A fondo El deber de secreto de los datos

Por Maria Arias Pou. Abogado especialista en protección de datos, ARIAS POU

Abogados TIC www.ariaspou.com

El presente artículo pretende ser una reflexión en el ámbito de la

administración local en general y los ayuntamientos en particular que nos

haga recordar que una de nuestras obligaciones en materia de protección de

datos de carácter personal, consiste en el deber de secreto y de custodia

sobre la información personal que tratamos en el día a día de nuestro trabajo.

Para ello realizaremos un breve recorrido sobre cuestiones como el deber

de secreto en la normativa vigente sobre protección de datos, las medidas

de seguridad que resultan aplicables para garantizar un mínimo de

seguridad a los ficheros de datos en soporte manual y la opinión de la

Agencia Española de Protección de Datos

_{como órgano de vigilancia y}

control en la materia.

En bre

v

e

A fondo

El deber de secreto de

los datos

>>>

Resulta relativamente frecuente leer en la prensa diaria casos de pérdida de información personal, generalmente documentación en soporte papel, como historiales clínicos, curriculums, informes psicológicos, etc. Estos hechos hacen que nos planteemos muy seriamente el deber de custodia de la información de carácter personal que manejamos en el desarrollo de nuestra actividad pública o privada. En este sentido, y por desgra-cia, las entidades locales no son una excepción, recientemente conocíamos la noticia de la denuncia a un Ayuntamiento que había almace-nado centenares de expedientes y solicitudes de empleo apilados en el aparcamiento del edificio de servicios administrativos del Ayuntamiento.

DEBER DE SECRETO

Es el artículo 10 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal2_{, el que dispone que “El}

res-ponsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.”

El deber de secreto debe estar muy presente en la política de protección de datos de las distintas entidades locales, y este deber alcanza a las

16

A

yunt

amiento XXI

Abril - Mayo

2009

I

II

1.A la que también nos podemos referir como AEPD.

personas responsables del tratamiento como a todos aque-llos que de un modo u otro intervienen en el mismo. En este punto es importante insistir en que la información de carác-ter personal a la que se accede, en cumplimiento de los deberes del puesto de trabajo que se ocupa, deben ser uti-lizados única y exclusivamente dentro de las competencias atribuidas y no extralimitarse en ellas. Esto implica también que el responsable del fichero, la entidad local, sólo podrá proceder a facilitar información de carácter personal, en los casos y a los destinatarios debidamente legitimados, por ejemplo, porque así lo prevea una ley o porque contemos con el consentimiento del titular de los datos para ello. La Agencia Española de Protección de Datos, en su reso-lución R/01326/2008, de 2 de octubre explica así este deber:“El deber de secreto profesional que incumbe a “el responsable del fichero y a quienes intervengan en cual-quier fase del tratamiento…”, recogido en el artículo 10 de la LOPD, comporta que éstos no puedan revelar ni dar a conocer su contenido teniendo el “deber de guardarlos, obligaciones que subsistirán aún después de finalizar sus relaciones con el titular del fichero o, en su caso, con el res-ponsable del mismo”. Este deber es una exigencia elemen-tal y anterior al propio reconocimiento del derecho funda-mental a la libertad informática a que se refiere la Sentencia del Tribunal Constitucional 292/2000, de 30 de marzo, y por lo que ahora interesa, comporta que los datos tratados automatizadamente no pueden ser conocidos por ninguna persona o entidad ajena fuera de los casos autorizados por la Ley, pues en eso consiste precisamente el secreto.”

Y añade: “Este deber de sigilo resulta esencial en las sociedades actuales cada vez más complejas, en las que los avances de la técnica sitúan a la persona en zonas de riesgo para la protección de derechos fundamentales, como la intimidad o el derecho a la protección de los datos que recoge el artículo 18.4 de la CE. En efecto, este precepto contiene un “instituto de garantía de los dere-chos de los ciudadanos que, además, es en sí mismo un derecho o libertad fundamental, el derecho a la libertad frente a las potenciales agresiones a la dignidad y a la libertad de la persona provenientes de un uso ilegítimo del tratamiento mecanizado de datos” (Sentencia citada 292/2000). Este derecho fundamental a la protección de datos persigue garantizar a esa persona un poder de con-trol sobre sus datos personales, sobre su uso y destino que impida que se produzcan situaciones atentatorias con la dignidad de la persona, es decir, el poder de resguar-dar su vida privada de una publicidad no querida.”

