Ficheros de datos personales – LOPD en los despachos de abogados


Octava entrega de la serie de artículos sobre protección de datos personales en los bufetes de abogados en la que les comentaré lo relativo a los tipos de ficheros de datos personales y a las medidas de seguridad que conllevan.

Ficheros de datos personales LOPD

Qué es un fichero de datos personales

Un fichero es todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.

Los ficheros no automatizados consisten en conjuntos de datos personales organizados de forma no automática y estructurados conforme a criterios específicos relativos a personas físicas que permitan acceder sin esfuerzos desproporcionados a sus datos personales, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica.

Los ficheros automatizados consisten en conjuntos de datos organizados de forma automática y gestionados mediante, programas, soportes, y equipos informáticos.

Tipos de datos personales

Los datos personales se agrupan normalmente en las siguientes categorías según la información sobre la que versan:

Datos especialmente protegidos

Los datos personales relativos a ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual.

Datos de carácter identificativo

Los datos personales relativos a DNI, dirección, imagen, voz, número de la seguridad social, teléfono, marcas físicas, nombre y apellidos, firma, huella, firma electrónica o tarjeta sanitaria.

Datos relativos a las características personales

Los datos personales relativos a estado civil, datos de familia, fecha de nacimiento, lugar de nacimiento, sexo, nacionalidad, lengua materna, características físicas o antropométricas.

Datos relativos a las circunstancias sociales

Los datos personales relativos a características de alojamiento, vivienda, situación familiar, propiedades, posesiones, aficiones y estilo de vida, pertenencia a clubes y asociaciones, licencias, permisos o autorizaciones.

Datos académicos y profesionales

Los datos personales relativos a formación, titulaciones, historial de estudiante, experiencia profesional, pertenencia a colegios o asociaciones profesionales.

Detalles de empleo

Los datos personales relativos a profesión, puesto de trabajo, datos no económicos de la nómina o historial del trabajador.

Datos que aportan información comercial

Los datos personales relativos a actividades y negocios, licencias comerciales, suscripciones a publicaciones o medios de comunicación, creaciones artísticas, literarias, científicas o técnicas.

Datos económicos, financieros y de seguros

Los datos personales relativos a ingresos, rentas, inversiones, bienes patrimoniales, créditos, préstamos, avales, datos bancarios, planes de pensiones, jubilación, datos económicos de nómina, deducciones de impuestos, seguros, hipotecas, subsidios, beneficios, historial de créditos o tarjetas de crédito o débito.

Datos relativos a transacciones de bienes y servicios

Los datos personales relativos a bienes y servicios suministrados por el afectado, bienes y servicios recibidos por el afectado, transacciones financieras, compensaciones o indemnizaciones.

Niveles de seguridad según tipologías de datos personales

En función de las tipologías de datos personales que trate en el despacho jurídico, deberá aplicar una serie de medidas de seguridad sobre dichos datos. Cuanto más alto el nivel de seguridad, le supondrá un mayor coste la gestión de dichos datos, ya que deberá aplicar medidas más severas y rigurosas para su captación, almacenamiento, gestión y destrucción.

Nivel de seguridad alto

En esta categoría están todos los ficheros de datos personales y tratamientos de datos personales sobre ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual y respecto de los que no se prevea la posibilidad de adoptar el nivel básico. Se aplica también a los datos personales con fines policiales recabados sin consentimiento del afectado y los derivados de violencia de género.

Nivel de seguridad medio

En esta categoría están todos los ficheros de datos personales y tratamientos de datos personales sobre comisión de infracciones administrativas o penales, prestación de servicios de solvencia patrimonial o de crédito, los relativos a potestades tributarias de la Administración, los relativos a servicios financieros y de mutuas de accidentes de trabajo, los que ofrezcan información sobre la personalidad y el comportamiento, y los operadores de comunicaciones electrónicas respecto de los datos de tráfico y localización.

Nivel de seguridad bajo

En esta categoría están todos los ficheros de datos personales y tratamientos de datos personales sobre el resto de datos que no se engloben en las categorías anteriores. También se aplica sobre datos relativos a ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual cuando:

  1. Cuando los datos se utilicen al único fin de realizar una transferencia dineraria a entidades de las que los afectados son miembros.
  2. Cuando se trate de ficheros o tratamientos de este tipo de datos de forma incidental o accesoria, que no guarden relación con la finalidad del fichero.
  3. Cuando se trate de ficheros o tratamientos que contengan datos de salud que se refieran exclusivamente al grado de discapacidad o a la condición de invalidez con motivo del cumplimiento de deberes públicos.

Organización de los ficheros de datos personales en el despacho jurídico

En base a lo anterior le recomiendo que organice sus ficheros de datos personales según finalidad y tipología de datos. Por ello, recomiendo la siguiente estructura de ficheros para la mayoría de despachos jurídicos:

  1. Empleados y colaboradores: Se agruparán los datos personales de empleados del despacho y de colaboradores externos. Nivel básico.
  2. Clientes y proveedores: Se agruparán los datos personales de clientes y proveedores del despacho a efectos exclusivos de las prestaciones de servicios. Nivel básico.
  3. Gestión comercial: Se agruparán los datos personales utilizados para las comunicaciones comerciales del despacho. Nivel básico.
  4. Expedientes judiciales: Se agruparán los datos personales usados en el marco de las actuaciones jurídicas, con carácter general. Nivel medio
  5. Expedientes judiciales especialmente protegidos: Se agruparán los datos personales usados en el marco de actuaciones jurídicas relativos a casos de violencia de género y los directamente vinculados a ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual. Nivel de seguridad alto.

Como ve, en los tres primeros se engloba la propia gestión del despacho, mientras que los dos últimos son los relativos a los expedientes judiciales tratados. Cuando en el expediente se traten de forma accesoria datos relativos a ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual, que no tengan una incidencia directa en el objeto del expediente, no necesitarán la especial protección referida en el último fichero.

Recomendaciones

En esta fase deberemos tomar una decisión trascendental como es la definición de los ficheros de datos en nuestro despacho jurídico. Esta decisión condicionará todos los procesos posteriores, por lo que conviene que lo sopese muy bien.

La organización de ficheros que les he propuesto suele ser válida para la mayoría de despachos jurídicos, pero no siempre es así. Por ello le recomiendo que cuente con un profesional externo que examine su casuística particular.

Cometer errores al clasificar nuestros ficheros de datos personales supondrá, desde el fracaso de todo el proceso de protección de datos personales hasta sobrecostes e ineficiencias fácilmente evitables.

Les espero en la próxima entrega: “Medidas de seguridad para los ficheros automatizados del despacho

¿Qué te ha parecido la información?
Comparte esto:

mm

Acerca de Pedro De La Torre

Soy perito informático judicial colegiado, legalmente habilitado para actuar ante los tribunales de Justicia, conferenciante y ponente habitual en jornadas sobre peritaje informático, ciberseguridad y tecnologías de la información. Consultor especializado en estrategia digital y seguridad de la información.

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

2 × 1 =