Una de las novedades del Reglamento de desarrollo de la Ley Orgánica 15/1999 de 13 de diciembre, de protección de datos de carácter personal (LOPD) ha sido la regulaciónde las medidas de seguridad de los tratamientos no automatizados, donde se incluyen los papeles que contenga datos de carácter personal. Distinguiéndose, para las medidas de seguridad a implantar al papel, también tres niveles de seguridad, el básico, medio y alto, según el tipo de datos personales que se traten, y aplicándose algunas medidas de seguridad que se exigen a los tratamientos automatizados, como son las funciones y obligaciones del personal, el registro de incidencias, control de acceso, gestión de soportes, y para el nivel medio y alto, el responsable de seguridad y la auditoría.
Se establecen, por el reglamento de desarrollo de la LOPD, medidas de seguridad especificas para los tratamientos no automatizados. Así, para el nivel básico de seguridad se exige que el archivo de los documentos o soportes se realice con unos criterios de archivo, que pueden ser los exigidos la legislación vigente, como puede ser el caso del archivo de facturas, y cuando no haya una norma aplicable al archivo de los documentos, estos criterios de archivo se establecerán por el responsable del fichero, debiendo garantizarse la correcta conservación de los documentos, su localización y la consulta de la información para poder satisfacer los derechos de acceso, rectificación, cancelación y oposición.
Por otro lado, se exige, en cuanto al almacenamiento de los documentos, que el lugar donde se conserven los documentos disponga de mecanismos que obstaculicen su apertura, como pueden ser las cerraduras. Exigiendo, el reglamento de desarrollo de la LOPD, respecto al nivel alto de seguridad para los ficheros no automatizados, que los armarios, archivadores, etc, donde se archive la información, debe encontrarse en lugares con puertas con cerraduras, debiendo permanecer las puertas cerradas cuando no sea preciso acceder a los documentos. Si bien, el reglamento prevé que cuando las características físicas del lugar de almacenamiento de los documentos, no permita adoptar estas medidas de seguridad, el responsable del fichero puede adoptar otras medidas, debidamente motivadas y reflejadas en el documento de seguridad, que impidan el acceso a los documentos por quien no esta autorizado. Como por ejemplo, colocar un vigilante de seguridad en la zona donde se almacenen los documentos, que impida que accedan las personas no autorizadas.
En cuanto a los documentos que no se encuentren en los lugares de almacenamiento, ya sea por estar en fase de elaboración, consulta o revisión, se exige como medida de seguridad, que las personas que tenga los documentos a su cargo, se responsabilicen de custodiarlos e impidan que accedan a ellos personas no autorizadas. Medida ésta, que obliga por ejemplo, el no dejar documentación con datos de carácter personal encima de las mesas de trabajo cuando circulen por ella personas que no tengan autorización de acceder a dichos documentos. Siendo responsable en cada caso, el empleado que tenga a su cargo cada documento.
En cuanto a la realización de copias o reproducción de documentos, se exige como medida de nivel alto de seguridad, que únicamente se realice bajo el control de personal autorizado, lo cual conlleva, o que se impida la copia o reproducción de documentos, para ello se deberán eliminar o limitar el uso de fotocopiadoras e impedir la impresión de determinados documentos, o bien autorizar, a todas las personas a las que se les permita acceder a los documentos, la realización de copias o reproducción.
Estas copias o reproducción de documentos, cuando sean desechados, se deberán destruir para evitar el acceso a la información, mediante, por ejemplo el uso de destructoras de papel por los usuarios o almacenamiento del papel para su retirada y destrucción por un tercero contratado al efecto.
Otra obligación del nivel alto de seguridad en el tratamiento del papel, es limitar su acceso exclusivamente al personal autorizado, e identificar los accesos que se realicen a los documentos cuando puedan ser utilizados por múltiples usuarios, y registrar los accesos de las personas que no hayan quedado identificadas.
Como última medida de seguridad de nivel alto, al transportar físicamente los documentos, se debe impedir el acceso o manipulación de la información de dichos documentos. Si bien, hay una medida de seguridad similar, dentro del reglamento de desarrollo de la LOPD, para el nivel básico de los tratamientos automaticazos, en la gestión de soportes y documentos, que obliga a adoptar medidas para evitar la sustracción, perdida o acceso indebido a la información durante su transporte.
Todas estas medidas de seguridad para el tratamiento de los datos en papel, tienen un plazo de implantación distinto del de entrada en vigor del reglamento de desarrollo de la LOPD, que depende, del nivel de seguridad y de si los ficheros existen a la entrada en vigor del reglamento. Así, para los ficheros no automatizados que existan a la entrada en vigor del reglamento, es decir, el 19 de abril del 2008, las medidas de seguridad de nivel básico deberán implantarse antes del 19 de abril del 2009, las medidas de seguridad del nivel medio antes del 19 de octubre del 2009, y las de nivel alto deben implantarse antes del 19 de abril de 2010. Y si los ficheros no automatizados se han creado con posterioridad al 19 de abril del 2008, deberán tener implantadas las medidas de seguridad desde el momento de su creación.
Gonzalo M.Flechoso
Abogado-CISA