La seguridad es un elemento fundamental en la protecci\u00f3n de datos; sin seguridad no hay protecci\u00f3n. En muchos casos, a la hora del tratamiento de datos, la seguridad pasa a un segundo plano debido al com\u00fan error de pensar que la mera notificaci\u00f3n de ficheros a la AEPD y la inclusi\u00f3n de un par de cl\u00e1usulas informativas en contratos y formularios son suficientes para cumplir la ley. Esto no garantiza ni la seguridad ni la protecci\u00f3n, fin \u00faltimo de la LOPD.<\/p>\n
\u25aa Art. 9.1: <\/strong>El responsable del fichero, y, en su caso, el encargado del tratamiento deber\u00e1n adoptar las medidas de \u00edndole t\u00e9cnica y organizativas necesarias que garanticen la seguridad de los datos de car\u00e1cter personal y eviten su alteraci\u00f3n, p\u00e9rdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnolog\u00eda, la naturaleza de los datos almacenados y los riesgos a que esten expuestos, ya provengan de la acci\u00f3n humana o del medio f\u00edsico o natural.<\/em><\/p>\n <\/em><\/p>\n <\/em>\u25aa Art. 9.2: <\/strong>No se registrar\u00e1n datos de car\u00e1cter personal en ficheros que no re\u00fanan las condiciones que se determinen por v\u00eda reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas.<\/em><\/p>\n <\/em><\/p>\n \u25aa Art. 9.3: <\/strong>Reglamentariamente se establecer\u00e1n los requisitos y condiciones que deban reunir los ficheros y las personas que intervengan en el tratamiento de los datos a que se refiere el art\u00edculo 7 de esta Ley.<\/em><\/p>\n <\/em><\/p>\n La regulaci\u00f3n destinada a preservar la seguridad de los datos establece que las medidas a adoptar por el responsable del fichero o encargado del tratamiento han de ser de \u00edndole t\u00e9cnica y organizativa, y la finalidad de las mismas es evitar su alteraci\u00f3n, p\u00e9rdida y acceso no autorizado. El art\u00edculo 9.2 viene a establecer las mismas prescripciones pero por v\u00eda negativa. En cuanto al 9.3, remite la concreci\u00f3n de esas medidas t\u00e9cnicas y organizativas para datos sensibles a la v\u00eda reglamentaria (actualmente el Real Decreto 1720\/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD). En los procedimientos sancionadores de la AEPD s\u00f3lo se ha observado infracci\u00f3n el art\u00edculo 9.1.<\/p>\n –\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Procedimiento N\u00ba PS\/00594\/2008<\/strong>. Estamos ante un supuesto muy com\u00fan de infracci\u00f3n del art\u00edculo 9.1 LOPD. Se trata del negligente uso de programas P2P (peer to peer, que permiten compartir archivos) que produce la \u201cfuga\u201d de ficheros con datos de car\u00e1cter personal a trav\u00e9s de Internet.<\/p>\n Sintetizando las previsiones legales puede afirmarse que:<\/em><\/p>\n a) Las operaciones y procedimientos t\u00e9cnicos automatizados o no, que permitan el acceso \u2013la conservaci\u00f3n o consulta- de datos personales, es un tratamiento sometido a las exigencias de la LOPD.<\/em><\/p>\n b) Los ficheros que contengan un conjunto organizado de datos de car\u00e1cter personal as\u00ed como el acceso a los mismos, cualquiera que sea la forma o modalidad en que se produzca, est\u00e1n, tambi\u00e9n, sujetos a la LOPD.<\/em><\/p>\n c) La LOPD impone al responsable del fichero la adopci\u00f3n de medidas de seguridad<\/strong>, cuyo detalle se refiere a normas reglamentarias, que eviten accesos no autorizados.<\/em><\/p>\n d) El mantenimiento de ficheros carentes de medidas de seguridad que permitan accesos o tratamientos no autorizados, cualquiera que sea la forma o modalidad de \u00e9stos, constituye una infracci\u00f3n tipificada como grave.<\/strong><\/em><\/p>\n <\/em><\/p>\n En este supuesto la Agencia podr\u00eda haber precisado mejor sus fundamentos y aclarar que la concreta medida t\u00e9cnica infringida es el art\u00edculo 5 del derogado reglamento de desarrollo de la LORTAD o el art\u00edculo 85 del actual reglamento de desarrollo de la LOPD<\/strong>, que viene a establecer que las medidas de seguridad exigibles a los accesos a datos de car\u00e1cter personal a trav\u00e9s de redes de comunicaciones, sean o no p\u00fablicas, deber\u00e1n garantizar un nivel de seguridad equivalente al correspondiente a los accesos en modo local<\/strong>. Evidentemente, si tenemos acceso al fichero a trav\u00e9s de Internet de una forma abierta, sin restricciones, el tipo de acceso no es del modo \u201clocal\u201d.<\/p>\n –\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Procedimiento N\u00ba PS\/00274\/2008<\/strong>. Otra situaci\u00f3n que suele repetirse es el acceso a datos personales a trav\u00e9s de p\u00e1ginas web que no han observado una adecuada pol\u00edtica de seguridad. En otras ocasiones, a pesar de contar con medidas de seguridad apropiadas, es la pericia de los \u201catacantes\u201d (hackers, en el argot inform\u00e1tico) la que consigue romper la seguridad. Se trata de supuestos complejos en los que la Agencia ha de valorar las medidas de seguridad de una forma razonable, incluso por debajo del estado actual de la t\u00e9cnica, ya que de lo contrario estar\u00edamos exigiendo a responsables de ficheros y encargados de tratamiento contar con unas medidas costosas y en muchos casos de dif\u00edcil adopci\u00f3n.<\/p>\n <\/strong><\/p>\n La Agencia Espa\u00f1ola<\/em> de Protecci\u00f3n de Datos ha resuelto numerosos procedimientos sancionadores por infracciones en las medidas de seguridad al haber permitido diversas entidades, el acceso a trav\u00e9s de Internet a la informaci\u00f3n de los datos personales y bancarios de sus clientes que obra en sus ficheros. Asimismo la Sala de lo Contencioso Administrativo de la Audiencia Nacional ha dictado sentencias en los recursos contenciosos\u2013administrativos interpuestos por las entidades sancionadoras. Entre ellas, en la Sentencia de la Audiencia Nacional, Sala de lo Contencioso- Administrativo, Secci\u00f3n Primera, n\u00fam. Recurso: 290\/2004, de fecha 28 de junio de 2006, en el Fundamento de Derecho Cuarto se\u00f1ala: \u201cEsta misma Sala, resolviendo supuestos anteriores en los que los hechos se tipificaron a tenor de dicho Art\u00edculo 9 de la Ley Org\u00e1nica 15\/1999, de Protecci\u00f3n de Datos, ha establecido la siguiente doctrina (sentencias de 13 de junio de 2002, Reo. 1161\/2001, y de 7 de febrero de 2003, Reo. 1182\/2003, entre otras):<\/em><\/p>\n No basta, entonces, con la adopci\u00f3n de cualquier medida, pues deben ser las necesarias<\/em><\/strong> para garantizar aquellos objetivos que marca el precepto. Y, por supuesto, no basta con la aprobaci\u00f3n formal de las medidas de seguridad, pues resulta exigible que aqu\u00e9llas se instauren y pongan en pr\u00e1ctica de manera efectiva<\/strong>. As\u00ed, de nada sirve que se aprueben unas Instrucciones detalladas sobre el modo de proceder para la recogida y destrucci\u00f3n de documentos que contengan datos personales, si luego no se exige a los empleados del banco la observancia de aquellas instrucciones.<\/em><\/p>\n Se impone, en consecuencia, una obligaci\u00f3n de resultado<\/em><\/strong>, consistente en que se adopten las medidas necesarias para evitar que los datos se pierdan, extrav\u00eden o acaben en manos de terceros.<\/em><\/p>\n <\/em><\/strong><\/p>\n Resulta de gran importancia el razonamiento de esta resoluci\u00f3n. En la pr\u00e1ctica, las empresas se esfuerzan en crear complejos documentos de seguridad que dif\u00edcilmente pueden llevarse a la pr\u00e1ctica. En este sentido, es conveniente ajustar las medidas de seguridad a los m\u00ednimos exigidos, con tal de que puedan hacerse efectivas.<\/p>\n","protected":false},"excerpt":{"rendered":" La seguridad es un elemento fundamental en la protecci\u00f3n de datos; sin seguridad no hay protecci\u00f3n. En muchos casos, a la hora del tratamiento de datos, la seguridad pasa a un segundo plano debido al com\u00fan error de pensar que la mera notificaci\u00f3n de ficheros a la AEPD y la inclusi\u00f3n de un par de … Seguir leyendo Principios jur\u00eddicos en la protecci\u00f3n de datos: seguridad de los datos<\/span>