Protección de datos en BBDD

Cerrado
Avatar de Usuario
Orion
Usuario registrado
Mensajes: 284
Registrado: 19 Ene 2009, 11:31
Agradecido: 0
Agradecimiento recibido: 0

Protección de datos en BBDD

Mensaje por Orion »

Hola:

Me ha surgido una duda y no se si la cosa es muy intrincada o muy tonta, debido a mi penoso estado mental a estas alturas.
La pregunta es la siguiente: Si disponemos de datos de carácter personal en una BBDD, repartidos en diversas tablas, de tal manera que en una tabla se asociase un código a cada persona y en las tablas en las que existieran datos de carácter personal y debiera constar también la identidad del fulano se utilizase el código asignado... (¡vaya rollo!) ¿habría que aplicar las medidas de seguridad correspondientes o se interpretaría que existe una disociación de los datos?

Mmmm, ¡qué angustia esto del cuarto! :? :?
"When a girl says she needs two minutes to get ready, that's the same thing as when a guy says there's two minutes left in the football game. That's relativity."

Akenaton
PreparaTIC XXIII
Mensajes: 82
Registrado: 15 Nov 2009, 12:00
Agradecido: 0
Agradecimiento recibido: 0

Re: Protección de datos en BBDD

Mensaje por Akenaton »

Buenos días,

A mi juicio habría que poner las medidas correspondientes ya que se consideraría un único fichero.

Con el nuevo reglamento el fichero es un "concepto" : es decir, puedes tener los datos repartidos en 5 B.D. y declararlo como un único fichero si la finalidad de todos es la misma, tiene las mismas cesiones etc.

Estoy contigo: lo del cuarto es peor si cabe. Que paranoia de verdad.

Walia
Usuario registrado
Mensajes: 275
Registrado: 31 May 2010, 14:23
Agradecido: 0
Agradecimiento recibido: 0

Re: Protección de datos en BBDD

Mensaje por Walia »

Creo que lo que quieres decir es que en una tabla asocias códigos a identidades, y en la otra tienes los DCP asociados a los códigos.

En mi opinión, tendrías que considerar ambas tablas como DCP. La LOPD define DCP como los asociados a personas "identificadas o identificables".

Otra cosa es que a una tabla tengas que aplicarle las protecciones de un nivel de datos y que a la de los códigos puedas aplicar las de un nivel menos restrictivo. Puede que haya ahí una via de escape para reducir costes en aplicaciones de medidas de seguridad, pero me parece el chocolate del loro, y no creo que sea buena idea ponerlo como "gran idea" en el supuesto.

Es una opinión
No tengo ni iPod, ni iPhone, ni iPad. Básicamente porque no iDinero

Akenaton
PreparaTIC XXIII
Mensajes: 82
Registrado: 15 Nov 2009, 12:00
Agradecido: 0
Agradecimiento recibido: 0

Re: Protección de datos en BBDD

Mensaje por Akenaton »

Hola otra vez ...

Orión, he leído mejor tu mensaje : creo que lo que comentas es un poco rizar al rizo; sería inviable una gestión así .. ya es difícil aplicar la lopd como para aplicarla por tablas!!.

En una Base de Datos siempre va a haber tablas a los que no les aplicaría la LOPD. Pero vamos, tu tienes que ocuparte de la base de datos en total y aplicar las medidas correspondientes: por ejemplo, tienes una base de datos de salud: tendrás una tabla de datos de usuarios (dni, nombre), otras de datos de enfermedades y otra de datos de hospitales, por ejemplo. A la tabla "hospitales" no le aplica la LOPD, a la tabla "usuarios" sólo le aplicaría los datos de nivel básico .... pero la declaración del fichero la haces a la Base de Datos en su conjunto y en conjunto tienes que aplicar las medidas de nivel alto: copia de seguridad encrpitada, etc.

Ahora, ¿que quieres descargarte los datos de hospitales?. Pues hombre, ya no hace falta que los encriptes.

Es lo que yo creo ... espero haberte ayudado.

Avatar de Usuario
Julio
PreparaTIC XVIII
Mensajes: 381
Registrado: 28 May 2007, 12:42
Agradecido: 0
Agradecimiento recibido: 0

Re: Protección de datos en BBDD

Mensaje por Julio »

De todas formas la legislación de protección de datos es más estricta de lo que pueda parecer cuando se refiere a "personas identificadas o identificables". En el RD 1720/2007 de desarrollo de la LOPD se define persona identificable como:
Persona identificable: toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier información referida a su identidad física, fisiológica, psíquica, económica, cultural o social. Una persona física no se considerará identificable si dicha identificación requiere plazos o actividades desproporcionados.
No dice que se pueda identificar mediante datos de un mismo sistema de información, dice simplemente "pueda determinarse, directa o indirectamente" (de la forma que sea), y la única excepción es lo de los "plazos o actividades desproporcionados". De aquí se deduce que si en tu sistema de información las personas se identifican sólo mediante un código y mediante ese código puede determinarse su identidad por ejemplo en otro sistema de información o en algún registro (que no tiene que ser público) o de cualquier otra manera que no requiera plazos o actividades desproporcionados, entonces ese código es un dato personal y le aplica LOPD y el resto de legislación al respecto.

Y esto no es sólo teoría, yo llevaba un sistema que recopilaba datos sobre personas con adicciones para generar estadísticas, los datos los enviaban las CCAA y en esos datos las personas simplemente eran un código para diferenciar unas de otras, no había ningún dato más de tipo "identificativo" en el sistema. Para nosotros eran datos totalmente anonimizados. El problema era que en algunas CCAA la correspondencia código<->persona real se mantenía (porque lo usaban para otras cosas), por supuesto en sistemas de información completamente privados y protegidos bajo 7 llaves. Consultamos a la AEPD y no tuvieron ninguna duda en que esos códigos en nuestro sistema eran datos de personas identificables y por tanto aplicaba la legislación de protección de datos, pues para un usuario de algún sistema de CCAA no suponía ni plazos ni actividades desproporcionados conseguir esa correspondencia y de ahí a identificar nuestros datos sólo hay un paso.

Perdonad que insista en lo que comentaba en otro hilo: en la vida real la única manera en la práctica de NO aplicar LOPD a un sistema es que esté absolutamente claro y cristalino que NO hay ningún dato de tipo personal, entendiendo dato personal en el ámbito más amplio y general que nos sea posible. Si en el examen yo tuviese la más mínima duda de si hay un dato personal, no me lo pensaría ni un instante (el examen es como para perder tiempo...) y me iría de cabeza a aplicar LOPD. Cualquier tribunal entenderá mejor que la hemos aplicado con dudas "por si acaso" que cualquier razonamiento medianamente complejo para explicarles que en realidad no hace falta aplicarla.

Avatar de Usuario
Orion
Usuario registrado
Mensajes: 284
Registrado: 19 Ene 2009, 11:31
Agradecido: 0
Agradecimiento recibido: 0

Re: Protección de datos en BBDD

Mensaje por Orion »

Gracias a todos. Me quedo con una de las cosas aportadas: en caso de duda, aplicar la LOPD para curarse en salud.
"When a girl says she needs two minutes to get ready, that's the same thing as when a guy says there's two minutes left in the football game. That's relativity."

Cerrado

Volver a “CUARTO EXAMEN 2010”