Estamos en: 

1. Artículos y Textos Legales >
2. Artículos >
3. El Proyecto de Reglamento único de la Ley de Protección de Datos

"En la crisis de nuestra época que nos suministra un cúmulo de datos científicos pero nos empuja al subjetivismo en las auténticas cuestiones referidas al ser humano, necesitamos de nuevo buscar la verdad y también el valor para admitirla."

(Dios y el mundo. Creer y vivir en nuestra epoca. Joseph Ratzinger)

SUMARIO:
1. Introducción.
2. Técnica de desarrollo reglamentario: en un solo reglamento que abarque todo el desarrollo o en varios específicos por cada materia.
3. Algunas consecuencias que para la economía española ha tenido el retraso en la legislación sobre medidas de seguridad.
4. Posible oposición a la Ley Orgánica de Protección de Datos en la aplicación de las medidas de seguridad del Reglamento subsistente a los ficheros automatizados.
5. ¿Deben aplicarse criterios similares de medidas de seguridad para ficheros automatizados y no automatizados o se debe partir de filosofías distintas?.
6. Cambios en el desarrollo reglamentario que no afectan a las medidas de seguridad.
6.1. Ámbito de aplicación.
6.2. Definiciones.
6.3. Principios.
6.4. Otros principios.
6.5. La subcontratación en la prestación de servicios.
6.6. Derechos de los afectados.
6.7. Transferencia Internacional de datos.
7. Modificaciones que se pretenden realizar en las medidas de seguridad vigentes.
7.1. Medidas de seguridad de nivel básico.
7.2. Medidas de seguridad de nivel medio.
7.3 Medidas de seguridad de nivel alto.
8. Conclusiones.
9. Notas.

1. Introducción

Hace cinco años y nueve meses que entró en vigor la Ley Orgánica 15/1999, de 13 de diciembre, de protección de los datos de carácter personal (a partir de ahora LOPD) y a la fecha seguimos sin que vea la luz el desarrollo reglamentario de la Ley.

Este desarrollo excede de las potestades que tiene la Agencia Española de Protección de Datos, siendo responsable de esta tardanza el Gobierno de turno a través del Ministerio de Justicia correspondiente que es quien debe afrontar esta tarea.

Como podemos ver esa falta de interés por desarrollar reglamentariamente la Ley no tiene signo político y da igual quien gobierne para hacer patente la poca importancia que se concede en España a este derecho fundamental de los ciudadanos que es la protección de sus datos de carácter personal. No es la primera vez que esto ocurre pues ya sucedió en el pasado cuando se tardó más de seis años y cinco meses en desarrollar el artículo 9 de la LORTAD referido a las medidas de seguridad, tan importante y necesario para la correcta aplicación de la Ley.

Indudablemente la protección de los datos de carácter personal no ha sido un tema prioritario para los sucesivos gobiernos que lo han sido en nuestro país.

Por ello es de agradecer el impulso que en estos momentos está dando la Agencia Española de Protección de Datos para que se efectúe el correspondiente desarrollo reglamentario, prueba de lo cual ha sido el magnífico Seminario desarrollado el pasado mes de junio en el excelente marco del Palacio de la Magdalena de Santander dentro de los Seminarios y Conferencias organizadas por la Universidad Internacional Menéndez Pelayo.

Fuimos testigo del éxito conseguido con la celebración de este Seminario cuyo objeto era debatir sobre un borrador del reglamento único de desarrollo de la Ley de protección de datos. El número de personas matriculadas así como el elevado nivel medio de los asistentes y el interés por los temas debatidos ponen de relieve lo acertado de su celebración por lo que felicitamos muy sinceramente a los organizadores del evento.

Las líneas que vienen a continuación y las que puedan venir en algún otro artículo que escribamos en el futuro pretenden realizar un análisis crítico sobre lo allí expuesto y, en cierto modo, abrir un debate sobre tantas cuestiones pendientes que desgraciadamente no es posible arreglar por vía reglamentaria pues precisan el refrendo de una norma orgánica. No podemos olvidar aquellas ya célebres palabras del político español Conde de Romanones que decía: “¡Que ellos hagan las leyes y me dejen a mí hacer los reglamentos¡”. Puede suceder que de buena fe, sin la intencionalidad política que abrigaba aquel personaje público, con ganas de deshacer algunos entuertos que, existir existen, en la LOPD, nos saltemos las reglas del juego y por vía reglamentaria tratemos de reformar dicha Ley. Seguir este sistema no es deseable pues no sería válido lo realizado.

Para realizar el análisis crítico del nuevo Reglamento de Protección de Datos vamos a usar como fuentes tan sólo las directivas, leyes y reglamentos publicados, boletines oficiales de las Cortes Generales, el borrador de medidas de seguridad que se nos facilitó en el Seminario de Santander y lo que se dijo en el curso del mismo tanto por los ponentes como por los intervinientes en los distintos y, en algunos casos, apasionados coloquios, no utilizando cualquier otro tipo de información a la que los asistentes al Seminario no tuvieron acceso.

sumario

2. Técnica de desarrollo reglamentario: en un solo reglamento que abarque todo el desarrollo o en varios específicos por cada materia

La primera Ley de protección de datos de carácter personal española, la ya fenecida LORTAD fue desarrollada por materias a través del tiempo, demasiado tiempo.

Recordamos que la Ley Orgánica 5/1992, de 29 de octubre (BOE nº 262 de 31 de octubre) entró en vigor a los tres meses de su publicación. Poco después se aprobó por Real Decreto 428/1993 de 26 de marzo (BOE nº 106 de 4 de mayo) el Estatuto de la Agencia de Protección de Datos, órgano de control establecido en la Ley y necesario para la vigilancia de su cumplimiento así como para la extensión de su conocimiento a través de todo el territorio nacional. Esta parte de desarrollo reglamentario como fácilmente se puede comprobar se hizo un mes y veinticuatro días después de la entrada en vigor de la Ley y se publicó en el BOE, tres meses y tres días después.

Quedaban pues por desarrollar diversos artículos referidos a materias que los legisladores habían remitido a la vía reglamentaria y entre ellas el importantísimo artículo 9 referido a las medidas de seguridad que se debían aplicar a los ficheros y sin las que difícilmente podía aplicarse correctamente la ley.

Debieron pasar un año, cuatro meses y diecinueve días para que se aprobase el RD 1332/1994, de 20 de junio por el que se desarrollan determinados aspectos de la LORTAD (BOE nº 147 de 21 de junio de 1994) que entraba en vigor el día 22 y que según su Disposición adicional primera daba de plazo hasta el 31 de julio para notificar a la Agencia de Protección de Datos los ficheros preexistentes.

Después del tiempo transcurrido desde la entrada en vigor de la Ley había que hacerlo todo de prisa y corriendo y en fechas tan inadecuadas como es en pleno verano y en España.

En cualquier caso faltaba por desarrollar uno de los artículos más conflictivos de la Ley: el artículo 9 referido a las medidas de seguridad, importantísimo pues difícilmente se podía exigir el cumplimiento de la Ley si se desconocía qué medidas de seguridad concretas había que aplicar a los ficheros.

Queremos dejar constancia de que la LORTAD se aplicaba solo a ficheros automatizados, aunque la Disposición final segunda autorizaba al Gobierno para que, previo informe del Director de la Agencia de Protección de Datos se pudiese extender la aplicación de la LORTAD, con las modificaciones y adaptaciones que fuesen necesarias, a los ficheros que contengan datos almacenados en forma convencional y que no hayan sido sometidos todavía o no estén destinados a ser sometidos a tratamiento automatizado. Durante la vigencia de la LORTAD el Gobierno de turno no hizo uso de tal autorización.

Por fin seis años, cuatro meses y diez días después de la entrada en vigor de la LORTAD por medio del RD 994/1999, de 11 de junio, se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal (a partir de ahora RMS) por el que se desarrolla el artículo 9 de la Ley.

Como vemos el sistema seguido fue desarrollar la LORTAD en tres reglamentos que abarcaron los tres grandes grupos de materias que el legislador había remitido a la vía reglamentaria.

