Reglamento LOPD (II): Medidas de Nivel Básico

Continuando con el prometido examen del Nuevo Reglamento en esta entrada intentaremos analizar las diferencias que se establecen en cuanto a las medidas de nivel básico que se recogían en el Real Decreto 994/1999, de 11 de junio (y que llamaremos RD anterior) frente a las que vienen indicadas en el nuevo Reglamento aprobado por Real Decreto 1720/2007, de 21 diciembre (y que llamaremos RD nuevo ). Llamo la atención de mis estimados lectores acerca de que, como abogado, solamente me preocuparé a la hora de auditar un sistema o de comprobar la implantación de tales medidas, de que en la organización se hayan cumplido tales obligaciones y de que se haya procurado implantar el procedimiento correspondiente (o su forma más aproximada) y se haya reflejado en el documento de seguridad. Ahora bien, los aspectos técnicos de la cuestión requieren la activa participación de los técnicos, tanto en la recomendación como en la fijación e instalación de las soluciones informáticas más adecuadas a cada situación. No es labor del abogado, ni del auditor “jurídico” abordar tal cuestión. Por ello, desde aquí, pido disculpas in advance por los errores de tipo técnico-informático que se puedan cometer.

Como punto de partido indiquemos que, como todos sabéis, las medidas de carácter básico se aplican a todos los ficheros que contengan datos de carácter personal (artículo 81.1 RD nuevo), esto es, soportes físicos que contengan datos de carácter personal, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado con las exclusiones recogidas en los artículos 2 a 4 RD nuevo.

Lo primero que llama la atención es la distribución sistemática de las medidas aplicables a los ficheros, más organizada y estructurada en el RD nuevo que en el RD anterior. Ahora, se enumeran una serie de cuestiones de aplicación general (documento de seguridad, ficheros temporales, etc.) para luego agrupar separadamente las medidas correspondientes a cada tipo con carácter incremental (básicas, arts. 89 a 94; medias, arts. 95 a 100; nivel alto, arts. 101 a 104): esto es a los ficheros de nivel medio se aplican las medidas Básico+ Medio y las de nivel alto las medidas Básico+Medio+Alto. En el RD anterior se pasaba directamente a la agrupación por niveles, de forma poco sistemática e incluyendo, por ejemplo, la regulación del documento de seguridad entre las medidas de nivel básico.

a) Funciones y Obligaciones del Personal (art. 9 RD anterior y art. 89 RD nuevo).

El personal pasa a denominarse “usuario” con acceso a los datos de carácter personal y a los sistemas, debiendo regularse las funciones y obligaciones de cada uno de ellos en el documento de seguridad. Se añade la necesidad de definir en el Documento las funciones de control y autorizaciones otorgadas por el responsable del fichero (o tratamiento) a los usuarios. Asimismo se añade novedosamente que, tanto las funciones como las normas de seguridad como las consecuencias de los incumplimientos a las normas deben ser comprensibles para todos los usuarios del sistema.

b) Registro de incidencias (art. 10 RD anterior y 90 RD nuevo).
Se mantiene de manera similar: debe existir un procedimiento notificación y gestión de las incidencias, así como un registro donde conste: el tipo de incidencia, el momento en que se ha producido, “o en su caso, detectado”, la persona que realiza la notificación, a quién se le comunica, los efectos que se hubieran derivado de la misma y “las medidas correctoras aplicadas”.
Entre comillas, las novedades del RD nuevo.

c) Identificación y autenticación (art. 11 RD anterior y art. 93 RD nuevo).
Debe existir un sistema de acceso al fichero que permita la identificación y autenticación de los usuarios del mismo. Aunque presupuesto en el RD anterior, el RD nuevo ya establece la responsabilidad del responsable del fichero (o tratamiento) en esta cuestión. Asimismo ese procedimiento se supone que debe garantizar la actualización de tales medidas, de manera que sólo tengan acceso los usuarios que, en cada momento, tenga acceso (no anteriores usuarios).
“El responsable del fichero o tratamiento establecerá un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado” (art. 93.2 RD nuevo).
Una novedad importante es que mientras en el RD anterior no se decía nada específico al respecto, en el RD nuevo se establece que una periodicidad máxima de un año para el cambio de contraseñas de acceso. Esto implica la necesidad de recoger en el documento de seguridad un procedimiento para el cambio de contraseñas, periodicidad y forma de controlar que efectivamente se lleva a cabo. Este procedimiento debe garantizar la confidencialidad e integridad de las contraseñas y debe recoger el método de asignación a cada usuario, distribución de las contraseñas y forma de almacenamiento, por los usuarios y por el responsable.

