Toda organización debe aplicar las medidas técnicas y organizativas necesarias para garantizar la seguridad e integridad de los datos personales que son objeto de tratamiento. Sin embargo, en función del tipo de información que se trate, se deben aplicar diferentes niveles de seguridad en protección de datos. En este artículo te lo explicamos más al detalle.
La seguridad en el tratamiento de datos personales según la LOPDGDD y el RGPD
El Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD) establecen nuevas obligaciones en materia de protección de datos para las organizaciones, con el fin de ofrecer mayor protección de los derechos y libertades de los individuos.
Entre las nuevas obligaciones está la adopción de medidas técnicas y organizativas para asegurar la seguridad e integridad de los datos. En lo referente a estas medidas, existen diferentes niveles de seguridad LOPD, los cuáles se han de aplicar en función de diversos factores:
- El estado actual de la técnica.
- Los costes de aplicación.
- La naturaleza, contexto o alcance del tratamiento de los datos personales.
- Los riesgos que puede suponer el tratamiento para los derechos y libertades de las personas físicas.
Aunque existen diversos niveles de seguridad en protección de datos, también hay una serie de medidas que se han de implantar a nivel general, en concreto las siguientes:
- La anonimización, seudonimización o encriptación y cifrado de datos personales para que solo puedan tener acceso a la información las personas autorizadas para ello.
- Implantar sistemas o servicios de tratamiento que cumplan con las exigencias de confidencialidad, integridad, resiliencia y disponibilidad.
- Establecer protocolos o herramientas capaces de garantizar la disponibilidad de la información o un rápido acceso a los datos en caso de que se produzca una violación de seguridad.
Niveles de seguridad en la protección de datos personales
Los niveles de protección de datos se aplicarán, principalmente, atendiendo a los riesgos asociados al tratamiento de dichos datos, en especial en los casos de destrucción, pérdida o alteración de la información. En función de estos, se puede hablar de niveles de seguridad LOPD básico, medio y alto.
Nivel básico
El nivel de seguridad básico se aplicará a todos los datos identificativos recogidos en los registros de actividades del tratamiento, así como a aquellos datos a los que se le apliquen niveles medios o altos de seguridad.
Como decimos, en este nivel básico de seguridad se encuentran los datos identificativos, como pueden ser el nombre, DNI, dirección, teléfono o correo electrónico.
Nivel medio
Por su parte, el nivel medio de seguridad se aplicará a aquellos datos que, por su finalidad de tratamiento, puedan suponer un riesgo más elevado para los derechos y libertades de los individuos.
Este nivel de seguridad se aplica a los datos relativos a condenas o infracciones penales, o a aquella información cuyos responsables del tratamiento sean la Seguridad Social y las Administraciones tributarias. También tendrán este nivel de seguridad los datos que revelen características concretas de los ciudadanos y que permitan conocer y evaluar determinados aspectos de su comportamiento o personalidad.
Nivel alto
Por último, el nivel alto de seguridad en protección de datos se aplica a aquellas categorías especiales de datos especialmente protegidos. En este caso nos referimos a datos relativos al sexo, ideología, afiliación sindical, orientación sexual, raza, religión o salud de las personas físicas.
A su vez, este nivel alto de seguridad también se aplicará a aquellos datos que hayan sido recabados con una finalidad policial sin el consentimiento de los afectados, y aquella información derivada de casos de violencia de género.
El establecimiento de niveles de seguridad en protección de datos por orden de prioridad garantiza que se ponga especial énfasis en aquellos datos que puedan suponer un mayor riesgo para los derechos y libertades de los individuos, pero siempre sin olvidar la protección de la información más básica, como es el caso de los datos identificativos.