AEPD Exige Registro Detallado de Accesos a Datos Personales en Aplicaciones Informáticas

El Informe 0584/2009 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la adecuación de una aplicación informática al artículo 103 del Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, aprobado por el Real Decreto 1720/2007. Este artículo establece las medidas de seguridad que deben aplicarse a los ficheros que contienen datos personales, especialmente aquellos que requieren un nivel alto de protección.

El consultante utiliza una aplicación que registra accesos a ficheros de Office (Word, Excel, etc.), permitiendo identificar al usuario, la fecha y el tipo de acceso, pero sin especificar qué dato personal concreto se ha modificado. El artículo 103 del Reglamento exige que se registre no solo el acceso al fichero, sino también la información específica sobre los registros accedidos, es decir, los datos personales concretos consultados o modificados.

La AEPD ha interpretado este precepto en varios informes y resoluciones, destacando que el registro de accesos debe ser lo más detallado posible para identificar inequívocamente quién ha accedido a qué información en cada momento. Esto es crucial para poder reconstruir cualquier revelación no autorizada de datos y determinar la responsabilidad.

El informe concluye que el responsable del fichero debe contar con aplicaciones informáticas que cumplan con las exigencias del Reglamento. Esto incluye la capacidad de registrar no solo el acceso al fichero, sino también los datos personales específicos accedidos o modificados. Además, se menciona la posibilidad de segregar ficheros dentro de un sistema de información para aplicar diferentes niveles de medidas de seguridad según la naturaleza de los datos y los usuarios con acceso a los mismos.

En resumen, la AEPD subraya la importancia de un registro detallado de accesos a datos personales para garantizar la seguridad y la integridad de la información, y recomienda ajustar las aplicaciones informáticas para cumplir con estas exigencias legales.

Deja un comentario

Responsable: PRIVTOOLS. Finalidad de la recogida y tratamiento de los datos personales: gestionar la aceptación y publicación de tu comentario en esta página. Legitimación: Necesario para publicar y gestionar los comentarios. Datos: Nombre, email y un fragmento de la dirección IP. Destinatarios: Los datos no serán cedidos salvo obligación legal. Transferencias internacionales no están previstas. Derechos: podrás acceder, rectificar, limitar y suprimir tus datos escribiéndome a daniel(at)privtools.eu, así como presentar una reclamación ante una autoridad de control.