El Médico: Informe y Gestión


Informes \| Gestión

La implantación de la LOPD trae consigo la adopción de una serie de medidas de seguridad aplicables a los datos personales que estén registrados en cualquier soporte, y por tanto susceptibles de tratamiento automatizado o manual. Tales medidas también afectan a la recogida de esos datos, su grabación, conservación, elaboración, modificación, bloqueo, cancelación y comunicación. Como punto de partida, cabe señalar a este respecto que los postulados de la LOPD definen como responsable del fichero o tratamiento a aquella "persona física o jurídica, de naturaleza pública o privada", autorizada para decidir la finalidad, el contenido y uso del tratamiento de los datos plasmados en los ficheros. Esta responsabilidad comporta la obligación de velar por la correcta aplicación de los requisitos establecidos en la normativa sobre protección de datos.

En cuanto a la Agencia de Protección de Datos (APD), su principal función es velar por el cumplimiento de la legislación sobre esta materia y controlar su aplicación. Según su director, Juan Manuel Fernández López, la APD, como autoridad independiente encargada de velar por el derecho a la protección de datos personales en nuestro país, habrá de interpretar, sin duda, la vigente Ley Orgánica 15/1999, de protección de datos de carácter personal, a la luz que le proporciona la sentencia del Tribunal Constitucional 292/2000 y la propia Carta Europea [de derechos fundamentales], esperando que ambos textos sirvan para una mejor tutela del derecho a la protección de datos de los ciudadanos europeos y, más en concreto, de los ciudadanos españoles.

No obstante, junto a este órgano, la LOPD contempla también la creación de órganos homólogos correspondientes de las comunidades autónomas-hasta ahora la Comunidad madrileña es la única que dispone de una agencia de estas características- pero con ámbitos de actuación más reducidos, de tal modo que sólo pueden ejercer sus competencias cuando afecten a los ficheros creados o gestionados por las propias Comunidades Autónomas o por la Administración Local. Por cierto, este último extremo es una novedad incluida en la Ley Orgánica 15/1999, de 13 de diciembre. En otras palabras, los ficheros de clínicas, hospitales o de médicos de la Sanidad privada que estén tratando datos de salud, no podrán ser inscritos en la Agencia de la Comunidad de Madrid, sino en la Agencia Estatal.

Antecedentes
La norma comunitaria arranca del Convenio 108, de 28 de enero de 1981, del Consejo de Europa, para la Protección de las Personas con respecto al Tratamiento Automatizado de Datos de Carácter Personal (firmado por España el 28 de enero de 1982 y ratificado el 27 de enero de 1984).

Según la abogado Elena Sanz, responsable del Área de Nuevas Tecnologías del Bufete De Lorenzo Abogados, "el enunciado de este Convenio constituye la primera parada obligada en el estudio de la evolución legislativa europea en lo referente a la protección de datos. De modo que fue en el año 1981 cuando por primera vez vimos una regulación específica en este sentido, a la vista del creciente uso de la informática con fines administrativos y de gestión, que genera que muchas de las decisiones que afectan a los individuos se basen en informaciones almacenadas en ficheros automatizados, lo que podría dar lugar a la extracción de datos de un ordenador por cualquier persona no autorizada y con fines ilícitos".

El Convenio citado regula el mantenimiento de los ficheros automatizados, el conocimiento de la existencia de ficheros automatizados, de los datos recogidos, las modificaciones y cancelaciones de datos erróneos o inapropiados, así como las medidas a adoptar en caso de que las previsiones anteriores no sean respetadas. También se interesa por la existencia de autoridades nacionales que controlen las actuaciones realizadas en el ámbito de la protección de datos de carácter personal y el tráfico de datos entre los distintos países. En suma, que sea reflejo de la toma de conciencia del legislador de las necesidades planteadas en este terreno.

Pero fue en el año 1995, con la Directiva 95/46 del Parlamento Europeo y del Consejo, cuando realmente la Unión Europea se puso manos a la obra en lo que atañe al tratamiento de datos personales y la libre circulación de los mismos. A este respecto, dictó un texto de aplicación más amplia y de obligada observación por todos los Estados miembros, a los que se concede un plazo de tres años para efectuar su transposición, plazo que España no va a cumplir. Así, la Ley Orgánica fue publicada en diciembre de 1999 y entró en vigor en enero de 2000.

Para Elena Sanz, "la citada directiva supone el reconocimiento europeo del derecho fundamental a la protección de los datos de carácter personal. En este sentido, una de las diferencias fundamentales entre el Convenio del año 81 y la Directiva 95/46/CE es que en el primero se hablaba de "tratamiento automatizado" de datos, mientras que en el segundo se reconoce la protección de los datos independientemente de si son tratados de forma automatizada o por otros procedimientos".

En España
Entre tanto en nuestro país, según el director de la Agencia de Protección de Datos de España (APD), Juan Manuel Fernández López (III Jornadas de Protección de Datos de la Comunidad de Madrid, mayo de 2001), "nuestra Constitución, que junto con la portuguesa es uno de los últimos textos constitucionales en el ámbito de la Unión Europea, son las únicas que se refieren a lo que se va a configurar después como derecho a la protección de datos, aunque de forma deficiente en el texto español. Así, el artículo 18.4 CE señala que la Ley limitará el uso deficiente de la informática para garantizar la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos".

A juicio de Fernández López, la ambigüedad que evidencia el precepto entraña dificultad para la identificación de la naturaleza y contenido del bien que se trata de proteger. Pero además, la referencia a la informática como único elemento capaz de incidir en los derechos de las personas "no resulta apropiado, si bien hay que tener en consideración que, en la época en que se redacta el texto constitucional, este medio tecnológico irrumpía con fuerza suficiente como para predecir que, si no se controlaba rigurosamente, sus posibilidades de incidir sobre aquellos derechos pudieran alcanzar límites de suma gravedad. Me refiero, principalmente, a las posibilidades que ofrece la informática para acumular gran volumen de datos, cruzarlos y tratarlos de forma que se posibilite la obtención de perfiles del individuo e, incluso, predecir sus pautas de comportamiento".

A tener en cuenta

La inscripción de los ficheros en la APD no exime del cumplimiento del resto de las obligaciones legalmente establecidas en el ámbito de protección de datos. Así, en caso de no respetar los restantes requisitos legales, el hecho de tener inscrito el fichero en el registro general de protección de datos, no impediría una posible sanción de la APD.
Las medidas de seguridad a adoptar en ficheros que contengan datos relativos a la salud serán calificadas como de Nivel Alto.
Toda persona debe ser informada previamente de modo expreso, preciso e inequívoco de los siguientes extremos:
       - Existencia de un fichero o tratamiento de datos,
         finalidad y destinatarios de la información.
       - Identidad y dirección del responsable del tratamiento
       - El ejercicio de los derechos de acceso, rectificación,
         cancelación y oposición.
       - Carácter obligatorio o voluntario de proporcionar la
          información.
       - Consecuencias de la obtención o no de los datos.
Las clínicas, desde el momento que mantienen datos de carácter personal, ya provengan de un paciente, proveedor, empleados... por medios informáticos o manuales, deben tener presente la regulación de protección de datos.

En el desarrollo del citado precepto constitucional ?prosigue el director de la APD- se va a publicar la Ley Orgánica 5/1992, de 29 de octubre, Orgánica de Regulación del Tratamiento Automatizado de Datos de Carácter Personal (LORTAD), cuyo objeto, como su nombre indica, viene a limitar el uso de la informática y otras técnicas para garantizar el honor, la intimidad personal y familiar de las personas físicas y el pleno ejercicio de sus derechos". Como puede constatarse, no menciona el tratamiento manual, por ejemplo, u otros sistemas de tratamiento de datos.

LOPD
Una sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre, vino, por fin, a configurar el derecho a la protección de datos como derecho fundamental autónomo, lo que, en palabras de Fernández López, supone "un poder de disposición y control sobre los datos personales, tanto frente al Estado como ante cualquier particular". Era la "guinda" de la LOPD.

