Esta iniciativa, promovida por la AEPD, dirigida por José Luís Piñar Mañas, comporta cambios significativos en las medidas de seguridad, a los que los titulares de ficheros con datos de carácter personal deberán adaptarse en plazos y fechas hoy desconocidos.
Las nuevas medidas de seguridad, hasta donde ha podido saberse, mantienen una estructura similar a las contenidas en el vigente reglamento: son incrementales, de mínimos en cada nivel y hay tres niveles (básico, medio y alto)..., pero, cuidado, se incorporan en cada uno medidas generales y medidas de seguridad específicas para los ficheros automatizados y para los no automatizados. Esta sí es una novedad.
Hay otras, principalmente en lo que atañe al nivel medio, en el que además de pedirse un registro de accesos –algo hoy sólo contemplado en el nivel alto– se modifica sutilmente el artículo de la auditoría, cuyo informe quedará a disposición de la AEPD, a la que además habrá que notificar la fecha del mismo y la indicación de si lo ha realizado un auditor interno o externo. Por ahí empiezan los controles de calidad.
Sin duda, el borrador de nuevo reglamento está plagado de otros grandes y pequeños cambios que afectan a muchos ámbitos, empezando por el de la aplicación de los niveles de seguridad. En el texto al que se ha tenido acceso, serán de nivel alto los ficheros o tratamientos de los que sean responsables los operadores que presten servicios de comunicaciones electrónicas disponibles al público o exploten redes públicas de comunicaciones electrónicas respecto a los datos de tráfico y localización. Interesante, ¿verdad? |