Les noves tecnologies de la informació i de la comunicació han provocat l'arribada d'una allau d'informació que en termes globals representa un gran avenç per a la humanitat. Aquestes ajuden a augmentar considerablement les nostres possibilitats d'informació, comunicació i formació i fan possible que els diferents tipus d'organitzacions puguin disposar, tractar o emmagatzemar dades de caràcter personal. Amb l'arribada d'Internet, la lliure circulació de la informació es fa més palesa i ha posat en evidència el fet que es pugui conèixer alguna dada de caràcter personal i que aquesta pugui ser utilitzada de forma inadequada.

Com a conseqüència de tot això s'ha anat desenvolupant tot un marc jurídic (vegeu Taula) que emmarca la protecció de dades i que comença l'any 1948 amb la Declaració Universal de Drets Humans. A partir d'aquest any s'han establert diversos decrets, lleis i directives fins arribar al projecte de la Constitució Europea de l'any 2003 que recull tant les normes sobre protecció de les persones físiques com el tractament de dades personals per part de les institucions, organismes i agències de la Unió Europea. Aquest desenvolupament legislatiu tant a nivell europeu, estatal com autonòmic coincideix amb la necessitat de tenir cura dels drets individuals de les persones. Així doncs, s'han creat organismes que vetllen pel compliment de la normativa actual sobre protecció de dades com l'Agència Espanyola de Protecció de Dades on s'hauran d'inscriure els fitxers gestionats per les administracions públiques, els fitxers de titularitat privada, les autoritzacions de transferències internacionals, els codis tipus i les dades relatives als fitxers que siguin necessàries per a l'exercici dels drets de la informació, accés, rectificació, cancel∙lació i oposició; o com l'Agència Catalana de Protecció de Dades on s'hauran d'inscriure els fitxers gestionats per administracions públiques catalanes, entitats que en depenen, consorcis que en formen part, universitats de Catalunya i entitats que presten serveis públics, associacions, fundacions o societats amb participació pública majoritària i que actuen per compte d'una administració.

Taula. Principals normatives en diferents àmbits relacionades amb la protecció de dades

ÀMBIT EUROPEU	ÀMBIT ESTATAL	ÀMBIT AUTONÒMIC
Directiva 95/46 CE del Parlament Europeu i del Consell, de 24 d'octubre de 1995, relativa a la protecció de les persones físiques pel que fa al tractament de les dades personals i a la lliure circulació d'aquestes	Llei orgànica 5/1992 de regulació del tractament automatitzat de les dades de caràcter personal (LORTAD). DEROGADA Reial decret 428/1993, de 26 de març, pel qual s'aprova l'estatut de l'Agència Espanyola de Protecció de Dades (http://www.agpd.es/index.php) Llei orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal Reial decret 994/1999, d'11 de juny, pel qual s'estableix el reglament de mesures de seguretat dels fitxers automatitzats	Decret 48/2003, de 20 de febrer, pel qual s'aprova l'estatut de l'Agència Catalana de Protecció de Dades (http://www.apdcat.net/ )

Cal no oblidar que en el cas dels fitxers que són titularitat d'entitats públiques, s'ha de publicar, prèviament a la seva inscripció en el Registre de Protecció de Dades, la disposició creadora del fitxer en el diari oficial corresponent.

D'aquesta manera, sorgeix la necessitat de crear i definir una sèrie de conceptes bàsics relacionats amb la protecció de dades (vegeu la Figura).

Segons el Reial decret 994/1999, d'11 de juny, s'estableix que les mesures de seguretat es classifiquen en tres nivells: bàsic, mitjà i alt. Aquests nivells s'estableixen atenent la naturalesa de la informació tractada en relació amb la major o menor necessitat per tal de garantir la confidencialitat i la integritat de la informació. Tots els fitxers que continguin dades de caràcter personal hauran d'adoptar les mesures de seguretat qualificades com de nivell bàsic .

Els fitxers que continguin dades relatives a la comissió d'infraccions administratives o penals, Hisenda Pública, serveis financers i d'obligacions i de solvència patrimonial, hauran de reunir, a més de les mesures de nivell bàsic, les qualificades com de nivell mitjà .

Els fitxers que continguin dades d'ideologia, religió, creences, afiliació sindical, origen racial, salut o vida sexual així com els que continguin dades per a finalitats policials, hauran de reunir, a més de les mesures de nivell bàsic i mitjà, les qualificades com de nivell alt .

Aquestes mesures de seguretat s'hauran d'aplicar a totes les dades que són tractades per les organitzacions -tant públiques com privades- que es trobin recollides no tan sols en fitxers informatitzats i manuals sinó també a tota la informació que es trobi recollida en qualsevol tipus de suport que sigui susceptible de ser tractada.

Per tal de poder establir les mesures adients segons el nivell de seguretat cal considerar, en primer lloc, fer una anàlisi prèvia de la informació existent a l'entitat en les seves diverses àrees i departaments per fer un inventari de tots els fitxers susceptibles de ser regulats segons la normativa de protecció de dades. Per a això es pot definir un procediment:

1. Anàlisi quantitativa (longitud) i qualitativa (qualitat) de la informació continguda en els fitxers.
2. Localització dels fitxers. 
3. Anàlisi dels fitxers. Estudi de l'objecte del tractament de cada fitxer. 
4. Qualificació i classificació del tipus d'informació sobre persones físiques que es troben en els fitxers analitzats.
5. Establiment d'especialitats: dades especialment protegides. 
6. Personal afecte. Estudi de les persones implicades en el tractament. En aquest estudi es deixarà constància de quines són les formes d'accés, quins són els perfils autoritzats a l'accés i els seus drets.

Un cop analitzats tots els fitxers s'obtindrà una classificació segons els nivells de seguretat que caldrà aplicar. Aquestes mesures de seguretat s'hauran de concretar, establir i implantar en el si de l'organització i quedaran recollides en un document de seguretat que serà d'obligat compliment. Les mesures de seguretat dels diferents nivells s'hauran d'implantar en els terminis que estableix la disposició transitòria única del reglament de mesures de seguretat.

Per finalitzar, cal recordar que el compliment de la Llei orgànica 15/1999, de 13 de desembre, de protecció de dades, s'ha d'aplicar sens perjudici de l'exercici dels drets d'accés, rectificació i cancel∙lació dels afectats que són, en definitiva, les persones físiques titulars de les dades que seran objecte de tractament.