Mar del Peso Ruiz
Abogada y Licenciada en Económicas
Consultora Senior
IEE - Informáticos Europeos Expertos

Desde la publicación de la LORTAD[1] allá por el año 1992, una de las preocupaciones en relación con el tratamiento automatizado de datos de carácter personal, y a la vez una de las herramientas para “limitar el uso de la informática” como garantía de nuestros derechos según el mandato de nuestra Carta Magna[2], ha sido la seguridad.

Como principio de la Protección de Datos, el Principio de Seguridad, fue recogido en el artículo 9 de dicha norma, y actualmente lo está en el mismo artículo de la vigente Ley 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante LOPD), referido a partir de su entrada en vigor tanto a datos automatizados como no automatizados, y haciendo mención como sujeto obligado al encargado del tratamiento, figura que no había sido definida aún durante la vigencia de la LORTAD.

Según reza su apartado primero El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que estén expuestos, ya provengan de la acción humana o del medio físico o natural.

No es el de Ley Orgánica, el rango adecuado para la determinación de aspectos tan concretos como son, el nivel de medidas de seguridad aplicable a las distintas categorías de datos o las propias medidas de seguridad exigibles, para cuyo desarrollo nos remite la norma a la vía reglamentaría.

Así el Real Decreto 994/1999, de 11 de junio, por el que se aprobó el Reglamento de medidas de seguridad de los ficheros automatizados que contuviesen datos de carácter personal (en adelante RMS), desarrolló dicho principio en el marco de la LORTAD, durante el efímero periodo que transcurrió desde la publicación del mismo hasta la derogación de la Ley con la entrada en vigor de la LOPD el 14 de enero de 2000, pero cuya subsistencia se prolongó excesivamente en el tiempo ante la pereza reglamentaria de la que fue objeto nuestra actual norma de Protección de Datos.

El artículo 4 del RMS, relativo a la aplicación de los niveles de seguridad, indicaba los tipos de datos cuya presencia en un fichero determinaba la aplicación de las medidas de nivel básico, medio y alto y aquel nivel carente de denominación que algunos llamábamos intermedio, de forma que:

• Todos los ficheros que contuviesen datos de carácter personal debían adoptar las medidas de seguridad calificadas como de nivel básico, estando los demás niveles reservados a ficheros que contuviesen unas categorías concretas de datos personales.
• En el intervalo dejado entre el nivel básico y el medio, debiendo garantizar, además de las medidas de nivel básico, una parte de las medidas de seguridad de nivel medio pero no todas, se encontraban aquellos ficheros que contuviesen un conjunto de datos de carácter personal suficientes que permitían obtener una evaluación de la personalidad del individuo
• Debían reunir, además de las medidas de nivel básico, las calificadas como de nivel medio los ficheros que contuviesen datos:
  1. Relativos a la comisión de infracciones administrativas o penales
  2. Hacienda Pública
  3. Servicios financieros
  4. y aquellos ficheros cuyo funcionamiento se regía por el artículo 28 de la Ley Orgánica 5/1992, actual artículo 29 de la LOPD, referidos, para simplificar puesto que su contenido es más amplio, a los comúnmente denominados ficheros de morosidad.
• Por último las medidas de seguridad de nivel alto se reservaban a aquellos ficheros que contuviesen datos de:
  1. Ideología
  2. Religión
  3. Creencias
  4. Origen racial
  5. Salud
  6. Vida sexual
  7. Recabados para fines policiales sin consentimiento de las personas afectadas.

La determinación de las medidas de seguridad aplicables dio lugar a numerosas dudas especialmente en relación a lo que se entendía por datos de Hacienda Pública o de Servicios financieros, y que llevó a muchos responsables de ficheros a implantar medidas de nivel medio en ficheros que contenían datos relativos a retenciones de impuestos o dígitos de cuentas bancarias.

También suscitó muchas dudas el desconocimiento a priori del número y las características de los datos que llegaban a ser suficientes para obtener una evaluación de la personalidad del individuo, y qué pasaba si, teniendo ese conjunto de datos, no se utilizaban con esa finalidad.

Los datos de afiliación sindical no eran contemplados por el RMS puesto que durante la vigencia de la LORTAD no estaban recogidos por la norma como datos especialmente protegidos, sin embargo debían ser tenidos en cuenta a efectos de la calificación de nivel alto de las medidas de seguridad aplicables a aquellos ficheros que los contuviesen.

