1.5 Tècniques de protecció d'accessos públics i privats, en arxius convencionals i informàtics

La informació és una eina per a qualsevol institució. Al llarg del temps s’ha considerat com una  font de poder.

És per això que les empreses han valorat la informació de la que disposen.  Si una empresa vol protegir la seva informació no pot dona avantatges a la competència.

La informació s’ha de preservar, no totes les empreses ho fan, no tan sol de la competència sinó d’alguns dels seus treballadors, no tots els treballadors de l’empresa necessiten tenir accés a tota la informació.

En aquest sentit tenim un mecanisme de protecció de dades de caràcter personal que també afecta a les dades d’una empresa.

El dret d’accés és l’autorització que s’atorga a una persona o grup de persones perquè puguin accedir a una determinada documentació quan ho necessitin per al desenvolupament de la seva feina.

L’accés de la informació en una empresa sol estar determinat per el departament en el que treballes, cada departament pot tenir només accés a una part de la documentació.

L’aparició del treball informatitzat en xarxa en les empreses ha estat un gran avenç en aquest sentit. Tot i així, anteriorment, també hi havia altres sistemes.

El més comú era utilitzar diferents elements per arxivar, diferent mobiliari o, fins i tot, diferents sales per desar la informació amb un accés més restringit.

No tindria sentit que informació sobre els nostres clients a la qual no es vol que accedeixin els treballadors de l’empresa s’arxivés en una carpeta d’accés general. D’aquesta manera, propiciaríem que la informació restringida fos de fàcil accés quan s’hagués d’afegir documentació a aquesta carpeta. En funció de la rellevància de la informació, es pot desar en un mobiliari diferent, fins i tot, si escau, amb pany o en alguna caixa forta.

TÈCNIQUES DE PROTECCIÓ D'ACCESSOS EN ARXIUS INFORMÀTICS

 L’empresa és un dipòsit d’informació. S’hi emmagatzema molta documentació amb diferents graus de valor i confidencialitat. Tradicionalment ,l’accés a la documentació de l’empresa es feia físicament, amb un control de les persones que podien veure i accedir a la informació. Actualment, en canvi, l’accés a la informació digitalitzada espot fer des de qualsevol terminal intern de l’empresa o, fins i tot, extern, si es fa per Internet. En aquest context, s’han d’establir sistemes d’accés a la informació que seran gestionats i controlats per l’administrador de la xarxa.Així, cada treballador, mitjançant un nom d’usuari i contrasenya que se li hauran proporcionat, podrà accedir a determinades carpetes i arxius als quals altres persones no tindran accés.

D’altra banda, si la nostra xarxa té accés a Internet, s’hauran d’establir 

mecanismes de seguretat com, per exemple, l’ús de programari antiespia, 

paraules de pas “password”, que fan que en tot moment poden saber qui ha accedit a aquesta informació.

Alguns mecanismes de control :

•        Creació de diferents perfils d’usuari a la xarxa local de l’empresa de manera que cada tipus d’usuari només pot accedir a determinades carpetes. Aquest sistema, que és molt comú, acostuma a establir els accessos per capes o nivells.

•        Establiment de contrasenyes d’accés a la intranet de l’empresa, als dispositius d'´emmagatzematge o fins i tot als documents Quan enviem documentació que pot tenir informació sensible, un mètode senzill de protecció és agregar tots els documents en un paquet comprimit  i afegir una contrasenya que després serà necessària per poder descomprimir el paquet. 

1.5.1.- Nivells de protecció: determinació.

Nivells de protecció: determinació.

Els tres nivells en què s’organitzen les mesures de seguretat, bàsic, mitjà i alt, s’apliquen en funció del tipus de dades objecte del tractament. Per a cada nivell es descriuen una sèrie de requeriments de protecció de les dades adreçats a determinar què és el que ha de procurar la mesura de seguretat. No s’estableix com s’ha de fer, excepte en aspectes molt puntuals.

NIVELL BÀSIC

A tots els que continguin dades personals.

         Fitxers o tractaments de dades d’ideologia, afiliació sindical, religió, creences, origen racial, salut o vida sexual quan:

•        Les dades s’utilitzin amb l’única finalitat de fer una transferència de diners a les entitats de què els afectats siguin associats o membres.

•        Es tracti de fitxers o tractaments no automatitzats en què, de forma incidental o accessòria, s’inclouen les dades sense tenir relació amb la seva finalitat.

         Fitxers o tractaments que continguin dades relatives a la salut quan es refereixin exclusivament al grau de discapacitat o a la simple declaració de la condició de discapacitat o invalidesa de la persona afectada, amb motiu del compliment dels deures públics.

         Als relatius a la comissió d’infraccions administratives o penals.

         Als relatius a solvència patrimonial i crèdit.

         A aquells els responsables dels quals siguin les administracions tributàries i es relacionin amb l’exercici de les seves potestats tributàries.

         A aquells els responsables dels quals siguin les entitats financeres amb finalitats relacionades amb la prestació de serveis financers.

          A aquells els responsables dels quals siguin les entitats gestores i serveis comuns de la seguretat social i es relacionin amb l’exercici de les seves competències.

         A aquells els responsables dels quals siguin les mútues

         A aquells que continguin un conjunt de dades personals que ofereixin una definició de les característiques o de la personalitat dels ciutadans i que permetin avaluar determinats aspectes de la personalitat o del comportament d’aquests.

