FAQ – MEDIDAS DE SEGURIDAD EN EL TRATAMIENTO DE DATOS DE CARÁCTER PERSONAL

4. MEDIDAS DE SEGURIDAD EN EL TRATAMIENTO DE DATOS DE CARÁCTER PERSONAL

4.1 Niveles de seguridad

Las medidas de seguridad exigibles a los ficheros y tratamientos se dividen, en función de la naturaleza de la información, en 3 niveles acumulativos, es decir, a un fichero de nivel alto, le serán aplicables también las medidas de nivel básico y medio.

  • Básico: aplicable a todos los ficheros o tratamiento de datos personales.
  • Medio: aplicable a los siguiente ficheros o tratamientos de datos personales:
    • Aquellos relativos a la comisión de infracciones administrativas o penales.
    • Aquellos de los que sean responsables Administraciones Tributarias y se relacionen con el ejercicio de sus potestades tributarias.
    • Aquellos de los que sean responsables las entidades financieras para finalidades relacionadas con la prestación de servicios financieros.
    • Ficheros de las Entidades Gestoras y Servicios Comunes, de las mutuas de accidentes y enfermedades de la Seguridad Social y se relacionen con el ejercicio de sus competencias.
    • Aquellos que contengan un conjunto de datos de carácter personales que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar aspectos de su personalidad o de su comportamiento.
    • Aquellos relativos a solvencia patrimonial y crédito.
  • Alto: se aplica a los siguientes ficheros o tratamientos de datos personales:
    • Aquellos que contengan datos de ideología, religión, creencias, origen racial o étnico, salud o vida sexual.
    • Aquellos que contengan datos recabados para fines policiales sin consentimiento de los afectados.
    • Aquellos que contengan datos derivados de actos de violencia de género.
  • El incumplimiento del deber de información al afectado acerca del tratamiento de sus datos de carácter personal cuando los datos sean recabados del propio interesado.
  • La transmisión de los datos a un encargado del tratamiento sin dar cumplimiento a los deberes formales establecidos en la LOPD.
4.2 Medidas de seguridad aplicables a los ficheros y tratamientos automatizados de nivel básico
  • Funciones y obligaciones del personal: estarán claramente definidas y documentadas en el documento de seguridad.
  • Registro de incidencias: Incidencia se define como cualquier anomalía que afecte o pudiera afectar a la seguridad de los datos, por ejemplo, un intento de acceso no autorizado por hackers, un borrado involuntario de una base de datos, etc… Habrá que registrar el tipo de incidencia, el momento en que se ha producido, la persona que realiza la notificación de la incidencia y a quién se la comunica, los efectos que se ha derivado de la misma y las medidas correctoras aplicadas.
  • Control de acceso: el personal tendrá acceso autorizado únicamente a los recursos que necesite para el desarrollo de sus funciones, debiendo el responsable del tratamiento establecer los mecanismos necesarios para que evitar accesos no permitidos.
  • Gestión de soportes y documentos: los soportes y documentos con datos personales deberán estar identificados e inventariados y sólo accesibles para el personal autorizado. Su salida deberá ser autorizada por el responsable del fichero o encontrarse autorizada en el documento de seguridad. En caso de traslado, deberán adoptarse las medidas necesarias para evitar su pérdida, destrucción o acceso indebido. Cuando vaya a desecharse cualquier documento o soporte que contenga datos personales, deberá procederse a su destrucción o borrado, de tal forma que no se pueda acceder ni recuperar la información que contenía.
  • Identificación y autenticación: el responsable del tratamiento deberá establecer un mecanismo que permita la identificación de forma inequívoca y personalizada de los usuarios y su autenticación al intentar acceder a los sistemas de información. Lo más habitual es la asignación de un código o nombre de usuario y una contraseña. Las contraseñas deberán cambiarse al menos de forma anual.
  • Copias de respaldo y autenticación: deberá realizarse copias de respaldo de los datos de carácter personal al menos semanalmente, salvo que en dicho período no se produzcan cambios en los mismo. También se establecerán mecanismos de recuperación de datos para supuestos de pérdida o destrucción de los mismos. El responsable del fichero deberá comprobar al menos cada seis meses el correcto funcionamiento de las copias.
4.3 Medidas de seguridad aplicables a los ficheros y tratamientos no automatizados de nivel básico
  • Funciones y obligaciones del personal: estarán claramente definidas y documentadas en el documento de seguridad.
  • Registro de incidencias: Incidencia se define como cualquier anomalía que afecte o pudiera afectar a la seguridad de los datos, por ejemplo, una inundación en la sala de archivo. Habrá que registrar el tipo de incidencia, el momento en que se ha producido, la persona que realiza la notificación de la incidencia y a quién se la comunica, los efectos que se ha derivado de la misma y las medidas correctoras aplicadas.
  • Control de acceso: el personal tendrá acceso autorizado únicamente a los recursos que necesite para el desarrollo de sus funciones, debiendo el responsable del tratamiento establecer los mecanismos necesarios para que evitar accesos no permitidos.
