José J. Ivars Director Departamento Nuevas Tecnologías Mompó abogados Protección de datos. rlopd (r.d. 1720/2007 de 21 de diciembre). Medidas de seguridad. Fin de los plazos establecidos para la adaptación El Reglamento 1720/2007 de 21 de Di- Todos los ficheros deben adoptar las me- ciembre (RLOPD), nace para desarrollar los didas de seguridad de nivel básico. (En el mandatos contenido en la Ley 15/1999 So- siguiente punto expondré las medidas que bre Protección de Datos de Carácter Perso- son de aplicación). nal y en la Directiva Europea 95/46 CE. El RLOPD abarca el ámbito regulado hasta su entrada en vigor, lo dispuesto en los Reales Decretos 1332/1994, de 20 de junio, y 994/1999, de 11 de junio. En este reglamento ya no solo se establecen medidas para los ficheros automatizados, sino que también se contemplan las medias aplicables para los ficheros no automatizados, es decir, ficheros papel u análogos. Por ello y según la normativa vigente en materia de Protección de Datos se impone a los Responsables de Ficheros y Encar- evaluar determinados aspectos de la personalidad o el comportamiento. Serán de aplicación las medidas de Nivel Alto, cuando tratemos datos relativos a: Además de estás, debemos aplicar el Ni- - Los que se refieran a ideología, afilia- vel Medio, siempre que manejemos informa- ciación sindical, religión, creencias, origen ción y datos relativos a: racial, salud o vida sexual. - Comisión de infracciones administrativas o penales. - Los que contengan o se refieran a fines policiales sin consentimiento de las perso- - Aquellos cuya finalidad sea la prestación de solvencia patrimonial y de crédito. nas afectadas - Aquellos que contengan datos relacio- “Las medidas de seguridad a aplicar van en función de la tipología de los datos” gados de Tratamiento la adopción de unas determinadas medidas de seguridad. Éstas, - Aquellos de los que sean Responsables se deberán implementar según lo dispuesto las Administraciones Tributarias y se relacio- en el Título VIII del RLOPD, que ya lo deja nen con el ejercicio de sus potestades. nados con la violencia de género. B) Medidas aplicables según la tipología latente a su comienzo: “Los Responsables - Aquellos que sean responsables las de los tratamientos o los ficheros y los En- entidades financieras para finalidades re- Existen una serie de medidas que son cargados de Tratamiento deberán implantar lacionadas con la prestación de servicios comunes, independientemente del nivel de las medidas de seguridad con arreglo a los financieros. seguridad que poseamos. Partimos que de los datos. dispuesto en este Titulo, con independencia - Aquellos que sean responsables las en- debemos poseer y elaborar un Documento de cuál sea su sistema de tratamiento” (Art. tidades gestoras y Servicios Comunes de la de Seguridad, en el cual describamos la ar- 79 RLOPD). Seguridad Social y se relaciones con el ejer- quitectura, protocolos y políticas de nuestra cicio de sus competencias. De igual modo, organización en cuanto a LOPD se refiere. A) ¿Cómo saber qué Medidas debemos aquellos de los que sean responsables las Siempre deberemos tener en cuenta que el aplicar? mutuas de accidentes de trabajo y enferme- Documento de Seguridad deberá contener dades profesionales de la Seguridad Social. unos punto mínimos que se encuentran fija- aplicadas, van en función de la tipología de - Aquellos que contengan un conjunto de dos en el propio RLOPD. Dicho documento los datos que en nuestra organización tra- datos de carácter personal que ofrezcan una no debe caer en el olvido de la estantería temos. Existen tres niveles: Básico, Medio definición de las características o de la per- para que acumule polvo, sino que por el y Alto. sonalidad de los ciudadanos y que permitan contrario debe ser un documento vivo, en el Las medidas de seguridad que deben ser | 12 | Consejo de Colegios de Mediadores de Seguros de la Comunidad Valenciana | asesoría jurídica | cual se plasmen los cambios de la organi- en las que recae dicha delegación, pero a zación, incidencias y cualesquiera otros ele- tener en cuenta es que esta delegación no mentos que afecten a los datos. Debemos supone una delegación de responsabilidad, Nivel Medio: mantenerlo actualizado, no solo por si se que siempre recaerá en el Responsable del 6- Designación Responsable de Seguri- nos solicita por la Agencia Española de Pro- Fichero. tección de Datos, sino para mantener nuestra estructura organizada, de tal forma que dad. - Medidas que garanticen la seguridad a través de las redes de comunicaciones. no solo lo utilicemos para cumplir la norma - Autorización para el tratamiento de da- sino que nos ayude a acelerar los procesos tos fuera de la organización deberá constar y trazabilidad de la información. mediante autorización. Dicho esto, entremos en las medidas de seguridad que se nos plantean: - Cuando trabajemos con ficheros temporales o copias de documentos, que se creen - Regulación contractual con el personal para la realización de trabajos temporales, ajeno que pudiera acceder a los datos de una vez terminado este deben ser destrui- carácter personal de nuestra empresa. Rea- dos o borrados. lizar mención expresa que no debe acceder a los datos que no sean necesarios para las 5- Identificación y Autentificación de Usuarios. 7- Auditoria y Verificaciones de control y cumplimiento. 8- Gestión de Soportes y Documentos: Registro de entrada y salida. 9- Identificación y Autentificación de Usuarios: Limite de intentos de acceso no autorizado. 10- Control de Acceso físico. 11- Registro de Incidencias: Autorización del Responsable de Seguridad para la eje- En cuanto a los Ficheros Automatizados las distinguimos de la siguiente forma: cución de los procedimientos de recuperación. funciones que haya sido contratado y la obli- Nivel Básico: Nivel Alto: gación de secreto incluso después del térmi- 1- Determinación de las funciones y obli- 12- Gestión y distribución de soportes: no de la relación contractual. - En el Documento de Seguridad deben gaciones del personal. 