El próximo día 26 de junio finaliza el plazo para la adecuación de los datos a la normativa en cuanto se refiere a las medidas de seguridad de nivel alto para ficheros automatizados.
El Reglamento de Medidas de Seguridad de los Ficheros Automatizados que contengan datos de carácter personal, fue aprobado por Real Decreto 994/1999, de 11 de junio, y en su disposición transitoria única, se establecen los plazos de implantación de las medidas de seguridad para los sistemas de información que se encontraran en funcionamiento en el momento de su entrada en vigor.

Eva Pich Frutos

No obstante, con fecha 25 de junio de 2.001 se publicó en el BOE la Resolución de 22 de junio de 2.001 que hace público un acuerdo de Consejo de Ministros que amplia el plazo para la implantación de medidas de seguridad de nivel alto (que finalizaba el día 26 de junio de 2.001), hasta el 26 de junio de 2.002, por haber encontrado, según dice la misma Resolución, dificultades de orden tecnológico que han imposibilitado la plena implantación de tales medidas hasta el momento. 

El objeto de estas medidas se encuentra en la necesidad de garantizar la preservación del derecho a la intimidad del ciudadano en la actual "sociedad de la información", donde la tecnología posibilita la copia, extracción, modificación y transmisión de datos de forma sencilla y a bajo coste, estableciendo una serie de medidas de seguridad técnicas y organizativas necesarias para garantizar la seguridad que deben reunir los ficheros automatizados, los centros de tratamiento, locales, equipos, sistemas, programas y las personas que intervengan en el tratamiento automatizado de los datos de carácter personal así como sus correspondientes sanciones por incumplimiento de las mismas, destinadas a garantizar la correcta custodia y manipulación de los ficheros afectados y evitar la posible fuga de datos. 
 
 
 El Reglamento de seguridad no es un catálogo de medidas concretas encaminadas a resolver problemas específicos, sino más bien se trata de una norma de mínimos, de implantación obligatoria y que actúa como instrumento eficaz de concienciación y formación en materia de seguridad de datos personales, siendo la Agencia de Protección de Datos, el organismo encargado de velar por el correcto tratamiento de los datos personales en el ámbito de la empresa y que precisamente en los últimos meses viene teniendo mayor peso su papel inspector y sancionador.

Las medidas de seguridad objeto de este reglamento se aplicarán a ficheros automatizados de datos de carácter personal de los sectores públicos y privados, distinguiendo tres niveles de seguridad que deben aplicarse sobre cada fichero en función del tipo de datos que contengan.

1.-) Nivel de seguridad básico: Todas las empresas que dispongan de ficheros que contengan datos de carácter personal (nombre, dirección postal, número de teléfono) deberán adoptar medidas en cuanto a la elaboración de un documento de seguridad, régimen de funciones y obligaciones del personal, registro de incidencias, identificación y autenticación de usuarios, control de acceso, gestión de soportes y copias de respaldo o recuperación.

2.-) Nivel de seguridad medio: Las empresas que dispongan de ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros y ficheros de solvencia patrimonial y crédito, deberán adoptar además de las medidas para el nivel básico, otras como, por ejemplo determinar el responsable de seguridad, realizar auditorías bianuales y controles de acceso físico, entre otras.

3.-) Nivel de seguridad alto: Las empresas que dispongan de ficheros con datos relativos a la ideología, religión, creencias, origen racial, salud o vida sexual, así como los que contengan datos recabados para fines policiales sin consentimiento de las personas afectadas, deberán reunir, además de las medidas de nivel básico y medio, las calificadas como de nivel alto, consistentes en medidas de seguridad en la distribución de soportes, registros de los accesos, mayor exigencia en las copias de respaldo o en el cifrado de las telecomunicaciones.
 

Precisamente, en esta calificación de nivel alto se incluyen también todos los ficheros que contengan datos sanitarios o de salud y la mayoría de bases de datos de personal de las empresas por contener información de enfermedades o accidentes de sus trabajadores y según el "Grupo Penteo", sólo el 56% de las empresas se ajustan al Reglamento a pesar de haber ampliado en un año su plazo de adaptación, lo cual no deja de ser alarmante dado que las sanciones por falta de aplicación de dichas medidas de seguridad podrían oscilar entre 60.101,21 y 300.506,05 Euros (atendiendo a la naturaleza de los derechos personales afectados, al volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de intencionalidad, a la reincidencia, a los daños y perjuicios causados a las personas interesadas y a terceras personas, y a cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora).
 
 Todo lo anterior ha de servir como reflexión para las empresas y en general sus directivos a fin de cumplir la legalidad vigente y adaptar sus ficheros dentro del plazo antes indicado, con el objetivo de evitar importantes sanciones administrativas y/o reclamaciones de terceros. Esta labor requiere, en todo caso la intervención de expertos y asesores externos (consultores, abogados, informáticos, etc.) que conozcan la normativa y puedan analizar objetivamente el funcionamiento de la empresa.

Eva Pich Frutos
Socio del Área de Derecho Público
Manubens & Asociados