Información jurídica inteligente
 España | 900 649 672

El drama de la protección de datos en tres actos o crónica de una muerte anunciada

Document Citas 9 Citado por Relacionados
Vincent
AutorFrancisco De Quinto Zumárraga
CargoAbogado y Economista. Socio Director del Dpto. de Nuevas Tecnologías de Piqué Abogados Asociados.
El planteamiento

Para bien o para mal el tiempo siempre juega a favor de la Ley y de la Justicia, es decir del Derecho. Comienza a ser opinión generalizada que la Ley Orgánica de Protección de Datos Personales (LOPDP) es una bomba de relojería de mecha larga, pero el tiempo todo lo cura y también todo lo activa. Viene al caso la Disposición Adicional Primera de la referida ley que bajo el título de "Ficheros preexistentes" dispone textualmente en su párrafo segundo; "En el supuesto de ficheros y tratamientos no automatizados, su adecuación a la presente Ley Orgánica y la obligación prevista en el párrafo anterior deberá cumplirse en el plazo de 12 años a contar desde el 24 de octubre de 1995, sin perjuicio de los derechos de acceso, rectificación y cancelación por parte de los afectados". La transcendencia de este parrafucho es tal que merece un atento desmenuzamiento por nuestra parte.

  1. Por ficheros y tratamientos no automatizados debe entenderse los ficheros y tratamientos manuales, no digitalizados, es decir soportados en papel; las fichas manuales de clientes, los currículums académicos y laborales, los historiales clínicos, los análisis, radiografías, etc., etc.

  2. Por la obligación prevista en el párrafo anterior debe entenderse que lo que la LOPD contemplaba como transitoriedad de tres años para adecuación de los ficheros preexistentes a su entrada en vigor, se aplicará a partir del 25 de octubre de 2007, fecha a partir de la cual los ficheros preexistentes deberán cumplir todos y cada uno de los requisitos de la LOPD y por descontado que también deberán cumplir las medidas de seguridad de los ficheros que contengan datos de carácter personal.

El actual reglamento de medidas de seguridad de los ficheros R.D. 994/99 de 11 de junio se circunscribe única y exclusivamente a la protección de los ficheros automatizados por ser anterior a la LOPD y porque ésta otorga carta de continuidad a tres decretos previos a ella, entre los que se encuentra el que nos ocupa (Disposición Transitoria tercera).

Tanto el actual reglamento como el que se avecina, del cual conocemos ya un texto articulado, estructuran las medidas de seguridad que deben aplicarse a los ficheros a partir de la sensibilidad de los datos que consten en dicho fichero. Para ello, ambas normas; la actual y la esperada, clasifican los ficheros de datos personales en tres niveles de acuerdo con la sensibilidad de los datos que contienen. Para ello se definen a los ficheros en tres categorías:

a) Ficheros de nivel básico; todo fichero que contenga datos personales.

b) Ficheros de nivel medio; aquellos ficheros que contengan información personal relativa a infracciones y sanciones administrativas, datos económicos relativos a solvencia patrimonial, crédito, endeudamiento etc. y aquellos que en conjunto permitan establecer un perfil de su titular.

c) Ficheros de nivel alto; aquellos ficheros que contengan datos especialmente protegidos de acuerdo con lo dispuesto en el art. 7 de la LOPD (datos que revelen ideologías, afiliación sindical, religión, creencias, origen social, salud y vida sexual.

El nudo

Una vez sabedores de la estructura conceptual en que se basan los criterios legales de protección de ficheros, no podemos por menos, aunque no nos gusta, que transcribir textualmente el articulado, tal como lo conocemos hoy, del próximo reglamento de medidas de seguridad aplicables a los ficheros con datos personales. Y lo hacemos así, a pesar de que no nos gusta, porque es prácticamente inevitable y porque es un magnífico ejemplo de la obligada convivencia transversal entre ingenieros y juristas en materias tan arduas y especializadas como las que nos ocupan. En este sentido animamos al lector a que no ceje en su empeño y proceda a la lectura del texto legal (en borrador) que transcribimos.

Capítulo II Del documento de seguridad

Artículo 60. El documento de seguridad.

  1. El responsable del fichero o tratamiento elaborará un documento de seguridad que recogerá las medidas de índole técnico y organizativo acordes a la normativa de seguridad vigente que será de obligado cumplimiento para el personal con acceso a los ficheros o tratamientos de datos de carácter personal.

  2. El documento de seguridad podrá ser único y comprensivo de todos los ficheros o tratamientos, o bien individualizado para cada fichero o tratamiento. También podrán elaborarse distintos documentos de seguridad agrupando ficheros o tratamientos según el sistema de tratamiento utilizado para su organización, o bien atendiendo a criterios organizativos del responsable.

  3. El documento deberá contener, como mínimo, los siguientes aspectos:

    1. Ámbito de aplicación del documento con especificación detallada de los recursos protegidos.

    2. Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en este Reglamento.

    3. Funciones y obligaciones del personal en relación con el tratamiento de los datos de carácter personal incluidos en los ficheros.

    4. Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan.

    5. Procedimiento de notificación, gestión y respuesta ante las incidencias.

    6. Los procedimientos de realización de copias de respaldo y de recuperación de los datos en los ficheros o tratamientos automatizados.

    7. Las medidas que sea necesario adoptar para el transporte de soportes y documentos, así como para la destrucción de los documentos y soportes, o en su caso, la reutilización

    de éstos.

  4. En caso de que fueran de aplicación a los ficheros las medidas de seguridad de nivel

    medio previstas en este Título, el documento de seguridad deberá contener además:

    1. La identificación del responsable o responsables de seguridad.

    2. Los controles periódicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento.

  5. El documento de seguridad deberá mantenerse en todo momento actualizado y deberá

    ser revisado siempre que se produzcan cambios relevantes en el sistema de información, en el sistema de tratamiento empleado en su organización o en el contenido de la información incluida en los ficheros o tratamientos.

  6. El contenido del documento de seguridad deberá adecuarse, en todo momento, a las disposiciones vigentes en materia de seguridad de los datos de carácter personal.

Capítulo III Medidas de seguridad de nivel básico
Sección Primera Medidas generales

Artículo 61. Funciones y obligaciones del personal.

  1. Las funciones y obligaciones de cada una de los usuarios o perfiles de usuarios con acceso a los datos de carácter personal y a los sistemas de información estarán claramente definidas y documentadas en el documento de seguridad.

    También se definirán las funciones de control o autorizaciones delegadas por el responsable del fichero o tratamiento.

  2. ...

Para continuar leyendo

Solicita tu prueba
Índice de navegación
Voces del tesauro

Búsquedas relacionadas:

Otros documentos interesantes:

VLEX utiliza cookies de inicio de sesión para aportarte una mejor experiencia de navegación. Si haces click en 'Aceptar' o continúas navegando por esta web consideramos que aceptas nuestra política de cookies. ACEPTAR