LOPD EN DESPACHOS DE ABOGADOS

Medidas de seguridad para ficheros no automatizados

Tribuna
Pedro-Torre-Rodriguez_EDEIMA20160302_0004_1.jpg

Como décima entrega de la serie de artículos sobre protección de datos personales en los bufetes de abogados hoy les comentaré lo relativo a las medidas de seguridad para ficheros no automatizados del despacho.

Ficheros no automatizados y niveles de seguridad

Como ya les comenté anteriormente los ficheros no automatizados son conjuntos de datos de carácter personal organizados de forma no automática y estructurados conforme a criterios específicos relativos a personas físicas que permitan acceder sin esfuerzos desproporcionados a sus datos personales, ya sea aquel centralizado, descentralizado o repartido de forma funcional o geográfica. En definitiva, los ficheros no informatizados. 

Conviene también recordar someramente los tres niveles de seguridad relativos a la tipología de los datos que contiene el fichero no automatizado:

Nivel de seguridad alto

Todos los ficheros no automatizados de datos personales sobre ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual y respecto de los que no se prevea la posibilidad de adoptar el nivel básico. Se aplica también a los datos personales con fines policiales recabados sin consentimiento del afectado y los derivados de violencia de género.

Nivel de seguridad medio

Todos los ficheros no automatizados de datos personales sobre comisión de infracciones administrativas o penales, prestación de servicios de solvencia patrimonial o de crédito, los relativos a potestades tributarias de la Administración, los relativos a servicios financieros y de mutuas de accidentes de trabajo, los que ofrezcan información sobre la personalidad y el comportamiento, y los operadores de comunicaciones electrónicas respecto de los datos de tráfico y localización.

Nivel de seguridad bajo

Todos los ficheros no automatizados de datos personales sobre el resto de datos que no se engloben en las categorías anteriores.

Ficheros no automatizados de seguridad básica

Respecto de los ficheros no automatizados de datos personales con un nivel de seguridad básica, hay que tener en cuenta las siguientes disposiciones:

  • Las funciones y obligaciones del personal con acceso a los datos de carácter personal estarán claramente definidas y documentadas en el documento de seguridad. También se definirán las funciones de control o autorizaciones delegadas por el responsable del fichero o tratamiento.
  • El archivo de los soportes o documentos se realizará de acuerdo con los criterios previstos en su respectiva legislación. Estos criterios deberán garantizar la correcta conservación de los documentos, la localización y consulta de la información y posibilitar el ejercicio de los derechos de oposición al tratamiento, acceso, rectificación y cancelación
    • Deberá existir un procedimiento de notificación y gestión de las incidencias que afecten a los datos de carácter personal y establecer un registro en el que se haga constar el tipo de incidencia, el momento en que se ha producido, o en su caso, detectado, la persona que realiza la notificación, a quién se le comunica, los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas.
    • El personal tendrá acceso únicamente a aquellos recursos que precisen para el desarrollo de sus funciones en el despacho jurídico.
    • Se establecerán mecanismos en el despacho para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados. Exclusivamente el personal autorizado para ello en el documento de seguridad podrá conceder, alterar o anular el acceso autorizado sobre los recursos, conforme a los criterios establecidos por el responsable del fichero.
    • Los dispositivos de almacenamiento de los documentos que contengan datos de carácter personal deberán disponer de mecanismos que obstaculicen su apertura. Cuando las características físicas de aquéllos no permitan adoptar esta medida, el responsable del fichero o tratamiento adoptará medidas que impidan el acceso de personas no autorizadas.
    • Mientras la documentación con datos de carácter personal no se encuentre archivada en los dispositivos de almacenamiento establecidos, la persona que se encuentre al cargo de la misma deberá custodiarla e impedir en todo momento accesos no autorizados.
    • La salida del despacho jurídico de documentos que contengan datos de carácter personal deberá ser autorizada por el responsable del fichero o encontrarse debidamente autorizada en el documento de seguridad. En el traslado de la información se adoptarán las medidas dirigidas a evitar la sustracción, pérdida o acceso indebido a la información durante su transporte.
    • A las copias de los documentos les serán de aplicación las mismas medidas de seguridad que al documento original, debiendo ser destruidas dichas copias una vez hayan cumplido con la función para la que se realizaron.

Ficheros no automatizados de seguridad media

Respecto de los ficheros no automatizados de datos personales con un nivel de seguridad media, además de las consideraciones aplicables a los ficheros no automatizados de datos personales de nivel y bajo, hay que tener en cuenta las siguientes disposiciones:

  • En el documento de seguridad deberán designarse uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en el mismo. Esta designación puede ser única para todos los ficheros o tratamientos de datos de carácter personal o diferenciada según los sistemas de tratamiento utilizados, circunstancia que deberá hacerse constar claramente en el documento de seguridad.
  • Las instalaciones que almacenen datos personales de nivel medio así como los procesos para su gestión se someterán, al menos cada dos años, a una auditoría interna o externa que verifique el cumplimiento de las medidas consignadas en el documento de seguridad. Igualmente deberá efectuarse una auditoría ante cambios sustanciales en las instalaciones o procesos utilizados.
  • Exclusivamente el personal autorizado en el documento de seguridad podrá tener acceso a los lugares donde se hallen almacenados los datos personales de nivel medio, quedando prohibido al resto del personal no sólo el acceso a los documentos, sino al espacio en el que se almacenan.

Ficheros no automatizados de seguridad alta

Respecto de los ficheros no automatizados de datos personales con un nivel de seguridad alta, además de las consideraciones aplicables a los ficheros no automatizados de datos personales de nivel medio y bajo, hay que tener en cuenta las siguientes disposiciones:

  • Los armarios, archivadores u otros elementos en los que se almacenen los ficheros no automatizados con datos de carácter personal deberán encontrarse en áreas en las que el acceso esté protegido con puertas de acceso dotadas de sistemas de apertura mediante llave u otro dispositivo equivalente.
  • La generación de copias o la reproducción de los documentos únicamente podrá ser realizada bajo el control del personal autorizado en el documento de seguridad.
  • Se establecerán mecanismos que permitan identificar los accesos realizados en el caso de documentos que puedan ser utilizados por múltiples usuarios.
  • Siempre que se proceda al traslado físico de la documentación contenida en un fichero, deberán adoptarse medidas dirigidas a impedir el acceso o manipulación de la información objeto de traslado.
  • Se deberá contar con un plan frente a desastres que permita asegurar que se impide el deterioro o pérdida de la información frente a incendios, inundaciones, robos y similares.

Recomendaciones

Como ve, en función de la tipología de los datos personales que gestione en el despacho jurídico deberá implantar medidas más o menos severas para asegurar dichos datos personales. 

Por ello, antes de entrar de lleno a definir procesos de seguridad conviene que se haya planteado adecuadamente los ficheros de datos que deberá registrar y su tipología. Si en un mismo fichero de datos personales conviven datos de distinto nivel de seguridad se deberá aplicar siempre el más restrictivo, con que merece la pena, como ya le comenté anteriormente, clasificar sus ficheros de datos personales por uso y tipología. 

La severidad de las medidas a implantar va a condicionar mucho el coste de las mismas así como el funcionamiento del propio despacho jurídico, por lo que conviene realizar un planteamiento adecuado desde el principio que le permita ser eficiente y ahorrar costes a la par que cumple con sus obligaciones legales. 

Les espero en la próxima entrega: “Procedimientos de seguridad (Parte I)”


ElDerecho.com no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación