Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

Medidas de Seguridad para ficheros no informatizados

Anuncio 
Medidas de Seguridad para
ficheros no informatizados
L
a protección de datos de carácter
personal es un derecho fundamental que garantiza la Constitución Española de 1978, regulada
en España por la vigente Ley
Orgánica 15/1999, de 13 de diciembre. En
desarrollo de la Ley Orgánica 15/1999, de
13 de diciembre, se aprobó el Reglamento
de Medidas de Seguridad de los Ficheros
Automatizados que contengan Datos de
Carácter Personal (Real Decreto 994/1999,
de 11 de junio), que como su nombre indica, contenía las medidas de seguridad que
deben de adoptar los responsables de los
ficheros respecto a los ficheros informatizados. Sin embargo, este Reglamento de
Medidas de Seguridad no era de aplicación
a los ficheros no informatizados.
El Reglamento de desarrollo de la Ley
Orgánica 15/1999, de 13 de diciembre,
aprobado por real Decreto 1720/2007, de
21 de diciembre sí introduce una serie de
medidas de seguridad para los ficheros
no informatizados.
Javier
Sempere Samaniego
Coordinador de Proyectos
Agencia de Protección de
Datos de la Comunidad
de Madrid
Al igual que el Real Decreto 994/1999,
de 11 de junio, el Reglamento de desarrollo de la LOPD establece tres tipos de niveles de seguridad, niveles que son de aplicación tanto a los ficheros informatizados
como a los ficheros no informatizados.
Estos niveles son básico, medio y alto, en
función del tipo de datos que almacenen.
noviembre 2009 138
Todos los ficheros deberán adoptar las
medidas de seguridad de nivel básico.
Respecto a las medidas de seguridad de
nivel medio deberán implantarse, además
de las de nivel básico, en los ficheros que
contengan datos relativos a la comisión de
infracciones administrativas o penales;
aquellos cuyo funcionamiento se rija por el
artículo 29 de la Ley Orgánica 15/1999, de
13 de diciembre; los que sean responsables Administraciones Tributarias y se relacionen con el ejercicio de sus potestades
tributarias; los que sean responsables las
entidades financieras para finalidades
relacionadas con la prestación de servicios financieros; aquellos de los que sean
responsables las Entidades Gestoras y
Servicios Comunes de la Seguridad Social
y se relacionen con el ejercicio de sus
competencias en materia de recaudación;
y por último, los que contengan un conjunto de datos de carácter personal que
ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados
aspectos de la personalidad o del comportamiento de los mismos.
En lo referente a las medidas de
seguridad de nivel alto, se aplicarán,
además de las medidas de nivel básico y
medio, a todos aquellos ficheros que
contengan datos de ideología, afiliación
sindical, religión, creencias, origen racial,
protección de datos
salud o vida sexual; los que contengan o
se refieran a datos recabados para fines
policiales sin consentimiento de las personas afectadas; aquellos que almacenen datos derivados de violencia de
género; y aquellos de los que sean responsables los operadores que presten
servicios de comunicaciones electrónicas disponibles al público o exploten
redes públicas de comunicaciones electrónicas respecto a los datos de tráfico y
a los datos de localización.
A continuación, el Reglamento a diferencia del anterior Real Decreto 994/1999,
de 11 de junio, establece una serie de
excepciones para determinados datos
que deberían estar almacenados en ficheros con nivel de seguridad alto, de forma
normas y d-tic
que “dulcifica” las medidas de seguridad
en función de la finalidad que se le dé a
este tipo de datos. Así, los ficheros con
datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida
sexual, que como hemos visto anteriormente deberían de tener medidas de
seguridad de nivel alto, si este tipo de
datos se utiliza con la única finalidad de
realizar una transferencia dineraria a las
entidades de las que los afectados sean
asociados o miembros, las medidas de
seguridad podrán ser de nivel básico. Otra
excepción, nos la encontramos en los
ficheros que contengan datos relativos a
la salud que se refieran exclusivamente al
grado de discapacidad o la simple condición de discapacidad o invalidez del afectado, con motivo de deberes públicos,
podrán ser igualmente de nivel básico.
Las medidas de seguridad para los
ficheros no automatizados están reguladas
en los artículos 103 a 112 del Reglamento.
