Ficheros en España en España en España
Aquí se ofrecen, respecto al derecho español, referencias cruzadas, comentarios y análisis sobre Fichero. [aioseo_breadcrumbs][rtbs name=»derecho-home»]
Ficheros temporales en el Reglamento de Medidas de Seguridad de Ficheros Automatizados
Bajo este concepto se expresa el artículo 7 del Real Decreto 994/1999, de 11 de junio, de Medidas de Seguridad de Ficheros Automatizados -en adelante, RMS- cuando alude a los ficheros temporales de la siguiente forma: «deberán cumplir el nivel de seguridad que les corresponda […] será borrado una vez que haya dejado de ser necesario para los fines que motivaron su creación».
El concepto ficheros temporales se expresa el artículo 7 del Real Decreto 994/1999, de 11 de junio, de Medidas de Seguridad de Ficheros Automatizados -en adelante, RMS- cuando alude a los mismos de la siguiente forma: «deberán cumplir el nivel de seguridad que les corresponda […] será borrado una vez que haya dejado de ser necesario para los fines que motivaron su creación».
Los ficheros temporales son, como muy bien indica el artículo 7 RMS, ficheros que nacen para satisfacer una finalidad concreta y su duración viene marcada en función de la periocidad de aquélla. En concreto, este tipo de ficheros se caracterizan por los siguientes extremos, a saber:
- Se crean o nacen en base a un fichero “general” sobre el que se extraerán aquellos campos o rangos necesarios para la creación del fichero temporal.
- Su creación no conlleva el asiento o inscripción registral correspondiente.
- La finalidad de dichos ficheros es concreta.
- Una vez llevada a cabo la finalidad deben ser eliminados.
- Han de cumplir, al menos, las mismas medidas de seguridad que exige la normativa en materia de protección de datos para los ficheros “generales”.
La razón de su creación versa en función del tratamiento, es decir, muchas veces no es necesario utilizar todos los campos o datos contenidos en el fichero “general”. Dichos ficheros temporales son utilizados, entre otros:
- Remisión de datos a terceras empresas para la prestación de determinados servicios -p.e. envío de correspondencia-, o
- Utilización de determinados datos entre distintos departamentos de una determinada empresa.
La problemática se suscita en torno al control y gestión eficiente de estos ficheros, puesto que pueden correr el riesgo de mantenerse durante largos períodos de tiempo una vez concluida la finalidad que motivó su creación o, añadirse nuevos campos o datos que hicieren que el fichero temporal viese aumentado su seguridad y, en consecuencia, la adopción de nuevas medidas de seguridad.
Por todo lo expuesto, anteriormente, es fundamental que se lleven a cabo una serie de prácticas:
- Sólo deben utilizarse para una finalidad concreta, aquélla para la que fueron creados.
Una vez finalizada la misma, deben ser eliminados. - Es necesario establecer un control de acceso, estableciendo diferentes perfiles en base al personal autorizado a tratarlos.
- Establecer la correspondiente política de tratamiento de ese fichero, es decir, si es posible la modificación, inclusión, rectificación, etc. de datos de carácter personales.
Para poder llevar a cabo las prácticas descritas es imprescindible designar un responsable que decida sobre la utilización, extracción y mantenimiento de los mismos.
En consecuencia, es conveniente que sólo existan en las empresas y organizaciones pocos ficheros “generales” donde se encuentren albergados todos los datos, incluidos los de carácter personal y, sobre los mismos, se permita la extracción y correspondiente creación de ficheros temporales, debiendo permanecer éstos bajo un estricto control, tanto de tratamiento como del personal autorizado para utilizarlos.
Autor: Efrén Santos, injef
Protección de datos: aplicación a los ficheros en papel
La Agencia Española de Protección de Datos (AEPD), en una comunicación del año 2004 efectuada a través de su propia web, zanjó de una vez por todas el tema, dejando bien claro qué ficheros en papel están sujetos a la LOPD (Ley Orgánica de Protección de Datos) y cuáles no.
Hasta entonces, la mayoría de la doctrina sostenía que la legislación de protección de datos no se aplica a los ficheros en papel, tan sólo a los informatizados. Pues bien, la Agencia Española de Protección de Datos dejó claro qué ficheros en papel están sujetos a la LOPD (Ley Orgánica de Protección de Datos) y cuáles no.
