 |
 |
|
||||||||||
|
|
||||||||||||
|
||||||||||||
|
| |
EL
EMPRESARIO Aspectos más destacados del Reglamento de Medidas de Seguridad de los Ficheros Automatizados que contengan
datos de carácter personal Catalina Merino Gabeiras El pasado día 26 de junio entró en vigor el RD 994/1999, de 11 de junio, por el que se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal (en adelante, el Reglamento de Medidas de Seguridad). Las normas básicas que inspiran el tratamiento de datos informáticos en lo referente a las medidas de seguridad son: El Convenio 108 del Consejo de Europa, de 28 de enero de 1981; la Directiva 95/46/CE del Parlamento Europeo, de 24 de julio de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de esos datos; el artículo 18.4 de la Constitución; y la Ley Orgánica 5/1992, de 29 de octubre (LORTAD). El Reglamento tiene por objeto el desarrollo de lo establecido en los artículos 9 y 43.3.h) de la LORTAD, y es que el Real Decreto 1332/1994, de 20 de junio, no desarrolló los números 2 y 3 del artículo 9 de la LORTAD relativos a medidas de seguridad, lo que determinaba la inaplicación del régimen sancionador por los incumplimientos de estas medidas por parte de los responsables de ficheros, teniendo en cuenta que el artículo 43.3.h) de la expresada Ley tipifica una sanción grave por una infracción cuyos detalles se confiaban al Reglamento. Las medidas de seguridad reguladas en el artículo 9 de la LORTAD forman parte del núcleo irreductible de la misma, constituyendo uno de sus más importantes principios. El citado artículo 9 establece: "El responsable del fichero deberá adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural". El Reglamento de Medidas de Seguridad viene a relacionar en su exposición de motivos las medidas de seguridad con la privacidad o intimidad, a diferencia del artículo 9 de la LORTAD que parece que sólo protege su tratamiento. De esta manera, y tal y como se expresa en la exposición de motivos, el citado Reglamento tiene por objeto determinar "las medidas de índole técnica y organizativa que garanticen la confidencialidad e integridad de la información con la finalidad de preservar el honor, la intimidad personal y familiar y el pleno ejercicio de los derechos personales frente a su alteración, pérdida, tratamiento o acceso no autorizado". Las medidas de seguridad que se establecen en el Reglamento se configuran como las básicas de seguridad que han de cumplir todos los ficheros que contengan datos de carácter personal, sin perjuicio de que se establezcan medidas especiales para aquellos ficheros que por la especial naturaleza de los datos que contienen o por las propias características de los mismos exijan un grado de protección mayor. El Reglamento, que atiende a la mayor o menor confidencialidad e integridad de los datos almacenados, ha establecido tres niveles de seguridad (básico, medio y alto), dependiendo de la naturaleza del dato que se trate. Están calificadas como medidas de seguridad de nivel básico aquellas que deberán adoptar los ficheros que contengan datos de carácter personal. Están calificadas como de nivel medio las que protejan ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros y aquellos ficheros cuyo funcionamiento se rija por el artículo 28 de la Ley Orgánica 5/1992. Y están calificadas como de nivel alto las que aseguren los ficheros que contengan datos de ideología, religión, creencias, origen racial, salud o vida sexual, así como los que contengan datos recabados para fines policiales sin consentimiento de las personas afectadas. Para el desarrollo de las medidas de seguridad el Reglamento dedica sus capítulos II, III y IV. Por otra parte se señala que cuando los ficheros contengan un conjunto de datos de carácter personal suficientes que permitan obtener una evaluación de la personalidad del individuo, se deberán garantizar las medidas de nivel medio. La norma de referencia se articula sobre el concepto de documento de seguridad, que viene a ser la normativa de seguridad elaborada e implementada por el responsable del fichero (persona física, jurídica de naturaleza pública o privada y órgano administrativo que decida sobre la finalidad, contenido y uso del tratamiento). Se trata, en definitiva, de un documento de obligado cumplimiento para el personal con acceso a los datos automatizados de carácter personal y a los sistemas de información. El artículo 8.2 establece el contenido mínimo de este documento, el cual deberá ser en todo momento actualizado y revisado, así como adecuarse a las disposiciones vigentes en materia de seguridad de los datos de carácter personal. El incumplimiento de las medidas de seguridad que se citan en el Reglamento puede llegar a ser sancionadas en el caso de ficheros de titularidad privada con multa de 10.000.001 ptas. a 50.000.000 ptas. Cuando se trate de ficheros de los que sean responsables las Administraciones Públicas, el Director de la Agencia de Protección de Datos dictará una resolución estableciendo las medidas que procede adoptar para que cesen o se corrijan los efectos de la infracción. Asimismo podrá proponer la iniciación de actuaciones disciplinarias. Por lo que respecta a los plazos de implantación de las medidas de seguridad, las de nivel básico deberán implantarse en el plazo de 6 meses desde la entrada en vigor del Reglamento, esto es, antes del 26 de diciembre de 1999; las de nivel medio en el plazo de un año (el 26 de junio del 2000) y las de nivel alto en el plazo de dos (el 26 de junio del 2001). Pero cuando los sistemas de información (conjunto de ficheros automatizados, programas, soportes y equipos empleados para el almacenamiento y tratamiento de datos de carácter personal) que se encuentren en funcionamiento no permitan tecnológicamente la implantación de alguna de las medidas de seguridad previstas en el Reglamento, la adecuación de dichos sistemas y la implantación de las medidas de seguridad deberán realizarse en el plazo máximo de 3 años a contar desde su entrada en vigor, es decir, antes del 26 de junio del 2003.
Home | Acerca de INJEF | Servicios INJEF - Información
Jurídica, Económica y Fiscal |
