INFORME DE LA ASESORIA JURIDICA DEL COLEGIO AL RESPECTO DE LA NORMATIVA CONTENIDA EN REAL DECRETO 994/1999, de 11 de junio, por el que se aprueba el,
REGLAMENTO DE MEDIDAS DE SEGURIDAD DE LOS FICHEROS AUTOMATIZADOS QUE CONTENGAN DATOS DE CARÁCTER PERSONAL.
18/06/2002 -
INFORME DE LA ASESORIA JURIDICA DEL COLEGIO AL RESPECTO DE LA NORMATIVA CONTENIDA EN REAL DECRETO 994/1999, de 11 de junio, por el que se aprueba el,
REGLAMENTO DE MEDIDAS DE SEGURIDAD DE LOS FICHEROS AUTOMATIZADOS QUE CONTENGAN DATOS DE CARÁCTER PERSONAL.
El articulo 18.4 de la Constitución Española establece que la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.
La Ley Orgánica 15/1999, de 13 de diciembre, de Protección DE DATOS DE CARACTER PERSONAL, prevén en su articulo 9, la obligación del responsable del fichero de adoptar las medidas de índole técnica y organizativas que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural, estableciéndose en el articulo 44.3.h) que mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen constituye infracción grave en los términos previstos en la propia Ley.
Cuestiones importantes :
A) PLAZOS para la COMUNICACION E INSCRIPCION DE LOS FICHEROS :
1.- Ficheros de Nueva Creación :
Deben registrarse en la Agencia de Protección de Datos. No está previsto un plazo determinado a tal efecto, si bien su comunicación a la Agencia deberá ser previa a su utilización.
2.- Ficheros Antiguos :
Se trata de los ya existentes a fecha 14 de enero de 2000 (ficheros preexistentes), deben adecuarse a la normativa vigente y comunicarse a la APD en los plazos siguientes:
FICHEROS AUTOMATIZADOS (en ordenador, etc.) : antes del día 14 de enero de 2.003.
FICHEROS NO AUTOMATIZADOS (fichas, por ejemplo) : antes del día 24 de octubre de 2.007.
FORMA DE LA Comunicación :
a) Formulario facilitado por la propia Agencia (c/ Sagasta 22, Madrid)
b) A través de su página Web (https://www.agenciaprotecciondatos.org)
B) PLAZOS DE IMPLANTACION DE LAS MEDIDAS de SEGURIDAD :
FICHEROS ANTIGUOS :
Aquellos ficheros creados antes del 26 de junio de 1.999 ( Y QUE ADEMAS HAYAN SIDO YA INSCRITOS, en la Agencia de Protección de Datos, ANTES DEL REAL DECRETO):
Deberían implantar medidas de seguridad de nivel alto antes del día 26 de junio de 2.002.
Es decir, si no tengo fichero inscrito, NO me afecta este plazo.
FICHEROS DE NUEVA Creación :
Todo fichero de nueva creación debe respetar, desde el inicio, dichas medidas de seguridad.
Por tanto, dado que la mayoría de los colegiados tendrán ya ficheros (automatizados o no) lo que procede, desde el punto de vista práctico es :
1º.- Implantar las medidas de seguridad necesarias en nuestro caso
2º.- Comunicar e inscribir el fichero (a la Agencia de Protección de Datos posteriormente) como fichero de nueva creación.
****************************************************************************************************************************************************************************************************
Aplicación DE LOS NIVELES DE SEGURIDAD
1. Todos los ficheros que contengan datos de carácter personal deberán adoptar las medidas de seguridad calificadas como de nivel básico.
2. Los ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros y aquellos ficheros cuyo funcionamiento se rija por el articulo 28 de la Ley Orgánica 5/1992, deberán reunir, además de las medidas de nivel básico, las calificadas como de nivel medio.
3. Los ficheros que contengan datos de ideología, religión, creencias, origen racial, SALUD o vida sexual así como los que contengan datos recabados para fines policiales sin consentimiento de las personas afectadas deberán reunir, además de las medidas de nivel básico y medio, las calificadas de NIVEL ALTO.