Por otra parte el hecho de que los datos de salud y afiliación sindical determinasen la calificación del nivel alto de seguridad aplicable a aquellos ficheros de los que formaban parte, dio lugar a que la mayoría de los ficheros de nóminas fuesen susceptibles de aplicación de dicho nivel y que por tanto cualquier empresa, empresario o profesional, sin perjuicio de su volumen de operaciones, tuviese que estar preparado para implantar medidas, en ocasiones costosas, como podía ser el registro de accesos a los datos.

Además la subsistencia del RMS, desarrollo de una norma cuyo ámbito de aplicación eran los datos automatizados, generó innumerables problemas de interpretación en relación con la obligatoriedad o no de la aplicación de dichas medidas de seguridad a ficheros no automatizados, regulados por la LOPD, y en caso de ser así con respecto a la forma más adecuada de hacerlo.

La entrada en vigor el 19 de abril de 2008 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (en adelante RDLOPD), vino a introducir una serie de modificaciones respecto a la aplicación de los niveles de seguridad en su artículo 81, clarificando algunas de las dudas que suscitaba la anterior calificación, poniendo fin al nivel intermedio previamente existente para crear otro, e introduciendo nuevas categorías de datos en relación con la aplicación del nivel alto.

Además, dicho artículo, estableció una nueva forma de determinación del nivel de seguridad aplicable al fichero en atención al responsable del mismo y no al tipo de datos que contiene, y así además de los que ya contemplaba el RMS son susceptibles de aplicación de medidas de seguridad de nivel medio:

• Aquellos ficheros de los que sean responsables las Entidades Gestoras y Servicios Comunes de la Seguridad Social y se relacionen con el ejercicio de sus competencias.
• De igual modo, aquellos de los que sean responsables las mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social.

En cualquier caso si dichos ficheros contuviesen categorías de datos que determinen la aplicación de un nivel alto de seguridad así debería de ser, al mismo tiempo que ficheros creados por dichos responsables para atender gestiones administrativas con datos cuyo tratamiento únicamente sea susceptible de aplicación de un nivel de seguridad básico, no tendrían que implantar medidas de un nivel superior.

También, siguiendo esta línea de calificación, se aclaran las dudas que surgían en relación con los datos de Hacienda Pública y Servicios Financieros al especificar que se aplicarán dichas medidas a:

• Aquellos ficheros de los que sean responsables Administraciones tributarias y se relacionen con el ejercicio de sus potestades tributarias.
• Aquellos ficheros de los que sean responsables las entidades financieras para finalidades relacionadas con la prestación de servicios financieros

Los ficheros que contenían un conjunto de datos de carácter personal que los introducía en el limbo de aquel nivel intermedio, actualmente deben ofrecer una definición de las características o de la personalidad de los ciudadanos y permitir evaluar determinados aspectos de la personalidad o del comportamiento de los mismos, para que se pasen a considerar de nivel medio con aplicación plena de todas las medidas correspondientes a este nivel.

Surge sin embargo un nuevo nivel intermedio, en este caso entre el nivel medio y el alto, aplicable a aquellos ficheros de los que sean responsables los operadores que presten servicios de comunicaciones electrónicas disponibles al público o exploten redes públicas de comunicaciones electrónicas respecto a los datos de tráfico y a los datos de localización. Estos ficheros tienen que implantar adicionalmente a las medidas de nivel medio un registro de accesos de acuerdo con lo establecido en el artículo 103 del RDLOPD aplicable a ficheros de nivel alto, entrando a formar parte de un nuevo conjunto de ficheros cuyo nivel de seguridad no tiene denominación.

Por último se incluye como categoría de datos que determina la aplicación del nivel de medidas de seguridad alto a un fichero, los datos derivados de actos de violencia de género.

Hasta aquí parece que la regulación pretendía reforzar la aplicación de los niveles de seguridad, despejando las dudas de la anterior normativa, sin embargo el artículo 81.5 rebajaba al nivel básico las medidas de seguridad aplicables a ficheros que contengan datos especialmente protegidos en dos situaciones.

