Artículos

Los ficheros no automatizados en el reglamento de desarrollo de la LOPD

Conozca qué medidas debería adoptar su empresa ante la aprobación del nuevo Reglamento para el desarrollo de la Ley Orgánica de Protección de Datos, y qué aspectos contempla esta reciente regulación.

21/07/2008 S21sec

Tras la aprobación por parte del Consejo de Ministros del Reglamento de desarrollo de la Ley Orgánica de Protección de Datos (RLOPD), surgen algunos asuntos de interés a analizar. Un aspecto importante se encuentra en lo relativo a los ficheros no automatizados. La definición de las medidas de seguridad de este Reglamento aplicables a tratamientos de datos de ficheros no automatizados se posicionará como uno de los retos más significativos de los próximos años.

Las medidas de seguridad relativas a ficheros no automatizados más importantes son: Documento de Seguridad: Las modificaciones que introduce el Reglamento en este apartado son tres: la aplicación de la normativa de seguridad referente al tratamiento no automatizado de datos, la importancia de la identificación de datos de carácter personal realizados por encargados del tratamiento, y el establecimiento para determinados requerimientos de medidas alternativas de seguridad. El objetivo es posibilitar la adecuación de todas las organizaciones al RLOPD con independencia de su tamaño o estructura empresarial. Estas alternativas deben ser detalladas y motivadas en este documento de seguridad.

Gestión de incidencias: se establece la necesidad de definir un procedimiento de notificación y gestión de incidencias de seguridad de los datos de carácter personal en ficheros no automatizados.

Control de acceso a ficheros no automatizados de datos: El Reglamento no dice nada en relación a la necesidad de establecer un registro automatizado de acceso a la documentación de nivel alto. No obstante, el gran reto de la implantación de las medidas de seguridad del RLOPD será instaurar los mecanismos que garanticen que dicho registro de acceso sea actual y completo. Para hacernos una idea de la magnitud de este requerimiento, sólo tenemos que plantearnos el acceso como la mera visualización consciente de un documento, e intentar adivinar el número de historias clínicas en papel que se tratan habitualmente en la planta de enfermos de cualquier hospital.

Gestión de documentación: Indica medidas básicas de seguridad para la gestión de la documentación como son el inventario e identificación documental, así como el establecimiento de procedimientos de desecho y la destrucción de documentación. En relación a la identificación de la documentación sensible, el RLOPD señala que debe ser un método de identificación fácil de reconocer para el personal con acceso autorizado, pero complicado para terceros. En este sentido, se echa de menos que el RLOPD no establezca unos parámetros más sencillos para los responsables del fichero, puesto que la catalogación clásica de documento publico, confidencial y secreto, unido a una normativa de seguridad clara y eficaz, son considerados como suficientes para la identificación de la criticidad documental. Por otro lado, la normativa establece la necesidad de implantar medidas durante el traslado de documentación.

Criterio de archivo: El archivo de documentación deberá realizarse conforme a la legislación sectorial aplicable. En caso de no haberse desarrollado normativas específicas, el responsable del fichero será quién marque los procedimientos de actuación. En todo caso este archivo debe garantizar la localización, consulta y conservación de la documentación, así como posibilitar el ejercicio de los derechos de acceso, rectificación, cancelación y oposición.

Dispositivos de almacenamiento y custodia de soportes: Los dispositivos de almacenamiento de documentos de nivel básico deben disponer de mecanismos que obstaculicen su apertura, mientras que en relación al almacenamiento de la documentación de nivel alto el RLOPD indica que estará ubicado en áreas de acceso restringido. Debemos entender estos dispositivos de almacenamiento aplicables al archivo central documental o situación habitual del documento una vez ha sido clasificado, en contraposición del tratamiento cuando la documentación está en proceso de revisión o tramitación. En ese caso, la persona que se encuentre a su cargo será la responsable de garantizar su custodia. Debemos entender que dicho deber de custodia debe ser aplicado a la documentación original y a todas sus reproducciones. El motivo está en que la ley protege la información sobre el individuo, y no el soporte oficial u oficioso en el que se ha reproducido.

Copias y reproducción: En este campo existe un requerimiento específico para documentos catalogados con un nivel alto de seguridad. Las copias sólo podrán ser realizadas y supervisadas por una persona autorizada. Por otra parte, se obliga a la destrucción de la reproducción, garantizando la imposibilidad su recuperación. En relación a la necesidad de destruir el soporte, las medidas de seguridad deberían ser idénticas para copias y originales, ya que el objetivo es la protección de los datos del individuo y no del soporte en donde residen. Este apartado parece responder más una reiteración cuantitativa de principios que a la necesidad de establecer medidas de seguridad cualitativas.

| ir a artículos | recomiende este contenido | acceso a asesoría | versión para imprimir |