InicioLa Ley de protección de datosEl reglamentoLa AgenciaTus derechosTus obligacionesInfracciones y sanciones

Tus obligaciones:

La notificación e inscripción de ficheros

Los principios de la protección de datos

Las medidas de seguridad

El ejercicio de los derechos arco

La transferencia internacional de datos

Colaboración con la Agencia

Las medidas de seguridad:

El Documento de Seguridad

Los niveles de seguridad

Medidas de seguridad en ficheros automatizados

Medidas de seguridad en ficheros no automatizados

General:

Inicio

Preguntas frecuentes

Enlaces y descargas

Aviso legal

Contacto

Copyright © 2008

Aviso. El contenido de esta web tiene un carácter meramente informativo, podría estar incompleto y carece de validez jurídica alguna. El uso que se haga del contenido de esta web es responsabilidad exclusiva del usuario.

Introducción

Las medidas de seguridad aplicables en los » ficheros automatizados se encuentran reguladas en los artículos 89 a 104 del reglamento que desarrolla la Ley Orgánica de Protección de Datos (Real Decreto 1720/2007) y son las siguientes:

  Medidas de seguridad  Nivel Basico  Nivel Medio  Nivel Alto 
» Funciones y obligaciones del personal   Si  Si  Si 
» Registro de incidencias  Si  Si  Si 
» Control de acceso  Si  Si  Si 
» Gestión de soportes y documentos  Si  Si  Si 
» Identificación y autenticación  Si  Si  Si 
» Copias de respaldo y recuperación  Si  Si  Si 
» Responsable de seguridad  ------  Si  Si 
» Auditoria  ------   Si   Si  
» Gestión de soportes y documentos  ------   Si   Si  
10  » Identificación y autenticación  ------   Si   Si  
11  » Control de acceso físico  ------  Si   Si 
12  » Registro de incidencias  ------   Si   Si  
13  » Gestión y distribución de soportes  ------  ------   Si 
14  » Copias de respaldo y recuperación  ------   ------   Si  
15  » Registro de accesos   ------  ------  Si 
16  » Telecomunicaciones  ------  ------  Si 
  • Nivel básico: Las medidas correspondientes al nivel básico (1-6) se aplican a todos los ficheros.» [+info]
  • Nivel medio: Las medidas del nivel básico más las de nivel medio (1-12) se aplican a aquellos ficheros que requieren de un nivel medio de seguridad. » [+info]
  • Nivel alto: Todas las medidas de seguridad (1-16) se aplican a aquellos ficheros que requieren de un nivel alto de seguridad.» [+Info]

Funciones y obligaciones del personal

Tal y como establece el artículo 89 del Real Decreto 1720/2007, en el » "documento de seguridad" de los ficheros automatizados se deben definir claramente cuales son las funciones y obligaciones del personal que tenga acceso a los datos de carácter personal en los siguientes términos:

1. Las funciones y obligaciones de cada uno de los usuarios o perfiles de usuarios con acceso a los datos de carácter personal y a los sistemas de información estarán claramente definidas y documentadas en el documento de seguridad. También se definirán las funciones de control o autorizaciones delegadas por el responsable del fichero o tratamiento.

2. El responsable del fichero o tratamiento adoptará las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento


Registro de incidencias

Tal y como estable el artículo 90 del Real Decreto 1720/2007, todo fichero automatizado deberá contar con un registro de incidencias en el que se hará constar cualquier anomalía que afecte o pudiera afectar a la seguridad de los datos de carácter personal en los siguientes términos:

- Deberá existir un procedimiento de notificación y gestión de las incidencias que afecten a los datos de carácter personal y establecer un registro en el que se haga constar el tipo de incidencia, el momento en que se ha producido, o en su caso, detectado, la persona que realiza la notificación, a quién se le comunica, los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas.


Control de acceso

Tal y como establece el artículo 91 del Real Decreto 1720/2007, en todos los ficheros automatizados se debe implantar un mecanismo que controle el acceso de los usuarios a los datos de carácter personal en los siguientes términos:

1. Los usuarios tendrán acceso únicamente a aquellos recursos que precisen para el desarrollo de sus funciones.

2. El responsable del fichero se encargará de que exista una relación actualizada de usuarios y perfiles de usuarios, y los accesos autorizados para cada uno de ellos.

3. El responsable del fichero establecerá mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados.

4. Exclusivamente el personal autorizado para ello en el documento de seguridad podrá conceder, alterar o anular el acceso autorizado sobre los recursos, conforme a los criterios establecidos por el responsable del fichero.