Promulgada la nueva Ley de Protección de Datos de Carácter Personal, Ley Orgánica 15/1999, de 13 de diciembre (BOE nº 298 de 14 de diciembre) como se puede ver tan sólo seis meses después de la aprobación del último reglamento que desarrollaba la LORTAD, el de medidas de seguridad, según la Disposición transitoria tercera de la nueva Ley quedan subsistentes en lo que no se opongan a la misma y hasta tanto el Gobierno apruebe otras o modifique éstas, las disposiciones reglamentarias necesarias para la aplicación y desarrollo de la presente Ley.

Cinco años y diez meses después, aún nos encontramos pendientes del necesario desarrollo de la LOPD aplicando, entendemos que en algunos casos temerariamente, esos subsistentes reglamentos.

Parece que ya es el momento de que vea la luz el Reglamento que desarrolle la Ley.

Según se dice no van a ser esta vez tres, sino tan sólo un reglamento que abarque en sí mismo todas las materias pendientes de desarrollo reglamentario.

A bote pronto, desde un punto de vista jurídico, parece más razonable que el desarrollo de una ley se encuentre en un solo texto, pero dadas las características de ésta, la necesidad de que el o los reglamentos resultantes sean manejados por personas ajenas al mundo del derecho, no parece el sistema más adecuado; el que se desarrolle en un solo texto entendemos que podría ser un error.

Se nos puede decir que esto mismo sucede con otras normas jurídicas que deben ser “comprendidas” por técnicos ajenos al mundo del derecho, pero la experiencia acumulada en estos años nos dice que la separación de las medidas de seguridad del resto de la norma reglamentaria es aconsejable.

El Reglamento comprendería: Estatuto de la Agencia Española de Protección de Datos, los diferentes procedimientos desarrollados y por último las medidas de seguridad que se deben aplicar tanto a los ficheros o tratamientos automatizados como a los ficheros o tratamientos convencionales.

El interés que los diferentes colectivos tengan por cada una de las partes anteriores es muy diferente: el Estatuto de la Agencia Española de Protección de Datos interesará principalmente a la propia Agencia.

Hasta el momento presente en la mayoría de los casos los proyectos sobre protección de datos de carácter personal eran promovidos por los Departamentos tecnológicos y su ejecución recaía en ellos o aún siendo promovidos por otros Departamentos su ejecución al final recaía en ellos basándose en que se trataba de ficheros automatizados. En algunos casos se contaba con la ayuda de las asesorías jurídicas respectivas pero en otros casos no era así y ha sido el técnico informático el que ha venido afrontando el problema.

Separar las medidas de seguridad del resto del articulado de desarrollo ha ayudado a que poco a poco estas medidas se vayan implantando.

Como vemos, si lo metemos todo en el mismo saco vamos a complicar la vida a personas que no teniendo una suficiente preparación jurídica van a tener que buscar en un grueso volumen para tratar de encontrar las medidas de seguridad adecuadas y poder cumplir con la legalidad.

Entendemos que tres Reglamentos serían lo mejor pero como mal menor dos: uno referido al Estatuto de la Agencia Española de Protección de Datos y otro relativo al resto.

Ya en la LOPD se ha empezado mal, pues estando como están los plazos a los que hay que ajustarse para hacer efectivos los derechos fijados en el Reglamento aprobado por RD 1332/1994, al tratar de modificar uno de ellos no se ha seguido el mismo sistema y así en el artículo 16 de la LOPD se modifica el plazo para hacer efectivo el derecho de rectificación o cancelación. Dado que no se podía hacer la modificación en el Reglamento bien se podía haber hecho por medio de una Disposición transitoria hasta tanto se aprobase el nuevo reglamento.

Estas pequeñas “distracciones” legislativas producen después más problemas en la realidad de los que puedan pensar los legisladores.

sumario

3. Algunas consecuencias que para la economía española ha tenido el retraso en la legislación sobre medidas de seguridad

La seguridad en general y la seguridad informática en particular ha sido desde siempre una asignatura pendiente de los ejecutivos de las empresas privadas y gestores de la administración pública española. Era una de las primeras partidas a eliminar de los presupuestos en tiempos de crisis.

Quizás ello ha sido debido a que en España, a diferencia de otros países europeos, no se empezó a legislar sobre protección de datos de carácter personal hasta la década de los noventa del pasado siglo en tanto que hubo países europeos que habían empezado a legislar sobre esta materia, incluyendo las correspondientes medidas de seguridad, veinte años antes.

De las diferentes características que conforman la seguridad en su conjunto, la seguridad física ha sido siempre la más admitida quizás porque siempre es más visible, no tanto la seguridad lógica, que en cierto modo invisible, ha sido siempre menos percibida.

La seguridad técnico-organizativa, barata en su aplicación pero que exige una buena organización de las empresas y entidades tanto públicas como privadas tampoco ha tenido una buena acogida.

Respecto a la seguridad jurídica ya hemos apuntado que el primer Reglamento sobre medidas de seguridad de los ficheros automatizados se publicó mediado el año 1999 no existiendo, salvo en lo que se refiere a la seguridad física, otras normas que regulasen la aplicación de las correspondientes medidas de seguridad.

No hacemos aquí mención alguna a la seguridad psicológica que consideramos tan importante, a la que nos hemos referido en algunos trabajos anteriores, dada la novedad de la misma.

La tardanza en la regulación de la aplicación de las medidas de seguridad ha tenido gran incidencia en la economía de este sector pues ha ralentizado la fabricación del hardware necesario para proteger la información al no existir mercado para ello así como el desarrollo del correspondiente software, algo que sí se ha hecho en los países de nuestro entorno socioeconómico.

Ha impedido que aparezcan profesiones de gran proyección en el futuro como la de responsable de la seguridad en las organizaciones.

Hoy tímidamente y, en cierto modo, obligadas por el RMS, hay empresas que empiezan a contar con esa importante figura que incorporada en los Servicios Informáticos poco a poco debe ir alcanzando la debida independencia.

Algunas organizaciones, pocas es cierto, han comprendido que con un pequeño esfuerzo adicional, las medidas de seguridad que, por Ley se deben aplicar a los datos de carácter personal, pueden extenderse a toda la información de la organización, dándose el caso de que algunas veces la información a la que no se aplican esas medidas de seguridad tiene más importancia y valor para ésta. Aquí la figura del responsable de seguridad adquiere un especial relieve.

sumario

4. Posible oposición a la Ley Orgánica de Protección de Datos en la aplicación de las medidas de seguridad del Reglamento subsistente a los ficheros automatizados

La Disposición Transitoria Tercera de la LOPD relativa a la subsistencia de normas preexistentes posibilita ésta hasta tanto el Gobierno apruebe otras o modifique las existentes siempre y cuando no se opongan a lo que se dice en la Ley.

Se habla de normas reglamentarias existentes por lo que los tres Reglamentos a los que nos hemos referido en anteriores puntos entran dentro de esta categoría. Ahora bien debemos ser excesivamente escrupulosos en su aplicación pues en ningún caso deben estar en oposición a lo que se dice en la LOPD.

El RMS estaba referido, como la propia LORTAD cuyo artículo 9 desarrollaba, tan sólo a los ficheros automatizados no previendo las medidas de seguridad otra clase de ficheros como son los no automatizados o convencionales.

La LOPD en sus artículos 1 (objeto) y 2 (ámbito de aplicación) ya no se refiere tan sólo a ficheros automatizados sino que amplía ambos conceptos a todo tipo de datos de carácter personal registrados en soporte físico.

Por tanto, según este criterio, a la hora de aplicar las medidas de seguridad reguladas en el RMS subsistente nos encontramos ante la siguiente disyuntiva:

• Aplicar el RMS sólo a los ficheros automatizados y no aplicarlo al resto de los ficheros no automatizados comprendidos dentro del ámbito de aplicación de la Ley.
• Aplicar el RMS tanto a los ficheros automatizados como a los no automatizados comprendidos en el ámbito de aplicación de la Ley.

