De la lectura de la norma, se pueden detectar una serie de novedades que, sin duda, mucho darán que hablar a la hora de su aplicación, debido su gran casuística. Una de estas novedades es la regulación específica que se hace de los denominados “ficheros no automatizados”, siendo éstos “todo conjunto de datos de carácter personal organizado de forma no automatizada y estructurado conforme a criterios específicos relativos a personas físicas, que permitan acceder sin esfuerzos desproporcionados a sus datos personales, ya sea aquél centralizado, descentralizado o repartido de forma funcional o geográfica”, o dicho de otro modo, de todos los datos de carácter personal contenidos en formato papel.
Estos ficheros en papel deberán cumplir con específicas medidas de seguridad, además de las generales para todo tipo de ficheros, según contemplen datos de nivel básico, medio o alto. Así, para el caso del nivel básico, se regulan tanto los criterios de archivo, como los dispositivos de almacenamiento (con mecanismos que obstaculicen su apertura o impidan el acceso de personas sin autorización) y la custodia de los soportes (obligando a la persona que se encuentre a su cargo a impedir el acceso a cualquier persona no autorizada).
En el nivel medio, aparte de las medidas establecidas para el nivel básico, se contempla la designación de uno o varios responsables de seguridad con unas funciones específicas, así como la obligación de someterse a una auditoría, externa o interna, al menos con carácter bianual.
Por último, para el nivel alto, no sólo se ha de cumplir lo ya expuesto, sino que el Reglamento impone criterios especiales acerca del almacenamiento (los armarios, archivadores, etc, deben encontrarse en áreas de acceso protegido o adoptar medidas alternativas), contemplando también las actuaciones a la hora de generar copias de los documentos o reproducirlos, así como su destrucción, acceso a la documentación (con mecanismos que identifiquen los accesos) y el traslado de ésta (imponiendo la adopción de medidas que impidan el acceso o la manipulación de la información trasladada).
Si tenemos en cuenta (según estudios recientes facilitados por la Cátedra de Riesgos en Sistemas de Información), que en España las PYMES representan el 99,3% del tejido empresarial, de las cuales el 94% son micropymes, el 50,9% no dispone de personal asalariado, el 43% no llega a los 10 empleados y sólo el 60% tiene ordenador, -lo que no quiere decir que los datos que traten estas empresas estén automatizados-, podemos hacernos una idea de la gran cantidad de datos de carácter personal en formato papel, en parte o exclusivamente, que manejan diariamente las empresas españolas. Para cumplir con los criterios establecidos en el nuevo Reglamento todas estas pymes van a tener que actualizarse en un plazo que varía de 1 año (para ficheros de nivel básico), 18 meses (nivel medio) y 2 años (nivel alto), todo un desafío para nuestros pequeños y medianos empresarios.
*FOTO: Reyes Hernández Muñoz (Abogada de López Acosta, Rivero & Gustafson Abogados.