Medidas de seguridad de nivel alto (entre otras y como más importantes)
Documento de seguridad.
1. El responsable del fichero elaborará e implantará la normativa de seguridad mediante un documento de obligado cumplimiento para el personal con acceso a los datos automatizados de carácter personal y a los sistemas de información (su contenido mínimo viene predeterminado en la Ley)
Distribución de soportes.
La distribución de los soportes que contengan datos de carácter personal se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que dicha información no sea inteligible ni manipulada durante su transporte.
Registro de accesos.
1. De cada acceso se guardarán, como mínimo, la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado.
2. En el caso de que el acceso haya sido autorizado, será preciso guardar la información que permita identificar el registro accedido.
3. Los mecanismos que permiten el registro de los datos detallados en los párrafos anteriores estarán bajo el control directo del responsable de seguridad competente sin que se deba permitir, en ningún caso, la desactivación de los mismos.
4. El periodo mínimo de conservación de los datos registrados será de dos años.
5. El responsable de seguridad competente se encargará de revisar periódicamente la información de control registrada y elaborará un informe de las revisiones realizadas y los problemas detectados al menos una vez al mes.
Copias de respaldo y recuperación.
Deberá conservarse una copia de respaldo y de los procedimientos de recuperación de los datos en un lugar diferente de aquel en que se encuentren los equipos informáticos que los tratan cumpliendo en todo caso, las medidas de seguridad exigidas en este Reglamento.
Auditoria.
1. Los sistemas de información e instalaciones de tratamiento de datos se someterán a una auditoria (cada 2 años en niveles medio y alto) interna o externa, que verifique el cumplimiento del presente Reglamento, de los procedimientos e instrucciones vigentes en materia de seguridad de datos, al menos, cada dos años.
2. El informe de auditoria deberá dictaminar sobre la adecuación de las medidas y controles al presente Reglamento, identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias.
Deberá , igualmente, incluir los datos, hechos y observaciones en que se basen los dictámenes alcanzados y recomendaciones propuestas.
3. Los informes de auditoria serán analizados por el responsable de seguridad competente, que elevará las conclusiones al responsable del fichero para que adopte las medidas correctoras adecuadas y quedarán a disposición de la Agencia de Protección de Datos.
Nombramiento de un RESPONSABLE DE SEGURIDAD: que ser la persona o personas a las que el responsable del fichero ha asignado formalmente la función de coordinar y controlar las medidas de seguridad aplicables.
Con respecto a esta importante cuestión, la índole de los documentos o programas informáticos puede suponer que se haga necesario el nombramiento de un profesional (Informático) si el dentista no supiera hacerlo. Sin embargo, si el colegiado sabe y puede hacer esta labor no necesita nombrar a otra persona como responsable de seguridad de su fichero.
INFRACCIONES Y SANCIONES
La no inscripción del fichero o la no comunicación de su adaptación de los antiguos a la nueva normativa, y la no implantación de las medidas de seguridad, pueden ser sancionadas como infracciones leves -las dos primeras- y grave la tercera, y que pueden ser sancionadas con multa que puede oscilar entre 100.000 a 10.000.000 las leves y entre 10.000.000 a 50.000.000 pesetas las graves.
SUPUESTO PARTICULAR DE LOS FICHEROS NO AUTOMATIZADOS (FICHAS)
En primer lugar decir, que NO HAY NADA REGLAMENTADO.
En todo caso, quien disponga de ellos :
1º.- Deben ser objeto de comunicación y registro, tal como se ha dicho
2º.- Sus medidas de seguridad ( a modo de ejemplo, tener duplicado de todo, disponer de una habitación o espacio para tal fin, acceso restringido a este lugar para determinadas personas de la clínica, trituradora de papel para destrucción de expediente, etc.).
Santander, 11 de junio de 2.002.
P.D.
La Junta directiva esta elaborando un documento que previo dictamen por la asesoría jurídica pueda servir de base para la elaboración de la normativa de seguridad de los ficheros de los colegiados así como para que el propio dentista sea el responsable de seguridad y auditor.
