Centro Europeo Juvenil de Relaciones Internacionales

 
   Áreas  

Construcción Europea y Política Exterior
Economía y Comercio Mundial
Mundo Árabe y Asuntos Islámicos
Energía y desarrollo sostenible
Igualdad
Seguridad y Defensa
Educación y Cultura
Políticas Migratorias
Cooperación al desarrollo
Estudios Jurídicos Europeos
 
 Correo


Contacta con nosotros

La protección de datos, principios, derechos y regulación.

 

LA PROTECCIÓN DE DATOS

PRINCIPIOS, DERECHOS Y REGULACIÓN

 

Belen Sepúlveda Moreno

 

            1. ¿QUÉ ES UNA BASE DE DATOS?

 

            Las bases de datos, como se explica en el art. 12.2 de la ley de protección jurídica de las bases de datos, en su última actualización del 27 de Marzo de l.998, son las colecciones de obras, datos u otros elementos independientes dispuestos de manera sistemática o metódica y accesibles individualmente por medios electrónicos o de otra forma.

 

            De esta forma, los datos de carácter personal, serían cualquier información concerniente a personas físicas identificadas o identificables, conservados en ficheros que permiten su almacenamiento, organización, acceso y tratamiento.

            Para esto se debe contar con el consentimiento del intersesado, o lo que es lo mismo, la manifestación de voluntad del mismo.

            Así, si estos datos no procedieran de fuentes accesibles al público, es decir, ficheros cuya consulta puede ser realizada por cualquier persona, ya que no lo impide ninguna norma limitativa, sino que fueron fruto de una transferencia de información de una base de datos a otra, producida de forma ilegítima, estaríamos ante un delito.

 

            El problema de esto es que la difusión de los datos de carácter personal produce el conocimiento de las características de la persona, invadiendo la intimidad de la misma.

            Por eso existen una serie de normas sobre la protección de dichos datos, necesitando el consentimiento del afectado para la creación y difusión de cualquier fichero, evitando de esta forma el tratamiento ilegítimo de estos.

            Aún así, para que se pueda producir el desarrollo económico y social de las empresas, existen una serie de ficheros legítimos como ficheros de clientes, de acreedores.....

 

            Dada la evolución de las telecomunicaciones y las nuevas tecnologías, estos medios de protección de datos se han ampliado, creándose métodos para la protección de ficheros automatizados, de tratamientos de datos en internet, que producen la ampliación del marco de esta protección, que ya no sería tan solo el país, sino la Comunidad Europea, o el mundo entero.

            Así, se creó una propuesta de la Directiva del Consejo de la Comunidad Europea del 24 de Septiembre de l.990, que influenció notablemente el derecho español.

 

            Con todo esto, lo que se intenta es proteger la privacidad de la persona, así como el honor, la intimidad, la dignidad y la libertad de la misma, por medio de la protección de sus datos, tanto si se tratan por medios automatizados o no.

            Tengamos en cuenta que esto se trataría de un bien protegido por la constitución, puesto que su art. 18 dice que “la ley delimitará el uso de la informática para garantizar el honor y la intimidad personal de los ciudadanos y el pleno ejercicio de sus derechos”.

            Para cumplir esto, se adopto la ley Orgánica 5/1.992, de 29 de Octubre de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal (LORTAD), que abarcaba tanto a los datos de carácter personal que figuren en ficheros automatizados de los sectores públicos y privados, y a toda modalidad posterior incluso no automatizado.

            Aún así, la LORTAD excluía su aplicación en distintos ficheros como:

 

-Ficheros automatizados de titularidad pública cuyo objeto, legalmente establecido, sea el almacenamiento de datos para su publicidad con carácter general.

 

-Ficheros mantenidos por personas físicas con fines exclusivamente personales.

 

-Ficheros de información tecnológica o comercial que reproduzcan datos ya publicados en boletines, diarios o repertorios oficiales.

 

-Ficheros de informática jurídica accesibles al público y que se limiten a reproducir disposiciones o resoluciones judiciales publicadas en periódicos o repertorios oficiales.

