LOPD | Seguridad en Ficheros Automáticos
noralemilenio
Publicado el
Publicado en LOPD | Seguridad en Ficheros Automáticos
Etiquetado con LOPD | Seguridad en Ficheros Automáticos
En las medidas de seguridad aplicables en los ficheros automáticos se encuentran reguladas en los artículos 89 a 104 del reglamento que desarrolla la Ley Orgánica de Protección de Datos.
NIVELES DE SEGURIDAD
NIVEL BÁSICO:
Se aplicará entre otros, a los ficheros que solo contengan datos identificativos y a todos los niveles Medio y Alto.
Ejemplos: nombre, domicilio, teléfono, DNI, número de afiliación a la seguridad social, fotografía, firmas, correos electrónicos, datos bancarios, edad, fecha de nacimiento, sexo, nacionalidad, etc.
NIVEL MEDIO:
Se aplicará esta protección, entre otros, a los ficheros que contengan datos relativos a solvencia patrimonial, operaciones financieras y de crédito.
Ejemplos: datos de personalidad, hábitos de consumo, hábitos de carácter, datos seguridad social, solvencia patrimonial y crédito, antecedentes penales, sanciones administrativas, pruebas psicotécnicas, currículos, etc.
NIVEL ALTO:
Son las que se aplican a los ficheros que contienen datos especialmente protegidos como los relativos a ideología, afiliación sindical y política, religión y creencias, origen racial, salud, alimentación, bajas laborales, vida y práctica sexual, etc.
NORMAS DE SEGURIDAD
Las Normas y Controles relativos al uso de los Sistemas de Información, afectarán al uso y mantenimiento de los Recursos disponibles en los Sistemas de Información, mediante los cuales se puede tener acceso a Datos de Carácter Personal.
NORMAS DE SEGURIDAD GENERALES
- Estará disponible un Registro de Usuarios Autorizados para utilizar los Ficheros existentes en los Sistemas de Información.
- Es obligación de los usuarios de los Sistemas de Información cumplir la normativa vigente y lo dispuesto en el Documento de Seguridad.
- Todos los Usuarios Autorizados, dispondrán de un Código De Usuario particular asociado a una Contraseña que sólo conoce el Usuario. El código de usuario y la contraseña serán absolutamente personales e intransferibles.
- Se prohíbe la instalación, por parte de los usuarios, de cualquier aplicación o producto informático en los Sistemas de Información, sin la autorización expresa del Responsable de Seguridad.
- No se permite la utilización de recursos de los Sistemas de Información con fines privados o con cualquier otro fin diferente a los estrictamente laborales, sin la correspondiente autorización del Responsable del Fichero.
- Se prohíbe la conexión a redes externas (Internet y servicios similares) desde equipos que contengan o tengan acceso a Datos Personales, sin la autorización previa del Responsable del Fichero, salvo que estén implementadas medidas técnicas que garanticen la seguridad de dicha conexión.
TODO RESPONSABLE DE FICHERO DEBE CUMPLIR LOS SIGUIENTES REQUISITOS, SEGÚN EL NIVEL DE DATOS:
NIVEL DE DATOS BÁSICO:
- Disponer del Documento de Seguridad donde se deberá reflejar:
- El ámbito de aplicación
- Las medidas, normas, procedimientos y estándares de seguridad.
- Funciones y obligaciones del personal.
- Estructura y descripción de ficheros y sistemas de información.
- Procedimiento de notificación, gestión y respuesta ante incidencias.
- Procedimiento de realización de Copias de Respaldo y recuperación de datos.
- Definir y establecer las funciones y obligaciones del personal de la empresa.
- Habilitar y gestionar el registro de incidencias a disposición de todos los usuarios, con el fin de que registren las anomalías que se pudieran presentar con respecto a la seguridad de los datos.
- Establecer procedimientos de asignación y gestión de contraseñas así como los periodos en que se modificarán. Las contraseñas estarán almacenadas con un formato ininteligible.
- Mantener una relación actualizada de usuarios y los accesos autorizados de cada uno de ellos.