Amb particularitats:

         A aquells els responsables dels quals siguin els operadors que prestin serveis de comunicacions electròniques disponibles al públic o explotin xarxes públiques de comunicacions electròniques respecte de les dades de tràfic i les dades de localització. A aquests fitxers se’ls ha d’aplicar, a més, una mesura de nivell alt, la relativa al registre dels accessos a la informació que contenen.

NIVELL ALT

 Als que es refereixen a dades d’ideologia, afiliació sindical, religió, creences, origen racial, salut o vida sexual.

         Als que continguin o es refereixin a dades recollides amb

         Als que continguin dades derivades d’actes de violència de gènere.

Quines són les mesures de seguretat que s’han d’implementar?

S’han d’implementar les mesures de seguretat previstes al títol VIII del RLOPD, en funció del tipus de dades tractades. Aquestes mesures de seguretat s’han de descriure en el document de seguretat que recollirà les mesures tècniques i organitzatives aplicables al tractament o fitxer.

1.5.2. Disposició de contrasenyes i atributs d'accés. Autoritzacions d'accés o consulta, detecció d'errors en el procediment

La confidencialitat de les dades és un dels objectius principals de la seguretat en còmput i un dels mecanismes per aconseguir-la mitjançant l'ús de contrasenyes.

Les contrasenyes són claus que usem per tenir accés a la nostra informació privada que es troba emmagatzemada en alguna computadora, correu electrònic, comptes bancaris o qualsevol altra font d'emmagatzematge d'informació, ja sigui privada o confidencial.

El problema principal de la seguretat radica en l'ocupació de contrasenyes febles per a la protecció de les dades, ja que això permet que els intrusos realitzin diferents atacs contra sistemes tractant de comprometre la seva seguretat.

La millor solució davant això és l'ocupació de contrasenyes robustes que atorguin un grau de seguretat més elevat per a la protecció de la informació. Un dels inconvenients principals en l'ocupació de contrasenyes robustes és que són difícils de recordar, no obstant això existeixen tècniques que permeten utilitzar-les sense necessitat d'anotar-les en algun lloc físicament o dir-les-hi a algú més.

Les contrasenyes han de ser segures, és a dir, han de tenir cert grau de complexitat i cal canviar-les periòdicament. Un estàndard comú per assegurar contrasenyes és que tinguin un mínim de 8 caràcters i que es composi per una barreja de lletres, nombres i símbols.

Les contrasenyes no s’han de lliurar a ningú, ni escriure-les en llocs visibles en l'entorn de treball. És més comú del que sembla veure contrasenyes apuntades en paper enganxat a un ordinador de l'oficina.

Els ordinadors personals ha de tenir configurada una contrasenya i han de tenir marcada l'opció perquè la contrasenya d’accés s'habiliti automàticament passats uns minuts si no s’està usant l’ordinador. Això previndrà que algú ensumi en un ordinador desatès.

La informació confidencial ha d'estar restringida a les persones apropiades. Molts dels atacs a sistemes informàtics són fets des de dintre de l'empresa, per treballadors interns.

Els ordinadors personals haurien de tenir instal·lat programes “antivirus”, i tallafocs personal, que s’ha d’actualitzar freqüentment per tal d’estar al dia de les noves amenaces.

Cal mantenir els sistemes operatius i els programes actualitzats. Per la seva naturalesa, tots ells tenen errors de disseny que poden ser aprofitats per tercers amb objectius maliciosos. Es creen programes especialment dissenyats per explotar aquestes fallades i, fins i tot, aconseguir controlar tot el que passa a l'ordinador. En la majoria de casos les actualitzacions són gratuïtes directament del fabricant.

En tota empresa connectada a Internet és una bona idea instal·lar un tallafocs. N’hi ha de dos tipus: basats en maquinari i basats en programari. L'elecció del tallafocs més indicat depèn de la grandària de l’empresa i l’ús que es faci de les connexions a Internet.

Tot i ser una mesura molt restrictiva, en alguns casos cal inhabilitar disqueteres, unitats de CD/DVDi memòries USB, ja que a través d'aquests mitjans extraïbles es pot prendre control de l'ordinador de forma senzilla o tenir fuites d’informació.

En tots el casos els usuaris han de disposar d’informació i han d’estar conscienciats sobre la prevenció envers els incidents de seguretat (virus, missatgeria instantània, correu electrònic, etc.).

Compromís de la gerència per a l’adopció de mesures, sovint poc populars i/o restrictives, etc.

Aspectes importants a considerar:

No utilitzar en la teva contrasenya

 informació personal o que pugui relacionar-se amb tu. No utilitzar dates d'aniversaris, números de telèfon, adreces, sobrenoms, noms de familiars, etc. ja que és informació relativament fàcil de descobrir.

No utilitzar paraules que puguin trobar-se en un diccionari. Els intrusos  o hackers

(  Gent apassionada per la seguretat informàtica. Això concerneix principalment a entrades remotes no autoritzades per mitjà de xarxes de comunicació com Internet ("Black hats"). Però també inclou a aquells que depuren i arreglen errors en els sistemes ("White hats") i als de moral ambigua com són els "Grey hats".)   utilitzen diferents eines que proven totes les paraules possibles en diccionaris de diversos idiomes tractant de desxifrar la contrasenya.

No fer pública la teva contrasenya en cap concepte. Mai has d'apuntar la teva contrasenya en un paper, ni en un arxiu ni en algun mitjà electrònic.

