Modificación parcial del artículo 81 del Reglamento LOPD

1248

Boletín Oficial del EstadoEn el BOE del día 29 de enero de 2010 se publicó el Real Decreto 3/2010 por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.

La Disposición adicional cuarta modifica la letra b) del apartado 5 del artículo 81 del Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal aprobado por Real Decreto 1720/2007, de 21 de diciembre.

La redacción original decía:

5. En caso de ficheros o tratamientos de datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual bastará la implantación de las medidas de seguridad de nivel básico cuando:
a) Los datos se utilicen con la única finalidad de realizar una transferencia dineraria a las entidades de las que los afectados sean asociados o miembros.
b) Se trate de ficheros o tratamientos no automatizados en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad.

Con la modificación publicada en el BOE cambia la letra b), pasando a decir:

b) Se trate de ficheros o tratamientos en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad.

Es decir, se ha eliminado “no automatizados”, por lo que esta excepción a la obligación de implantar medidas de seguridad de nivel alto en determinados ficheros con datos sensibles se ha extendido también a los automatizados.

Modificación parcial del artículo 81 del Reglamento LOPD
Vota este artículo
Compartir

8 Comentarios

  1. Las implicaciones de esto son bastante grandes…

    Tenemos respuestas a…

    ¿Los campos de texto libre potencialmente pueden recoger datos de nivel alto aunque no sea su intencionalidad, se deben implantar medidas de seguridad de nivel alto?

    ¿Es necesario implantar medidas de seguridad de nivel alto a una aplicación que gestiona incidencias y que por lo tanto puede recibir capturas de pantalla con datos de nivel alto?

    Es decir, prima la intencionalidad sobre todo.

  2. Tengo la siguiente duda:

    ¿Dicha modificación afecta únicamente a los ficheros de las administraciones públicas incluídas en el ámbito de aplicación del art. 3 del Real Decreto 3/2010 (o sea las del artículo 2 de la Ley 11/2007, de 22 de junio de acceso electrónico de los ciudadanos a los Servicios Públicos), o también a los ficheros privados?

  3. También me pregunto:
    ¿tiene algún sentido rebajar la protección de datos objetivamente sensibles con el argumento de que los datos “no tienen relación con su finalidad” pero son “accesorios”?¿Y si no tienen relación con su finalidad, no es ello en sí mismo una vulneración del principio de calidad de datos que pretende preservar la propia LOPD?:
    “Ley Orgánica 15/1999, de 13 de diciembre
    Artículo 4. Calidad de los datos.
    1. Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.”

  4. Alberto: no lo es porque la modificación de la letra b) no anula lo que dice el resto del artículo 5:

    “En caso de ficheros o tratamientos de datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual (…)”

    Es decir, no se trata de cualquier dato, sino de esos en concreto, pero por supuesto han de ser pertinentes como dices.

    Para que te hagas una idea te doy un ejemplo: empleado que solicita a su empresa pagar la cuota sindical a través de su nómina. Es evidente que se trata de un dato especialmente protegido, pero sería absurdo obligar a la empresa (que puede estar en nivel bajo de seguridad) por eso a tener que hacer auditorías e implantar medidas de nivel alto. Esta empresa no ha decidido por voluntad del responsable del fichero tener ese dato, sino que se ve obligado a ello porque es un derecho de su empleado.

    Es por eso la excepción.

  5. Quizá en el ejemplo que das podemos estar todos de acuerdo en el carácter de incidental o accesorio. Pero pienso que no será fácil en muchos casos poner la raya mediante un criterio objetivo entre lo accesorio o no accesorio.
    Por ejemplo, en el caso de una bolsa de trabajo gestionada por un servicio público de empleo que necesita tratar el dato ocupación solicitada. Entre los posibles valores asociables a dicho dato aparecen los correspondientes a la Clasificacion Nacional de Ocupaciones (una tabla con más de 2.000 ocupaciones diferentes). En dicha tabla aparece 1 ocupación elegible tanto por la empresa en una oferta como por los trabajadores que se inscriben en la bolsa con la descripción “Profesor del área de religión (enseñanza secundaria)”. Si consideramos que se trata de un dato de salud, esto, en principio, elevaría el nivel del fichero al nivel alto, a pesar de que el dato lo tiene “porque es un derecho del trabajador elegir libremente su opción profesional”. ¿O no?.

  6. Alberto: es que cuanto más detalles introduzcas, más individual y menos genérica será la duda, y por lo tanto necesitará una respuesta estudiada y matizada. Además en ocasiones todo esto puede estar matizado por otras leyes que también hay que estudiar. En el ejemplo que das habría que ver no sólo la LOPD, sino también la ley o reglamento que regule la contratación pública y ver qué se especifica allí respecto al uso de datos y su nivel de seguridad.

Dejar respuesta