No aplicación de medidas de seguridad.

La norma que comentamos hoy divide o califica los datos según sea el tipo de los mismos, estableciendo varias categorías. Los niveles que así establece son tres, y a cada uno le corresponde un nivel concreto y diferente de medidas de seguridad. Por ejemplo, al considerar – con buen criterio, además – la LOPD que no es igual de sensible poseer de alguien simplemente su dirección e-mail que poseer del mismo el dato de cuánto dinero debe por multas de tráfico, o incluso de alguna enfermedad que padezca, debido a todo ello, se aplicarían diferentes medidas de seguridad. No olvidemos que el no aplicar dichas medidas es igualmente objeto de sanción, y que junto a ello hay que elaborar el llamado Documento de Seguridad, que será el documento escrito en el cual se recogerán dichas medidas, concretas, especificándose qué tipo de ficheros serán objeto de las mismas, y cómo se llevarán a buen término. Este documento no hay que inscribirlo en ningún lugar, pero si un día nos encontramos con la visita de una inspección de la Agencia de Protección de Datos se nos pedirá para su correspondiente análisis, y evidentemente para ver si coincide con la realidad del tratamiento que realizamos con los datos.

Transferencias internacionales.

Este es uno de los supuestos en los cuales se suele caer con menos conciencia de su ilegalidad, pues la mayoría de las veces el sujeto infractor ni era consciente de que lo que estaba haciendo era ilegal. En concreto nos referimos a que si los datos van a viajar a otro país, no habrá problema si éste pertenece a la Unión Europea, pues se considera que poseen un nivel equivalente de protección de datos al regulado por nuestra legislación, pero ... si el país de destino es otro, habrá que ver si se trata de un Estado en relación al cual la Agencia de Protección de Datos considere – por convenio internacional – que cumple también los mínimos de la legislación española.

Un caso habitual es el de las transferencias a los EE. UU. Este Estado, aunque parezca una contradicción, no está dentro de los reconocidos ni por España ni por la Unión Europea como poseedor de un nivel de protección de datos a considerar como confiable, y es por ello que habrá previamente que comprobar si la empresa concreta de destino de los datos en dicho país está en la relación de la Unión Europea denominada de Puerto Seguro. Es una relación que se puede ver en la página web del Departamento de Comercio norteamericano, y las empresas que figuren en ella tendrán el visto bueno. Lo que ocurre es que son poquísimas las empresas que figuran en dicho listado, y de no figurar ahí la empresa concreta que nos interese, habrá que solicitar autorización al Director de la Agencia de Protección de Datos.

El fenómeno indicado suele darse, por ejemplo, al remitir a una filial en USA, donde estaría la empresa madre, datos de nuestros clientes, o incluso en materia de hosting, contratando servidores ubicados físicamente en dicho país, que generalmente son más baratos y por tanto más competitivos.

Una adecuada política de protección de datos es claro, por lo expuesto, que debería preocuparse por legalizar tal tipo de situaciones, existiendo incluso un trámite para que tal tipo de actuación tenga el visto bueno en toda la Unión Europea, quitándonos de tal modo y manera la preocupación constante de una posible inspección de la Agencia de Protección de Datos ( la sanción sería del tipo grave, pudiendo llegar a 600. 000 euros, siendo el tramo mínimo de esta sanción de 300.000 euros ).