Ayer asistía a una sesión organizada por FENAC en la que la empresa alaro avant, especialista en la Ley Orgánica de Protección de Datos (LOPD) y su adecuación en las organizaciones, nos ofrecían algunas pinceladas sobre los deberes y consecuencias de la adaptación de las organizaciones a la misma.
En este sentido, los ponentes expusieron que la LOPD obliga a cualquier entidad que tenga datos personales (entendiendo por datos personales "cualquier información concerniente a personas físicas identificadas o identificables") a desarrollar un conjunto de medidas de seguridad.
En términos generales, estas medidas responden a los siguientes deberes:
- Inscribir los ficheros que contengan datos personales en la Agencia Española de Protección de Datos.
- Elaborar e implantar un "documento de seguridad" que describa y regule el tratamiento de los datos de carácter personal.
- Regular el movimiento de los datos con terceros.
- Realizar una auditoria cada dos años para datos de nivel medio y nivel alto.
Son datos de carácter personal, por ejemplo, los datos identificativos, los económico-financieros, los datos sobre empleo, los datos académicos o profesionales, etc.
Apuntaron también los ponentes que existen tres niveles en los que pueden clasificarse los datos personales y en función de esto, se han de tomar unas u otras medidas de seguridad. En cuanto a los niveles de datos, por poner algunos ejemplos:
- Datos de Nivel Básico: En el nivel básico encontramos datos que permitan identificar y hacer identificable a una persona.
- Datos de Nivel Medio: En este grupo se ubican datos relativos a la hacienda pública, la valoración de la personalidad (CV), la comisión de infracciones administrativas o penas, etc.
- Datos de Nivel Alto: En este último grupo se encuentran datos de carácter personal relacionados con la Ideología o a afiliación sindical, la religión o creencias, datos relativos a la salud u origen racial entre otras.
Por otro lado y en relación a las medidas de seguridad a implementar, se ha de tener en cuenta que los expuestos en el cuadro son considerados mínimos exigibles y que son acumulativos.
Hemos de tratar de estar al día en materia de protección de datos y muy pendientes de los cambios del Reglamento de la Unión Europea a fin de conocer cómo y en qué medida podría afectarnos la gestión de los datos de carácter personal.