El Informe 0320/2008 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda dos cuestiones principales relacionadas con la aplicación de medidas de seguridad a ficheros no automatizados según el Real Decreto 1720/2007, que desarrolla la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal.
En primer lugar, el informe analiza si las medidas previstas en el artículo 97 del Real Decreto 1720/2007 son aplicables a los ficheros no automatizados. La respuesta es negativa, ya que para estos ficheros se deben aplicar las disposiciones del Título VIII, Capítulo IV, artículos 105 al 113. En concreto, los ficheros no automatizados deben cumplir con los artículos 105 a 108 del Reglamento, que establecen medidas de seguridad de nivel básico. El artículo 105 especifica que, además de las disposiciones generales, se deben aplicar normas sobre alcance, niveles de seguridad, encargado del tratamiento, prestaciones de servicios sin acceso a datos personales, delegación de autorizaciones, régimen de trabajo fuera de los locales del responsable del fichero, copias de trabajo de documentos y documento de seguridad. Además, se deben cumplir las disposiciones de la sección primera del capítulo III del título, que incluyen funciones y obligaciones del personal, registro de incidencias, control de acceso y gestión de soportes.
En segundo lugar, el informe se pregunta si es necesario cumplir con la gestión de soportes según el artículo 92 cuando los documentos se trasladan entre distintas dependencias de una misma entidad. La AEPD aclara que no se considera una salida de documentos cuando el traslado se realiza por personal de la propia entidad entre sus dependencias. Sin embargo, si la gestión de la salida de documentos es realizada por una entidad contratada para prestar dicho servicio, entonces sí es necesario cumplir con los requisitos del artículo 92.
En resumen, el informe subraya la importancia de aplicar las medidas de seguridad adecuadas a los ficheros no automatizados, diferenciando entre los traslados internos realizados por personal propio y aquellos gestionados por entidades externas, para garantizar la protección de los datos personales conforme a la normativa vigente.