El tema de esta serie de artículos es lo suficientemente amplio como para escribir varios libros, es por lo que intentaré desglosarlo en artículos con una finalidad concreta, en este caso, el primero, versa sobre el ámbito de aplicación de la Ley, a quién obliga y quien debe declarar los ficheros en la Agencia de Protección de Datos. Se incluyen algunas definiciones de conceptos con los que hay que manejarse para poder llevar a buen puerto la aplicación de la Ley 15/1999.

La legalización de un fichero con datos de carácter personal no supone únicamente restringir su acceso a través de las conocidas medidas de seguridad de Usuario y Contraseña, eso es sólo una parte, quizá la de más fácil aplicación en el Iseries del entorno seguro del Fichero. El OS/400 ya nos provee de estas herramientas con suma facilidad con la aplicación de un nivel Seguridad 20 o superior, sino que además habrá que dotarlo de otras medidas que impidan el acceso a usuarios no autorizados desde herramientas de tratamiento en "bruto", como Qry, Sql, Dfu, Client Acces, etc.. Los niveles de seguridad del AS/400 nos ayudarán mucho en las tareas pero no son las únicas a realizar, es por eso que dejaré para el final la aplicación de la Ley 15/1999 en los Sistemas de Información propios y concentrarme en el entorno seguro de los ficheros que comprende, además de las medidas a aplicar en el sistema, otras que podríamos llamar de documentación y procedimientos seguros de trabajo, tanto para los Responsables de Ficheros como para los usuarios con acceso a los datos.

La Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal tiene por objeto garantizar y proteger, en lo concerniente al tratamiento, automatizado o no, de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente su honor e intimidad.

La Ley 15/1999 se asienta sobre cuatro pilares fundamentales, propiedad, finalidad, calidad y seguridad de los datos. Sobre ellos se edifica toda la Ley.

Propiedad de los datos: Los datos pertenecen a la persona a la que se refieren, no son de quién los graba y mantiene en un ordenador.

Finalidad de los datos: En el momento de ser solicitados, se debe informar del uso y fines con que se recaban y el propietario debe dar su consentimiento expreso para que puedan ser usados.

Calidad de los datos: Los datos solicitados a las personas físicas deben ser los adecuados, pertinentes y no excesivos en relación a la finalidad legítima propuesta por quien los recaba.

Seguridad de los datos: dependiendo del tipo de datos que contiene el fichero, las medidas de seguridad se califican en tres niveles, básico, medio y alto.

Envolviendo y enlazando estos cuatro fundamentos de la Ley se regulan una serie de procedimientos y actuaciones de los mantenedores de los ficheros con datos de carácter personal, encaminados a asegurar y garantizar los datos que custodian.

Para clarificar en todo lo posible la aplicación de la Ley, el legislador hace una definición de los conceptos y figuras que se manejan en el texto, como más importantes resaltaría las siguientes:

Datos de carácter personal es cualquier información concerniente a personas físicas identificadas o identificables.
Fichero es todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.
Tratamiento de datos: operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.
Consentimiento del interesado: Toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen.

Con lo expuesto hasta el momento, es fácilmente deducible que la Ley 15/1999 será de aplicación a los datos de carácter personal registrados en soporte físico, automatizado o no, que los haga susceptibles de tratamiento y a toda modalidad de uso posterior de estos datos por los sectores público y privado, salvo con las siguientes excepciones:

• a) Ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas.
• b) Ficheros sometidos a la normativa sobre protección de materias clasificadas.
• c) Ficheros establecidos para la investigación del terrorismo.

Como resumen de este primer artículo se puede hacer el siguiente:

La Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal atañe a todas las personas físicas o jurídicas que crean o mantienen ficheros, automatizados o no, con datos de carácter personal.

Todas las empresas tienen trabajadores en su nómina y por lo tanto un fichero donde guardan sus datos.
Todas las empresas tienen proveedores a quien compran productos o servicios y por lo tanto un fichero donde guardan sus datos.
Todas las empresas tienen clientes a los que venden productos o servicios y por lo tanto un fichero donde guardan sus datos.

El principio válido para la determinación de si un fichero debe declararse es si el fichero puede contener datos de carácter personal o no.

Una vez seamos conscientes de que disponemos de un fichero con datos de carácter personal y no esté registrado en la Agencia de Protección de Datos, lo primero que hay que hacer es..... Generar toda la documentación del entorno del fichero y después registrarlo. Este procedimiento sólo es válido para los ficheros de datos de carácter personal creados con anterioridad a la promulgación de la Ley 15/1999. Si se va a crear un fichero nuevo se debe inscribir antes de crearlo tal y como dice el Artículo 26 de la Ley 15/1999.

La legalización de un Fichero comprende una serie de medidas que se agrupan en tres áreas:

Propiedad e información: Documentación concerniente a las autorizaciones de los afectados para tratar sus datos y la información ofrecida sobre el uso y finalidad de los datos, recabados junto con la información de los derechos de acceso, rectificación y cancelación.

Documento de Seguridad: establecer las políticas, protocolos y procedimientos documentados de cumplimiento de las medidas de seguridad establecidas junto con los documentos de apoyo que configuran el entorno seguro del Fichero.

Registro en la Agencia de Protección de Datos: La Ley 15/1999 establece que se deben registrar los ficheros que contienen datos de carácter personal como un paso más en su legalización. En este momento la Agencia no toma medidas contra las entidades que legalizan la situación de sus Ficheros fuera del plazo legal, pero esto no quiere decir que lo siga haciendo en el futuro, por lo que es necesario ponerse manos a la obra cuanto antes.

Para no extenderme demasiado en este primer artículo y habiendo sentado las bases de los ficheros a los que es aplicable la Ley, el próximo artículo veremos algunos de los documentos necesarios para obtener su autorización expresa y como informarles de sus derechos de acceso, rectificación y cancelación.

Agustín Selfa Cubedo
aselfa@ono.com
Auditor de Sistemas de Información
Para más información podéis visitar la página web de la Agencia de Protección de Datos https://www.agenciaprotecciondatos.org/ o en mi correo electrónico.

Diciembre 2002

Comentarios de usuarios