Revista Inmueble | Noticias, información y actualidad sobre sector inmobiliario y derecho
EL PLANTEAMIENTO
Para bien o para mal el tiempo siempre juega a favor de la Ley y de la Justicia, es decir del Derecho. Comienza a ser opinión generalizada que la Ley Orgánica de Protección de Datos Personales (LOPDP) es una bomba de relojería de mecha larga, pero el tiempo todo lo cura y también todo lo activa. Viene al caso la Disposición Adicional Primera de la referida ley que bajo el título de «Ficheros preexistentes´´ dispone textualmente en su párrafo segundo; «En el supuesto de ficheros y tratamientos no automatizados, su adecuación a la presente Ley Orgánica y la obligación prevista en el párrafo anterior deberá cumplirse en el plazo de 12 años a contar desde el 24 de octubre de 1995, sin perjuicio de los derechos de acceso, rectificación y cancelación por parte de los afectados´´. La trascendencia de este parrafucho es tal que merece un atento desmenuzamiento por nuestra parte.
¿Cómo afecta esta regulación al sector inmobiliario en general? Todos en nuestra vida profesional acumulamos datos. Quien más, quien menos, dispone de un fichero con datos de todas las personas que han pasado por nuestras oficinas a lo largo de nuestra vida profesional. Y no sólo de clientes, sino también de proveedores, trabajadores. Colaboradores, etc. Estos datos gozan de una especial protección
1º Por ficheros y tratamientos no automatizados debe entenderse los ficheros y tratamientos manuales, no digitalizados, es decir soportados en papel; las fichas manuales de clientes, los currículums académicos y laborales, los historiales clínicos, los análisis clínicos, radiografías, etc., etc.
2º Por la obligación prevista en el párrafo anterior debe entenderse que lo que la ley contemplaba como transitoriedad de tres años para adecuación de los ficheros preexistentes a su entrada en vigor, se aplicará a partir del 25 de octubre de 2007, fecha a partir de la cual los ficheros preexistentes deberán cumplir todos y cada uno de los requisitos establecidos y por descontado que también deberán cumplir las medidas de seguridad de los ficheros que contengan datos de carácter personal.
El actual reglamento de medidas de seguridad de los ficheros R.D. 994/99 de 11 de junio se circunscribe única y exclusivamente a la protección de los ficheros automatizados por ser anterior a la LOPD y porque ésta otorga carta de continuidad a tres reglamentos previos, entre los que se encuentra el que nos ocupa .
Tanto el actual reglamento como el que se avecina, del cual conocemos ya un texto articulado, estructuran las medidas de seguridad que debemos aplicarse a los ficheros a partir de la sensibilidad de los datos que consten en dicho fichero. Para ello, ambas normas; la actual y la esperada, clasifican los ficheros de datos personales en tres niveles de acuerdo con la sensibilidad de los datos que contienen. Para ello se definen a los ficheros en tres categorías:
a) Ficheros de nivel básico; todo fichero que contenga datos personales.
b) Ficheros de nivel medio; aquellos ficheros que contengan información personal relativa a infracciones y sanciones administrativas, datos económicos relativos a solvencia patrimonial, crédito, endeudamiento etc. y aquellos que en conjunto permitan establecer un perfil de su titular.
c) Ficheros de nivel alto; aquellos ficheros que contengan datos especialmente protegidos de acuerdo con lo dispuesto en el art. 7 de la LOPD (datos que revelen ideologías, afiliación sindical, religión, creencias, origen social, salud y vida sexual.
EL NUDO
Una vez sabedores de la estructura conceptual en que se basan los criterios legales de protección de ficheros, no podemos por menos, aunque no nos gusta, que transcribir textualmente el articulado, tal como lo conocemos hoy, del próximo reglamento de medidas de seguridad aplicables a los ficheros con datos personales. Y lo hacemos así, a pesar de que no nos gusta, porque es prácticamente inevitable y porque es un magnífico ejemplo de la obligada convivencia transversal entre ingenieros y juristas en materias tan arduas y especializadas como las que nos ocupan. En este sentido animamos al lector a que no ceje en su empeño y proceda a la lectura del texto legal (en borrador) que transcribimos.( ver cuadro adjunto)
Sección Segunda
Medidas aplicables a los ficheros automatizados
Artículo 82. Copias de respaldo y recuperación.
Deberá conservarse una copia de respaldo de los datos y de los procedimientos de recuperación de los mismos en un lugar diferente de aquel en que se encuentren los equipos informáticos que los tratan, que deberá cumplir en todo caso las medidas de seguridad exigidas en este Título, o utilizando elementos que garanticen la integridad y recuperación de la información, de forma que sea posible su recuperación.
Artículo 83. Telecomunicaciones.
La transmisión de datos de carácter personal a través de redes públicas de comunicaciones electrónicas se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros.
Sección Tercera
Medidas aplicables a los ficheros no automatizados
Artículo 84. Registro de accesos.
1. Cualquier solicitud de acceso a los documentos incluidos en un fichero no automatizado deberá efectuarse a la persona o personas designadas a tal efecto en el documento de seguridad.
2. Deberá existir un registro de accesos autorizados en el que se indicará como mínimo el documento al que se ha accedido, la fecha y hora del acceso, y la fecha y hora de la devolución.
3. El período mínimo de conservación de la información recogida en el registro al que se refiere el párrafo anterior será dedos años. El responsable de seguridad revisará periódicamente la información registrada y elaborará un informe de las revisiones realizadas y los problemas detectados al menos cada dos meses.
4. La documentación se reintegrará al fichero tan pronto haya cesado el motivo que justificó el acceso y se controlará la devolución.
Artículo 85. Almacenamiento de la información.
1. Los armarios, archivadores u otros elementos en los que se almacenen los ficheros no automatizados con datos de carácter personal deberán encontrarse en áreas en las que el acceso esté protegido con puertas de acceso dotadas de sistemas apertura mediante llave u otro dispositivo equivalente. Dichas áreas deberán permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en el fichero.
2. Si atendidas las características de los locales de que dispusiera el responsable del tratamiento no fuera posible cumplir lo establecido en el apartado anterior, el responsable de seguridad elaborará un informe motivado sobre esta circunstancia que elevará al responsable del fichero junto con una propuesta de soluciones alternativas. En todo caso los armarios, archivadores u otros elementos en los que se almacenen los ficheros no automatizados con datos de carácter personal deberán encontrarse dotados de sistemas que obstaculicen el acceso no autorizado a los mismos. Dichos sistemas deberán permanecer activados en tanto no sea precisa su apertura.
3. Mientras la documentación con datos de carácter personal no se encuentre archivada en el lugar de almacenamiento establecido en el apartado 1 por estar en proceso de revisión o tramitación, ya sea previo o posterior a su archivo, la persona que se encuentre al cargo de la misma deberá custodiarla e impedir en todo momento que pueda ser accedida por persona no autorizada.
Artículo 86. Traslado de documentación.
Siempre que se proceda la traslado de la documentación contenida en un fichero, deberán adoptarse medidas dirigidas a impedir el acceso o manipulación de la información objeto de traslado y controles que permitan detectar si se ha producido algún acceso no autorizado.
Si el lector ha podido sobrevivir hasta aquí, es una buena señal. !Ya está vacunado! Y podrá continuar sin problemas hasta el final de este documento. Para corresponder a su empeño llamo su atención hacia las medidas de seguridad que el borrador del reglamento determina por todos los ficheros, y muy especialmente hacia los ficheros denominados de nivel alto que no se encuentren automatizados a partir del 25 de octubre de 2007
Por si Vd. lector ha conseguido llegar hasta aquí le sugerimos que no enloquezca, alguien lo ha hecho por Vd. Previsiblemente Vd. es responsable de un fichero no automatizado que contenga datos personales.
