Por fichero no automatizado se entiende:
«Todo conjunto de datos de carácter personal organizado de forma no automatizada y estructurado conforme a criterios específicos relativos a personas físicas, que permitan acceder sin esfuerzos desproporcionados a sus datos personales, ya sea aquel centralizado, descentralizado o repartido de forma funcional o geográfica».
Dicha definición se encuentra en el artículo 5 apartado 1 letra n) del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, que no está derogado en su totalidad, sino únicamente aquellas disposiciones que contradigan, se opongan o sean incompatibles con el RGPD y la LOPDGDD.
Para entendernos, los «ficheros no automatizados» son los ficheros que gestionamos, de forma manual, a través de carpetas y subcarpetas en archivadores.
Custodia del fichero
La seguridad de este tipo de ficheros es relativamente sencilla. Basta con mantenerlos custodiados en armarios archivadores u otros elementos protegidos con puertas de acceso dotadas de sistemas de apertura mediante llave u otro dispositivo equivalente.
Es importante mantener los ficheros ordenados para tenerlos bajo control. Para ello, se establecerá un sistema de clasificación, por ejemplo, por materias o por fechas.
A los espacios de almacenamiento y custodia sólo accederá el responsable del tratamiento y aquellas personas a las que autorice expresamente.
En ocasiones, la información contenida en los ficheros puede ser sensible o confidencial, es decir, que su divulgación podría afectar a los derechos y las libertades del interesado o titular de los datos, por ejemplo, ficheros médicos. Para reforzar la seguridad de las instalaciones es aconsejable colocar una cámara de vigilancia. En el mercado hay infinidad de modelos a precios realmente económicos y son muy fáciles de gestionar. En el entorno donde se instale la cámara, no olviden poner el cartel de aviso correspondiente.
Traslado del fichero
En la práctica, los documentos no siempre están guardados en el archivo, sino que se emplean para gestiones concretas, incluso se trasladan fuera de las instalaciones del responsable del tratamiento.
Pongamos, por caso, que una empresa quiere vender un inmueble de su propiedad. Para formalizar la compraventa, el responsable del tratamiento hace entrega de la escritura de propiedad, que contiene datos personales, al abogado de la empresa con el encargo de entregarla en la notaría donde se va a formalizar la operación. Además, recibe el encargo de llevar la escritura a una asesoría para liquidar el impuesto sobre el incremento de valor de los terrenos de naturaleza urbana (plusvalía municipal).
El fichero (escritura de propiedad) pasará por varias manos y existen diversos riesgos (destrucción, pérdida, etc.) y aunque no se tienen por qué materializar, hay que contemplarlos para poder mitigarlos (por ejemplo, obligar a que el fichero se traslade dentro de un portadocumentos).
Si quien va a trasladar el fichero es una persona distinta al responsable del tratamiento, antes de trasladarlo, debe estar autorizado. Se dejará constancia de la autorización por escrito, en la que se indicará la identidad de la persona autorizada y la del destinatario/s que pueden tomar contacto con el fichero (siguiendo con el ejemplo, la persona autorizada sería el abogado y los destinatarios serían la notaría y la asesoría).
Para gestionar el traslado o salida de ficheros de las instalaciones, y mantenerlos bajo control, es aconsejable un acuse de recibo, como el siguiente:
Soy consciente que habrá casos en los que exista cierto rechazo a la hora de firmar el acuse de recibo. Pidan, amablemente, que lo firmen y no habrá problemas. Todo es acostumbrarlos.
Reproducción del fichero
La regla general es evitar las copias de documentos originales, salvo autorización expresa.
Es importante que las personas que tomen contacto con los ficheros, sobre todo si la información que contienen es sensible o confidencial, sean personas responsables y de confianza (autorizados).
Conclusión
Lo que les relato son sencillos hábitos de trabajo o rutinas. Sólo hay que ponerle interés y empeño.
Por último, no descarten lo analógico frente a la digitalización. A veces es el sistema más seguro.
—
NOTA
A lo largo de este blog emplearemos las siguientes abreviaturas:
RGPD: Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por el que se deroga la Directiva 95/46/CE, o Reglamento General de Protección de Datos.
LOPDGDD: Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales.
