LA SEGURIDAD DE LOS DATOS DE CARÁCTER PERSONAL (2ª EDICIÓN)

ARTURO RIBAGORDA GARNACHO
Catedrático y Director
del Dpto. de Informática
UNIVERSIDAD CARLOS III
arturo@inf.uc3m.es
Autores: Emilio del Peso y Miguel Ángel Ramos
Editorial: Díaz de Santos
Año 2002- 246 páginas - ISBN: 84-7978-527-6
www.diazdesantos.es

Dos son los focos sobre los que gravita actualmente la seguridad de los sistemas de información: los datos personales e Internet. De ambos, el más tratado en los manuales es el segundo, pues no casualmente una abrumadora mayoría son editados en EE UU y escritos por autores de dicho país, donde –como es notorio– el más extremo liberalismo se enseñorea de los datos personales, hasta el punto de considerar que éstos son propiedad de su depositario (que puede por consiguiente venderlos, cederlos, intercambiarlos, etc.), y no de su legítimo dueño, que según la escrupulosa doctrina europea es el individuo al que referencian. Sin embargo, en Europa (y en general en aquellos países respetuosos con los Derechos Humanos), la doctrina es la antagónica, y ello ha comportado la aprobación de varias Directivas –singularmente la 95/45– que contemplan los datos personales como un bien jurídico a proteger. Estas Directivas, una vez transpuestas, están originando una rica doctrina legal que se traduce en la obligación de adoptar nuevas y cada vez más depuradas medidas específicas de seguridad para salvaguardar dicho bien.
Todo lo último conlleva la publicación de libros versados sobre el tema, bien es verdad que más contemplado desde el punto de vista legal que el técnico, aunque algunos –los menos– abarquen ambos aspectos ciertamente complementarios. Pues bien, éste el caso de la obra que nos ocupa hoy, de expresivo y acotado título, La seguridad de los datos de carácter personal, editado en el presente año por Díaz de Santos e IEE. Sus autores, Emilio de Peso y Miguel Ángel Ramos, son dos conspicuos profesionales cuyo prestigio en la materia les viene de una práctica impecable de todas facetas de la seguridad. De esta manera, a sus labores como consultores en este campo unen su infatigable vocación formativa y divulgadora, manifestada tanto en la continua organización y participación en numerosos foros sobre el tema, como en su prolífica actividad literaria plasmada en un buen puñado de libros. Si a todo esto añadimos su formación en los dos campos que conforman esta materia: el legal y el técnico (el primero de los autores es Ldo. en Derecho y en Informática y el segundo Dr. en Informática) se impone esperar, ya a priori, lo mejor del libro que reseñamos.
La obra se estructura en tres partes –desglosadas en un total de dieciséis capítulos– más dos anexos, que recogen el R.D. 994/99 de 11 de junio sobre Medidas de seguridad de ficheros de datos personales y la Instrucción 1/2000 de la APD relativa a movimientos internacionales de datos. Los capítulos están escritos con un estilo claro, directo y conciso lo que redunda en su amena lectura y fácil comprensión, a lo que también contribuye la ajustada extensión de sus capítulos –pocos rebasan las 10 páginas–, y su carácter eminentemente práctico. Por último, las cuestiones, que a modo de epílogo, rematan todos los capítulos, permiten una reflexión y consolidación de las ideas expuestas.
La primera parte, de título Generalidades, se articula en siete capítulos en los que se estudian los principales aspectos de la administración de la seguridad. Así, tras un primero, La seguridad de la información, dedicado a presentar las diferentes facetas que conforman la disciplina (física, lógica, de los datos, de las aplicaciones, etc.), el segundo, La clasificación de la información, esboza los principios que deben presidir esta clasificación, por un lado según su sensibilidad frente a la difusión, modificación o destrucción (o lo que es igual cara a su onfidencialidad, integridad o disponibilidad) y por otro según la categoría (el compartimento si empleásemos la terminología de los modelos de seguridad multinivel) a la que pertenecen estos datos. El tercer capítulo se detiene en el documento más importante de cuantos cimientan la protección: Los planes de seguridad, exponiendo los requisitos previos a su construcción, las