¿Qué se quiere decir en el Reglamento de Medidas de Seguridad (Real Decreto 994/1999, de 11 de junio), con la expresión será preciso guardar la información que permita identificar el registro accedido?
De conformidad con lo dispuesto en el artículo 24 del Reglamento de Medidas de Seguridad, para cada acceso deberán guardarse, como mínimo, la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado. En el caso de que el acceso haya sido autorizado, será preciso guardar la información que permita identificar el registro accedido.
De lo expuesto se deduce que el registro de accesos se refiere, en primer lugar al fichero y dentro del fichero, a los distintos registros accedidos (es decir, a los concretos datos personales que se consultan).
¿Los empleados de un banco pueden acceder libremente a todos los datos que figuran en las Bases de datos del banco?
El artículo 12 del Reglamento de Medidas de Seguridad, relativo al control de acceso, establece que:
1.- Los usuarios tendrán acceso autorizado únicamente a aquellos datos y recursos que precisen para el desarrollo de sus funciones.
2.- El responsable del fichero establecerá mecanismos para evitar que un usuario pueda acceder a datos o recursos con derechos distintos de los autorizados.
3.- La relación de usuarios a la que se refiere el artículo 11.1 de este Reglamento contendrá el acceso autorizado para cada uno de ellos.
4.- Exclusivamente el personal autorizado para ello en el documento de seguridad podrá conceder, alterar o anular el acceso autorizado sobre los datos y recursos, conforme a los criterios establecidos por el responsable del fichero."
En consecuencia, los accesos de los trabajadores de una entidad financiera a las bases de datos deben estar previamente autorizados por el responsable del fichero.
El hecho de que una persona alquile películas pornográficas en un vídeo club ¿Es suficiente para considerar que el fichero debe incluir el nivel de seguridad alto?
El artículo 4 del Reglamento de Medidas de Seguridad, señala que:
1.- Todos los ficheros que contengan datos de carácter personal deberán adoptar las medidas de seguridad calificadas como de nivel básico.
2.- Los ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros y aquellos ficheros cuyo funcionamiento se rija por el articulo 28 de la Ley Orgánica 5/1992, deberán reunir, además de las medidas de nivel básico, las calificadas como de nivel medio.
3.- Los ficheros que contengan datos de ideología, religión, creencias, origen racial, salud o vida sexual así como los que contengan datos recabados para fines policiales sin consentimiento de las personas afectadas deberán reunir, además de las medidas de nivel básico y medio, las calificadas como de nivel alto.
4.- Cuando los ficheros contengan un conjunto de datos de carácter personal suficientes que permitan obtener una evaluación de la personalidad del individuo deberán garantizar las medidas de nivel medio establecidas en los artículos 17, 18, 19 y 20.
5.- Cada uno de los niveles descritos anteriormente tienen la condición de mínimos exigibles, sin perjuicio de las disposiciones legales o reglamentarias específicas vigentes."
Por ello, si los ficheros incluyen valoraciones que permitan elaborar evaluaciones sobre la personalidad de las personas físicas, entonces el nivel de seguridad será medio. Si entre esas valoraciones se incluye información sobre ideología, religión, creencias, origen racial, salud o vida sexual, el nivel de protección será el alto.
Si no concurre ninguno de los anteriores supuestos, el nivel de protección será el básico.
Eel mero hecho de alquilar películas pornográficas no presupone dato de ideología ni de orientación sexual. Otra cosa, es que el responsable del fichero incluya en el mismo valoraciones subjetivas que así lo indiquen.
