La seguridad es un elemento fundamental en la protección de datos; sin seguridad no hay protección. En muchos casos, a la hora del tratamiento de datos, la seguridad pasa a un segundo plano debido al común error de pensar que la mera notificación de ficheros a la AEPD y la inclusión de un par de cláusulas informativas en contratos y formularios son suficientes para cumplir la ley. Esto no garantiza ni la seguridad ni la protección, fin último de la LOPD.
▪ Art. 9.1: El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que esten expuestos, ya provengan de la acción humana o del medio físico o natural.
▪ Art. 9.2: No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas.
▪ Art. 9.3: Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los ficheros y las personas que intervengan en el tratamiento de los datos a que se refiere el artículo 7 de esta Ley.
La regulación destinada a preservar la seguridad de los datos establece que las medidas a adoptar por el responsable del fichero o encargado del tratamiento han de ser de índole técnica y organizativa, y la finalidad de las mismas es evitar su alteración, pérdida y acceso no autorizado. El artículo 9.2 viene a establecer las mismas prescripciones pero por vía negativa. En cuanto al 9.3, remite la concreción de esas medidas técnicas y organizativas para datos sensibles a la vía reglamentaria (actualmente el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD). En los procedimientos sancionadores de la AEPD sólo se ha observado infracción el artículo 9.1.
– Procedimiento Nº PS/00594/2008. Estamos ante un supuesto muy común de infracción del artículo 9.1 LOPD. Se trata del negligente uso de programas P2P (peer to peer, que permiten compartir archivos) que produce la “fuga” de ficheros con datos de carácter personal a través de Internet.
Sintetizando las previsiones legales puede afirmarse que:
a) Las operaciones y procedimientos técnicos automatizados o no, que permitan el acceso –la conservación o consulta- de datos personales, es un tratamiento sometido a las exigencias de la LOPD.
b) Los ficheros que contengan un conjunto organizado de datos de carácter personal así como el acceso a los mismos, cualquiera que sea la forma o modalidad en que se produzca, están, también, sujetos a la LOPD.
c) La LOPD impone al responsable del fichero la adopción de medidas de seguridad, cuyo detalle se refiere a normas reglamentarias, que eviten accesos no autorizados.
d) El mantenimiento de ficheros carentes de medidas de seguridad que permitan accesos o tratamientos no autorizados, cualquiera que sea la forma o modalidad de éstos, constituye una infracción tipificada como grave.
En este supuesto la Agencia podría haber precisado mejor sus fundamentos y aclarar que la concreta medida técnica infringida es el artículo 5 del derogado reglamento de desarrollo de la LORTAD o el artículo 85 del actual reglamento de desarrollo de la LOPD, que viene a establecer que las medidas de seguridad exigibles a los accesos a datos de carácter personal a través de redes de comunicaciones, sean o no públicas, deberán garantizar un nivel de seguridad equivalente al correspondiente a los accesos en modo local. Evidentemente, si tenemos acceso al fichero a través de Internet de una forma abierta, sin restricciones, el tipo de acceso no es del modo “local”.
– Procedimiento Nº PS/00274/2008. Otra situación que suele repetirse es el acceso a datos personales a través de páginas web que no han observado una adecuada política de seguridad. En otras ocasiones, a pesar de contar con medidas de seguridad apropiadas, es la pericia de los “atacantes” (hackers, en el argot informático) la que consigue romper la seguridad. Se trata de supuestos complejos en los que la Agencia ha de valorar las medidas de seguridad de una forma razonable, incluso por debajo del estado actual de la técnica, ya que de lo contrario estaríamos exigiendo a responsables de ficheros y encargados de tratamiento contar con unas medidas costosas y en muchos casos de difícil adopción.
La Agencia Española de Protección de Datos ha resuelto numerosos procedimientos sancionadores por infracciones en las medidas de seguridad al haber permitido diversas entidades, el acceso a través de Internet a la información de los datos personales y bancarios de sus clientes que obra en sus ficheros. Asimismo la Sala de lo Contencioso Administrativo de la Audiencia Nacional ha dictado sentencias en los recursos contenciosos–administrativos interpuestos por las entidades sancionadoras. Entre ellas, en la Sentencia de la Audiencia Nacional, Sala de lo Contencioso- Administrativo, Sección Primera, núm. Recurso: 290/2004, de fecha 28 de junio de 2006, en el Fundamento de Derecho Cuarto señala: “Esta misma Sala, resolviendo supuestos anteriores en los que los hechos se tipificaron a tenor de dicho Artículo 9 de la Ley Orgánica 15/1999, de Protección de Datos, ha establecido la siguiente doctrina (sentencias de 13 de junio de 2002, Reo. 1161/2001, y de 7 de febrero de 2003, Reo. 1182/2003, entre otras):
No basta, entonces, con la adopción de cualquier medida, pues deben ser las necesarias para garantizar aquellos objetivos que marca el precepto. Y, por supuesto, no basta con la aprobación formal de las medidas de seguridad, pues resulta exigible que aquéllas se instauren y pongan en práctica de manera efectiva. Así, de nada sirve que se aprueben unas Instrucciones detalladas sobre el modo de proceder para la recogida y destrucción de documentos que contengan datos personales, si luego no se exige a los empleados del banco la observancia de aquellas instrucciones.
Se impone, en consecuencia, una obligación de resultado, consistente en que se adopten las medidas necesarias para evitar que los datos se pierdan, extravíen o acaben en manos de terceros.
Resulta de gran importancia el razonamiento de esta resolución. En la práctica, las empresas se esfuerzan en crear complejos documentos de seguridad que difícilmente pueden llevarse a la práctica. En este sentido, es conveniente ajustar las medidas de seguridad a los mínimos exigidos, con tal de que puedan hacerse efectivas.