líneas y objetivos que lo deben guiar y los proyectos a los que debe dar lugar, casi todos los cuales se tratan monográficamente en los capítulos siguientes. A continuación, Las políticas de seguridad, justifica la trascendencia de éstas (presentando valiosas ideas para aquellos que deban defenderlas ante los directivos sus empresas), instruyendo acerca de su elaboración, estructura y contenido. A continuación, Los planes de contingencia (el de tratamiento más amplio, con casi veinte páginas), pormenoriza una metodología de desarrollo, detallando su contenido, las funciones de los actores en caso de incidente, las herramientas a emplear y, en general, todos los aspectos a tener en cuenta durante su diseño, puesta en marcha y mantenimiento. El capítulo sexto, sin duda el más novedoso de esta primera parte, Los acuerdos de nivel de servicio como control de calidad, incide en la íntima relación entre calidad y seguridad, exponiendo sus ventajas, el cuerpo de tales acuerdos, los tipos de servicios y sus métricas, etc. Finalmente, en La auditoría de seguridad se trata magistralmente (lo que era de suponer, dado el prestigio y experiencia del segundo de los autores en esta disciplina) todas las facetas de la materia: perfil del auditor, fases de la realización metodologías, técnicas y herramientas, consideraciones a tener en cuenta ante su contratación externa y las relaciones siempre difíciles entre auditores y administradores.
En resumen, una magnifica exposición de esa dimensión de la seguridad que denominamos administración (otros prefieren gestión), a la que sólo se la pueden discutir el orden de un par de capítulos (¿cuál es la razón de no haber situado a la clasificación tras los planes de la seguridad? ¿por qué no preceden las políticas a los planes, cuando metodológicamente éstos deben ser consecuencia de aquellas?), o el haber pasado por alto (hubiese merecido un capítulo) la gestión de incidentes, expresamente recogida en el Reglamento.
La segunda parte, La protección de los datos de carácter personal, contempla la dimensión legal de la seguridad, pero, acertadamente, en vez de centrarse en la manida Ley 15/99 planea sobre otros aspectos menos recogidos en los textos. Así ocurre en el capítulo ocho: La transferencia internacional de información y el concepto de puerto seguro, donde tras los antecedentes legales de estas transferencias y la Instrucción 1/2000 de la APD, trata ampliamente los principios del puerto seguro (safe harbour), ese trágala (según los más) que EE UU impuso a la UE para que ésta aceptara los movimientos de datos a un país –el citado– sin regulación –ni intención de tenerla– en esta materia. El siguiente: La problemática de la seguridad en las diferentes norma sobre protección de datos, bosqueja diferentes disposiciones de ámbito legal que confluyen en la protección de estos datos (directivas, Schengen, Estatuto e Instrucciones de la APD, etc.), para seguidamente, capítulo diez: La protección de datos en las telecomunicaciones, enfocar el tratamiento de los datos personales en los textos legales sobre las telecomunicaciones (directiva 97/ 66, Ley 11/98 General de Telecomunicaciones y el RD 1736/98). Por último, esta parte concluye con un útil Vocabulario jurídico, capítulo once, objetable en tanto en cuanto algunos de sus términos se repiten–aunque con acepción diferente– en el capítulo siguiente, donde se definen los considerados en el Reglamento. Para concluir, la tercera parte de la obra: El Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal, incide sobre este Reglamento, dedicando, tras un capítulo de aspectos generales, cada uno de sus tres últimos a los tres tipos de medidas de seguridad: básico, medio y alto, que prescribe el RD 994/99 que aprueba el citado Reglamento. Es ciertamente la parte menos original del libro, pero no por ello menos necesaria, pues el Reglamento es el punto de encuentro en el que confluyen las medidas legales –vistas en la segunda parte– y las de gestión –contempladas en la primera–, y por tanto justo colofón al libro. En síntesis, una obra que no defraudará y pasará a formar parte de lo que algunos denominan «fondo» de biblioteca de sus compradores.

Documento en PDF
 

<volver