 

-Ficheros mantenidos por los partidos políticos, sindicatos e iglesias, confesiones y comunidades religiosas, cuando los datos sean miembros o ex miembros .

           

            Y se remitirán por legislación especial:

                                                                                             

-Ficheros regulados por la legislación de régimen electoral:

LO 5/1.985-19 Junio

LO 13/1.994-30 Marzo

 

-Los sometidos a la normativa sobre protección de materias clasificadas:

                                                                                              Ley 9/1.968-5 Abril

                                                                                              Ley 48/1.978-7 Octubre

 

-Derivados del Registro Civil y del Registro Central de Penados y Rebeldes:

                                                                                              Ley 8-Junio 1.957

                                                                                              Decreto 14-Nov.1.958

 

-Los que sirvan a fines exclusivamente estadísticos y estén amparados por la ley 12/1.989 de 9 de Mayo de la función estadística pública.

 

-Los ficheros automatizados cuyo objeto sea el almacenamiento de los datos contenidos en los informes personales regulados en el art. 68 Ley 17/1.989 de 19 de Julio, Reguladora del Régimen del Personal Militar Profesional.

 

            En definitiva lo que la LORTAD promueve es “limitar el uso de la informática” para proteger el pleno ejercicio del derecho al honor y a la intimidad personal y familiar, aunque esto produzca la restricción de la libertad de información.

 

 

 

 

 

 

 

 

 

 

 

            2. PRINCIPIOS DE LA PROTECCIÓN DE DATOS

 

            -Se refiere al Titulo II (art. 4 a 12) de la LORTAD

            CALIDAD DE LOS DATOS

 

            Los datos de carácter personal solo pueden recogerse cuando sean “adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido”.

            Así estos datos “no podrán usarse para finalidades distintas” de las que fueron fijadas en el momento de su recogida, y deberán ser “cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados y registrados”.

            Lo cual forma parte del principio de adecuación.

            En cuanto al principio de calidad de los datos “Strictu Sensu”, dice que los datos personales deben ser exactos y puestos al día, así los datos inexactos o incompletos deben ser cancelados y sustituidos de oficio por las correspondientes rectificaciones.

 

            Principio de almacenamiento de los datos:

 

            La ley no impone ningún sistema determinado de almacenamiento, pudiendo ser automatizado o no, lo único que exige la ley es que el sistema permita “el ejercicio del derecho de acceso por parte del afectado”.

 

            Principio de licitud:

 

            -En la recogida de datos:

            Art. 4. 7. “Se prohíbe la recogida de datos por medios fraudulentos, desleales o ilícitos”.

            -En la clasificación de los datos:

            Art. 4. 1. “En su clasificación solo podrán utilizarse criterios que no se presten a prácticas ilícitas”.

            -En la finalización de su utilización:

            Art. 4. 1. “.... Y las finalidades legítimas para las que se hayan obtenido”.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

            DERECHO DE INFORMACIÓN EN LA RECOGIDA DE DATOS

 

En el artículo 5 de la ley se explica que a los interesados a quienes se pidan datos personales para trasladarlos a un fichero, deberán ser previamente informados de un modo expreso e inequívoco de:

            -La existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.

            -Del carácter obligatorio o facultativo de su respuesta a las preguntas que le sean planteadas.

            -De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.

            -De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.

            -De la identidad y dirección del responsable del tratamiento o en su caso de su representante.

 

            Cuando los datos no hayan sido facilitados por el afectado, sino que hayan sido obtenidos por medio de terceras personas, el interesado debe ser informado por el responsable del fichero o por su representante, dentro de los 3 meses siguientes al registro de datos, a menos que este hubiera sido informado antes.

            Esta regla no es de aplicación cuando una ley lo prohíba expresamente, cuando el tratamiento tenga fines históricos, estadísticos o científicos y cuando la información al interesado resulte imposible o exija esfuerzos desproporcionados, a criterios de la Agencia de Protección de Datos o del organismo autonómico equivalente.

            Tampoco cuando los datos procedan de fuentes accesibles al público y se destinen a la actividad de publicidad o prospección comercial.

