InicioLa Ley de protección de datosEl reglamentoLa AgenciaTus derechosTus obligacionesInfracciones y sanciones

Tus obligaciones:

La notificación e inscripción de ficheros

Los principios de la protección de datos

Las medidas de seguridad

El ejercicio de los derechos arco

La transferencia internacional de datos

Colaboración con la Agencia

Las medidas de seguridad:

El Documento de Seguridad

Los niveles de seguridad

Medidas de seguridad en ficheros automatizados

Medidas de seguridad en ficheros no automatizados

General:

Inicio

Preguntas frecuentes

Enlaces y descargas

Aviso legal

Contacto

Copyright © 2008

Aviso. El contenido de esta web tiene un carácter meramente informativo, podría estar incompleto y carece de validez jurídica alguna. El uso que se haga del contenido de esta web es responsabilidad exclusiva del usuario.

Introducción

Las medidas de seguridad aplicables en los » ficheros no automatizados se encuentran reguladas en los artículos 105 a 114 del reglamento que desarrolla la Ley Orgánica de Protección de Datos (Real Decreto 1720/2007) y son las siguientes:

  Medidas de seguridad   Nivel Basico  Nivel Medio  Nivel Alto 
» Funciones y obligaciones del personal  Si  Si  Si 
» Registro de incidencias  Si  Si  Si 
» Control de acceso  Si  Si  Si 
» Gestión de soportes y documentos  Si  Si  Si 
» Criterios de archivo   Si  Si  Si 
» Dispositivos de almacenamiento  Si  Si  Si 
» Custodia de los soportes  Si  Si  Si 
» Responsable de seguridad  ------   Si  Si 
» Auditoria  ------   Si  Si 
10  » Almacenamiento de la información  ------   ------   Si 
11  » Copia o reproducción  ------   ------   Si 
12  » Acceso a la documentación  ------   ------   Si 
13  » Traslado de la documentación  ------   ------   Si 
  • Nivel básico: Las medidas correspondientes al nivel básico (1-6) se aplican a todos los ficheros.» [+info]
  • Nivel medio: Las medidas del nivel básico más las de nivel medio (1-9) se aplican a aquellos ficheros que requieren de un nivel medio de seguridad. » [+info]
  • Nivel alto: Todas las medidas de seguridad (1-13) se aplican a aquellos ficheros que requieren de un nivel alto de seguridad.» [+Info]

Funciones y obligaciones del personal

Tal y como establece el artículo 89 del Real Decreto 1720/2007, en el » "documento de seguridad" de los ficheros no automatizados se deben definir claramente cuales son las funciones y obligaciones del personal que tenga acceso a los datos de carácter personal en los siguientes términos:

1. Las funciones y obligaciones de cada uno de los usuarios o perfiles de usuarios con acceso a los datos de carácter personal y a los sistemas de información estarán claramente definidas y documentadas en el documento de seguridad. También se definirán las funciones de control o autorizaciones delegadas por el responsable del fichero o tratamiento.

2. El responsable del fichero o tratamiento adoptará las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento


Registro de incidencias

Tal y como estable el artículo 90 del Real Decreto 1720/2007, todo fichero no automatizado deberá contar con un registro de incidencias en el que se hará constar cualquier anomalía que afecte o pudiera afectar a la seguridad de los datos de carácter personal en los siguientes términos:

- Deberá existir un procedimiento de notificación y gestión de las incidencias que afecten a los datos de carácter personal y establecer un registro en el que se haga constar el tipo de incidencia, el momento en que se ha producido, o en su caso, detectado, la persona que realiza la notificación, a quién se le comunica, los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas.


Control de acceso

Tal y como establece el artículo 91 del Real Decreto 1720/2007, en todos los ficheros no automatizados se debe implantar un mecanismo que controle el acceso de los usuarios a los datos de carácter personal en los siguientes términos:

1. Los usuarios tendrán acceso únicamente a aquellos recursos que precisen para el desarrollo de sus funciones.

2. El responsable del fichero se encargará de que exista una relación actualizada de usuarios y perfiles de usuarios, y los accesos autorizados para cada uno de ellos.

3. El responsable del fichero establecerá mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados.

4. Exclusivamente el personal autorizado para ello en el documento de seguridad podrá conceder, alterar o anular el acceso autorizado sobre los recursos, conforme a los criterios establecidos por el responsable del fichero.

