Ambito de Aplicación
  Definiciones LOPD
  Derechos
  Evolución
  Funcionalidad Finalidad
  Inscripcion de Ficheros
  Legislación
  Niveles Seguridad
  Consentimiento y Deber
  Sanciones
  Buscar Ficheros Inscritos
 
Protección de Datos

Funcionalidad y finalidad del documento de seguridad
Una vez hemos determinado qué tipo de datos personales tratamos y dentro de qué nivel (básico, medio y alto) se incluyen, hemos de adoptar las medidas de seguridad.

Podría darse el caso de que en una misma empresa los diferentes ficheros que integran su sistema de información deban incorporar medidas de seguridad de distinto nivel en función de los datos que contengan.

Los niveles descritos tienen la condición de mínimos exigibles, sin perjuicio de las disposiciones legales o reglamentarias específicas vigentes.

El documento de seguridad puede ser único e incluir todos los ficheros o tratamientos, o bien individualizado para cada fichero o tratamiento.

Documento de seguridad (Artículo 88 RLOPD)
Como mínimo debe contener:

  • Ámbito de aplicación, con especificación detallada de los recursos protegidos.
  • Medidas, normas, procedimientos de actuación, reglas y estándares encaminados a garantizar el nivel de seguridad aplicable.
  • Funciones y obligaciones del personal en relación al tratamiento de datos.
  • Estructura de los ficheros y descripción de los sistemas de información que los tratan.
  • Procedimiento de notificación, gestión y respuesta ante incidencias.
  • Procedimientos de realización de copias de respaldo y de recuperación.
  • Medidas a adoptar en el transporte de soportes y documentos, destrucción o reutilización.

Deben incluirse los ficheros o tratamientos que se traten en concepto de encargado del tratamiento, identificando al responsable, periodo de vigencia del encargo y referencia al contrato que regule las condiciones del encargo.

Si el fichero o datos objeto de tratamiento se incorporan en los sistemas de tratamiento del encargado de forma exclusiva, el responsable debe anotarlo en su documento de seguridad. Se puede delegar la llevanza del documento de seguridad en el encargado del tratamiento, haciéndolo constar de forma expresa en un contrato.

El documento de seguridad debe actualizarse y revisarse.
Para el nivel medio o alto, el documento de seguridad debe incluir además:

  • La identificación del responsable/s de seguridad.
  • Los controles periódicos para verificar su cumplimiento.

Medidas de seguridad aplicables a ficheros y tratamientos automatizados (Artículos 89 a 104 RLOPD)

Nivel básico

Funciones y obligaciones del personal

  • Las funciones y obligaciones de cada uno de los usuarios o perfiles de usuarios con acceso a los datos de carácter personal y a los sistemas de información estarán claramente definidas y documentadas en el documento de seguridad.
  • También se definirán las funciones de control o autorizaciones delegadas por el responsable del fichero.
  • El responsable del fichero deberá adoptar las medidas necesarias para que el personal conozca, de forma comprensible, las normas de seguridad que afecten a sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento.

Registro de incidencias

Deberá existir un procedimiento de notificación y gestión de incidencias. Se deberá hacer constar:

  • Tipo de incidencia.
  • Momento en que se ha producido.
  • Persona que realiza la notificación.
  • A quién se le comunica.
  • Efectos derivados de la misma.
  • Medidas correctoras aplicadas.

Control de acceso

  • Los usuarios tendrán acceso únicamente a aquellos datos y recursos que precisen para el desarrollo de sus funciones.
  • El responsable del fichero se encargará de que exista una relación actualizada de usuarios y perfiles de usuarios, y los accesos autorizados para cada uno de ellos.
  • El responsable del fichero establecerá mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados.
  • Exclusivamente el personal autorizado para ello en el documento de seguridad podrá conceder, alterar o anular el acceso autorizado sobre los recursos, conforme a los criterios establecidos por el responsable del fichero.
  • En caso de que exista personal ajeno al responsable del fichero que tenga acceso a los recursos deberá estar sometido a las mismas condiciones y obligaciones de seguridad que el personal propio.

Gestión de soportes y documentos

  • Los soportes y documentos que contengan datos de carácter personal deberán permitir identificar el tipo de información que contienen, ser inventariados y solo deberán ser accesibles por el personal autorizado para ello en el documento de seguridad.
  • Se exceptúa la obligación del párrafo anterior cuando las características físicas del soporte imposibiliten su cumplimiento, quedando constancia de ello en el documento de seguridad.
  • La salida de soportes y documentos que contengan datos de carácter personal, incluidos los comprendidos y/o anexos a un correo electrónico, fuera de los locales bajo el control del responsable del fichero o tratamiento deberá ser autorizada por el responsable del fichero o encontrarse debidamente autorizada en el documento de seguridad.
  • En el traslado de la documentación se adoptarán las medidas dirigidas a evitar la sustracción, pérdida o acceso indebido a la información durante su transporte.
  • Siempre que vaya a desecharse cualquier documento o soporte que contenga datos de carácter personal deberá procederse a su destrucción o borrado previo, mediante la adopción de medidas dirigidas a evitar el acceso a la información contenida en el mismo o su recuperación posterior.
  • La identificación de los soportes que contengan datos de carácter personal que la organización considere especialmente sensibles, se podrá realizar utilizando sistemas de etiquetado comprensibles y con significado, que permitan a los usuarios con acceso autorizado identificar su contenido pero que dificulten la identificación al resto.

Identificación y autenticación

  • El responsable del fichero deberá adoptar las medidas que garanticen la correcta identificación y autenticación de los usuarios.
  • El responsable del fichero o tratamiento establecerá los mecanismos que permitan la identificación de forma inequívoca y personalizada de todo usuario que intente acceder al sistema de información y la verificación de que está autorizado.
  • Cuando el mecanismo de autenticación se base en la existencia de contraseñas, existirá un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad.
  • Las contraseñas se cambiarán con la periodicidad que se determine en el documento de seguridad, que en ningún caso será superior a un año y, mientras estén vigentes, se almacenarán de forma ininteligible.

Copias de respaldo y recuperación

  • Deberán establecerse procedimientos de actuación para la realización de copias de respaldo, al menos semanalmente, salvo que en dicho periodo no se hubiera producido ninguna actualización de los datos.
  • Se establecerán procedimientos para la recuperación de los datos que garanticen su reconstrucción en el estado en que se encontraban en el momento de producirse la pérdida o destrucción.
  • Únicamente en el caso de que la pérdida de datos afectase a ficheros o tratamientos parcialmente automatizados, y siempre que la existencia de documentación permita garantizar la reconstrucción en el estado en que se encontraban en el momento de producirse la pérdida o destrucción, se deberá proceder a grabar manualmente los datos quedando constancia motivada de este hecho en el documento de seguridad.
  • El responsable del fichero se encargará, cada 6 meses, de verificar el correcto procedimiento de las copias de respaldo y de recuperación.
  • Las pruebas anteriores a la implantación o modificación de los sistemas de información que traten ficheros con datos de carácter personal no se realizarán con datos reales, salvo que se asegure el nivel de seguridad correspondiente al tipo de fichero tratado.
  • Si está previsto realizar pruebas con datos reales, previamente deberá haberse realizado una copia de seguridad.
Nivel básico

Responsable seguridad

  • Deberán designarse uno o varios responsables de seguridad.
  • Deberá constar claramente en el documento de seguridad para qué ficheros están designados los responsables de seguridad.
  • En ningún caso ésta designación exonera de responsabilidad al responsable del fichero o al encargado del tratamiento.

Auditoría

  • Los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se someterán, al menos cada 2 años, a una auditoría interna o externa que verifique el cumplimiento de las medidas de seguridad.
  • Con carácter extraordinario deberá realizarse dicha auditoría siempre que se realicen modificaciones sustanciales en los sistemas de información. Esta auditoría inicia el cómputo de 2 años establecido en el párrafo anterior.
  • El informe de auditoría deberá dictaminar sobre la adecuación de las medidas y controles a la Ley y su desarrollo reglamentario, identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias. Deberá, igualmente, incluir los datos, hechos y observaciones en que se basen los dictámenes alcanzados y recomendaciones propuestas.
  • Los informes de auditoría serán analizados por el responsable de seguridad competente, que elevará las conclusiones al responsable del fichero o tratamiento para que adopte las medidas correctoras adecuadas y quedarán a disposición de la Agencia Española de Protección de Datos, o en su caso, la correspondiente agencia autonómica.

Gestión de soportes

  • Deberá establecerse un sistema de registro de entrada de soportes informáticos que permita, directa o indirectamente, conocer el tipo de soporte, la fecha y hora, el emisor, el número de documentos o soportes incluidos en el envío, el tipo de información que contienen, la forma de envío y la persona responsable de la recepción que deberá estar debidamente autorizada.
  • Igualmente, se dispondrá de un sistema de registro de salida de soportes informáticos que permita, directa o indirectamente, conocer el tipo de soporte, la fecha y hora, el destinatario, el número de soportes, el tipo de información que contienen, la forma de envío y la persona responsable de la entrega que deberá estar debidamente autorizada.

Identificación y autenticación

El responsable del fichero o tratamiento establecerá un mecanismo que limite la posibilidad de intentar, reiteradamente, el acceso no autorizado al sistema de información.

Control de acceso físico

Exclusivamente el personal autorizado en el documento de seguridad podrá tener acceso a los lugares donde se hallen instalados los equipos físicos que den soporte a los sistemas de información.