            Pero en este caso, en cada comunicación al interesado se le informará del origen de los datos y de la identidad del responsable del tratamiento que le asista.

 

            CONSENTIMIENTO DEL AFECTADO

 

            El artículo 6 de la LORTAD determina el consentimiento del afectado para el tratamiento automatizado de sus datos personales.

            Este consentimiento incluso podrá ser revocado, según el apartado 3 del mismo artículo “cuando exista causa justificada para ello y no se le atribuya efectos retroactivos”.

            Existen una serie de excepciones en las que no se exige el consentimiento del afectado:

            -Cuando los datos para el ejercicio de las funciones propias de las Administraciones Públicas y en el ámbito de sus competencias.

            -Cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento.

            -Cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado.

            -Cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quién se comuniquen los datos, siempre que no se vulneren los derechos y deberes fundamentales del interesado.

 

            En los casos en los que no sea necesario el consentimiento del interesado, este podrá oponerse al tratamiento automatizado cuando existan motivos fundados y legítimos para ello en relación con alguna concreta situación personal.

 

 

            DATOS ESPECIALMENTE PROTEGIDOS

 

            Son regulados por el artículo 7 de la ley, son referidos a los datos especialmente sensibles, que afectan de manera muy directa al derecho al honor y a la intimidad, por lo cual requieren un régimen jurídico mas estricto que el resto para garantizar convenientemente su protección.

 

            Se basan en el art. 16 de la Constitución que promulga que nadie está obligado a declarar sobre su ideología, religión o creencias, y en lo que se refiere al origen racial, religioso y a la vida sexual, la privacidad es aún mas estricta.  Lo mismo puede decirse de los datos relativos a la comisión de infracciones penales o administrativas, a los que también se refiere la ley.

 

            -Datos relativos a la ideología, afiliación sindical, religión y creencias.  Solo pueden utilizarse con el consentimiento expreso y por escrito del afectado, pero se exceptúan los ficheros que puedan mantener los partidos políticos, sindicatos, iglesias confesionales o comunidades religiosas y asociaciones y fundaciones y otras entidades sin ánimo de lucro cuya finalidad sea política, filosófica, religiosa o sindical, en cuanto a los datos de sus asociados o miembros.  La cesión de esos datos a terceros requiere el consentimiento del afectado.

 

            -Datos relativos al origen racial, la salud y la vida sexual. Solo pueden ser utilizados y cedidos por consentimiento expreso del afectado, por razones de interés general o si así lo dispusiera la ley.

            Los ficheros creados con la única finalidad de almacenar datos que revelen la ideología, afiliación sindical, religión, creencias, origen racial o étnico y la vida sexual están totalmente prohibidos.

 

            Así, los datos relativos a la comisión de infracciones penales o administrativas solo pueden ser incluidos en ficheros de las Administraciones Públicas competentes.

            El tratamiento de estos datos sensibles pueden utilizarse para prevención o diagnóstico médico, para la prestación de asistencia sanitaria o la gestión de servicios sanitarios, siempre que lo realice un profesional sanitario sujeto al secreto profesional, u otra persona sujeta también a una obligación equivalente de secreto.

 

            -En cuanto a la seguridad de los datos, los responsables de los ficheros y los encargados del tratamiento informático deben adoptar todas las medidas de índole técnica y organizativa necesarias que garanticen tal seguridad y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a los que están expuestos.

            Todos los que intervengan en la recogida, almacenamiento y tratamiento de los datos están obligados por un deber de secreto profesional.

 

 

 

            COMUNICACIÓN DE LOS DATOS

 

            El artículo 11 de la ley permite que los datos sean comunicados a un tercero, previo consentimiento del interesado y siempre que esta comunicación siga el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y cesionario.

 

            Estos datos en los que el consentimiento no es necesario son que la cesión esté autorizada por la ley, que sean datos de fuentes accesibles y legítima aceptación de una relación jurídica que implique la conexión de dicho tratamiento con ficheros de terceros.  Cuando la comunicación tenga por destinatario el Defensor del Pueblo, Ministerio Fiscal, Tribunal de Cuentas, cuando la cesión se produzca entre Administraciones Públicas, o datos referidos a la salud, fines históricos o científicos....

 

            Este consentimiento puede ser revocable, y debe constar por escrito o forma que acredite su celebración y contenido, dónde se estipularán las medidas de seguridad para que estos datos no puedan aplicarse con fines distintos para los que se recabaron.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

3. LOS DERECHOS DE PROTECCIÓN DE LOS BIENES DE LA PERSONALIDAD

 

            Se refiere al Titulo III de la LORTAD, dónde se definen los derechos del afectado con relación a sus datos tratados automatizadamente.

            Estos derechos, por regla general, pueden ser ejercidos en cualquier momento, mientras sus datos sean utilizados.  No poseen prescripción ni una caducidad, salvo cuando se trate de impugnación de un acto ilegal o de la reclamación de una indemnización por el mismo.

 

            Los derechos reconocidos son:

 

            -DERECHO DE INFORMACIÓN. 

 

Art. 13, “cualquier persona podrá conocer, recabando a tal fin la información oportuna del Registro General de Protección de Datos, la existencia de ficheros automatizados de datos de carácter personal, sus finalidades y la identidad del responsable del fichero”.

            Dicho Registro General será de consulta pública  y gratuita y está integrado en la Agencia de Protección de Datos, ente público creado por la LORTAD para el cumplimiento de su normativa.

            Mediante el ejercicio de este derecho, el afectado podrá averiguar:

-La existencia de un fichero de tratamiento automatizado de datos de carácter         personal.

            -La finalidad concreta que cumple ese fichero.

            -La identidad del responsable de dicho fichero.

 

            Estos datos pueden ser muy útiles de cara a identificar el fichero y su vinculación general, pero es necesario también poder acceder en concreto a los datos personales del afectado almacenados en dicho fichero.  Esto último garantiza el siguiente derecho.

 

            DERECHO DE ACCESO

 

            Aparece en el artículo 14, y consiste en la capacidad del afectado para dirigirse al responsable del fichero y “solicitar y obtener información de sus datos de carácter personal incluidos en los ficheros automatizados”.

 

            Este derecho tiene un carácter personalísimo, debiendo ejercitarlo siempre el afectado directamente, salvo incapacidad o minoría de edad en la que debe acudir su representante legal.

 

            Esta información se podrá obtener mediante mera visualización de los datos o a través de una comunicación por escrito, copia, telecopia o fotocopia “en forma legible e inteligible”, dice la ley.

 

            Solo podrá ser ejercitado por el afectado “a intervalos no inferiores a doce meses”, salvo que se acredite un interés legítimo para ejercitarlo antes.

            El artículo 16 de la LORTAD remite a la vía reglamentaria para la regulación del procedimiento para ejercer el derecho de acceso. En la actualidad, el Real Decreto 1332/1.994 de 20 de Junio se encarga de dicha regulación, entre otras cuestiones.

            -DERECHO DE RECTIFICACIÓN Y CANCELACIÓN

 

            Se recogen conjuntamente en el artículo 15 de la LORTAD, y explica que el afectado, si observa que sus datos recogidos en el fichero son inexactos o incompletos tendrá derecho a rectificarlos o cancelarlos en su caso.

 

            En este caso, si el responsable del fichero hubiese cedido dichos datos, deberá comunicar al cesionario dicha modificación o cancelación de los mismos, con el fin de que proceda del mismo modo.

 

            La rectificación siempre se da, no así la cancelación que admite excepciones:

 

-No procederá cuando pudiese causar un perjuicio a intereses legítimos del afectado o de terceros.

            -Tampoco procederá cuando existiese una obligación de conservar los datos.

 

            El Real Decreto 1332/94 se encarga de regular el procedimiento del ejercicio de estos derechos determinando el plazo de cinco días para hacerlos efectivos, a partir de la recepción de la solicitud del derecho de acceso.

 

            -DERECHO DE IMPUGNACIÓN

 

            El artículo 17.1 de la LORTAD confiere al afectado el derecho a impugnar todas las actuaciones contrarias a su normativa, ante la Agencia de Protección de Datos. El procedimiento a seguir en dicha reclamación se recoge en el Real Decreto 1332/94, de 20 de Junio.

