Centrándonos en dos de las más importantes: medidas de protección en ficheros no automatizados y medidas relacionadas con el encargado del tratamiento, pasamos a analizar cada una de ellas.

1) Medidas de protección en ficheros no automatizados

Es la primera vez que en el Real Decreto se introducen medidas de protección para los datos que se encuentran en ficheros no automatizados, o más conocidos como ficheros en soporte papel, circunstancia que no ocurría con el antiguo Real Decreto 994/1999 sobre protección de datos.

Según el articulo 5.1 del Real Decreto 1720/2007 se define como “Fichero no automatizado: todo conjunto de datos de carácter personal organizado de forma no automatizada y estructurado conforme a criterios específicos relativos a personas físicas, que permitan acceder sin esfuerzos desproporcionados a su datos personales, ya sea aquél centralizado, descentralizado o repartido de forma funcional o geográfica”. Por lo tanto, cualquier información en formato papel que cuente con una ordenación lógica como puede ser un número de empleado, un apellido, un número de cliente, etc. será considerado un fichero en formato papel al cual se le deberán aplicar las medidas de seguridad en función del nivel de la información que contengan (medidas de nivel básico, medio o alto).

Las medidas a aplicar para los ficheros no automatizados se equipararan a las medidas, que lógicamente sean de aplicación, de los ficheros automatizados (llevar un registro de incidencias, un documento de seguridad, realizar una auditoría bienal para ficheros de nivel medio y alto, etc). Sin embargo, hay otras medidas que el Real Decreto especifica de forma concreta para el caso de los ficheros no automatizados. Estas medidas son:

• Aplicación de criterios de archivos para una correcta conservación de los documentos, localización y consulta de la información. 
  
• Los dispositivos de almacenamiento deberán disponer de mecanismos que dificulten su apertura, como por ejemplo, llaves para que las personas no autorizadas no puedan acceder a los datos. Adicionalmente, mientras que la información no se encuentra archivada porque se está trabajando con ella, se deberán tomar precauciones para que personas no autorizadas no accedan a la misma. Por otro lado, si la información contiene datos de nivel alto deberá almacenarse en áreas de acceso restringido.
• Para los ficheros de nivel alto:
  • Se deberán establecer mecanismos que permitan identificar las personas que han accedido a la información. Esta medida ha sido una de las más problemáticas, debido a su difícil implantación. Una posible solución podría ser realizar una plantilla que se deberá adjuntar a cada fichero y deberá ser rellenada por cada una de las personas que accedan a los datos, incluyéndose el nombre, departamento y empresa que accede, por ejemplo.
    
  • Tomar las medidas oportunas para impedir el acceso o manipulación durante el traslado de la información (sobres de valija siempre cerrados, etc). 
    
  • Las copias solo podrán ser realizadas bajo el control del personal autorizado en el Documento de Seguridad, y su destrucción se deberá realizar por métodos seguros para garantizar la imposibilidad de la recuperación de la información. 
    
  • Los armarios y archivadores donde se almacenen los datos deben estar en áreas con acceso restringido por puertas de acceso con llave o mecanismo equivalente y, si estos requisitos no fueran posibles, se adoptarán medidas alternativas que se incluirán motivadamente en el Documento de Seguridad.

Por lo tanto, estas medidas obligarán a las Entidades a mejorar y controlar las medidas de seguridad de la información en formato papel. Será necesario, por tanto, en primer lugar, identificar toda la información en formato papel que pueda ser considerada un fichero y, sobre estos ficheros, se deberán implantar las medidas de seguridad que exige el Real Decreto. Todas estas nuevas medidas se deberán incluir en el Documento de Seguridad.

2) Encargado del tratamiento

Según el articulo 5.1 del Real Decreto, se define como “Encargado del tratamiento: La persona física o jurídica, pública o privada, u órgano administrativo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento o del responsable del fichero, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio.”

Tal y como exige el articulo 12 de la LOPD, la realización de un tratamiento por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado tratará los datos conforme a las instrucciones del responsable, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas. En el Real Decreto se permite la subcontratación del encargado del tratamiento a un tercero, pero para ello deberá existir una autorización expresa por parte del responsable del fichero, si bien no será necesaria la autorización si se cumplen las siguientes condiciones:

• Que se especifique en el contrato con el encargado los servicios que puedan ser objeto de subcontratación y, si fuera posible, la empresa con la que se vaya a subcontratar. 
• Cuando no se identificase en el contrato la empresa con la que se vaya a subcontratar, será preciso que el encargado del tratamiento comunique al responsable los datos que la identifiquen antes de proceder a la subcontratación. 
• Que el tratamiento de datos de carácter personal por parte del subcontratista se ajuste a las instrucciones del responsable del fichero. 
• Que entre el encargado y el subcontratista se formalice un contrato en términos similares al firmado entre el encargado y el responsable.

Por otro lado, cuando exista un tratamiento de datos por cuenta de terceros, el encargado deberá mencionar en su Documento de Seguridad los ficheros o tratamientos que realiza, con una referencia expresa al contrato que regula la relación, y una identificación del responsable y el periodo de vigencia del contrato.

Por parte del responsable, éste deberá hacer constar en su Documento de Seguridad si los datos personales se incorporan y tratan exclusivamente en los sistemas del encargado del tratamiento o si el tratamiento tiene lugar en sus propios locales (por acceso remoto o in situ)

Existe la posibilidad de que la llevanza del Documento de Seguridad recaiga en el encargado de tratamiento, y esto se daría cuando los datos de un fichero se traten de modo exclusivo en los sistemas del encargado. Esta medida puede resultar de gran ayuda para las PYMES para no utilizar recursos propios en estas labores.

No obstante lo anterior, el responsable del tratamiento deberá siempre velar por que el encargado del tratamiento reúna las garantías exigidas en el Real Decreto, garantías que deberían quedar incluidas en el contrato firmado entre ambos. En caso de que no se tenga la seguridad de que se van a cumplir dichas garantías, se debería cuestionar la posibilidad de cambiar la figura de un encargado por otro que sí ofrezca dichas garantías.