En el primer caso entendemos que existe una quiebra del principio de igualdad ante la ley pues tratándose de dos responsables de ficheros entre los que la LOPD no hace ninguna distinción por el hecho de que los ficheros de uno estén automatizados se le obliga a cumplir una serie de medidas de seguridad que el otro responsable, debido a que sus ficheros no están automatizados no debe cumplir ninguna. Insistimos en que la LOPD, a diferencia de la LORTAD, no hace distinción entre uno y otro por lo que ambos deberían ser tratados de igual forma dentro de sus posibilidades.

En el segundo caso creemos que si se sanciona al responsable de un fichero no automatizado por no poder cumplir una de las medidas de seguridad del RMS que no están hechas para ese tipo de fichero se quiebra el principio de legalidad, pues no existe ninguna norma que desarrolle las medidas de seguridad para los ficheros no automatizados. Aplicar por analogía el RMS subsistente a este tipo de ficheros entra de lleno en el campo de la ciencia ficción pues fácilmente se comprende que no es aplicable en muchos aspectos.

De todo lo anterior se deduce una vez más la importancia que tiene que de una vez por todas se lleve a cabo el desarrollo reglamentario de la LOPD en todos sus aspectos.

sumario

5. ¿Deben aplicarse criterios similares de medidas de seguridad para ficheros automatizados y no automatizados o se debe partir de filosofías distintas?

Con la entrada en vigor de la LOPD nos encontramos ante una información de la misma naturaleza pero representada en dos soportes distintos: en un caso automatizado, principalmente informatizado y otro no automatizado que en el común de los casos suele ser en papel.

Aplicar las mismas medidas de seguridad para uno y otro caso, aparte de ser algo imposible de hacer, estimamos que sería un error pues primero deberíamos evaluar qué riesgos soportan uno y otro tipo de representación.

Quizás sería bueno recordar que la primera Ley de protección de datos española, la célebre LORTAD, tenía por objeto el desarrollo del artículo 18.4 de nuestra Constitución. Los redactores de ésta comprendieron el riesgo que suponía la automatización de la información aunque luego no supieron, a nuestro entender, redactar en debida forma el punto correspondiente del artículo 18 pues en lugar de decir que había que limitar el uso de la informática se debía haber buscado alguna fórmula menos agresiva. No tenemos que limitarla sino tratar de que se aplique correctamente. La informática, como técnica, en sí misma, no es buena ni mala. Será el uso que el ser humano haga de ella el que la definirá.

Indudablemente la información automatizada supone un riesgo infinitamente mayor que la información en soporte papel con independencia de la importancia del contenido de la misma.

El estado del arte en las disciplinas de Tecnología y Comunicaciones permite en la actualidad trasladar ingentes volúmenes de información a lugares distantes en minúsculas unidades de tiempo, algo imposible de realizar con la información en papel.

De ahí que lo que hasta el presente se ha venido experimentando: tratar de aplicar como se podía el RMS a los ficheros no automatizados no parece lo adecuado.

Se trata de dos tipos de fijación de la información diferentes, por tanto al idear las medidas de seguridad que hay que aplicar debemos seguir dos filosofías diferentes. Ambos deben soportar medidas de seguridad pero, dadas sus características, tendrán que ser distintas.

No debemos olvidar que el propio RMS cuando se publicó ya estaba obsoleto y se refería más bien a una informática ya ampliamente superada dando, por ejemplo, gran importancia a la gestión de la entrada y salida de soportes, algo ya del pasado salvo casos excepcionales; soportes de copia, y prácticamente no dando ningún protagonismo a las redes de comunicaciones que en el momento actual son el principal medio de intercambio de información.

Tratar de aplicar las medidas de seguridad de los sistemas automatizados a los sistemas convencionales en papel procurando la adaptación en lo que se pueda de las mismas sólo servirá para: encarecer el gasto de las organizaciones en seguridad siendo muy difícil convencer a sus dirigentes de su utilidad, algo que consideramos necesario para su aplicación.

Las medidas de seguridad de los ficheros en papel, que en la gran mayoría de los casos serán organizativas, deben ser las mínimas, sin fijar normas burocráticas innecesarias que, siendo buenas para los sistemas automatizados, aquí servirían para poco.

Es necesario olvidar esa neurosis obsesiva por la seguridad que suele acompañarnos a todos a la hora de implantar las medidas de seguridad de los sistemas automatizados y actuar de una forma totalmente distinta. Sólo así podremos convencer a los usuarios de que lo que les proponemos es algo útil y no una serie de medidas artificiosas que nada les aportan y, sin embargo, complican su trabajo y encima les resultan gravosas.

El riesgo en los ficheros no automatizados, insistimos, es mucho menor, aunque existe, y por lo tanto los efectos también serán menores por lo que debemos obrar en consecuencia.

sumario

6. Cambios en el desarrollo reglamentario que no afectan a las medidas de seguridad

A continuación vamos a examinar una serie de conceptos del desarrollo reglamentario que fueron tratados por los ponentes y por los asistentes en la reunión de Santander que no afectan a las medidas de seguridad que serán tratadas en el punto siguiente.

sumario

6.1. Ámbito de aplicación

El ámbito de aplicación no puede ser otro que el que señala el artículo 2 de la LOPD. Ahora bien se aclaran varios conceptos fundamentales:

• Se refiere a ficheros y a tratamientos de datos tanto automatizados como a los no automatizados.
• En cuanto a los sujetos a los que se aplica la LOPD, se establece claramente que entran en el ámbito de aplicación las personas físicas asociadas al nombre de una persona jurídica, es decir se protegen los datos de personas de contacto y representantes.
• En cuanto a los tratamientos excluidos se clarifican situaciones fronterizas en cuanto a los usos domésticos de datos de carácter personal, por ejemplo: una agenda que sea para uso personal y profesional de forma que se tratará de usos domésticos cuando estén inscritos dentro de la vida personal y familiar del individuo y se considerarán dentro del ámbito de aplicación de la LOPD cuando el uso sea profesional.
• Se excluyen de la aplicación los datos referidos a las personas fallecidas sin perjuicio de la protección que les otorgan otras normas legales, entre ellas la Ley Orgánica 1/1982, de 5 de mayo, de Protección Civil del Derecho al honor, a la intimidad personal y familiar y a la propia imagen.

sumario

6.2. Definiciones

Se realizan aclaraciones en cuanto a definiciones ya existentes, se incluyen otras nuevas y se añaden las que figuraban en el RMS.

Responsable del fichero o responsable del tratamiento: Amplía la definición que figura en la LOPD en el sentido de que en el caso de entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados, se considerará responsable del tratamiento a la persona o personas integrantes de los mismos.

Desde la aprobación de la LOPD ha existido parte de la doctrina, entendemos que minoritaria, que ha querido entender que responsable del fichero y responsable del tratamiento son dos figuras distintas.

Desde siempre nos hemos opuesto a esa singularidad pues no existe en la propia definición ningún argumento que pueda servirnos para defender esa distinción.

Para la Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos sólo existe responsable del tratamiento definido en el artículo 2 apartado d) no existiendo en ningún caso el responsable del fichero.

Somos conscientes de que en la práctica deberían existir dos figuras: responsable o titular del fichero que será quien decida sobre el mismo y otra, el responsable del tratamiento que será quien realice éste. Pero una cosa es lo que debería ser y otra lo que, tanto la LOPD como la Directiva dicen y tanto en una como en otra sólo existe una figura que realiza las dos funciones y que en la Ley española se nombra de dos formas diferentes.

Cualquier otra cosa supondría una interpretación errónea de la Ley que no se corresponde de ninguna forma con lo que dice la Directiva.

En esa línea de actuación se podía haber hecho uso de la figura del titular del fichero a la que se refiere el artículo 10 de la LOPD, dándose el caso curioso de que la misma no vuelve a aparecer en ningún otro artículo de la Ley ni figura tampoco entre las definiciones.

Bloqueo de los datos: Se define como identificación y reserva de datos de carácter personal con el fin de impedir su tratamiento excepto por parte de las Administraciones Públicas, Jueces y Tribunales para la atención de las posibles responsabilidades nacidas del tratamiento y sólo durante el plazo de prescripción de dichas responsabilidades.

