Medidas de Seguridad para ficheros no informatizados L a protección de datos de carácter personal es un derecho fundamental que garantiza la Constitución Española de 1978, regulada en España por la vigente Ley Orgánica 15/1999, de 13 de diciembre. En desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, se aprobó el Reglamento de Medidas de Seguridad de los Ficheros Automatizados que contengan Datos de Carácter Personal (Real Decreto 994/1999, de 11 de junio), que como su nombre indica, contenía las medidas de seguridad que deben de adoptar los responsables de los ficheros respecto a los ficheros informatizados. Sin embargo, este Reglamento de Medidas de Seguridad no era de aplicación a los ficheros no informatizados. El Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, aprobado por real Decreto 1720/2007, de 21 de diciembre sí introduce una serie de medidas de seguridad para los ficheros no informatizados. Javier Sempere Samaniego Coordinador de Proyectos Agencia de Protección de Datos de la Comunidad de Madrid Al igual que el Real Decreto 994/1999, de 11 de junio, el Reglamento de desarrollo de la LOPD establece tres tipos de niveles de seguridad, niveles que son de aplicación tanto a los ficheros informatizados como a los ficheros no informatizados. Estos niveles son básico, medio y alto, en función del tipo de datos que almacenen. noviembre 2009 138 Todos los ficheros deberán adoptar las medidas de seguridad de nivel básico. Respecto a las medidas de seguridad de nivel medio deberán implantarse, además de las de nivel básico, en los ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales; aquellos cuyo funcionamiento se rija por el artículo 29 de la Ley Orgánica 15/1999, de 13 de diciembre; los que sean responsables Administraciones Tributarias y se relacionen con el ejercicio de sus potestades tributarias; los que sean responsables las entidades financieras para finalidades relacionadas con la prestación de servicios financieros; aquellos de los que sean responsables las Entidades Gestoras y Servicios Comunes de la Seguridad Social y se relacionen con el ejercicio de sus competencias en materia de recaudación; y por último, los que contengan un conjunto de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos. En lo referente a las medidas de seguridad de nivel alto, se aplicarán, además de las medidas de nivel básico y medio, a todos aquellos ficheros que contengan datos de ideología, afiliación sindical, religión, creencias, origen racial, protección de datos salud o vida sexual; los que contengan o se refieran a datos recabados para fines policiales sin consentimiento de las personas afectadas; aquellos que almacenen datos derivados de violencia de género; y aquellos de los que sean responsables los operadores que presten servicios de comunicaciones electrónicas disponibles al público o exploten redes públicas de comunicaciones electrónicas respecto a los datos de tráfico y a los datos de localización. A continuación, el Reglamento a diferencia del anterior Real Decreto 994/1999, de 11 de junio, establece una serie de excepciones para determinados datos que deberían estar almacenados en ficheros con nivel de seguridad alto, de forma normas y d-tic que “dulcifica” las medidas de seguridad en función de la finalidad que se le dé a este tipo de datos. Así, los ficheros con datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual, que como hemos visto anteriormente deberían de tener medidas de seguridad de nivel alto, si este tipo de datos se utiliza con la única finalidad de realizar una transferencia dineraria a las entidades de las que los afectados sean asociados o miembros, las medidas de seguridad podrán ser de nivel básico. Otra excepción, nos la encontramos en los ficheros que contengan datos relativos a la salud que se refieran exclusivamente al grado de discapacidad o la simple condición de discapacidad o invalidez del afectado, con motivo de deberes públicos, podrán ser igualmente de nivel básico. Las medidas de seguridad para los ficheros no automatizados están reguladas en los artículos 103 a 112 del Reglamento. Lo primero que hace el Reglamento es determinar que las medidas de seguridad “genéricas” de los ficheros automatizados son de aplicación a los ficheros no automatizados. Estas medidas son: el documento de seguridad; las obligaciones respecto al encargado del tratamiento –cuyo acceso deberá estar delimitado en el documento de seguridad, y si accede fuera de los