AS400 iSeries Recursos. La calidad de los datos en la LOPD.

Volver a la página principal de Recursos iSeries AS400

System i5 iSeries AS400 Recursos. Compartiendo generamos conocimiento

La calidad de los datos en la LOPD

El Artículo 3 del R.D. 994/1999 dice textualmente "Las medidas de seguridad exigibles se califican en tres niveles: básico. medio y alto. Dichos niveles se establecen atendiendo a la naturaleza de la información tratada, en relación con la mayor o menor necesidad de garantizar la confidencialidad y la integridad de la información".

El Apartado 1 de Artículo 4 del mismo R.D. 994/1999 aclara un poco más el contenido del Artículo 3 y dice lo siguiente "Todos los ficheros que contengan datos de carácter personal deberán adoptar las medidas de seguridad calificadas como de nivel básico". ¿Que ficheros se agrupan en el nivel básico? pues aquellos que tengan datos de personas físicas identificadas o identificables, es decir, nombre, dirección, código postal y provincia, o bien, nombre y correo electrónico, o bien nombre y teléfono. Es decir cualquier combinación de datos sobre una persona que nos permita identificarla (nombre) y localizarla (dirección o teléfono). Además de los anteriores, que por otra parte son muy comunes en cualquier aplicación informática, también son datos que nos permiten localizar o identificar a una persona si sólo tenemos el nombre y la empresa para la que trabaja con su dirección, como es el caso del nombre de la persona de contacto en una pantalla de un maestro de clientes o proveedores.

La ley establece que las medidas de seguridad son acumulativas, por lo que cualquier fichero con datos de carácter personal llevará las medidas de seguridad de nivel básico más la de medio y alto. El mismo artículo 4 del R.D. 994/1999, en el apartado 2 especifica un poco más los datos que, de estar en el fichero, hacen que se deban adoptar las medidas de nivel medio. "Los ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros y aquellos ficheros cuyo funcionamiento se rija por el artículo 28 de la Ley Orgánica 5/1992 deberán reunir, además de las medidas de nivel básico, las calificadas como de nivel medio". Hay que destacar que en este momento la Ley 5/1992 está derogada, por lo que no haré referencia a ella. El propio texto del artículo aclara suficientemente cuales son los datos que obligarán a aplicar las medidas de nivel medio al fichero que las contiene.

Siguiendo con la lectura del mencionado Artículo 4 del R.D. 9994/1999, en su apartado 3 dice "Los ficheros que contengan datos de ideología, religión, creencias, origen racial, salud o vida sexual así como los que contengan datos recabados para fines policiales sin el consentimiento de las personas afectadas deberán reunir, además de las medidas de nivel básico y medio las calificadas como de nivel alto". Téngase en cuenta al comprobar los datos en cada fichero, que así como no es normal que una empresa pregunte a sus empleados por su vida sexual o su religión, si posee de forma común datos sobre la salud de los mismos como pueden ser revisiones médicas, procesos de enfermedad o accidente con sus fechas de baja y alta, un campo sobre filiación sindical, las medidas antropométricas para calcular las tallas de los uniformes, etc. Estos campos hay que buscarlos dentro de los maestros de empleados para la confección de las nóminas y si existen, el fichero debe adoptar las medidas de seguridad de nivel alto.

En el mismo artículo 4 del R.D. 994/1999 se establece en su apartado 4 que "cuando los fichero contengan un conjunto de datos de carácter personal suficientes que permitan obtener una evaluación de la personalidad del individuo deberán garantizar las medidas de nivel medio establecidas en los artículos 17, 18, 19 y 20". ¿que es una evaluación de la personalidad del individuo?, pues vosotros mismos lo juzgaréis, yo creo que si puede saberse la edad, situación familiar, ingresos económicos y tal vez su patrimonio, son datos más que suficientes para evaluar la personalidad del individuo. Estos casos se dan comúnmente en ficheros de empleados para nóminas y seguro que están en un fichero para calcular las declaraciones de renta.

El Artículo 4 del R.D. 994/1999 acaba con el apartado 5 que dice lo siguiente "Cada uno de los niveles descritos anteriormente tienen la condición de mínimos exigibles, sin perjuicio de las disposiciones legales o reglamentarias específicas vigentes.". Aquí se despeja cualquier tipo de duda que pueda quedarle a alguien sobre la aplicación de los niveles de seguridad, en caso de duda, aplicar siempre el de mayor nivel, pues seguro que cumplirá con el mínimo exigible por la Ley.