La abogado Elena Sanz, explica por su parte que, en el momento actual, de la mano de la LOPD "lo que se defiende es la protección de los datos al margen del tratamiento que se haga de ellos, por eso en el propio objeto de la Ley Orgánica de Protección de Datos, Ley 15/1999, de 13 de diciembre (LOPD), se suprimen tanto el término "automatizado" como toda referencia al artículo 18.4 de la Constitución. Así, toda persona goza del derecho fundamental a la protección de sus datos de carácter personal, y para ello debe estar informada sobre quién los recoge, con qué finalidad, si tiene derecho a consentir o no dicho tratamiento, a saber si se pretende ceder los datos, para qué, a quién..., es decir, una serie de extremos que garantizan el ejercicio de este derecho, lo de menos es que los datos estén en ordenador o en papel".

En relación con los datos de salud, la LOPD establece que éstos, por su propia naturaleza, deben ser especialmente protegidos, como ocurre con los datos de ideología, afiliación sindical, religión y creencias, origen racial y vida sexual, y así queda estipulado en sus artículos 7 y 8, donde expresamente se recoge la regulación de los "datos especialmente protegidos". Una de las principales diferencias en el tratamiento de datos de salud es la obtención del consentimiento del titular de los datos para la realización del mismo.

En su artículo 6, la LOPD estipula asimismo que, con carácter general, el consentimiento prestado para el tratamiento de los datos debe ser "inequívoco", término que, al decir de Sanz, "resulta ambiguo, pues no especifica el tipo de consentimiento requerido, lo que da lugar a numerosos problemas interpretativos".

Sin embargo, en su artículo 7.3, con respecto a los datos de salud, lo que dice la Ley es que deberán ser tratados "con consentimiento expreso del afectado o por razones de interés general cuando una ley así lo disponga". También establece una serie de supuestos, como la gestión de servicios sanitarios, la prevención o el diagnóstico médico, tratamientos médicos... en los que queda exonerada dicha obligación, pero siempre que se traten por profesionales sanitarios sujetos al secreto profesional o personas sujetas a una obligación similar de secreto, sólo entonces podrán ser tratados esos datos sin consentimiento previo.

A parte de estos artículos, la Ley Orgánica de Protección de Datos no incluye regulación específica dirigida al tratamiento de los datos de salud, y de hecho no contempla la historia clínica, por ejemplo.

Obligaciones
Como ya se ha dicho anteriormente, una de las obligaciones fundamentales de los titulares de ficheros que contengan datos de carácter personal -cabe suponer que la gran mayoría de las entidades sanitarias existentes, clínicas y centros asistenciales en general, entran en esta categoría-, que se encuentren registrados en cualquier soporte físico, sea manual o automatizado, y por tanto susceptibles de tratamiento, es notificar previamente de su creación a la Agencia de Protección de Datos (APD).

A este respecto, la posesión de ficheros con datos personales implica para su titular no sólo cumplir con la notificación correspondiente, sino además ceñirse a una serie de líneas de actuación como es, entre otras, informar a la APD de cualquier modificación o supresión posterior que se pretenda o se necesite efectuar en los ficheros. Cabe añadir que no existe plazo alguno para la notificación de ficheros, ya que en todo caso los mismos tendrán que notificarse con carácter previo a su creación.

Pero hay otras muchas más obligaciones, a saber: el formulario de inscripción de ficheros -los ya inscritos en el Registro General de Protección de Datos no tienen que inscribirse de nuevo- deberá estar ajustado al modelo recogido en la Resolución de 30 de mayo de 2000, de la Agencia de Protección de Datos, y, una vez cumplimentado, podrá ser presentado a través del medio que resulte más cómodo para el interesado: internet, soporte magnético o soporte papel.

Si el interesado opta por Internet o por el soporte magnético, deberá tener en cuenta que es obligatorio enviar a la APD la hoja de solicitud generada por el programa, debidamente cumplimentada y firmada por el titular del fichero o por otra persona con suficiente representatividad. Sin esta "hoja", la APD no otorgará validez a la notificación. Otro punto a tener en cuenta en este apartado es que no hay más remedio que cumplimentar tantas notificaciones como ficheros se desee inscribir.