Es aconssejable de tenir contrasenyes diferents en cada sistema. Si no compleixes aquesta regla i algú descobreix la teva contrasenya en algun dels sistemes que utilitzes, podrà utilitzar-la múltiples vegades en diferents sistemes.

Mai fer activitats bancàries en computadores públiques com el són els cafès Internet. Una de les activitats comunes dels intrusos en comprometre un equip de computo és la instal·lació de programes keylogger que tenen com a objectiu registrar tot el que l'usuari escriu des del teclat per enviar-ho posteriorment a l'intrús, això inclou per descomptat, les contrasenyes.

No revelar la teva contrasenya a cap persona. Un especialista es pot fer passar per una altra persona en el telèfon o via correu electrònic, i utilitzar qualsevol pretext fals pel qual necessita la teva contrasenya.

Canvia de forma periòdica la teva contrasenya. Com una bona pràctica de seguretat és recomanable canviar, almenys una vegada al mes, la contrasenya en cadascun dels serveis que utilitzes.

1.5.3.- Autoritzacions d'accés o consulta, detecció d'errors en el procediment.

Els  virus poden ser un greu problema i fer malbé el disc dur d’un ordinador i tot el que conté.

Moltes empreses ofereixen el servei de recuperació de dades de discos durs que s’han fet malbé, encara que això no sempre és possible.

Davant de la facilitat de perdre la informació emmagatzemada digitalment, cal establir algunes mesures de prevenció, com les següents:

• Fer còpies de seguretat amb certa periodicitat. D’aquesta manera es podrà recuperar la informació que s’ha perdut involuntàriament.

• Revisar la paperera de reciclatge  de l’ordinador abans de buidar-la per tal d’assegurar-nos que no hi hem col•locat, involuntàriament, arxius que en realitat no volem esborrar.

• Generar una estructura d’arxius eficient i establir protocols d’eliminació de documentació digital, per tal d’evitar que s’elimini informació de manera involuntària.

• Tenir instal•lat i actualitzat un programari antivirus. La seva actualització és especialment important per poder detectar i eliminar els nous virus que apareixen cada dia.

L’article 81 del Reial decret 1720/2007 estableix els nivells de seguretat aplicables per a cada tipus de dades als documents.

1.6 Aplicació de procediments de seguretat i confidencialitat de la informació:

ü Seguretat

ü Confidencialitat

ü Seguretat

En la seguretat de la informació és important assenyalar que el seu maneig està basat a la tecnologia i devem saber que pot ser confidencial: la informació està centralitzada i pot tenir un alt valor. 

Pot ser divulgada, malament utilitzada, ser robada, esborrada o sabotejada. Això afecta la seva disponibilitat i la posa en risc. La informació és poder, i segons les possibilitats estratègiques que ofereix tenir accés a certa informació, aquesta es classifica com:

Crítica: És indispensable per a l'operació de l'empresa.

Valuosa: És un actiu de l'empresa i molt valuós.

Sensible: Deu ser coneguda per les persones autoritzades

Existeixen dues paraules molt importants que són risc i seguretat:

Risc: És la materialització de vulnerabilitats identificades, associades amb la seva probabilitat d'ocurrència, amenaces exposades, així com l'impacte negatiu que ocasioni a les operacions de negoci.

Seguretat: És una forma de protecció contra els riscos.

La seguretat de la informació comprèn diversos aspectes entre ells la disponibilitat, comunicació, identificació de problemes, anàlisis de riscos, la integritat, confidencialitat, recuperació dels riscos.

Precisament la reducció o eliminació de riscos associat a una certa informació és l'objecte de la seguretat de la informació i la seguretat informàtica. Més concretament, la seguretat de la informació té com a objecte els sistemes l'accés, ús, divulgació, interrupció o destrucció no autoritzada d'informació.1 Els termes seguretat de la informació, seguretat informàtica i garantia de la informació són usats freqüentment com a sinònims perquè tots ells persegueixen una mateixa finalitat en protegir la confidencialitat, integritat i disponibilitat de la informació. No obstant això, no són exactament el mateix existint algunes diferències subtils. Aquestes diferències radiquen principalment en l'enfocament, les metodologies utilitzades, i les zones de concentració. A més, la seguretat de la informació involucra la implementació d'estratègies que cobreixin els processos on la informació és l'actiu primordial. Aquestes estratègies han de tenir com a punt primordial l'establiment de polítiques, controls de seguretat, tecnologies i procediments per detectar amenaces que puguin explotar vulnerabilitats i que posin en risc aquest actiu, és a dir, que ajudin a protegir i salvaguardar tant informació com els sistemes que l'emmagatzemen i administren. La seguretat de la informació incumbeix a governs, entitats militars, institucions financeres, els hospitals i les empreses privades amb informació confidencial sobre els seus empleats, clients, productes, investigació i la seva situació financera.

En cas que la informació confidencial d'una empresa, els seus clients, les seves decisions, el seu estat financer o nova línia de productes caiguin en mans d'un competidor; es torni pública de forma no autoritzada, podria ser causa de la pèrdua de credibilitat dels clients, pèrdua de negocis, demandes legals o fins i tot la fallida de la mateixa.

Per més de vint anysla Seguretat de la Informació ha declarat que la confidencialitat, integritat i disponibilitat (coneguda com laTríada CIA, de l'anglès: "Confidentiality, Integrity, Availability") són els principis bàsics de la seguretat de la informació.

