En esta tercera entrega compararemos las medidas de nivel medio que se establecían en el Real Decreto 994/1999, de 11 de junio (que continuaremos llamando RD anterior) frente a las que aparecen ahora recogidas en el Real Decreto 1720/1997, de 21 de diciembre que también continuaremos llamando RD nuevo.Tenemos que reiterar la advertencia que ya hicimos en anteriores entradas sobre el carácter acumulativo de las medidas de seguridad, esto es, que las medidas de nivel básico se aplicarán a todos los ficheros automatizados o no (los no automatizados con algunas peculiaridades) que se incluyan dentro del ámbito de aplicación de la LOPD, con independencia del adjetivo que exhiban sus ficheros (básico, medio o alto). Los ficheros de nivel medio deberán adoptar las medidas de carácter básico así como las propias de su nivel medio.
Cuáles sean los ficheros o tratamientos que deban adoptar las medidas de nivel medio se recogen en el artículo 81.2 del RD nuevo que, básicamente, se refiere a los siguientes:
* Los relativos a la comisión de infracciones administrativas o penales.
* los relativos a la prestación de servicios de información sobre solvencia patrimonial y crédito (ASNEF y similares).
* Aquellos de los que sean responsables Administraciones tributarias en el ámbito de sus competencias (Hacienda somos todos).
* Los ficheros de las entidades financieras relativos a la prestación de servicios financieros (no sólo bancos y cajas, sino también entidades de refinanciación, de reunificación de deudas y similares).
* Los de las Entidades Gestoras, Servicios Comunes de la Seg. Soc. y Mutuas de Accidentes de Trabajo relativos al ejercicio de sus competencias.
* Aquellos que contengan un conjunto de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos (este grupo es más “etéreo” y habrá que analizar uno a uno cada supuesto para determinar su inclusión o no; por ejemplo, sistemas o servicios de “scoring”).
Las normas sobre las medidas a implantar se recogen en los artículos 15 a 22 del RD anterior y en los artículos 95 a 100 del RD nuevo.
Veamos las diferencias:
a) El Responsable de Seguridad (art. 16 RD anterior y art. 95 RD nuevo)Se mantiene el mismo texto respecto a la necesidad de su designación (uno o varios de ellos), aunque ahora se establece la posibilidad de la designación sea única para todos los ficheros o diferenciada según los sistemas de tratamiento utilizados, debiendo recogerse tal cuestión en el Documento de Seguridad.
Asimismo se introduce una importante matiz al afirmarse en el RD nuevo que esta designación no supondrá nunca una exoneración (en el RD anterior se decía “delegación”, que no es lo mismo) de la responsabilidad que corresponde al responsable del fichero o al “encargado del tratamiento” (también se añade a éste en el RD nuevo que no tiene porqué coincidir con aquél).
Por lo demás, el responsable de seguridad sigue siendo la persona encargada de coordinar y controlar las medidas definidas en el documento de seguridad.
b) Auditorías (art. 17 RD anterior y art. 96 RD nuevo)
Se mantiene la obligación de someterse a una auditoría, externa o interna, cada dos años al menos para verificar su corrección, añadiéndose ahora que deberá efectuarse otra de carácter extraordinario cuando se lleven a cabo modificaciones sustanciales en los sistemas que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptación, adecuación y eficacia de las mismas.
La auditoría debe comprender, tanto los sistemas de información como las instalaciones de tratamiento y almacenamiento de datos. Su objeto sigue siendo el mismo: dictaminar sobre la adecuación de las medidas y controles a la norma, identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias.
En función del resultado de la misma, el responsable de seguridad debe proponer las mejoras correspondientes al responsable del fichero (o del tratamiento, suponemos) quedando a disposición de la AEPD (junto con el documento de seguridad) o de sus correspondientes autonómicas.
c) Identificación, autenticación y control de acceso físico (arts. 18 y 19 RD anterior y art. 98 y 99 RD nuevo)
Con la introducción en el nivel básico de medidas tendentes a conseguir la identificación de los usuarios a la hora de acceder al sistema, el RD nuevo se limita a reiterar la obligación de establecer un sistema de “baneo” para evitar la posibilidad de intentos reiterados de accesos no autorizados al sistema. No se dice qué se entienda por reiterado o cómo deba procederse más allá de la expulsión del sistema. Será el documento de seguridad el que deba fijar el número de veces que ha de intentarse el acceso para ser “baneado”, así como medidas adicionales (rastreo de IP’s, lista negra de sitios, etc.).
En cuanto al acceso a los locales donde se encuentren “físicamente” los sistemas de información se reitera la necesidad de impedirlo a personas no autorizadas de acuerdo con lo que indique al respecto el documento de seguridad.
d) Gestión de Soportes (art. 20 RD anterior y art. 97 RD nuevo)
Como quiera que el RD nuevo ya incluye parte de estas medidas entre las de nivel básico, las referidas a Gestión de Soportes para ficheros o tratamientos de nivel medio son más escasas y vienen a complementar a aquéllas.
Se debe establecer un procedimiento de Entrada y otro de Salida de Soportes: en ambos casos, los sistemas de gestión de los mismos deben permitir, de manera directa o indirecta, conocer el tipo de documento o soporte, la fecha y hora, el emisor/destinatario, el número de documentos o soportes incluidos en el envío, el tipo de información que contienen, la forma de envío y la persona responsable de la recepción que deberá estar debidamente autorizada en el documento de seguridad.
Se elimina el resto de referencias contenidas en el RD anterior, ya que, como ha quedado dicho, se incorporan a las medidas de nivel básico.
e) Registro de Incidencias (art. 21 RD anterior y art. 100 RD nuevo)
Se mantiene el sistema anterior, esto es, completando las medidas de nivel básico del artículo 90 RD nuevo, pero añadiendo para los supuestos de medidas de nivel medio que los registros de incidencias deben incluir los procedimientos realizados de recuperación de los datos, la persona que ejecutó el proceso, los datos restaurados y, en su caso, qué datos ha sido necesario grabar manualmente en el proceso de recuperación.
Se mantiene, igualmente, necesidad de la autorización escrita del responsable del fichero para la ejecución de los procedimientos de recuperación de los datos.Finalmente se elimina la referencia a las pruebas en paralelo de sistemas con datos reales que se contenía en el RD anterior, ya que ha sido incorporado a las medidas de nivel básico.
Como habéis podido apreciar, se ha reducido en el “nuevo” nivel medio muchas referencias existentes en la normativa anterior que han sido incorporadas al nivel básico o que, simplemente, suponían una reiteración de lo que ya se decía. Aunque quedan muchas cuestiones por abordar al detalle, éstas que os he señalado son, a mi juicio, las principales que se incorporan en el nuevo Reglamento.
Escrito por Alvaro Suarez 
