Circular 12/99 

NORMATIVA DE PROTECCIÓN DE DATOS

MEDIDAS DE SEGURIDAD QUE SE DEBEN ADOPTAR

La Ley Orgánica 5/1992, de 29 de octubre (BOE de 31 de octubre), tiene por objeto limitar el uso de la informática y otras técnicas y medios de tratamiento automatizado de los datos de carácter personal, para garantizar el honor, la intimidad personal y familiar de las personas físicas y el pleno ejercicio de sus derechos. Es de aplicación a los datos de carácter personal que figuren en ficheros automatizados del sector público y privado y a toda modalidad de uso posterior.

La Ley considera como fichero automatizado todo conjunto organizado de datos de carácter personal que sean objeto de un tratamiento automatizado, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso. De esta suerte, un fichero contable o de clientes, para poner un ejemplo, entra dentro de la anterior definición, aunque no tenga una finalidad pública o diferente a aquélla por la que fue creado. De lo que se deduce que, en principio, toda empresa tiene grandes probabilidades de tener uno o varios ficheros automatizados.

El artículo 24 de la Ley citada establece que toda persona o entidad que proceda a la creación de ficheros automatizados de datos de carácter personal lo notificará previamente a la Agencia de Protección de Datos y, según la Disposición Adicional 2ª, los ficheros preexistentes deberán igualmente ser notificados.

El Real Decreto 1332/1994, de 20 de junio (BOE de 21 de junio), que desarrolló el contenido de la Ley Orgánica que comentamos, contenía una Disposición Adicional con una redacción equívoca pero cuyos efectos prácticos suponían la obligación de declarar los ficheros ya existentes a la Agencia.

La Resolución de 22 de junio de 1994 (BOE de 23 de junio de 1994), de la Agencia de Protección de Datos, aprobó los modelos normalizados en soporte papel y magnético a través de los que deben efectuarse las correspondientes inscripciones en el Registro General de Protección de Datos.

Insistimos en la necesidad de revisar el cumplimiento de la inscripción en dicho Registro de las bases de datos que se utilizan así como de sus actualizaciones o mejoras.

Es importante recordar que el tratamiento automatizado de los datos requiere el consentimiento del afectado, pudiendo obtenerse tácitamente salvo en los casos que la Ley exige se haga de forma expresa (ideología, religión, creencias, etc). Por otra parte la cesión de dichos datos precisa también de ese consentimiento previo que será para finalidades concretas.

El nuevo Reglamento aprobado por el Real Decreto 994/1999, de 11 de junio (BOE 25-6-99) tiene por objeto el desarrollo de la reseñada Ley Orgánica 5/1.992 estableciendo las medidas de índole técnica y organizativa que garanticen la confidencialidad e integridad de la información con la finalidad de preservar el honor, la intimidad personal y familiar y el pleno ejercicio de los derechos personales frente a su alteración, pérdida, tratamiento o acceso no autorizado. El Reglamento distingue tres categorías de medidas de seguridad:

Por último es importante resaltar que el Reglamento regula el régimen sancionador previsto para el caso de incumplir su contenido, remitiéndose a lo que sobre esta materia establecen los artículos 43, 44 y 45 de la Ley Orgánica 5/1.992. A modo de ejemplo indicamos que las sanciones previstas para infracciones leves son multa de 100.000.- Ptas. a 10.000.000.- Ptas. y para las muy graves de 50.000.001.- Ptas. a 100.000.000.- Ptas.

CONCLUSIONES

1º) Aconsejamos revisar el cumplimiento de la correspondiente inscripción en el Registro General de Protección de Datos de los ficheros que disponga la empresa y, en su caso, actualizar las realizadas en 1.994.

2º) Revisar o, en su caso, adoptar las medidas pertinentes para que los afectados conozcan la existencia del fichero y, de pretender su cesión, que autoricen la misma.

3º) Adoptar las medidas de seguridad de nivel básico antes del próximo 25 de diciembre de 1999 e iniciar los trámites para cubrir las restantes medidas de seguridad tanto de nivel medio como de nivel superior que deben funcionar antes de 25 de junio de 2.000 y de 25 de junio de 2.001, respectivamente.