Sanciones
¿Y qué ocurre si una entidad sanitaria o asistencial no notifica, como es preceptivo, de que en su poder obra un fichero con datos de carácter personal? Pues, simplemente que estaría incurriendo en una falta, y como tal, según sea la gravedad o levedad de la misma, sujeta a una sanción prevista en el régimen sancionador de la LOPD, que puede oscilar entre 100.000 pesetas a 10 millones de pesetas para las faltas leves; entre diez y 50 millones de pesetas para las graves, y entre 50 y 100 millones de pesetas para las muy graves.

Ahora bien, según puntualiza la abogado Elena Sanz, es importante tener en cuenta que "la inscripción de los ficheros en la APD no supone, en ningún caso, la exención del cumplimiento del resto de las obligaciones legalmente establecidas en el ámbito de protección de datos. Dicho de otro modo, el hecho de tener inscrito el fichero en el Registro General de Protección de Datos no impide una posible sanción de la APD si además no se respetan los restantes requisitos legales. Por tanto, en el momento de la notificación, el titular del fichero deberá esmerarse en comprobar que ha aplicado debidamente los principios generales de protección de datos".

En este sentido, añade Sanz, el titular del fichero deberá comprobar que los datos recogidos son "adecuados, pertinentes y no excesivos" en relación con el "ámbito y la finalidad concreta para la que se obtuvieron. En ningún caso serán utilizados para finalidades incompatibles". Por esta razón, advierte esta letrada, "es conveniente realizar previamente un estudio de la naturaleza de los datos solicitados, comprobar si éstos se ajustan o no a las necesidades perseguidas con la creación del fichero, y prescindir de toda información superflua".

La Ley exige que los datos de carácter personal sean "exactos y puestos al día", acordes con la situación actual del afectado y "pertinentes" con las necesidades para las que fueron obtenidos; en caso contrario, habrá que cancelarlos. Sin embargo, sí se permite su conservación con fines históricos, estadísticos o científicos, pero siempre que se hayan adoptado las medidas adecuadas para su conservación, de tal forma que no sea posible la identificación del interesado, es decir, que sean adecuadamente disociados.

¿Y qué ocurre con quien proporciona sus datos de carácter personal? Pues, según la LOPD, la persona en estos casos debe ser informada "previamente" de modo "expreso, preciso e inequívoco" de la existencia de un fichero donde han quedado recogidos sus datos, y de que éstos son susceptibles de un tratamiento determinado; debe ser informado también de la finalidad del fichero, de quién o quiénes son los destinatarios de la información, de cuál es la identidad y dirección del responsable del tratamiento de esos datos, y de qué derechos le asisten para acceder, cancelar, rectificar y oponerse a que sus datos sean tratados. Unido a esto, se le debe proporcionar información de que en determinadas circunstancias la cesión de sus datos adquieren un carácter obligatorio o voluntario, y por tanto sus datos serán utilizados sin su consentimiento.

Al interesado le corresponde, igualmente, tener buen cuidado en comprobar que presta su "consentimiento inequívoco" para que sus datos sean tratados con una finalidad determinada; por otro lado, recabar el consentimiento de los interesados requiere hacerlo, de manera preferente, por cualquier medio que facilite la prueba documental del mismo.

La salud
Los datos relacionados con la salud suponen un pequeño punto y aparte en la LOPD. Así, recabarlos, tratarlos y cederlos sólo podrá ser posible si el interesado otorga su consentimiento expreso para ello, o bien si median razones de interés general previstos en la Ley. A este respecto, la propia LOPD establece que los datos de salud podrán ser tratados cuando así lo requieran la prevención, el diagnóstico y el tratamiento médicos, la prestación de asistencia sanitaria o la gestión de servicios sanitarios, "siempre que sea realizado por un profesional sanitario sujeto al secreto profesional o por otra persona sujeta a una obligación equivalente de secreto". La norma se hace extensiva al tratamiento dirigido a salvaguardar el interés vital del afectado o de otra persona, en el supuesto de que éstos estén física o jurídicamente incapacitados para dar su consentimiento.

