En muchas ocasiones nos hemos referido a ciertas medidas de seguridad y procesos necesarios cuando los ficheros de carácter personal dentro de una empresa u organización se tratan en ficheros automatizados.
Hoy quiero referirme a los datos de carácter personal cuando son tratados en ficheros no automatizados y a las medidas de seguridad aplicación en estos casos, a partir de su definición en el reglamento 1720/2007 de 21 de diciembre (en adelante RDL).
En cuanto a los niveles de seguridad mantiene la misma categorización entre alta, media y baja, y en función del tipo de datos almacenados. Además comparte la legislación para el resto de ficheros (ver art. 105 RDL).
Vamos a definir algunas medidas importantes e imprescindibles a tener en cuenta, dado su propia idiosincrasia:
En cuanto a los ficheros con nivel de seguridad básicos (que todos como mínimo deberán adoptar) las medidas a seguir se relacionan en los arts. 105-108. Estas son principalmente:
El artículo 106. Criterios de archivo.
El archivo de los soportes o documentos se realizará de acuerdo con los criterios previstos en su respectiva legislación. Estos criterios deberán garantizar la correcta conservación de los documentos, la localización y consulta de la información y posibilitar el ejercicio de los derechos de oposición al tratamiento, acceso, rectificación y cancelación.
En aquellos casos en los que no exista norma aplicable, el responsable del fichero deberá establecer los criterios y procedimientos de actuación que deban seguirse para el archivo.
Artículo 107. Dispositivos de almacenamiento.
Los dispositivos de almacenamiento de los documentos que contengan datos de carácter personal deberán disponer de mecanismos que obstaculicen su apertura. Cuando las características físicas de aquéllos no permitan adoptar esta medida, el responsable del fichero o tratamiento adoptará medidas que impidan el acceso de personas no autorizadas.
Artículo 108. Custodia de los soportes.
Mientras la documentación con datos de carácter personal no se encuentre archivada en los dispositivos de almacenamiento establecidos en el artículo anterior, por estar en proceso de revisión o tramitación, ya sea previo o posterior a su archivo, la persona que se encuentre al cargo de la misma deberá custodiarla e impedir en todo momento que pueda ser accedida por persona no autorizada.
Para los ficheros de nivel medio, dichas medidas vienen definidas en el arts. 109 y 110. y básicamente es la necesidad de existencia de un responsable de seguridad y de la auditoría bianual.
Por lo que respecta a los ficheros de nivel alto, además de todas las anteriores, las medidas a adoptar las tenemos definidas en los arts.111-114.
Especial importancia tendrá el control del archivado de este tipo de documentación. La documentación deberá permanecer en armarios o archivadores cerrados, y si no existe posibilidad de realizarlo, deberá estar debidamente motivado y reflejado en el DS.
No menos importante, será gestionar y controlar el acceso a la documentación reflejada en el art. 113, se deberá asegurar que sólo tiene acceso las personas autorizadas (reflejadas en el documento de seguridad) y en caso de personal no autorizado deberá quedar reflejado el acceso según el procedimiento descrito en el DS.
También es muy típico que la documentación / expedientes, etc. puedan estar en procesos de revisión e incluso que se hagan copias de ellos. En tales casos, mientras la documentación en forma de papel esté en proceso de revisión deberá estar custodiada por la persona autorizada y deberá poderse impedir el acceso a persona no autorizada. Además en casos de la realización de copias y/o reproducciones, además de lo anteriormente comentado será necesario que sean destruidas una vez termine el objeto al cual fueron realizadas.
Como vemos, el RDL establece ya claramente cuáles son las medidas a adoptar. Creemos que es interesante conocerlas y además, también es de interés mayor para administraciones y entidades locales (EELL) en la gestión de la documentación y expedientes objeto de sus funciones.
Como última reflexión, creo que se hace cada vez más importante la aplicación de estas medidas a nivel global, y lo interesante que puede ser la utilización de sistemas de gestión documental avanzados, por las posibilidades implícitas que nos aportan en cuanto a la aplicación normativa de las medidas de seguridad y el correcto control y seguimiento de la documentación. Sin hablar de beneficios adicionales propios de la digitalización documental.
Autor: Juan A. Expósito.
P.D.: Respecto de esto último, invitaros a conocer algunas de las aplicaciones de valor que pueden ayudarnos de forma determinante en la gestión documental, el control de accesos y procesos dentro de las organizaciones en un evento formativo que se realizará en nuestras instalaciones. Ver más información en http://www.controlsys.es/eventos