¿Cómo debe el responsable del fichero garantizar la seguridad de los datos personales que gestiona?
El Responsable del Fichero, y en su caso, el Encargado del Tratamiento” están obligados a adoptar la medidas de índole técnica y organizativas necesarias para garantizar la seguridad de los datos de carácter personal y evitar su alteración, pérdida, tratamiento o acceso no autorizado.
La Ley 15/1999 de Protección de Datos de Carácter Personal (LOPD) proporciona un sistema de objetivos y criterios en materia de seguridad de los datos personales compatible con los principios y criterios generalmente aceptados en el mundo de la seguridad de los sistemas de información y que, aplicando de modo sistemático y complementado en lo necesario con las reglas, técnicas y procedimientos imperantes en dicho mundo, puede permitir discernir al aceptabilidad del conjunto de medidas de protección adoptadas en cada caso, hasta tanto no se plasmen dichos criterios en una regulación detallada como la prevista en los apartados 2 y 3 del Art. 9 de la Ley.
La regulación de que habla el Art. 9 de la LOPD se desarrolló en el Reglamento de la LOPD, donde se detallan las medidas de seguridad para cada caso (R.D. 1720/2007).
La combinación de los factores “datos a proteger” y “riesgo a que están expuestos”, es la que determina el daño esperable que se derivaría de una inadecuada protección, y por lo tanto el nivel de protección exigible.
La responsabilidad, en caso de vulnerarse, recae directamente sobre la entidad responsable del fichero.
Desarrollo del principio de seguridad en el RLOPD
La regulación del principio de seguridad se desarrolla en el Título VIII, Capítulos I y II del Reglamento de la LOPD.
Se establecen 3 niveles de seguridad: básico, medio y alto. Como novedades cabe destacar que el RLOPD tiene en cuenta diferentes factores para la anterior clasificación:
· Tipo y naturaleza de los datos.
· Tipo de actividad del responsable del fichero.
· Objeto social del responsable del fichero o naturaleza pública o privada del mismo.
También se implica en la seguridad las prestaciones de servicios y accesos por cuenta de terceros, responsabilizando en algunos casos al Encargado del Tratamiento.
Especial atención a la elaboración del documento de seguridad que habrá de recoger las medidas de índole técnica y organizativa acordes a la normativa de seguridad vigente y que será de obligado cumplimiento para el personal con acceso a los sistemas de información.
Otra de las novedades del RLOP es que hace referencia a datos de carácter personal, esto incluye tanto ficheros automatizados como ficheros no automatizados.
El Documento de Seguridad
El Art. 88.1 del RLOPD dispone: “El responsable del fichero o tratamiento elaborará un Documento de Seguridad que recogerá las medidas de índole técnica y organizativa acordes a la normativa de seguridad vigente que será de obligado cumplimiento para el personal con acceso a los sistemas de información”.
En el redactado del artículo cabe destacar que dice “fichero o tratamiento” sin especificar si éstos son automatizados o manuales.
El Documento de Seguridad podrá ser:
¨ Único y comprensivo para todos los ficheros o tratamientos, o
¨ Individualizado para cada fichero o tratamiento.
También se podrán elaborar distintos documentos de seguridad agrupando ficheros o tratamientos según el sistema de tratamiento o atendiendo a criterios organizativos del responsable.
En todo caso, el Documento de Seguridad, tendrá carácter de documento interno de la organización.
Deberá contener:
* Ámbito de aplicación del documento.
* Medidas, normas, procedimientos de aplicación, reglas y estándares que garanticen el nivel de seguridad.
* Funciones y obligaciones del personal.
* Estructura de los ficheros.
* Procedimiento de las incidencias.
* Procedimiento de copias de respaldo y recuperación.
* Medidas para transporte de soportes y documentos, así como su destrucción.
“La disponibilidad previene de la pérdida de datos personales.”
La auditoría de medidas de seguridad
Obligación de auditar en el RLOPD: Art. 96.
“A partir del nivel medio los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se someterán, al menos cada dos años, a una auditoría interna o externa que verifique el cumplimiento del presente título”.
En cuanto a los ficheros no automatizados, “… se someterán, al menos cada dos años a una auditoría interna o externa que verifique el cumplimiento del presente título”.
La obligación de auditar se puede analizar desde distintas perspectivas:
Þ Alcance de la Auditoría.
Þ Tipos de auditoría previstos en la norma (interna o externa).
Þ Auditoría de medidas de seguridad y auditoría informática.
· Tanto el concepto de sistema de información como recurso pueden referirse a ficheros manuales.
· Todos los ficheros creados con posterioridad a la entrada en vigor del RLOPD (20 de abril de 2008) deberán haber implantado todas las medidas de seguridad exigidas por el RLOPD.
