miércoles, 20 de octubre de 2010

Informes Jurídicos extravagantes (VI)

En la página 22 de la Guía de Seguridad de la AEPD (de la que, por cierto, acaban de publicar una segunda versión que incluye un modelo de documento de seguridad editable), el apartado dedicado a "Gestión de soportes y documentación" comienza  señalando:

"Los soportes que contengan datos de carácter personal deberán permitir identificar el tipo de información que contienen, ser inventariados y serán almacenados en , lugar de acceso restringido al que solo tendrán acceso las personas con autorización que se relacionan a continuación: Tener en cuenta el procedimiento a seguir para casos en que personal no autorizado tenga que tener acceso a los locales por razones de urgencia o fuerza mayor>."

Como saben, estas indicaciones están pensada para que el responsable del fichero refleje en su documento de seguridad cómo cumple con los artículos del Reglamento de Desarrollo de la LOPD relativos a gestión de soporte (arts. 92, 97 y 101).

La obligación de que esté especificado el personal con acceso a los lugares de almacenamiento de soportes se encuentra en el primer apartado del art. 92 RLOPD que indica:

"1. Los soportes y documentos que contengan datos de carácter personal deberán permitir identificar el tipo de información que contienen, ser inventariados y solo deberán ser accesibles por el personal autorizado para ello en el documento de seguridad."

La última acotación sobre personal no autorizado con acceso a los locales en casos de urgencia debió de resultar especialmente críptica para el protagonista de nuestro informe de hoy, ya que planteó la siguiente consulta a la Agencia:

"(...) el sentido que debe darse a la expresión “Tener en cuenta el procedimiento a seguir para casos en que personal no autorizado tenga que tener acceso a los locales por razones de urgencia o fuerza mayor”,
contenida en la versión de abril de 2008 de la Guía de Seguridad de esta Agencia (...)"

Y la Agencia responde:

" En cumplimiento de dicho precepto [art. 92 RLOPD] será preciso que se indique tanto el lugar en que se produzca el almacenamiento de los soportes o documentos como el personal autorizado a acceder al lugar donde se almacenan los soportes que contengan datos de carácter personal, así como el procedimiento establecido para habilitar o retirar el permiso de acceso.

La guía de seguridad no obstante tiene en consideración el hecho de que en determinadas circunstancias excepcionales, y a fin de garantizar precisamente la seguridad e integridad de la información almacenada en los lugares establecidos al efecto, sea necesaria la entrada en dichas instalaciones de personal que no aparece expresamente autorizado para ello en el documento de seguridad, pero sin cuya participación resultará imposible una adecuada garantía de dichas medidas.

Así sucederá en supuestos tales como incendio o inundación, así como cuando fuera necesario para el mantenimiento de las instalaciones o de los propios elementos en que se almacene la información.

En este sentido, el documento debería prever estas circunstancias, a fin de acreditar que, por una parte, existirán medidas que garanticen la seguridad de la información en estos supuestos excepcionales y, por otra, se delimiten los supuestos en los que estos accesos extraordinarios a locales podrán tener lugar, debiendo tenerse en cuenta que este acceso debería quedar limitado a supuestos en los que exista una causa justificada de “urgencia o fuerza mayor” que exija el acceso a los locales."

En fin, por mi parte, también les recomiendo que mencionen en sus documentos de seguridad que, el Día del Apocalipsis, los Arcángeles del Señor tendrán acceso al cajón donde guardan las copias de seguridad de sus ficheros.

Buenas noches.

2 comentarios:

Anónimo dijo...

El informe más estravagante es el que se queda sin contenido. POR PASOS:

1.- La AEPD se pronunció, hace tiempo sobre las matriculas, señalando que constituían datos de carácter personal en tanto que sus titulares resultaban fácilmente identificables.

2.- Recientemente en un procedimiento, la Aepd HA DADO MARCHA ATRÁS en este concepto (comentado por samuelparra en su blog)

3.- EN LA CONFERENCIA (más reciente) se han reafirmado en el primer concepto. Ver sección de respuestas.

Delirante.

Ad Edictum dijo...

Sobre ese tema, yo creo que lo extravagante no es el informe sino la resolución. Había muchas otras formas de arguementar que no se producía un incumplimiento.
Está clara la definición de dato de carácter personal y la AEPD no va su criterio al respecto, entre otras cosas porque sigue los documentos emitidos por el GT 29. Lo que parece que no se entiende tan bien es que en algunas ocasiones la misma información, dependiendo de quien la trate, va a ser dato de carácter personal y en otras no. Por ejemplo: el número de teléfono móvil o la IP.