Medidas de seguridad de nivel básico en la LOPD

Medidas de seguridad de nivel básico en la LOPD

El Real Decreto 994/1999 (decreto vigente cuando se elaboró este artículo, pero derogado al entrar en vigor el Real Decreto 1720/2007, de desarrollo de la LOPD) es la norma estatal comprensiva del Reglamento de Medidas de Seguridad de los ficheros automatizados que contengan datos de carácter personal.

Pues bien, dicha norma tiene por objeto establecer las medidas de seguridad no sólo de tipo técnico sino organizativas relativas a los ficheros de datos, pero no sólo a ellos, sino también a los centros de tratamiento, locales, equipos, sistemas, programas y las personas que intervengan en el tratamiento automatizado de los datos.

Por otro lado, se contemplan en esta norma unas cuantas definiciones, que no estaría de más transcribir:

  • Sistemas de información: conjunto de ficheros automatizados, programas, soportes y equipos, empleados para el almacenamiento y tratamiento de datos de carácter personal.

  • Usuario: sujeto o proceso autorizado para acceder a datos o recursos.

  • Recurso: cualquier parte componente de un sistema de información.

  • Accesos autorizados: autorizaciones concedidas a un usuario para la utilización de los diversos recursos.

  • Identificación: procedimiento de reconocimiento de la identidad de un usuario.

  • Autenticación: procedimiento de comprobación de la identidad de un usuario.

  • Control de acceso: mecanismo que en función de la identificación ya autenticada permite acceder a datos o recursos.

  • Contraseña: información confidencial frecuentemente constituida por una cadena de caracteres, que puede ser usada en la autenticación de un usuario.

  • Incidencia: cualquier anomalía que afecte o pudiere afectar a la seguridad de los datos.

  • Soporte: objeto físico susceptible de ser tratado en un sistema de información y sobre el cual se pueden grabar o recuperar datos.

  • Copia de respaldo: copia de los datos de un fichero automatizado en un soporte que facilite su recuperación.

  • Responsable de seguridad: persona o personas a las que el responsable del fichero ha asignado formalmente la función de coordinar y controlar las medidas de seguridad aplicables.

Como bien es sabido, hay tres niveles de seguridad: básico, medio y alto. Pues bien, a qué tipo de fichero se aplica el nivel básico: Pues la norma es bien clara: A TODOS LOS FICHEROS SE APLICAN LAS NORMAS DE SEGURIDAD DEL NIVEL BÁSICO.

A su vez, y antes de entrar en detalle en ellas, hay que comentar que existen unos principios aplicables a todos los niveles de seguridad, y son:

  1. Cada uno de los niveles de seguridad suponen nada más que el mínimo exigible.

  2. Los accesos a través de redes supondrán un nivel de seguridad equivalente al exigido en los accesos en modo local.

  3. El tratamiento de datos fuera del local en el que se ubiquen los ficheros exigirá autorización expresa por parte del responsable del fichero, garantizándose en todo momento el nivel de seguridad que corresponda al tipo de fichero de que se trate.

  4. Incluso los ficheros de tipo temporal habrán de cumplir las medidas de seguridad que les corresponda con arreglo al presente reglamento.

  5. Todo fichero temporal será borrado una vez desaparezca el fin que motivó su creación.

MEDIDAS CONCRETAS EN EL NIVEL BÁSICO

Documento de seguridad: el precepto analizado nos recuerda que el responsable de seguridad será el encargado de elaborar e implantar la normativa de seguridad mediante un documento, que será de obligado cumplimiento para el personal con acceso a los datos de carácter personal y a los sistemas de información.
El documento contendrá, como mínimo, los siguientes aspectos:

  • su ámbito de aplicación, especificándose, detalladamente además, los recursos protegidos.

  • las medidas, normas, procedimientos, reglas y estándares, encaminados a garantizar el nivel de seguridad básico.

  • funciones y obligaciones del personal.

  • estructura de los ficheros y descripción de los sistemas de información que usen en su tratamiento.

  • procedimiento de notificación, gestión y respuesta ante las incidencias.

  • procedimientos de realización de copias de respaldo y de recuperación de datos.

El documento deberá estar actualizado en todo momento, a la vez que deberá ser revisado siempre que se produzcan cambios relevantes en el sistema de información o en la organización del mismo.
Por otro lado, exige la normativa que el documento se adecúe, en todo momento, a las disposiciones vigentes en materia de seguridad de los datos de carácter personal.
Continuará ….

Autor: Javier Hernández Martínez, abogado

Mail: javier@proteccionlegal.com

Web: www.proteccionlegal.com

Tlf.: 678.97.00.64

Se permite su uso y reproducción siempre y cuando se citen: Autor, mail y url, sin modificar su contenido, o en caso de citar parte de él, evitando distorsionar su sentido.

Bajo licencia Creative Commons: