Story Transcript
16_El deber de secreto de los datos_04_09:Maquetación 1
30/03/2009
16:52
Página 16
>>> A fondo El deber de secreto de los datos
16
Ayuntamiento XXI Abril - Mayo 2009
En breve
Por Maria Arias Pou. Abogado especialista en protección de datos, ARIAS POU Abogados TIC www.ariaspou.com El presente artículo pretende ser una reflexión en el ámbito de la administración local en general y los ayuntamientos en particular que nos haga recordar que una de nuestras obligaciones en materia de protección de datos de carácter personal, consiste en el deber de secreto y de custodia sobre la información personal que tratamos en el día a día de nuestro trabajo. Para ello realizaremos un breve recorrido sobre cuestiones como el deber de secreto en la normativa vigente sobre protección de datos, las medidas de seguridad que resultan aplicables para garantizar un mínimo de seguridad a los ficheros de datos en soporte manual y la opinión de la Agencia Española de Protección de Datos1 como órgano de vigilancia y control en la materia.
I
INTRODUCCIÓN
Resulta relativamente frecuente leer en la prensa diaria casos de pérdida de información personal, generalmente documentación en soporte papel, como historiales clínicos, curriculums, informes psicológicos, etc. Estos hechos hacen que nos planteemos muy seriamente el deber de custodia de la información de carácter personal que manejamos en el desarrollo de nuestra actividad pública o privada. En este sentido, y por desgracia, las entidades locales no son una excepción, recientemente conocíamos la noticia de la denuncia a un Ayuntamiento que había almacenado centenares de expedientes y solicitudes de empleo apilados en el aparcamiento del edificio de servicios administrativos del Ayuntamiento.
1. A la que también nos podemos referir como AEPD. 2. En adelante también LOPD.
II
DEBER DE SECRETO
Es el artículo 10 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal2, el que dispone que “El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.” El deber de secreto debe estar muy presente en la política de protección de datos de las distintas entidades locales, y este deber alcanza a las
30/03/2009
16:52
Página 17
A fondo
La Agencia Española de Protección de Datos, en su resolución R/01326/2008, de 2 de octubre explica así este deber: “El deber de secreto profesional que incumbe a “el responsable del fichero y a quienes intervengan en cualquier fase del tratamiento…”, recogido en el artículo 10 de la LOPD, comporta que éstos no puedan revelar ni dar a conocer su contenido teniendo el “deber de guardarlos, obligaciones que subsistirán aún después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo”. Este deber es una exigencia elemental y anterior al propio reconocimiento del derecho fundamental a la libertad informática a que se refiere la Sentencia del Tribunal Constitucional 292/2000, de 30 de marzo, y por lo que ahora interesa, comporta que los datos tratados automatizadamente no pueden ser conocidos por ninguna persona o entidad ajena fuera de los casos autorizados por la Ley, pues en eso consiste precisamente el secreto.” Y añade: “Este deber de sigilo resulta esencial en las sociedades actuales cada vez más complejas, en las que los avances de la técnica sitúan a la persona en zonas de riesgo para la protección de derechos fundamentales, como la intimidad o el derecho a la protección de los datos que recoge el artículo 18.4 de la CE. En efecto, este precepto contiene un “instituto de garantía de los derechos de los ciudadanos que, además, es en sí mismo un derecho o libertad fundamental, el derecho a la libertad frente a las potenciales agresiones a la dignidad y a la libertad de la persona provenientes de un uso ilegítimo del tratamiento mecanizado de datos” (Sentencia citada 292/2000). Este derecho fundamental a la protección de datos persigue garantizar a esa persona un poder de control sobre sus datos personales, sobre su uso y destino que impida que se produzcan situaciones atentatorias con la dignidad de la persona, es decir, el poder de resguardar su vida privada de una publicidad no querida.”
III
SEGURIDAD DE LOS DATOS EN SOPORTE MANUAL
El desarrollo de las nuevas tecnologías de la información y las comunicaciones, en la medida en que permiten la
3. Reglamento de desarrollo de la LOPD o RDLOPD.
Sumario I. Introducción II. El deber de secreto III. Seguridad de los datos en soporte manual IV. Opinión de la Agencia Española de Protección de Datos V. Conclusiones
obtención y el tratamiento automatizado de los datos personales, se contemplan en ocasiones como una amenaza para su protección, si bien, a veces, la protección de la información personal que figura en soporte papel, resulta sino más, al menos igualmente compleja. En este sentido, la normativa vigente en materia de protección de datos resulta igualmente aplicable a los ficheros en soporte automatizado o no automatizado. Desde que el 14 de enero de 2000 entró en vigor la LOPD, hace ya más de 9 años, ésta resulta aplicable también a los ficheros no automatizados, si bien, el desarrollo reglamentario de la Ley, que ha venido a ver la luz con el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el reglamento de desarrollo de la LOPD , nos ha traído consigo las medidas de seguridad concretas que debemos aplicar a los soportes manuales.