5. En caso de que exista personal ajeno al responsable del fichero que tenga acceso a los recursos deberá estar sometido a las mismas condiciones y obligaciones de seguridad que el personal propio.


Gestion de soportes y documentos

Tal y como establece el artículo 92 del Real Decreto 1720/2007, en todos los ficheros no automatizados la gestión de los soportes y documentos que contengan datos de carácter personal se debe llevar a cabo de la siguiente manera:

1. Los soportes y documentos que contengan datos de carácter personal deberán permitir identificar el tipo de información que contienen, ser inventariados y solo deberán ser accesibles por el personal autorizado para ello en el documento de seguridad. Se exceptúan estas obligaciones cuando las características físicas del soporte imposibiliten su cumplimiento, quedando constancia motivada de ello en el documento de seguridad.

2. La salida de soportes y documentos que contengan datos de carácter personal, incluidos los comprendidos y/o anejos a un correo electrónico, fuera de los locales bajo el control del responsable del fichero o tratamiento deberá ser autorizada por el responsable del fichero o encontrarse debidamente autorizada en el documento de seguridad.

3. En el traslado de la documentación se adoptarán las medidas dirigidas a evitar la sustracción, pérdida o acceso indebido a la información durante su transporte.

4. Siempre que vaya a desecharse cualquier documento o soporte que contenga datos de carácter personal deberá procederse a su destrucción o borrado, mediante la adopción de medidas dirigidas a evitar el acceso a la información contenida en el mismo o su recuperación posterior.

5. La identificación de los soportes que contengan datos de carácter personal que la organización considerase especialmente sensibles se podrá realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido, y que dificulten la identificación para el resto de personas.


Criterios de archivo

Tal y como establece el artículo 106 del Real Decreto 1720/2007, en todos los ficheros no automatizados , el archivo de los soportes o documentos que contengan datos de carácter personal debe realizarse bajo criterios que garanticen la correcta conservación de los documentos, que faciliten la localización y consulta de la información y que posibiliten al ciudadano el ejercicio de sus derechos Arco (oposición, acceso, rectificación y cancelación) en los siguientes términos:

- El archivo de los soportes o documentos se realizará de acuerdo con los criterios previstos en su respectiva legislación. Estos criterios deberán garantizar la correcta conservación de los documentos, la localización y consulta de la información y posibilitar el ejercicio de los derechos de oposición al tratamiento, acceso, rectificación y cancelación.

- En aquellos casos en los que no exista norma aplicable, el responsable del fichero deberá establecer los criterios y procedimientos de actuación que deban seguirse para el archivo.


Dispositivos de almacenamiento

Tal y como establece el artículo 107 del Real Decreto 1720/2007, en todos los ficheros no automatizados, el responsable del fichero debe adoptar medidas que impidan el acceso de personas no autorizadas a los dispositivos que contengan datos de carácter personal en los siguientes términos:

- Los dispositivos de almacenamiento de los documentos que contengan datos de carácter personal deberán disponer de mecanismos que obstaculicen su apertura. Cuando las características físicas de aquéllos no permitan adoptar esta medida, el responsable del fichero o tratamiento adoptará medidas que impidan el acceso de personas no autorizadas.


Custodia de los soportes

Tal y como establece el artículo 108 del Real Decreto 1720/2007, aplicable en todos los ficheros no automatizados, mientras la documentación que contiene datos de carácter personal no se encuentre archivada en el lugar adecuado, la persona que se encuentre al cargo de la misma deberá custodiarla e impedir en todo momento que pueda ser accedida por persona no autorizada en los siguientes términos:

- Mientras la documentación con datos de carácter personal no se encuentre archivada en los dispositivos de almacenamiento establecidos en el artículo anterior, por estar en proceso de revisión o tramitación, ya sea previo o posterior a su archivo, la persona que se encuentre al cargo de la misma deberá custodiarla e impedir en todo momento que pueda ser accedida por persona no autorizada.


