El pasado 19 de enero se publicó en el BOE el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (en adelante RDLOPD). La norma entrará en vigor el 19 de abril de este año y si bien la Disposición transitoria segunda del Real Decreto establece unos plazos de implantación de las medidas de seguridad no inferiores a un año desde su entrada en vigor, muchos responsables de ficheros han empezado a analizar las consecuencias que la adaptación al nuevo reglamento va a suponer en el desarrollo de su actividad.

Como bien se ha dicho en alguna ocasión, los cambios, novedades e interpretaciones del desarrollo reglamentario de la LOPD darían para escribir un libro, por eso creo procedente dirigir el contenido de este artículo a una pequeña parte de las modificaciones a las que se enfrentan los responsables de ficheros. Éstas son las relativas a la actualización del documento de seguridad en el aspecto más formal de su contenido, sin extendernos a la implantación efectiva de las medidas de seguridad.

El motivo de estas actualizaciones es que con la entrada en vigor del RDLOPD queda derogado, entre otros, el RD 994/1999, de 11 de junio, por el que se aprueba el Reglamento de Medidas de seguridad de los ficheros que contengan datos de carácter personal (en adelante RMS), que desarrollaba la primera norma de protección de datos, la LORTAD.

Como primer matiz, el cambio de redacción que sufren los artículos dedicados al documento de seguridad hace que éste pase de ser un medio de elaboración e implantación de la normativa de seguridad a convertirse en un documento que recoja una serie de medidas acordes a una normativa de seguridad ya vigente. Actualmente, considero que el punto de partida pueden ser ambos escenarios y que las novedades del RDLOPD en cuanto al contenido del documento de seguridad están más en la línea de ser considerado como un instrumento cuyo contenido va a definir el alcance de esas medidas, que como una mera recopilación de normas y procedimientos.

La primera duda que queda resuelta con la publicación del RDLOPD es la relativa al número de documentos de seguridad que deben ser elaborados por un responsable del fichero, y la solución que da es flexible. Así, podrán existir:

• un único documento comprensivo de todos los ficheros o tratamientos,
• documentos individualizados para cada fichero o tratamiento,
• documentos que agrupen ficheros o tratamientos en atención al sistema de tratamiento utilizado para su organización,
• documentos que agrupen ficheros o tratamientos atendiendo a criterios organizativos del responsable.

Además insiste en el carácter interno del documento que no debe ser remitido a la AEPD para su registro o comprobación, sino que deberá mantenerse a su disposición en el caso de que llegase a requerirlo en el marco de alguna actuación.

También se aclara quién tiene que elaborar el documento de seguridad, que con carácter general será el responsable del fichero o tratamiento, pero si un encargado del tratamiento está prestando un servicio en sus propios locales ajenos a los del responsable del fichero, deberá elaborar un documento de seguridad o completar el que ya hubiera elaborado:

• identificando el fichero o tratamiento,
• identificando al responsable del mismo,
• incorporando las medidas de seguridad a implantar en relación con dicho tratamiento.

La llevanza del documento de seguridad se realizaría por el encargado del tratamiento por delegación, lo que debe indicarse en el contrato celebrado entre ambos al amparo del artículo 12 de la LOPD.

Esta novedad se deriva del hecho de que el RMS no contemplase la figura del encargado del tratamiento al ser desarrollo de la LORTAD, donde aún no estaba perfilada como tal.

Una vez determinadas la autoría y la cantidad de documentos de seguridad, vamos a analizar brevemente en qué medida ha variado su contenido. Así, en el artículo 88 del RDLOPD se recogen los contenidos ya exigidos por los artículos 8 y 15 del RMS para ficheros de nivel básico y medio especificando:

• En relación con las funciones y obligaciones del personal que son aquellas que tienen relación con el tratamiento de los datos de carácter personal incluidos en los fichero. Además, se refiere expresamente a las funciones de control y autorizaciones delegadas por el responsable del fichero o tratamiento.
• En relación con los procedimientos de copias de respaldo y recuperación de los datos que se refiere únicamente a los ficheros automatizados, ya que mientras que el RMS regulaba las medidas de seguridad aplicables a este tipo de ficheros, el RDLOPD contempla cualquier tipo de soporte físico que haga los datos susceptibles de tratamiento.
• En relación con la identificación del responsable o responsables de seguridad, si son distintos según los sistemas de tratamiento utilizados deberá constar claramente esta circunstancia.

Y añade las medidas que sea necesario adoptar para el transporte de soportes y documentos, así como para la destrucción de los documentos y soportes, o en su caso, la reutilización de estos últimos. Cabe apuntar que en relación con el desecho y reutilización de soportes, el RMS ya contemplaba la inclusión de medidas en el documento de seguridad, pero entonces eran aplicables únicamente a ficheros de nivel medio y alto, siéndolo ahora a todo tipo de ficheros.