  • Gestión de soportes y documentos: los soportes y documentos con datos personales deberán estar identificados e inventariados y sólo accesibles para el personal autorizado. Su salida deberá ser autorizada por el responsable del fichero o encontrarse autorizada en el documento de seguridad. En caso de traslado, deberán adoptarse las medidas necesarias para evitar su pérdida, destrucción o acceso indebido. Cuando vaya a desecharse cualquier documento o soporte que contenga datos personales, deberá procederse a su destrucción o borrado, de tal forma que no se pueda acceder ni recuperar la información que contenía.
  • Criterios de archivo: Los soportes y documentos se archivarán de acuerdo con los criterios previstos en su respectiva legislación,garantizando la correcta conservación de los documentos, la localización y consulta de la información contenida en ellos y posibilitando el ejercicio de los Derechos ARCO. Si no existe norma aplicable, el responsable del fichero determinar los criterios y procedimientos de archivo.
  • Dispositivos de almacenamiento: los dispositivos de almacenamiento de los documentos con datos personales dispondrán de mecanismos que obstaculicen su apertura.
  • Custodia de soportes: mientras la documentación con datos personales no se encuentre archivada la persona que se encuentre al cargo de la misma deberá custodiarla e impedir accesos no autorizados a la misma.
4.4 Medidas de seguridad aplicables a los ficheros y tratamiento automatizados de nivel medio
  • Responsable de seguridad: se designarán uno o varios encargados de coordinar y controlar las medidas recogidas en el documento de seguridad. En ningún caso esta designación exime al responsable del fichero o al encargado del tratamiento de la responsabilidad que le corresponde.
  • Auditoría.
  • Gestión de soportes y documentos: el responsable del fichero tendrá que establecer un registro de entrada y salida de soportes.
  • Identificación y autenticación: los sistemas de información deberán incorporar un mecanismo que limite el intento reiterado de accesos no autorizados (por ejemplo, tras introducir tres veces una contraseña incorrecta, el ordenador queda bloqueado).
  • Control de acceso físico: solamente el personal autorizado tendrá acceso a los lugares donde se encuentren instalados los equipos físicos que den soporte a los sistemas de información.
  • Registro de incidencias: deberá registrarse cual fue el procedimiento utilizado para la recuperación de los datos, quien ejecutó el proceso, qué datos se restauraron y, en su caso, qué datos han debido grabarse manualmente.
4.5 Medidas de seguridad aplicables a los ficheros y tratamientos no automatizados de nivel medio
  • Responsable de seguridad: se designarán uno o varios encargados de coordinar y controlar las medidas recogidas en el documento de seguridad. En ningún caso esta designación exime al responsable del fichero o al encargado del tratamiento de la responsabilidad que le corresponde.
  • Auditoría.
4.6 Medidas de seguridad aplicables a los ficheros y tratamientos automatizados de nivel alto
  • Gestión y distribución de soportes: la identificación de los soportes deberá realizarse mediante sistemas de etiquetado comprensibles que permitan al personal con acceso autorizado a los mismos identificar su contenido, dificultando su identificación al resto. Durante su transporte, los datos deberán cifrarse o utilizar cualquier otro mecanismo que impida el acceso a la información o su manipulación.
  • Copias de respaldo y recuperación: deberá conservarse una copia de respaldo de los datos y de los procedimientos de recuperación de los mismo en un lugar diferente de aquel en que se encuentren los equipos informáticos.
  • Registro de accesos: el responsable del fichero deberá disponer de un registro de todos los accesos al sistema. De cada intento de acceso debe guardarse, al menos, la identificación del usuario, la fecha y la hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado; si el acceso ha sido autorizado, se guardará la información que permita identificar el registro accedido.
  • Telecomunicaciones: la transmisión de datos de carácter personal a través de redes públicas o inalámbricas de comunicaciones electrónicas se realizará cifrando dichos datos o utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros.
4.7 Medidas de seguridad aplicables a los ficheros y tratamientos no automatizados de nivel alto
  • Almacenamiento de la información: Los armarios, archivadores y otros elementos en los que se almacenen los documentos con datos personales se encontrarán en áreas de acceso restringido con puertas con llave u otro dispositivo equivalente, permaneciendo cerradas cuando no sea preciso el acceso a la documentación.
  • Copia o reproducción: La generación de copias o la reproducción de la documentación sólo podrá ser realizada bajo el control del personal autorizado.
  • Acceso a la documentación: se limitará exclusivamente al personal autorizado, estableciéndose mecanismos que permitan identificar los accesos realizados en el caso de documentos que puedan ser utilizados por múltiples usuarios.
  • Traslado de documentación: cuando la documentación deba ser trasladada se adoptarán las medidas necesarias para impedir el acceso a la información contenida en ella o su manipulación.