Al responsable del fichero le compete obligatoriamente adoptar medidas técnicas y organizativas, encaminadas a garantizar la seguridad de todos estos datos contra posibles alteraciones, pérdidas, tratamiento o acceso no autorizado... Sobre este particular, la abogado Elena Sanz destaca la importancia que supone estudiar, previamente, los campos contenidos en cada uno de los ficheros, a fin de determinar el nivel de protección de acuerdo con lo estipulado en el RD 994/99, de 11 de junio. "Una vez determinado el nivel de seguridad aplicable", indica, "el siguiente paso es comprobar qué grado de implantación tienen las medidas de seguridad contenidas en el reglamento, teniendo en cuenta siempre que éstas tienen carácter de mínimos. Hecho este análisis, procederemos a implementar las medidas correspondientes, entre ellas, la redacción del documento de seguridad y de un protocolo de actuación que deberán conocer todas las personas con acceso al fichero. La existencia de ficheros con datos de salud implica adoptar medidas de seguridad de nivel alto", recalca Sanz

En la actualidad ya se han cumplido los plazos estipulados en el Reglamento de Seguridad para la adopción de las medidas de seguridad de nivel básico (26 de marzo de 2000) y medio (26 de junio de 2000); el siguiente ha sido el 26 de junio de 2001, fecha tope para la implantación de las medidas de nivel alto

La ley, por otra parte, obliga a que se mantenga el secreto profesional sobre los datos tratados, incluso después de finalizadas las relaciones con el responsable del fichero; para ello, un buen medio puede ser la redacción de un acuerdo de confidencialidad o incluir una cláusula de confidencialidad en los contratos del personal.

Otra obligación a tener muy en cuenta por los propietarios de ficheros es facilitar el ejercicio de "los derechos de acceso, rectificación, cancelación y oposición" del titular de los datos. En este sentido, dice la ley, es fundamental que los datos estén almacenados de tal forma que a las personas interesadas les resulte fácil acceder a ellos, rectificarlos o cancelarlos. "En todo caso", advierte Sanz, "conviene disponer de un protocolo de actuación ante las previsibles peticiones de los interesados, pues no debemos olvidar que están ejerciendo sus derechos; por ello sería conveniente también poner a su disposición formularios o documentos que faciliten esta práctica".

Si un tercero entra en escena recabando datos, deberá justificar que sus fines están directamente relacionados con las funciones legítimas de quien los cede y de quien los recibe, pero siempre con el previo consentimiento explícito y demostrable del interesado.

Medidas de seguridad
Las medidas de seguridad que la ley contempla para proteger datos personales vienen expresamente plasmadas en el Real Decreto 994/1999, de 11 de junio, donde, en concreto, se da por aprobado el "Reglamento de Medidas de Seguridad de los Ficheros Automatizados que contengan Datos de Carácter Personal". Su finalidad no es otra, como ya adelantábamos anteriormente, que determinar una serie de medidas técnicas y organizativas capaces de garantizar la confidencialidad e integridad de la información aportada. A ello se suma el ánimo de preservar el honor, la intimidad personal y familiar, así como el pleno ejercicio de los derechos personales frente a su alteración, pérdida, tratamiento o acceso no autorizado.

Las medidas de seguridad reguladas se han clasificado en tres niveles: Básico, Medio y Alto (ver recuadro "Seguridad a tres niveles"). Cabe añadir en este punto, que las medidas de nivel básico son de obligatoria aplicación desde la entrada en vigor del Real Decreto de 26 de junio de 1999, que dio un plazo de seis meses, a partir de esta fecha, para poner las cosas en orden, aunque posteriormente el RD 195/2000, de 11 de febrero, dispuso un nuevo plazo dadas las dificultades surgidas con el denominado efecto 2000, razón por la cual se amplió dicho plazo hasta el día 26 de marzo de 2000. En cuanto a las medidas de nivel medio, se dio un año de plazo para ponerse al día, culminando el día 26 de junio de 2000; para la implantación de las medidas de seguridad de nivel alto, se otorga un plazo de dos años a partir de la fecha de entrada en vigor del reglamento de seguridad antes de que la operación se considere terminada, culminando dicho plazo el 26 de junio de 2001, si bien es ampliable a tres años (venciendo en este caso el 26 de junio de 2002) si a la hora de aplicar las medidas surgen problemas "demostrables" de adaptación tecnológica. (Disposición Transitoria del RD 994/1999, de 11 de junio).

