L.O.P.D. y secreto profesional - Los ficheros de seguridad, nivel básico, nivel medio y nivel alto (R.D. 994

El documento de seguridad que impone el Reglamento a los ficheros es un documento elaborado por el Responsable del Fichero donde se establecen e implantan las medidas de seguridad que deban aplicarse a los datos de carácter personal y a los sistemas de información; entendiendo sistemas de información como aquel conjunto de ficheros automatizados, programas informáticos, soportes y equipos informáticos utilizados para el tratamiento y almacenamiento de los datos de carácter personal.

Por medidas de seguridad de los ficheros entenderemos el conjunto de medidas de carácter técnico y organizativo que está obligado a implantar el responsable del fichero a fin de garantizar la seguridad de:

- Los locales donde se ubican los ficheros.

---

Los centros de tratamiento de los datos.

---

Los equipos y sistemas informáticos.

---

Los programas para el almacenamiento y tratamiento.

---

Los ficheros de datos personales propiamente dichos.

---

Las personas que desarrollan labores de recogida, tratamiento y almacenamiento.
1.1.- Niveles de seguridad que corresponden a cada fichero(atendiendo a su calificación como de nivel básico, medio o alto):

Nivel básico.- Conjunto de medidas de seguridad que deben adoptar todos los ficheros de datos de carácter personal.

Nivel medio.- Conjunto de medidas de seguridad que deben adoptar todos los ficheros de datos de carácter personal que contengan datos:

- Relativos a la comisión de infracciones administrativas o penales.

---

Relativos a la hacienda pública.

---

Relativos a servicios financieros.

---

Aquellos cuyos datos, considerados en su conjunto, permitan una evaluación de la personalidad del interesado.
Nivel alto.- Conjunto de medidas de seguridad que deben adoptar todos los ficheros de datos de carácter personal que contengan datos:

- Relativos a ideología, religión, creencias, origen racial, salud o vida sexual.

---

Datos recabados con fines policiales sin consentimiento de los interesados.
De la lectura de lo anterior es fácil llegar a la conclusión que estarían dentro del nivel medio aquellos ficheros relativos a:

- asuntos penales (incluso Juicios de Faltas), procedimientos administrativos y contencioso-administrativos sancionatorios (incluidas multas de tráfico).

---

Declaraciones anuales sobre el IRPF y todos los procedimientos económico-administrativos (en vía administrativa y judicial).

---

Los ficheros internos de facturación a nuestros clientes personas físicas.

---

Procedimientos de incapacitación, tutela, curatela y una gran mayoría de los expedientes de familia (donde abundan los informes psicológicos ).
Por su parte, y contra lo que opina una gran parte de los abogados, deberíamos incardinar dentro del nivel alto los ficheros relativos a:

- Accidentes laborales, de circulación, procedimientos ante la seguridad social, y aquellos asuntos en los que se reclaman prestaciones de incapacidad y/o de indemnización por enfermedad o accidente frente a entidades aseguradoras, en los que abundan los datos personales de salud, las historias clínicas, informes médico-forenses, resoluciones del INSS...etc.

---

Los procedimientos en materia de extranjería, procedimientos ante la jurisdicción social en que existan enlaces sindicales...; procesos en materia electoral...etc.
En definitiva; prácticamente todos los asuntos judiciales y extrajudiciales que se siguen en un despacho de abogados en defensa (o en contra) de los intereses de personas físicas se incardinan dentro del nivel de seguridad medio impuesto por el Reglamento; y un porcentaje muy elevado estarían sometidos al nivel de seguridad alto.

Queda, por último, analizar si basta con un único fichero que englobe todos los datos de carácter personal de un despacho, o bien es preciso dar de alta un fichero por cada asunto (judicial o extrajudicial).

Parecería, a priori, y de una lectura literal de la normativa, que es suficiente con dar de alta un fichero relativo a todos los datos personales incluidos en todos los asuntos del despacho; No obstante, y con apoyo en el artículo 6 del R.D. 1.332/1.994, de 20 de junio y 7 de la L.O. 15/1.999, de 13 de diciembre, podemos llegar a la conclusión, más acorde con el espíritu del Derecho Fundamental cuya protección se pretende, de que cada expediente (judicial o extrajudicial); cada “asunto”; cada carpeta, debe ser considerada un fichero y, en consecuencia, en cada despacho habría tantos ficheros de datos personales (de nivel básico, medio o alto) como asuntos hay en el despacho.

Lógicamente, en el caso de los médicos, un porcentaje altísimo de sus ficheros de datos personales – exceptuando, quizás, los de proveedores y empleados – son ficheros que requieren una seguridad de NIVEL ALTO, con las exigencias – organizativas y materiales – que hemos visto más arriba y, con la interpretación expuesta de los artículos 6 del Reglamento y 7 de la L.O.P.D., podemos concluir que cada historia clínica constituiría un fichero independiente.

Por su parte, los ficheros de los Periodistas se encontrarán, al igual que los ficheros de los abogados entre los niveles MEDIO y ALTO.

Dejamos apuntada – aunque no entraremos a desarrollar el argumento – la duda respecto de los ficheros de los periodistas, que generalmente prestan sus servicios por cuenta ajena; y entendemos que habrá que distinguir entre los ficheros propios del periodista y los ficheros del medio de comunicación a disposición del profesional.

1.2.- Las medidas de seguridad .-

Las medidas de seguridad se han de especificar en un documento por escrito, denominado “Documento de seguridad”, según indica el R.D. 994/1999, por el que se aprueba el Reglamento de medidas de seguridad, (artículos 8 a 14) donde se recoja claramente cada uno de los siguientes puntos. hay que tenerlo elaborado y preparado en el despacho, a disposición de la inspección.

