"No es tan culpable el que desconoce un deber como el que lo acepta y lo pisa" - Concepción Arenal (1820-1893)

"El desconocimiento de la Ley, no exime de su cumplimiento" - Artículo 6.1 del Código Civil

Como respuesta a la limitación al uso de la informática previsto en el artículo 18 de la Constitución Española, surge un nuevo deber relacionado con el tratamiento de datos personales.

El tratamiento de ficheros automatizados que contengan datos relativos a personas físicas y las hagan identificables, debe someterse al Real Decreto 994/1999, de 11 de junio, publicado en el Boletín Oficial estando vigente la LORTAD (Ley Orgánica Reguladora del Tratamiento Automatizado de Datos de Carácter Personal) y que ha mantenido su aplicación tras la promulgación de la LOPD (Ley Orgánica de Protección de Datos).

El Reglamento encuentra su habilitación en el artículo 9 de la LOPD y las medidas de seguridad que establece son la protección que arropa al Derecho Fundamental de la intimidad personal.

El Reglamento establece tres niveles de Seguridad, organizados de mayor a menor según la "sensibilidad" de los datos que deben ser protegidos, correspondiendo mayores medidas de seguridad a aquellos datos más sensibles o que pueden significar una intromisión y conocimiento por terceros de los ámbitos más privados de nuestra intimidad personal.

La falta de aplicación del Reglamento, o su aplicación defectuosa, viene recogida como falta grave del artículo 44 de la LOPD, conllevando sanciones cercanas a los 300.500 Euros e incluso la inmovilización o cancelación del fichero.
Los niveles de seguridad que las instalaciones, equipos y personal deben observar son acumulativas, es decir, un fichero que recoja informaciones descritas en el artículo 4.3 del mencionado Reglamento deberán cumplir acumulativamente las medidas de seguridad previstas para los 3 niveles.

El documento de seguridad.

Si entendemos todas las medidas de seguridad definidas en el Real Decreto como una pirámide invertida, en la base de la misma encontraremos el Documento de Seguridad, que debe ser elaborado por la persona física o jurídica que tenga poder de decisión sobre la finalidad y uso del fichero, esto es, el responsable del fichero.

El documento de seguridad deberá ser observado por las personas con acceso a los datos automatizados y en todo caso impuesto por el responsable del fichero a todo aquel al que autorice el acceso o manipulación de los datos protegidos.

El documento de seguridad debe entenderse siempre desde una doble vertiente:

- Como un instrumento impuesto en su creación y observancia por la normativa vigente, y que servirá de guía para las personas o entidades que accedan o manipulen los datos de carácter personal, evitando a través del cumplimiento de sus prescripciones perjuicios al responsable del fichero.

- Como una oportunidad de definir no solamente las medidas de seguridad que afectarán a algunos ficheros específicos, sino también como el vademecum que puede contener toda la política de seguridad informática del entorno de trabajo.

Esta doble vertiente consigue un doble objetivo práctico, cumplir con la legislación y establecer un nivel de protección tecnológico adecuado. Téngase en cuenta que según la Asociación Española de Empresas de Tecnologías de la Información (SEDISI), en el transcurso del año 2002, 6 de cada 10 empresas españolas sufrieron ataques informáticos.

El contenido mínimo exigible, que siempre puede ser desarrollado para cumplir esa segunda función a la que antes hacíamos referencia, es diferente para cada nivel de seguridad, y también acumulativo.

La auditoría de seguridad y el responsable de seguridad.

A partir del nivel de Seguridad medio y por lo tanto, dada la acumulabilidad de las medidas, también en el Nivel Alto se impone al Responsable del Fichero la obligación de llevar a cabo al menos cada dos años una auditoria, ya interna ya externa, que verifique el cumplimiento íntegro del Regla-mento de Medidas de Seguridad, quedando los resultados de esas Auditorías a disposición de la Agencia de Protección de Datos.

También debe nombrar a uno o varios responsables de seguridad que auxiliarán en las tareas definidas en este Reglamento al responsable del fichero, pero que, en definitiva, no compartirán su responsabilidad ante la Agencia de Protección de Datos.

La obligación del responsable del fichero. El artículo 28 del Reglamento, establece que será el responsable del fichero el que deberá velar por el cumplimiento de las medidas de seguridad y sufrir las consecuencias de las importantes sanciones, llegado el caso.

las medidas de seguridad. Para dar cumplimiento a ese deber de protección, enumera las medidas de seguridad que deben ser aplicadas, entre ellas, la identificación y autentificación de las personas que accedan a los datos de carácter personal, el control de acceso nada más que a los datos imprescindibles para llevar a cabo las tareas requeridas, métodos de almacenaje y traslado de los soportes físicos en que los datos de carácter personal estén almacenados, y la correcta realización y vigilancia de las copias de respaldo de esos sistemas que, en definitiva, han de permitir la reconstrucción integral de los ficheros protegidos.