ficheros cuyo funcionamiento se rija por el articulo 28 de la Ley Orgánica 5/1992, deberán reunir, además de las medidas de nivel básico, las calificadas como de nivel medio.
3.- Los ficheros que contengan datos de ideología, religión, creencias, origen racial, salud o vida sexual así como los que contengan datos recabados para fines policiales sin consentimiento de las personas afectadas deberán reunir, además de las medidas de nivel básico y medio, las calificadas como de nivel alto.
4.- Cuando los ficheros contengan un conjunto de datos de carácter personal suficientes que permitan obtener una evaluación de la personalidad del individuo deberán garantizar las medidas de nivel medio establecidas en los artículos 17, 18, 19 y 20.
5.- Cada uno de los niveles descritos anteriormente tienen la condición de mínimos exigibles, sin perjuicio de las disposiciones legales o reglamentarias específicas vigentes."
Por ello, si los ficheros incluyen valoraciones que permitan elaborar evaluaciones sobre la personalidad de las personas físicas, entonces el nivel de seguridad será medio. Si entre esas valoraciones se incluye información sobre ideología, religión, creencias, origen racial, salud o vida sexual, el nivel de protección será el alto.
Si no concurre ninguno de los anteriores supuestos, el nivel de protección será el básico.
El mero hecho de alquilar películas pornográficas no presupone dato de orientación sexual. Otra cosa, es que el responsable del fichero incluya en el mismo valoraciones subjetivas que así lo indiquen.
