sábado, 10 de septiembre de 2011

CURRICULUMS es un fichero de Nivel Medio


El principal inconveniente con el que se encuentran empresas y autónomos a la hora de adaptar sus actividades a la Ley Orgáncia de Protección de Datos es la implantación de las medidas técnicas (a diferencia de las organizativas) de seguridad en sus ficheros, de obligado cumplimiento.

Las de nivel básico pueden resultar asequibles para cualquiera, con unos mínimos conocimientos de informática, reduciéndose dichas medidas a la gestión de usuarios y contraseñas, copias de respaldo y recuperación, y poco más.

El gran problema viene dado por las medidas de nivel medio y alto, ya que la mayoria de empresas no cumple con sus obligaciones.

Las exigencias se multiplican y requieren de unos conocimientos técnicos que exigen de servicios profesionales externos. Además, una vez implantadas esas medidas de nivel medio o alto, se precisan unos controles periódicos mucho más exhaustivos.

La gran mayoría de empresas y profesionales realizan un tratamiento de datos a los que se exige un nivel de seguridad básico; aunque  en el caso de que se reciban los habituales (y más en estos tiempos) currículums. El currículum, ese escaparate personal de méritos, experiencias y logros, que en la práctica habitual llega, se ojea y se archiva, en espera de ser rescatado en algún momento de necesidad, está considerado por el Reglamento de Desarrollo de la LOPD como un fichero de nivel medio, en aplicación de su artículo 81.2 f).

Esto obliga, como hemos comentado, a adoptar una serie de minuciosas medidas de seguridad respecto de un fichero que, en la mayoría de las ocasiones, habremos creado casi de forma involuntaria (o por lo menos sin haberlo solicitado).

La Agencia Española de Protección de Datos se ha pronunciado al respecto, considerando a estos ficheros como de nivel medio en los siguientes informes:


La cuestión.

Ahora bien, el problema se encuentra principalmente en los ficheros automatizados que, por otra parte, implica el medio más común de recibir currículums: el correo electrónico.
Si recibimos currículums por correo electrónico y los archivamos (o simplemente los dejamos en nuestro software cliente ordenado según su fecha de entrada) estaríamos ante un flamante fichero de nivel medio. Conllevaría las siguientes medidas de seguridad (Título VIII, Capítulo III, Sección II, RLOPD):
- Tener un responsable de seguridad
- Realizar una auditoría cada 2 años
- Establecer un sistema de entrada y salida de soportes
- Implantar un sistema que limite el intento de accesos no autorizados
- Control de acceso físico a los lugares donde se encuentren los equipos informáticos
- Registro de incidencias más detallado
- Autorización para la recuperación de datos

Si el fichero fuera sólo manual (currículums impresos en papel), las medidas serían únicamente estas:
- Responsable de seguridad
- Auditoría

Recomendación.

Declarar el fichero. O está bien claro que las medidas más complejas resultan ser las que afectan al fichero autormatizado por lo que, si no queremos cargar con ellas, lo recomendable es imprimir en papel una copia del currículum adjunto al correo electrónico para acto seguido eliminarlo, con lo que evitamos el tratamiento del fichero automatizado y la implantación de sus correspondientes medidas.