Medidas de seguridad de nivel básico aplicables a ficheros y tratamiento automatizados y en soporte papel.

El Reglamento de Desarrollo de la Ley Orgánica de Protección de Datos ha venido a completar la anterior regulación sobre medidas de seguridad aplicables a los ficheros y tratamientos que contengan datos de carácter personal. Los ficheros y tratamientos de datos se categorizan en tres niveles, en función de la sensibilidad de los datos que contienen. Así, a cada uno de los niveles, les corresponde una serie de medidas de seguridad, que se definirán como de nivel básico, nivel medio o nivel alto.

En concreto, el Reglamento LOPD establece por primera vez las medidas aplicables a ficheros y tratamientos no automatizados, es decir, a aquéllos que recopilan o tratan datos personales en soporte papel. El Reglamento concreta, tanto para los ficheros o tratamientos automatizados como para aquéllos que se realicen en soporte papel, las específicas medidas que deberán acatarse en cada uno. No obstante, en los artículos 89 a 92 la norma de desarrollo establece, con carácter general, una serie de medidas que serán exigibles a ambos tipos de fichero o tratamiento, tanto automatizados como no automatizados.

Funciones y obligaciones del personal

En primer lugar, el Reglamento dispone que el personal que tenga acceso a datos de carácter personal debe tener claramente definidas sus funciones y obligaciones respecto de los datos a los que acceda en el desempeño de su actividad, así como las medidas de seguridad que le afecten y las consecuencias del incumplimiento de las mismas.

Estas funciones y obligaciones, que afectan a los usuarios o perfiles de usuarios con acceso a datos personales y a los sistemas de información, deben quedar constatadas en el Documento de Seguridad. Por su parte, el responsable del fichero, además de asegurarse de que el personal tenga conocimiento de lo ya indicado, debe definir las funciones de control o autorizaciones delegadas conforme al artículo 84 del Reglamento LOPD.

Registro de incidencias

De cara a mantener un correcto nivel de seguridad y atender las incidencias que pudieran tener lugar, el Reglamento LOPD prevé la existencia preceptiva de un procedimiento de notificación y gestión de incidencias que afecten a datos de carácter personal, así como, la llevanza de un registro en el que conste la siguiente información: 

-          El tipo de incidencia.

-          El momento en que se produjo.

-          La persona que realizó la notificación y a quién se le comunica.

-          Los efectos que se hubieran derivado.

-          Las medidas correctoras aplicadas.

Control de acceso

Según el Reglamento LOPD, los usuarios tendrán acceso únicamente a aquellos recursos que precisen para el desarrollo de sus funciones. Para ello, el responsable del fichero se encarga de que exista una relación actualizada de usuarios y perfiles de usuarios, y los accesos autorizados para cada uno de ellos. Además, ha de establecer los mecanismos necesarios para evitar que un usuario pueda acceder a recursos con derechos distintos a los autorizados.

Solamente el personal autorizado en el Documento de Seguridad, para este fin, podrá conceder, alterar o modificar el acceso autorizado sobre los recursos.

Por otra parte, todo el personal ajeno al responsable del fichero que tenga acceso a los recursos debe someterse a las mismas condiciones y obligaciones de seguridad que el personal propio.

Gestión de soportes y documentos

Los soportes y documentos en que se contengan datos de carácter personal deben ser inventariados y sólo serán accesibles por el personal autorizado. Además, deben identificar el tipo de información que contienen, salvo en el caso de datos personal especialmente sensibles. En estos casos, se permite la utilización de un sistema de etiquetado que sea comprensible únicamente para el personal autorizado y que dificulte la identificación para el resto de personas.

Estas medidas deberán aplicarse siempre y cuando las características físicas del soporte o documento no imposibiliten su cumplimiento.

La salida de soportes y documentos, que contengan datos personales, fuera del local controlado por el responsable del fichero, deberá ser expresamente autorizada por el responsable del fichero o en el Documento de Seguridad.

Para el traslado, destrucción o borrado de la documentación, se deben adoptar las medidas de seguridad necesarias para evitar la sustracción, pérdida o acceso indebido a la información, así como la recuperación de la misma, durante el transcurso de estas acciones.

MÁS INFORMACIÓN SOBRE EL NUEVO REGLAMENTO 

Si desea más información sobre el nuevo Reglamento de Protección de Datos, LEGALIA ABOGADOS pone a su disposición los siguientes materiales: