LinuxParty

Existe un gran desconocimiento respecto a las medidas de seguridad que un fichero con datos de carácter personal debe disponer, y aquí me estoy refiriendo a las medidas de seguridad que el ordenamiento jurídico impone (no a las voluntarias o recomendables)
Pocas son las empresas que las cumplen, y si hablamos de profesionales individuales, creo que el grado de cumplimiento tiende a 0.

Si a este desconocimiento de la legislación le sumamos la poca concienciación que existe en el ámbito empresarial de entender que el activo más valioso para cualquier profesional son los datos de sus clientes, nos encontramos con que la mayoría de los sistemas de información no cumplen unos requisitos mínimos de seguridad, como la del caso que vamos a examinar en relación a la existencia de un mecanismo de identificación y autentificación, o lo que es lo mismo, de usuario y contraseña (normalmente).

Porque en efecto, tanto la regulación actual como la anterior, imponen la obligación de que para acceder al fichero con datos de carácter personal exista un mecanismo de estas características.

En este caso el sancionado ha sido un abogado, por denuncia de un particular; para seguir leyendo haz click en

 

En agosto de 2004, la Agencia Española de Protección de Datos recibió una denuncia de un particular, en la que, entre otras cosas, informaba que el abogado D. I.I.I. tiene una base de datos con los clientes de su despacho, sin las medidas de seguridad que exige la ley.

Personados los inspectores en este despacho se comprobó que el denunciado dispone para el desempeño de su actividad profesional de un fichero automatizado que contiene datos relativos a nombre, apellidos y número de teléfono de sus clientes, y en algunos casos, dirección postal y/o electrónica y número de fax.

Según manifestó el denunciado, su fichero no dispone de medidas de seguridad y, según constataron los inspectores actuantes, el acceso a la base de datos (o fichero) no se encuentra protegido mediante la introducción de un código o contraseña.

Y es que en efecto, tanto la regulación actual, esto es, el Real Decreto 1720/2007 como el ya derogado Real Decreto 994/1999, establecen la exigencia de disponer de este tipo de mecanismos informáticos, en concreto, el artículo 93 del R.D. 1720/2007 indica: “Artículo 93. Identificación y autenticación.
1. El responsable del fichero o tratamiento deberá adoptar las medidas que garanticen la correcta identificación y autenticación de los usuarios.
2. El responsable del fichero o tratamiento establecerá un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado.
3. Cuando el mecanismo de autenticación se base en la existencia de contraseñas existirá un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad.

Continúa en: