Ambito de Aplicación
  Definiciones LOPD
  Derechos
  Evolución
  Funcionalidad Finalidad
  Inscripcion de Ficheros
  Legislación
  Niveles Seguridad
  Consentimiento y Deber
  Sanciones
  Buscar Ficheros Inscritos
 
Protección de Datos

El RLOPD, en el artículo 80, establece tres niveles de seguridad atendiendo a la naturaleza de la información tratada en relación con la mayor o menor necesidad de garantizar la confidencialidad y la integridad de ésta.

Los niveles establecidos son tres:

  • Básico
  • Medio
  • Alto

Aplicación de los niveles de seguridad (Artículo 81 RLOPD)

  • Básico: Todos los ficheros o tratamientos de datos de carácter personal deben adoptar las medidas de seguridad de nivel básico. Por tanto, afecta a cualquier empresa, profesional o entidad que tenga ficheros con datos de carácter personales.
  • Medio: Además, deberán aplicarse las de nivel medio a los siguientes ficheros o tratamientos:
    • Los relativos a la comisión de infracciones administrativas o penales
    • Los relativos a la prestación de servicios de solvencia patrimonial y crédito.
    • Aquellos de los que sean responsables Administraciones tributarias y se relacionen con el ejercicio de sus potestades tributarias.
    • Aquellos de los que sean responsables las entidades financieras para finalidades relacionadas con la prestación de servicios financieros.
    • Aquellos de los que sean responsables las Entidades Gestoras y Servicios Comunes de la Seguridad Social y se relacionen con el ejercicio de sus competencias. Y aquellos de los que sean responsables las mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social.
    • Aquellos que contengan un conjunto de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o comportamiento de los mismos.

  • Nivel alto: Además, deberán aplicarse las de nivel alto a los siguientes ficheros o tratamientos:
    • Los que se refieran a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual.
    • Los que contengan o se refieran a datos recabados para fines policiales sin consentimiento de las personas afectadas.
    • Aquellos que contengan datos derivados de violencia de género.
Excepciones

En el caso de ficheros o tratamientos de datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual bastará la implantación de las medidas de seguridad de nivel básico, en los siguientes casos:

  • Los datos se utilicen con la única finalidad de realizar una transferencia dineraria a entidades de las que los afectados sean asociados o miembros.
  • Se trate de ficheros o tratamientos no automatizados en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad.
  • Ficheros o tratamientos que contengan datos relativos a la salud, referentes exclusivamente al grado de discapacidad o la simple declaración de la condición de discapacidad o invalidez del afectado, con motivo del cumplimiento de deberes públicos.
Caso particular

A los ficheros de los que son responsables los operadores que presten servicios de comunicaciones electrónicas disponibles al público, o exploten redes públicas de comunicaciones electrónicas respecto a los datos de tráfico y a los de localización, se aplicarán las medidas de nivel básico, medio y la medida de seguridad de nivel alto que consiste en el registro de accesos.

Se contempla la posibilidad de segregar un fichero o tratamiento del resto de los que se incluyen en un sistema de información, cuando éste requiera un nivel de medidas de seguridad diferente al del sistema principal. Se aplicará el nivel de medidas de seguridad correspondiente en cada caso. La segregación se podrá realizar siempre que puedan delimitarse los datos afectados, los usuarios con acceso a los mismos y se haga constar en el documento de seguridad.

El encargado del tratamiento (Artículo 82 RLOPD)

  • Si el encargado del tratamiento accede a los datos en los locales del responsable del fichero o tratamiento debe hacerse constar en el documento de seguridad del responsable y debe existir un compromiso del personal del encargado del tratamiento de cumplimiento de las medidas de seguridad del mencionado documento.
  • Si el encargado del tratamiento accede a los datos vía remota y se le prohíbe incorporar tales datos a soportes o sistemas diferentes de los del responsable, éste debe hacerlo constar en su documento de seguridad. Debe existir un compromiso del personal del encargado del tratamiento de cumplimiento de las medidas de seguridad del mencionado documento.
  • Si el encargado del tratamiento accede a los datos en sus propios locales, debe elaborar un documento de seguridad, o completar el que ya tuviere, identificando el fichero o tratamiento, el responsable del mismo, e incorporando las medidas de seguridad a implantar en relación con dicho tratamiento.

Prestaciones de servicios sin acceso a datos personales (Artículo 83 RLOPD)

  • El responsable del fichero o tratamiento debe establecer medidas para limitar el acceso del personal que realiza trabajos que no implican tratamiento de datos personales, soportes o recursos que los contengan.
  • Si el personal es ajeno, el contrato de prestación de servicios con el proveedor debe recoger expresamente que se prohíbe el acceso a datos y la obligación de secreto respecto a los datos que el personal hubiera podido conocer al prestar el servicio.

Delegación de autorizaciones (Artículo 84 RLOPD)

  • El responsable del fichero puede delegar en determinadas personas las autorizaciones que se le atribuyen, aunque ello no supone delegación de responsabilidad, que siempre será del responsable del fichero.
  • En el documento de seguridad deben constar las personas habilitadas a autorizar y las personas en las que recae la delegación.

Acceso a datos a través de redes de telecomunicaciones (Artículo 85 RLOPD)

En el acceso a datos a través de redes de telecomunicaciones, sean o no públicas, se debe garantizar un nivel de seguridad equivalente a los accesos en modo local.

Trabajo fuera del local (Artículo 86 RLOPD)

Si los datos se almacenan en dispositivos portátiles o se tratan fuera de los locales del responsable o del encargado, es necesario que exista una autorización previa del responsable (ésta puede ser para un usuario o para un perfil de usuarios, con periodo de validez y constancia en el documento de seguridad) y se debe garantizar el nivel de seguridad correspondiente al tipo de fichero tratado.

Ficheros temporales o copias de trabajo (Artículo 87 RLOPD)

Los ficheros temporales o copias de trabajo, deben cumplir las medidas de seguridad que les correspondan y deben ser eliminados o destruidos cuando dejen de ser necesarios para los fines que los motivaron.


Aviso legal LOPD