5. En caso de que exista personal ajeno al responsable del fichero que tenga acceso a los recursos deberá estar sometido a las mismas condiciones y obligaciones de seguridad que el personal propio.


Gestion de soportes y documentos

Tal y como establece el artículo 92 del Real Decreto 1720/2007, en todos los ficheros automatizados la gestión de los soportes y documentos que contengan datos de carácter personal se debe llevar a cabo de la siguiente manera:

1. Los soportes y documentos que contengan datos de carácter personal deberán permitir identificar el tipo de información que contienen, ser inventariados y solo deberán ser accesibles por el personal autorizado para ello en el documento de seguridad. Se exceptúan estas obligaciones cuando las características físicas del soporte imposibiliten su cumplimiento, quedando constancia motivada de ello en el documento de seguridad.

2. La salida de soportes y documentos que contengan datos de carácter personal, incluidos los comprendidos y/o anejos a un correo electrónico, fuera de los locales bajo el control del responsable del fichero o tratamiento deberá ser autorizada por el responsable del fichero o encontrarse debidamente autorizada en el documento de seguridad.

3. En el traslado de la documentación se adoptarán las medidas dirigidas a evitar la sustracción, pérdida o acceso indebido a la información durante su transporte.

4. Siempre que vaya a desecharse cualquier documento o soporte que contenga datos de carácter personal deberá procederse a su destrucción o borrado, mediante la adopción de medidas dirigidas a evitar el acceso a la información contenida en el mismo o su recuperación posterior.

5. La identificación de los soportes que contengan datos de carácter personal que la organización considerase especialmente sensibles se podrá realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido, y que dificulten la identificación para el resto de personas.


Identificación y autenticación

Tal y como establece el artículo 93 del Real Decreto 1720/2007, en todos los ficheros automatizados el responsable del fichero deberá adoptar un mecanismo que garantice la correcta identificación (reconocimiento de la identidad de un usuario) y autenticación (comprobación de la identidad de un usuario) de las personas que accedan a los datos de carácter personal en los siguientes términos:

1. El responsable del fichero o tratamiento deberá adoptar las medidas que garanticen la correcta identificación y autenticación de los usuarios.

2. El responsable del fichero o tratamiento establecerá un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado.

3. Cuando el mecanismo de autenticación se base en la existencia de contraseñas existirá un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad.

4. El documento de seguridad establecerá la periodicidad, que en ningún caso será superior a un año, con la que tienen que ser cambiadas las contraseñas que, mientras estén vigentes, se almacenarán de forma ininteligible.


Copias de respaldo y recuperación

Tal y como establece el artículo 94 del Real Decreto 1720/2007, en todos los ficheros automatizados el responsable del fichero debe establecer un procedimiento que permita realizar semanalmente copias de seguridad (backup) de los datos de carácter personal en algún tipo de soporte que permita su recuperación posterior en caso de problemas, dicho procedimiento debe cumplir con los siguientes requisitos:

1. Deberán establecerse procedimientos de actuación para la realización como mínimo semanal de copias de respaldo, salvo que en dicho período no se hubiera producido ninguna actualización de los datos.

2. Asimismo, se establecerán procedimientos para la recuperación de los datos que garanticen en todo momento su reconstrucción en el estado en que se encontraban al tiempo de producirse la pérdida o destrucción. Únicamente, en el caso de que la pérdida o destrucción afectase a ficheros o tratamientos parcialmente automatizados, y siempre que la existencia de documentación permita alcanzar el objetivo al que se refiere el párrafo anterior, se deberá proceder a grabar manualmente los datos quedando constancia motivada de este hecho en el documento de seguridad.

3. El responsable del fichero se encargará de verificar cada seis meses la correcta definición, funcionamiento y aplicación de los procedimientos de realización de copias de respaldo y de recuperación de los datos.

4. Las pruebas anteriores a la implantación o modificación de los sistemas de información que traten ficheros con datos de carácter personal no se realizarán con datos reales, salvo que se asegure el nivel de seguridad correspondiente al tratamiento realizado y se anote su realización en el documento de seguridad. Si está previsto realizar pruebas con datos reales, previamente deberá haberse realizado una copia de seguridad.