            Contra las resoluciones de la Agencia cabrá recurso contencioso-administrativo, tal y como determina el párrafo 2º. Del mismo artículo.

 

            DERECHO DE INDEMNIZACIÓN

 

            Dice el párrafo 3º. Del artículo 17 que “los afectados que, como consecuencia del incumplimiento de lo dispuesto en la presente ley por el responsable del fichero, sufran daño o lesión en sus bienes o derechos tendrán derecho a ser indemnizados”.

            El procedimiento para exigir la indemnización varía según la titularidad de los ficheros:

 

-Ficheros de titularidad pública:

           

            En este caso, la responsabilidad se exigirá de acuerdo con la legislación reguladora del régimen de responsabilidad de las Administraciones Públicas (Art. 17.4 LORTAD)

            Esta regulación se recoge en los artículos 139 a 144 de la ley 30/1.992, de 26 de Noviembre, reguladora del Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común.

 

            Como consecuencia de la misma, todo particular que sufra una lesión en cualquiera de sus bienes o derechos como consecuencia del funcionamiento normal o anormal de los servicios públicos de una Administración Pública, tiene derecho a ser indemnizado por dicha Administración.

            -Ficheros de titularidad privada:

 

            En el supuesto de que la lesión se produzca como consecuencia de datos recogidos en ficheros de titularidad privada, la acción de indemnización se ejercitará ante los órganos de la jurisdicción ordinaria, de acuerdo con lo dispuesto en el artículo 17.5 LORTAD.

            En este sentido, lo dispuesto por el artículo 1902 del Código Civil: “El que por acción u omisión causa daño a otro, interviniendo culpa o negligencia, está obligado a reparar el daño causado”.

 

            En cuanto al movimiento internacional de datos, la LORTAD prohíbe la transferencia temporal o definitiva de datos de carácter personal con destino a paises que no proporcionen un nivel de protección equiparable al que presta la LORTAD (art. 32 y 33).

 

            LA AGENCIA DE PROTECCIÓN DE DATOS

 

            Es un ente de Derecho Público, con personalidad jurídica propia y plena capacidad pública y privada, que actúa con plena independencia de las Administraciones Públicas en el ejercicio de sus funciones.  Entre estas figuras la de velar por el cumplimiento de la LORTAD y controlar su aplicación “en especial lo relativo a los derechos de información, acceso, rectificación y cancelación de datos, y atender a las peticiones y reclamaciones de las personas afectadas” (art. 34 y 36).

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

            4. COMO SE TRATAN LOS DATOS Y LA INFORMACIÓN

 

            Durante este último medio siglo los desarrollos logrados en el campo de las Nuevas Tecnologías de la Información están transformando la sociedad.

            Esta transformación ha operado en todos los órdenes, tanto en la vida pública como privada, particulares y profesionales, cambiando la forma de vida y creando la llamada “sociedad de la información”.

 

            Así hemos cambiado nuestro ocio, nuestro trabajo, gracias a un conjunto de redes de comunicación rápidas, fiables y baratas, convirtiendo a estas en la infraestructura de la nueva sociedad.

           

            Por ejemplo, la Unión Europea, para mantener su posición frente a americanos y asiáticos, en 1.994 redactó un Libro Blanco titulado: “Crecimiento, competitividad y empleo . Retos y pistas para entrar en el siglo XXI”, o el Informe Bangeman sobre recomendaciones al Consejo Europeo acerca de la sociedad global de la información.

            De este modo se celebró en Bruselas en 1l995 una Conferencia Ministerial para tratar sobre la sociedad de la información.

 

            Por tanto la acción debe ser conjunta entre el sector público y sector privado, para crear las condiciones necesarias en los aspectos jurídicos y técnicos e inclusive económicos para que la iniciativa privada vea atractiva la inversión en estas nuevas tecnologías.

 

 

            LA INFORMACIÓN

 

            La información cada día tiene mas valor, ya que ahora podemos convertir informaciones parciales y dispersas en informaciones en masa y organizadas.