>>>
El deber de secreto debe estar muy presente en la política de protección de datos de las distintas entidades locales
>
17
16_El deber de secreto de los datos_04_09:Maquetación 1
16_El deber de secreto de los datos_04_09:Maquetación 1
30/03/2009
16:52
Página 18
>>> Maria Arias Pou Como todo fichero, el manual se caracteriza también por ser un conjunto de datos organizados de acuerdo a criterios determinados que permiten que la información personal que albergan esté organizada de una determinada forma, sea fácilmente localizable y proporcione más información que la del dato personal aisladamente considerado.
18
Ayuntamiento XXI Abril - Mayo 2009
Centrándonos ya en las medidas de seguridad concretas de los ficheros manuales, destacar, que, aparte de la aplicación común de muchas medidas de seguridad descritas para los ficheros automatizados, se regulan medidas de seguridad específicas de los ficheros manuales que se dividen también en medidas de nivel básico, medio y alto. Antes de abordar las medidas de seguridad concretas, recordar que estas medidas son acumulativas en el sentido de que el nivel de medidas de seguridad medio abarca las medidas de nivel básico y además las de nivel medio y, por su parte, las medidas de seguridad de nivel alto, exigen observar las medidas de seguridad de nivel básico, medio y además, las de nivel alto. Como medidas de seguridad de nivel básico, las medidas aplicables a los ficheros manuales se dirigen principalmente a determinar los criterios de archivo de la documentación en soporte papel que contenga datos de carácter personal, las características de los dispositivos de almacenamiento de los documentos y, lo que a los efectos de nuestro análisis resulta especialmente relevante, el deber de custodia de quien está revisando el documento durante el tiempo en el que éste no se encuentra en su lugar. Respecto de la primera medida de seguridad, los criterios de archivo, el Reglamento establece que la documentación en soporte papel que contenga datos de carácter personal, se archivará de acuerdo con los criterios previstos en su respectiva legislación garantizando siempre la
correcta conservación de los documentos, la localización y consulta de la información y posibilitando el ejercicio de los derechos de oposición al tratamiento, acceso, rectificación y cancelación. En segundo lugar, respecto de los dispositivos de almacenamiento de los documentos que contengan datos de carácter personal, establece que éstos deben disponer de mecanismos que obstaculicen su apertura, es decir, que no permitan el acceso libre a la información que contienen. En tercer lugar, como medida de nivel básico, encontramos el deber de custodia de la persona que se encuentre al cargo de los soportes durante el tiempo en el que la documentación que contenga datos de carácter personal no se encuentre archivada en los dispositivos de almacenamiento correspondiente, por estar en proceso de revisión o tramitación, ya sea previo o posterior a su archivo. Esta medida resulta de especial relevancia, más si cabe, cuando establece la responsabilidad directa de la persona que se encarga de custodiarla y la obligación de impedir en todo momento que pueda ser accedida por persona no autorizada. Por su parte, como medidas de seguridad de nivel medio, específicas de los ficheros manuales, dispone el Reglamento la necesidad de designar uno o varios responsables de seguridad que se encargarán de coordinar y controlar las medidas definidas en el documento de seguridad. Asimismo, se prevé que esta designación puede ser única para todos los ficheros o tratamientos de datos de carácter personal, coincidiendo así, por ejemplo, el responsable de seguridad de los ficheros automatizados con el responsable de seguridad de los ficheros manuales, o diferenciada, designando un responsable de seguridad para cada uno de los sistemas de tratamiento utilizados. Además, como medida de seguridad de nivel
16_El deber de secreto de los datos_04_09:Maquetación 1
30/03/2009
16:52
Página 19
A fondo
>>>
Protección de Datos en Soporte Papel Sujetos obligados Responsables de ficheros Encargados del tratamiento Contenido de la obligación Adoptar como mínimo las medidas de seguridad que establece el Reglamento - Criterios de archivo de la documentación - Características de los dispositivos de Medidas de seguridad de nivel básico almacenamiento de los documentos y, - Deber de custodia de quien está revisando la documentación durante el tiempo en el que éste no se encuentra en su lugar
medio se prevé la obligación de someter a los ficheros manuales, al menos cada dos años, a una auditoria interna o externa que verifique el cumplimiento de las obligaciones en materia de protección de datos. Para terminar de analizar estas medidas de seguridad aplicables a los ficheros manuales, y en cuanto a las medidas de seguridad de nivel alto, se establecen medidas referentes al almacenamiento de la información, la copia o reproducción de la documentación, el control del acceso a la documentación y las medidas a adoptar para el traslado de la documentación. Así, respecto al almacenamiento de la información, establece que los armarios, archivadores u otros elementos en los que se almacenen los ficheros no automatizados con datos de carácter personal deberán encontrarse en áreas en las que el acceso esté protegido con puertas de acceso dotadas de sistemas de apertura mediante llave u otro dispositivo equivalente. Dichas áreas deberán permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en el fichero. Por su parte, en cuanto a la generación de copias o la reproducción de los documentos, dispone que únicamente podrá ser realizada bajo el control del personal autorizado en el documento de seguridad y deberá procederse a la destrucción de las copias o reproducciones desechadas de forma que se evite el acceso a la información contenida en las mismas o su recuperación posterior. En relación con el control de acceso a la documentación dispone que el acceso se limitará exclusivamente al personal autorizado y que se deberán establecer mecanismos que permitan identificar los accesos realizados en el
-
Almacenamiento de la información Copia o reproducción de la documentación Control del acceso a la documentación y Traslado de la documentación caso de documentos que puedan ser utilizados por múltiples usuarios. En este sentido, impone al responsable del fichero o al encargado del tratamiento, en su caso, además de llevar un control de los accesos que realicen los usuarios autorizados, establecer un procedimiento en el documento de seguridad por el que se describa cómo pueden acceder los usuarios no autorizados a los ficheros manuales.
>>>
Los armarios, archivadores u otros elementos en los que se almacenen los ficheros no automatizados con datos de carácter personal deberán encontrarse en áreas en las que el acceso esté protegido
Ayuntamiento XXI Abril - Mayo 2009
Medidas de seguridad de nivel alto
> Maria Arias Pou ción de papel, el deber de custodia existe desde que la documentación sale de su ubicación principal hasta que cumple su destino, esto es, o la destrucción, en este caso, o la devolución a su lugar de origen, en el primer ejemplo que poníamos. Dicho esto, a continuación resumimos la obligación de garantizar la seguridad de la información en soporte manual en una tabla en la que se hace referencia a los sujetos obligados, el contenido de la obligación y las medidas concretas a aplicar en cada nivel de medidas de seguridad.
IV
OPINIÓN DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS
A continuación, recogemos algunos ejemplos de procedimientos de Declaración de Infracción de Administraciones Públicas, instruidos y resueltos por la AEPD4.
20
Ayuntamiento XXI Abril - Mayo 2009
En primer lugar, el procedimiento AP/00043/2008 al que puso fin la resolución R/01723/2008 de 5 de diciembre de 2008. En esta resolución se dice que: “La Agencia Española de Protección de Datos ha resuelto numerosos procedimientos sancionadores por infracciones en las medidas de seguridad al haber depositado en la vía pública documentación, en la que consta información sobre los datos personales de sus clientes o trabajadores que obran en sus ficheros. Asimismo la Sala de lo Contencioso Administrativo de la Audiencia Nacional ha dictado sentencias en los recursos contenciosos–administrativos interpuestos por las entidades sancionadoras. Entre ellas, en la Sentencia de la Audiencia Nacional, Sala de lo Contencioso- Administrativo, Sección Primera, núm. Recurso: 1182/2001, de fecha 7 de febrero de 2003, en el Fundamento de Derecho Tercero señala: “No basta, entonces, con la adopción de cualquier medida, pues deben ser las necesarias para garantizar aquellos objetivos que marca el precepto. Y, por supuesto, no basta con la aprobación formal de las medidas de seguridad, pues resulta exigible que aquéllas se instauren y pongan en práctica de manera efectiva. Así, de nada sirve que se aprueben unas instrucciones detalladas sobre el modo de proceder para la recogida y destrucción de documentos que contengan datos personales si luego no se exige a los empleados del banco la observancia de aquellas instrucciones (...) se trataba de documentos de uso interno a los que no debían tener acceso personas ajenas al organigrama de...y si lo tuvieron fue de manera anómala, esto es, por una insuficiencia o deficiente puesta en práctica de las medidas de seguridad.” Por su parte, la resolución R/00581/2008, de 21 de mayo, por el que se resuelve el procedimiento de Declaración de Infracción de Administraciones
Públicas, AP/0074/2007, en el que se denunciaba el caso en el que una Junta Electoral abandonó en la vía pública una cantidad abundante de documentos relativos a las elecciones conteniendo, entre otros, datos personales como nombre, dirección, DNI, afiliaciones políticas, edad, así como partes de baja e informes médicos, siendo dicha documentación presentada en la Comisaría de Policía.
>>>
La información que los ciudadanos confían a las administraciones públicas para realizar las competencias que tienen encomendadas, es de su propiedad, y que la publicación, divulgación o cualquier utilización indebida de dicha información puede constituir falta disciplinaria, delito o falta por parte de la administración
>
Pensemos el caso de una Mancomunidad Intermunicipal de servicios sociales, maneja informes sociales de usuarios de los distintos municipios que forman la Mancomunidad
>
21
16_El deber de secreto de los datos_04_09:Maquetación 1