Seguridad en el tratamiento de nuestros datos personales. Nuevos principios rectores

Conforme los tiempos avanzan, también lo hace la tecnología y el manejo de nuestros ficheros de información personal. En base a ello, he planteado una actualización o creación de nuevos principios rectores de la seguridad en el tratamiento de los datos personales que describo a continuación: 

Principio de máxima seguridad. Cada instrumento automatizado adoptará un nivel alto en la recolección y tratamiento de los datos personales. Se entiende por nivel alto de protección, aquel que permite establecer medidas para garantizar la calidad y confiabilidad de los servicios, así como la integridad de los datos tratados, el objetivo de tratamiento de los mismos y el no acceso o filtración por parte de terceros no autorizados así como garantizar el no repudio de los mismos por parte de su titular.

 Principio de seguridad de acceso autorizado. Entre las medidas de seguridad, se  reconocen como   válidas  aquellas que permitan la encriptación de archivos mediante criptografía avanzada que no permitan  el  acceso no autorizado, el crackeo y hackeo de dicha información y sí su acceso  mediante  clave o contraseña.  En caso de ser necesario, los instrumentos automatizados adoptarán la firma electrónica reconocida para el envío y recepción de datos de carácter personal. Se respetará en lo aplicable, la Directiva 1999/93/CE, en especial el artículo 5.1. La implementación de la firma electrónica se realizará acorde con la Ley 59/2003 de 19 de diciembre sobre firma electrónica, especialmente en lo relacionado con el artículo 3.3 de dicha norma referente a la firma electrónica reconocida. Los instrumentos automatizados deberán utilizar medidas fiables para almacenar certificados reconocidos que permitan comprobar su autenticidad e impedir que personas no autorizadas alteren los datos, restrinjan su accesibilidad en los supuestos o a las personas que el firmante haya indicado y permitan detectar cualquier cambio que afecte a estas condiciones de seguridad.

 Principio de debida firma. De corresponder su adopción y de acuerdo a lo establecido en la Ley 59/2003 de 19 de diciembre, la firma electrónica y la firma electrónica reconocida se basarán en certificados reconocidos que serán emitidos por prestadores de servicios de certificación, ejecutada por un Dispositivo Seguro de Creación de Firma (Infraestructura de Clave Pública o PKI) de manera que satisfaga los requisitos jurídicos, de la misma forma que lo hace una firma manuscrita. Bajo las mismas condiciones descritas anteriormente en que sea de aplicación la Firma Electrónica Reconocida y sea necesario enviar y recibir archivos o documentos de cualquier tipo, los mismos serán debidamente firmados electrónicamente para su envío y recepción.

 Principio de encriptación en tiempo real. En todos los demás casos en que no amerite el uso de firma electrónica o firma electrónica reconocida para el envío y recepción de datos personales en todos sus términos, los instrumentos automatizados adoptarán un sistema de encriptación de los datos a tratar en tiempo real. Ello deberá permitir la disociación inmediata, así como el proceso inverso de asociación y desencriptación de los datos en concordancia con la normativa vigente.

 Principio de debida información. Los instrumentos automatizados informarán al ciudadano de la utilización de firma electrónica (si corresponde su uso) para la información a la que desea acceder, así como de la identificación de las personas y entidades que intervienen el proceso de cifrado digital.

 Principio de comunicación permanente. Los instrumentos automatizados deberán contar con acceso a Internet, o en el caso de no disponer de conexión, se procederá a su instalación en un plazo de treinta días desde la adopción de un código de conducta. Se adoptará a los efectos, al menos dos sistemas de conexión inalámbrica distintos entre sí. La utilización de la conexión a Internet e Intranet será para el cumplimiento de los siguientes objetivos:

 

  • Interacción con las personas
  • Tratamiento adecuado de los datos
  • Cooperación entre personas e instrumentos automatizados
  • Identificación en línea de los instrumentos automatizados
  • Tele operaciones, tele presencia, video conferencia y conferencias basadas en la web
  • Aprendizaje
  • Realizar consultas y plantear dudas e inquietudes.

 

Principio de doble notificación en casos de falta o fallos de seguridad. Establece que aún en casos de adoptar todas las medidas de seguridad pertinentes y establecidas en los principios actuales, si se produce alguna situación de inestabilidad en la protección de los datos personales por el responsable de su tratamiento debido a fallas de seguridad, el mismo deberá comunicar inmediatamente de ello a los titulares de los datos afectados y a la unidad reguladora correspondiente.

Anuncios