Cuando hablábamos en nuestros posts de secretos empresariales o de protección de infraestructuras críticas es preciso tener en cuenta que no sólo es necesario implantar controles para garantizar la seguridad de las propias instalaciones, sino que es necesario proteger la información derivados de la actividad.

  • El art. 18 (seguridad de los datos clasificados) de la Ley 8/2011, por la que se establecen medidas para la protección de las infraestructuras críticas determina: «El operador crítico deberá garantizar la seguridad de los datos clasificados relativos a sus propias infraestructuras, mediante los medios de protección y los sistemas de información adecuados que reglamentariamente se determinen.» Así, el art. 36 (seguridad de los datos clasificados) del Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de protección de las infraestructuras críticas, que dice: «Los datos clasificados relativos a las infraestructuras de los operadores críticos cumplirán, en todo caso, con los requerimientos de seguridad establecidos por el Secretario de Estado Director del Centro Nacional de Inteligencia, de acuerdo con la normativa específica aplicable.» (1)
  • El art. 15 (tratamiento de la información que pueda constituir secreto empresarial) de la Ley 1/2019, de 20 de febrero, de Secretos Empresariales establece que el titular de los secretos empresariales puede, entre otras medidas, «restringir a un número limitado de personas el acceso a cualquier documento, objeto, material, sustancia, fichero electrónico u otro soporte que contenga información que pueda constituir en todo o en parte secreto empresarial».

Todos estaremos de acuerdo en que procede, por tanto, clasificar la información de manera que todos los potenciales usuarios entiendan en qué consiste esa información. Las notas que avanzamos a continuación, de obligado cumplimiento en los operadores críticos, resultan también de aplicación a aquellas empresas que deseen proteger su información, pudiendo adaptarse sin excesivas complicaciones en sus procesos internos.

Información clasificada.

La información clasificada es un tipo de información sensible que está restringida por las leyes o regulada para clases particulares de personas. Se requiere una habilitación formal de seguridad (CNI: Seguridad en el personal y CNI: HSEM/HSES) para manejar y acceder a documentos clasificados.

Para acceder a Información Clasificada es imprescindible tener “necesidad de conocer” y haber sido instruido previamente en materia de protección de la Información Clasificada.

Existen comúnmente cuatro grados de “sensibilidad” de la información, cada cual con diferentes tipos de autorizaciones de seguridad. Esta especie de sistema jerárquico de discreción es usada virtualmente por todos los gobiernos nacionales.

El propósito de la clasificación de documentos es ostensiblemente proteger información, que de ser usada podría afectar la seguridad nacional. Esto formaliza aquello que constituye un “secreto de estado” y propone distintos niveles de protección basado en el daño que se espera que la información pueda causar en manos equivocadas.

Definiciones.

  • Información: Información es todo conocimiento que puede ser comunicado, presentado o almacenado en cualquier forma.
  • Información clasificada: Información Clasificada es cualquier información o material que requiere protección contra su divulgación no autorizada y a la que se ha asignado, con las formalidades y requisitos previstos en la legislación, una clasificación de seguridad.
  • Materias clasificadas. Están definidas en la LSO, Ley 9/1968, de 5 de abril, sobre secretos oficiales, como los asuntos, actos, documentos, informaciones, datos y objetos cuyo conocimiento por personas no autorizadas pueda dañar o poner en riesgo la seguridad y defensa del Estado, y que se califican en las categorías de SECRETO y RESERVADO, en atención al grado de protección que requieren.
  • Materias objeto de reserva interna. Se definen como los asuntos, actos, documentos, informaciones, datos y objetos cuyo conocimiento por personas no autorizadas pueda afectar a la seguridad del Estado, amenazar sus intereses o dificultar el cumplimiento de su misión. Se clasifican en las categorías de CONFIDENCIAL y DIFUSIÓN LIMITADA, en atención al grado de protección que requieren. Estos grados no están definidos en la LSO, aunque están reconocidos internacionalmente y en normativas de desarrollo de la Ley.

Clasificación.

Aunque los sistemas de clasificación varían de país en país, la mayor parte de estos niveles corresponden a las siguientes definiciones británicas, nombradas desde el nivel más alto al más bajo:

  1. “Top Secret”(Secreto). Esta información podría provocar un “daño excepcionalmente grave” a la seguridad nacional si estuviera públicamente disponible.
  2. “Secret” (Reservado). Este material eventualmente causaría “serios daños” a la seguridad nacional si estuviera públicamente disponible.
  3. “Confidential” (Confidencial). Este material podría “dañar” o “ser perjudicial” a la seguridad nacional si estuviera públicamente disponible.
  4. “Restricted” (Difusión Limitada). Este material podría producir “efectos indeseados” si estuviera públicamente disponible. Algunos países no tienen esta clasificación.
Clasificación internacional“Top Secret”“Secret”“Confidential”“Restricted”
Equivalencia
España
SecretoReservadoConfidencialDifusión limitada
Esta información podría provocar un “daño excepcionalmente grave” a la seguridad nacional si estuviera públicamente disponible.Este material eventualmente causaría “serios daños” a la seguridad nacional si estuviera públicamente disponible.Este material podría “dañar” o “ser perjudicial” a la seguridad nacional si estuviera públicamente disponible.Este material podría producir “efectos indeseados” si estuviera públicamente disponible.
Algunos países no tienen esta clasificación.

¿Quién clasifica?

  • La facultad para clasificar de SECRETO y RESERVADO corresponde, por ley, al  Consejo de Ministros y a la Junta de Jefes de Estado Mayor, no pudiendo ser transferida ni delegada.
  • Tendrán facultad para clasificar de CONFIDENCIAL o DIFUSIÓN LIMITADA las siguientes Autoridades en el ámbito de su competencia, pudiendo delegar oficialmente dicha atribución: los Ministros, Secretarios de Estado y Subsecretarios en sus respectivos Departamentos y los Jefes de los Estados Mayores de la Defensa, Ejército, Armada y Aire. El correspondiente departamento ministerial deberá acogerse a una normativa por la que se regule el uso de estos dos grados de clasificación.

En el caso de las empresas, evidentemente, pueden seguir un patrón similar.


(1) Las recomendaciones establecidas en los Contenidos Mínimos del Plan de Seguridad del Operador derivan, especialmente, de las orientaciones de referencia recogidas en el documento OR-ASIP-04-01.03 – Orientaciones para el Manejo de Información Clasificada con Grado de Difusión Limitada de la Oficina Nacional de Seguridad (CNI).

 Normas de la Autoridad Nacional para la Protección de la Información Clasificada