DATOS PERSONALES

La entrada en vigor del Reglamento General de Protección de Datos nos obliga como empresa a tener en cuenta unas ideas sobre los datos personales que manejamos, estableciendo tres niveles de seguridad (básico, medio y alto) dependiendo de la naturaleza de los datos personales tratados.

Nivel Alto: Son los datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual, esto es los que se refieren a la más estricta intimidad y dignidad de la persona. Hace falta tener el consentimiento expreso de la persona para obtener y guardar estos datos y justificar legalmente su necesidad. En el ámbito industrial guipuzcoano es muy raro que conservemos en nuestro poder este tipo de datos de nuestros trabajadores, clientes, proveedores de bienes o servicios y demás ciudadanos y ciudadanas que se relaciones con nuestra empresa. En su caso, para tratar los ficheros de nivel alto es necesario proceder al registro de accesos a los archivos en que consten estos datos personales: con esta medida queda una huella digital de todas las personas que hayan intentado acceder o hayan accedido a los datos en cuestión; esta huella permite conocer la identidad de la persona que ha intentado acceder al fichero, la hora y la fecha del acceso y si tenía autorización para ello o no. El sentido común aconseja no conservar estos datos en poder de la empresa, salvo que sean estrictamente necesarios, como primera medida, así que es imprescindible realizar una concienzuda auditoría de nuestros ficheros en papel, no solo estamos hablando de datos obtenidos a partir de la revolución informática, y de nuestros archivos en memoria, para proceder a su destrucción y los que excepcionalmente haya que conservar guardarlos bajo ese control riguroso.

Nivel Medio: Son los datos personales acerca de infracciones administrativas o penales, solvencia o crédito, datos tributarios o de la Seguridad Social, datos de prestación servicios financieros, y datos referentes a la personalidad o comportamiento de las personas, como gustos, costumbres aficiones etc.. De nuevo hay que pensar que hay que obtener el consentimiento expreso del afectado o renovar el que se ha obtenido antes para obtener estos datos y justificar legalmente su necesidad en nuestra actividad empresarial. También hay que establecer un protocolo de su tratamiento reservado para que quede constancia de que solo se usan para fines lícitos y hay que realizar una auditoría (que puede ser interna o externa) cada dos años con el fin de verificar que se cumplen las medidas de seguridad que exige la nueva normativa de protección de datos.

Nivel Básico: Son ficheros que contienen datos personales que no pertenezcan al nivel medio ni al alto y datos identificativos, como el NIF, NºSS, nombre, apellidos, dirección, teléfono, firma, imagen, e-mail, nombre de usuario, número de tarjeta, matrícula, etc. También se consideran datos de nivel de seguridad básico los datos personales de nivel medio o alto que se encuentran en manos de una empresa de manera accesoria o accidental. Por ejemplo, los datos sobre alergias alimentarias de los clientes de un establecimiento d e hostelería. Informar y obtener consentimiento para la recogida y tratamiento de estos datos personales también, aunque el consentimiento en estos supuestos puede ser implícito por ser necesarios para el establecimiento de la relación personal, profesional, laboral, mercantil etcª hay que advertir que se guardan. Sin embargo el tratamiento de este tipo de ficheros está sometido al deber general de secreto por lo que, por ejemplo, hay que establecer un procedimiento de asignación de contraseñas y que éstas se cambien al menos una vez al año, a efectos de que solo sean tratados por las personas de la empresa autorizadas y conocedoras de sus deberes.

Las empresas tienen un plazo de 72 horas para notificar a la AEPD cualquier brecha de seguridad que afecte a datos personales.