Fuentes accesibles al público: Se produce un cambio sistemático en la redacción del artículo. Se deja claro que se trata de un numerus clausus y que tienen que cumplir la condición de estar realmente accesibles al público sin más exigencia que, en su caso, el pago de una contraprestación.

Además se consideran fuentes de acceso público los directorios de telecomunicaciones y no sólo los de telefonía, siendo el primero un concepto más amplio según la definición de la Ley 32/2003, de 3 de noviembre General de Telecomunicaciones.

Como nuevas definiciones aparecen, entre otras, las siguientes:

Persona identificable: Toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier información sobre ella. Una persona física no se considerará identificable si dicha identificación requiere plazos o actividades desproporcionadas.

Fichero no automatizado: Se define de acuerdo con las características que se recogen en la Directiva:

• Tiene que estar organizado y estructurado, es decir, un conjunto de carpetas no estructuradas no estaría dentro del ámbito de aplicación de la Ley.
• La organización tiene que relacionarse con la identificación de personas físicas.
  En la reunión se plantea la duda con respecto a un fichero con datos policiales de individuos que esté ordenado por fechas llegándose a la conclusión de que estaría dentro del ámbito de aplicación de la LOPD siempre que se relacionen los datos identificativos de la persona física con la información
• El sistema de búsqueda debe hacerse sin que exija un esfuerzo desproporcionado de acuerdo con los criterios establecidos en el caso de las personas físicas identificables.
• Prevé la posibilidad de que el fichero pueda estar centralizado, descentralizado o repartido de forma funcional o geográfica.

Tercero: Toda persona física o jurídica, pública o privada u órgano administrativo distinta del afectado o interesado, del responsable del tratamiento, del responsable del fichero, del encargado del tratamiento y de las personas autorizadas para tratar los datos bajo la autoridad directa del responsable del tratamiento o del encargado del tratamiento.

Como se ve se aclara que no se considera tercero quien es autorizado por el responsable del tratamiento para acceder a esa información para salvar los casos en los que al ejercitar el interesado su derecho de acceso desee también conocer quién había accedido a sus datos.

Aunque fundamentalmente la exclusión se refiere al personal de la entidad, es interesante saber si en esa definición se excluye también a otro tipo de colaboradores no asalariados como pueden ser los becarios, colaboradores de una ONG, etc... En el debate que se estableció en la reunión de Santander se llegó a la conclusión de que en principio debería estar en función del grado de dependencia respecto a la organización.

Destinatario o cesionario de datos: De acuerdo con la definición de la Directiva, será la persona física o jurídica, pública o privada u órgano administrativo al que se revelen los datos.

En el caso de entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados, se considerará destinatario a la persona o personas integrantes de los mismos.

Supresión: Eliminación física de los datos de carácter personal bloqueados, una vez cumplido el plazo de prescripción de las posibles responsabilidades nacidas del tratamiento durante el cuál se guardaron bloqueados.

Se trata de la fase siguiente a la del bloqueo de los datos

sumario

6.3. Principios

Principio de finalidad

Al estar dicho principio inserto en el principio de calidad se piensa que puede quedar desdibujado en la Ley por lo que se pretende darle cierta autonomía en el Reglamento. Se hace hincapié en que las finalidades deben ser determinadas, explícitas y legítimas.

No podrán utilizarse los datos para finalidades incompatibles con aquellas para las que los datos fueron recogidos. Se ha venido manteniendo que finalidades distintas e incompatibles son lo mismo.

Lamentamos no compartir esta opinión pues para nosotros distinto es más estricto que incompatible.

Si el legislador hubiese entendido que distinta e incompatible son lo mismo hubiera dejado la primera que era la que figuraba en la LORTAD o hubiese incluido las dos.

Entendemos que lo que se trataba al cambiar distinta por incompatible era no restringir más de lo necesario la actividad de las empresas españolas considerando que distinto es más restrictivo que incompatible.

sumario

6.4. Otros principios

Datos de carácter personal con fines estadísticos, históricos o científicos

Respecto a los datos de carácter personal con dichos fines para la determinación de los mismos se estará, en particular, a lo dispuesto en la Ley 12/1989, de 9 de mayo, reguladora de la Función Estadística Pública, la Ley 16/1985, de 25 de junio , del Patrimonio Histórico Español y la Ley 13/1986, de 14 de abril de Fomento y Coordinación General de la Investigación Científica y Técnica y sus respectivos desarrollos reglamentarios así como a la normativa autonómica correspondiente.

Consentimiento

Se contempla el consentimiento en tres secciones y se regulan en relación directa con el deber de información.

Sección Primera: Legitimación para el tratamiento de datos

Sección Segunda: Obtención del consentimiento del afectado

Sección Tercera: Deber de información al interesado

Aparece la legitimación como un nuevo concepto, tratándose de unificar la legitimación para el tratamiento y para la cesión.

Se parte de la necesidad del consentimiento tanto para el tratamiento como para la cesión estableciéndose una serie de excepciones entre las que se incluye una habilitación para la cesión a las Administraciones Públicas en determinadas circunstancias.

Entre las otras excepciones podemos contemplar las siguientes:

• Interés legítimo

  El artículo 7.f) de la Directiva habla de interés legítimo para el tratamiento. En este sentido existen informes jurídicos de la AEPD que resuelven consultas relativas a diversos sectores como abogados y procuradores [1]. En estos casos se admite el tratamiento sin consentimiento del interesado cuando exista un interés legítimo amparado en una Ley o en una norma de Derecho comunitario de aplicación directa siempre que no haya lesión de derechos fundamentales o libertades de la persona.

• Deber jurídico

  También habilita el tratamiento sin consentimiento siempre que sea para cumplir un deber jurídico incluido asimismo en una Ley o en una norma de Derecho Comunitario de aplicación directa.

• Existencia de una relación negocial

  Se plantea la duda ante la existencia de un precontrato y la posibilidad de contemplarlo en el Reglamento como excepción aunque no se llega a ninguna conclusión definitiva puesto que no es un concepto contemplado en el Código civil, quizás se incluya como tal o dándole un nombre más acorde con la regulación civil española como relaciones previas o preliminares.

• Datos especialmente protegidos

  Se incluye un apartado relativo a este tipo de datos y una definición de lo que se considera “dato de salud” en relación con lo contemplado en la Memoria Explicativa del Convenio 108 del Consejo de Europa.

Los datos de carácter personal relacionados con la salud son las informaciones concernientes a la salud pasada, presente y futura, física y mental de un individuo. En particular, se consideran datos relacionados con la salud de las personas los referidos a su porcentaje de discapacidad y a su información genética.

La única habilitación posible para el tratamiento de datos de salud será, tal y como establece la LOPD, el consentimiento expreso o una norma con rango de Ley.

Los centros sanitarios tanto públicos como privados así como los profesionales sanitarios podrán tratar los datos de salud de las personas que acudan a ellos en los términos previstos en la legislación estatal y autonómica en materia de sanidad y en especial en la Ley 41/2002, de 14 de noviembre, reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica.

Como se ve, se recogen en el Proyecto de Reglamento una serie de excepciones que se predican del conjunto de datos especialmente protegidos de salud pero dichas excepciones deben interpretarse de forma restringida y siempre que sean necesarias para emitir un diagnóstico y que se trate de personal sanitario.

Formas de obtención del consentimiento

No se incluyen en el Proyecto de Reglamento la definición de las distintas formas de consentimiento: expreso, oral y escrito, tácito y presunto ya que se parte de conceptos ya acuñados por el Código Civil. La regulación se centra principalmente en la prueba del consentimiento y en este aspecto se nutre de la regulación en el sector de las telecomunicaciones habiéndose ampliado en el Proyecto de Reglamento.

El consentimiento debe estar vinculado a la finalidad y se incide en este aspecto, pero se establece la posibilidad de enviar comunicaciones. De manera que si en el plazo de 30 ó 45 días no han sido contestadas de forma negativa se entenderá obtenido el consentimiento y sobre el que afirma tenerlo es sobre quien recae la carga de la prueba.

Se establecen además criterios de acreditación de forma que razonablemente se pueda entender que se ha producido el envío y se exige un control riguroso de si se han producido o no devoluciones. También se especifica que en determinados casos la solicitud de consentimiento se puede acompañar a la factura.

Consentimiento en contratos de adhesión

Se trata también de este problema ya que puede resultar un tanto forzado de forma que se hace necesaria la separación de cláusulas contractuales respecto a aquéllas en las que se pida el consentimiento para otras finalidades, por ejemplo: fines publicitarios y que se establezcan en las mismas de manera sencilla para que quede suficientemente claro para el interesado cuando está manifestando o denegando el consentimiento. Por ejemplo: marcando o no una casilla.

Revocación del consentimiento

Se establece claramente la diferencia entre revocar el consentimiento y el ejercicio de los derechos por parte del interesado aclarando que en el primer caso no son necesarios los requisitos exigidos para el ejercicio de los derechos.

sumario

6.5. La subcontratación en la prestación de servicios

La subcontratación por el encargado del tratamiento con un tercero de toda o parte de una prestación de servicios que le fue contratada por el responsable del fichero desde un principio no fue aceptada por la AEPD.

Se trata indudablemente de una práctica peligrosa si no se toman las debidas precauciones.

Pero esta circunstancia siempre se ha conocido en el mundo del “outsourcing informático” a la hora de efectuar la contratación y quien no la ha tenido en cuenta muchas veces ha pagado las consecuencias.

A la hora de contratar una prestación de este tipo uno de los factores más importantes es quién va a realizar el servicio [2].

De la capacidad tanto técnica como económica del prestador del servicio muchas veces depende que el contrato se cumpla satisfactoriamente o suceda lo contrario.

Si, como vemos, la elección del encargado del tratamiento es algo tan importante no vamos a contratar con uno que cumpla con todos los requisitos que consideramos necesarios y le vamos a dejar que él, posteriormente, pueda subcontratar toda o parte de la prestación con otros que desconocemos y que quizás no nos ofrezcan las mismas garantías. Por tanto, de siempre esto se ha tenido en cuenta a la hora de redactar un buen contrato de outsourcing.

En la práctica es muy difícil que de una prestación de servicios contratada con un encargado de tratamiento parte de la misma no se tenga, a su vez, que externalizar a empresas especialistas. Por ejemplo: almacenamiento de copias de seguridad, mantenimiento de sistemas, etc.

La Instrucción 1/2000, de 1 de diciembre, de la Agencia Española de Protección de Datos, relativa a las normas por las que se rigen los movimientos internacionales de datos en su Norma Sexta, admite en determinados casos la subcontratación de la prestación de servicios y el Proyecto de Reglamento admite la misma con las debidas garantías.

sumario

6.6. Derechos de los afectados

Los derechos de acceso, rectificación, cancelación y oposición lógicamente con sus respectivos procedimientos, se desarrollan en el Proyecto de Reglamento incidiendo en aquellos que por tratarse de ficheros concretos el procedimiento no es el general.

sumario

6.7. Transferencia internacional de datos

Este tipo de transferencias se desarrollará ampliamente en el Reglamento incorporando la Instrucción 1/2000, de 1 de diciembre, de la Agencia Española de Protección de Datos, relativa a las normas por las que se rigen los movimientos internacionales de datos.

sumario

7. Modificaciones que se pretenden realizar en las medidas de seguridad vigentes

A continuación vamos a comentar las principales modificaciones que, sobre la normativa vigente, se pretenden realizar aparecidas en el borrador que se entregó a los asistentes a la reunión de Santander.

Se modifican algunas de las definiciones existentes en el RMS principalmente para eliminar el término automatizado y así comprender tanto los ficheros automatizados como los no automatizados.

En el caso de las autorizaciones concedidas a un usuario permite la delegación de funciones del responsable del fichero o tratamiento o del responsable de seguridad algo que, en la práctica, se tenía que hacer.

Aparecen otras definiciones nuevas: sistema de tratamiento contemplando que pueda ser automatizado, no automatizado o parcialmente automatizado; perfil de usuario que serán los accesos autorizados a un grupo de usuarios; los ficheros temporales que serán los necesarios para un tratamiento ocasional o como paso intermedio durante la realización de un tratamiento evitando con esta definición las dudas que algunas veces se planteaban ante la existencia de este tipo de ficheros. Se define igualmente lo que se entiende por documentación, algo necesario al ampliarse el ámbito de aplicación del Reglamento: “todo escrito, señal, gráfico, sonido, dibujo, película, fotografía, cinta magnética, cinta mecanográfica, cassette, disco, CD-ROM, DVD, dispositivos externos de almacenamiento u otro medio físico en el que se haya registrado información.”

Por último, se entiende como transmisión de documentos: “cualquier traslado, comunicación, envío, entrega o divulgación de la información contenida en el mismo.”

Las medidas de seguridad deberán implantarlas los responsables de tratamientos o ficheros que contengan datos de carácter personal (art. 51 del Proyecto de Reglamento). Quizás aquí se debía haber incluido también a los encargados del tratamiento que, según las cláusulas del contrato que señala el artículo 12 de la LOPD debe implementar las medidas de seguridad correspondientes según la naturaleza de los datos tratados.

Los niveles de seguridad se fijarán, además de atender a la naturaleza de la información tratada a las necesidades de garantizar la confidencialidad y la integridad de la información en virtud de las finalidades de los ficheros o tratamientos.

Se establecen tres niveles de seguridad: básico, medio y alto y desaparece el nivel intermedio entre el básico y el medio que preveía el artículo 4.4 del RMS y que tantos problemas venía creando, aunque no desaparece el tipo de fichero que sigue siendo confuso por su indefinición. ¿Cuántos datos son necesarios para permitir una evaluación de la personalidad del individuo? ¿Quién los fija? Aquí la inseguridad jurídica empieza a planear sobre el tema. Este tipo de ficheros pasa al nivel de seguridad medio.

Por supuesto todos los ficheros o tratamientos de datos de carácter personal deberán adoptar las medidas de seguridad calificadas de nivel básico.

Deberán implantar además las medidas de seguridad de nivel medio los siguientes ficheros o tratamientos:

Continúan los ficheros o tratamientos de comisión de infracciones administrativas o penales; los del artículo 29 de la LOPD; los de responsabilidad de la Administración Tributaria; los que permitan obtener una evaluación de la personalidad del individuo de los que hemos hablado anteriormente. Se incluye un nuevo tipo de fichero: aquel que contenga datos relativos a menores de 14 años y a víctimas de violencia de género.

Las medidas de nivel alto, además de las correspondientes a los niveles básico y medio, se aplicarán como se venía haciendo a los ficheros que contengan datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual y asimismo a los que contengan o se refieran a datos recabados para fines policiales sin consentimiento de las personas afectadas. Se añaden dos nuevos supuestos:

“Aquellos de los que sean responsables los operadores que presten servicios de comunicaciones electrónicas disponibles al público o exploten redes públicas de comunicaciones electrónicas respecto a los datos de tráfico o localización.

Los que contengan datos y claves necesarios para emitir certificados digitales que permitan realizar firma electrónica excepto aquellos que por su propia naturaleza deban ser públicos.”

A continuación, en este mismo punto 3 del artículo 53 del Proyecto viene una excepción, que a nuestro juicio es la parte del articulado que será mejor recibida y que es acertada si bien consideramos que se ha quedado corta como explicaremos después.

“Los ficheros o tratamientos relativos a ideología, afiliación sindical, religión o creencias, así como a la salud, cuya finalidad sea únicamente la gestión de obligaciones por el retenedor o la transferencia dineraria a las entidades de las que los afectados sean asociados o miembros, podrán adoptar respecto de aquellos las medidas de seguridad de nivel básico.”

Como fácilmente se desprende de su lectura, se refiere principalmente a los ficheros de nóminas y los datos son los de minusvalía y afiliación sindical.

La trascendencia económica de esta medida es importantísima pues se trata de un fichero que tienen todas las organizaciones grandes o pequeñas y realmente resultaba muy difícil aplicar las medidas de nivel alto a pequeñas empresas o profesionales por lo que en la mayoría de los casos se incumplía la ley con los riesgos inherentes.

Pensamos que se podía haber aprovechado la ocasión e incluir en la excepción también aquellos ficheros en los que figura la minusvalía de una persona, dato de salud al fin y al cabo y cuyo fin es facilitarle una plaza de aparcamiento, caso de los Ayuntamientos; facilitar los accesos o reducción de tasas universitarias que es el caso de las Universidades; la consideración como de nivel alto de este tipo de ficheros ocasiona gastos innecesarios en ficheros en algunos casos muy voluminosos: Tarjetas en Ayuntamientos, Alumnos en Universidades.

Nos parece que en estos casos, como en otros parecidos la minusvalía en realidad no se está considerando como un dato de salud.

En cualquier caso aplaudimos la excepción que consideramos muy acertada.

En el punto siguiente del mismo artículo al decir que se trata de condiciones mínimas posibles se añade algo que consideramos superfluo y es que, a partir de esos mínimos el responsable del fichero puede implementar todas las medidas de seguridad que considere necesarias.

El artículo 54 referido al encargado del tratamiento, así como el siguiente referido a otras prestaciones de servicios sin acceso a datos personales los consideramos muy clarificadores.

El primero contempla tanto la prestación de servicios realizada en los locales del responsable del fichero en la que el personal del encargado del tratamiento deberá cumplir las medidas de seguridad fijadas en el documento de seguridad de aquel, como en el caso de que los tratamientos se realicen en los locales ajenos a los del responsable del fichero, debiendo en este caso elaborar el encargado del tratamiento el correspondiente documento de seguridad o completar el existente.

El segundo artículo se refiere a aquellas personas que sin estar autorizadas a acceder a los datos de carácter personal, ejemplo: servicios de limpieza o mantenimiento, en la práctica podrían acceder a ellos. En este caso se obliga al responsable del fichero a adoptar las medidas necesarias para limitar dicho acceso y a la incorporación en el contrato de prestación de servicios de cláusulas relativas a la prohibición de acceder a ellos y a la obligación de secreto cuando dentro de la prestación los hubiese podido conocer.

El régimen de trabajo fuera de los locales del responsable del fichero se matiza en el sentido de que la autorización necesaria debe figurar en el Documento de Seguridad.

El artículo 60 se refiere al Documento de Seguridad aclarando los diferentes tipos que pueden existir y que, a veces, eran motivo de controversia:

• Único y comprensivo de todos los ficheros
• Individualizado por cada fichero o tratamiento
• Por grupos de ficheros
• Por criterios organizativos del responsable

Con independencia de lo que pensemos respecto a cada caso nos parece bien que sea el responsable del fichero quien en definitiva sea el que decida cómo hacerlo.

Se incorpora un nuevo contenido al Documento de Seguridad:
“g) Las medidas que sea necesario adoptar para el transporte de soportes y documentos, así como para la destrucción de los documentos y soportes, o en su caso, la reutilización de éstos.”

Se hace hincapié en la necesidad de que se actualice el documento siempre que haya cambios relevantes no sólo en el sistema de información, como venía siendo obligado, sino también en el sistema de tratamiento empleado en su organización o en el contenido de la información incluida en los ficheros o tratamientos, algo que ya se venía haciendo en la práctica.

Es importante que el documento de seguridad se convierta en el eje alrededor del cual gire toda la seguridad de la organización tanto la seguridad informática como la seguridad documental. Esto no es nada nuevo y se debía venir realizando ya en todas las organizaciones tanto públicas como privadas.

En la práctica si examinamos el sistema de información de una empresa nos encontramos que la mayoría de las exigencias del Documento de Seguridad se vienen cumpliendo aunque no de forma estructurada y en muchos casos los procedimientos son de tradición oral con el riesgo de degradación que este tipo de transmisión comporta [3].

No debemos olvidar las diferentes clases de seguridad que tanto en la seguridad informática como en la seguridad documental existen: física, lógica, técnico-organizativa, jurídica y con la incorporación de las redes, principalmente Internet, la seguridad psicológica [4].

Las medidas de seguridad de cada nivel se dividen en medidas generales, medidas específicas aplicables a los ficheros automatizados y medidas específicas aplicables a los ficheros no automatizados.

sumario

7.1 Medidas de seguridad de nivel básico

En el nivel básico entre las medidas generales que afectan a todo tipo de fichero o tratamiento se encuentran: las funciones y obligaciones del personal (art. 61); el registro de incidencias (art. 62); el control de acceso (art. 63) y la gestión de soportes (art. 64).

Entre las funciones y obligaciones del personal se incluye la definición de las funciones de control o autorizaciones delegadas por el responsable del fichero o tratamiento.

En el registro de incidencias además de los datos que se venían incluyendo deberán constar las medidas correctoras aplicadas.

El control de acceso obliga a que exista una relación actualizada de usuarios y de perfiles de usuarios y los accesos autorizados para cada uno de ellos.

Aparte de las obligaciones que se establecían en el RMS se añade un punto respecto al personal ajeno al responsable del fichero que tenga acceso a los recursos y que deberá estar sujeto a las mismas condiciones y obligaciones de seguridad que el personal propio.

Por último, en el artículo 64 referido a la gestión de soportes y documentos se añaden dos nuevos puntos y se modifican los existentes.

Respecto a la salida de soportes y documentos se exceptúa de la obligación de identificar al tipo de información que contienen cuando las características físicas del soporte imposibilitan su cumplimiento algo que consideramos razonable y que ocasionaba no pocos problemas.

En el punto siguiente se hace la aclaración que para que el responsable del fichero deba autorizar la salida de los soportes, los ficheros deben estar en los locales bajo su control.

Se añaden dos nuevos puntos:

“3. En el traslado de la documentación se adoptarán las medidas dirigidas a evitar la sustracción, pérdida o acceso indebido a la información durante su transporte.

4. Siempre que vaya a desecharse cualquier documento o soporte que contenga datos de carácter personal deberá procederse a su destrucción o borrado, mediante la adopción de medidas dirigidas a evitar el acceso a la información contenida en el mismo o su recuperación posterior.”

A continuación vienen una serie de medidas aplicables sólo a los ficheros automatizados: identificación y autenticación (art. 65) y copias de respaldo y recuperación (art. 66).

Las principales innovaciones respecto a la identificación y autenticación de los usuarios son: la posibilidad de utilizar mecanismos basados en certificados digitales electrónicos y la exigencia ya en el nivel básico de que la identificación debe ser de forma inequívoca y personalizada algo que antes sólo se exigía a partir del nivel medio.

Parece correcta esta modificación ya que la utilización de identificaciones en las que no se puede determinar el usuario que ha accedido a los datos sirve para poco.

Respecto a las copias de respaldo y recuperación (art. 66) no se observan variaciones salvo que la verificación del funcionamiento ha de realizarse por lo menos cada seis meses.

Las medidas de seguridad de nivel básico aplicables a los ficheros no automatizados se contemplan en los artículos 67 y 68 referidos al almacenamiento de la información y a los criterios de archivo.

Artículo 67. Almacenamiento de la información

“Los soportes de almacenamiento de los documentos que contengan datos de carácter personal deberán disponer de mecanismos que obstaculicen su apertura.

Igualmente, se deberá identificar el tipo de información que contienen, ser inventariados y almacenarse en lugares controlados por el personal autorizado para ello en el documento de seguridad.”

Artículo 68. Criterios de archivo

“El responsable del fichero deberá establecer los procedimientos que deban seguirse en el archivo de los ficheros no automatizados. Dichos procedimientos estarán dirigidos a garantizar la correcta conservación de los documentos, la localización y consulta de la información y posibilitar el ejercicio de los derechos de acceso, oposición, rectificación y cancelación.”

Estos artículos habrá que analizarlos con detenimiento para averiguar qué es lo que se pretende.

sumario

7.2 Medidas de seguridad de nivel medio

Las medidas de seguridad de nivel medio se dividen igualmente en medidas generales, medidas específicas para ficheros automatizados y medidas específicas para ficheros no automatizados.