Aplicación de la LOPD
La LOPD, en su articulado, nos indica que se aplicará a los datos de carácter personal registrados en soporte físico que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado.
Si nos damos cuenta, ya no se habla, como sí hacía antes la anterior ley, del año 1992, de ficheros informáticos, o informatizados, o automáticos, por lo que están incluidos también los ficheros en soporte papel, con tal de que estén estructurados como ficheros, o sea, que tengan un orden lógico de acceso a los datos (ejemplo: ordenados alfabéticamente). A su vez, aunque esto sería para ser tratado en otro artículo diferente, también estarían sometidos a la ley los ficheros de voz o imágenes, aunque bajo determinados requisitos.
Plazo
En efecto, hay un plazo, concretamente el de 24 de octubre de 2007, que se prevé por la propia LOPD para la total aplicación de la misma a cualquier tipo de fichero, incluidos los en papel, por lo que mucha gente interpretó que a los en papel, aún no se le aplicaba dicha normativa.
Ello es una verdad a medias, por cuanto lo que realmente ocurre es que se aplica la LOPD también a los ficheros en papel siempre y cuando éstos ya existiesen en la fecha de entrada en vigor de la LOPD, que lo fue el 14.1.00, por lo que a estos últimos ficheros mencionados sí se les aplicaría en su integridad la LOPD.
Medidas de seguridad
A lo anterior, a pesar de estar en claro así planteado, de una forma tan simple y abstracta, se une el escollo, de enorme trascendencia práctica, de ¿qué ocurre con el Reglamento de Medidas de Seguridad que hay que aplicar? El problema de dicho reglamento es que se elaboró cuando estaba en vigor la ley anterior, la llamada LORTAD, del año 1992, y estaba pensado dicho reglamento para ficheros sólo automatizados, por lo que ahora, al intentar aplicarlo, también, a ficheros que no son automatizados.
Por otro lado, cuando vayamos a la aplicación concreta del Reglamento de Medidas de Seguridad y nos sea imposible hacer una traslación de lo en él expuesto o contemplado, a los ficheros en papel (pues no olvidemos que dicho Reglamento se pensó para ficheros automatizados), sólo aplicaremos las medidas que sean posibles. Ejemplo: cuando se habla de usar una contraseña, y tengamos expedientes en un archivador, resulta claro que ello no será de aplicación, pero sí, por el contrario, la elaboración y aplicación del llamado Documento de Seguridad, haciendo mención en él a dichos ficheros, y detallando las medidas de seguridad aplicables a los mismos. Otra obligación, puede ser también la inscripción de los ficheros en el Registro General de Protección de Datos, dependiente de la Agencia Española de Protección de Datos.
Autor: Javier Hernández, injef
Dirección IP
La Agencia de Protección de Datos, a través de su informe 327/03, considera a la direcciones IP tanto fijas como dinámicas como dato de carácter personal siendo de aplicación por tanto la normativa sobre protección de datos.
- Es mejor que los niños usen uniformes?
- Hoy, efemérides de la caída de Saigón (Vietnam del Sur)
- Hoy, efemérides de la recuperación francesa de Orleans, frente a los ingleses
- Hoy, efemérides de la Ejecución de Mussolini, intentando escapar de Italia
- Historia Completa de la Unión Francesa, en la efemérides de la Independencia de Togo
- Hoy, Efemérides de la Independencia de 2 países de África
- Hoy, Aniversario del Bombardeo de Guernica, en día de Mercado
Desde Agencia de Protección de Datos se parte de la idea de que la posibilidad de identificar a un usuario de Internet existe en muchos casos y, por lo tanto, las direcciones IP tanto fijas como dinámicas, con independencia del tipo de acceso, se consideran datos de carácter personal resultando de aplicación la normativa sobre protección de datos.
En este sentido un fichero que contuviera únicamente las direcciones IP, en principio resultaría de aplicación las medidas de seguridad nivel básico. Por el contrario un fichero que contuviera la dirección IP asociada, por ejemplo, a los sitios web solicitados con la finalidad de elaborar un determinado perfil del usuario, si el mismo permite obtener una evaluación de la personalidad del individuo, se deberán adoptar las medidas de seguridad nivel medio
En cuanto a la consideración de los “log-in” de acceso a Internet o a páginas personales como datos de carácter personal, resultarán de aplicación las consideraciones anteriores. Si identifica de forma directa al usuario, no hay duda de que estaremos ante un dato de carácter personal, por el contrario si este es anónimo, en principio no sería un dato de carácter personal, pero si, por ejemplo, el proveedor de servicios de Internet a través de ese “log in” puede identificar al usuario con el que tiene un contrato de acceso a Internet, sí será considerado como un dato de carácter personal.