Responsable de seguridad

Tal y como establece el artículo 95 del Real Decreto 1720/2007, cuando se trate de ficheros automatizados que requieran de un nivel de seguridad medio o alto, en el documento de seguridad deberán designarse uno o varios responsables de seguridad en los siguientes términos:

- En el documento de seguridad deberán designarse uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en el mismo. Esta designación puede ser única para todos los ficheros o tratamientos de datos de carácter personal o diferenciada según los sistemas de tratamiento utilizados, circunstancia que deberá hacerse constar claramente en el documento de seguridad.

- En ningún caso esta designación supone una exoneración de la responsabilidad que corresponde al responsable del fichero o al encargado del tratamiento de acuerdo con este reglamento.


Auditoria

Tal y como establece el artículo 96 del Real Decreto 1720/2007, en los ficheros automatizados que requieran de un nivel de seguridad medio o alto, se deberá realizar cada dos años una auditoria que verifique que los sistemas de información e instalaciones donde se tratan y almacenan los datos de carácter personal cumplen con las medidas de seguridad previstas en el Reglamento Lopd. Dicha auditoria debe realizarse conforme a los siguientes requisitos:

1. A partir del nivel medio, los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se someterán, al menos cada dos años, a una auditoría interna o externa que verifique el cumplimiento del presente título. Con carácter extraordinario deberá realizarse dicha auditoría siempre que se realicen modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptación, adecuación y eficacia de las mismas. Esta auditoría inicia el cómputo de dos años señalado en el párrafo anterior.

2. El informe de auditoría deberá dictaminar sobre la adecuación de las medidas y controles a la Ley y su desarrollo reglamentario, identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias. Deberá, igualmente, incluir los datos, hechos y observaciones en que se basen los dictámenes alcanzados y las recomendaciones propuestas.

3. Los informes de auditoría serán analizados por el responsable de seguridad competente, que elevará las conclusiones al responsable del fichero o tratamiento para que adopte las medidas correctoras adecuadas y quedarán a disposición de la Agencia Española de Protección de Datos o, en su caso, de las autoridades de control de las comunidades autónomas.


Gestión de soportes y documentos

Cuando se trate de ficheros automatizados que requieran de un nivel de seguridad medio o alto, la » gestión de los soportes y documentos prevista para el nivel básico debe ser complementada con lo previsto en el artículo 97 del Real Decreto 1720/2007, en los siguientes términos:

1. Deberá establecerse un sistema de registro de entrada de soportes que permita, directa o indirectamente, conocer el tipo de documento o soporte, la fecha y hora, el emisor, el número de documentos o soportes incluidos en el envío, el tipo de información que contienen, la forma de envío y la persona responsable de la recepción que deberá estar debidamente autorizada.

2. Igualmente, se dispondrá de un sistema de registro de salida de soportes que permita, directa o indirectamente, conocer el tipo de documento o soporte, la fecha y hora, el destinatario, el número de documentos o soportes incluidos en el envío, el tipo de información que contienen, la forma de envío y la persona responsable de la entrega que deberá estar debidamente autorizada.


Identificación y autenticación

Cuando se trate de ficheros automatizados que requieran de un nivel de seguridad medio o alto, el » procedimiento de identificación y autenticación de usuarios previsto para el nivel básico debe ser complementado con lo previsto en el artículo 98 del Real Decreto 1720/2007, en los siguientes términos:

- El responsable del fichero o tratamiento establecerá un mecanismo que limite la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de información.


Control de acceso físico

Tal y como establece el artículo 99 del Real Decreto 1720/2007, cuando se trate de ficheros automatizados que requieran de un nivel de seguridad medio o alto, el responsable del fichero debe poner los medios adecuados para que solamente el personal que aparece autorizado en el “documento de seguridad” pueda acceder a los lugares donde se hallen instalados los equipos físicos que sirven de soporte para tratar los datos de carácter personal.

- Exclusivamente el personal autorizado en el documento de seguridad podrá tener acceso a los lugares donde se hallen instalados los equipos físicos que den soporte a los sistemas de información.


Registro de incidencias

Cuando se trate de ficheros automatizados que requieran de un nivel de seguridad medio o alto, el » registro de incidencias previsto para el nivel básico debe ser complementado con lo previsto en el artículo 100 del Real Decreto 1720/2007, en los siguientes términos

1. En el registro regulado en el artículo 90 deberán consignarse, además, los procedimientos realizados de recuperación de los datos, indicando la persona que ejecutó el proceso, los datos restaurados y, en su caso, qué datos ha sido necesario grabar manualmente en el proceso de recuperación.

