Una auditoría externa encargada por el Ayuntamiento de Xàtiva ha detectado una veintena de incumplimientos de la Ley Orgánica de Protección de Datos (Lopd) en el tratamiento que hace la administración local de los ficheros que contienen datos de carácter personal. El informe, emitido en diciembre por la empresa Nunsys, SL, ha servido de base al gobierno municipal para promover una serie de medidas que mañana serán aprobadas por el pleno con el objetivo de ajustar el funcionamiento del consistorio a la normativa estatal que entró en vigor en 1999.
La auditoría contratada examina la seguridad de los ficheros, los equipos, los sistemas de información, las instalaciones en las que se tratan los datos de carácter personal bajo la responsabilidad de la administración local -tanto en formato electrónico como en papel- y las personas que intervienen en el proceso. El trabajo de campo incluyó entrevistas al personal y una labor de observación y comprobación del cumplimiento de normas y procedimientos.
El estudio detecta numerosas carencias en el tratamiento de los datos personales de áreas tan sensibles como la Policía Local, los servicios sociales o el urbanismo, cuyos usos y finalidades no se han dado de alta en el Registro General de Protección de Datos. Los trabajos también han revelado la existencia de formularios de recogida de datos que no disponen de la pertinente cláusula informativa sobre la existencia del fichero y la finalidad de su tratamiento. Los técnicos subrayan que no se obtiene el consentimiento expreso de los usuarios a la hora de proceder al tratamiento de datos de carácter personal en asuntos como los programas de Menjar a Casa o Major a Casa. En ciertos casos, además, estos datos «son utilizados con finalidades que no guardan relación directa con el mantenimiento, desarrollo o control de la relación contractual». Por ejemplo, no se pide autorización para e luso de imágenes o el envío de comunicaciones comerciales. Igualmente, los empleados no funcionarios del ayuntamiento no firman ninguna cláusula de confidencialidad, ni se obtiene el consentimiento para el uso de las imágenes en los diferentes medios del ayuntamiento. La auditoría detecta el «acceso a los datos por cuenta de terceros, sin una regulación específica en el contrato». Los ficheros temporales creados no cumplen el nivel de seguridad exigido por la ley ni existe un documento de seguridad que recoja las medidas de índole técnica y organizativa que ha de cumplir el personal con acceso a los sistemas de información. Hay usuarios que conocen la contraseñas de otros usuarios y ciertas aplicaciones a las que accede más de una persona con la misma contraseña, la cual no suele cambiarse. El estudio subraya otro error: almacenar los datos más sensibles exclusivamente en los equipos informáticos que los tratan.Igualmente, hay multitud de dispositivos de almacenamiento que se mantienen abiertos y documentos que no se custodian de forma segura. Tampoco existe un procedimiento que regule las copias de seguridad.
Responsable de seguridad
Pese a todas las deficiencias, el documento concluye que el funcionamiento del consistorio se adecua «razonablemente» a la legislación aplicable en la seguridad del tratamiento de datos personales, aunque emite una serie de recomendaciones que ya han comenzado a aplicarse en el departamento de informática, junto a otras que mañana pasarán por pleno.
Así, el Ayuntamiento de Xàtiva va crear la figura del responsable de seguridad, con la misión de coordinar las medidas para corregir los incumplimientos, custodiar la información, blindar el control de los ficheros de datos y lidiar con el personal para velar por que se cumpla la ley. La administración local también va a dar de alta en la Agencia Estatal de Protección de Datos una serie de ficheros de 16 áreas -servicios, sociales, archivo, censo canino, videovigilancia o Policía Local- con diferentes niveles de seguridad, con miras a hacer posible el ejercicio de los derechos de información, acceso, rectificación y cancelación de datos al usuario. Hasta ahora, solo había registrados ficheros fiscales, de contabilidad o de personal.