¿Se imagina Vd. todo lo que implica en la práctica cumplir los requisitos de los artículos antes transcritos? Su despacho, consulta o negocio serán inviables con toda seguridad. No podrá continuar con su actividad empresarial,, sino que en aras del cumplimiento de una ley de menor rango se verá transformado en una «empresa policía´´ en la que todos nos vigilaremos a todos para mejor observancia de la ley
Si todavía piensa que no hay para tanto, recapacite. Según esta normativa en ciernes la gestión de cualquier documento en papel que contengan datos personales de nivel alto se volverá prácticamente inviable y como muestra ahí van algunos botones; controles sobre qué personas acceden a los documentos, cuando y para qué. Los traslados físicos de los ficheros o documentos se harán bajo «medidas dirigidas a impedir el acceso o manipulación de la información objeto de traslado´´. Las fotocopias de los documentos deberán registrarse. Los registros de acceso de personas se deberán conservar durante dos años. Los archivos estarán siempre en locales bajo control. Cuando un documento sale de su ubicación natural, será bajo custodia de un responsable que garantice que nadie excepto él ha tenido acceso al mismo.
EL DESENLACE
Ante esta perspectiva surrealista cabe preguntarse si hay solución y la respuesta es que afortunadamente sí.
La solución consiste en digitalizar los archivos y trabajar con documentos digitales, que también deben observar las medidas de seguridad que la ley exige, pero que por su naturaleza, son más sencillas de aplicar y cumplir y sobre todo son más razonables.
A partir de aquí las preguntas usuales son dos principalmente:
1- ¿Es seguro un documento digital?. Sin duda alguna siempre que se respeten los requisitos que los expertos en seguridad informática recomiendan y que son los siguientes:
A. CONFIDENCIALIDAD: Información protegida de terceros no autorizados.
B. INTEGRIDAD: Información EXACTA, no modificada por TERCEROS NO AUTORIZADOS (con intencionalidad o por error).
C. DISPONIBILIDAD: Información ACCESIBLE a los usuarios, de modo PERMANENTE.
D. AUTENTICIDAD: Garantiza la IDENTIDAD de las partes (sujetos de derechos y obligaciones).
E. NO REPUDIO LEGAL: Consecuencia de A + B + D.
En esta línea es bueno recordar que en las tragedias del 11-S y del incendio del Edificio Windsor de Madrid, la única información que se recuperó fue la digitalizada bien gestionada, con copias de seguridad en remoto. También es conveniente tener en mente los protocolos de la ISO 17799, de seguridad informática.
2- ¿Es legal un documento digital?. También aquí la respuesta es positiva en base a dos disposiciones de la Ley de Firma Electrónica que definen lo que legalmente ha dado en llamarse el PRINCIPIO DE EQUIVALENCIA FUNCIONAL.
Art. 3. 4) La firma electrónica reconocida tendrá respecto de los datos consignados en forma electrónica el mismo valor que la firma manuscrita en relación con los consignados en papel.
Art. 3.8) El soporte en que se hallen los datos firmados electrónicamente será admisible como prueba documental en juicio
Lógicamente las respuestas afirmativas anteriores son condicionadas porque en el proceso de digitalización y posterior gestión documental digitalizada se deben cumplir una serie de requisitos legales y técnicos. Pero esto ya es cuestión de otro trabajo.
CONCLUSIÓN
La confluencia de novedades normativas hará inviable en la práctica la observancia razonable de la Ley de Protección de Datos para los ficheros en papel que contengan datos especialmente protegidos. La única salida razonable, operativa y barata a la vez, es proceder a la digitalización de los referidos ficheros y gestionarlos con los requisitos legales establecidos para los ficheros automatizados.
#ads1{display: none !important;}
#ads2{display: none !important;}
#ads3{display: none !important;}
#ads4{display: none !important;}
/*.code-block {display: none !important;}*/
#economist-inarticle{display: none !important}
#publicidad{display:none;}
#cortardivhglobal{display: none !important;}
¿Quieres seguir leyendo?
Suscríbete a la Revista Inmueble desde