Lo primero que hace el Reglamento es
determinar que las medidas de seguridad
“genéricas” de los ficheros automatizados
son de aplicación a los ficheros no automatizados. Estas medidas son: el documento
de seguridad; las obligaciones respecto al
encargado del tratamiento –cuyo acceso
deberá estar delimitado en el documento
de seguridad, y si accede fuera de los locales donde esté el fichero deberá tener su
139 noviembre 2009
Las medidas de
seguridad para los
ficheros no
automatizados están
reguladas en los
artículos 103 a 112
del Reglamento
propio documento de seguridad -las prestaciones de servicios sin acceso a datos
personales- que supondrá que en los pliegos de contratación administrativa de contratos de servicios o consultoría y asistencia aparezca expresamente la prohibición
de acceso a datos, y sólo en el caso de
que este acceso sea necesario, se especifique la obligación de secreto respecto al
acceso a los citados datos-; la delegación
de autorizaciones –cuando el responsable
del fichero o encargado del tratamiento
normas y d-tic
deleguen funciones en una persona se
hará constar quien autoriza y en quien se
delega-; el régimen de trabajo fuera de los
locales del responsable del fichero o encargado del tratamiento –debiendo ser autorizado este supuesto por el responsable o
encargado, constando dicha autorización
en el documento de seguridad-; y la copia
de trabajo de documentos –que cuando
deje de ser necesario para la finalidad para
la cual fue creada, deberá destruirse la
copia correspondiente-.
protección de datos
Cada dos años, los
ficheros no
automatizados con
medidas de seguridad
medias deberán
someterse a una
auditoría
Una vez analizadas este tipo de medidas de seguridad “genéricas”, partiendo
de los tres niveles de seguridad descritos
en el párrafo anterior, se enumeran las
medidas de seguridad que deben ser
adoptadas por el responsable del fichero
en los ficheros no automatizadas en función del nivel de seguridad.
Así, los ficheros no automatizados de
nivel básico, deberán contar con un registro de incidencias; el control de acceso;
las funciones y obligaciones del personal
–las personas que pueden acceder a las
documentación (registro de usuarios) y
sus correspondientes obligaciones-; y la
gestión de soportes –sobretodo lo referente al traslado de documentación y a la
destrucción de documentación-.
Sin perjuicio de la adopción de estas
medidas de seguridad, el Reglamento
contiene, además, tres criterios específicos para los ficheros no automatizados, y
que son los siguientes: los criterios refe-
rentes al archivo –con una referencia a la
legislación aplicable en esta materia, que
será la relativa a la normativa que regula
los Archivos-; los referentes a los dispositivos de almacenamiento –que deberán
disponer de mecanismos que obstaculicen su apertura-; y los referentes a la
custodia de soportes –en virtud de los
cuales, la persona encargada de la custodia, mientras la documentación en formato papel esté en proceso de revisión o
tramitación, deberá custodiarla e impedir
que cualquier persona no autorizada
pueda acceder-.
Por otra parte, cuando se trate de
ficheros no automatizados con nivel de
seguridad medio, se deberá nombrar un
responsable de seguridad, cuyo nombre y
apellidos aparecerán en el documento de
seguridad. Asimismo, cada dos años, los
ficheros no automatizados con medidas
de seguridad medias deberán someterse
noviembre 2009 140
a una auditoría. Respecto a estas auditorías, tanto en los ficheros automatizados
como no automatizados, sería conveniente, ya que estas auditorías pueden estar a
disposición de las Autoridades de Control,
que se estableciese un procedimiento uniforme a la hora de elaborar las mismas. En
este sentido la Agencia de Protección de
Datos de la Comunidad de Madrid ha elaborado un Protocolo de Auditoría respecto a los responsables de ficheros que son
controlados por la misma, con la finalidad
de que los informes finales de las auditorías se elaboren siguiendo todos el mismo
“iter” procedimental.
Por último, el responsable de un
fichero no automatizado con nivel de
seguridad alto, deberá adoptar las
siguientes medidas específicas: el denominado “Almacenamiento de la información” –que supone que los archivos o
armarios donde se guarde la documentación en papel deberán contar con un
sistema de apertura mediante llave o
dispositivo equivalente-; la copia o
reproducción –que únicamente podrá
ser realizada bajo el control del personal
autorizado en el documento de seguridad, debiendo destruir las copias o
reproducciones desechadas para evitar
el acceso a las mismas-; el acceso a la
documentación –que se limitará exclusivamente al personal autorizado; y el
traslado de la documentación –que tiene
que realizarse adoptando las medidas
necesarias para impedir el acceso o
manipulación de la documentación objeto del traslado-.
Documentos relacionados
EXAMEN FINAL DERECHO INFORMÁTICO
EXAMEN FINAL DERECHO INFORMÁTICO
pautas a seguir por el alumno para la entrega de trabajos fin de
pautas a seguir por el alumno para la entrega de trabajos fin de
Modelo de Carta de ejercicio del Derecho de Acceso
Modelo de Carta de ejercicio del Derecho de Acceso
LAMINA
LAMINA
A través de este aviso legal , se pretende regular el acceso y uso en
A través de este aviso legal , se pretende regular el acceso y uso en
Boletín inscripción Marcha Senderista Ibón de Plan
Boletín inscripción Marcha Senderista Ibón de Plan
La cancelación de datos personales en ficheros ... pública en el proyecto de LORTAD en España
La cancelación de datos personales en ficheros ... pública en el proyecto de LORTAD en España
Descargar
Anuncio
Anuncio