El ámbito de aplicación queda afectado por las modificaciones introducidas por el artículo 81 del RDLOPD en cuanto a la aplicación de los niveles de seguridad. Así, como novedad, son considerados como ficheros de nivel medio:

• Aquellos de los que sean responsables las Entidades Gestoras y Servicios Comunes de la Seguridad Social y se relacionen con el ejercicio de sus competencias.
• De igual modo, aquellos de los que sean responsables las mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social.
• Aquellos que contengan un conjunto de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos, a los que hasta ahora no se les llegaban a aplicar todas las medidas de nivel medio.
• Los ficheros de los que sean responsables los operadores que presten servicios de comunicaciones electrónicas disponibles al público o exploten redes públicas de comunicaciones electrónicas respecto a los datos de tráfico y a los datos de localización. Estos ficheros tendrán que implantar adicionalmente un registro de accesos de acuerdo con lo establecido en el artículo 103 del RDLOPD aplicable a ficheros de nivel alto pero cabe entender que se considerarán como de nivel medio o en su caso intermedio.

Y como ficheros de nivel alto:

• Los que se refieran a datos de afiliación sindical que no eran mencionados en el RMS al haber sido recogidos como datos especialmente protegidos por la LOPD.
• Aquellos que contengan datos derivados de actos de violencia de género.

Si teníamos ficheros con datos especialmente protegidos a los que correspondería un nivel de seguridad alto, deberemos prestar atención a los supuestos contemplados en el apartado 5 del artículo 81 porque es posible que se haya visto reducido el nivel de medidas de seguridad aplicable.

El ámbito de aplicación del documento también se ve afectado por los supuestos en los que un encargado del tratamiento trate datos de carácter personal por cuenta del responsable del fichero, ya que si no estamos en el caso en el que el tratamiento es desarrollado en los locales del encargado del tratamiento, deberá hacerse constar en el documento de seguridad del responsable del fichero:

• Que se facilita acceso a datos, soportes o recursos del sistema de información que los trate a un encargado del tratamiento.
• Que se permite el acceso remoto a un encargado del tratamiento habiéndosele prohibido incorporar tales datos a sistemas o soportes distintos de los del responsable.
• La identificación de los ficheros o tratamientos que se traten en concepto de encargado con referencia expresa al contrato o documento que regule las condiciones del encargo, así como de la identificación del responsable y del periodo de vigencia del encargo.

Por tanto, podrán quedar afectados tanto el documento de seguridad del responsable del fichero como el elaborado, en su caso, por el encargado del tratamiento.

En el marco de las medidas, normas, procedimientos de actuación, reglas y estándares que exige el artículo 88 del reglamento, los expresamente exigidos por el articulado del RDLOPD y en el orden en el que son recogidos en la norma, son los siguientes:

• Procedimiento de notificación, gestión y respuesta ante las incidencias.
• Procedimientos de realización de copias de respaldo y de recuperación.
• Medidas para el transporte de soportes y documentos.
• Medidas para la destrucción o reutilización de documentos y soportes.
• Controles periódicos que se deben realizar para verificar el cumplimiento de lo dispuesto en el propio documento.
• Procedimiento de asignación, distribución y almacenamiento de contraseñas cuando éste sea el mecanismo de autenticación utilizado, que deberá establecer la periodicidad con la que tienen que ser cambiadas las contraseñas con el límite máximo de un año.
• Medidas alternativas al almacenamiento de ficheros no automatizados a los que por su contenido se ha asignado un nivel de seguridad alto cuando por las características de los locales del responsable del fichero no se pudiera cumplir lo establecido en el artículo 111 del RDLOPD.
• Procedimiento de acceso a la documentación que contenga datos de nivel alto de personal no autorizado.

Son exigibles otra serie de medidas que no se traducen en una obligación expresa de que pasen a formar parte del documento de seguridad; sin embargo, esto no impide que así sea, pudiendo incluirse medidas no exigidas por el RDLOPD pero sí por otras normas, o adoptadas por propia iniciativa del responsable del fichero, ya que las recogidas por el Reglamento en cada nivel tienen la condición de mínimos.

En materia de relaciones de personal autorizado junto a las exigidas por el RMS a conceder, alterar o anular el acceso autorizado y acceder a los soportes y documentos, se incluyen:

• Personal autorizado para:
  • almacenar datos en dispositivos portátiles,
  • tratar datos fuera de los locales del responsable del fichero o tratamiento,
  • tratar datos fuera de los locales del encargado del tratamiento.

  Que podrá referirse a un usuario o a un perfil de usuarios y tener determinado un periodo de validez.

