Ficheros o tratamientos AUTOMATIZADOS

Los artículos 89 a 104 del Reglamento de desarrollo de la Ley Orgánica de Protección de Datos se encargan de precisar las medidas de seguridad aplicables a los ficheros o tratamientos de datos que se realicen de forma automatizada. Las medidas de seguridad deben aplicarse en función de los niveles de seguridad que cada fichero o tratamiento exija en función de la sensibilidad de los datos que contenga. Así, se aplicarán las siguientes medidas de nivel básico, medio o alto en la utilización de datos personales a través de soportes automatizados. 

Medidas de seguridad de nivel básico

De las medidas de nivel básico, haremos una breve referencia con respecto a aquéllas que ya fueron analizadas en el post anterior “Medidas de seguridad en el Reglamento de Protección de Datos (II)”.

FUNCIONES Y OBLIGACIONES DEL PERSONAL

El Documento de Seguridad debe contener claramente cuáles son las funciones y obligaciones del personal respecto de los datos a los que tenga acceso.

REGISTRO DE INCIDENCIAS

Debe existir un procedimiento de notificación y gestión de las incidencias que afecten a datos de carácter personal.

CONTROL DE ACCESO

Deben establecerse los mecanismos que limiten el acceso a los datos personales únicamente al personal que cuente con autorización en función de sus obligaciones.

GESTIÓN DE SOPORTES Y DOCUMENTOS

Debe establecerse un sistema de inventariado e identificación de los soportes y documentos que contengan datos de  carácter personal.

IDENTIFICACIÓN Y AUTENTICACIÓN

Debe implantarse un mecanismo que permita la identificación inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información donde se contengan datos personales. En caso de utilizarse contraseñas, el Documento de Seguridad determinará el procedimiento de asignación, distribución y almacenamiento, así como la periodicidad con que deberán ser cambiadas.

COPIAS DE RESPALDO Y RECUPERACION

Debe establecerse un procedimiento para la realización de copias de respaldo y otro de recuperación de datos que garanticen en todo momento la reconstrucción de los datos personales en el estado en el que se encontraban para los supuestos de pérdida o destrucción. El responsable de seguridad debe verificar cada seis meses el correcto funcionamiento y aplicación de estos procedimientos.

Medidas de seguridad de nivel medio

RESPONSABLE DE SEGURIDAD

En el Documento de Seguridad deben designarse uno o varios responsables de seguridad encargados de coordinar y controlar las medidas de seguridad. Esta designación no exonera de su responsabilidad al responsable del fichero o tratamiento.

AUDITORÍA

Los sistemas de almacenamiento y tratamiento de datos deben someterse a una auditoría bienal, realizada externa o internamente, para verificar la adecuación de las medidas de seguridad y controles a la Ley, así como para identificar las posibles deficiencias y proponer las medidas correctoras necesarias.

GESTIÓN DE SOPORTES Y DOCUMENTOS

Deben instaurarse dos registros de soportes, uno de entrada y otro de salida, para permitir el conocimiento de las condiciones en que se produce la salida o entrada de la documentación, así como la identificación de los datos afectados.

IDENTIFICACIÓN Y AUTENTICACIÓN

El responsable del fichero o tratamiento se encargará de implantar un mecanismo de limitación de intentos reiterados de acceso no autorizado.

CONTROL DE ACCESO FÍSICO

Únicamente el personal autorizado podrá tener accedo a los lugares donde se hallen los equipos físicos que den soporte a los sistemas de información.

REGISTRO DE INCIDENCIAS

En el registro de incidencias regulado en las medidas de seguridad de nivel básico deben consignarse los procedimientos de recuperación de datos que hayan sido realizados.

Medidas de seguridad de nivel alto

GESTIÓN Y DISTRIBUCIÓN DE SOPORTES

La identificación de soportes se hará utilizando sistemas de etiquetado que resulten comprensibles para los usuarios autorizados únicamente. La distribución de soportes debe hacerse cifrando los datos personales que contengan o utilizando cualquier otro mecanismo que garantice que la información no será accesible o manipulada durante el traslado.

COPIAS DE RESPALDO Y RECUPERACIÓN

Debe conservarse una copia de respaldo de los datos y de los procedimientos de recuperación en un lugar diferente de aquél en que se encuentren los equipos informáticos que los tratan y que cumpla las medidas de seguridad exigidas en la normativa.

REGISTRO DE ACCESOS

De cada acceso autorizado debe guardarse por un período mínimo de dos años, la información que permita identificar el acceso registrado, salvo que el responsable del fichero o tratamiento sea una persona física y garantice que únicamente él tiene acceso y trata datos personales, constando estas dos circunstancias en el Documento de Seguridad.

TELECOMUNICACIONES

Las transmisión de datos personales con nivel de seguridad alto mediante redes públicas o inalámbricas de comunicaciones electrónicas debe realizarse cifrando los datos o bien utilizando cualquier otro mecanismo que garantice que la información no será inteligible o manipulada por terceros.

MÁS INFORMACIÓN SOBRE EL NUEVO REGLAMENTO 

Si desea más información sobre el nuevo Reglamento de Protección de Datos, LEGALIA ABOGADOS pone a su disposición los siguientes materiales: