Asociación 
  Subinspectores 
  Tributos 

EXPANSIÓN - EMPRESAS   

20 de agosto de 2002    


La seguridad de ficheros con datos personales

Expansión - Madrid.

Para la gran mayoría de empresas que poseen ficheros con datos personales, el pasado 26 de junio se reveló como una fecha importante.


La llegada de dicho día afectó a todas aquellas compañías que tratan datos de niveles medio y alto, entendiendo por éstos todos los datos relativos a la comisión de infracciones administrativas o penales (por ejemplo, multas de tráfico), Hacienda Pública (datos que manejan las Cámaras de Comercio para la gestión del censo cameral), servicios financieros (bancos), ficheros relativos a la prestación de servicios de información sobre solvencia patrimonial y crédito, ficheros con datos de ideología (como puede ser la afiliación sindical de los trabajadores), religión, creencias, origen racial, salud (ficheros de servicio médico o incluso ficheros de nóminas con datos de trabajadores con alguna minusvalía), vida sexual, así como ficheros que contienen datos recabados para fines policiales sin consentimiento de las personas afectadas.

Todas estas empresas deberían haber cumplido con dos obligaciones: adaptar los ficheros de nivel alto al Real Decreto 994/99 y realizar la auditoría bienal que verificara el cumplimiento de las medidas de seguridad de nivel medio.

En cuanto a la primera de las obligaciones, la citada normativa señalaba que en el caso de sistemas de información que se encontraran en funcionamiento a su entrada en vigor, las medidas de seguridad de nivel alto previstas debían implantarse en el plazo de dos años desde dicha fecha, es decir, dos años desde el 26 de junio de 1999. Posteriormente, por Acuerdo de Consejo de Ministros se amplió dicho plazo hasta el 26 de junio de 2002. En consecuencia, las compañías que poseyeran ficheros con datos de nivel alto creados con anterioridad al Real Decreto debieron adaptarse antes de la mencionada fecha a las medidas de seguridad que contempla la norma para dichos supuestos.

En relación con la segunda de las cuestiones, el real decreto dispone que los sistemas de información e instalaciones de tratamiento de datos de niveles medio y alto deben someterse a una auditoría interna o externa que verifique su cumplimiento, los procedimientos y las instrucciones vigentes en materia de seguridad de datos, al menos cada dos años.

El informe de auditoría deberá dictaminar sobre la adecuación de las medidas y controles al citado cuerpo normativo, identificar sus deficiencias y proponer medidas correctoras o complementarias necesarias. Igualmente incluirá los datos, hechos y observaciones en que se basen los dictámenes alcanzados y recomendaciones propuestas y deberá ser analizado por el responsable de seguridad competente, quien elevará las conclusiones al responsable del fichero para que adopte las medidas correctoras adecuadas y finalmente quede a disposición de la Agencia de Protección de Datos.

Puesto que el plazo para la implantación de las medidas de seguridad de nivel medio fue de un año desde la entrada en vigor del Real Decreto para los ficheros o sistemas de información que se encontraran en funcionamiento en dicha fecha (el 26 de junio de 2000), el plazo de dos años para realizar la auditoría bienal de cumplimiento de dichas medidas se cumplió el pasado 26 de junio de 2002.

Las empresas que no hayan cumplido con las obligaciones citadas pueden incurrir en infracción grave sancionable con multa desde 60.101,21 euros a 300.506,05 euros.



© Copyright   Asociación Subinspectores de Tributos

 Bravo Murillo, 95 Edif. A Apto 225,   http://www.subinspectores.com
 Tel: 91 5335930 - fax 91 5339715   MADRID - 28003
Página anterior