SEGURIDAD DE LOS DATOS EN SOPORTE MANUAL

El desarrollo de las nuevas tecnologías de la información y las comunicaciones, en la medida en que permiten la

obtención y el tratamiento automatizado de los datos per-sonales, se contemplan en ocasiones como una amena-za para su protección, si bien, a veces, la protección de la información personal que figura en soporte papel, resulta sino más, al menos igualmente compleja. En este sentido, la normativa vigente en materia de protección de datos resulta igualmente aplicable a los ficheros en soporte automatizado o no automatizado. Desde que el 14 de enero de 2000 entró en vigor la LOPD, hace ya más de 9 años, ésta resulta aplicable también a los ficheros no automatizados, si bien, el desarrollo reglamentario de la Ley, que ha venido a ver la luz con el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el reglamento de desarrollo de la LOPD , nos ha traído con-sigo las medidas de seguridad concretas que debemos aplicar a los soportes manuales.

Cuando se acerca la fecha en la que se cumple el primer plazo previsto para que los ficheros, manuales y automa-tizados se adecuen a las disposiciones contenidas en materia de seguridad en este Reglamento de desarrollo de la LOPD, tal y como prevé su Disposición transitoria segunda, resulta quizá más relevante recordar las obliga-ciones que este Reglamento establece para garantizar la seguridad de los ficheros manuales.

Es el artículo 5.1 n) del RDLOPD el que define los fiche-ros manuales como:“todo conjunto de datos de carácter personal organizado de forma no automatizada y estruc-turado conforme a criterios específicos relativos a perso-nas físicas, que permitan acceder sin esfuerzos despro-porcionados a sus datos personales, ya sea aquél centra-lizado, descentralizado o repartido de forma funcional o geográfica.”

A

yunt

amiento XXI

Abril - Mayo

2009

17

Sumario

I. Introducción

II. El deber de secreto

III. Seguridad de los datos en soporte

manual

IV. Opinión de la Agencia Española de

Protección de Datos

V. Conclusiones

>>>

El deber de secreto debe estar

muy presente en la política de protección

de datos de las distintas entidades

locales

<<<

3.Reglamento de desarrollo de la LOPD o RDLOPD.

Como todo fichero, el manual se caracteriza también por ser un conjunto de datos organizados de acuerdo a crite-rios determinados que permiten que la información perso-nal que albergan esté organizada de una determinada forma, sea fácilmente localizable y proporcione más infor-mación que la del dato personal aisladamente considerado. Centrándonos ya en las medidas de seguridad concretas de los ficheros manuales, destacar, que, aparte de la apli-cación común de muchas medidas de seguridad descritas para los ficheros automatizados, se regulan medidas de seguridad específicas de los ficheros manuales que se dividen también en medidas de nivel básico, medio y alto. Antes de abordar las medidas de seguridad concretas, recordar que estas medidas son acumulativas en el senti-do de que el nivel de medidas de seguridad medio abar-ca las medidas de nivel básico y además las de nivel medio y, por su parte, las medidas de seguridad de nivel alto, exigen observar las medidas de seguridad de nivel básico, medio y además, las de nivel alto.

Como medidas de seguridad de nivel básico, las medidas aplicables a los ficheros manuales se dirigen principal-mente a determinar los criterios de archivo de la docu-mentación en soporte papel que contenga datos de carác-ter personal, las caraccarác-terísticas de los dispositivos de almacenamiento de los documentos y, lo que a los efec-tos de nuestro análisis resulta especialmente relevante, el deber de custodia de quien está revisando el documento durante el tiempo en el que éste no se encuentra en su lugar.

Respecto de la primera medida de seguridad, los criterios de archivo, el Reglamento establece que la documenta-ción en soporte papel que contenga datos de carácter personal, se archivará de acuerdo con los criterios previs-tos en su respectiva legislación garantizando siempre la

correcta conservación de los documentos, la localización y consulta de la información y posibilitando el ejercicio de los derechos de oposición al tratamiento, acceso, rectifi-cación y cancelación.

