Cuando asesoro a médicos, abogados, procuradores y otros profesionales o entidades que tratan datos de nivel alto, suelen preguntarme si deben o no poner cerraduras en las puertas de las habitaciones donde se contienen datos de carácter personal en formato no automatizados (es decir: en papel).
Mi respuesta no puede ser otra que por supuesto que deben, porque así lo exige el artículo 111 del Real Decreto 1720/2007, de 21 de diciembre por el que se aprueba el Reglamento de desarrollo de la LOPD.
Literalmente, exige ese precepto que:
Artículo 111 Almacenamiento de la información
1. Los armarios, archivadores u otros elementos en los que se almacenen los ficheros no automatizados con datos de carácter personal deberán encontrarse en áreas en las que el acceso esté protegido con puertas de acceso dotadas de sistemas de apertura mediante llave u otro dispositivo equivalente. Dichas áreas deberán permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en el fichero.
2. Si, atendidas las características de los locales de que dispusiera el responsable del fichero o tratamiento, no fuera posible cumplir lo establecido en el apartado anterior, el responsable adoptará medidas alternativas que, debidamente motivadas, se incluirán en el documento de seguridad.
Por tanto, la norma es que los documentos estén en áreas cerradas, salvo que por las características del local eso no sea posible y se implanten medidas de seguridad alternativas. Una medida de seguridad alternativa podría ser, por ejemplo, la custodia de las zonas mediante personas destinadas a tal fin. Otra cosa es que luego eso se pueda demostrar ante una inspección, claro está…
Suelen decirme los que me consultan que para ellos es un problema tener que cambiar instalaciones, estructuras y poner cerraduras en las puertas. Cosa que imagino que ocurrirá de verdad en algunos casos, pero intuyo que en otros el problema no es tanto y que más les valdría –para evitar problemas-buscar un cerrajero, comprar pomos con cerradura, instalar algún dispositivo externo con cerradura, o similar…
La cuestión es que mucha gente cree que es una medida de seguridad poco importante, porque “total, nadie va a saber si tengo o no puertas con cerraduras”.
Ya.
Lo mismo nadie lo sabe, o lo mismo acaba trascendiendo y te imponen una multa por infracción grave (de 40.001 a 300.000 euritos de nada), cuya existencia –por poner un caso- se declaró en el caso de un Centro de Salud de Lerma (Burgos), mediante la Resolución nº 2560/2012 de la Agencia Española de Protección de Datos (procedimiento nº AP/12/2012).
Se trata de un caso real en el que alguien sustrajo 16 expedientes médicos de los cajones de la mesa de una consulta del referido centro de salud. La consulta tenía dos puertas de acceso que no cerraban bien y bastaba con empujar para acceder a ellas. Además, los cajones de la mesa no tenían cerradura ni equivalente.
Se vulneró por tanto el artículo 9 de la LOPD, que se refiere al principio de seguridad y que impone al responsable de fichero la obligación de implantar medidas de seguridad físicas que impidan el acceso no autorizado a los datos.
Y sí, podría ocurrirte a ti, y podrías ser sancionado “de verdad”.