Las primeras corresponden a: responsable de seguridad (art. 69), registro de accesos (art. 70), auditoría (art. 71), gestión de documentos y soportes (art. 72).

Las modificaciones que se establecen en esta sección son muy importantes y algunas muy significativas, nos referimos al registro de accesos que anteriormente era una medida de nivel alto y a la necesidad de comunicar a la Agencia Española de Protección de Datos la fecha en que se realice la preceptiva auditoría y si ésta la realiza un auditor interno o externo.

La importancia de estas dos medidas viene dada por un lado porque el registro de accesos ha sido una de las medidas de nivel alto que menos han podido cumplir las organizaciones debido a su dificultad y coste y por otro la obligatoriedad de comunicar a la AEPD la fecha de la auditoría hará que las organizaciones cumplan con ese compromiso algo que no siempre viene sucediendo. Respecto a que se informe si el auditor es interno o externo no hacemos ningún comentario pues ya nos hemos definido otras veces.

Es interesante el párrafo que se añade al articulado correspondiente al responsable de seguridad en el sentido de que la designación de responsable de seguridad podrá ser única para todos los ficheros o tratamientos de datos o diferenciada según los sistemas de tratamiento. Quizás debería haber aclarado si existe la posibilidad de que esta función puede ser desarrollada por un responsable de seguridad externo.

En el registro de accesos (art. 70) se añade una excepción:

“6. No será necesario el registro de accesos definido en este artículo siempre y cuando el responsable del fichero o tratamiento garantice que sólo él tiene acceso y trata los datos personales. Esta circunstancia deberá hacerse constar motivadamente en el documento de seguridad.”

Pensamos que el cambio de nivel de una medida que no siempre se puede implementar y que resulta muy costosa se debía de meditar detenidamente. No pongamos medidas que no siempre se pueden cumplir y que puede dejar a las organizaciones indefensas.

La auditoría bienal o sea cada dos años y no bianual, como muchas veces hemos leído, que sería dos veces al año no cambia salvo la obligatoriedad de esa notificación a la que nos referíamos anteriormente que hay que hacer a la AEPD que ya es bastante y la necesidad de informar si se trata de una auditoría interna o externa.

La gestión de soportes se amplía también a los documentos no automatizados. Resulta curioso ese interés en el RMS de regular la gestión de soportes informáticos cuando en la práctica rara vez se da, salvo en el caso de copias de seguridad.

No se incluyen en este artículo la salida de soportes por desecho o reutilización ni otras salidas por mantenimiento cuyas medidas se han incorporado al nivel básico.

Las medidas de seguridad de nivel medio correspondientes a los ficheros automatizados son las siguientes: identificación y autenticación (art. 73), control de acceso físico (art. 74), registro de incidencias (art. 75), pruebas con datos reales (art. 76), régimen de trabajo fuera de los locales del responsable del fichero o encargado del tratamiento (art. 77).

Se obliga al responsable del fichero o tratamiento a establecer un mecanismo que limite la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de información.

No han sufrido variación los artículos referidos al control de acceso físico (art. 74), al registro de incidencias (art. 75) ni el correspondiente a las pruebas con datos reales (art. 76) habiéndose añadido un nuevo artículo:

Artículo 77. Régimen de trabajo fuera de los locales del responsable del fichero o encargado del tratamiento

“Cuando los datos personales se almacenan en dispositivos portátiles o se tratan fuera de los locales del responsable del fichero será preciso que se proceda al cifrado de los mismos.”

Este artículo importante para la seguridad de la información puede ser difícil de verificar.

Las medidas de nivel medio específicas referidas a los ficheros no automatizados son: seguridad en los locales de ubicación de los ficheros (art. 78), acceso físico (art. 79) y copia o reproducción (art. 80).

Artículo 78. Seguridad en los locales de ubicación de los ficheros

“El lugar en que se encuentre el fichero deberá estar dotado de mecanismos que impidan la posible destrucción o que no sea posible la recuperación de la información, tales como dispositivos ignífugos, equipamiento contra incendios y otros similares.”

Artículo 79. Acceso físico

“1. Los armarios, archivadores u otros elementos en los que se almacenen datos de carácter personal deberán encontrarse ubicados en áreas o salas en las que el acceso esté restringido única y exclusivamente al personal autorizado en el Documento de Seguridad.

No obstante, si las características físicas de los locales de que dispusiera el responsable del tratamiento no permiten cumplir lo previsto en el párrafo anterior, dichos elementos de almacenamiento deberán estar ubicados en lugares que estén bajo vigilancia del personal autorizado en el documento de seguridad, y estar dotados de mecanismos que impidan el libre acceso a los mismos por parte de personas no autorizadas.

En el documento de seguridad deberán constar motivadamente las circunstancias que impidan el cumplimiento de esta medida.

2. Exclusivamente el personal autorizado en el documento de seguridad podrá tener acceso a los armarios, archivadores u otros elementos o soportes en los que se almacenen datos de carácter personal.”

Artículo 80. Copia o reproducción

“1. Deberán establecerse los procedimientos en el copiado o reproducción de documentos, a fin de que sólo puedan realizar copias de documentos o acceder a las mismas las personas habilitadas para ello en el documento de seguridad.

2. El responsable del fichero o tratamiento arbitrará los controles necesarios para evitar que como consecuencia de la generación de copias se produzcan accesos no autorizados. Dichos controles deberán recogerse en el documento de seguridad.”

En la actualidad las organizaciones privadas cada vez tienen menos información en ficheros no automatizados y la obligación de acometer la serie de medidas que se proponen hará que reduzcan al máximo esos ficheros.

Otra cosa es la situación de los ficheros de titularidad pública no automatizados que son numerosos y en los que afrontar las medidas que figuran en estos artículos obligará a contratar más funcionarios que vigilen el cumplimiento de estas medidas.

sumario

7.3 Medidas de seguridad de nivel alto

De igual modo que en los niveles inferiores, las medidas de seguridad en el nivel alto se dividen en medidas generales, medidas específicas para ficheros automatizados y medidas específicas para ficheros no automatizados.

En el nivel alto, entre las medidas generales, se encuentra tan sólo la distribución de soportes (art. 81) en el que se añade al contenido que tenía la obligación de cifrar los datos que contengan los dispositivos portátiles cuando éstos se encuentren fuera de las instalaciones bajo el control del responsable del fichero.

Las medidas de seguridad de nivel alto correspondiente a los ficheros automatizados de nivel alto comprenden: copias de respaldo y recuperación (art. 82) y telecomunicaciones (art. 83)

Prácticamente estos dos artículos no se modifican salvo que en el artículo correspondiente a las copias de respaldo y recuperación se añade: “o utilizando elementos que garanticen la integridad y recuperación de la información, de forma que sea posible su recuperación.”

Quizás se debía haber aprovechado la ocasión, una vez eliminados del nivel alto los ficheros de nóminas, para exigir en este nivel un plan de continuidad, contingencias o ante desastres, como se quiera llamar, que dados los casos que hemos visto en los últimos tiempos: Torres Gemelas de Nueva York o más recientemente el edificio Windsor en Madrid, por ejemplo, podría ser necesario.

Por último, respecto a los ficheros no automatizados, se han incorporado las siguientes medidas: registro de accesos (art. 84), almacenamiento de la información (art. 85), traslado de documentación (art. 86) y copia o reproducción (art. 87).

Artículo 84. Registro de accesos

“1. Cualquier solicitud de acceso a los documentos incluidos en un fichero no automatizado deberá efectuarse a la persona o personas designadas a tal efecto en el documento de seguridad.

2. Deberá existir un registro de accesos autorizados en el que se indicará como mínimo el documento al que se ha accedido, la fecha y hora del acceso, y la fecha y hora de la devolución.

3. El período mínimo de conservación de la información recogida en el registro al que se refiere el párrafo anterior será de dos años. El responsable de seguridad revisará periódicamente la información registrada y elaborará un informe de las revisiones realizadas y los problemas detectados al menos cada dos meses.

4. La documentación se reintegrará al fichero tan pronto haya cesado el motivo que justificó el acceso y se controlará la devolución.”