En segundo lugar, respecto de los dispositivos de almace-namiento de los documentos que contengan datos de carácter personal, establece que éstos deben disponer de mecanismos que obstaculicen su apertura, es decir, que no permitan el acceso libre a la información que contienen. En tercer lugar, como medida de nivel básico, encontra-mos el deber de custodia de la persona que se encuentre al cargo de los soportes durante el tiempo en el que la documentación que contenga datos de carácter personal no se encuentre archivada en los dispositivos de almace-namiento correspondiente, por estar en proceso de revi-sión o tramitación, ya sea previo o posterior a su archivo. Esta medida resulta de especial relevancia, más si cabe, cuando establece la responsabilidad directa de la perso-na que se encarga de custodiarla y la obligación de impe-dir en todo momento que pueda ser accedida por perso-na no autorizada.

Por su parte, como medidas de seguridad de nivel medio, específicas de los ficheros manuales, dispone el Reglamento la necesidad de designar uno o varios res-ponsables de seguridad que se encargarán de coordinar y controlar las medidas definidas en el documento de seguridad. Asimismo, se prevé que esta designación puede ser única para todos los ficheros o tratamientos de datos de carácter personal, coincidiendo así, por ejemplo, el responsable de seguridad de los ficheros automatiza-dos con el responsable de seguridad de los ficheros manuales, o diferenciada, designando un responsable de seguridad para cada uno de los sistemas de tratamiento utilizados. Además, como medida de seguridad de nivel

>>>

Maria Arias Pou

18

A

yunt

amiento XXI

Abril - Mayo

2009

medio se prevé la obligación de someter a los ficheros manuales, al menos cada dos años, a una auditoria inter-na o exterinter-na que verifique el cumplimiento de las obliga-ciones en materia de protección de datos.

Para terminar de analizar estas medidas de seguridad aplicables a los ficheros manuales, y en cuanto a las medidas de seguridad de nivel alto, se establecen medi-das referentes al almacenamiento de la información, la copia o reproducción de la documentación, el control del acceso a la documentación y las medidas a adoptar para el traslado de la documentación.

Así, respecto al almacenamiento de la información, esta-blece que los armarios, archivadores u otros elementos en los que se almacenen los ficheros no automatizados con datos de carácter personal deberán encontrarse en áreas en las que el acceso esté protegido con puertas de acceso dotadas de sistemas de apertura mediante llave u otro dispositivo equivalente. Dichas áreas deberán per-manecer cerradas cuando no sea preciso el acceso a los documentos incluidos en el fichero.

Por su parte, en cuanto a la generación de copias o la reproducción de los documentos, dispone que únicamen-te podrá ser realizada bajo el control del personal autori-zado en el documento de seguridad y deberá procederse a la destrucción de las copias o reproducciones desecha-das de forma que se evite el acceso a la información con-tenida en las mismas o su recuperación posterior. En relación con el control de acceso a la documentación dispone que el acceso se limitará exclusivamente al per-sonal autorizado y que se deberán establecer mecanis-mos que permitan identificar los accesos realizados en el

caso de documentos que puedan ser utilizados por múlti-ples usuarios. En este sentido, impone al responsable del fichero o al encargado del tratamiento, en su caso, ade-más de llevar un control de los accesos que realicen los usuarios autorizados, establecer un procedimiento en el documento de seguridad por el que se describa cómo pueden acceder los usuarios no autorizados a los ficheros manuales.

Por último, se prevé que en el traslado físico de la docu-mentación que contenga información de carácter perso-nal, deberán adoptarse medidas dirigidas a impedir el acce-so o la manipulación de la información objeto de traslado. Pensemos el caso de una Mancomunidad Intermunicipal de servicios sociales, maneja informes sociales de usuarios de los distintos municipios que forman la Mancomunidad y los trabajadores sociales necesitan desplazar los informes a los distintos lugares en los que se atienden a los usuarios. Otro caso de traslado, el que se produce cuando una enti-dad local contrata a una empresa de destrucción de papel, recientemente la prensa recogía el caso de una nueva aparición de curriculums abandonados por una empresa que alegaba haber contratado a una empresa de