La correcta Gestió de la Seguretat de la Informació busca establir i mantenir programes, controls i polítiques, que tinguin com a finalitat conservar la confidencialitat, integritat i disponibilitat de la informació, si alguna d'aquestes característiques falla no estem davant res segur. Cal anotar, a més, que la seguretat no és cap fita, és més aviat un procés continu que cal gestionar coneixent sempre les vulnerabilitats i les amenaces que se cenyeixen sobre qualsevol informació, tenint sempre en compte les causes de risc i la probabilitat que ocorrin, així com l'impacte que pot tenir. Una vegada coneguts tots aquests punts, i mai abans, hauran de prendre's les mesures de seguretat oportunes.

ü Confidencialitat

Confidencialitat és la propietat de la informació, per la qual
es garanteix que està accessible únicament a personal
autoritzat a accedir a aquesta informació. La confidencialitat ha estat definida per l'Organització Internacional d'Estandardització (ISO) en la norma ISO/IEC 27002 com "garantir que la informació és accessible només per a aquells autoritzats a tenir accés" i és una de les pedres angulars de la seguretat de la informació. La confidencialitat és un dels objectius de disseny de molts criptosistemas, feta possible en la pràctica gràcies a les tècniques de criptografíamoderna.

La confidencialitat també es refereix a un principi ètic associat amb diverses professions (per exemple, medicina, dret, religió, psicologia professional, i el periodisme); en aquest cas, es parla de secret professional. En ètica, i (en alguns llocs) en Dret, concretament en judicis i altres formes de resolució de conflictes legals, tals com la mediació, alguns tipus de comunicació entre una persona i un d'aquests professionals són "privilegiats" i no poden ser discutits o divulgats a tercers. En les jurisdiccions en què la llei preveu la confidencialitat, en general hi ha sancions per la seva violació.

La confidencialitat de la informació, imposada en una adaptació del principi clàssic militar "need-to-know", constitueix la pedra angular de la seguretat de la informació en corporacions d'avui dia. L'anomenada "bombolla de confidencialitat" restringeix els fluxos d'informació, amb conseqüències tant positives com a negatives.

Confidencialitat en Informàtica

La confidencialitat s'entén en l'àmbit de la seguretat informàtica, com la protecció de dades i d'informació intercanviada entre un emissor i un o més destinataris enfront de tercers. Això ha de fer-se independentment de la seguretat del sistema de comunicació utilitzat: de fet, un assumpte de gran interès és el problema de garantir la confidencialitat de la comunicació utilitzat quan el sistema és inherentment insegur (com a Internet).

En un sistema que garanteixi la confidencialitat, un tercer que entra en possessió de la informació intercanviada entre el remitent i el destinatari no és capaç d'extreure cap contingut intel·ligible.

Per garantir-la s'utilitzen mecanismes de xifrat i d'ocultació de la comunicació. Digitalment es pot mantenir la confidencialitat d'un document amb l'ús de claus asimètriques. Els mecanismes de xifrat garanteixen la confidencialitat durant el temps necessari per desxifrar el missatge. Per aquesta raó, és necessari determinar durant quant temps el missatge ha de seguir sent confidencial. No existeix cap mecanisme de seguretat absolutament segur.

TUTORIAL: COPIA DE SEGURETAT I CONFIDENCIALITAT

1.6.1 Normativa vigent de protecció de dades i conservació de documentació

ü LOPD

ü Conservació de Documents

LOPD

La llei orgànica 15/1999 de protecció de dades de caràcter personal (LOPD) és una llei 
orgànica que té com objectiu garantir i protegir les dades personals, les llibertats 
públiques i els drets fonamentals de les persones físiques, i especialment la seva 
intimitat i privadesa personal i familiar. Fou aprovada a les Corts espanyoles el 13 de 
desembre del 1999. Aquesta llei es desenvolupa fonamentada en l'article 18 de 
la Constitució espanyola de 1978, sobre el dret a la intimitat familiar i personal; i el 
secret de les comunicacions.

·         Agència Espanyola de Protecció de Dades (castellà)

·         Agència Catalana de Protecció de Dades

Aquesta llei afecta a totes les dades que fan referència a persones físiques registrades 
sobre qualsevol suport, informàtic o no. Queden exempts del compliment d'aquesta 
normativa aquelles dades recollides per a ús domèstic, les matèries classificades de 
l'estat i aquells fitxers que recullen dades sobre terrorisme i altres formes 
de delinqüència organitzada (no simple delinqüència).

A partir d'aquesta llei es varen formar l'Agència Espanyola de Protecció de Dades, 
d'àmbit estatal, i l'Agència Catalana de Protecció de Dades, en l'àmbit de Catalunya, que 
vetllen pel compliment d'aquesta normativa.

Nivells de la LOPD

Les dades de caràcter personal s'estructuren en diferents 
nivells que classifiquen els registres en tres nivells de 
seguretat. Ho són:

·         noms i cognoms de persones físiques vives

·         números de DNI, NIF i passaport

·         adreces físiques que s'hi associïn o s'hi puguin associar a través del tractament informàtic

·         telèfons i adreces de correu electrònic que s'hi associïn o s'hi puguin associar a través del tractament informàtic

·         fotografies on es pugui reconèixer clarament algú

·         veu a través de la qual es pugui reconèixer algú

·         dades genètiques i mèdiques associades a persones concretes

·         dades biomètriques

·         dades referides a creences, filiació política o sindical

·         dades referides a la raça

·         qualsevol dada que permeti identificar algú (la llei no opta per una enumeració tancada, sinó per la definició anteriorment exposada; per tant, la intenció és atorgar el màxim de protecció possible atesos els continus avenços de la ciència i la tècnica)

Nivell bàsic

·         Identificatiu.

·         Personal.

·         Circumstàncies socials.

·         Acadèmics i professionals.

·         Detall d'empleats.

·         Informació comercial

·         Econòmic-financer i d'assegurances

·         Transacció

Nivell mitjà

·         Infraccions administratives o penals.

·         Hisenda pública.

·         Serveis Financers.

·         Solvència patrimonial i crèdits.

·         Avaluació de la personalitat.

Nivell alt

·         Ideologia.

·         Creences.

·         Origen racial.

·         Salut.

·         Vida sexual.

Principals elements derivats de la legislació espanyola

Conceptes legals previs

La Constitució Espanyola de 1978 fa referència en 3 articles al tractament de les 
dades, tot i que la jurisprudència reconeix que no es pronuncia clarament:

·         Article 18.4: El legislador va deixar clar que la llei ha de limitar l'ús de la informàtica per tal de garantir l'honor i la intimitat personal i familiar dels ciutadans i el ple exercici dels seus drets.

·         Article 20.1: Dret a comunicar o rebre lliurement informació.

·         Article 105.b: La llei regularà l'accés dels ciutadans als arxius i registres (Llei 30/1992).

S'ha de tenir en compte, que al regular un dret fonamental segons la Constitució ^[1] la 
seva aprovació ha de ser per llei orgànica, el que suposa tenir la majoria absoluta 
al Congrés dels Diputats

Àmbit d'Aplicació

La LOPD estableix, en línies generals, que la llei és aplicable a totes aquelles empreses i 
administracions que donin servei a ciutadans dins del territori espanyol (Per exemple 
afectaria a una empresa que donés servei a ciutadans espanyols des de qualsevol lloc 
del món).

Per contra la llei no afecta a:

·         Fitxers mantinguts per persones físiques en exercici exclusivament personal o domèstic.

·         Fitxers de matèries classificades.

·         Fitxers establerts per a la investigació de terrorisme i de delictes greus relacionats amb la delinqüència organitzada.

·         Persones ja mortes.

Objecte

L'article 1 de la Llei Orgànica 15/99 de Protecció de dades estableix: "La present Llei 
Orgànica té per objecte garantir i protegir, en allò referent al tractament de les dades 
personals, les llibertats públiques i els drets fonamentals de les persones físiques, i 
especialment del seu honor i intimitat personal i familiar".

En l'article 2 de la citada Llei se n'estableix la competència i àmbit d'aplicació. La manca de concreció de la pròpia llei ha fet que es generin molts dubtes al voltant de determinades definicions i aspectes normatius de la mateixa. En tot cas resulta evident la necessitat que té el legislador de protegir les dades personals, en el sentit de desenvolupar i garantir el dret fonamental a la intimitat així com establir una legislació de control sobre el tràfic i gestió de les dades personals dels ciutadans.

Conceptes bàsics

·         Dada Personal: qualsevol informació del tipus que sigui que permeti identificar o faci identificable la persona física (no la persona jurídica).

·         Afectat: persona identificada o identificable a qui corresponen les dades personals.

·         Fitxer: Tot conjunt organitzat de dades de caràcter personal, que permeti accés a les dades amb criteris determinats, qualsevol que sigui la forma o modalitat de creació, enregistrament, organització, tractament i accés.

·         Responsable del fitxer: persona física o jurídica de naturalesa pública o privada a qui pertany el fitxer, amb independència que executi o no materialment el tractament.

·         Sistema de Tractament: qualsevol forma o modalitat que permeti l'ús i gestió de les dades, des que es registren fins que s'eliminen.

·         Encarregat de Tractament: pot ser el responsable del fitxer o qualsevol altra persona física o jurídica de naturalesa privada o pública que tracti per encàrrec del responsable les dades de caràcter personal dels fitxers. Alhora, aquest encarregat de tractament pot fer-ho sol o conjuntament i en cada cas estan tots els agents implicats obligats a la normativa de confidencialitat desenvolupada.

·         Usuari: qualsevol persona que tingui accés a les dades personals que componen el o els fitxer/s del responsable.

·         Responsable de Seguretat: persona o persones físiques o jurídiques que tenen la funció de vetllar pel compliment, aplicació i manteniment del document de seguretat.

·         Document de seguretat: recull de normativa i processos per a l'aplicació dels aspectes regulats en matèria de protecció de dades que tot Responsable de Fitxer ha de tenir obligatòriament.

·         Comunicació de dades: qualsevol cessió de les dades personals del responsable del fitxer a tercers. Tota comunicació o cessió de dades entre parts s'ha de donar en un marc regulat entre les parts de confidencialitat estricta i s'han de garantir l'aplicació de les mesures de seguretat corresponents així com que les dades seran tractades per a la finalitat amb que van ser registrades, amb l'excepció dels requeriments de determinades administracions públiques relacionades amb les funcions policials, de justícia i sanitat.

Fitxer de dades personals

És el punt de partida de la normativa. Un fitxer serà qualsevol conjunt organitzat de 
dades personals, de propietat pública o privada, qualsevol que sigui la seva forma 
d'enregistrament i tractament amb una finalitat determinada. No ha estat fins 
al RDLOPD que s'ha concretat que el sistema de tractament en paper constitueix també 
un fitxer. Per tant, tota entitat de dret públic o privat té fitxers que contenen dades 
personals registrades per a diferents finalitats. Cal identificar-los i classificar-los per 
funcionalitat i naturalesa i registrar-los públicament.

Totes les mesures de seguretat que es desenvolupen s'han d'aplicar sobre els fitxers en 
funció del seu sistema de tractament. Són així l'element central en matèria de 
protecció de dades personals, ja que són el conjunt de dades registrades i tractades per a 
una o diverses finalitats concretes. En qualsevol suport. I és propietat del responsable 
del fitxer, que és qui ha d'assumir l'aplicació de la normativa corresponent sobre els 
fitxers.

Qualitat de la dada i nivells de seguretat

L'article 4.1 de la LOPD estableix que: les dades de caràcter personal només es podran 
recollir pel seu tractament, així com sotmetre'ls al citat tractament, quan siguin 
adequades, pertinents i no excessives en relació amb l'àmbit i les finalitats 
determinades, explícites i legítimes per les que s'hagin obtingut.

La LOPD defineix quina és la qualitat de la dada, en base a la qual s'estableixen els 
nivells de seguretat que sobre el seu tractament cal aplicar i que desenvolupa 
el RDLOPD. Això tindrà implicacions respecte al sistema de tractament i també 
respecte  als usuaris (control d'accessos, registre, identificació, autenticació, 
compromís de confidencialitat del personal, etc.). En tot cas, els nivells es defineixen 
en tres nivells:

·         Nivell Bàsic: qualsevol fitxer que contingui dades personals de qualsevol tipus que facin identificable la persona: nom, imatge, adreça, etc.

·         Nivell Mitjà: fitxers que continguin, a més de les anteriors, dades relatives a la comissió d'infraccions administratives o penals, hisenda pública, serveis financers i aquells corresponents a la prestació de serveis de solvència i crèdit. Generalment, però s'entén que estarem davant dades de nivell mitjà quant aquestes permetin fer una valoració d'entorn social i psicològic de la persona, més enllà de la seva simple identificació.

·         Nivell Alt: fitxer que contingui dades personals sobre ideologia, religió, creences, origen racial, salut o vida sexual o els registrats per a fins policials sense consentiment. Aquestes són les dades que han de ser especialment protegides.

En funció del nivell de dades registrades en el fitxer amb un o altre sistema de 
tractament, caldrà aplicar unes mesures de seguretat concretes que es desenvolupen al 
RDLOPD per a cada un dels nivells. Igualment, el règim sancionador és diferent en 
funció de la qualitat de la dada implicada en la infracció. De manera que la normativa 
protegeix especialment les dades qualificades com a nivell alt, que tenen una especial 
relació amb els drets fonamentals de les persones.

Registre de fitxers

Tot responsable de fitxer haurà de registrar a L'Agència Espanyola de Protecció de Dades tants fitxers com tingui identificats. No tenir els fitxers registrats és una primera infracció. Això té nombroses implicacions i obligacions concretes per als responsables de fitxer i alhora suposa una garantia mínima de qualitat per la persona respecte de les seves dades personals. El registre de fitxers és d'accés públic ^[2] i el que es comunica a l'agència és la identificació del fitxer, el contingut de les dades (la seva qualitat) així com la finalitat i cessions que se'n facin i la identificació de tercers implicats en la gestió i/o tractament de les dades. No es comuniquen les dades concretes, sinó la seva composició per a cada un dels fitxers. I es fa a través de l'aplicació informàtica única que l'agencia disposa públicament.

Consentiment informat i drets

Aquest és un altre element cabdal de la legislació, regulat en l'article 6 de la LOPD. En el 
moment que es recull la dada de caràcter personal el responsable del fitxer ha de fer-ho 
obtenint el consentiment informat de l'afectat. Alhora, ha d'informar la persona 
afectada, com a mínim, dels següents aspectes:

·         Identitat del Responsable del Fitxer i advertència de l'existència de fitxer on seran registrades les dades.

·         Dels drets que assisteixen l'afectat respecte de les seves dades personals: accés, rectificació, cancel·lació i oposició.

·         De la finalitat amb què són recollides i de l'ús que se'n donarà, així com de possibles cessions a tercers.

Nombrosos procediments sancionadors s'han iniciat per incompliments d'aquests 
elements que recullen els articles 5 i 6 de la LOPD, bàsicament per cessions de dades no 
informades o per l'ús de finalitats diferents per a les que es van registrar i no 
informades en el moment de recollida de la dada, ni tampoc captat el consentiment 
necessari per a la cessió. Són moltes les implicacions que es poden derivar d'aquesta 
obligació i molts els casos en que es vulnera, com es pot comprovar sobre el total de 
procediments sancionadors que disposa públicament l'agència espanyola de protecció 
de dades ^[3] on identifica l'article o articles concrets que s'han vulnerat.

A la pràctica, els responsables de fitxer han optat per incloure clàusules generals en 
formularis de recollida de les dades personals. Que en un o altre moment verifiquen 
que l'afectat hagi signat o acceptat de forma explícita o tàcita.

La llei però també estableix una sèrie d'excepcions en les que no és necessari demanar 
consentiment informat:

·         Quan la llei digui el contrari.

·         Quan es recullen fonts accessibles al públic.

·         Quan el destinatari sigui el Defensor del poble, el Ministeri fiscal espanyol o la judicatura, el Tribunal de comptes, el Síndic de Greuges, la Sindicatura de Comptes, etc.

·         Quan la cessió de dades sigui entre administracions llevat que el motiu pel qual es van recollir sigui diferent al motiu pel qual es cedeixen.