Consideramos de gran transcendencia cumplir la normativa expuesta con el máximo rigor, no sólo por el grave régimen sancionador previsto sino por tratarse de una materia altamente sensible al versar sobre el trato y cuidado de datos de terceros (empleados, clientes, proveedores, etc.) que confían en la confidencialidad de sus datos personales.

Quedamos a su entera disposición para ampliar la presente información así como para, en su caso, asesorar sobre la correcta aplicación del Reglamento de medidas de seguridad de ficheros automatizados que contengan datos de carácter personal y en la revisión del resto de cuestiones relacionadas con esta materia. Asimismo nos permitimos indicarles, por si es de su interés, la dirección de la página web de la Agencia de Protección de Datos en la que encontrarán más información sobre este particular. http://www.ag-proteccióndatos.es.

Barcelona, diciembre de 1.999

NORMATIVA DE PROTECCIÓN DE DATOS MEDIDAS DE SEGURIDAD QUE SE DEBEN ADOPTAR La Ley Orgánica 5/1992, de 29 de octubre (BOE de 31 de octubre), tiene por objeto limitar el uso de la informática y otras técnicas y medios de tratamiento automatizado de los datos de carácter personal, para garantizar el honor, la intimidad personal y familiar de las personas físicas y el pleno ejercicio de sus derechos. Es de aplicación a los datos de carácter personal que figuren en ficheros automatizados del sector público y privado y a toda modalidad de uso posterior. La Ley considera como fichero automatizado todo conjunto organizado de datos de carácter personal que sean objeto de un tratamiento automatizado, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso. De esta suerte, un fichero contable o de clientes, para poner un ejemplo, entra dentro de la anterior definición, aunque no tenga una finalidad pública o diferente a aquélla por la que fue creado. De lo que se deduce que, en principio, toda empresa tiene grandes probabilidades de tener uno o varios ficheros automatizados. El artículo 24 de la Ley citada establece que toda persona o entidad que proceda a la creación de ficheros automatizados de datos de carácter personal lo notificará previamente a la Agencia de Protección de Datos y, según la Disposición Adicional 2ª, los ficheros preexistentes deberán igualmente ser notificados. El Real Decreto 1332/1994, de 20 de junio (BOE de 21 de junio), que desarrolló el contenido de la Ley Orgánica que comentamos, contenía una Disposición Adicional con una redacción equívoca pero cuyos efectos prácticos suponían la obligación de declarar los ficheros ya existentes a la Agencia. La Resolución de 22 de junio de 1994 (BOE de 23 de junio de 1994), de la Agencia de Protección de Datos, aprobó los modelos normalizados en soporte papel y magnético a través de los que deben efectuarse las correspondientes inscripciones en el Registro General de Protección de Datos. Insistimos en la necesidad de revisar el cumplimiento de la inscripción en dicho Registro de las bases de datos que se utilizan así como de sus actualizaciones o mejoras. Es importante recordar que el tratamiento automatizado de los datos requiere el consentimiento del afectado, pudiendo obtenerse tácitamente salvo en los casos que la Ley exige se haga de forma expresa (ideología, religión, creencias, etc). Por otra parte la cesión de dichos datos precisa también de ese consentimiento previo que será para finalidades concretas. El nuevo Reglamento aprobado por el Real Decreto 994/1999, de 11 de junio (BOE 25-6-99) tiene por objeto el desarrollo de la reseñada Ley Orgánica 5/1.992 estableciendo las medidas de índole técnica y organizativa que garanticen la confidencialidad e integridad de la información con la finalidad de preservar el honor, la intimidad personal y familiar y el pleno ejercicio de los derechos personales frente a su alteración, pérdida, tratamiento o acceso no autorizado. El Reglamento distingue tres categorías de medidas de seguridad: A.