Arxivadors: mesures de seguretat

14 de maig de 2015

Malgrat la progressiva implantació a les empreses de les eines informàtiques, els arxivadors de paper segueixen sent a data d’avui, un element molt comú en les organitzacions empresarials. És per això que en aquest post, analitzem les mesures de seguretat que, segons el RLOPD, han d’implementar aquelles empreses que emmagatzemin dades personals en suport paper.

Aquestes mesures, moltes vegades oblidades, estan clarament recollides en els articles 105 de l’abans esmentat RLOPD. De la mateixa manera que aquest text legal divideix les mesures de seguretat per als recursos informàtics en els nivells bàsic, mitjà i alt, segons el tipus de dades, es fa el mateix per als arxivadors en paper. Així per a una correcta implementació de les mesures de seguretat en els arxivadors el primer serà conèixer quin tipus de dades personals tinc en aquests arxivadors. En funció del tipus de dades, dels quals a continuació dono exemples, hauran d’implementar-se les mesures de seguretat que ara analitzarem.

Abans de ficar-nos a això no obstant això dues consideracions: (1) la identificació dels arxivadors afectats, així com les mesures de seguretat, hauran d’incloure’s en el Document de Seguretat obligatori i (2) en cas que existeixi normativa específica d’arxiu (com per als historials clínics), aquesta haurà de tenir-se en compte al moment d’aplicar la normativa de protecció de dades.

Nivell Bàsic (exemples: Noms i Cognoms DNI, telèfon, adreça postal o electrònica, número de compte, nòmines)

Arxivar la documentació garantint la correcta conservació, localització i consulta de la informació i possibilitar l’exercici dels drets ARCO. Els llocs d’emmagatzematge dels documents que continguin dades de caràcter personal hauran de disposar de mecanismes que obstaculitzin la seva obertura: generalment, clau.

Mentre la documentació amb dades de caràcter personal no estigui arxivada (en ús), la persona que la tingui al seu càrrec ha de custodiar i impedir que pugui accedir una persona no autoritzada.

Nivell Mitjà (exemple: Currículums, fitxers de morosos):

Designar a un o diversos responsable/s de seguretat i sotmetre’s almenys cada dos anys, a una auditoria interna o externa.

Nivell Alt (exemples: dades de salut)

El seu emmagatzematge ha de realitzar-se en llocs (despatxos o oficines) en els quals l’accés estigui protegit amb portes tancades clau (o un altre dispositiu equivalent).

La realització de còpies, la reproducció o l’accés als documents per i sota el control del personal autoritzat.

L’accés a la documentació es limitarà exclusivament al personal autoritzat i s’establiran mecanismes que permetin identificar els accessos (autoritzats o no). Això a la pràctica implica implementar un sistema pel qual els accessos als arxivadors amb dades de nivell alt, siguin registrats.

Quan es procedeixi al trasllat de documentació s’hauran d’adoptar mesures dirigides a impedir l’accés o manipulació de la informació objecto de trasllat.

Les sancions

Com tota la normativa de protecció de dades, l’incompliment d’aquestes mesures de seguretat, pot ser sancionada per l’AEPD. En aquest cas, la infracció associada seria de tipus greu, amb sancions que, en el pitjor dels casos, podrien anar des dels 40.001 als 300.000 €.

Si tens dubtes sobre aquest o qualsevol altre tema, no dubtis en contactar-nos!