Registro de incidencias

  • En el registro de incidencias se constatarán, además, los procedimientos de recuperación de datos.
  • Será necesaria, para la recuperación de datos, la autorización del responsable del fichero.
Nivel alto

Gestión y distribución de soportes informáticos

  • La identificación de los soportes se deberá realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado identificar su contenido, y que dificulten la identificación al resto.
  • La distribución de soportes que contengan datos personales se realizará cifrando dichos datos o bien mediante otro mecanismo que garantice que dicha información no sea accesible o manipulada durante su transporte.
  • Se cifrarán los datos que contengan los dispositivos portátiles cuando éstos se encuentren fuera de las instalaciones que están bajo control del responsable del fichero.
  • Deberá evitarse el tratamiento de datos personales en dispositivos portátiles que no permitan su cifrado. Si es estrictamente necesario, se hará constar motivadamente en el documento de seguridad.

Copias de respaldo y recuperación

Deberá conservarse una copia de respaldo de los datos y de los procedimientos de recuperación de los mismos en un lugar diferente de aquel en el que se encuentren los equipos informáticos que los tratan, que deberá cumplir en todo caso con las medidas de seguridad exigibles.

Registro de accesos

  • De cada intento de acceso se guardarán, como mínimo:
    • La identificación del usuario.
    • La fecha.
    • La hora.
    • El fichero accedido.
    • El tipo de acceso.
    • Si ha sido autorizado o denegado.

  • Si el acceso ha sido autorizado, deberá guardarse la información que permita identificar el registro accedido. El periodo de conservación de los datos registrados será de 2 años.
  • El responsable de seguridad controlará la información registrada y elaborará un informe de las revisiones realizadas y los problemas detectados.
  • No será necesario el registro de accesos cuando:
    • El responsable del fichero o del tratamiento sea una persona física.
    • El responsable del fichero o del tratamiento garantice que únicamente él tiene acceso y trata los datos personales.

La concurrencia de estas 2 circunstancias constará en el documento de seguridad.

Telecomunicaciones

La transmisión de datos personales de nivel alto a través de redes públicas o redes inalámbricas de comunicaciones electrónicas se realizará cifrando dichos datos, o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros.

MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS NO AUTOMATIZADOS (Artículos 105 a 114 RLOPD)

Nivel básico

Se aplica lo explicado anteriormente bajo los títulos alcance, niveles de seguridad, encargado del tratamiento, prestaciones de servicios sin acceso a datos personales, delegación de autorizaciones, trabajo fuera de los locales, copias de trabajo, documento de seguridad, funciones y obligaciones del personal, registro de incidencias (nivel básico), control de acceso ( nivel básico) y gestión de soportes ( nivel básico).

Criterios de archivo de soportes o documentos

  • Se deben aplicar los criterios previstos en la respectiva legislación. En el caso de que no exista normativa aplicable, el responsable del fichero debe establecer los criterios para el archivo.
  • Se debe garantizar la correcta conservación de los documentos, localización, consulta y posibilitar el ejercicio de los derechos.

Dispositivos de almacenamiento

Los dispositivos de almacenamiento de los documentos que contengan datos de carácter personal deben disponer de mecanismos que obstaculicen su apertura. Si no permiten adoptar esta medida por sus características físicas, el responsable del fichero o tratamiento debe adoptar las medidas que impidan el acceso de personas no autorizadas.

Custodia de soportes

Cuando la documentación esté en procedimiento de revisión o tramitación, ya sea con carácter previo o posterior a su archivo, la persona que se encuentre al cargo de la misma debe custodiarla e impedir en todo momento que pueda acceder a ella cualquier persona no autorizada.

Nivel medio

Responsable de seguridad

Se pueden designar uno o varios responsables de seguridad.

Auditoria

Obligación de realizar auditoría interna o externa de los ficheros no automatizados cada dos años, en la que se verifiquen el cumplimiento de las medidas de seguridad exigidas para los ficheros y tratamientos no automatizados.

Nivel alto

Almacenamiento de la información

  • Los armarios, archivadores u otros elementos en los que se almacenen los ficheros no automatizados con datos de carácter personal, deben encontrarse en áreas en las que el acceso esté protegido con puertas de acceso dotadas de sistemas de apertura mediante llave u otro dispositivo equivalente. Las áreas han de permanecer cerradas cuando no sea preciso el acceso a los documentos.
  • Ante la imposibilidad de aplicar estas medidas, el responsable del fichero adoptará las medidas alternativas que, debidamente motivadas, se incluirán en el documento de seguridad.

Copia o reproducción

  • Sólo pueden realizarse copias o reproducciones de los documentos bajo el control de personal autorizado en el documento de seguridad.
  • Las copias o reproducciones desechadas deben destruirse, evitando el acceso a la información contenida en las mismas o su recuperación posterior.

Acceso a la documentación

  • El acceso a la documentación sólo puede realizarse por personal autorizado.
  • Para documentos que puedan ser utilizados por más de un usuario se deben establecer mecanismos que permitan identificar los accesos realizados.

Traslado de la documentación

En el traslado físico de documentación deben adoptarse las medidas necesarias para impedir el acceso o manipulación de la información objeto de traslado.


Aviso legal LOPD