En este momento creo que es necesario hacer una salvedad que puede resultar clarificadora para quién va a mantener ficheros con datos de carácter personal. El legislador es conocedor de las diferentes problemáticas que circundan a las aplicaciones informáticas dentro del entorno empresarial y es consciente que los datos de carácter personal no se utilizan en un sólo fichero o tabla, sino que estos aparecen en diferentes ficheros de trabajo, pantallas o informes impresos. Las medidas de seguridad deben ser iguales para una pantalla de mantenimiento, que para una pagina web o para un informe impreso, por lo que las medidas de seguridad deben ser aplicadas a todo el entorno del fichero. Que quiere decir todo esto? pues muy fácil, que la Ley 15/1999 permite establecer las medidas de seguridad y declarar no solo los ficheros individualmente sino que puede ser declarado el Tratamiento de Datos completo, siempre y cuando las medidas de seguridad se hagan extensivas a todo el Sistema de Información que utiliza los datos. Más claro todavía sería decir que en el caso de empleados lo mejor y más cómodo es declarar la Aplicación de Nóminas en su conjunto, en vez del fichero de Empleados, el de retenciones de IRPF, etc. pues estos ficheros comparten medidas de seguridad y en caso de declararlos individualmente se deberían repetir todas ellas, haciendo engorrosa la aplicación del Ley Orgánica 15/1999.

Existe un error generalizado cuando se aplica la Ley 15/1999 en el marco de los Sistemas de Información, el entrevistado piensa siempre en los datos que posee, no en los que puede poseer de cada persona física. Es absurdo que no se declare un fichero de clientes por el mero hecho de que en este momento no existe ninguna persona física entre los clientes de la empresa. ¿Quiere esto decir que si acude un profesional autónomo a comprar a la empresa no se le va a vender por el mero hecho de no ser una entidad jurídica? o a no contratar un servicio con un proveedor determinado por ser una persona física y no una entidad jurídica?. Yo pienso que no, que por un lado se venderá todo lo que se pueda a cualquiera que acuda a comprar y por el otro lado se contratarán los servicios necesarios a los mejores proveedores en cada caso, sin importar si son personas físicas o entidades jurídicas.

Además de lo expuesto, hay que analizar cuidadosamente los campos que poseen los ficheros que forman la base de datos y no sus contenidos. Estos pueden llevar a equívocos y en caso de inspección por la Agencia de Protección de Datos nos llevarían directamente a la sanción. En el tiempo que llevo realizando aplicaciones de la Ley, me he encontrado con clientes que excusaban la no cumplimentación de la Ley en el supuesto anterior. En estos casos mi respuesta ha sido la siguiente pregunta: ¿Existe algún mecanismo en el programa de altas de clientes o de proveedores que impida crear un registro con los datos referentes a una persona física? Respuesta: NO. Pues en ese caso hay que declarar esos ficheros.

Existen campos en los ficheros que harían obligatoria la adopción de medidas de seguridad media o alta además de las básicas. La existencia, por ejemplo, de un campo en el que se solicita la filiación sindical de los empleados para descontar las cuotas sindicales y abonarlas a la Organización Sindical por la empresa, haría que ese fichero de Empleados que no contiene otros datos especialmente protegidos, pasara del nivel de seguridad básico al nivel de seguridad alto. Ante esto no vale decir que ese campo no se rellena y que en todos los casos está en blanco, ya que también se podría interpretar como que ninguno de los empleados de la empresa está afiliado a un sindicato. Para evitar estos equívocos, si un campo no se usa, quítelo, suprímalo o bórrelo de su base de datos, de lo contrario deberá declararlo o incurrir en una irregularidad si no lo declara a la Agencia de Protección de Datos.

Agustín Selfa Cubedo
Auditor de Sistemas de Información

Para más información visitar la página de la Agencia de Protección de Datos
https//:agenciaprotencciondatos.org

Febrero 2003

Artículos sobre LOPD

Comentarios de usuarios

Ver más documentos técnicos

Dossiers técnicos iSeries y AS400

- Seguridad
- Alta disponibilidad.

¿Buscas trabajo ?

Inscríbete en nuestra lista laboral y recibirás las ofertas de trabajo en tu buzón de correo electrónico.

Envíanos un truco y gana

¿Tienes algún truco que quieras compartir con todos los profesionales de Recursos iSeries AS400?.
Envianoslo y si resulta seleccionado te enviaremos un vale de Amazon por valor de 50$.
Todos los trucos y documentos recibidos serán publicados.

Nuestros links favoritos

- Tendencias tecnologías de la información
Expertos en tecnologías de la información, nos dan su punto de vista sobre las tendencias actuales y futuras
- Los últimos anuncios sobre hardware-software para iSeries AS400 realizados por IBM
- Freeware y shareware para el iSeries AS400
- Utilidades para el iSeries AS400 realizadas por profesionales
- Documentos. Trucos e ideas para resolver tus problemas
- Los manuales y links más interesantes del iSeries AS400

Links patrocinados