            La aplicación conjunta de la informática y las telecomunicaciones,, se llama Telemática y ha hecho desaparecer los factores tiempo y espacio.

 

            Informaciones existentes acerca de una persona en lugares distantes, puede resultar, por sí mismas irrelevantes, sin embargo reunidas en un momento y en un lugar, pueden dar un perfil completo de la misma y además, sin que ello siquiera pueda sospecharlo.

            Así se puede comprobar una progresiva computarización de la vida privada, no solo en cuanto a los individuos fichados, sino también respecto a las informaciones particularizadas, detalladas y precisas de estos.

           

            Por esto podríamos decir que la información es un bien con unas características determinadas que son:

            -Es un bien que no se agota con el consumo.

            -Es un bien que puede ser utilizado por numerosas personas a la vez.

            -Es la base del desarrollo de la nueva sociedad.

            -Es el vehículo que circula por las autopistas de la información.

 

            Todo esto se agrupa en la llamada “sociedad de la información”, que se caracteriza por basarse en el conocimiento y en los esfuerzos por convertir la información en conocimiento.

            Otra dimensión de tales sociedades es la velocidad con que tal información se genera, transmite y procesa.

En la actualidad la información puede obtenerse de manera prácticamente instantánea y muchas veces, a partir de la misma fuente que la produce, sin distinción de lugar.

Esto permite un reacondicionamiento espacial caracterizado por la descentralización y la dispersión de las poblaciones y servicios.

 

CLASIFICACIÓN DE LA INFORMACIÓN

 

            La información puede ser muy variada y no toda ella suele tener el mismo valor.  La información es un bien y se encuentra entre los activos mas importantes de las empresas, por lo cual es necesario clasificar tal información.

 

            Esta clasificación de la información debe utilizarse para facilitar la seguridad de los recursos y los datos.  Si es utilizada adecuadamente, puede contemplarse como un medio para comunicar a todos los usuarios la protección que requiere cada uno de los datos.

Cabe destacar que las Comunicaciones hacen posible que los responsables de cada Área, sean los verdaderos propietarios de los datos que manejan, de este modo también deben ser ellos los que asuman la responsabilidad sobre sus datos.

 

El concepto de propiedad juega un papel primordial en la determinación de la responsabilidad.

El propietario de los datos o recursos es responsable de la utilización y disposición de los mismos en la organización, por lo cual deberían identificarse y formalizarse responsables propietarios para todos los recursos y datos de los Sistemas de Información.

 

La clasificación de la información pueden realizarla diferentes personas con criterios distintos.  La responsabilidad de la clasificación debe recaer en el propietario de la misma que responda principalmente de su integridad y gratitud.

 

En algunos casos puede ocurrir que el responsable propietario no sea único (por ejemplo en información almacenada en las bases de datos corporativas)

La asignación de la propiedad en estos casos debe estar coordinada con la función de administración de la información.

 

Es muy importante la identificación del responsable propietario es crítica, ya que sobre él recae la responsabilidad de la clasificación de los datos y de aprobar quienes van a ser los usuarios autorizados y los privilegios de accesos especiales.

 

Un aspecto importante para la seguridad de los datos es la estructura del esquema de clasificación, ya que afectará a su implantación.

 

La estructura es específica de cada organización y existen varios esquemas:

 

 

 

 

-La clasificación por niveles.   Se basa en un esquema de clasificación jerárquica en el que el nivel mas bajo es, normalmente, “no clasificado” y el nivel mas alto, “secreto o alto secreto”.  El orden de los niveles implica la importancia relativa de los datos y los requisitos de los procedimientos de seguridad.

 

 En casos como dependencias militares se utilizan niveles separados para datos y usuarios.  El acceso a los datos se basa en el nivel asignado al usuario y en el nivel de clasificación de los datos:  Si el nivel del usuario no es igual, al menos, al nivel de clasificación de los datos, el acceso se deniega.

 

-La clasificación por categorías.   Se basa en ambas estructuras.  La combinación de niveles jerárquicos y categorías no jerárquicas se representa en una tabla de seguridad.  Para realizar la clasificación completa de la información se necesita tanto el nivel como la categoría.