Una de ellas se refiere a los datos utilizados con la única finalidad de realizar una transferencia dineraria a las entidades de las que los afectados sean asociados o miembros, lo que favorece a todas aquellas empresas que practican la detracción de la cuota sindical a sus trabajadores. También favorece a bancos, cajas o entidades financieras a través de las que se realizasen las transferencias mencionadas o aquellas con destino a partidos políticos, sindicatos, iglesias, confesiones, comunidades religiosas, asociaciones, fundaciones o entidades sin ánimo de lucro cuya finalidad fuese política, filosófica, religiosa, sindical o que se refiera a colectivos afectados por una enfermedad, pertenecientes a una etnia o con una determinada orientación sexual, debiendo sin embargo tener en cuenta en cualquier caso que en la medida en que se relacionen con la prestación de servicios financieros el nivel de seguridad aplicable no podrá ser inferior al medio.

Es necesario tener en cuenta que el nivel más bajo de medidas de seguridad aplicable no influye en la necesidad de obtener el consentimiento, expreso o expreso y por escrito, que en cada caso sea necesario para la recogida y cesión de este tipo de datos, es decir los datos no pierden por este motivo la condición de especialmente protegidos

Antes de comentar el otro supuesto al que se refiere el artículo 81.5 vamos a detenernos en el contenido del apartado 6 de dicho artículo, que ampara una nueva relajación de las medidas de seguridad reduciéndolas del nivel alto al básico, en los ficheros o tratamientos que contengan datos relativos a la salud, referentes exclusivamente al grado de discapacidad o la simple declaración de la condición de discapacidad o invalidez del afectado, con motivo del cumplimiento de deberes públicos.

Si bien dicha regulación pretendía, con carácter general, evitar la necesaria aplicación de las medidas más rígidas por parte de cualquier empresa, empresario o profesional que con motivo del cálculo de la retención dineraria en nómina que deben hacer a sus empleados a efectos de la normativa del Impuesto sobre la Renta de las Personas Físicas, tuviese que tratar el dato del grado de discapacidad, se han acogido también a este beneficio Administraciones Públicas que tratan dichos datos en el marco del cumplimiento de sus competencias y no de deberes públicos como indica la norma.

Por otra parte la Agencia Española de Protección de Datos ha realizado una interpretación amplia de la norma en diversos informes jurídicos[3], equiparando el dato del grado de discapacidad o la simple declaración de la condición de discapacidad o invalidez del afectado, a la condición de apto o no apto de un trabajador a los efectos previstos en la legislación de riesgos laborales, o los datos relacionados con las obligaciones impuestas al empresario por la legislación vigente en materia de seguridad social que se limiten a señalar únicamente la existencia o no de enfermedad común, enfermedad profesional o accidente laboral o no laboral, así como la incapacidad laboral del trabajador.

Por último cabe hacer mención al segundo supuesto regulado en el artículo 81.5 que reducía a nivel básico las medidas de seguridad de ficheros no automatizados que contuviesen datos especialmente protegidos cuando fuese de forma incidental o accesoria sin guardar relación con su finalidad.

Es decir se condicionan las medidas de seguridad aplicables al fichero a la finalidad del tratamiento que se hace de los datos que contiene, cuando éstos son especialmente protegidos, sin embargo se corre el riesgo de que se consideren incidentales o accesorios usos que caben perfectamente en la finalidad propia del tratamiento pero que sin embargo son más bien excepcionales, pudiendo variar el número de registros que se consideran excepcionales en función del volumen total de datos tratados. Por tanto si el tratamiento de esos datos es condición para la aplicación de un determinado beneficio o el reconocimiento de una situación, aunque solo se diese en pocos casos, debería considerarse que no estamos ante un tratamiento incidental ni accesorio.

Según la Real Academia Española accesorio es lo que depende del principal o se le une por accidente. Podríamos entender que sea muy rigurosa la aplicación de medidas de nivel alto a un dato que es tratado accidentalmente, pero ¿Deberían relajarse dichas medidas cuando el tratamiento depende de uno principal si éste es igualmente necesario para conseguir la finalidad perseguida?

De la misma forma si algo incidental es lo que sobreviene a algún asunto y tiene alguna relación con él ¿debería esta situación afectar a las garantías con las que pueda contar el interesado en el tratamiento de los datos que le conciernen?

Sin perjuicio de los avances en las posibilidades de escaneo o digitalización, el hecho de que durante un tiempo esta situación solo se diese con respecto a los datos no automatizados, que a priori cuentan con unas posibilidades mermadas en cuanto a su tratamiento y difusión, suponía un riesgo menor en relación con el recurso abusivo a esta excepción que se pudiese dar por parte de los responsables de ficheros.

