Continúo con la serie de entradas destinadas al nuevo Reglamento de la LOPD que, como ya sabéis, entró en vigor el pasado 19 de abril.
Continuamos, como en los anteriores, refiriéndonos al Reglamento aprobado mediante el Real Decreto 994/1999, de 11 de junio, como RD anterior y al Reglamento vigente a día de hoy, Real Decreto 1720/1997, de 21 de diciembre, como RD nuevo.
Una vez más, hay que recordar que los sistemas de información que deben adoptar las medidas de seguridad de nivel alto deben reunir, además de las específicas, las correspondientes a los niveles anteriores. Dicho lo cual, indicar que estas medidas de nivel alto deben aplicarse a los Ficheros que contengan datos de los denominados “especialmente protegidos” y, en concreto:
1. Los que contengan datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual.
2. Los que contengan o se refieran a datos recabados para fines policiales sin consentimiento de las personas afectadas.
3. Aquéllos que contengan datos derivados de actos de violencia de género.
No se les aplican las medidas de nivel alto a los ficheros de los operadores de servicios de comunicaciones electrónicas disponibles al público o a los que exploten redes públicas de comunicaciones electrónicas, sino únicamente la prevista en el artículo 103 (controles de acceso y su registro), en lo que se refiere a los datos de tráfico y a los datos de localización, se aplicarán.
Se dejan de aplicar, igualmente, las medidas de nivel alto a los ficheros o tratamientos de datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual cuando ( *) los datos se traten con la única finalidad de realizar una transferencia dineraria a las entidades de las que los afectados sean asociados o miembros (p.ej. sindicatos respecto a sus asociados, o asociaciones respecto a sus asociados; (**) cuando se trate de ficheros o tratamientos no automatizados en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad (empresas respecto a sus empleados); (***)
asimismo, los que contengan datos relativos a la salud, referentes exclusivamente al grado de discapacidad o la simple declaración de la condición de discapacidad o invalidez del afectado, con motivo del cumplimiento de deberes públicos.
Las normas sobre las medidas de nivel se contienen fundamentalmente en los artículos 23 a 26 del RD anterior y en los artículos 101 a 104 del RD nuevo. Quedan de la siguiente manera:
a) Gestión y Distribución de soportes. (art. 23 RD anterior y art. 101 RD nuevo).
Mientras en el artículo 23 del RD anterior se hacía una escueta referencia a la distribución de soportes, en el artículo 101 del RD nuevo se desarrolla con más amplitud esta cuestión.
Ahora se establece la obligación de utilizar sistemas de “etiquetado” de soportes que sean comprensibles para los usuarios con acceso autorizado a los citados soportes y documentos pero que, por el contrario, dificulten su identificación para el resto de personas.
Se insiste, igualmente, en la necesidad de que los soportes que contengan datos de carácter personal se preserven con un sistema de cifrado para los supuestos de transporte de tales soportes.
Especialmente importante es la nueva referencia a los dispositivos portátiles (véase, PDAs, ordenadores portátiles, USB keys, etc.). A partir de ahora, se obliga al cifrado de los datos de carácter personal contenidos en los mismos cuando tales dispositivos abandonen las instalaciones de la empresa. Se exige que se evite la utilización de dispositivos que portátiles que no permitan su cifrado, haciéndose constar tal circunstancia en el documento de seguridad “y se adoptarán medidas que tengan en cuenta los riesgos de realizar tratamientos en entornos desprotegidos”.
b) Registro de accesos (art. 24 RD anterior y 103 RD nuevo).
Se mantienen las siguientes obligaciones respecto a la situación anterior:
1. Guardar los logs correspondientes a los intentos de acceso con los datos relativos a la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado (estos son los datos mínimos que hay que guardar, no existiendo obstáculos para ampliar el rango de datos). En los accesos autorizados se guarda, además, la información que permita identificar el registro accedido.
2. Los sistemas de autorización de los registros de accesos quedan bajo el exclusivo poder directo del responsable de seguridad competente, quedando prohibida su desactivación ni la manipulación de los registros.
3. Se mantiene un período de conservación de los datos registrados de, al menos, dos años.
4. Es obligación del responsable de seguridad la revisión mensual (al menos) de la información anterior y la elaboración del informe correspondiente (¿a quién se le entrega?).
Como novedad se establece la exención de tener un registro de accesos en los supuestos en que el responsable del fichero o del tratamiento sea una persona física y cuando éste garantice que únicamente él tiene acceso y trata los datos personales.
En todo caso, es necesario que tal circunstancia se recoja expresamente en el documento de seguridad.
c) Copias de respaldo y recuperación (art. 25 RD anterior y 102 RD nuevo).
Al igual que en la situación anterior, es obligatorio mantener una copia de respaldo y de los procedimientos de recuperación de los datos que debe estar situado en un “lugar diferente de aquél en que se encuentren los equipos informáticos que los tratan”, debiendo cumplirse en ese lugar las medidas de seguridad del Fichero del que traen causa. Se exige la utilización de elementos que garanticen la integridad y recuperación de la información, de forma que sea posible su recuperación.
d) Telecomunicaciones (art. 26 RD anterior y art. 104 RD nuevo).
Concluye este apartado relativo a las medidas de nivel alto con una referencia a las redes de telecomunicaciones, como sucedía en el RD anterior.
Ahora, dada la excepción existente a la aplicación de tales medidas en determinadas circunstancias, el RD nuevo exige que cuando estemos ante un supuesto de redes de telecomunicaciones en la que sí es necesaria su aplicación, sea a través de redes públicas o redes inalámbricas de comunicaciones electrónicas, será necesario que se cifren los datos que ser transmitan por ellas o bien que se utilice un mecanismo que garantice que la información no sea inteligible ni manipulada por terceros. Habría que añadir, en la medida en que la técnica lo permita.
Con esto hay que dar por concluida el somero repaso de las novedades y modificaciones que, con carácter general, se introducen en el nuevo Reglamento respecto de las medidas de seguridad aplicables según los niveles correspondientes. En general podemos afirmar que las detalla de manera más comprensible y con una mejor estructura que en la versión anterior.
Se quedan muchas cuestiones en el tintero. Por eso, en posteriores entradas, me referiré a concretos conflictos que se pueden derivar de la entrada en vigor del mismo.
Espero que esta primera serie haya sido de vuestro interés.