 

-La clasificación combinada.    Se basa en ambas estructuras.  La combinación de niveles jerárquicos y categorías no jerárquicas se representa en una tabla de seguridad.  Para realizar la clasificación completa de la información se necesita tanto el nivel como la categoría.

 

Los criterios de clasificación deben elegirse en base a los riesgos de los datos y los recursos. Por ejemplo una clasificación puede hacerse en base a su sensibilidad: a su destrucción, a su modificación o a su difusión.

 

-Sensibilidad a su destrucción.    Se refiere al borrado o no disponibilidad de los recursos, datos o programas.

Toda la información que la empresa precisa para continuar el negocio es sensible a su destrucción.  Resulta vital para la continuidad del negocio que esta información esté convenientemente protegida.

 

-Sensibilidad a su modificación:  Se refiere al cambio de los datos y de los programas. La modificación de datos o los cambios no detectados es un aspecto a considerar en las empresas que manejan datos sensibles.

Los cambios no autorizados o no detectados atentan contra la integridad de los datos y programas.

 

-La sensibilidad a su difusión.  Se refiere al conocimiento que se adquiere a través de los datos obtenidos. Esta sensibilidad estará en función del valor de los datos y de los programas.

Un esquema de clasificación por niveles jerárquicos utilizado como criterio la sensibilidad a su difusión sería por ejemplo:

 

-Los datos confidenciales.  Son datos de difusión no autorizada. Su uso podría causar un serio daño a la empresa, o a cualquier tipo de Entidad o Institución tanto pública como privada.

 

-Los datos restringidos.   Son datos de difusión no autorizado. Su utilización irá contra los intereses de la empresa, y/o sus clientes, por ejemplo datos de producción de la empresa y/o de sus clientes, programas o utilidades, software, procedimientos de balance, datos del personal, datos de presupuestos.....

            -Datos de uso interno.  No necesitan ningún grado de protección para su difusión dentro de la compañía, como procedimientos operativos, organigramas, política y estándares, listín telefónico interno.

 

            -Datos no clasificados.   No necesitan ningún grado de protección para su difusión, como informes anuales públicos.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

LAS LEYES DE PROTECCIÓN DE DATOS

 

Las leyes de protección de datos de carácter personal defienden los derechos de las personas a su intimidad, en un principio evitando su conocimiento y almacenamiento y posteriormente facilitando al interesado el acceso a sus propios datos.

 

En el derecho comparado existe consenso en las leyes de tratamiento de datos personales en los distintos países:

 

-Mediante un enfoque constitucional, como ha sido el caso de Portugal con el artículo 35 de la Constitución de 2 de Abril de l.976.  España con el artículo 18.4 de la Constitución española 6-Diciembre-l.9878, Austria con el artículo 1 disposición constitucional de la ley de Protección de datos Personales de 27 de Junio de 1.986.

 

-A través de un tratamiento globalizador mediante una ley General de Protección de Datos, como Francia, República Federal Alemana o Suecia.

 

-Efectuando un tratamiento de carácter sectorial con normas diferenciadas para el sector público y el privado o para uno solo de ellos como sucede en Dinamarca o Estados Unidos.

 

-Mediante un tratamiento específico en cada caso, ejemplo, ley de información crediticia del año 1.973.

 

El conjunto de las leyes lo podemos dividir en tres generaciones diferentes:

 

-Evolución de los propios derechos fundamentales de las personas.

-Innovaciones tecnológicas.

-Consecuente adaptación de las leyes de protección de datos a esta nueva situación creada.

 

En la primera generación de leyes de protección de datos se creaban instrumentos de garantía que limitaran la utilización de la informática, es decir, que la informática se  encontraba recluida en grandes centros de información relativamente fáciles de proteger.

Esta protección se basaba en la autorización previa de los bancos de datos y su control posterior.

 

La segunda generación de leyes trataba de asegurar la calidad de los datos.

En esta época empieza a aparecer la informática distribuida, los grandes centros de información se expanden por todo el mundo, por lo cual la protección de los datos y ficheros se hace mas difícil.