Ahora bien, ésta era la regulación a 29 de enero de 2010 hasta la entrada en vigor al día siguiente del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, que ha venido a modificar el apartado 5.b del artículo 81 eliminando la referencia a no automatizados y considerando aplicable la reducción del nivel de seguridad tanto a ficheros automatizados como no automatizados.

Sin lugar a dudas esta modificación facilita mucho las posibilidades de cumplimiento para un gran número de responsables de ficheros, y desde este punto de vista debe de ser bien recibida siempre que su aplicación sea proporcionada, pero no debemos olvidar que todos somos titulares de datos de carácter personal ¿garantiza al interesado dicha regulación, la aplicación de las necesarias medidas de seguridad respecto al tratamiento de sus datos de carácter personal?

Un dato de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual no deja de ser un dato especialmente protegido por el hecho de que su incorporación a un fichero sea incidental y mucho menos accesoria. Si revisamos la finalidad de la aplicación de las medidas de seguridad a un fichero vemos que, a pesar de suponer en muchas ocasiones una molestia y mayor gasto para el responsable del fichero, están destinadas a evitar la alteración, pérdida, tratamiento o acceso no autorizado a los datos de carácter personal.

Quizás el carácter incidental o accesorio del tratamiento de estas categorías de datos haga que la alteración o la pérdida de los mismos pueda llegar a resultar inocua para el responsable del fichero, puesto que sería un dato de menor importancia en relación con la finalidad, e incluso para el propio interesado dependiendo de los casos. Pero en ningún caso lo serían el tratamiento o acceso no autorizado a los datos, que también se pretende evitar con la implantación de unas medidas de seguridad adecuadas a la mayor o menor necesidad que el interesado tiene en que se garantice la confidencialidad de la información relativa a su persona, ya que con independencia de la trascendencia para su actividad el dato es conservado por el responsable del fichero, está ahí y a veces es transportado o comunicado, por lo que puede ser accedido si no es protegido adecuadamente.

No olvidemos que buena parte de las medidas de nivel medio y alto en relación con la identificación y autenticación, control de acceso físico, gestión y distribución de soportes, registro de accesos o telecomunicaciones para ficheros automatizados, y el almacenamiento de la información, acceso a la documentación y su traslado para ficheros no automatizados, están dirigidas a evitar ese tratamiento o acceso no autorizado y sin embargo se ha ido eliminando su exigibilidad.

El perjuicio causado a un interesado por la cesión o acceso indebido de sus datos especialmente protegidos no es menor por el hecho de que el responsable del fichero no tuviese intención de hacer un uso intensivo de los mismos, pero tendremos que pensar que esos datos al menos deberían de ser necesarios, pertinentes y no excesivos en relación con la finalidad perseguida ya que si no, no habrían sido recabados puesto que sería contrario al principio de calidad.

Hay supuestos en los que el tratamiento de esos datos está indefectiblemente unido al de aquellos que el responsable del fichero únicamente tiene intención de tratar, por ejemplo en el caso de la grabación de una imagen y desde este punto de vista entendemos que la nueva regulación es positiva.

Si el responsable del fichero no debe recabarlos pero no se pueden separar de aquellos que sí son adecuados al tratamiento, lo que permitiría su destrucción, quizás habría sido más adecuado establecer medidas tendentes a concienciar al interesado para que no facilite información no requerida y cuya trascendencia desconoce; o procedimientos dirigidos a evitar que aquellos, instituciones públicas o privadas, que elaboran esa documentación que presenta el interesado ante el responsable del fichero, incluyan más información que la que en cada caso sea necesaria de acuerdo con el destino final del documento.

Desde luego esta opción no puede plantearse a corto plazo y mientras tanto el responsable del fichero debe tener en cuenta que la exigibilidad en cuanto a las medidas de seguridad recogidas en el Título VIII del RDLOPD se refiere a mínimos, pudiendo adoptar por tanto otras medidas por propia iniciativa, lo que sin duda supondrá un valor añadido en el servicio prestado.

[1] Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal. (Vigente hasta el 14 de enero de 2000)

[2] Constitución Española. Artículo 18. 4. La Ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos

[3] Informe 373/2008 o 623/2009 del Gabinete Jurídico de la AEPD disponibles en www.agpd.es