Elena Sanz abunda a este respecto, que los niveles citados no son excluyentes entre sí, lo cual implica la obligatoriedad de que, como mínimo, todo fichero con datos de carácter personal deberá aplicar las medidas básicas descritas en el Real Decreto. Dicho de otro modo, un fichero con datos sobre la salud de las personas, tendrá que adoptar no sólo medidas de nivel alto, sino también las de nivel básico y medio; mientras un fichero con datos sobre la solvencia patrimonial de las personas tendrá que aplicar medidas de nivel medio y de nivel básico.

Medidas de seguridad
de Nivel Básico
Dentro de las medidas de seguridad de Nivel Básico cabe deslindar, en primer lugar, los siguientes epígrafes: Documento de Seguridad, Funciones y obligaciones del personal, Registro de Incidencias, Identificación y Autenticación, Control de acceso, Gestión de Soportes y Copias de Respaldo y Recuperación.

El primero de estos epígrafes, el Documento de Seguridad, tiene como característica esencial la condición de ser de obligada realización por el responsable del fichero y de obligado cumplimiento para el personal con acceso a los datos automatizados de carácter personal y a los sistemas de información. En él están contenidos factores como el ámbito de aplicación del documento con especificación detallada de los recursos protegidos; las medidas, normas, procedimientos, reglas y estándares que garanticen el nivel de seguridad exigido; las funciones y obligaciones del personal; la estructura de los ficheros y descripción de los sistemas de información; el procedimiento de notificación, gestión y respuesta ante las incidencias y, por último, los procedimientos de realización de copias de respaldo y de recuperación de los datos. Todos estos extremos deberán ser actualizados y revisados oportuna y periódicamente en función de los cambios que se vayan produciendo.

El segundo epígrafe, referido a las Funciones y obligaciones del personal, establece que el responsable del fichero deberá adoptar "las oportunas medidas" para dar a conocer no sólo las normas de seguridad contenidas en el Documento de Seguridad, sino también las funciones y obligaciones de cada una de las personas que tienen acceso a los datos de carácter personal. Asimismo, una obligación añadida para el responsable del fichero es la de "informar convenientemente" de las consecuencias que conlleva el incumplimiento de la norma.
En cuanto al Registro de Incidencias, su creación viene dada por la necesidad de dejar constancia de las incidencias surgidas, el tipo de las mismas, el momento en que se han producido, la persona que realiza la notificación, a quién se le comunica y los efectos derivados.

Seguridad a tres niveles

Las medidas de seguridad reguladas han sido estructuradas en tres niveles: Básico, Medio y Alto, clasificación establecida en función de la naturaleza de los datos de carácter personal contenidos en el fichero.

Las medidas de Nivel Básico son aplicadas a todos los ficheros que contengan datos de carácter personal.
Las medidas de Nivel Medio están destinadas a los ficheros con datos sobre comisión de infracciones administrativas o penales, Hacienda pública, servicios financieros y solvencia patrimonial y crédito, así como datos que permitan obtener la evaluación de la personalidad del individuo.
Las medidas de seguridad de Nivel Alto serán aplicadas a los ficheros con datos "especialmente protegidos", esto es, datos relativos a la salud y datos recabados con fines policiales sin consentimiento de las personas afectadas, según contempla la ley 15/1999, de 13 de diciembre.

Sobre Identificación y Autenticación, la normativa aduce que "existirá una relación actualizada de usuarios con acceso autorizado al sistema de información, estableciendo a tal efecto los correspondientes procedimientos de identificación y autenticación". En el supuesto de que el mecanismo de autenticación esté basado en un sistema de contraseñas, "se establecerá un procedimiento de asignación, distribución y almacenamiento que permita su confidencialidad e integridad, cambiándose periódicamente y guardándose de forma ininteligible".