Inscripción de ficheros en materia de protección de datos personales
La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y el Reglamento de desarrollo de la misma, definen el «fichero» como «todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso», dotando a este concepto de una mayor amplitud por encima de cualquier software determinado.
Inscripción de ficheros
Como consta en la definición un fichero sujeto a la LOPD debe permitir el acceso a los datos «con arreglo a criterios determinados», por tanto debe contar con algún criterio de ordenación que permita recuperar datos de una persona determinada. Los más comunes son por ejemplo: Apellidos, nombre, número o código de cliente o factura, fecha, domicilio, teléfono, etc.
La LOPD se aplica a los datos personales incluidos en soportes no informáticos cuando puedan ser objeto de tratamiento, encontramos esto recogido en la definición que el Texto Legal realiza de “fichero no automatizado”: todo conjunto de datos de carácter personal organizado de forma no automatizada y estructurado conforme a criterios específicos relativos a personas físicas, que permitan acceder sin esfuerzos desproporcionados a sus datos personales, ya sea aquél centralizado, descentralizado o repartido de forma funcional o geográfica. En este caso podríamos citar ejemplos como; historias clínicas, currículums, facturas, grabaciones analógicas de audio o video de un sistema de video vigilancia, negativos fotográficos, etc.
Para los Tribunales el elemento determinante para identificar un fichero o un tratamiento no automatizado sometido a la legislación sobre protección de datos reside en que se trate de información estructurada en la que resulte posible recuperar los registros relativos a un individuo determinado. En este sentido la Sentencia de la Sección Primera de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional de 16 de febrero de 2006, ha establecido lo siguiente: “En realidad la existencia del «fichero» en el sentido legal es siempre precisa para que un tratamiento de datos personales esté sujeto al sistema de protección de la ley. En los casos de tratamiento automatizado de datos -siempre sometidos a la ley- es difícil imaginar la inexistencia de un fichero (aunque no se exija expresamente) puesto que los datos que se tratan mediante sistemas automatizados lo son siempre bajo unos criterios de estructura u organización previa”.
La LOPD establece el deber de notificar los ficheros, de forma que toda persona o entidad que proceda a la creación de ficheros de datos de carácter personal lo notificará previamente a la Agencia de Protección de Datos. Deberán comunicarse a la Agencia de Protección de Datos los cambios que se produzcan en la finalidad del fichero automatizado, en su responsable y en la dirección de su ubicación. (arts. 26.1 y 26.3, LOPD).
Aunque no se utilice una base de datos, puede existir un fichero objeto de inscripción (Ejmps: lista de clientes en un documento de un procesador de textos, una agenda de contactos profesionales, sistema de correo electrónico, fotografías digitales cuando se identifica al cliente, etc).
Tratamiento de datos en distintos soportes
Mención especial merece el “Tratamiento de datos en distintos soportes” (art. 56, RDLOPD), dado que un mismo fichero puede incluir recursos objeto de tratamiento automatizado y no automatizado.
La notificación de un fichero de datos de carácter personal es independiente del sistema de tratamiento empleado en su organización y del soporte o soportes empleados para el tratamiento de los datos.
Cuando los datos de carácter personal objeto de un tratamiento estén almacenados en diferentes soportes, automatizados y no automatizados o exista una copia en soporte no automatizado de un fichero automatizado sólo será precisa una sola notificación, referida a dicho fichero.
De lo establecido en la LOPT parece desprenderse que el concepto de fichero no va directamente vinculado a la exigencia de que el mismo se encuentre en una única ubicación, sino que será posible la existencia de ficheros distribuidos en lugares geográficos remotos entre sí, siempre y cuando la organización y sistematización de los datos responda a una conjunto organizado y uniformado de datos, sometido a algún tipo de gestión centralizada.
Nota: La Agencia Española de Protección de Datos dispone en su website de un sistema para la inscripción de ficheros denominado NOTA, que facilita por medio de modelos predefinidos la inscripción de los ficheros más comunes como los de personal o clientes.
Fuente: iberley