TOP

JUSTICIA IGUALA LOS NIVELES DE SEGURIDAD DE LOS DATOS INFORMÁTICOS A LOS DE PAPEL

Los datos en papel de carácter personal tendrán los mismos niveles de seguridad que los informatizados. Así, se unifican los niveles de seguridad para todos los ficheros protegidos por la normativa de protección de datos, una de las principales novedades que el Ministerio de Justicia ha introducido en el último borrador sobre esta materia, al que ha tenido acceso EXPANSION.
En el anterior documento, fechado en el mes de noviembre, el ministerio opto por establecer tan solo dos medidas generales y para ficheros con datos especialmente protegidos. 'De esta forma se consigue unificar la gestión de los datos personales dentro de la empresa ya que tanto los ficheros en papel como los automatizados tienen tres niveles de seguridad', explica el socio responsable de Nuevas Tecnologías y protección de Datos de Ecija Abogados, Carlos Saiz.
El actual borrador de la Ley Orgánica de protección de Datos, que se encuentra en tramite de audiencia a los interesados hasta el próximo 22 de mayo, también regula específicamente los plazos previstos para la adecuación de las empresas a las medidas de seguridad en ficheros automatizados y no automatizados. Las empresas que cuenten con datos en papel de nivel básico tendrán un año para adaptarse al reglamento desde que entre en vigor, mientras que en el caso de los documentos de nivel medio el plazo se amplia a 18 meses y 24 meses cuando se trate de ficheros con un nivel alto.
En el caso de los datos informatizados, los plazos se mantienen respecto al anterior borrador: un año para los datos de nivel de seguridad básico y medio y de 18 meses para los de nivel alto.

Controles
Además de clarificar los plazos y los niveles, el reglamento mantiene las mismas exigencias de medidas de seguridad para las empresas. 'Las compañías van a necesitar realizar mas controles internos, así como clarificar y documentar las competencias de cada departamento, sus jerarquías y funciones' de acuerdo a los documentos basados en protección de datos, explica Saiz. Además, en los sucesivos borradores presentados subyace la necesidad de que existan evidencias que demuestren que se ha respetado la protección de datos de carácter personal, ya que es la empresa 'quien debe demostrar que ha actuado conforme al reglamento', añade Saiz.
Las medidas de seguridad sobre documentos no informatizados son los que mas polémica han suscitado debido al coste que puede suponer para las empresas. Por ejemplo, aquellos ficheros con un nivel de seguridad alto deben almacenarse en 'armarios o archivadores y estos, a su vez, deben estar en áreas donde se controle el acceso por medio de puertas dotadas de sistema de apertura mediante llave o dispositivos equivalentes. Además, el acceso a la documentación que contiene estos documentos debe limitarse a personal autorizado.
'El reglamento va a suponer una forma de organización distinta en las empresas', explica Saiz, al tener que designar un responsable de seguridad que además de supervisar los sistemas de protección de datos debe elaborar un documento de seguridad donde se detallen todos los procesos relativos a este tema. Además, el reglamento mantiene la obligación a las empresas de realizar auditorias cada dos años.
Las seguridad para los datos en papel ha generado rechazo por su elevado coste para las compañías
El reglamento aclarara la definición de dato personal
Tanto la propia Agencia de protección de Datos (AEPD) como la jurisprudencia han albergado dudas sobre la delimitacion de dato personal protegible. El proyecto de reglamento de la Ley Orgánica de protección de Datos, actualmente en tramitación, contribuirá a despejar esas incógnitas, al otorgar mas rigor y precisión a dicho concepto. Según consta en un documento elaborado por el Grupo del articulo 29 órgano comunitario independiente y de carácter consultivo sobre la protección de datos y la intimidad cuyas funciones están definidas en las Directivas 95/46/CE y 97/66/CE el nuevo reglamento se aproxima al concepto de dato personal con una 'amplitud sobresaliente'. Artemi Rallo, director de la AEPD, señala que el reglamento ha consolidado la jurisprudencia entorno al alcance de la definición de dato personal, clarificadora la redacción del artículo 3.1 de la LOPD donde se recoge dicho concepto.
Según la norma, por dato de carácter personal se entiende 'cualquier información concerniente a personas físicas identificadas o identificables'. La jurisprudencia, tal y como afirma el director de la AEPD, ha ido más allá precisando una sentencia de la Audiencia Nacional así lo dispone que ha de tratarse de una persona 'identificable de acuerdo con esfuerzos que no resulten desproporcionados', lo que el reglamento viene a establecer en términos semejantes.
Las novedades
El nuevo reglamento establece tres niveles de seguridad para los ficheros en papel: básico, medio y alto.
Para las datos no automatizados, las empresas tendrán para adaptarse un plazo que varía según el nivel de seguridad: para los de nivel básico 12, para los de nivel medio 16 y 24 meses para los de nivel alto.
En el caso de los ficheros digitales el plazo es de 12 meses para los documentos con riesgo básico y medio y de 18 meses para los de nivel alto.
Se han especificado los requisitos formales que deben reunir las solicitudes de inicio de determinados procedimientos ante la AEPD.
El futuro reglamento obligará a realizar más controles internos a las empresas