En cuanto al control de acceso, la norma establece que los usuarios están autorizados a acceder a aquellos datos y recursos "necesarios para el desarrollo de sus funciones", lo que para el responsable del fichero supone vigilar de cerca que no se "cuelen" los accesos no autorizados.

Los últimos epígrafes del Nivel Básico son Gestión de Soportes y Copias de Respaldo y Recuperación. En el primer punto queda puesto de relieve que los soportes informáticos deberán permitir no sólo identificar el tipo de información que contienen, sino además ser inventariados y almacenados en un lugar con acceso restringido al personal autorizado en el documento de seguridad. Respecto a la salida del soporte informático de su ubicación habitual, sólo podrá ser autorizada por el responsable del fichero, mientras las copias de Respaldo y Recuperación deberán garantizar que su reconstrucción del original es idéntica al estado en que se encontraban en el momento de producirse la pérdida o destrucción. Las copias se realizarán semanalmente, como mínimo, a menos que no haya ninguna actualización en dicho período.

Nivel Medio
Documento de Seguridad. Al igual que en el caso anterior, el responsable del fichero en este nivel está obligado a crear un Documento de Seguridad y es de obligado cumplimiento para el personal con acceso a los datos automatizados de carácter personal y a los sistemas de información.

A este respecto, cabe recalcar que el documento requiere además unos "mínimos" a cumplir, que deben ser actualizados y revisados periódicamente. Entre estos "mínimos" está el de delimitar el ámbito de aplicación del documento con especificación detallada de los recursos protegidos; adoptar medidas, normas, procedimientos, reglas y estándares que garanticen el nivel de seguridad exigido; especificar las funciones y obligaciones del personal, así como la estructura de los ficheros y descripción de los sistemas de información; tener claro tanto el procedimiento de notificación, gestión y respuesta ante las incidencias, como el procedimiento de realización de copias de respaldo y de recuperación de los datos; por supuesto no hay que olvidar la identificación del responsable/s de seguridad ni los controles periódicos del cumplimiento del contenido del documento de seguridad, ni mucho menos las medidas de reutilización o desechado de soportes informáticos.

Al Responsable de Seguridad le compete, en este caso, encargarse de la coordinación y control de las medidas establecidas en el documento de seguridad. Por otro lado, cada dos años, por lo menos, hay que someter a los sistemas informáticos y a las instalaciones a una Auditoría de carácter interno o externo. El informe resultante de dicha auditoría será analizado por el responsable de seguridad y, en última instancia, por el responsable del fichero para que adopten las medidas correctoras adecuadas, tras lo cual quedará a disposición de la Agencia de Protección de Datos.

La Identificación y Autenticación implican la vigilancia e impedimento del acceso reiterado y no autorizado a los sistemas, mientras que el epígrafe referido al Control de acceso físico establece que el personal debidamente autorizado en el Documento de Seguridad podrá acceder a los locales donde estén ubicados los sistemas de información con datos de carácter personal.

En relación con la Gestión de Soportes, siempre dentro del Nivel Medio, la norma impone la creación de un Sistema de Registro de Entrada de Soportes Informáticos y otro de Salida. En el primero habrá de quedar constancia del tipo de soporte de que se trata, la fecha y hora, el emisor, el número de soportes, el tipo de información, la forma de envío y la persona responsable de la recepción. Igualmente se dispondrá de un Sistema de registro de salida de soporte informáticos.

La reutilización o desechado de un soporte supone impedir cualquier recuperación posterior de la información en él almacenada, así como la adopción de medidas de seguridad en el caso de que el soporte salga fuera del local de ubicación.

También aquí se requiere un Registro de Incidencias que, como tal, habrá de recoger precisamente eso, las incidencias, pero dejando, además, constancia de qué tipo de incidencia se trata, del momento en que se produce, la persona que realiza la notificación, a quién va dirigida la comunicación y cuáles son los efectos derivados. Además, en el Registro se deberán incluir los procedimientos de recuperación de los datos, la persona que ejecutó el proceso, los datos restaurados y cuáles de éstos han tenido que ser introducidos manualmente. Todo ello requiere una previa autorización por escrito del responsable del fichero para la ejecución de la recuperación de los datos.

