El principio de seguridad de los datos establecido en el artículo 9 de la Ley Orgánica 15/1999, impone al responsable del fichero adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado y que a su vez se encuentran desarrolladas en el Reglamento de Medidas de Seguridad, aprobado por Real Decreto 994/1999, de 11 de junio.

Artículo 9. Seguridad de los datos.

• “El responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.• No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas.

• Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los ficheros y las personas que intervengan en el tratamiento de los datos a que se refiere el artículo 7 de esta Ley.”

De conformidad con lo dispuesto en el artículo 44,3,h) de la Ley Orgánica 15/1999, constituye infracción grave, “mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen.”

El Reglamento de medidas de seguridad, resultará de aplicación a los ficheros que contengan datos de carácter personal. Sus disposiciones vienen a establecer las distintas medidas que habrán de adoptarse sobre los ficheros de datos de carácter personal, resultando las mismas aplicables a la totalidad del sistema de información en que se aloja cada fichero.

Especialmente debe recordarse que el Reglamento establece reglas específicas en materia de control de accesos, gestión de soportes y elaboración de copias de respaldo, debiendo además constar todas estas medidas en el documento de seguridad, al que se refiere el artículo 8 del Reglamento.

El Reglamento viene a establecer tres niveles de seguridad atendiendo a la naturaleza de la información tratada en relación con la mayor o menor necesidad de garantizar la confidencialidad y la integridad de la misma, con independencia de la finalidad en virtud de la cual se haya procedido al tratamiento de los datos personales.

Con el objeto de facilitar a los responsables de los ficheros la adopción de las disposiciones del Reglamento de Seguridad, se ha elaborado un modelo de “documento de seguridad”, que puede servir de guía en el desarrollo de las previsiones del Real Decreto.

Aclaración sobre la aplicación del Reglamento de Seguridad a los ficheros en soporte no automatizado

En lo que se refiere a la aplicación de las medidas de seguridad exigidas por el Reglamento debe formularse una aclaración respecto a su aplicación en los ficheros no automatizados.

El artículo 1 del Reglamento delimita su ámbito de aplicación estableciendo que será aplicable únicamente a los ficheros automatizados. Esta delimitación resultaba congruente con el sistema de garantías contemplado en la Ley Orgánica 5/1992, de 29 de octubre (LORTAD), en cuyo desarrollo fue aprobado, y que sólo era de aplicación a ficheros automatizados

La vigente LOPD presenta como una de sus principales novedades la ampliación de su ámbito de aplicación que ahora alcanza “los datos de carácter personal registrados en soporte físico que los hace susceptibles de tratamiento y a toda modalidad de uso posterior de estos datos…” (art. 2). Incluye, por tanto, los datos en soporte papel siempre que esten estructurados como ficheros.

La Disposición Transitoria Tercera de la LOPD mantiene la vigencia de las normas reglamentarias preexistentes, entre las que se cita el Reglamento de Medidas de Seguridad, en cuanto no se oponga a la nueva Ley.

La previsión del Reglamento de aplicarse sólo a los ficheros automatizados se opone a la vigente LOPD, al haberse ampliado su ámbito de aplicación, como se ha expuesto, por lo que debe considerarse derogada.

En consecuencia, desde la entrada en vigor de la LOPD, resulta aplicable dicho Reglamento a los ficheros en soporte no automatizado que se hubieran creado con posterioridad a la entrada en vigor de la Ley Orgánica, el 14 de enero de 2000. Los ficheros en soportes no automatizados que existieran antes de dicha fecha dispondrán, a estos efectos, del período de adaptación establecido en la Disposición Adicional Primera (que finaliza en octubre de 2007).

No obstante, cuando resulte de aplicación el Reglamento de Medidas de Seguridad, conforme a los criterios expuestos, sólo deberán implantarse las medidas de seguridad que, pese a estar previstas para tratamientos automatizados, por su naturaleza sean también aplicables a ficheros no automatizados como, por ejemplo, la elaboración e implantación del Documento de Seguridad.