Necesidad de controlar los accesos a los datos personales

En este artículo, queremos hacer hincapié en la obligación de controlar los accesos a datos personales. La normativa de protección de datos no impide trabajar con este tipo de datos, pero sí exige cumplir obligaciones al respecto, tales como la privacidad desde el diseño y la confidencialidad.

El artículo 25.2 establece la privacidad por defecto en los siguientes términos: “El responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad. Tales medidas garantizarán en particular que, por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas”.

  • Cantidad” implica factores cualitativos y cuantitativos de los datos. El responsable del tratamiento deberá considerar el volumen de datos personales tratados, el nivel de detalle, las diferentes categorías, la sensibilidad (categorías especiales de datos), y los tipos de datos personales requeridos y necesarios para llevar a cabo una operación de tratamiento, incluyendo tanto los datos recogidos como los generados o inferidos a partir de estos.
  • “Extensión” implica que las operaciones de tratamiento sobre los datos personales realizadas por el responsable se limitarán a lo estrictamente necesario para cumplir con el propósito declarado.
  • “Plazo de conservación” implica que, si un dato personal no se necesita más después de ejecutar una fase del tratamiento, el dato deberá ser suprimido.
  • “Accesibilidad” implica que el responsable del tratamiento deberá establecer quién puede acceder a los datos personales, tanto en lo que respecta al personal dentro de la organización como a terceros, ya sean otras entidades y organismos o incluso sistemas automatizados como motores de búsqueda, servidores en la nube o cualquier otro sistema aplicación o servicio que acceda a los datos utilizados en el tratamiento.

Por otro lado, la confidencialidad, sale recogida en el RGPD de dos maneras:

  1. Por un lado, la confidencialidad como principio de implantar, por parte de los Responsables y Encargados de Tratamiento, medidas de seguridad organizativas y técnicas para garantizar que el tratamiento es conforme al RGPD.
  2. Y, por otro lado, este deber se traduce en la necesidad de que estas personas se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza legal.

PRÁCTICAS RECOMENDADAS PARA GARANTIZAR LA APLICACIÓN DE LA CONFIDENCIALIDAD DE LA INFORMACIÓN:

FICHEROS INFORMÁTICOS

  • • Utilización de claves de acceso al sistema informático.
  • Bloqueo o apagado del equipo informático.
  • Almacenamiento de archivos o ficheros en la red informática para que sean objeto de copia de seguridad.
    • Manipulación de los archivos o ficheros informáticos sólo a personas autorizadas.
  • No uso del correo electrónico para envíos de información de carácter personal sensible o a personas que no deben recibir dicha información.

FICHEROS EN PAPEL

  • Custodia de llaves de acceso a archivadores o dependencias.
  • Cierre de despachos o dependencias.
  • Almacenamiento de soportes o documentos en papel en dispositivos provistos de cerrraduras.
  • No dejar en fotocopiadoras, faxes o impresoras papeles con datos de carácter personal.
  • Documentos no visibles en los escritorios, mostradores u otro mobiliario, cuando no se esté trabajando con ellos.
  • Desechado y destrucción de soportes o documentos en papel con datos personales.
  • Traslado de soportes o documentos en papel con datos de carácter personal sin mostrar la información contenida en ella durante el trayecto.