·         Quan la cessió de dades de salut sigui per motiu d'urgència.

·         Quan es refereixi a persones vinculades per una relació comercial, laboral o administrativa i siguin necessàries pel manteniment de les relacions o quan el tractament respongui a la lliure i legítima acceptació d'una relació, el desenvolupament, compliment i control de la qual impliqui necessàriament la connexió d'aquest tractament amb fitxers de tercers.

La respecte als drets dels titulars de les dades, aquests es coneixen com a drets ARCO.

Comunicació i cessió de dades personals a tercers

Una altra obligació fonamental per al responsable del fitxer la trobem en la cessió i 
comunicació de dades i es desprèn dels articles 11 i 12 de la LOPD. La cessió també ha de 
tenir el coneixement i consentiment de l'afectat i això no sempre és així. Aquesta 
obligació adquireix especial rellevància en el context actual de subcontractació de 
serveis per les entitats. De manera que podria ser que la dada fos recollida per un 
responsable del fitxer i que després fos cedida a un tercer per a un tractament específic. 
Per exemple, les dades d'uns treballadors passades al servei contractat d'assessoria 
laboral, sense coneixement ni consentiment dels afectats, podrien ser posteriorment 
utilitzades per enviar-los publicitat comercial de serveis.

En qualsevol comunicació o cessió de dades, per a tractament o no, hi ha d'haver un 
contracte entre el responsable del fitxer i aquest tercer encarregat del tractament on 
s'estableixin quines són les finalitats del tractament i on l'encarregat del tractament es 
comprometi a complir amb la normativa vigent en matèria de protecció de dades. 
Resulta doncs una garantia força important per a l'afectat i en el recull de processos 
sancionadors de l'Agència Espanyola trobem importants sancions econòmiques per 
cessió il·legal de dades. L'article 9 de la LOPD estableix que el responsable del fitxer i en 
el seu cas l'encarregat del tractament seran els responsables d'aplicar les mesures de 
seguretat en les dades.

Confidencialitat del personal

Una altra de les implicacions normatives a tenir molt present i que és fonamental per al correcte tractament de les dades personals és la que es desprèn de l'article 10 de la LOPD, que estableix: "El responsable del fitxer i aquells que intervinguin en qualsevol fase del tractament de les dades de caràcter personal resten obligats al secret professional respecte dels mateixos i al deure de guardar-los, obligacions que subsistiran encara després de finalitzar les seves relacions amb el titular del fitxer o, en el seu cas, amb el responsable del mateix."

Resulta aquest un altre dels articles la vulneració del qual se centra una bona part dels 
processos sancionadors que instrueix l'agència espanyola.^[3] Doncs implica una 
diversitat molt extensa d' àmbits i és una obligació general que recau sobre 
qualsevol usuari que tingui accés a les dades de qualsevol fitxer del responsable o 
encarregat del tractament. És la prova de la responsabilitat en aplicar les mesures de 
seguretat al fitxer no només per part de l'entitat responsable sinó també pel seu 
personal i càrrecs, així com pels possibles encarregats de tractament.

També en aquest cas els responsables del fitxer han anat optant majoritàriament per 
establir clàusules generals d'obligació a la confidencialitat en els contractes laborals del 
personal, amb col·laboradors, tercers, etc.

Règim sancionador

El règim sancionador establert per la legislació espanyola és més estricte en 
comparació amb altres de països veïns. Dependrà en tot cas de la infracció comesa i 
especialment de la qualitat de la dada implicada, però el nivell econòmic de les 
sancions se situa, en funció del grau de la infracció, en:

·         Sanció per infracció lleu: de 900 € a 40.000 €

·         Sanció per infracció greu: de 40.001 € a 300.000 €

·         Sanció per infracció molt greu: de 300.001 € a 600.000 €

Això no obstant, el procediment sancionador no és el mateix per a les entitats de dret 
privat que per a l'administració pública. En cas que sigui l'administració la que cometi 
una infracció el procediment passarà per una investigació que pot concloure amb 
sancions disciplinàries sobre l'òrgan i els càrrecs infractors, però no amb sanció 
econòmica. Té això cert sentit doncs els diners sortirien de la hisenda pública per anar 
a parar a la hisenda pública. Però no cal passar per alt que segons la qualificació de les 
dades que fa la pròpia llei, és precisament l'administració la que posseeix dades de 
major qualitat: serveis sanitaris, educatius, tributaris, etc.. Per aquesta raó seria 
desitjable que la normativa s'adaptés de forma immediata, per garantir els drets dels 
afectats.

El Títol VII de la LOPD configura tant la naturalesa de la 
infracció com el procediment i sancions disposades en la 
matèria, tot establint una distinció en quant al procés 
sancionador si la infracció és comesa per entitats de dret 
públic, administracions públiques, o de dret privat, la resta. 
De manera que en el primer cas parlarem d'amonestacions i 
procediments disciplinaris i en el segon de sancions 
econòmiques. A més, cal pensar que, com es desprèn 
de l'article 44 que defineix els tipus i gravetat de les 
infraccions, a l'analitzar el conjunt de resolucions dels 
procediments, en la majoria dels casos ens trobem davant 
una infracció que com a mínim serà greu i que partirà doncs d'una sanció econòmica 
mínima de 60.101,21 €.

