Comentarios al nuevo reglamento para la LOPD

Hace unos días, un compañero de trabajo me hizo llegar un artículo muy interesante titulado "Posibles implicaciones para el directivo TIC del nuevo reglamento sobre la protección de datos", de Raúl Rubio. Es una explicación muy clara de las principales consecuencias que conllevaría el borrador del nuevo reglamento para la protección de datos, en caso de aprobarse.

Entre las aclaraciones más importantes del nuevo reglamento, podemos destacar las siguientes:

• Se rebaja el nivel de muchos ficheros: Los ficheros de caracter general de las empresas (nóminas, por ejemplo) pasarán a ser de nivel bajo, aunque contengan datos económicos, de afiliación sindical o de salud, siempre y cuando la finalidad de esos ficheros no sea el tratamiento expreso de dichos datos.
• Para los trabajadores externos que trabajen en nuestras dependencias se exige la firma de cláusulas de confidencialidad o documentos similares, y deberá indicarse en el documento de seguridad.
• Todos los trabajadores externos con acceso a los ficheros pero cuyo trabajo no suponga el tratamiento de los datos (limpieza, mantenimiento, hosting, etc) deberán firmar cláusulas de prohibición de acceso a los datos y de obligación de mantener el derecho de secreto, en caso de que deban acceder a ellos. Por su parte, el responsable deberá limitar, en la medida de lo posible, el acceso de estas personas a los datos.
• Los medios removibles que por su naturaleza no puedan ser etiquetados y clasificados (por ejemplo, Pen Drives) están exentos de cumplir dicha obligación.

Desafortunadamente, aparecen nuevas exigencias, entre las que se destacan las siguientes:

• Se exige que, para TODOS los archivos, se definan no sólo los usuarios con acceso sino los perfiles y niveles de acceso de cada uno de ellos.
• TODOS los usuarios deben tener identificadores unívocos y personalizados, independientemente del nivel del archivo al que tengan acceso.
• Será necesario probar los backups con una frecuencia máxima de 6 meses, independientemente del nivel del archivo respaldado.
• Los ficheros de nivel MEDIO y ALTO tendrán la obligación de registrar los accesos hasta el grado de identificar el registro accedido y el resultado del intento de acceso, a no ser que sólo el propietario del fichero tenga acceso a él.
• Las auditorías, obligatorias para ficheros de nivel MEDIO y ALTO, deberán ser notificadas a la AEPD.

Por otra parte, el nuevo reglamento establece las exigencias para los ficheros no automatizados (papel). Las principales son las siguientes:

• Inventariar y controlar el acceso en las mismas condiciones que con los ficheros automatizados.
• Destruir o borrar cualquier documento o soporte que vaya a ser eliminado.
• Registrar las entradas y salidas de documentos que contengan datos de nivel MEDIO y ALTO.
• Almacenar los ficheros de nivel MEDIO y ALTO en lugares ignífugos y con acceso restringido o vigilado.
• Procedimentar la realización de copias y reproducción de los documentos de nivel MEDIO y ALTO.
• Para los ficheros de nivel ALTO, también habrá que registrar los accesos a los documentos (durante 2 años como mínimo) y protegerlos mediante llaves o medidas equivalentes.

Como se puede ver, el borrador del nuevo reglamento introduce importantes exigencias, algunas de las cuales van a suponer esfuerzos realmente importantes por las empresas, que deben cumplirlo. ¿Cuantas de estas exigencias sobrevivirán a la publicación final del reglamento? ¿Cuántas se eliminarán? ¿Cuál será el periodo de moratoria para su cumplimiento? En un futuro próximo (o quizás no tanto), lo veremos.