- Medidas de seguridad de nivel básico. Deben haberse adoptado antes del próximo 25 de diciembre de 1999. El responsable del fichero, es decir, el titular del mismo debe elaborar una normativa de seguridad interna que debe reflejarse en un documento de obligado cumplimiento para todo el personal de la Compañía con acceso a los datos automatizados de carácter personal y a los sistemas de información. El contenido de este documento debe mantenerse actualizado en todo momento, especialmente cuando se produzcan cambios significativos en el sistema de información, y consiste en: a) Descripción de los ficheros protegidos y de su escritura. b) Descripción de quiénes tiene acceso autorizado, cómo se les identifica y se comprueba su identidad. Que, acceso a la información requiere la utilización de contraseñas y con qué periodicidad se cambian éstas. Por último, cuál es el soporte físico sobre el que se trabaja la información y sobre cual se pueden grabar o recuperar. c) Descripción del procedimiento de incidencias para el caso de anomalías que pudieran afectar a la seguridad del sistema. d) Descripción de los procedimientos de realización de copias de respaldo y de recuperación de datos. Las personas que tengan acceso a los datos de carácter personal deben estar informadas de sus funciones y obligaciones, lo cual debe constar en el documento de constante referencia. Los soportes informáticos que contengan datos de carácter personal deben permitir identificar el tipo de información que contienen, ser inventariados y almacenarse en lugares con acceso restringido. El responsable del fichero es el único que puede autorizar la salida de los locales de los soportes de dichos ficheros. B.- Medidas de seguridad de nivel medio. Deben hacerse adoptado antes del 25 de junio de 2.000. Estas medidas suponen la identificación de uno o más responsables de seguridad que se encargarán de coordinar y controlar las medidas definidas en el documento de seguridad. También supone el sometimiento a una auditoría, interna o externa, que verificará el cumplimiento de la normativa de seguridad de datos, al menos cada dos años. La identificación del responsable de seguridad deberá añadirse al documento de seguridad descrito anteriormente. En relación a quién debe realizar la auditoría de protección de datos, la norma no lo determina por lo que deberemos esperar a futuras concreciones normativas. Se debe establecer un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado, limitándose la posibilidad de intentar reiteradamente el acceso denegado. También en esta fase debe establecerse un sistema de registro de entrada de soportes informáticos que permita indentificarlos. C.- Medidas de seguridad de nivel alto. Deben haberse adoptado antes del 25 de junio de 2.001. Estas medidas implican que la distribución de soportes que contengan datos de carácter personal se realizará cifrando dichos datos o con cualquier otro sistema de protección. Por otra parte deberá llevarse un registro de accesos, que debe conservarse al menos durante dos años. Por último es importante resaltar que el Reglamento regula el régimen sancionador previsto para el caso de incumplir su contenido, remitiéndose a lo que sobre esta materia establecen los artículos 43, 44 y 45 de la Ley Orgánica 5/1.992. A modo de ejemplo indicamos que las sanciones previstas para infracciones leves son multa de 100.000.- Ptas. a 10.000.000.- Ptas. y para las muy graves de 50.000.001.- Ptas. a 100.000.000.- Ptas. CONCLUSIONES 1º) Aconsejamos revisar el cumplimiento de la correspondiente inscripción en el Registro General de Protección de Datos de los ficheros que disponga la empresa y, en su caso, actualizar las realizadas en 1.994. 2º) Revisar o, en su caso, adoptar las medidas pertinentes para que los afectados conozcan la existencia del fichero y, de pretender su cesión, que autoricen la misma. 3º) Adoptar las medidas de seguridad de nivel básico antes del próximo 25 de diciembre de 1999 e iniciar los trámites para cubrir las restantes medidas de seguridad tanto de nivel medio como de nivel superior que deben funcionar antes de 25 de junio de 2.000 y de 25 de junio de 2.001, respectivamente. Consideramos de gran transcendencia cumplir la normativa expuesta con el máximo rigor, no sólo por el grave régimen sancionador previsto sino por tratarse de una materia altamente sensible al versar sobre el trato y cuidado de datos de terceros (empleados, clientes, proveedores, etc.) que confían en la confidencialidad de sus datos personales. Quedamos a su entera disposición para ampliar la presente información así como para, en su caso, asesorar sobre la correcta aplicación del Reglamento de medidas de seguridad de ficheros automatizados que contengan datos de carácter personal y en la revisión del resto de cuestiones relacionadas con esta materia. Asimismo nos permitimos indicarles, por si es de su interés, la dirección de la página web de la Agencia de Protección de Datos en la que encontrarán más información sobre este particular. http://www.ag-proteccióndatos.es. Barcelona, diciembre de 1.999