Responsable de seguridad

Tal y como establece el artículo 109 del Real Decreto 1720/2007, cuando se trate de ficheros no automatizados que requieran de un nivel de seguridad medio o alto, se designará uno o varios responsables de seguridad en los términos y con las funciones previstas en el artículo 95 de este reglamento, según el cual:

- En el documento de seguridad deberán designarse uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en el mismo. Esta designación puede ser única para todos los ficheros o tratamientos de datos de carácter personal o diferenciada según los sistemas de tratamiento utilizados, circunstancia que deberá hacerse constar claramente en el documento de seguridad.

- En ningún caso esta designación supone una exoneración de la responsabilidad que corresponde al responsable del fichero o al encargado del tratamiento de acuerdo con este reglamento.


Auditoria

Tal y como establece el artículo 110 del Real Decreto 1720/2007, los ficheros no automatizados que requieran de un nivel de seguridad medio o alto, se someterán, al menos cada dos años, a una auditoría interna o externa que verifique el cumplimiento de lo dispuesto en el Título VIII del Real Decreto 1720/2007.

- Los ficheros comprendidos en la presente sección se someterán, al menos cada dos años, a una auditoría interna o externa que verifique el cumplimiento del presente título.


Almacenamiento de la información

Tal y como establece el artículo 111 del Real Decreto 1720/2007, en aquellos ficheros no automatizados que requieran de un nivel alto de seguridad, la información debe ser almacenada cumpliendo con los siguientes requisitos:

1. Los armarios, archivadores u otros elementos en los que se almacenen los ficheros no automatizados con datos de carácter personal deberán encontrarse en áreas en las que el acceso esté protegido con puertas de acceso dotadas de sistemas de apertura mediante llave u otro dispositivo equivalente. Dichas áreas deberán permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en el fichero.

2. Si, atendidas las características de los locales de que dispusiera el responsable del fichero o tratamiento, no fuera posible cumplir lo establecido en el apartado anterior, el responsable adoptará medidas alternativas que, debidamente motivadas, se incluirán en el documento de seguridad.


Copia o reproducción

Tal y como establece el artículo 112 del Real Decreto 1720/2007, cuando se trate de ficheros no automatizados que requieran de un nivel alto de seguridad, la generación de copias o la reproducción de los documentos que contengan datos de carácter personal únicamente podrá ser realizada en los siguientes términos:

1. La generación de copias o la reproducción de los documentos únicamente podrá ser realizada bajo el control del personal autorizado en el documento de seguridad.

2. Deberá procederse a la destrucción de las copias o reproducciones desechadas de forma que se evite el acceso a la información contenida en las mismas o su recuperación posterior


Acceso a la documentación

Tal y como establece el artículo 113 del Real Decreto 1720/2007, cuando el tratamiento de los datos personales se realice a través de ficheros no automatizados que requieran de un nivel alto de seguridad, el acceso a la documentación deberá realizarse cumpliendo con los siguientes requisitos:

1. El acceso a la documentación se limitará exclusivamente al personal autorizado.

2. Se establecerán mecanismos que permitan identificar los accesos realizados en el caso de documentos que puedan ser utilizados por múltiples usuarios.

3. El acceso de personas no incluidas en el párrafo anterior deberá quedar adecuadamente registrado de acuerdo con el procedimiento establecido al efecto en el documento de seguridad.


Traslado de la documentación

Tal y como establece el artículo 114 del Real Decreto 1720/2007, cuando se trate de ficheros no automatizados que requieran de un nivel alto de seguridad, el traslado físico de la documentación debe realizarse de manera que no se pueda acceder o manipular la información durante el traslado en los siguientes términos:

- Siempre que se proceda al traslado físico de la documentación contenida en un fichero, deberán adoptarse medidas dirigidas a impedir el acceso o manipulación de la información objeto de traslado.



Copyright | Cuidatusdatos © 2008.Todos los derechos resevados.

» ¿Que es la protección de datos? | » ¿Que es la Lopd? | » ¿que son los datos de carácter personal? | » ¿Que es la Agencia de Protección de Datos? |» ¿Que son los derechos Arco? | » ¿Que es un fichero? | » ¿Que es un tratamiento de datos? | » ¿Quien debe cumplir con la Lopd? | » ¿quien es el responsable del fichero? | » ¿quien es el encargado del tratamiento? | » ¿Que son las fuentes accesibles al público? | » ¿Que hay que hacer para cumplir la Lopd? | » ¿Cómo se rellena el formulario NOTA?