destruc-A

yunt

amiento XXI

Abril - Mayo

2009

19

Protección de Datos en Soporte Papel

Sujetos obligados

Responsables de ficheros

Encargados del tratamiento

Contenido de la obligación

Adoptar como mínimo las medidas de

segu-ridad que establece el Reglamento

Medidas de seguridad de nivel básico

- Criterios de archivo de la documentación

- Características de los dispositivos de

almacenamiento de los documentos y,

- Deber de custodia de quien está

revisan-do la revisan-documentación durante el tiempo en

el que éste no se encuentra en su lugar

Medidas de seguridad de nivel medio

- Designar uno o varios responsables de

seguridad

- Realizar una auditoria interna o externa

que verifique el cumplimiento de las

obliga-ciones en materia de protección de datos

Medidas de seguridad de nivel alto

- Almacenamiento de la información

- Copia o reproducción de la documentación

- Control del acceso a la documentación y

- Traslado de la documentación

>>>

Los armarios, archivadores u

otros elementos en los que se

almacenen los ficheros no

automatizados con datos de carácter

personal deberán encontrarse en

áreas en las que el acceso esté

protegido

<<<

ción de papel, el deber de custodia existe desde que la documentación sale de su ubicación principal hasta que cumple su destino, esto es, o la destrucción, en este caso, o la devolución a su lugar de origen, en el primer ejemplo que poníamos.

Dicho esto, a continuación resumimos la obligación de garantizar la seguridad de la información en soporte manual en una tabla en la que se hace referencia a los sujetos obligados, el contenido de la obligación y las medidas concretas a aplicar en cada nivel de medidas de seguridad.

OPINIÓN DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

A continuación, recogemos algunos ejemplos de procedi-mientos de Declaración de Infracción de Administraciones Públicas, instruidos y resueltos por la AEPD4_.

En primer lugar, el procedimiento AP/00043/2008 al que puso fin la resolución R/01723/2008 de 5 de diciembre de 2008. En esta resolución se dice que:

“La Agencia Española de Protección de Datos ha resuel-to numerosos procedimienresuel-tos sancionadores por infrac-ciones en las medidas de seguridad al haber depositado en la vía pública documentación, en la que consta infor-mación sobre los datos personales de sus clientes o tra-bajadores que obran en sus ficheros. Asimismo la Sala de lo Contencioso Administrativo de la Audiencia Nacional ha dictado sentencias en los recursos contenciosos–admi-nistrativos interpuestos por las entidades sancionadoras. Entre ellas, en la Sentencia de la Audiencia Nacional, Sala de lo Contencioso- Administrativo, Sección Primera, núm. Recurso: 1182/2001, de fecha 7 de febrero de 2003, en el Fundamento de Derecho Tercero señala: “No basta, entonces, con la adopción de cualquier medida, pues deben ser las necesarias para garantizar aquellos objeti-vos que marca el precepto. Y, por supuesto, no basta con la aprobación formal de las medidas de seguridad, pues resulta exigible que aquéllas se instauren y pongan en práctica de manera efectiva. Así, de nada sirve que se aprueben unas instrucciones detalladas sobre el modo de proceder para la recogida y destrucción de documentos que contengan datos personales si luego no se exige a los empleados del banco la observancia de aquellas ins-trucciones (...) se trataba de documentos de uso interno a los que no debían tener acceso personas ajenas al orga-nigrama de...y si lo tuvieron fue de manera anómala, esto es, por una insuficiencia o deficiente puesta en práctica de las medidas de seguridad.”

Por su parte, la resolución R/00581/2008, de 21 de mayo, por el que se resuelve el procedimiento de Declaración de Infracción de Administraciones

Públicas, AP/0074/2007, en el que se denunciaba el caso en el que una Junta Electoral abandonó en la vía pública una cantidad abundante de documentos relati-vos a las elecciones conteniendo, entre otros, datos personales como nombre, dirección, DNI, afiliaciones políticas, edad, así como partes de baja e informes médicos, siendo dicha documentación presentada en la Comisaría de Policía.

