Startup & Legal VI: Tipos de ficheros y Nivel de Seguridad
Hoy nos toca Tipos de ficheros y Nivel de Seguridad, ya que si en los últimos post acerca de Startup & Legal hablábamos acerca de la privacidad como concepto genérico y su importancia para las startups, para después presentar a la AEPD y sus sistema para hacer de paladín de la LOPD, perdón, de garante del cumplimiento de la LOPD, hoy vamos a centrarnos en uno de los errores más frecuentes en lo relativo al cumplimiento de la LOPD, fijar Tipos de ficheros y Nivel de Seguridad.
Todos aquellos que fuimos chavales en los 80 recordaremos un videojuego llamado Kung Fu Master. En ese juego llevábamos a un experto en kung fu que luchaba por rescatar a su novia raptada. La acción discurría en un edificio donde debíamos recorrer cada piso para, al final de cada uno de ellos, vencer a un enemigo final y subir las escaleras al siguiente piso, donde nos esperaban enemigos más difíciles. Al igual que en ese juego, los datos personales también tienen niveles, en este caso niveles de seguridad, y conforme vamos subiendo por ellos los datos son más sensibles, más complicados de gestionar y proteger, y más cuantiosas son las sanciones que puede acarrear una pérdida, fuga o mala gestión de los mismos. ¡Así que empecemos la partida y enfrentémonos a esos niveles!
Level 1 – Datos de nivel Básico.
El primer nivel de seguridad en los datos personales que encontramos contiene los datos más usuales que una organización gestiona. Nombre, teléfono, dirección, firma, imagen, estudios y muchos más, que se engloban en los ficheros de clientes, proveedores, agenda, videovigilancia y otros según la tipificación que hace la Agencia Español de Protección de Datos. Los datos de este nivel tienen el nivel de protección más bajo, aunque ya de por sí exigente.
Level 2 – Datos de nivel Medio.
La situación empieza a complicarse. Aquí se encuentran los datos financieros y aquellos que resultan de la segmentación de perfiles. Si su startup u organización tiene comercio electrónico, tanto con pasarela de pago como si no, o realiza estudios de perfiles para segmentar clientes (por ejemplo para enviar ofertas adaptadas a los mismos) tendrá que lidiar con datos de nivel medio. Los requisitos de seguridad aumentan, por ejemplo ha de nombrarse al menos un Responsable de Seguridad.
Level 3 – Datos de nivel Alto.
La partida se pone realmente interesante. Los peligros acechan por doquier y las consecuencias de un fallo pueden ser catastróficas. En este nivel de seguridad encontramos datos sensibles que pueden ser usados para discriminar a las personas, tales como religión, raza, afiliación sindical (salvo si este dato se usa para el pago de cuotas sindicales), afiliación política, orientación sexual o datos relativos a la salud. Como puede esperarse, los requisitos de seguridad son bastante más estrictos. Por poner un ejemplo, la auditoría bienal de cumplimiento de los requisitos recogidos en el Documento de Seguridad será anual si la startup u organización trata con datos de nivel alto. Y las sanciones que puede imponer la Agencia Española de Protección de Datos por incumplimiento normativo o falta de diligencia ante un problema con estos datos (fuga, pérdida, robo, acceso no autorizado, etc…) pueden alcanzar los 600.000 euros. Game Over, man, Game Over!
Si quiere ganar la partida, MCA Consultores puede ayudarle a superar estos niveles y los peligros que acechan en ellos.