Finalmente, una última obligación: la de realizar pruebas con datos reales, las cuales se llevarán cabo si previamente se han establecido las medidas de seguridad apropiadas para el tipo de fichero que se trate.

Seguridad de Alto Nivel
En este apartado se repiten prácticamente todos los puntos de obligada realización y cumplimiento ya reseñados en los dos niveles anteriores, en especial los del Nivel Medio: Documento de Seguridad, Responsable de Seguridad, Auditoría, Identificación y Autentificación, Control de acceso físico, Gestión de Soportes, Registro de incidencias y Pruebas con datos reales, epígrafes estos cuyo enunciado, en su mayoría, está literalmente "calcado" en el Nivel Alto. No obstante, en este último caso se afina aún más, por tratarse, precisamente, de la mayor seguridad requerida, y por ello se añaden otras cuatro obligaciones que, en concreto, hacen referencia a la Distribución de Soportes, Registro de Accesos, Copias de Respaldo y Recuperación y, finalmente, Telecomunicaciones.

En lo que se refiere a la Distribución de soportes, la norma establece que su puesta en práctica tendrá lugar mediante el cifrado de los datos o por cualquier otro medio que garantice su protección contra la manipulación de los mismos durante su transporte.
Sobre el Registro de Accesos se debe tener en cuenta que cada acceso implica el registro de, como mínimo, la identificación del usuario, la fecha y hora, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado. Si la autorización es concedida, se deberá conservar la información que permita la identificación del registro accedido. En este punto, la norma precisa que el periodo mínimo de conservación de los datos registrados será de dos años, y que el responsable de seguridad deberá revisar periódicamente la información de control registrada, además de elaborar un informe con las revisiones realizadas y problemas detectados mensualmente.

Unido a esto, poseedores de ficheros están obligados a mantener copias de respaldo y recuperación, lo cual significa que, amén de contar con una copia de respaldo, deberán mantener los procedimientos de recuperación de los datos en un lugar diferente de aquél en que se encuentren los equipos informáticos donde son tratados.

Por último está el epígrafe relacionado con las Telecomunicaciones. En este punto, las medidas de seguridad de Nivel Alto establecen que la transmisión de datos se llevarán a cabo "cifrando" dichos datos o bien mediante cualquier mecanismo capaz de garantizar que la información no sea inteligible ni manipulada por terceros.

Datos de carácter personal: Cualquier información concerniente a personas físicas identificadas o identificables.

Fichero: Todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.

Tratamiento de datos: Operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.

Responsable del fichero o tratamiento: Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento de datos.

Encargado del tratamiento: La persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento.

Declarante: Persona física que cumplimenta la solicitud de inscripción y actúa como mediador entre la Agencia y el titular/responsable del fichero. No debe necesariamente coincidir con el titular/responsable.

Afectado o interesado: Persona física titular de los datos que sean objeto del tratamiento a que se refiere el apartado c) del presente artículo (artículo 3. Definiciones).

Procedimiento de disociación: Todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable.

Bloqueo de datos: La identificación y reserva de los datos con el fin de impedir su tratamiento.

Consentimiento del interesado: Toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen.

Comunicación o cesión de datos: Toda revelación de datos realizada a una persona distinta del interesado.

Fuentes accesibles al público: Aquellos ficheros cuya consulta puede ser realizada por cualquier persona, no impedida por una norma limitativa, o sin más exigencia que, en su caso, el abono de una contraprestación. Tienen la consideración de fuentes de acceso público, exclusivamente: el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público, los Diarios y Boletines oficiales y los medios de comunicación.

Identificación del afectado: Cualquier elemento que permita determinar directa o indirectamente la identidad física, fisiológica, psíquica, económica, cultural o social de la persona afectada.

Transferencia de datos: El transporte de los datos entre sistemas informáticos por cualquier medio de transmisión, así como el transporte de soportes de datos por correo o por cualquier otro medio convencional.