Artículos

Inscripción de ficheros localización y determinación de los ficheros a inscribir

Una de las obligaciones básicas establecidas por la LOPD es la legalización o inscripción de los Ficheros de datos de carácter personal en la Agencia Española de Protección de Datos, aunque para realizar correctamente esta inscripción es necesario realizar previamente la Localización y Determinación de los Ficheros preexistentes, así como la determinación de los nuevos ficheros a inscribir.

24/08/2007 Microsoft Centro para Empresas y Profesionales

De este modo, y previamente a la inscripción de Ficheros es necesario localizar los ficheros existentes en la empresa o entidad, analizando la finalidad para la que son tratados los datos, el origen de los datos, y el sistema de almacenamiento de los mismos, y con esta información realizar un inventario de ficheros preexistentes.

Posteriormente, se realizará una sistematización de los Ficheros detectados, realizando un análisis de los ficheros físicos y lógicos, que dará como conclusión el listado de ficheros que habrán de ser inscritos en la Agencia Española de Protección de Datos.

Por último, deberán ser determinados aquellos nuevos ficheros que vayan a ser creados, y en consecuencia, inscritos en la Agencia Española de Protección de Datos.

• Localización de Ficheros preexistentes.
  
  Para la localización de ficheros preexistentes, y la realización de un inventario de los mismos, es necesario estudiar la siguiente información:
  • Departamentos afectados, que por su actividad traten datos de carácter personal (por ejemplo: Recursos Humanos, Marketing, Financiero, Asesoría Jurídica, etc...).
  • Origen de los datos que son tratados por la entidad.
  • Finalidad del tratamiento.
  • Datos recabados para cada finalidad.
  • Tratamientos realizados.

  Una vez han sido localizados los ficheros preexistentes y los tratamientos que son realizados en la empresa, es necesario sistematizar de una manera lógica y coherente toda la información recabada. Así, una vez analizada toda esta información, se procederá a la elaboración de un inventario de ficheros físicos y lógicos, que permitirá la sistematización de los ficheros a inscribir en la Agencia Española de Protección de Datos.

• Sistematización. Inventario de Ficheros físicos y lógicos.
  
  Según el art. 3 de la LOPD, se entiende por Fichero "todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso".

  La amplitud y generalidad de esta definición ha creado confusión en las empresas, al poder considerar como Fichero, conceptos informáticos tales como: carpeta, base de datos, fichero, documento, aplicación, etc...

  Así será necesario considerar que estamos ante un fichero con datos de carácter personal cuando exista una organización de esos datos de una manera lógica, que permita tratarlos con determinadas finalidades, con independencia de los criterios utilizados para su organización, de la aplicación que se haya utilizado para crear dicho fichero, y de los criterios de búsqueda y acceso a esos datos.

  ¿Qué se entiende por Fichero físico?
  
  Dentro de una entidad o empresa es probable encontrar decenas o centenares de ficheros físicos, es decir, todos aquellos que son creados mediante la organización de datos personales con independencia de la aplicación que los crea o los trata.

  Así pues, es habitual encontrar en las empresas o entidades programas de gestión o aplicaciones corporativas que permiten realizar tratamientos de datos de forma integral y centralizada, junto con innumerables pequeños ficheros creados para distintas finalidades y principalmente utilizando como soporte aplicaciones ofimáticas que no permiten un tratamiento integral y centralizado.

  Es por tanto necesario, realizar un inventario de todos los ficheros físicos existentes en la empresa, para proceder en un momento posterior, a su sistematización en ficheros lógicos.

  ¿Qué se entiende por Fichero lógico?
  
  Como fichero lógico entendemos un fichero o conjunto de ficheros físicos, que contienen el mismo tipo de datos, y que son tratados para una misma finalidad o finalidades compatibles.

  De este modo, y una vez que se haya realizado el inventario de ficheros físicos, se procederá a la agrupación de los mismos en ficheros lógicos. Las claves más importantes para llevar a cabo correctamente la agrupación de ficheros físicos en lógicos son las siguientes:

  • Las finalidades para las que se destinen los datos han de ser similares, y en todo caso, compatibles.
  • Habrá de ser determinado el nivel de seguridad del fichero lógico, en función del fichero físico que tenga el nivel más alto.
  • Determinación de las aplicaciones que tratan los ficheros.
  • Determinación de los Accesos a Datos por Cuenta de Terceros y cesiones de datos.
  • Transferencias Internacionales de Datos.
  • Etc.

  Ejemplo: En una determinada empresa o entidad existen multitud de ficheros físicos que contienen datos de clientes:

  • Fichero de datos bancarios.
  • Fichero impagados.
  • Fichero gestión relación comercial/contractual.
  • Fichero marketing clientes (fidelización)
  • Etc...

  Todos estos ficheros tienen en común que contienen y tratan datos de clientes, cuya finalidad es la gestión de las relaciones con los mismos, pero que se encuentran almacenados en diferentes tablas o aplicaciones.

  En este caso, podrán ser agrupados todos estos ficheros físicos en un solo fichero lógico, denominado, por ejemplo, clientes, cuya finalidad será la gestión de la relación comercial o contractual con los clientes, abarcando dentro de la misma los siguientes tratamientos: gestión administrativa, contable y fiscal de los datos de los clientes, gestión de cobros y pagos, elaboración de acciones tendentes a la fidelización de clientes, etc...

  En cuanto a la determinación del nivel de seguridad del fichero lógico que será inscrito en la Agencia Española de Protección de Datos, habrá que tener en cuenta los distintos niveles de seguridad que corresponden a los diferentes ficheros físicos que se agrupan en el fichero lógico, y aplicar el más alto de ellos.

  En el ejemplo expuesto, al fichero de datos bancarios le correspondería un nivel medio, al de impagados nivel medio, al de gestión de la relación comercial/contractual nivel medio, y al de marketing nivel básico. Siendo el nivel más alto el medio, esté será el nivel que habrá de ser aplicado al fichero lógico de clientes que será inscrito.

• Creación de nuevos Ficheros de Datos de Carácter Personal.
  
  La LOPD regula la creación de nuevos ficheros de datos de carácter personal en los artículos 20 (para las entidades públicas) y 25 (para las entidades privadas).
  
  
  • Entidades Públicas:
    El artículo 20.1 LOPD establece: "La creación, modificación o supresión de ficheros de las Administraciones Públicas sólo podrán hacerse por medio de disposición general publicada en el Boletín Oficial del Estado o diario oficial correspondiente".
    Así, para la creación de un Fichero de titularidad pública será necesaria la aprobación de una Orden por el Organismo competente, que habrá de ser publicada en un Boletín Oficial.
  • Entidades Privadas:
    El artículo 25 de la LOPD establece: "Podrán crearse ficheros de titularidad privada que contengan datos de carácter personal cuando resulte necesario para el logro de la actividad u objeto legítimo de la persona, empresa o entidad titular y se respeten las garantías que esta Ley establece para la protección de las personas".
    Además, el artículo 26.1. de la LOPD establece: "Toda persona o entidad que proceda a la creación de ficheros de datos de carácter personal lo notificará previamente a la Agencia Española de Protección de Datos".
    Es, por tanto, requisito imprescindible para la creación de nuevos ficheros de datos de carácter personal, la previa inscripción en el Registro de la Agencia Española de Protección de Datos.

María González Moreno
Manaca Consulting, S.L.

| ir a artículos | recomiende este contenido | acceso a asesoría | versión para imprimir |