d) Control de acceso (art. 12 RD anterior y 91 RD nuevo).
Íntimamente relacionado con la formas de identificación y autenticación en el sistema, el Control de acceso se mantiene básicamente con la misma estructura que en el RD anterior, basado por otra parte en el sentido común, que podemos resumir de la siguiente manera:
• Los usuarios sólo deben poder acceder a los recursos que necesiten para su actividad.
• Un usuario no autorizado no puede acceder a recursos para los que no esté autorizado.
• Para lograr lo anterior, debe existir y actualizarse continuamente una relación de usuarios y sus correspondientes niveles de acceso.
• Sólo determinados usuarios (podemos denominarlos administradores) deben poder conceder, alterar o anular el acceso autorizado sobre los recursos.
La novedad más relevante se refiere a la posibilidad de que exista personal ajeno al responsable del fichero y que pueda tener acceso a los recursos. En este caso, ese personal ajeno queda sometido al documento de seguridad (con sus funciones, obligaciones, directivas, etc.) como si fuera personal interno. Los documentos de seguridad, por tanto, deberán prever la existencia de personal ajeno (pensemos en subcontratas de la actividad, colaboradores externos, etc.) para, de esta manera, fijar las pautas de su actuación. Parejo a lo anterior, resulta la obligación de informar y formar al personal ajeno en las obligaciones derivadas de la política de protección de datos de la empresa principal.

e) Gestión de Soportes (y documentos) (art. 13 RD anterior y RD 92 RD nuevo).
Manteniendo las normas del RD anterior (necesidad de identificación de la información contenida en los soportes a los efectos de inventario y almacenamiento, con acceso a los mismos restringido sólo al personal autorizado; salida de soportes que requiere autorización previa del responsable) se añaden interesantes especificaciones novedades.
Así, por ejemplo, se requiere implantar un sistema de etiquetado de soportes (cuando contengan datos de carácter personal especialmente sensibles para la empresa y a criterio de ésta) que permita a los usuarios autorizados de la misma identificarlos pero que dificulten la identificación para el resto de personas.
Del mero “soporte” se amplían tales obligaciones a todos los “documentos” (recordemos la ampliación a tratamientos automatizados y no automatizados), incluyendo los ficheros que pueden anexarse o adjuntarse con un correo electrónico. Se acabó el mandar archivos adjuntos sin control. Ahora debe autorizarse su envío, amén de estar inventariado y protegido en su acceso y uso sólo a los usuarios autorizados.
En el caso de salida de tales soportes y documentos se deben implantar medidas dirigidas a evitar la sustracción, pérdida o acceso indebido a la información durante su transporte (lo cual nos llevará a utilizar mecanismos de cifrado, ocultación, de garantía de su integridad, etc). Asimismo, se impone la destrucción o borrado de los documentos o soportes desechados, de manera que se evite su recuperación posterior (el formateo de Windows tiene los días contados).

f) Copias de respaldo y recuperación (art. 14 RD anterior y 94 RD nuevo).
Se mantiene el período mínimo semanal para realizarl copias de seguridad “salvo que en dicho período no se hubiera producido ninguna actualización de los datos”. Igualmente se mantiene la necesidad de adoptar un sistema de recuperación de datos que garanticen en todo momento su reconstrucción en el estado en que se encontraban al tiempo de producirse la pérdida o destrucción, lo cual sigue planteando cuestiones técnicas muy complejas que van a imposibilitar que el backup se haga únicamente una vez a la semana. Por eso, ahora se aclara que “Únicamente, en el caso de que la pérdida o destrucción afectase a ficheros o tratamientos parcialmente automatizados, y siempre que la existencia de documentación permita alcanzar el objetivo al que se refiere el párrafo anterior, se deberá proceder a grabar manualmente los datos quedando constancia motivada de este hecho en el documento de seguridad”.
Por lo demás, se deberá realizar, al menos, semestralmente una revisión del procedimiento de respaldo y recuperación existente. Y se prohíben las pruebas del sistema “en paralelo” con datos reales si el sistema de prueba no puede garantizar un nivel de seguridad equivalente al del tratamiento y, en todo caso, después de haber garantizado la supervivencia de los datos a utilizar mediante la realización de su propia copia de seguridad.

En general, el RD nuevo se preocupa de ir a un nivel de detalle superior al de su predecesor pero no aporta un excesivo número de novedades significativas frente a aquél. La mejor estructuración de los contenidos y el mayor especificación de las medidas y su alcance, sin duda, contribuirán a normalizar los procedimientos existentes a día de hoy.