La empresa debe velar por la seguridad de sus ficheros de datos personales

El tratamiento de ficheros automatizados de datos de carácter personal requiere unas medidas de seguridad que toda empresa debe cumplir. El Reglamento de Desarrollo de la Ley de Protección de Datos recoge todas las medidas, que en el caso de las empresas tienen tres niveles: básico, medio y alto.

Las medidas de nivel básico, que han de cumplirse obligatoriamente, son el registro de incidencias; el procedimiento de copias de seguridad y recuperación; la identificación y autenticación; el control de acceso; la gestión de soportes; el acceso a datos a través de redes de comunicaciones; el régimen de trabajo fuera de los locales de la ubicación del fichero y los ficheros temporales.

Además de este primer grupo de medidas básicas, deben implantarse unas medidas de nivel medio en los ficheros relativos a la comisión de infracciones administrativas o penales, así como en aquellos que se refieran a solvencia patrimonial o pago o impago de créditos. También tendrán medidas de seguridad de nivel medio aquellos ficheros de los que sean responsables las Administraciones Tributarias y se relacionen con el ejercicio de sus potestades; los de entidades financieras relacionados con la prestación de sus servicios; los de entidades gestoras y servicios comunes de la Seguridad Social, así como los de las mutuas de accidentes de trabajo y enfermedades profesionales.

Finalmente, requerirán un nivel de seguridad alto -lo que implica, además, haber asumido los niveles bajo y medio- los ficheros o tratamientos de datos relativos a ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual. Deberán estar protegidos de igual manera los datos recabados para fines policiales sin consentimiento de las personas afectadas y los derivados de actos de violencia de género.

El responsable del fichero es el encargado de garantizar la seguridad de los datos y de evitar su pérdida, alteración, tratamiento o acceso no autorizado, según establece el artículo 9 de la Ley 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD). Este precepto también conmina a no registrar datos de carácter personal en ficheros que no reúnan las condiciones necesarias establecidas por la Ley en cuanto a su integridad y seguridad. La Audiencia Nacional ha establecido en varias sentencias que no basta con adoptar cualquier tipo de medida, sino que “deben ser las necesarias para garantizar aquellos objetivos que marca el precepto”.

Asimismo, este tribunal indica que, además de aprobar instrucciones detalladas sobre la recogida y destrucción de datos personales, hay que exigir a los empleados “la observancia” de las mismas. El Documento de Seguridad establecerá las medidas de seguridad sobre el tratamiento informático de datos de carácter personal, mientras que los diferentes niveles se tienen que adoptar en función del tipo de datos que contengan los ficheros.

La empresa debe tener en funcionamiento un sistema de registro de incidencias en el que se haga constar el tipo de incidencia, el momento en que se ha producido, la persona que realiza la notificación de la misma y las medidas correctoras aplicadas. Si los ficheros están sujetos a medidas de nivel medio, el registro deberá constar de los procedimientos realizados para la recuperación los datos. La notificación de las incidencias y la metodología para la gestión de las mismas han de ser notificadas a todos los usuarios.