MEDIDAS DE SEGURIDAD APLICABLES A LOS FICHEROS Y TRATAMIENTOS NO AUTOMATIZADOS (extracto del proyecto del reglamento de desarrollo de la LOPD - Junio 07)
Nuestros comentarios en ROJO..
......................
Medidas de seguridad de NIVEL BASICO (Es decir cualquier papel con Nombre y Apellido, junto a cualquier otra información personal (ej: Num. Telf, Dirección, Empresa y/o puesto de trabajo, etc...))
Artículo 103. Obligaciones comunes.
Tal y como lo especifica el R.M.S. actual, el soporte papel debe cumplir las mismas obligaciones que la información guardada en su formato electrónico. El nuevo reglamento recuerda claramente esta obligación en este Articulo
1. Además de lo dispuesto en el presente capítulo, a los ficheros no automatizados les será de aplicación lo dispuesto en los Capítulos I y II del presente Título en lo relativo a:a) Niveles de seguridad - b) Alcance. - c) Encargado del tratamiento. - d) Prestaciones de servicios sin acceso a datos personales. - e) Delegación de autorizaciones. - f) Régimen de trabajo fuera de los locales del responsable del fichero o encargado del tratamiento. - g) Copias de trabajo de documentos. - h) Documento de seguridad.
2. Asimismo se les aplicará lo establecido por la Sección Primera del CapítuloIII del presente Título en lo relativo a:a) Funciones y obligaciones del personal. - b) Registro de incidencias. - c) Control de acceso. - d) Gestión de soportes.
Los siguientes artículos dejan clara que los datos de carácter personal almacenado en soporte papel, deben someterse a medidas específicas y rigorosas.
Artículo 104. Criterios de archivo.
Habrá que hacer limpieza, no se puede conservar información que no sea necesaria!!!
El archivo de los soportes o documentos se realizará de acuerdo con los criterios previstos en su respectiva legislación. Estos criterios deberán garantizar la correcta conservación de los documentos, la localización y consulta de la información y posibilitar el ejercicio de los derechos de oposición al tratamiento, acceso, rectificación y cancelación. En aquellos casos en los que no exista norma aplicable, el responsable del fichero deberá establecer los criterios y procedimientos de actuación que deban seguirse para el archivo.
Artículo 105. Dispositivos de almacenamiento.
¡¡¡ Todo en cajones cerrados !!!
Los dispositivos de almacenamiento de los documentos que contengan datos de carácter personal deberán disponer de mecanismos que obstaculicen su apertura. Cuando las características físicas de aquéllos no permitan adoptar esta medida, el responsable del fichero o tratamiento adoptará medidas que impidan el acceso de personas no autorizadas.
Artículo 106. Custodia de los soportes.
Y tambien fuera del cajon debe estar protegido!!!
Mientras la documentación con datos de carácter personal no se encuentre archivada en los dispositivos de almacenamiento establecido en el artículo anterior, por estar en proceso de revisión o tramitación, ya sea previo o posterior a su archivo, la persona que se encuentre al cargo de la misma deberá custodiarla e impedir en todo momento que pueda ser accedida por persona no autorizada. Medidas de seguridad de
...............
NIVEL MEDIO (Datos relativos a finanzas, créditos, asuntos penales...)
AHORA ha quedado claro , aunque no se disponga de ordenadores en las empresas (privada, autónomo , asociación, club, etc... ) se debe de cumplir igualmente con la Ley de Protección de datos, y adoptar todas las medidas de seguridad.
Artículo 107. Responsable de seguridad.
Medida que J2M aplica desde el nivel Básico, ya que nos parece indispensable un responsable que se encargue de la seguridad de la información, sea el nivel que sea.
Se designará uno o varios responsables de seguridad en los términos y con las funciones previstas en el artículo 93 de este Reglamento.
Artículo 108. Auditoria.
Por supuesto, si existen medidas de seguridad a aplicar, es necesario verificar su implantación y aplicación correcta durante la auditoria...
Los ficheros comprendidos en la presente Sección se someterán, al menos cada dos años, a una auditoria interna o externa que verifique el cumplimiento del presente Título.
..............
Medidas de seguridad de NIVEL ALTO (datos de Salud, religión, afiliación sindical, etc..)
La cosa se pone complicada!!!, los armarios cerrados, también deben de estar en lugares con acceso restringido... Es decir, como mínimo dos "Llaves" hasta llegar a aquellos documentos!
Artículo 109. Almacenamiento de la información.
1.Los armarios, archivadores u otros elementos en los que se almacenen los ficheros no automatizados con datos de carácter personal deberán encontrarse en áreas en las que el acceso esté protegido con puertas de acceso dotadas de sistemas de apertura mediante llave u otro dispositivo equivalente. Dichas áreas deberán permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en el fichero.
2. Si, atendidas las características de los locales de que dispusiera el responsable del fichero o tratamiento, no fuera posible cumplir lo establecido en el apartado anterior, el responsable adoptará medidas alternativas que, debidamente motivadas, se incluirán en el documento de seguridad.
Artículo 110. Copia o reproducción.
Se trata de que el responsable no pierda de vista las copias que se pueden realizar
1. La generación de copias o la reproducción de los documentos únicamente podrá ser realizada bajo el control del personal autorizado en el documento de seguridad.
2. Deberá procederse a la destrucción de las copias o reproducciones desechadas de forma que se evite el acceso a la información contenida en las mismas o su recuperación posterior.
Artículo 111. Acceso a la documentación.
Además de disponer del listado de usuario con acceso a dicha información, se deberá de registrar su acceso!!!, eso si, no se especifica para cuanto tiempo hay que conservar dicho registro...
1. El acceso a la documentación se limitará exclusivamente al personal autorizado.
2. Se establecerán mecanismos que permitan identificar los accesos realizados en el caso de documentos, que puedan ser utilizados por múltiples usuarios.
3. El acceso de personas no incluidas en el párrafo anterior deberá quedar adecuadamente registrado de acuerdo con el procedimiento establecido al efecto en el documento de seguridad.
Artículo 112. Traslado de documentación.
Poco nos aclaran en este aspecto!!!, ¿Habrá que ir con maletines con llaves o como en las películas, con el maletín esposado?
Siempre que se proceda al traslado físico de la documentación contenida en un fichero, deberán adoptarse medidas dirigidas a impedir el acceso o manipulación de la información objeto de traslado.
... En resumen, se debe de aplicar medidas estrictas en el tratamiento de la información en soporte papel, sobre todo cuando se trata de información de Nivel Alto.
Los archivadores van a entrar a formar parte de los medios de almacenamiento de la información controlados por la LOPD, y por lo tanto deberán de disponer de medidas adicionales que van a suponer cambios importantes para las empresas...
Plazos para la implantacion de las medidas para los ficheros no automatizados que existieran en la fecha de entrada en vigor del presente Reglamento:
a) Las medidas de seguridad de nivel básico deberán implantarse en el plazo de un año desde su entrada en vigor.
b) Las medidas de seguridad de nivel medio deberán implantarse en el plazo de dieciocho meses desde su entrada en vigor.
c) Las medidas de seguridad de nivel alto deberán implantarse en el plazo de dos años desde su entrada en vigor
J2M...
.