2. Será necesaria la autorización del responsable del fichero para la ejecución de los procedimientos de recuperación de los datos.


Gestión y distribución de soportes

Cuando se trate de ficheros automatizados que requieran de un nivel de seguridad alto, el » procedimiento de gestion de soportes y documentos previsto para el nivel básico y el previsto para el » nivel medio deben ser complementados con lo previsto en el artículo 101 del Real Decreto 1720/2007, en los siguientes términos:

1. La identificación de los soportes se deberá realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido, y que dificulten la identificación para el resto de personas.

2. La distribución de los soportes que contengan datos de carácter personal se realizará cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha información no sea accesible o manipulada durante su transporte. Asimismo, se cifrarán los datos que contengan los dispositivos portátiles cuando éstos se encuentren fuera de las instalaciones que están bajo el control del responsable del fichero.

3. Deberá evitarse el tratamiento de datos de carácter personal en dispositivos portátiles que no permitan su cifrado. En caso de que sea estrictamente necesario se hará constar motivadamente en el documento de seguridad y se adoptarán medidas que tengan en cuenta los riesgos de realizar tratamientos en entornos desprotegidos.


Copias de respaldo y recuperación

Cuando se trate de ficheros automatizados que requieran de un nivel de seguridad alto, el » procedimiento de copias de respaldo y recuperación previsto para el nivel básico debe ser complementado con lo previsto en el artículo 102 del Real Decreto 1720/2007, en los siguientes términos:

- Deberá conservarse una copia de respaldo de los datos y de los procedimientos de recuperación de los mismos en un lugar diferente de aquel en que se encuentren los equipos informáticos que los tratan, que deberá cumplir en todo caso las medidas de seguridad exigidas en este título, o utilizando elementos que garanticen la integridad y recuperación de la información, de forma que sea posible su recuperación


Registro de accesos

Tal y como establece el artículo 103 del Real Decreto 1720/2007, en aquellos ficheros automatizados que requieran de un nivel de seguridad alto, al » mecanismo de control de acceso previsto para el nivel básico habrá que implementarle un sistema de registro de accesos con las siguientes características:

1. De cada intento de acceso se guardarán, como mínimo, la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado.

2. En el caso de que el acceso haya sido autorizado, será preciso guardar la información que permita identificar el registro accedido.

3. Los mecanismos que permiten el registro de accesos estarán bajo el control directo del responsable de seguridad competente sin que deban permitir la desactivación ni la manipulación de los mismos.

4. El período mínimo de conservación de los datos registrados será de dos años.

5. El responsable de seguridad se encargará de revisar al menos una vez al mes la información de control registrada y elaborará un informe de las revisiones realizadas y los problemas detectados.

6. No será necesario el registro de accesos definido en este artículo en caso de que concurran las siguientes circunstancias: a) Que el responsable del fichero o del tratamiento sea una persona física. B) Que el responsable del fichero o del tratamiento garantice que únicamente él tiene acceso y trata los datos personales. La concurrencia de las dos circunstancias a las que se refiere el apartado anterior deberá hacerse constar expresamente en el documento de seguridad.


Telecomunicaciones

Tal y como establece el artículo 104 del Real Decreto 1720/2007, en aquellos ficheros que requieran de un nivel de seguridad alto, la transmisión de los datos de carácter personal a través de redes de comunicaciones electrónicas debe realizarse de manera que la información no pueda ser inteligible ni manipulada por terceros cumpliendo con los siguientes requisitos:

- Cuando, conforme al artículo 81.3 deban implantarse las medidas de seguridad de nivel alto, la transmisión de datos de carácter personal a través de redes públicas o redes inalámbricas de comunicaciones electrónicas se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros.



Copyright | Cuidatusdatos © 2008.Todos los derechos resevados.

» ¿Que es la protección de datos? | » ¿Que es la Lopd? | » ¿que son los datos de carácter personal? | » ¿Que es la Agencia de Protección de Datos? |» ¿Que son los derechos Arco? | » ¿Que es un fichero? | » ¿Que es un tratamiento de datos? | » ¿Quien debe cumplir con la Lopd? | » ¿quien es el responsable del fichero? | » ¿quien es el encargado del tratamiento? | » ¿Que son las fuentes accesibles al público? | » ¿Que hay que hacer para cumplir la Lopd? | » ¿Cómo se rellena el formulario NOTA?