Una vez realizada la consultoría inicial en materia de protección de datos, la propia ley prevé su constante actualización.
Referencias legislativas:
- Art. 58 del RD 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre.
- Art. 88 del RD 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre.
Obligación de actualizar los ficheros:
“La inscripción del fichero deberá encontrarse actualizada en todo momento. Cualquier modificación que afecte al contenido de la inscripción de un fichero deberá ser previamente notificada a la Agencia Española de Protección de Datos o a las autoridades de control autonómicas competentes, a fin de proceder a su inscripción en el registro correspondiente, conforme a lo dispuesto en el artículo 55”.
Esto significa que la Comunidad de Propietarios deberá velar por la actualización de los ficheros inscritos por los posibles cambios que la comunidad pueda sufrir, como por ejemplo la necesidad de nuevos ficheros (Recursos Humanos porque se contrate trabajadores o Videovigilancia porque se pongan Cámaras de Seguridad) o que legislativamente puedan afectarle.
Cuando decimos legislativamente, nos referimos a normas jurídicas, informes jurídicos, recomendaciones, guías de aplicación, jornadas de puertas abiertas y memorias, de la propia Agencia Española de Protección de Datos, que vienen a dar respuestas a planteamientos que van surgiendo con el transcurso del tiempo y con las realidades prácticas aplicables a cada sector o actividad. Así mismo, es en este sector de las comunidades de propietarios donde las consultas y procedimientos sancionadores relacionados con protección de datos han crecido más según los últimos años, y se pueden consultar en los canales de documentación de la propia Agencia.
Además el futuro reglamento europeo de Protección de datos, que entrará en vigor, presumiblemente dentro de poco, supondrá cambios visibles en las obligaciones y/o en las medidas de seguridad que se viene aplicando a día de hoy.
Obligación de actualizar el Documento de Seguridad:
El Documento de Seguridad LOPD establece la organización, normativas y procedimientos de seguridad de obligado cumplimiento tanto para la comunidad como para el personal con acceso a los sistemas de información. Dicho documento debe mantenerse en todo momento actualizado y debe ser revisado obligatoriamente siempre que se produzcan cambios relevantes en la organización de seguridad, en los sistemas de información. o cuando sea necesario adecuarse a las disposiciones vigentes que en materia de seguridad establezcan las autoridades competentes.
El Documento de Seguridad es un dossier que contiene las medidas de seguridad de índole técnica y organizativa que obligatoriamente debe adoptar la comunidad. Es obligatorio tenerlo, ya que así lo dispone la ley (concretamente, el art. 88 Reglamento de desarrollo de la LOPD).
Las medidas de seguridad son de 2 tipos:
- Medidas técnicas: son del tipo informático y no informático. Engloban por ejemplo las contraseñas, armarios bajo llave, etc.
- Medidas organizativas: son las referidas al personal, distribución de funciones, departamentos, etc.
“El documento de seguridad deberá mantenerse en todo momento actualizado y será revisado siempre que se produzcan cambios relevantes en el sistema de información, en el sistema de tratamiento empleado, en su organización, en el contenido de la información incluida en los ficheros o tratamientos o, en su caso, como consecuencia de los controles periódicos realizados. En todo caso, se entenderá que un cambio es relevante cuando pueda repercutir en el cumplimiento de las medidas de seguridad implantadas”.
Algunas de las cuestiones que fácilmente sufren alteración o necesidad de actualización en el Documento de Seguridad son las siguientes:
- Hay que revisar las altas y bajas de trabajadores de la comunidad de propietarios y si ha habido algún cambio organizativo. La ley obliga a revisar los cambios organizativos periódicamente. En este sentido, el reglamento exige la obligación de la comunidad de mantener actualizado el registro de personas con acceso a datos, tanto a nivel interno (empleados) como externos (Encargados del Tratamiento, personal ajeno a la comunidad que accede a los datos, etc.).
- El Documento de Seguridad debe estar actualizado y debe incluir cualquier modificación de la notificación que «sufra» la comunidad (por ejemplo, fichero de videovigilancia, si se ponen cámaras en la comunidad)
- En el Documento de Seguridad se exige la obligación de incluir un inventario de soportes que tiene la comunidad para almacenar los datos de carácter personal.
- Finalmente, pueden producirse cambios legislativos que afecten a alguno de los componentes del documento de seguridad, con lo que procede actualizar.