1.2.1. Contenido del documento de seguridad para nivel básico de protección:

a) Ámbito de aplicación del documento, especificando:

1.- los ficheros que se protegen,
2.- finalidad de los ficheros
3.- responsable, encargado y usuario del fichero
4.- número de ordenadores y los programas empleados.

b) Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en el Reglamento:

1.- personas autorizadas al acceso de los datos
2.- ficheros a los que se puede acceder
3.- claves de acceso
4.- modificación periódica de las claves.

c) Funciones y obligaciones del personal con acceso a datos de carácter personal:

1.- personas que tienen acceso a los datos
2.- obligaciones del personal

- función que desempeñan y

---

ficheros a los que tienen acceso: Responsable del fichero, Encargado del tratamiento y Usuario del tratamiento.
d) Estructura de los ficheros con datos de carácter personal :

1.- descripción de cada fichero de datos personales
2.- los campos que contiene: función, ficheros, persona,
3.- puesto y datos a que se accede
4.- gestión de soportes informáticos: lugar de almacenamiento.

e) Procedimiento de notificación, gestión y respuesta ante las incidencias: hay que elaborar un registro con las incidencias, el momento en que se han producido, quién realiza la notificación, a quién se le comunica, y los efectos que ha producido.

f) Los procedimientos de realización de copias de respaldo y recuperación de datos:

1.- control de copias de seguridad
2.- limitación de acceso a las mismas.

1.2.2. Para ficheros que exijan medidas de nivel medio, se exigirá, además del contenido correspondiente a los ficheros de nivel básico, las siguientes medidas (artículos 15 a 22 del R.D 994/1999 ):

a) Identificación el responsable o responsables de seguridad, designado por el responsable del fichero y encargado de coordinar y controlar las medidas definidas en el documento de seguridad.

b) Auditoria: habrá que realizar una auditoria interna o externa, que verifique el cumplimiento del Reglamento y de los procedimientos en materia de seguridad de datos, al menos cada dos años.

c) Controles periódicos que se deben realizar para verificar el cumplimiento de lo dispuesto en el propio documento:

- identificación de forma inequívoca y personalizada de todo usuario que intente acceder al sistema de información y locales donde se encuentre.

---

Sólo personal autorizado en el documento de seguridad

---

limitación de la posibilidad de intento de acceso no autorizado

---

registro de entrada y salida de soportes informáticos

---

medidas a adoptar cuando un soporte vaya a ser desechado o reutilizado
d) Registro de incidencias,

- consignar los procedimientos de recuperación de los datos,

---

persona que ejecutó el proceso,

---

datos restaurados,

---

datos que ha sido necesario grabar manualmente
1.2.3. Medidas de seguridad de nivel alto, además de las medidas previstas para los niveles básico y medio, las siguientes (arts. 23 a 26 del Reglamento):

a) Cifrado de los datos de los soportes que contengan datos de carácter personal que sean distribuídos.

b) Registro detallado con los accesos a los ficheros, que deberá conservarse, por lo menos, durante dos años, incluyendo:

- usuario,

---

fecha y hora

---

fichero al que se ha accedido.

---

El responsable de seguridad revisará este registro y elaborará un informe una vez al mes.
c) Almacenamiento de copia de respaldo de los ficheros en un lugar distinto a aquél en que se encuentren los equipos informáticos.

d) La transmisión de datos de carácter personal a través de redes de telecomunicaciones se realizará de forma cifrada.

1.3.- Los ficheros de datos personales de los abogados, médicos y periodistas.-

Considerando que los datos personales de éstos profesionales tienen la consideración de ficheros de nivel medio o alto; y que cada asunto (cada carpeta virtual) conteniendo datos debe considerarse un fichero a los efectos de la LOPD, la consecuencia que se sigue (y a salvo los ficheros no automatizados hasta 2.007) es que vendrían obligados:

1º.- A dar de alta un fichero ante la agencia de protección de datos por cada asunto que llega al despacho o cada historia clínica que se abre en una consulta.

2º.- A elaborar un documento de seguridad de nivel básico, medio o alto, por cada asunto (judicial o extrajudicial); cada expediente que integra un artículo o un trabajo de investigación, o cada historia clínica – por pequeña que sea .

3º.- A implementar, respecto de cada asunto, expediente o historia las medidas de seguridad correspondientes en atención al nivel de seguridad requerido.

4º.- Al cumplimiento y mantenimiento de las medidas de seguridad establecidas en el documento de seguridad.

5º.- A someter los sistemas informáticos y el propio documento de seguridad a la inspección de una auditoría bienal.

6º.- A someter los sistemas informáticos y el documento de seguridad a la inspección de la Agencia de Protección de Datos.

7º.- A facilitar el ejercicio de los derechos de acceso, rectificación y cancelación por parte de las personas físicas que integran el/los fichero/s.

8º.- A la cancelación de los datos personales cuando el asunto encomendado hubiera finalizado; el paciente falleciera o – simplemente – dejara de acudir a la consulta por finalización del tratamiento, o hubiera concluído el trabajo de investigación, o el artículo para el que se abrió el fichero.

9º.- Los abogados no vendrían obligados – según los informes y resoluciones de la APD – a recabar el consentimiento de los clientes ni de las partes contrarias; quedando exentos para el caso de los abogados, procuradores y peritos en virtud de la consideración de la APD como comerciantes asimilados a personas jurídicas.

Y, en el caso de los profesionales del periodismo, las obligaciones de estar – constantemente - dando de alta y cancelando ficheros temporales, aparte las consideraciones jurídicas que luego se verán, supone una exigencia burocrática exorbitante que, de facto, podría paralizar la actividad del profesional.