Español | English
rss facebook linkedin Twitter

Medidas de seguridad aplicables a los ficheros y tratamientos no automatizados

Otra de las novedades que incorpora el nuevo reglamento de seguridad de la LOPD son las medidas que las empresas deberán aplicar a los datos en soporte papel. Dichas medidas quedan detalladas principalmente entre los artículos 105 y 114 del RD 1720/2007 (Título VIII Capítulo IV).


En las próximas líneas intentaremos desgranar los requisitos que se establecen y las implicaciones que se derivan desde el punto de vista de la gestión de los datos en soporte papel.

El Artículo 106 establece la necesidad de seguir unos criterios de archivo de la documentación. En los casos en que estos criterios no estén establecidos en una legislación específica, se hace necesario que el responsable del fichero establezca los criterios de archivo. Es en este último escenario en el que será recomendable disponer de una política específica que establezca las directrices para el tratamiento de los documentos con datos personales. Estas directrices, a su vez, deberán estar respaldadas por los procedimientos de actuación correspondientes.

Los Artículos 107 y 111 nos indican de forma explícita que el control de acceso a la documentación debe realizarse mediante la aplicación de controles físicos, lo cual dificulta tanto la aplicación de los controles (en caso de no existir) como la continuidad en el tiempo de la aplicación de las medidas que se apliquen (el factor humano juega aquí un papel crucial en la aplicación continua de los controles).

Una buena medida a considerar relacionada con el Artículo 108 Custodia de los soportes, es la inclusión de cláusula de confidencialidad con las empresas de limpieza. El personal de limpieza accede a áreas o zonas que contienen documentación con datos de carácter personal que no está archivada en los dispositivos de almacenamiento habitual (a los que se refieren los artículos 107 y 111) y sobre los que también se deberá impedir el acceso no autorizado. Puesto que la operativa diaria no puede evitar que, en un momento dado, el persona de limpieza tenga acceso a la documentación que esté en proceso de revisión o tramitación, es recomendable disponer de controles compensatorios como el propuesto.

El Artículo 112.2 establece la necesidad de destruir las copias de forma segura, es decir, evitando el acceso a la información contenida en las mismas o su recuperación posterior. En este caso, para dar debido cumplimiento a los requisitos establecidos se pueden plantear tres alternativas posibles:

1.- Disponer de contenedores específicos para la destrucción de documentos confidenciales: Dichos contenedores sería recomendable que estuvieran cerrados con llave evitando que queden abierto pues, en ese caso, serían equivalentes a una papelera convencional.
2.- Disponer de destructoras de papel (trituradoras) que garanticen la imposibilidad de recuperar la información. Estas destructoras pueden ser personales, departamentales o compartidas por varios departamentos de la empresa.
3.- Externalizar el servicio de destrucción de documentos en soporte papel: En este caso es aconsejable que se establezcan cláusulas orientadas a garantizar la confidencialidad durante la recogida y transporte de los documentos, establecer contractualmente el tamaño del residuo una vez destruidos los documentos y, como e todo contrato de externalización de servicios, tener potestad auditora sobre el prestador. Estas cláusulas permitirán atender, en parte, los requisitos descritos en el Artículo 114 relativo al traslado de documentación, que debe realizarse con las debidas garantías que impidan el acceso o manipulación de la información que sea objeto de traslado.


Joan Ayerbe
Manager de Consultoría, CISM.

(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login