 

La protección jurídica se realiza mediante la introducción de cláusulas que protegen los datos especialmente sensibles, y reconoce los derechos de acceso y control por los titulares de los datos.

 

 

 

 

La tercera generación defiende la autodeterminación informativa y la libertad informática.

Se produjo gracias a la aparición de los ordenadores personales y la enorme difusión de los bancos de datos que dificultan la confidencialidad de la información.

Las leyes inciden fuertemente en la seguridad de la información, tanto en los bancos de datos como en las líneas de comunicaciones, poniendo medidas de seguridad tanto físicas como lógicas e impulsando el uso de claves criptográficas.

 

No todos los países tienen el mismo grado de protección y en algunos inclusive se puede decir que existe cierta permisividad, por ejemplo en países como Estados Unidos prima el derecho a la transmisión de la información sobre el derecho a la privacidad de los ciudadanos.

 

Las legislaciones de los distintos países se diferencian en algunos aspectos como sistemas de los ficheros, ámbito de aplicación, sistemas protector, órgano de control y autorregulación.

 

La Unión Europea, con el deseo de armonizar las leyes de protección de datos de los diferentes países que la componen, aprobó el 24 de Octubre de l995 la Directiva 95/46/CE del Parlamento Europeo y del Consejo relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

En España rige la LORTAD, o ley Orgánica de Regulación del Tratamiento Autorizado de los Datos de carácter personal 5/1.992 de 29 de Octubre (B:O:E: Núm. 262, de 31 de Octubre de 1l992) 4 normas complementarias.

 

Esta ley tuvo que adaptarse a la normativa comunitaria.

En esta ley coexisten cuatro tipos de normas:

 

-Ley Orgánica, cuyo carácter se viene dando por el objeto de la misma.

-Ley Ordinaria en virtud de su Disposición Final tercera.

-Reglamento, vía a la que se remiten un buen número de artículos de la ley para su desarrollo .

-Códigos tipo regulados  por el artículo 31 de la ley.

 

Y también la LORTAD se basa en unos principios que dan lugar a una serie de derechos para los ciudadanos:

 

a)      Principio de finalidad:

-Principio de pertinencia  ( art. 4.2. )

-Principio de utilización no abusiva  ( art. 4.2. )

b)      Principio de la exactitud  ( art. 4.3 y 4.4. )

c)      Principio de derecho al olvido  ( art. 4.5. )

d)      Principio de lealtad  ( art. 4.7. )

e)      Principio de consentimiento  (art. 4.6. )

f)        Principio de los datos sensibles  ( art. 7. )

g)      Principio de seguridad  ( art. 9 )

h)      Principio de acceso individual  ( art. 14 )

i)        Principio de publicidad  ( art. 38 )

 

De estos principios emanan los siguientes derechos:

 

-         Derecho de oposición  ( art. 5 )

-         Derecho de impugnación  ( art. 12 )

-         Derecho de información  ( art. 13 )

-         Derecho de acceso   ( art. 14 )

-         Derecho de rectificación y cancelación ( art. 15 )

-         Derecho de tutela  ( art. 17 )

 

Los procedimientos para ejercer esos derechos son los siguientes:

 

-         Procedimiento de acceso

-         Procedimiento de reclamación

-         Procedimiento de recurso

-         Procedimiento de indemnización

-         Procedimiento  sancionador.

 

LA PROTECCIÓN DE LOS DATOS EN LA UNIÓN EUROPEA

 

            En la Unión Europea se favorece la libre circulación de la información entre los países miembros y se evita la creación de obstáculos, por lo que se recomienda a los estados miembros que se esfuercen por suprimir o evitar crear, en nombre de la protección de la vida privada, obstáculos injustificados al flujo transfronterizo de datos de carácter personal.

 

            Así los Organismos Internacionales intentan salvaguardar la libre circulación de la información entre los distintos países aunque sea con las necesarias medidas cautelares, puesto que aunque la Unión Europea es de tipo económico, en estos últimos años ha mostrado una mayor sensibilización hacia los temas r