Como octava entrega de la serie de artículos sobre protección de datos personales en los bufetes de abogados hoy les comentaré lo relativo a los tipos de ficheros de datos personales y a las medidas de seguridad que conllevan.
Qué es un fichero de datos personales
Un fichero es todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.
Los ficheros no automatizados consisten en conjuntos de datos personales organizados de forma no automática y estructurados conforme a criterios específicos relativos a personas físicas que permitan acceder sin esfuerzos desproporcionados a sus datos personales, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica.
Los ficheros automatizados consisten en conjuntos de datos organizados de forma automática y gestionados mediante, programas, soportes, y equipos informáticos.
Tipos de datos personales
Los datos personales se agrupan normalmente en las siguientes categorías según la información sobre la que versan:
Datos especialmente protegidos
Los datos personales relativos a ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual.
Datos de carácter identificativo
Los datos personales relativos a DNI, dirección, imagen, voz, número de la seguridad social, teléfono, marcas físicas, nombre y apellidos, firma, huella, firma electrónica o tarjeta sanitaria.
Datos relativos a las características personales
Los datos personales relativos a estado civil, datos de familia, fecha de nacimiento, lugar de nacimiento, sexo, nacionalidad, lengua materna, características físicas o antropométricas.
Datos relativos a las circunstancias sociales
Los datos personales relativos a características de alojamiento, vivienda, situación familiar, propiedades, posesiones, aficiones y estilo de vida, pertenencia a clubes y asociaciones, licencias, permisos o autorizaciones.
Datos académicos y profesionales
Los datos personales relativos a formación, titulaciones, historial de estudiante, experiencia profesional, pertenencia a colegios o asociaciones profesionales.
Detalles de empleo
Los datos personales relativos a profesión, puesto de trabajo, datos no económicos de la nómina o historial del trabajador.
Datos que aportan información comercial
Los datos personales relativos a actividades y negocios, licencias comerciales, suscripciones a publicaciones o medios de comunicación, creaciones artísticas, literarias, científicas o técnicas.
Datos económicos, financieros y de seguros
Los datos personales relativos a ingresos, rentas, inversiones, bienes patrimoniales, créditos, préstamos, avales, datos bancarios, planes de pensiones, jubilación, datos económicos de nómina, deducciones de impuestos, seguros, hipotecas, subsidios, beneficios, historial de créditos o tarjetas de crédito o débito.
Datos relativos a transacciones de bienes y servicios
Los datos personales relativos a bienes y servicios suministrados por el afectado, bienes y servicios recibidos por el afectado, transacciones financieras, compensaciones o indemnizaciones.
Niveles de seguridad según tipologías de datos personales
En función de las tipologías de datos personales que trate en el despacho jurídico, deberá aplicar una serie de medidas de seguridad sobre dichos datos. Cuanto más alto el nivel de seguridad, le supondrá un mayor coste la gestión de dichos datos, ya que deberá aplicar medidas más severas y rigurosas para su captación, almacenamiento, gestión y destrucción.
Nivel de seguridad alto
En esta categoría están todos los ficheros de datos personales y tratamientos de datos personales sobre ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual y respecto de los que no se prevea la posibilidad de adoptar el nivel básico. Se aplica también a los datos personales con fines policiales recabados sin consentimiento del afectado y los derivados de violencia de género.
Nivel de seguridad medio
En esta categoría están todos los ficheros de datos personales y tratamientos de datos personales sobre comisión de infracciones administrativas o penales, prestación de servicios de solvencia patrimonial o de crédito, los relativos a potestades tributarias de la Administración, los relativos a servicios financieros y de mutuas de accidentes de trabajo, los que ofrezcan información sobre la personalidad y el comportamiento, y los operadores de comunicaciones electrónicas respecto de los datos de tráfico y localización.
Nivel de seguridad bajo
En esta categoría están todos los ficheros de datos personales y tratamientos de datos personales sobre el resto de datos que no se engloben en las categorías anteriores. También se aplica sobre datos relativos a ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual cuando:
a) Cuando los datos se utilicen al único fin de realizar una transferencia dineraria a entidades de las que los afectados son miembros.
b) Cuando se trate de ficheros o tratamientos de este tipo de datos de forma incidental o accesoria, que no guarden relación con la finalidad del fichero.
c) Cuando se trate de ficheros o tratamientos que contengan datos de salud que se refieran exclusivamente al grado de discapacidad o a la condición de invalidez con motivo del cumplimiento de deberes públicos.
Organización de los ficheros de datos personales en el despacho jurídico
En base a lo anterior le recomiendo que organice sus ficheros de datos personales según finalidad y tipología de datos. Por ello, recomiendo la siguiente estructura de ficheros para la mayoría de despachos jurídicos:
a) Empleados y colaboradores: Se agruparán los datos personales de empleados del despacho y de colaboradores externos. Nivel básico.
b) Clientes y proveedores: Se agruparán los datos personales de clientes y proveedores del despacho a efectos exclusivos de las prestaciones de servicios. Nivel básico.
c) Gestión comercial: Se agruparán los datos personales utilizados para las comunicaciones comerciales del despacho. Nivel básico.
d) Expedientes judiciales: Se agruparán los datos personales usados en el marco de las actuaciones jurídicas, con carácter general. Nivel medio
e) Expedientes judiciales especialmente protegidos: Se agruparán los datos personales usados en el marco de actuaciones jurídicas relativos a casos de violencia de género y los directamente vinculados a ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual. Nivel de seguridad alto.
Como ve, en los tres primeros se engloba la propia gestión del despacho, mientras que los dos últimos son los relativos a los expedientes judiciales tratados. Cuando en el expediente se traten de forma accesoria datos relativos a ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual, que no tengan una incidencia directa en el objeto del expediente, no necesitarán la especial protección referida en el último fichero.
Recomendaciones
En esta fase deberemos tomar una decisión trascendental como es la definición de los ficheros de datos en nuestro despacho jurídico. Esta decisión condicionará todos los procesos posteriores, por lo que conviene que lo sopese muy bien.
La organización de ficheros que les he propuesto suele ser válida para la mayoría de despachos jurídicos, pero no siempre es así. Por ello le recomiendo que cuente con un profesional externo que examine su casuística particular.
Cometer errores al clasificar nuestros ficheros de datos personales supondrá, desde el fracaso de todo el proceso de protección de datos personales hasta sobrecostes e ineficiencias fácilmente evitables.
Les espero en la próxima entrega: “Medidas de seguridad para los ficheros automatizados del despacho”
ElDerecho.com no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación