lunes, 14 de septiembre de 2015

Las misteriosas (y socorridas) previsiones del art.81 del Reglamento de la LOPD. (PARTE 1)


Hola a tod@s!


Tras un par de entradas con contenido un poco narrativo, la entrada de hoy quiero que sea una mini-guía de referencia para aquellos Responsables de Ficheros que se ven con dudas a la hora de aplicar las medidas de seguridad de uno u otro nivel en algunos de sus ficheros. Siempre he sido una firme defensora de la "finalidad" de los ficheros; de darle a ese concepto una especial importancia, ya que saber definir exactamente para qué queremos los datos será de vital importancia para decidir qué datos vamos a tratar, durante cuánto tiempo nos serán útiles y decantarnos, finalmente, por un nivel de seguridad u otro. Si cambia la finalidad, es casi seguro que cambiaran los datos que necesitemos tratar para alcanzarla,por lo que cambiará, muy probablemente, el nivel de seguridad a aplicar.  Por eso, me parece de vital importancia conocer el art.81 del Reglamento, especialmente los puntos 5 y 6 del mismo, que suelen perder importancia porque en los puntos 1,2, y 3 está, digamos, el meollo de aplicación de los niveles de seguridad. 

Banderas A Cuadros, Línea De Meta


Veamos lo que dice el punto 5 del citado art.81:

5. En caso de ficheros o tratamientos de datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual bastará la implantación de las medidas de seguridad de nivel básico cuando:

  • a) Los datos se utilicen con la única finalidad de realizar una transferencia dineraria a las entidades de las que los afectados sean asociados o miembros.
  • b) Se trate de ficheros o tratamientos en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad. 

Creo que casi todos, en el momento en el que vemos que el fichero contiene datos de religión o afiliación sindical, se nos enciende la luz roja del semáforo y pensamos: NIVEL ALTO, NIVEL ALTO. De hecho, estoy casi segura de que eso es lo que pretendía el legislador a la hora de imponer dicho Nivel de Seguridad para esos tipos de datos (esto es conjetura mía, no hay acreditada certeza al respecto); aunque al final, decidió echar un cable al personal al pensar en los socorridos ficheros de empleados que prácticamente todas las entidades declaran. Pues bien,la regla general sería aplicarles Nivel Alto y a otra cosa, pero, como vemos, el regalito del punto 5 del citado artículo puede hacernos la vida un poco más fácil. 


 Semáforo, Rojo, Desde La Parte Inferior



Así, según lo dispuesto, hay dos supuestos en los que podríamos ampararnos para aplicar las medidas de Nivel Básico y no las del Nivel Alto:

1) Que la finalidad sea, exclusivamente, realizar una transferencia dineraria a la entidad de la que el afectado sea miembro o asociado.
2) Que el tener este tipo de datos sea accesorio y NO TENGA RELACIÓN CON LA FINALIDAD DEL FICHERO. 

Un ejemplo de esto sería la transferencia que hacen los afiliados a un sindicato de una parte de su nómina. Usualmente esta transferencia la hace la empresa para la que trabaja el trabajador en la nómina de este empleado, lo que hace que la empresa cuente con ese dato que, en ningún caso, tiene relación con la finalidad del fichero de Personal que la empresa tenga declarado. Es una situación accesoria y, por ello, encajaría con la previsión que nos permite aplicar el Nivel Básico: no recogemos datos de afiliación sindical porque nos interese como entidad; tenemos esos datos exclusivamente para realizar la transferencia dineraria que nos ha pedido realizar el trabajador. Además, en este caso, la entidad que trata accesoriamente los datos de afiliación (la empresa en la que trabaja el afiliado) es diferente a la que va destinado el dinero (el sindicato).

De Verificación, Lista, De Papel, Nota

Le podemos dar la vuelta a este mismo ejemplo para una mejor claridad: Ahora no es la empresa en la que trabaja el afiliado la que hace la transferencia al Sindicato; ahora pensemos que es el banco en el que el afiliado tiene cuenta bancaria el que hace la transferencia. Sería lo mismo: el banco actúa como mero intermediario sin que a él le importe, de cara a sus ficheros, la afiliación sindical de su cliente. 

Finanzas, Fachada, Reflejo 

Y hasta aquí llega el post de hoy; espero que os haya resultado interesante y sea útil a la hora de definir el Nivel de Seguridad del socorrido fichero de empleados. Para la parte 2 de este post hablaré de la previsión del punto 6 del citado artículo 81, que también es muy útil para este tipo de ficheros.

Un saludo y hasta la próxima. ;-)