- Cada usuario accederá únicamente a los datos y recursos necesarios para el desarrollo de sus funciones. La concesión de permisos será dada por personal autorizado para ello.
- Mantener el Registro de Soportes para identificar, registrar y almacenar todos los Soportes que contengan Datos de Carácter Personal.
- Habilitar el modelo de autorización para Salida de Soportes.
- Establecer procedimientos para realizar Copias de Seguridad de la información que se maneja, de tal forma que se pueda garantizar la reconstrucción de los datos en el estado en que se encontraban en el momento de producirse la pérdida o destrucción de los mismos. Las Copias de Seguridad se deberían hacer, al menos, semanalmente.
- El archivo de los documentos no automatizados debe realizarse según criterios que faciliten su consulta y localización para garantizar el ejercicio de los derechos ARCO.
- Los dispositivos de almacenamiento de ficheros no automatizados, deberán estar dotados de mecanismos que obstaculicen su apertura. Durante la revisión o tramitación de los mismos, la persona a cargo, deberá ser diligente y custodiar la documentación para evitar accesos no autorizados.
NIVEL DE SEGURIDAD MEDIO:
- Además del contenido especificado para el Documento de Seguridad de Nivel Básico, deberá especificarse:
- Identificación del/los Responsable/s de Seguridad.
- Control periódico del cumplimiento del documento.
- Medidas a adoptar en caso de tener que reutilizar o desechar soportes.
- Control de acceso físico a los locales donde se encuentren ubicados los Sistemas de Información.
- Mantener un registro de Entrada y Salida de Soportes.
- Establecer medidas que impidan la recuperación posterior de información de un soporte que vaya a ser desechado o reutilizado.
- Realizar una auditoría cada dos años, interna o externa.
NIVEL DE SEGURIDAD ALTO:
- Además de las medidas establecidas para el nivel medio.
- Proceder al cifrado de datos en la distribución de soportes.
- Mantener Copias de Seguridad en un lugar diferente del que se encuentren los equipos.
- Mantener un registro de usuarios, hora, fichero, tipo de acceso y registro accedido. El control de accesos se deberá mantener al menos durante dos años.
- Realizar transmisiones cifradas de datos.
- Control de accesos autorizados a ficheros no automatizados e identificación de accesos para documentos accesibles por múltiples usuarios.
- Almacenamiento de la documentación no automatizada en áreas (armarios, archivadores…) con acceso protegido con puertas con llave.
- La copia o reproducción de ficheros no automatizados solamente por personal autorizado.
- Se deben establecer medidas adicionales que impidan el acceso o manipulación de los datos durante el traslado de los mismos.
ADEMÁS
- Los accesos a través de redes de telecomunicaciones deben garantizar un nivel de seguridad equivalente al de los accesos en modo local.
- La ejecución de trabajos fuera de los locales del responsable o del encargado del tratamiento debe ser previamente autorizada por el responsable del fichero, constando en el documento de seguridad, y garantizar el nivel de seguridad.
- Los ficheros temporales deberán cumplir el nivel de seguridad correspondiente y serán borrados una vez que hayan dejado de ser necesarios.
- Acceso facilitado a un encargado del tratamiento deberá constar en el documento de seguridad y deberá comprometerse al cumplimiento de las medidas de seguridad previstas.
OBLIGACIONES
RESPONSABLE DE SEGURIDAD
- Coordinar y controlar las Medidas de Seguridad aplicables.
Obligaciones:
- Coordinar y Controlar las Medidas de Seguridad establecidas en el Documento de Seguridad.
- Verificar que los accesos a los Sistemas de Información a través de redes de comunicaciones garantizan un nivel de seguridad equivalente al correspondiente a los accesos en modo local.
- Verificar que se aplican las medidas de seguridad oportunas sobre los ficheros temporales que contengan Datos Personales y que éstos se borran una vez terminada su utilización.
- Comprobar, al menos trimestralmente, conjuntamente con el Administrador del Sistema, la validez de la Lista de Usuarios y las Autorizaciones correspondientes.
- Controlar la existencia y el cumplimiento de los Procedimientos de Control de Acceso.
- Habilitar y gestionar el Registro de Incidencias a disposición de todos los Usuarios.
- Habilitar y gestionar el Registro de Soportes para identificar, registrar y almacenar todos los soportes que contengan Datos Personales en los lugares habilitados para tal fin.
- Gestionar ante el Responsable del Fichero las autorizaciones de salida de soportes que contengan Datos de Carácter Personal.
- Realizar las Copias de Respaldo y Recuperación de los Datos de Carácter Personal. Comprobar trimestralmente los procedimientos aplicados para realizar las Copias de Seguridad.
ADMINISTRADOR
- Persona a la que el Responsable de Fichero ha asignado la función de garantizar la seguridad de los datos que se procesan.
Obligaciones:
- Colaborar con el Responsable de Seguridad en la Implantación y Puesta En Marcha de las Medidas de Seguridad establecidas en el Documento de Seguridad.
- Proponer y desarrollar estándares y procedimientos relacionados con la Seguridad de los Sistemas de Información y los Datos Personales.
- Gestionar los Perfiles de Usuarios de los Sistemas Informáticos y los accesos de cada uno a los Sistemas de Información.
- Dar Soporte a los Usuarios en materia de Seguridad. Implantar equipos, dispositivos y paquetes relacionados con la Seguridad Física y Lógica de los Sistemas Informáticos.
- Controlar y realizar el Seguimiento de la Seguridad Física y Lógica de los Sistemas Informáticos.
USUARIOS
- Personas que participan en alguna fase del tratamiento de los Datos Personales que se encuentran accesibles en los Sistemas de Información.
Obligaciones:
- Confirmar por escrito el Conocimiento y el Compromiso de Cumplimiento de las Normas y Procedimientos establecidos en la Política de Seguridad.
- Utilizar los Datos Personales a los que tenga acceso, en virtud de sus funciones, únicamente para el desempeño de la actividad laboral.
- Guardar el secreto y la confidencialidad de toda la información a la que tenga acceso.
- Cualquier Trabajador que reciba un escrito, fotocopia remitida por correo, tele copia o cualquier otro procedimiento de notificación, en el que una Persona Física comunique su intención de ejercitar los Derechos de Acceso, Rectificación o Cancelación, deberá comunicarlo en el plazo de tiempo más breve posible, máximo de 24 horas, al Responsable de Seguridad o, en su defecto, al Responsable del Fichero.
- Abstenerse de borrar, destruir, dañar, alterar o modificar cualquier información relacionada con Datos Personales contenidos en los Sistemas de Información sin la autorización expresa del Responsable del Fichero, salvo que le haya sido asignada dicha función.
- Abstenerse de realizar copias, transmisiones, comunicaciones o cesiones de cualquier información relacionada con Datos de Carácter Personal contenidos en los Sistemas de Información sin la autorización expresa del Responsable del Fichero, salvo que le haya sido asignada dicha función.
- Los Usuarios están obligados a informar sobre cualquier anomalía, error, imprecisión o fallo que detecten en los Datos contenidos en los Sistemas de Información, comunicando rápidamente la incidencia correspondiente.
- Los Usuarios tienen prohibido el acceso a los Sistemas de Información desde fuera de los locales de la misma, sin la autorización expresa del Responsable del Fichero.
RESUMEN DE OBLIGACIONES POR PARTE DE LA EMPRESA
Inscripción de los ficheros en el Registro General de la Protección de Datos. Artículo 26 LOPD.
- Redacción del documento de seguridad. «El responsable del fichero elaborará e implantará la normativa de seguridad mediante un documento de seguridad de obligado cumplimiento para el personal con acceso a los datos automatizados de carácter personal y a los sistemas de información» R.D 1720/2007.
- Redacción de cláusulas de protección de datos. Artículo 5 LOPD.
- Auditoría. Artículo 110 R.D. 1720/2007.
- Demás medidas de seguridad de índole técnica y organizativas necesarias para garantizar la seguridad de los datos objeto de tratamiento. Artículos 9 y 10 LOPD y R.D. 1720/2007.
- Redacción de los contratos, formularios y cláusulas necesarias para la recogida de datos, los tratamientos por terceros y las cesiones o comunicaciones de datos.