Artículo 85. Almacenamiento de la información

“1. Los armarios, archivadores u otros elementos en los que se almacenen los ficheros no automatizados con datos de carácter personal deberán encontrarse en áreas en las que el acceso esté protegido con puertas de acceso dotadas de sistemas de apertura mediante llave u otro dispositivo equivalente. Dichas áreas deberán permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en el fichero.

2. Si atendidas las características de los locales de que dispusiera el responsable del tratamiento no fuera posible cumplir lo establecido en el apartado anterior, el responsable de seguridad elaborará un informe motivado sobre esta circunstancia que elevará al responsable del fichero junto con una propuesta de soluciones alternativas. En todo caso los armarios, archivadores u otros elementos en los que se almacenen los ficheros no automatizados con datos de carácter personal deberán encontrarse dotados de sistemas que obstaculicen el acceso no autorizado a los mismos. Dichos sistemas deberán permanecer activados en tanto no sea precisa su apertura.

3. Mientras la documentación con datos de carácter personal no se encuentre archivada en el lugar de almacenamiento establecido en el apartado 1 por estar en proceso de revisión o tramitación, ya sea previo o posterior a su archivo, la persona que se encuentre a cargo de la misma deberá custodiarla e impedir en todo momento que pueda ser accedida por persona no autorizada.”

Artículo 86. Traslado de documentación

“Siempre que se proceda al traslado de la documentación contenida en un fichero, deberán adoptarse medidas dirigidas a impedir el acceso o manipulación de la información objeto de traslado y controles que permitan detectar si se ha producido algún acceso no autorizado.”

Artículo 87. Copia o reproducción

“La utilización de la copia estará sometida a las medidas descritas en la presente Sección.”

Nos remitimos a lo dicho anteriormente respecto a las medidas de seguridad de nivel medio para ficheros no automatizados.

sumario

8. Conclusiones

Cuando en el año 1999 apareció el RMS en desarrollo del artículo 9 de la LORTAD subsistente en la actualidad hasta tanto no se desarrolle el mismo artículo de la LOPD, decíamos que dicho reglamento, como casi todo en la vida, estaba rodeado de luces y sombras.

Entre las luces entendíamos que estaba, a pesar de sus muchos defectos:

• La propia aparición del RMS que marcaba un hito en el campo de la seguridad de la información en España.
• Considerábamos también muy positivo el documento de seguridad, verdadero macrodocumento en el cual estaban integradas: políticas, procedimientos, planes de seguridad, junto con inventarios y estructuras.
• El registro de incidencias ya sea en papel o electrónico que podía proporcionar las correspondientes pistas de auditoría.
• La necesidad de realizar copias de respaldo y recuperación que venían a ser un atisbo de un plan de continuidad.
• La figura del responsable de seguridad existente ya en algunas organizaciones que venía a significar la importancia que la organización daba a la seguridad.
• La implantación de la auditoría con sus correspondientes defectos como permitir las auditorías internas.

Entre las sombras:

• Estaba la fecha de su aprobación pocos meses antes del llamado efecto 2000, del cual ya no nos acordamos y de la implantación del euro. Se juntaban tres operaciones muy costosas para las organizaciones tanto públicas como privadas.
• Había, en la época en que apareció el RMS una espada de Damocles sobre la legislación de protección de datos que eran los recursos presentados ante el Tribunal Constitucional y hoy resueltos por las Sentencias 290/2000, de 30 de noviembre de 2000 y 292/2000, de 30 de noviembre de 2000.
• Entre las definiciones, en sistema de información se hablaba de la protección de ficheros automatizados, programas, soportes y equipos olvidándose algo primordial que son las personas. Quizás sus redactores preveían lo que tristemente sucedió en las Torres Gemelas de Nueva York en que alguna importante multinacional perdió sus equipos, su información y sus empleados y pudo seguir funcionando porque tenía un espejo de sus programas e información en otra ciudad no importando, desgraciadamente, para la continuidad de la empresa que se hubiesen perdido tantas vidas humanas.
• Los niveles de seguridad se fijaban por la naturaleza de los datos olvidándose de la importancia de las grandes bases de datos y especialmente de los data warehouse.
• Aparecía un nuevo concepto, el de servicios financieros que parecía fácil de definir pero cuando uno trataba de limitar la cosa no era tan fácil.
• Se situaban en un nivel de medidas de seguridad intermedio los ficheros que contuviesen los datos suficientes para obtener una evaluación de la personalidad sin saber quién iba a determinar cuántos, lo que venía a representar cierta inseguridad jurídica.

Como vemos el RMS tenía muchas sombras y a ellas se añadía que trataba de proteger una informática ya superada, se hablaba de gestión de soportes cuando en la práctica poco uso se hace de ellos y poco se decía de telecomunicaciones cuando hoy la mayoría de los intercambios de información se hacen a través de las redes de comunicaciones.

Pues bien ese Reglamento del que estamos hablando es el que sirve de cimiento para la edificación de las medidas de seguridad del que va a servir para desarrollar la LOPD.

Se han realizado modificaciones muy positivas que a continuación vamos a resumir y esperamos que de este borrador que comentamos al definitivo se corrijan otras cosas, pero pensamos que estamos construyendo sobre un terreno pantanoso con el riesgo que esto tiene.

Quisiéramos aclarar que siempre resulta más fácil criticar que crear y decir que, con la dificultad que ello conlleva, se ha afrontado la tarea de redactar una serie de medidas de seguridad para los ficheros no automatizados que ya es en sí meritorio.

Hecha esta introducción a las conclusiones pensamos que en el lado positivo se encuentra:

• La incorporación de una serie de definiciones que aclaran conceptos que estaban un tanto dudosos.
• La desaparición del nivel intermedio entre el básico y el medio del artículo 4.4 del RMS.
• Muy positiva la bajada del nivel alto al nivel básico de los ficheros que aún conteniendo datos de nivel alto tengan por finalidad únicamente la gestión de obligaciones por el retenedor o las transferencias dinerarias a entidades de las que los afectados sean miembros, bajando de nivel los ficheros de nóminas lo que hará más fácil el cumplimiento de la Ley para numerosos responsables de ficheros.
• Regular las diversas situaciones que se pueden dar en la prestación de servicios aclarando cuando participa un encargado del tratamiento, en qué situaciones y cuándo no.
• La posibilidad de delegación de autorizaciones, algo que en la práctica se tenía que hacer.
• Se establece cómo puede ser la figura del responsable de seguridad aunque se podía haber aclarado más.
• Se obliga a notificar a la AEPD la realización de la auditoría y si ésta es interna o externa. Mediante esta notificación se obliga a las organizaciones a que realicen las preceptivas auditorías bienales.

Como negativo vemos especialmente la obligación de los ficheros de nivel medio de adoptar la medida de registro de accesos.

Esta medida en el pasado ha sido difícil de aplicar y muy costosa pudiendo significar en muchos casos la duplicidad de las instalaciones.

La excepción a la norma en el caso de que sólo acceda el responsable del fichero elimina la necesidad del registro de accesos en gran número de instalaciones pero no es suficiente.

Dejamos para próximos artículos, cuando dispongamos de más información, acometer la tarea de analizar las medidas de seguridad para los ficheros no automatizados así como desarrollar más ampliamente el resto del articulado.

sumario

9. Notas

[1] Memoria de la Agencia Española de Protección de Datos 2000. Págs. 409 y ss.

[2] Emilio del Peso Navarro. Manual de Outsourcing Informático. Análisis y contratación. Díaz de Santos-IEE. Madrid, 2003. 2ª edición. Págs. 43 y ss.

[3]Para mayor información sobre el Documento de Seguridad ver: Emilio del Peso Navarro, Miguel Ángel Ramos González y Mar del Peso Ruiz: El Documento de Seguridad. (Análisis técnico y jurídico. Modelo). Díaz de Santos-IEE. Madrid, 2004.

[4] Ver Emilio del Peso Navarro, Josep Jover Padró y Margarita del Peso Ruiz: Los datos de los ciudadanos en los ayuntamientos. Díaz de Santos-IEE. Madrid, 2004. Págs. 4 y ss.

sumario