Medidas de seguridad de nivel medio

4174

Deberán implantarse, además de las medidas de seguridad de nivel básico, las medidas de nivel medio, en los siguientes ficheros o tratamientos de datos de carácter personal:

a) Los relativos a la comisión de infracciones administrativas o penales.
b) Aquellos cuyo funcionamiento se rija por el artículo 29 de la Ley Orgánica 15/1999, de 13 de diciembre.
c) Aquellos de los que sean responsables Administraciones tributarias y se relacionen con el ejercicio de sus potestades tributarias.
d) Aquéllos de los que sean responsables las entidades financieras para finalidades relacionadas con la prestación de servicios financieros.
e) Aquéllos de los que sean responsables las Entidades Gestoras y Servicios Comunes de la Seguridad Social y se relacionen con el ejercicio de sus competencias. De igual modo, aquellos de los que sean responsables las mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social.
f) Aquéllos que contengan un conjunto de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos.

Estas son las medidas a aplicar según los correspondientes artículos del Reglamento LOPD:

Artículo 95. Responsable de seguridad.

En el documento de seguridad deberán designarse uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en el mismo. Esta designación puede ser única para todos los ficheros o tratamientos de datos de carácter personal o diferenciada según los sistemas de tratamiento utilizados, circunstancia que deberá hacerse constar claramente en el documento de seguridad.
En ningún caso esta designación supone una exoneración de la responsabilidad que corresponde al responsable del fichero o al encargado del tratamiento de acuerdo con este reglamento.

Artículo 96. Auditoría.

1. A partir del nivel medio los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se someterán, al menos cada dos años, a una auditoría interna o externa que verifique el cumplimiento del presente título.
Con carácter extraordinario deberá realizarse dicha auditoría siempre que se realicen modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptación, adecuación y eficacia de las mismas. Esta auditoría inicia el cómputo de dos años señalado en el párrafo anterior.
2. El informe de auditoría deberá dictaminar sobre la adecuación de las medidas y controles a la Ley y su desarrollo reglamentario, identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias. Deberá, igualmente, incluir los datos, hechos y observaciones en que se basen los dictámenes alcanzados y las recomendaciones propuestas.
3. Los informes de auditoría serán analizados por el responsable de seguridad competente, que elevará las conclusiones al responsable del fichero o tratamiento para que adopte las medidas correctoras adecuadas y quedarán a disposición de la Agencia Española de Protección de Datos o, en su caso, de las autoridades de control de las comunidades autónomas.

Artículo 97. Gestión de soportes y documentos.

1. Deberá establecerse un sistema de registro de entrada de soportes que permita, directa o indirectamente, conocer el tipo de documento o soporte, la fecha y hora, el emisor, el número de documentos o soportes incluidos en el envío, el tipo de información que contienen, la forma de envío y la persona responsable de la recepción que deberá estar debidamente autorizada.
2. Igualmente, se dispondrá de un sistema de registro de salida de soportes que permita, directa o indirectamente, conocer el tipo de documento o soporte, la fecha y hora, el destinatario, el número de documentos o soportes incluidos en el envío, el tipo de información que contienen, la forma de envío y la persona responsable de la entrega que deberá estar debidamente autorizada.

Artículo 98. Identificación y autenticación.

El responsable del fichero o tratamiento establecerá un mecanismo que limite la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de información.

Artículo 99. Control de acceso físico.

Exclusivamente el personal autorizado en el documento de seguridad podrá tener acceso a los lugares donde se hallen instalados los equipos físicos que den soporte a los sistemas de información.

Artículo 100. Registro de incidencias.

1. En el registro regulado en el artículo 90 deberán consignarse, además, los procedimientos realizados de recuperación de los datos, indicando la persona que ejecutó el proceso, los datos restaurados y, en su caso, qué datos ha sido necesario grabar manualmente en el proceso de recuperación.
2. Será necesaria la autorización del responsable del fichero para la ejecución de los procedimientos de recuperación de los datos.

Medidas de seguridad de nivel medio
Vota este artículo

9 Comentarios

  1. Jesús, gracias por el artículo. Me surge una duda con respecto a un fichero típico de empleados para gestión de nóminas y su seguridad. Este almacena campos para el salario bruto y bruto anual. ¿Esto podría subir el nivel de seguridad de básico a medio al entender que pudiera definir características de personalidad o evaluación del comportamiento?

    Gracias.

    Un saludo cordial.

  2. Hola de nuevo, Jesús. Como puedes ver, me he aficionado bastante a tu blog y quiero felicitarte por el tono didáctico de los diferentes posts 😉

    Me ha llamado la atención vuestra conversación, ya que yo voy algo perdido en éste tema y no dejo de darle vueltas. Mi problema es el siguiente: si bien las medidas de seguridad se aplican a los ficheros, también es verdad que se aplican a diferentes elementos de éstos ficheros. Eso en la teoría, ¿pero en la práctica cómo se traduciría?

