Medidas de seguridad en la protección de datos

Pertenece al Grupo
Incluídos en este Concepto
Documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Libros Relacionados
  • Estado: Redacción actual VIGENTE
  • Orden: Laboral

El principio de seguridad de datos, establecido en la LOPD, impone al responsable del fichero adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado. Estas medidas han sido desarrolladas en el Título VIII del Real Decreto 1720/2007, de 21 de diciembre , por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter persona (arts. 79-84, RDLOPD).

Medidas de seguridad en la protección de datos

El artículo 9 de la LOPD, relativo a seguridad de los datos, establece:

  • "El responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.
  • No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas.
  • Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los ficheros y las personas que intervengan en el tratamiento de los datos a que se refiere el artículo 7 de esta Ley."

Constituye infracción grave, "mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen (art. 44.3 h), LOPD).

Los responsables de los tratamientos o los ficheros y los encargados del tratamiento deberán implantar las medidas de seguridad con arreglo a lo dispuesto en el Título VIII, con independencia de cual sea su sistema de tratamiento (art. 79, RDLOPD).

Continuando con lo mismo, el artículo 80 del RDLOPD, establece las medidas de seguridad exigibles a los ficheros y tratamientos, clasificándolos en tres niveles: básico, medio y alto.

El reglamento de desarrollo de la LOPD ha pretendido regular la materia de modo que contemple las múltiples formas de organización material y personal de la seguridad que se dan en la práctica. Así, se regula un conjunto de medidas destinadas a los ficheros y tratamientos estructurados y no automatizados que ofrezca a los responsables un marco claro de actuación.

APLICACION DE NIVELES

A continuación se indican los ficheros y tratamientos a los que corresponde aplicar las medidas de seguridad relativas a cada uno de los niveles que determina el RLOPD. Ver comentario cuadro resumen de las medidas de seguridad de los ficheros que contengan datos de carácter personal

NIVEL ALTO. Ficheros o tratamientos con datos:

de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual y respecto de los que no se prevea la posibilidad de adoptar el nivel básico; recabados con fines policiales sin consentimiento de las personas afectadas; y derivados de actos de violencia de género.

NIVEL MEDIO. Ficheros o tratamientos con datos:

relativos a la comisión de infracciones administrativas o penales; que se rijan por el artículo 29 de la LOPD (prestación de servicios de solvencia patrimonial y crédito); de Administraciones tributarias, y que se relacionen con el ejercicio de sus potestades tributarias; de entidades financieras para las finalidades relacionadas con la prestación de servicios financieros; de Entidades Gestoras y Servicios Comunes de Seguridad Social, que se relacionen con el ejercicio de sus competencias; de mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social; que ofrezcan una definición de la personalidad y permitan evaluar determinados aspectos de la misma o del comportamiento de las personas; y de los operadores de comunicaciones electrónicas, respecto de los datos de tráfico y localización

NIVEL BÁSICO. Cualquier otro fichero que contenga datos de carácter personal. También aquellos ficheros que contengan datos de ideología, afiliación sindical, religión, creencias, salud, origen racial o vida sexual, cuando:

los datos se utilicen con la única finalidad de realizar una transferencia dineraria a entidades de las que los afectados sean asociados o miembros; se trate de ficheros o tratamientos no automatizados o sean tratamientos manuales de estos tipos de datos de forma incidental o accesoria, que no guarden relación con la finalidad del fichero; y en los ficheros o tratamientos que contengan datos de salud, que se refieran exclusiva-mente al grado o condición de discapacidad o la simple declaración de invalidez, con motivo del cumplimiento de deberes públicos.

MEDIDAS A APLICAR

EL DOCUMENTO DE SEGURIDAD

Es un documento interno de la organización, que debe mantenerse siempre actualizado. Disponer del documento de seguridad es una obligación para todos los responsables de ficheros y, en su caso, para los encargados del tratamiento, con independencia del nivel de seguridad que sea necesario aplicar.

Los apartados mínimos que debe incluir el documento de seguridad son los siguientes:

  • ámbito de aplicación: especificación detallada de los recursos protegidos;
  • medidas, normas, procedimientos, reglas y estándares de seguridad;
  • funciones y obligaciones del personal,
  • estructura y descripción de los ficheros y sistemas de información;
  • procedimiento de notificación, gestión y respuesta ante incidencias;
  • procedimiento de copias de respaldo y recuperación de datos;
  • medidas adoptadas en el transporte, destrucción y/o reutilización de soportes y documentos.

A partir del nivel medio de medidas de seguridad, además de los apartados anteriores, deberán incluirse los siguientes:

  • identificación del responsable de seguridad y
  • control periódico del cumplimiento del documento

En caso de haber contratado la prestación de servicios por terceros para determinados fiche-ros, en el documento de seguridad se debe hacer constar esta circunstancia, indicando una referencia al contrato y su vigencia, así como los ficheros objeto de este tratamiento.

Si se ha contratado la prestación de servicios en relación con la totalidad de los ficheros y tratamientos de datos del responsable, y dichos servicios se prestan en las instalaciones del encargado del tratamiento se podrá delegar en éste la llevanza del documento de seguridad.

No hay versiones para este comentario

Medidas de seguridad
Datos personales
Responsabilidad
Protección de datos
Prestación de servicios
Afiliación sindical
Comisiones
Violencia de género
Falta de consentimiento
Sin consentimiento
Infracciones administrativas
Entidades financieras
Servicios financieros
Mutuas de accidentes
Operadores
Discapacidad