Hoy me han contado un caso de una pequeña empresa de mi ciudad que sufrió un ataque en sus sistemas informáticos perdiendo toda la información almacenada en ello. Y como este al día ocurren veinte mil. Por algo dicen que los datos son el petróleo del siglo XXI.

¿Proteges adecuadamente tu información? ¿Dispones de las medidas de seguridad adecuadas para protegerla? ¿Revisas y actualizas periódicamente estas medidas? ¿Te has preguntado por dónde empezar a dar los primeros pasos para mejorar la seguridad de tu negocio?

La información es uno de los activos más valiosos de los que disponen las empresas y esto lo saben quienes pretenden hacerse con esa información con fines delictivos.

¿Qué son las medidas de seguridad en Protección de Datos?

Como hemos dicho, es muy común encontrar empresas que sufren toda clase de ataques informáticos. Uno de los más frecuentes son los ataques de malware, virus o troyanos que pueden ser desarrollados para el robo de datos genéricos o con algún otro fin específico.

Para evitar todo esto, la LOPD establece el principio de seguridad de los datos por el que se impone al responsable del fichero la obligación de adoptar las medidas técnicas y organizativas precisas que protejan la seguridad de los datos de carácter personal y eviten su modificación, extravío, gestión o acceso no autorizado.

La ley establece también que el responsable del fichero, y el encargado del tratamiento, deberán implantar las medidas técnicas y organizativas necesarias para proteger los datos personales que manejan, según la situación tecnológica, el carácter de los datos almacenados y los riesgos a que están expuestos, ya procedan de la acción humana o del entorno físico o natural.

Niveles de seguridad de los ficheros de datos personales

nivel-seguridad-datos-ficheros

Las medidas de seguridad a adoptar dependen del nivel de seguridad correspondiente a los datos personales que deben protegerse.

El nivel básico de seguridad, se aplicará entre otros, a los ficheros que solo contengan datos identificativos y a todos los niveles medio y alto de seguridad. Por tanto, todos los ficheros o tratamientos de datos de carácter personal deberán adoptar las medidas de nivel básico establecidas en el Reglamento de desarrollo de la LOPD (RD 1720/2007, de 21 de diciembre).

Deberán implantarse, además de las medidas de seguridad de nivel básico, las medidas de nivel medio en los siguientes ficheros de datos de carácter personal:

  • Los relativos a la comisión de infracciones administrativas o penales.
  • Aquellos de los que sean responsables Administraciones Tributarias y se relacionen con el ejercicio de potestades tributarias.
  • Aquellos de los que sean responsables las Entidades Gestoras y Servicios Comunes de la Seguridad Social y se relacionen con el ejercicio de sus competencias. De igual modo, aquellos de los que sean responsables las mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social.
  • Aquellos que contengan un conjunto de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos.

Se señalará el nivel alto para cualquier fichero de datos de carácter personal que se refieran a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual, los que contengan o se refieran a datos recabados para fines policiales sin consentimiento de las personas afectadas, así como los que contengan datos derivados de actos de violencia de género.

Excepcionalmente podrán implantarse las medidas de nivel básico en ficheros que traten datos especialmente protegidos cuando dichos datos se utilicen con la única finalidad de realizar una transferencia dineraria a las entidades de las que los afectados sean asociados o miembros, o se trate de ficheros no automatizados en los que de forma incidental o accesoria se contengan datos especialmente protegidos sin guardar relación con su finalidad.

También podrán implantarse las medidas de seguridad de nivel básico en los ficheros o tratamientos que contengan datos relativos a la salud referentes, exclusivamente, al grado de discapacidad o la simple declaración de la condición de discapacidad o invalidez del afectado, con motivo del cumplimiento de deberes públicos.

Medidas de seguridad aplicables

Antes de adoptar las correspondientes medidas de seguridad debemos analizar toda la información que manejamos para clasificarla según el nivel de protección previsto en la LOPD. Así, se indica que las medidas de seguridad demandadas a los ficheros y tratamientos se dividen en tres niveles: básico, medio y alto.

Nivel de medidas de seguridad a implantar en un fichero
4.6 (91.43%) 7 votos
  1. Hola,

    Me gustaría saber si todas estos pasos se pueden realizar a nivel particular, es decir, la propia persona que gestiona el fichero con datos de caracter personal, o por el contrario se necesita de un asesoramiento específico de alguna gestoria o asesoría, y los trámites se han de hacer medienta ella. Por otro lado, por parte de quién se realizan las auditorías cada dos años?

    Gracias y saludos,

    Maria

    1. Hola María, gracias por visitarnos y comentar.

      Todas las obligaciones LOPD pueden ser realizadas por el mismo responsable del fichero, no existe ninguna obligación de contratar a nadie para ello, incluida la auditoría cada dos años en caso de medidas de seguridad de nivel alto.

      Otra cosa es que sea necesario cierto nivel de conocimientos de los que no todo el mundo dispone.

  2. Buenas tardes,

    Somos un pequeño gabinete de peritación, y tenemos una página Web donde peritos que trabajan para nosotros pueden acceder y descargar los encargos, que lógicamente tiene los datos personales de los clientes. Para acceder a esta página el perito tiene que autenticarse -aceptando los correspondientes avisos- pidiendo un número de usuario y contraseña.

    Según nos indican, las comunicaciones vía web no van encriptadas y por lo tanto un hacker podría en casos extremos apoderarse de la información que viaja. La pregunta es: ¿La LOPD indica en estos casos qué hay que hacer? ¿Sería suficiente tener una conexión SSL para cumplir con la LOPD? ¿Sería suficiente que este certificado SSL fuese al dominio de Internet donde tenemos colgada la página?

    Gracias por adelantado

    1. D.M.B.: la pregunta excede con mucho las posibilidades de un comentario sin mucha más información. Sería necesario auditar el sistema aunque fuera a distancia para poder verificar las cuestiones técnicas. También habría que repasar cuales son las condiciones legales que firman los peritos para acceder a la información.


Comments are closed.