En más de una ocasión, el empresario de Internet, a la hora de contratar un servicio de hosting, para alojar su página web o portal, suele buscar la oferta más económica, sin fijarse en sus posibles consecuencias negativas. Decimos esto porque no es infrecuente que movidos por el ahorro económico inmediato, más de uno contrate el hosting con una empresa USA, y en tal caso, si dicho sitio web tratase datos de carácter personal de sus usuarios, sin saberlo, por desconocimiento de la Ley, estaría llevando a cabo lo que técnicamente se denomina transferencia internacional de datos, para la cual exige la Ley la autorización previa del Director de la Agencia de Protección de Datos, y en caso de incumplimiento se consideraría infracción grave, por lo que más comentarios sobran a dicho respecto.

La posible solución a ello pasa por la elaboración de determinados contratos entre el empresario y la empresa titular del servidor en el extranjero, debiéndose también de llevar a cabo determinados registros de los mismos, comprometiéndose ambos a respetar y aplicar toda la normativa española, lo cual en la práctica no se realiza, simplemente por desconocimiento, incurriendo en un riesgo extremo en caso de de aperturarse el correspondiente procedimiento sancionador por la APD.

¿ Cuáles son los diferentes niveles de seguridad contemplados en la Ley ?

Son tres. El máximo será aquel en el que nos encontremos cuando estemos tratando datos referentes a – por ejemplo - la salud, ideología, o vida sexual. No olvidemos que por el mero hecho de usar cookies, es posible saber qué tipo de páginas visita un cliente, y si éstas son, por ejemplo, de contenido gay, ya estamos tratando datos acerca de su orientación sexual.

El nivel medio sería aquel cuyos datos se refiriesen a infracciones administrativas o penales, Hacienda Pública – una gestoría, por ejemplo, que nos realizase la declaración de la Renta -, o datos de tipo financiero.

Y el básico, por exclusión, sería aquel no comprendido en ninguno de los dos niveles expuestos.

Ejemplos de medidas de seguridad de nivel básico

Una de las medidas, y común a todos los niveles de seguridad, es la inscripción del fichero en el Registro General de Protección de Datos; otra, la elaboración del documento de seguridad, en el cual se habrá de especificar qué medidas, normas procedimientos y estándares se usan para garantizar el nivel de seguridad; también incorporar procedimientos de realización de copias de respaldo y de recuperación de los datos; igualmente, y todo esto es a título de ejemplo y de síntesis apresurada, poseer un registro notificación y gestión de incidencias; también, y sin ánimo de ser exhaustivos, poseer una relación actualizada de usuarios que tengan acceso al sistema de información, así como establecer procedimientos de identificación y autentificación para dicho acceso.

Ejemplos de medidas de seguridad de nivel medio

Aparte de bastantes de las medidas exigidas para el nivel básico, se exige también especificar – y aplicar, naturalmente – en el documento de seguridad quién o quiénes serán los responsables de seguridad, y los controles periódicos que habrán de realizarse para verificar el cumplimiento de las medidas; habrán de someterse a una auditoría, cada dos años, con el fin de verificar el cumplimiento de lo establecido en el reglamento desarrollador de las medidas que comentamos; establecer medidas para limitar la posibilidad de intentos reiterados de accesos no autorizados a los datos; registro de entrada y salida de soportes informáticos, etc.

Ejemplos de medidas de seguridad de nivel alto

La distribución de los soportes que contengan datos de carácter personal se llevarán a cabo usando sistemas de encriptación para el cifrado de dichos datos, o bien utilizando cualquier mecanismo que garantice que dicha información no sea inteligible ni manipulada durante el transporte; establecimiento de un registro de accesos, pero más detallado y estricto aún que para los niveles de seguridad inferiores ya comentados; conservar los datos durante un período mínimo de dos años; y también, entre otras, cifrar la información en el caso de que la misma se trasmita a través de redes de telecomunicaciones ( Internet es tan sólo una de ellas, y otra podría ser perfectamente el envío de un fax ).

Javier Hernández Martínez, abogado