locales donde esté el fichero deberá tener su 139 noviembre 2009 Las medidas de seguridad para los ficheros no automatizados están reguladas en los artículos 103 a 112 del Reglamento propio documento de seguridad -las prestaciones de servicios sin acceso a datos personales- que supondrá que en los pliegos de contratación administrativa de contratos de servicios o consultoría y asistencia aparezca expresamente la prohibición de acceso a datos, y sólo en el caso de que este acceso sea necesario, se especifique la obligación de secreto respecto al acceso a los citados datos-; la delegación de autorizaciones –cuando el responsable del fichero o encargado del tratamiento normas y d-tic deleguen funciones en una persona se hará constar quien autoriza y en quien se delega-; el régimen de trabajo fuera de los locales del responsable del fichero o encargado del tratamiento –debiendo ser autorizado este supuesto por el responsable o encargado, constando dicha autorización en el documento de seguridad-; y la copia de trabajo de documentos –que cuando deje de ser necesario para la finalidad para la cual fue creada, deberá destruirse la copia correspondiente-. protección de datos Cada dos años, los ficheros no automatizados con medidas de seguridad medias deberán someterse a una auditoría Una vez analizadas este tipo de medidas de seguridad “genéricas”, partiendo de los tres niveles de seguridad descritos en el párrafo anterior, se enumeran las medidas de seguridad que deben ser adoptadas por el responsable del fichero en los ficheros no automatizadas en función del nivel de seguridad. Así, los ficheros no automatizados de nivel básico, deberán contar con un registro de incidencias; el control de acceso; las funciones y obligaciones del personal –las personas que pueden acceder a las documentación (registro de usuarios) y sus correspondientes obligaciones-; y la gestión de soportes –sobretodo lo referente al traslado de documentación y a la destrucción de documentación-. Sin perjuicio de la adopción de estas medidas de seguridad, el Reglamento contiene, además, tres criterios específicos para los ficheros no automatizados, y que son los siguientes: los criterios refe- rentes al archivo –con una referencia a la legislación aplicable en esta materia, que será la relativa a la normativa que regula los Archivos-; los referentes a los dispositivos de almacenamiento –que deberán disponer de mecanismos que obstaculicen su apertura-; y los referentes a la custodia de soportes –en virtud de los cuales, la persona encargada de la custodia, mientras la documentación en formato papel esté en proceso de revisión o tramitación, deberá custodiarla e impedir que cualquier persona no autorizada pueda acceder-. Por otra parte, cuando se trate de ficheros no automatizados con nivel de seguridad medio, se deberá nombrar un responsable de seguridad, cuyo nombre y apellidos aparecerán en el documento de seguridad. Asimismo, cada dos años, los ficheros no automatizados con medidas de seguridad medias deberán someterse noviembre 2009 140 a una auditoría. Respecto a estas auditorías, tanto en los ficheros automatizados como no automatizados, sería conveniente, ya que estas auditorías pueden estar a disposición de las Autoridades de Control, que se estableciese un procedimiento uniforme a la hora de elaborar las mismas. En este sentido la Agencia de Protección de Datos de la Comunidad de Madrid ha elaborado un Protocolo de Auditoría respecto a los responsables de ficheros que son controlados por la misma, con la finalidad de que los informes finales de las auditorías se elaboren siguiendo todos el mismo “iter” procedimental. Por último, el responsable de un fichero no automatizado con nivel de seguridad alto, deberá adoptar las siguientes medidas específicas: el denominado “Almacenamiento de la información” –que supone que los archivos o armarios donde se guarde la documentación en papel deberán contar con un sistema de apertura mediante llave o dispositivo equivalente-; la copia o reproducción –que únicamente podrá ser realizada bajo el control del personal autorizado en el documento de seguridad, debiendo destruir las copias o reproducciones desechadas para evitar el acceso a las mismas-; el acceso a la documentación –que se limitará exclusivamente al personal autorizado; y el traslado de la documentación –que tiene que realizarse adoptando las medidas necesarias para impedir el acceso o manipulación de la documentación objeto del traslado-.