Document de Seguretat

És el document que tot responsable de fitxer ha de elaborar i disposar on es reculli el 
processos que donen compliment internament a la normativa. On figuri un 
responsable de seguretat, la identificació i registre dels fitxers, la normativa aplicable, 
el registre d'usuaris, de suports, l'inventari de sistemes d'informació i aplicacions, i tot 
allò relacionat amb la implantació a l'entitat de la normativa. És un document de 
garantía mínima de compliment amb les obligacions derivades de la normativa que 
tota entitat hauria de disposar, però que per si mateix no implica el compliment de les 
mesures de seguretat.

Implicacions i futur

El desenvolupament a través de la Llei Orgànica del conjunt de 
drets i deures que suposa la garantia legal de protecció de les 
nostres dades personals té nombroses implicacions. En primer 
lloc hem de veure tot aquest marc normatiu com a un conjunt 
de garanties respecte de l'ús de les dades personals per part dels 
responsables del fitxer. En el sentit que hem d'estar informats 
de per a què es recullen les nostres dades i de quin serà el destí de les mateixes, alhora 
de garantir-nos l'exercici dels drets d'accés, rectificació, cancel·lació i oposició de les 
mateixes.

Igualment, el règim sancionador disposat a la llei suposa una amenaça clara per a les 
empreses, tot i que desigual. Doncs no distingeix entre una gran corporació que fa 
transferència il·legal de dades per a benefici comercial d'entre una petita o mitjana 
empresa, per la qual cosa el fet que es té en compte en imposar la sanció es la infracció i 
no la posició del responsable del fitxer. Això provoca que determinades corporacions 
empresarials amb potencial i capital suficient puguin destinar una partida del seu 
pressupost anual al pagament de les possibles sancions en protecció de dades, donat 
que el rendiment econòmic que les seves infraccions en l'àmbit de l'acció comercial 
serà superior al import de les eventuals sancions. Mentre que una entitat privada sense 
aquesta posició es veurà greument afectada.

Tanmateix, en el context de la societat del coneixement i amb el desenvolupament i 
implantació al món professional de les TIC no es poden obviar les obligacions 
respectives dels proveïdors de serveis tecnològics i del comerç electrònic. Més encara 
si sabem que les cessions de dades són constants, especialment en consideració a la 
subcontractació de serveis de hosting, de còpies de seguretat, de processos de 
reconstrucció, d'assistència a distància, i un llarg etc. Per això resulta interessant 
vincular l'estudi de la normativa en matèria de protecció de dades amb la Llei 34/2002, 
d'11 de juliol, de Serveis de la Societat de la Informació i Comerç Electrònic (LSSI-CE)..
 Especialment important per a l'aplicació de la normativa en matèria de comerç 
electrònic i d'usos d'Internet. És aquest un àmbit encara per descobrir i no cal dir que al 
legislador se li escapa de les mans, tot i que, en qualsevol cas, són creixents els 
procediments sancionadors de l'Agencia Espanyola de Protecció de Dades on aquesta 
llei i matèria son objecte de sanció.

La regulació en matèria de Protecció de Dades Personals suposa unes garanties de drets 
dels afectats i alhora imposa unes obligacions als responsables dels fitxers, les mesures 
de seguretat a aplicar sobre els fitxers així com la garantia que tot usuari o encarregat 
de tractament tindrà coneixement de l'existència de la normativa i adquirirà un 
compromís de confidencialitat. Però si s'analitza al detall tota la regulació, que des del 
RDLOPD és quelcom més concreta, cal adonar-se que el seu compliment íntegre es 
pràcticament impossible. I, donat que el règim sancionador disposat és molt dur, no és 
d'estranyar que l'aparició d'aquesta normativa hagi suposat una nova quota de mercat 
per a empreses de serveis d'assessorament i consultoria que, arrel de la preocupació 
que genera aquesta qüestió i afegint l'exigència dels estàndards de qualitat 
internacionals, no pot fer més que créixer. Igualment, també el creixement de serveis 
destinats a la destrucció de documentació, gestió d'arxius, allotjament de dades 
remots, serveis de reconstrucció, etc.

I és que la protecció de dades entesa de forma global afectat tots els tipus d'activitat i el 
seu àmbit d'aplicació és constant i creixent, doncs les dades personals són la base de les 
relacions de servei. Al mateix ritme, per tant, es van desenvolupant tot un seguit de 
novetats tecnològiques i de formació per a professionals al respecte. No podem separar 
la Protecció de Dades de l'ús de les Tecnologies de la Informació i la Comunicació, de 
la Signatura digital, del Certificat digital, ús d'Internet, entre altres eines avui habituals 
en el marc laboral i sobre les quals la protecció de dades té una significació molt 
important. En un entorn de e-administració creixent i de serveis online en creixement 
exponencial, la Protecció de Dades Personals jugarà un paper transcendental en els 
propers anys. Especialment si tenim en compte que el percentatge d'entitats, 
responsables de fitxer, públics i privats, que tenen fitxers registrats (primer pas per al 
compliment de la normativa) a les agencies és insignificant encara avui.

Una de les millors formes per adonar-se de la importància creixent que aquest àmbit 
normatiu està prenent és comprovar les resolucions de l'agència espanyola ^[3] on es pot 
verificant la diversitat de processos sancionadors, la diversitat d'entitats implicades i la 
multitud de possibilitats d'infringir la norma, tanmateix per ésser conscients de fins a 
quin punt podem exercir els nostres drets a la intimitat i correcta gestió de les nostres 
dades, no deixant impune qualsevol infracció.

Enllaços externs

·         Agència Espanyola de Protecció de Dades (castellà)

·         Agència Catalana de Protecció de Dades

ü Conservació de Documents