La Ley Orgánica de Protección de Datos, y su correspondiente Reglamento de Desarrollo, aprobado por Real Decreto 1720/2007, marca un gran número de medidas a adoptar, por parte de las organizaciones que tienen datos de carácter personal, que son diferentes y acumulativas según el nivel de seguridad que marcan los datos.
Pero para empezar, aclarar que los datos no son de las organizaciones que los tienen, son de las propias personas físicas, que disponen del derecho de acceso, rectificación, cancelación, bloqueo o denegación, que pueden ejercer ante las citadas organizaciones, que han de realizar los derechos ejercidos y comunicarlo al titular de los datos, generalmente en un plazo de diez días máximo. Para velar por el cumplimiento del ejercicio de los derechos esta la Agencia Española de Protección de Datos, a la que se puede pedir amparo.
Otra aclaración importante, es que no se distingue entre medios automatizados o no automatizados, es decir en formato digital-electrónico o documental-papel. Tampoco se diferencia entre ficheros de organizaciones públicas o privadas, todas han de cumplir determinados requisitos, aunque con excepciones en algunos casos para los públicos.
La primera obligación es nombrar un Responsable de Fichero, que será el responsable de que la organización cumpla con todo lo que marca la ley, además de ser el interlocutor con la Agencia Española de Protección de Datos. En algunos casos también un Responsable de Seguridad, que ayude al primero.
La segunda obligación es la de inscripción de los ficheros en la Agencia Española de Protección de Datos, que ha de hacerse antes de incluir datos personales en los mismos. La citada agencia nos notificara un número de registro para cada fichero.
Tercera y quizás la mas compleja, la redacción del Documento de Seguridad, en el que se recogen todas las medidas de seguridad que se han de aplicar en la organización, todos los ficheros inscritos ante la agencia, los responsables de tratamiento y sus obligaciones, si existen responsables de seguridad y sus obligaciones. Como se gestionan los derechos de acceso, rectificación, cancelación, bloqueo o denegación, así como se informa de los mismos. Quien puede acceder a los datos, como, cuando y porque. Como se gestionan las copias de seguridad. Como se gestionan los soportes. Como se gestionan las incidencias. Etc. Todo ello adaptado a los diferentes entornos que existen en las organizaciones, según usen los datos, quien los uses y para que, así como si son el formato documental-papel, electrónico o mixto (el más habitual).
Cuarta, dependiendo del nivel de seguridad de los datos, se tomaran diferentes medias, de modo acumulativos, es decir, todos los ficheros las marcadas para el nivel básico, las de nivel medio más las de nivel básico para los ficheros marcados como nivel medio, y así sucesivamente. Todas estas medidas se desarrollan en el Documento de Seguridad, aquí solo las enumeraremos, siendo diferentes para cada nivel de seguridad:
- BASICO: Funciones y obligaciones del personal. Registro de incidencias. Control de accesos. Gestión de soportes y documentos. Identificación y autenticación. Copias de respaldo y recuperación.
- MEDIO: Responsable de seguridad. Auditoria. Gestión de soportes y documentos. Identificación y autenticación. Control de acceso físico. Registro de incidencias.
- ALTO: Gestión y distribución de soportes. Copias de respaldo y recuperación. Registro de accesos. Telecomunicaciones.
Quinta, para los ficheros no automatizados, además y entre otras medidas, se les aplicara las siguientes medidas, también acumulativas:
- BASICO: Criterios de archivo, dispositivos de almacenamiento y custodia de soportes.
- MEDIO: Responsable de seguridad y Auditoria.
- ALTO: Almacenamiento de la información, copia o reproducción, acceso a la documentación y traslado de documentación.
Sexta, la adaptación documental, que incluye las páginas Web, los correos electrónicos, los formularios o los contratos, con la inclusión de las diferentes “coletillas informativas”, la inclusión de un “Aviso Legal” en la pagina Web, así como la correcta planificación de la pagina. También a de incluirse las cláusulas correspondientes en los contratos de nuestros tratadores de datos o en los que nosotros tratemos dados de otros.
Además de todo esto, siempre esta la Agencia Española de Protección de Datos, para velar y hacer cumplir con lo que marca la ley, además de ayudarnos a ello con la publicación de diferentes guías, resoluciones, consultas, etc.
