Twitter

La doctrina de los objetivos de protección: Seguridad Informática y Protección de Datos

Los objetivos de protección han jugado un papel básico en la organización de sistemas técnicos cuya seguridad debe ser garantizada desde finales de los años 80. Los objetivos de protección clásicos de la seguridad de los datos son:

Disponibilidad, este objetivo refleja la exigencia de que los datos personales estén disponibles para ser utilizados de forma adecuada en el proceso para ellos previsto. Para ello deben ser accesibles para las personas previstas y se les deben poder aplicar los métodos previstos para su tratamiento, eso incluye, entre otras cosas, que los metodos sean aplicable al formato en el que los datos están disponibles. La disponibilidad incluye que los datos sean localizables, que los sistemas implicados los puedan presentar de forma adecuada y que esa presentación sea semánticamente comprensible.

Integridad, en este caso el objetivo de protección resalta como exigencia que los procesos y sistemas informáticos sean capaces de mantener las características que son esenciales para la realización de las funciones imprescindibles para alcanzar la finalidad establecida y, al mismo tiempo, que los datos tratados permanezcan indemnes, completos y actuales. Posibles efectos secundarios deben ser evitados o tenidos en cuenta y tratados. Este objetivo de protección exige que entre las exigencias y la realidad haya una garantía suficiente, tanto en los detalles técnicos como en lo que afecta al tratamiento en general y su ajuste a las finalidades establecidas.

Confidencialidad, este objetivo de protección recoge como exigencia que nadie pueda acceder a los datos personales sin autorización. En ocasiones el acceso a los datos permite que el sujeto afectado sea identificado porque el contexto en el que los datos son almacenados permite sacar conclusiones sobre ese sujeto. Cuando nos referimos a personas no autorizadas, eso no significa que se trate necesariamente de terceros ajenos a la organización, que pueden actuar con intenciones criminales o de otro tipo, sino que puede tratarse también de empleados de servicios técnicos que para prestar esos servicios no precisan de acceso a los datos personales, o de personas activas en departamentos de la organización que no tienen ninguna relación con un determinado proceso o con el sujeto afectado.

Estos tres objetivos de protección han sido aceptados por los responsables por iniciativa propia, ya que los consideraban como necesarios para su propia protección sin que existiera una normativa legal que les obligara a aplicarlos. En un principio fueron formulados para su aplicación en el ámbito de la seguridad informática y describe exigencias para un operativo seguro, especialmente en lo que afecta a procesos en el marco de organizaciones y en relación con su negocio o administración. Esas organizaciones tienen que que proteger sus procesos, independientemente de que los posibles atacantes sean personas ajenas a ellas miembros de las mismas.

En función de la normativa aplicable, el nivel de exigencia en lo que afecta a estos objetivos de protección es variable. Por ejemplo, en el ámbito privado el objetivo de la disponibilidad se cumple siempre que los datos no sean destruidos ni se pierdan.

Aparte de los ya mencionados objetivos de protección originados en el campo de la seguridad informática, se han desarrollado otros objetivos cuyo interés se centra en la Protección de Datos basados en normativa existente en la materia y a partir de los cuales se pueden derivar medidas técnicas y organizativas. Desde el punto de vista de la normativa de Protección de Datos, las organizaciones deben proteger sus procesos de posibles ataques, siempre que esos procesos afecten a datos de carácter personal. Los objetivos de protección de la Protección de Datos precisan, en comparación con los objetivos de protección de la seguridad informática, de un grado de comprensión más amplio, ya que la Protección de Datos tiene en cuenta una perspectiva de protección adicional, al tener en cuenta los riesgos que las actividades de la organización en sí mismas pueden originar para el sujeto afectado, tanto en el ambito de sus procesos de negocio/administración como fuera de ellos. Desde el punto de vista metodológico eso significa que no sólo una persona debe demostrar ante una organización que es de confianza, sino que la organización debe ser capaz de demostrar frente a una persona que es de confianza. Por ese motivo es preciso establecer objetivos de protección que garanticen la protección de los sujetos afectados frente a diferentes tipos de organizaciones.

Estos objetivos de protección específicos de la Protección de Datos, cuya finalidad es la protección del sujeto afectado, son:

No encadenabilidad, refleja la exigencia de que los datos sólo sean tratados y valorados para la finalidad para la que fueron recogidos.

Transparencia, requiere que, aunque en diferentes niveles, tanto el sujeto afectado, como el responsable de los sistemas y posibles autoridades de control puedan reconocer qué datos y para qué finalidad han sido recogidos y tratados en un proceso, que sistemas y procesos han sido utilizados, en qué dirección y para qué fines fluyen los datos y quien es el responsable legal de los datos y sistemas en las diferentes fases de un tratamiento de datos. La transferencia es imprescindible para el control y dirección de los datos, procesos y sistemas desde su inicio hasta su cancelación, y un requisito previo para que un tratamiento de datos sea legítimo y, en caso de necesidad, los sujetos afectados puedan otorgar su consentimiento.

La transparencia de un tratamiento de datos en su conjunto y de las partes implicadas puede permitir que especialmente los sujetos afectados y las autoridades de control puedan detectar posibles fallos y exigir que se lleven a cabo las modificaciones necesarias para suprimirlos.

Capacidad de intervenir, exige que el sujeto afectado pueda ejercer de forma efectiva sus derechos ARCO en cualquier momento, y que el responsable está obligado a tomar las medidas necesarias para hacer efectivos esos derechos. Para alcanzar este objetivo debe ser posible modificar el tratamiento de datos en cualquier momento y en cualquiera de sus fases, desde la recogida de los datos hasta su cancelación.

En principio conjuntos o paquetes de datos son adecuados para ser utilizados para otros fines y para ser combinados con otros datos, posiblemente de acceso público. Cuanto mayores son esos paquetes de datos y cuanto más información aporten, mayor es el interés que despiertan. Desde el punto de vista legal, esas combinaciones sólo son aceptables en condiciones muy especiales y estrictamente fijadas. La normativa de Protección de Datos exige que el tratamiento sea separado en función de las finalidades y/o que los datos sean almacenados de forma separada en función de la finalidad para la que son tratados-

Al igual que sucede con los objetivos de protección clásicos, los de la Protección de Datos también están influenciados por la normativa que les es aplicable y por el ámbito en el que deben ser aplicados. Por ejemplo, en el ámbito privado la transparencia no es imprescindible en cada caso de uso de los datos en el campo de actuación de un responsable, salvo que ese uso suponga una modificación de los datos.

La doctrina de los objetivos de protección: Seguridad Informática y Protección de Datos

By | 2016-10-17T09:33:52+00:00 enero 16th, 2016|Pericias legales|0 Comments