El tratamiento de ficheros
automatizados de datos de carácter personal requiere unas medidas de seguridad
que toda empresa debe cumplir. El Reglamento de Desarrollo de la Ley de Protección de Datos recoge todas
las medidas, que en el caso de las empresas tienen tres niveles: básico, medio
y alto.
Las medidas de nivel básico, que
han de cumplirse obligatoriamente, son el registro de incidencias; el
procedimiento de copias de seguridad y recuperación; la identificación y
autenticación; el control de acceso; la gestión de soportes; el acceso a datos
a través de redes de comunicaciones; el régimen de trabajo fuera de los locales
de la ubicación del fichero y los ficheros temporales.
Además de este primer grupo de
medidas básicas, deben implantarse unas medidas de nivel medio en los ficheros
relativos a la comisión de infracciones administrativas o penales, así como en
aquellos que se refieran a solvencia patrimonial o pago o impago de créditos.
También tendrán medidas de seguridad de nivel medio aquellos ficheros de los
que sean responsables las Administraciones Tributarias y se relacionen con el
ejercicio de sus potestades; los de entidades financieras relacionados con la
prestación de sus servicios; los de entidades gestoras y servicios comunes de
la Seguridad Social, así como los de las mutuas de accidentes de trabajo y
enfermedades profesionales.
Finalmente, requerirán un nivel
de seguridad alto -lo que implica, además, haber asumido los niveles bajo y
medio- los ficheros o tratamientos de datos relativos a ideología, afiliación
sindical, religión, creencias, origen racial, salud o vida sexual. Deberán
estar protegidos de igual manera los datos recabados para fines policiales sin
consentimiento de las personas afectadas y los derivados de actos de violencia
de género.
El responsable del fichero es el
encargado de garantizar la seguridad de los datos y de evitar su pérdida,
alteración, tratamiento o acceso no autorizado, según establece el artículo 9
de la Ley 15/1999, de 13 de diciembre, de Protección de Datos de Carácter
Personal (LOPD). Este precepto también conmina a no registrar datos de carácter
personal en ficheros que no reúnan las condiciones necesarias establecidas por
la Ley en cuanto a su integridad y seguridad. La Audiencia Nacional ha
establecido en varias sentencias que no basta con adoptar cualquier tipo de
medida, sino que “deben ser las necesarias para garantizar aquellos objetivos
que marca el precepto”.
Asimismo, este tribunal indica
que, además de aprobar instrucciones detalladas sobre la recogida y destrucción
de datos personales, hay que exigir a los empleados “la observancia” de las
mismas. El Documento
de Seguridad establecerá las medidas de seguridad sobre el tratamiento
informático de datos de carácter personal, mientras que los diferentes niveles
se tienen que adoptar en función del tipo de datos que contengan los ficheros.
La empresa debe tener en
funcionamiento un sistema de registro de incidencias en el que se haga constar
el tipo de incidencia, el momento en que se ha producido, la persona que
realiza la notificación de la misma y las medidas correctoras aplicadas. Si los
ficheros están sujetos a medidas de nivel medio, el registro deberá constar de
los procedimientos realizados para la recuperación los datos. La notificación
de las incidencias y la metodología para la gestión de las mismas han de ser
notificadas a todos los usuarios.
No hay comentarios:
Publicar un comentario