2- Registro de incidencias. aparecer las personas habilitadas para 3- Control de accesos otorgar autorizaciones así como aquellas 4- Gestión de soportes y documentos. | 13 | Mediadores de Seguros Cifrado. 13- Copias de respaldo y recuperación: Pasa a página 14 | asesoría jurídica | Viene de la página 13 copia fuera de la organización. 14- Registros de Acceso: De cada intento de acceso se guardarán, como mínimo, la identificación del usuario, la fecha y la hora en que se realizó, El fichero accedido, el tipo de acceso y si ha sido autorizado o denegado. 15- Telecomunicaciones. “No sólo basta con el estricto cumplimiento, sino que debemos concienciar al personal” automatizados. de tráfico y a los datos de localización. La implantación de las medidas de segu- c. En los demás supuestos, cuando el ridad previstas en el RLOPD deberá produ- presente reglamento exija la implantación cirse con arreglo a las siguientes reglas: de una medida adicional, no prevista en el En cuanto a las medidas para los ficheros 1. Respecto de los ficheros automatiza- Reglamento de Medidas de seguridad de NO automatizados: Además de las que ex- dos que existieran en la fecha de entrada en los ficheros automatizados de datos de ca- pondré a continuación se deben aplicar las vigor del presente Real Decreto: rácter personal, aprobado por Real Decre- anteriormente mencionadas, que puedan a. En el plazo de un año desde su entra- to 994/1999, de 11 de junio, dicha medida ser de aplicación. da en vigor, deberán implantarse las medi- deberá implantarse en el plazo de un año Nivel Básico: das de seguridad de nivel medio exigibles a desde la entrada en vigor del presente Real 1- Criterios de archivo. los siguientes ficheros: Decreto. 2- Dispositivos de almacenamiento. a1. Aquéllos de los que sean responsa- 2. Respecto de los ficheros no automati- 3- Custodia de soportes. bles las Entidades Gestoras y Servicios Co- zados que existieran en la fecha de entrada Nivel Medio: munes de la Seguridad Social y se relacio- en vigor del presente Real Decreto: 4- Responsable de Seguridad. nen con el ejercicio de sus competencias. 5- Auditoria. a2. Aquéllos de los que sean responsa- Nivel Alto: bles las mutuas de accidentes de trabajo y 6- Almacenamiento de información. enfermedades profesionales de la Seguri- 7- Copia o reproducción. dad Social. 8- Acceso a documentación. a. Las medidas de seguridad de nivel básico deberán implantarse en el plazo de un año desde su entrada en vigor. b. Las medidas de seguridad de nivel medio deberán implantarse en el plazo de die- a3. Aquéllos que contengan un conjunto ciocho meses desde su entrada en vigor. 9- Traslado de documentación de datos de carácter personal que ofrezcan c. Las medidas de seguridad de nivel El cumplimiento de estas medidas jun- una definición de las características o de la alto deberán implantarse en el plazo de dos to con las dispuestas en la propia LOPD y personalidad de los ciudadanos y que per- años desde su entrada en vigor. otras disposiciones se hace imprescindible, mitan evaluar determinados aspectos de la 3. Los ficheros, tanto automatizados no solo por el cumplimiento de la Ley, la sal- personalidad o del comportamiento de los como no automatizados, creados con pos- vaguarda de nuestro activo más importante mismos, respecto de las medidas de este terioridad a la fecha de entrada en vigor o la obligación de garantizar el Derecho fun- nivel que no fueran exigibles conforme a lo del presente Real Decreto deberán tener damental a la protección de datos, sino tam- previsto en el artículo 4.4 del Reglamento implantadas, desde el momento de su crea- bién para evitar las cuantiosas sanciones de Medidas de seguridad de los ficheros au- ción la totalidad de las medidas de seguri- que se imponen por su incumplimiento, re- tomatizados de datos de carácter personal, dad reguladas en el mismo. cordemos que pueden llegar a los 600.000€. aprobado por Real Decreto 994/1999, de 11 En este último punto podemos decir que du- de junio. Como nota informativa, comentamos el caso de una organización que a pesar de rante el año pasado las reclamaciones ante b. En el plazo de un año desde su entra- cumplir con la Ley de Protección de Datos, la Agencia Española de Protección de Datos da en vigor deberán implantarse las medi- cometió un error en el cumplimiento de los crecieron un 45%, y las sanciones se impo- das de seguridad de nivel medio y en el de protocolos de seguridad, y fue sancionada nen sin tener en cuenta el tamaño, factura- dieciocho meses desde aquella fecha, las de con 6000€ de multa por la aparición de do- ción o sector de la organización. nivel alto exigibles a los siguientes ficheros: cumentación con datos y membrete de la or- b1. Aquéllos que contengan datos deriva- ganización en la calle. Con esto se hace hin- C) Plazos establecidos para la adaptación dos de actos de violencia de género. capié en que no solo basta con el tema del El 19 de Abril finalizaron algunos de los b2. Aquéllos de los que sean responsa- estricto cumplimiento sino con la conciencia- plazos para implementar por parte de los bles los operadores que presten servicios de ción al personal que trata datos de carácter Responsable de Seguridad y Encargados comunicaciones electrónicas disponibles al personal, pues muchas de las sanciones se de Tratamiento a las medidas de seguridad público o exploten redes públicas de comu- producen por errores humanos dentro de las tanto de ficheros automatizados como no nicaciones electrónicas respecto a los datos organizaciones. | 14 | Consejo de Colegios de Mediadores de Seguros de la Comunidad Valenciana