• Personal que autoriza o que ha sido autorizado a llevar a cabo el proceso de salida de soportes y documentos, según como sea instrumentado por el responsable del fichero. Si bien en el RMS ya se contemplaba esta autorización no existía una exigencia expresa de que constase en el documento de seguridad.
• En relación con el control de acceso físico que ya se exigía en el RMS entre las medidas de nivel medio se especifica que los lugares con acceso restringido al personal autorizado en el documento de seguridad son aquellos donde se hallen instalados los equipos físicos que den soporte a los sistemas de información, por lo que parece que puede referirse en el caso de una red, a las salas de servidores, lo que con la redacción anterior quedaba menos claro.
• Como novedad en relación con las medidas de nivel alto aplicables al soporte no automatizado, deberá incluirse una relación de personal autorizado a permitir la generación de copias o la reproducción de documentos.

El responsable del fichero puede designar otras personas que autoricen por delegación el desarrollo de estas actividades, más aún teniendo en cuenta que en muchas ocasiones el responsable del fichero es una persona jurídica. Así podemos encontrar en función de la estructura organizativa del responsable del fichero relaciones de personal habilitado para otorgar autorizaciones, personal en el que recae dicha delegación, o personal autorizado.

No hay que olvidar que aunque no se exige que figuren en el documento de seguridad también deberán estar autorizados mediante la existencia de relaciones o autorizaciones, los usuarios de los sistemas de información, personas responsables de la entrega y recepción de soportes y documentos o quienes ejecutan los procedimientos de recuperación de datos.

En materia de registros además de los ya conocidos registros de incidencias, de entrada y salida de soportes o el famoso registro de accesos, que aunque deben mantenerse no necesariamente tienen que formar parte del documento de seguridad, surge una nueva obligación aplicable a todos los niveles de seguridad en relación con la anotación en el documento de seguridad de las pruebas con datos reales anteriores a la implantación o modificación de los sistemas de información que traten ficheros de carácter personal, por lo que será necesaria la creación de un registro de realización de dichas pruebas que en este caso deberá incluirse en el documento de seguridad.

También deben registrarse, aunque no ya en el documento de seguridad, los accesos realizados a documentos a los que son de aplicación medidas de seguridad de nivel alto siempre que puedan ser utilizados por múltiples usuarios.

Por último y lo que convierte definitivamente al documento de seguridad en un medio y garantía de que las medidas aplicadas son las adecuadas, es el hecho de que una serie de circunstancias recogidas a lo largo del articulado del RDLOPD deban quedar motivadas en el mismo:

• Los motivos por los que las características físicas del soporte imposibiliten que permitan identificar el tipo de información que contienen.
• Los motivos por los que en el caso de pérdida o destrucción que afecte a ficheros o tratamientos parcialmente automatizados, cuando exista documentación que permita reconstruir la información en el estado en que se encontraba al tiempo de producirse la misma, se deba proceder a grabar manualmente los datos.
• Los motivos por los que es estrictamente necesario proceder al tratamiento de datos de carácter personal de nivel alto en dispositivos portátiles que no permitan su cifrado.
• La concurrencia de las circunstancias que eximen al responsable del fichero de adoptar el registro de accesos aplicable a ficheros de nivel alto:
  • Que el responsable del fichero o del tratamiento es una persona física.
  • Que únicamente él tiene acceso y trata los datos personales.
• Los motivos por los que atendidas las características de los locales del responsable del fichero o tratamiento no fuera posible mantener ficheros a los que son aplicables medidas de seguridad de nivel alto en armarios, archivadores u otros sistemas de almacenamiento ubicados en áreas dotadas de sistemas de apertura mediante llave u otro dispositivo equivalente, que deban permanecer cerradas cuando no sea necesario el acceso a esos documentos.

No hay que olvidar que el documento de seguridad debe mantenerse actualizado en todo momento y revisado no solamente cuando se produzcan cambios en las disposiciones vigentes en materia de seguridad de los datos de carácter personal, como en este caso, sino también cuando:

• Se produzcan cambios relevantes en el sistema de información.
• Se produzcan cambios relevantes en el sistema de tratamiento empleado.
• Se produzcan cambios relevantes en su organización.
• Se produzcan cambios relevantes en el contenido de la información incluida en los ficheros o tratamientos.
• Como consecuencia de los controles periódicos realizados.

El documento de seguridad, por tanto, va a ser necesariamente objeto de revisión con la entrada en vigor del RDLOPD, pero además como consecuencia lógica deberá procederse a la adaptación de las medidas de seguridad aplicadas para que sean acordes con la nueva norma, y revisar la aplicación de los principios y derechos de la LOPD a la luz de las pautas establecidas por su desarrollo reglamentario.