Ficheros manuales de datos personales, según el RGPD
Escuchar este artículo ahora
Getting your Trinity Audio player ready...
|
Cuando hablamos de protección de datos muchos piensan en las bases de datos informatizadas, no sin razón pues son las más peligrosas por la facilidad de almacenar una gran cantidad de datos y cruzarlos. Lo mismo fue lo que pensó el legislador constitucional, así, en nuestra Constitución de 1978, se dice en el artículo 18-4:
“La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”
No se menciona a los datos en papel.
Índice de Contenidos
Regulaciones en España sobre protección de datos personales
Ley Orgánica 5/1992
La primera regulación en España sobre protección de datos personales fue a través de la Ley Orgánica 5/1992 sobre regulación del tratamiento automatizado de datos de carácter personal (LORTAD) que, como su mismo nombre indica, sólo era aplicación a los tratamientos de datos automatizados, bases de datos informatizadas.
Ley Orgánica 15/1999
Fue a partir de la publicación de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) cuando se tienen en cuenta la protección no sólo de los datos automatizados sino también los que se encuentran en otros formatos, como el papel, estableciendo en su artículo 1 que:
“será de aplicación a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento”
definiendo en su artículo 3-b a:
- Fichero: todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso”
y en el artículo 3-c a:
- Tratamiento: operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.”
Real Decreto 1720/2007
El Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal fijó, además, en su capítulo IV medidas de seguridad especificas aplicables sólo a los ficheros y tratamientos no automatizados, por ejemplo, en este capítulo se establecía para los ficheros de nivel alto que “Siempre que se proceda al traslado físico de la documentación contenida en un fichero, deberán adoptarse medidas dirigidas a impedir el acceso o manipulación de la información objeto de traslado”, en este punto solíamos recomendar como una de las medidas el lacrado de sobres.
Reglamento (UE) 2016/679
La llegada del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (RGPD) no cambia la situación, así, el RGPD en su artículo 2, cuando establece el ámbito de aplicación material de este, dice:
“El presente Reglamento se aplica al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.”
Lo que es reafirmado en el considerando 15 cuando dice que:
“La protección de las personas físicas debe aplicarse al tratamiento automatizado de datos personales, así como a su tratamiento manual, cuando los datos personales figuren en un fichero o estén destinados a ser incluidos en él”
Protección de los datos personales almacenados en papel
Está claro, por lo tanto, que los datos personales de personas físicas que almacena una empresa en formato papel, también están protegidos por el actual RGPD (Reglamento General de Protección de Datos), como lo estaban antes por la LOPD (Ley Orgánica de Protección de Datos), nada ha cambiado en ese sentido.
Como hemos visto, el Reglamento de desarrollo de la LOPD, enumeraba una serie de medidas de seguridad a aplicar obligatoriamente según el nivel de seguridad en el que se encuadraran los datos almacenados.
El RGPD no establece ese listado de medidas, por lo que, de acuerdo con el principio de responsabilidad proactiva que inspira al RGPD, será el responsable del tratamiento el que tendrá que decidir qué medidas de seguridad aplica a lo datos que almacena, sea cual sea el formato físico, automatizado o manual.
Análisis de riesgos
Se exige, por tanto, analizar a que riesgos están sometidos los ficheros en papel que tiene la empresa, y adoptar las medidas de seguridad necesarias que aseguren una protección contra el tratamiento no autorizado, su perdida, destrucción o daño accidental.
Obligación
Las medidas de seguridad que establece el Reglamento de desarrollo de LOPD para estos ficheros manuales no son ya de obligado cumplimiento, pero sí se pueden usar de referencia, por consiguiente, las empresas que ya aplicaban estas medidas, tras llevar a cabo el análisis de riesgos, pueden continuar aplicando las mismas si estas son suficientes para mitigar los riesgos analizados, o si no lo fueran sustituirlas o añadir las necesarias.