El legislador (es decir, quien hace las leyes, Parlamento y/o Gobierno), ante: a) una «sociedad de la información» donde la tecnología hace posible, de forma fácil, la copia, extracción modificación, transmisión de datos de forma sencilla; b) preocupado por garantizar el derecho a la intimidad de sus ciudadanos, intentado evitar que se produzca una transferencia de datos no deseados por el individuo, bien a empresas o a otros países; y c) por que la propia Constitución en su art. 18 dice que la «ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos…», dio a luz el Real Decreto 994/99 de 11 de junio (BOE 25 de Junio), que aprueba el reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal, esta ley no solo se aplica a ficheros, sino también a los centros de tratamiento, locales, equipos, sistemas, programas y personas que intervengan en el tratamiento automatizado de datos de car cter personal.
As¡ pues, existe ya un marco de referencia para los responsables de ficheros de este tipo de datos «personales o de car cter ¡ntimo», se pretende garantizar la confidencialidad e integridad de la informaci¢n, de car cter personal, que se encuentre en algon tipo de fichero inform tico.
Su incumplimiento ser sancionado segon los arts. 43 y 44 de la LORTAD y en los poblicos segon el 45.
El Real decreto distingue tres niveles de seguridad, de menos a mas:
Nivel B sico: Deben adoptarlo todas las empresas u organismos que dispongan de ficheros que contengan datos de car cter personal (por ejemplo, nombre, direcci¢n, tel’fono). Este tipo de ficheros los tiene cualquier empresa o cualquier aut¢nomo o profesional liberal que tenga un ordenador, y una base de datos con sus clientes.
Nivel medio: Para ficheros que contengan datos relativos a infracciones administrativas o penales, (Hacienda, Tr fico, Ministerio del Interior y Justicia) y tambi’n para ficheros de solvencia patrimonial y/o cr’ditos, ficheros de morosos, etc…
Nivel alto de seguridad: Para ficheros que contengan datos sobre ideolog¡a pol¡tica, creencias religiosas, vida sexual, origen racial…etc., (por ejemplo ficheros de partidos pol¡ticos, ONG, asociaciones, etc.), as¡ como los datos obtenidos por la polic¡a sin consentimiento de las personas afectadas.
Medidas que han de tomarse, segon el real decreto:
En el nivel b sico, el responsable del fichero debe implantar un documento de seguridad que contenga el mbito de aplicaci¢n del mismo, normas, procedimientos, reglas, obligaciones del personal, estructura de ficheros afectados, descripci¢n de sistemas, gesti¢n y respuesta ante posibles incidencias, procedimientos de copias de seguridad y recuperaci¢n de datos.
Si bien no tengo dudas de que IBM podr cumplir con estas medidas obligatorias, me pregunto si un aut¢nomo podr hacer lo mismo o tendr que afrontar un gasto m s, si no quiere que le sancionen. Teniendo en cuenta que aut¢nomos y peque_as empresas son m s del 80% del tejido empresarial espa_ol, esto se convierte en un problema. Para resolverlo, tienen un plazo legal de 6 meses , desde la publicaci¢n del reglamento, es decir hasta el 25 de Diciembre de 1999, el plazo ya ha pasado para ellos. No existen datos sobre porcentaje de cumplimiento.
En el nivel medio, adem s de cumplir las normas del b sico, deben realizar una auditor¡a que verifique el cumplimiento del reglamento, establecer un control de acceso f¡sico a los locales, y nombrar un responsable de seguridad, adem s de establecer sistemas de identificaci¢n en relaci¢n con el acceso a los sistemas inform ticos, y un sistema de registro de entrada y salida de soportes inform ticos. Estos tienen un plazo de 12 meses, es decir, hasta el 26 de Junio del 2000.
Y en el nivel de seguridad alto, las medidas de seguridad ser n mucho m s restrictivas, por ejemplo las copias de seguridad deben custodiarse en lugar distinto al de los soportes inform ticos, registrarse todos los accesos, se necesita autorizaci¢n del responsable de seguridad para el transporte de la informaci¢n adem s de cifrarse para dicho traslado. Las sanciones aqu¡ pueden llegar hasta los 50 millones por incumplimientos. En este nivel se tiene 24 meses de plazo para ponerse al d¡a (26.Junio.2001).
Se espera que la agencia de protecci¢n de datos y la propia jurisprudencia vayan consolidando las actuaciones, procedimientos y sanciones en esta materia.
Eusebio del Valle
monteleon@arrakis.es
una-al-d¡a es un servicio de HispaSec http://www.hispasec.com