De los Fundamentos Jurídicos de la Resolución, quere-mos destacar lo siguiente:

“Sintetizando las previsiones legales puede afirmarse que:

a) Las operaciones y procedimientos técnicos automati-zados o no, que permitan el acceso –la comunicación o consulta- de datos personales, es un tratamiento sometido a las exigencias de la LOPD.

b) Los ficheros que contengan un conjunto organizado de datos de carácter personal así como el acceso a los mismos, cualquiera que sea la forma o modalidad en que se produzca están, también, sujetos a la LOPD.

c) La LOPD impone al responsable del fichero la adop-ción de “medidas de seguridad”, cuyo detalle se remi-te a normas reglamentarias, que eviremi-ten accesos no autorizados.

d) El mantenimiento de ficheros carentes de “medidas de seguridad” que permitan accesos o tratamientos no autorizados, cualquiera que sea la forma o modalidad de éstos, constituye una infracción tipificada como grave.(…)

Así concluye que en este caso, quedó probado que a la documentación encontrada tuvieron acceso terceros aje-nos a la misma. Por otra parte, la AEPD destaca que requerida la Junta Electoral, en el período de practica de

>>>

Maria Arias Pou

20

A

yunt

amiento XXI

Abril - Mayo

2009

4.Procedimientos todos estos que pueden consultarse en la página web de la Agencia Española de Protección de Datos www.agpd.es.

>>>

La información que los

ciudadanos confían a las

administraciones públicas para realizar

las competencias que tienen

encomendadas, es de su propiedad, y

que la publicación, divulgación o

cualquier utilización indebida de dicha

información puede constituir falta

disciplinaria, delito o falta por parte de

la administración

<<<

pruebas, para que aportara el documento“de medidas de seguridad”o normas existentes en relación con la seguri-dad y confidencialiseguri-dad, no facilitó ni el correspondiente

“documento de seguridad”ni normas que debía constar y estar implementado al tener ficheros con datos de carác-ter personal. Es decir, que el responsable del fichero o del tratamiento con la documentación de la Junta Electoral debió adoptar las medidas necesarias para impedir cual-quier recuperación posterior de la información que conte-nía. Como quedó probado que tales medidas de seguri-dad no fueron adoptadas, se incurre con ello en la infrac-ción del artículo 9 de la LOPD.

En conclusión, en el presente caso quedó probado que se produjo el acceso de terceros a la documentación, por lo que, en dicha conducta concurre una infracción a las

“medidas de seguridad”por la Junta Electoral como res-ponsable de la documentación electoral, al haberse pro-ducido el acceso de terceras personas a información con-cerniente a terceros, vulnerándose así laconfidencialidad

de dicha información, lo que se calificó como de infracción grave.

CONCLUSIONES

Una de las obligaciones que las entidades locales tienen como garantes de la protección de los datos personales que manejan en el desarrollo de sus funciones públicas, es la de custodiar debidamente la información personal a la que tienen acceso y garantizar el deber de secreto res-pecto de la mismo.

Hay que tener en cuenta que la legislación en materia de protección de datos de carácter personal es muy estricta y exigente con el modo en que se debe custodiar la infor-mación personal que se maneja en el desarrollo de las actividades públicas. En este sentido, es importante recordar que la información que los ciudadanos confían a

las administraciones públicas para realizar las competen-cias que tienen encomendadas, es de su propiedad, y que la publicación, divulgación o cualquier utilización indebida de dicha información puede constituir falta disci-plinaria, delito o falta por parte de la administración.

Además, y en lo que al deber de secreto se refiere, la nor-mativa sobre protección de datos obliga a todas aquellas personas que intervengan en cualquier fase del trata-miento de los datos personales a mantener indefinida-mente el secreto profesional respecto de los mismos, esto es, como hemos analizado en el presente artículo, el deber de secreto resulta aplicable durante y después de finalizado el tratamiento de datos.

La trascendencia y repercusión práctica que pudieran alcanzar las consecuencias de un uso indebido y no con-fidencial de la información, tanto para la entidad local como para las personas que no mantengan la debida reserva sobre informaciones a las que tengan acceso en el ejercicio de sus funciones, implica que corre a cargo de la entidad local la formación de sus empleados en esta materia, de forma que es su responsabilidad que los empleados públicos conozcan sus obligaciones y sepan cómo deben custodiar la información personal, en cual-quier soporte, manual o automatizado, que traten en el desarrollo de sus funciones.

A

yunt

amiento XXI

Abril - Mayo

2009

21

>>>

Pensemos el caso de una

Mancomunidad Intermunicipal de

servicios sociales, maneja informes

sociales de usuarios de los distintos

municipios que forman la

Mancomunidad

<<<