jueves, 24 de julio de 2008

Los archivos de empresa y el reglamento de desarrollo de la Ley orgánica 15/1999

El pasado 19 de enero de 2008, se publicaba en el BOE, el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley orgánica 15/1999
El reglamento -que según opinión generalizada, llega con retraso- nace con vocación de desarrollar la ley de protección de datos de carácter personal , y sobre todo de aclarar aquellos aspectos que el paso de los años ha evidenciado que precisaban un mayor desarrollo normativo.

Uno de los aspectos más significativos del reglamento ha sido la inclusión de normas y medidas de seguridad para la gestión de los ficheros en formato papel, una novedad con una repercusión directa sobre los archivos de empresa, ya que por primera vez en la legislación española se le exige a las empresas de manera explicita la obligación de garantizar una adecuada e integral gestión documental, en la que se incluye a todos los tipos de soportes documentales (papel o digital) y a lo largo de todo el ciclo vital de la documentación, desde su creación hasta su eliminación.


El reglamento establece tres niveles de seguridad para proteger los datos de carácter personal (básico, medio y alto), y exige la adopción de diferentes medidas en función del nivel de seguridad.

Las medidas de seguridad que se exigen a los ficheros y tratamientos no automatizados, es decir a la documentación en papel son las siguientes:



1.- MEDIDAS DE SEGURIDAD DE NIVEL BÁSICO


Criterios de archivo. Deben establecerse unos criterios y procedimientos de actuación en el archivo de la documentación, que garanticen la correcta conservación de los documentos así como su localización y consulta de la información. (Art. 106)

Dispositivos de almacenamiento. Los dispositivos de almacenamiento de los documentos que contengan datos de carácter personal deberán disponer de mecanismos que obstaculicen su apertura. Cuando las características físicas de aquéllos no permitan adoptar esta medida, el responsable del fichero o tratamiento adoptará medidas que impidan el acceso de personas no autorizadas. (Art. 107)

Custodia de los soportes. Mientras la documentación con datos de carácter personal no se encuentre archivada en los dispositivos de almacenamiento establecidos, por estar en proceso de revisión o tramitación, ya sea previo o posterior a su archivo, la persona que se encuentre al cargo de la misma deberá custodiarla e impedir en todo momento que pueda ser accedida por persona no autorizada. (Art. 108)

Control de acceso. 1. Los usuarios tendrán acceso únicamente a aquellos recursos que precisen para el desarrollo de sus funciones. 2. El responsable del fichero se encargará de que exista una relación actualizada de usuarios y perfiles de usuarios, y los accesos autorizados para cada uno de ellos. 3. El responsable del fichero establecerá mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados. 4. Exclusivamente el personal autorizado podrá conceder, alterar o anular el acceso autorizado sobre los recursos, conforme a los criterios establecidos por el responsable del fichero. 5. En caso de que exista personal ajeno al responsable del fichero que tenga acceso a los recursos deberá estar sometido a las mismas condiciones y obligaciones de seguridad que el personal propio. (Art. 91)

Gestión de soportes y documentos.
1.- Identificación y descripción. Los soportes y documentos que contengan datos de carácter personal deberán permitir identificar el tipo de información que contienen, ser inventariados y solo deberán ser accesibles por el personal autorizado.
2. Salidas. La salida de soportes y documentos que contengan datos de carácter personal fuera de los locales bajo el control del responsable del fichero o tratamiento deberá ser autorizada por el responsable del fichero o encontrarse debidamente autorizada en el documento de seguridad. En el traslado de la documentación se adoptarán las medidas dirigidas a evitar la sustracción, pérdida o acceso indebido a la información durante su transporte.
3.- Expurgo. Siempre que vaya a desecharse cualquier documento o soporte que contenga datos de carácter personal deberá procederse a su destrucción o borrado, mediante la adopción de medidas dirigidas a evitar el acceso a la información contenida en el mismo o su recuperación posterior. (Art. 92)

Registro de incidencias. Deberá existir un procedimiento de notificación y gestión de las incidencias que afecten a los datos de carácter personal y establecer un registro en el que se haga constar el tipo de incidencia, el momento en que se ha producido, o en su caso, detectado, la persona que realiza la notificación, a quién se le comunica, los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas. (Art. 90)


MEDIDAS DE SEGURIDAD DE NIVEL MEDIO

Responsables. Se designará uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en el documento de seguridad. (Art. 109)

Auditoría. Los ficheros en soporte papel se deben someter a una auditoría interna o externa, como mínimo cada dos años, salvo que antes de dicho periodo se realicen modificaciones sustanciales. (Art. 110)

MEDIDAS DE SEGURIDAD DE NIVEL ALTO

Almacenamiento de la información. Los armarios, archivadores u otros elementos en los que se almacenen los ficheros no automatizados con datos de carácter personal deberán encontrarse en áreas en las que el acceso esté protegido con puertas de acceso dotadas de sistemas de apertura mediante llave u otro dispositivo equivalente. Dichas áreas deberán permanecer cerradas cuando no sea preciso el acceso a los documentos. (Art. 111)

Copias o reproducciones. La generación de copias o la reproducción de los documentos únicamente podrán ser realizada bajo el control del personal autorizado Deberá procederse a la destrucción de las copias o reproducciones desechadas de forma que se evite el acceso a la información contenida en las mismas o su recuperación posterior. (Art. 112)

Acceso a la documentación. El acceso a la documentación se limitará exclusivamente al personal autorizado. Se establecerán mecanismos que permitan identificar los accesos realizados en el caso de documentos que puedan ser utilizados por múltiples usuarios. (Art. 113)

Traslado de documentación. Siempre que se proceda al traslado físico de la documentación contenida en un fichero, deberán adoptarse medidas dirigidas a impedir el acceso o manipulación de la información objeto de traslado. (Art. 114)

No hay comentarios: