Archivadores: medidas de seguridad
A pesar de la progresiva implantación en las empresas de las herramientas informáticas, los archivadores de papel siguen siendo a fecha de hoy, un elemento muy común en las organizaciones empresariales. Es por ello que en este post, analizamos las medidas de seguridad que, según el RLOPD, deben implementar aquellas empresas que almacenen datos personales en soporte papel.
Estas medidas, muchas veces olvidadas, están claramente recogidas en los artículos 105 del antes mencionado RLOPD.
Del mismo modo que este texto legal divide las medidas de seguridad para los recursos informáticos en los niveles básico, medio y alto, según el tipo de datos, se hace lo mismo para los archivadores en papel. Así para una correcta implementación de las medidas de seguridad en los archivadores el primero será conocer qué tipo de datos personales tengo en estos archivadores.
En función del tipo de datos, de los que a continuación doy ejemplos, deberán implementarse las medidas de seguridad que ahora analizaremos.
Antes de meternos en esto sin embargo dos consideraciones: (1) la identificación de los archivadores afectados, así como las medidas de seguridad, deberán incluirse en el Documento de Seguridad obligatorio y (2) en caso de que exista normativa específica de archivo (como para los historiales clínicos), ésta deberá tenerse en cuenta al momento de aplicar la normativa de protección de datos.
Nivel Básico (ejemplos: Nombres y Apellidos DNI, teléfono, dirección postal o electrónica, número de cuenta, nóminas)
Archivar la documentación garantizando la correcta conservación, localización y consulta de la información y posibilitar el ejercicio de los derechos ARCO. Los lugares de almacenamiento de los documentos que contengan datos de carácter personal deberán disponer de mecanismos que obstaculicen su apertura: generalmente, clave.
Mientras la documentación con datos de carácter personal no esté archivada (en uso), la persona que tenga a su cargo debe custodiar e impedir que pueda acceder una persona no autorizada.
Nivel Medio (ejemplo: Currículums, ficheros de morosos):
Designar a uno o varios responsable/s de seguridad y someterse al menos cada dos años, a una auditoría interna o externa.
Nivel Alto (ejemplos: datos de salud)
Su almacenamiento debe realizarse en lugares (despachos u oficinas) en los que el acceso esté protegido con puertas cerradas clave (u otro dispositivo equivalente).
La realización de copias, la reproducción o el acceso a los documentos por y bajo el control del personal autorizado.
El acceso a la documentación se limitará exclusivamente al personal autorizado y se establecerán mecanismos que permitan identificar los accesos (autorizados o no). Esto a la práctica implica implementar un sistema por el que los accesos a los archivadores con datos de nivel alto, sean registrados.
Cuando se proceda al traslado de documentación se deberán adoptar medidas dirigidas a impedir el acceso o manipulación de la información objeto de traslado.
Las sanciones
Como toda la normativa de protección de datos, el incumplimiento de estas medidas de seguridad, puede ser sancionada por la AEPD. En este caso, la infracción asociada sería de tipo grave, con sanciones que, en el peor de los casos, podrían ir desde los 40.001 a los 300.000 €.
Si tienes dudas sobre este o cualquier otro tema, ¡no dudes en contactarnos!