    Pongo un ejemplo: Tenemos un fichero con los expedientes de casos de un despacho de abogados. Éstos pueden contener datos de todos los niveles (desde el nombre del cliente a datos relativos a su salud o situación económica). Mi primer impulso es el de considerar que se trata de un fichero de seguridad alta.

    Sin embargo, tiene datos, como la minuta, que deberá consultar el administrativo (es decir, alguien con una acreditación insuficiente, puesto que al no ser abogado no debería poder husmear en los expedientes). ¿Tendrían éstos datos unas medidas de seguridad diferentes al resto del fichero (en éste caso menores, claro está)?

    La otra opción que se me ocurre es que haya expedientes que efectivamente tengan datos susceptibles de un nivel de seguridad alto, pero quizá haya otros que no lo tengan. ¿Debería entonces proceder a aplicar los niveles de seguridad según el contenido del documento? ¿O lo aplico a todo el fichero “preventivamente”?

    Como ves, no sé muy bien como aplicar eso de que las medidas afectan a los ficheros y a sus partes.

    Un saludo y gracias de nuevo.

    • Aprendiz: la respuesta excedería con mucho las posibilidades de un comentario, una cosa es la teoría (con la que se puede generalizar) y otra casos concretos en los que hay que estudiar todas las variable.
      Como norma general al manejo de un fichero hay que darle la seguridad de su dato de más exigencia, por seguridad y por comodidad de no tener que andar decidiendo en cada caso cómo comportarse.
      Luego hay que entender la diferencia entre fichero LOPD y fichero físico. Los clientes de un médico conforman un fichero de nivel alto por los datos de salud, pero al administrativo de la clínica sólo le doy acceso al fichero físico de contabilidad y de gestión de citas, no al que guarde los datos sanitarios. Y así con cualquier otra profesión, pero claro revisando antes el sistema informático, el uso de papel, los movimientos de la informacion, etc…

  3. Hola Jesús,

    Entiendo que el tema es complejo. De hecho me encuentro bloqueado en éste punto sin saber muy bien como proceder, aunque te agradezco tu respuesta. Éste tema me gusta mucho, pero es la primera vez que hago una adaptación a la Ley y algunos puntos los llevo flojos.

    Sin embargo hay algo de lo que dices que no entiendo: ¿la diferencia entre el fichero LOPD y el fichero físico? La LOPD abarca tanto ficheros automatizados como físicos. Significa que le das un nivel de seguridad menor a la parte física del expediente?

    • Aprendiz: disculpa que no me he explicado muy bien. Me refiero a la diferencia entre fichero desde el punto de vista informático frente a la definición LOPD, que lo describe como un conjunto homogéneo de datos independientemente de su ubicación. Así por ejemplo los datos de clientes pueden estar en varias aplicaciones (contabilidad, CRM, programa de correo electrónico, fichas individuales, etc…) y cada una genera un fichero informático (o en papel) distinto aunque en protección de datos sea un sólo fichero “Clientes”. A partir de ahí puedes establecer un procedimiento que no tiene porque ser único para el fichero LOPD en su conjunto, sino diferenciado en función del fichero informático, y así como decía el administrativo tendrá acceso a la contabilidad y al CRM por ejemplo, pero no a las fichas donde puede haber datos de nivel medio o alto.

  4. Hola de nuevo,

    Creo que ya lo he entendido. Muchas gracias de nuevo por la explicación y también por tu blog, que es tan interesante como didáctico.

    Un saludo y hasta otra.

  5. Buenas tardes, he solicitado a una clínica dental el derecho de acceso a las grabaciones de audio y voz, en las que se habla de temas de salud que han realizado sus cámaras a mis hijos menores. Lo he solicitado mediante Burofax 20 días después de que se realizará la grabación. Su respuesta ha sido que las borran a los 15 días. Al ser datos de salud y con un nivel de protección alto, deberían tener algún mecanismo para recuperar dichas grabaciones??

    • Respondiendo a tu consulta, todas las grabaciones deben mantenerse antes de ser canceladas durante 30 días, por lo que ya parece que en la clínica dental están incumpliendo la Ley de Protección de Datos. Ahora bien, es posible que este plazo tenga que ser superior al entender que las grabaciones se pueden considerar parte del historial clínico de tus hijos al contener datos de salud y, aunque la LOPD establece que los datos se deben cancelar tras dejar de ser necesarios para la finalidad con la que se obtuvieron, existe la Ley 41/2002 sobre los derechos de los pacientes en materia de documentación clínica fijando un periodo de conservación de los datos de 5 años. Laura, ejerce tus derechos ante la AEPD, o más bien los de tus hijos, porque el centro médico sí esta obligado a facilitarte una copia de esas grabaciones.

Dejar respuesta