Hoy me han contado un caso de una pequeña empresa de mi ciudad que sufrió un ataque en sus sistemas informáticos perdiendo toda la información almacenada en ello. Y como este al día ocurren veinte mil. Por algo dicen que los datos son el petróleo del siglo XXI.

¿Proteges adecuadamente tu información? ¿Dispones de las medidas de seguridad adecuadas para protegerla? ¿Revisas y actualizas periódicamente estas medidas? ¿Te has preguntado por dónde empezar a dar los primeros pasos para mejorar la seguridad de tu negocio?

La información es uno de los activos más valiosos de los que disponen las empresas y esto lo saben quienes pretenden hacerse con esa información con fines delictivos.

¿Qué son las medidas de seguridad en Protección de Datos?

Como hemos dicho, es muy común encontrar empresas que sufren toda clase de ataques informáticos. Uno de los más frecuentes son los ataques de malware, virus o troyanos que pueden ser desarrollados para el robo de datos genéricos o con algún otro fin específico.

Para evitar todo esto, la LOPD establece el principio de seguridad de los datos por el que se impone al responsable del fichero la obligación de adoptar las medidas técnicas y organizativas precisas que protejan la seguridad de los datos de carácter personal y eviten su modificación, extravío, gestión o acceso no autorizado.

La ley establece también que el responsable del fichero, y el encargado del tratamiento, deberán implantar las medidas técnicas y organizativas necesarias para proteger los datos personales que manejan, según la situación tecnológica, el carácter de los datos almacenados y los riesgos a que están expuestos, ya procedan de la acción humana o del entorno físico o natural.

Niveles de seguridad de los ficheros de datos personales

nivel-seguridad-datos-ficheros

Las medidas de seguridad a adoptar dependen del nivel de seguridad correspondiente a los datos personales que deben protegerse.

El nivel básico de seguridad, se aplicará entre otros, a los ficheros que solo contengan datos identificativos y a todos los niveles medio y alto de seguridad. Por tanto, todos los ficheros o tratamientos de datos de carácter personal deberán adoptar las medidas de nivel básico establecidas en el Reglamento de desarrollo de la LOPD (RD 1720/2007, de 21 de diciembre).

Deberán implantarse, además de las medidas de seguridad de nivel básico, las medidas de nivel medio en los siguientes ficheros de datos de carácter personal:

  • Los relativos a la comisión de infracciones administrativas o penales.
  • Aquellos de los que sean responsables Administraciones Tributarias y se relacionen con el ejercicio de potestades tributarias.
  • Aquellos de los que sean responsables las Entidades Gestoras y Servicios Comunes de la Seguridad Social y se relacionen con el ejercicio de sus competencias. De igual modo, aquellos de los que sean responsables las mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social.
  • Aquellos que contengan un conjunto de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos.

Se señalará el nivel alto para cualquier fichero de datos de carácter personal que se refieran a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual, los que contengan o se refieran a datos recabados para fines policiales sin consentimiento de las personas afectadas, así como los que contengan datos derivados de actos de violencia de género.

Excepcionalmente podrán implantarse las medidas de nivel básico en ficheros que traten datos especialmente protegidos cuando dichos datos se utilicen con la única finalidad de realizar una transferencia dineraria a las entidades de las que los afectados sean asociados o miembros, o se trate de ficheros no automatizados en los que de forma incidental o accesoria se contengan datos especialmente protegidos sin guardar relación con su finalidad.

También podrán implantarse las medidas de seguridad de nivel básico en los ficheros o tratamientos que contengan datos relativos a la salud referentes, exclusivamente, al grado de discapacidad o la simple declaración de la condición de discapacidad o invalidez del afectado, con motivo del cumplimiento de deberes públicos.

Medidas de seguridad aplicables

Antes de adoptar las correspondientes medidas de seguridad debemos analizar toda la información que manejamos para clasificarla según el nivel de protección previsto en la LOPD. Así, se indica que las medidas de seguridad demandadas a los ficheros y tratamientos se dividen en tres niveles: básico, medio y alto.

Medidas de seguridad de nivel básico

  1. Las medidas incluidas en el nivel básico contemplan la obligación de contar con un Documento de Seguridad donde en el que se detallará el ámbito de aplicación, medidas, normas y procedimientos de seguridad, cometidos y deberes del personal, estructura y descripción de ficheros, procedimiento de notificación y gestión de incidencias y procedimiento para realizar copias de respaldo y recuperación de datos.

  2. Fijar e implantar las funciones y obligaciones del personal de la empresa.

  3. Disponer y administrar el registro de incidencias a disposición de todos los usuarios, para que anoten las anomalías que ocurran con respecto a la seguridad de los datos.

  4. Instaurar procedimientos de concesión y gestión de contraseñas y los periodos en que se modificarán. Las contraseñas se acumularán con un formato ininteligible.

  5. Conservar una lista actualizada de usuarios y de accesos autorizados de cada uno de ellos.

  6. Cada usuario accederá sólo a los datos y recursos precisos para realizar sus funciones. La asignación de permisos se realizará por personal autorizado para ello.

  7. Custodiar el registro de soportes para identificar, anotar y almacenar todos los soportes que incluyan datos de carácter personal.

  8. Preparar el modelo de autorización para salida de soportes.

  9. Indicar procedimientos para efectuar copias de seguridad de la información manejada, de forma que se pueda garantizar la restauración de los datos en el estado en que se encontraban en el momento de producirse la pérdida o destrucción de los mismos. Las copias de seguridad deberán realizarse, al menos, semanalmente.

  10. El archivo de los documentos no automatizados se efectuará con arreglo a criterios que faciliten su consulta y ubicación para asegurar el ejercicio de los derechos ARCO.

  11. Los instrumentos de depósito de ficheros no automatizados, estarán provistos de mecanismos que dificulten su apertura. Al realizarse la verificación o gestión de los mismos, la persona a cargo, deber ser diligente y vigilar la documentación para evitar entradas no autorizadas.

Medidas de seguridad de nivel medio

  1. Además del contenido específico para el documento de seguridad de Nivel Básico, En el nivel medio, deberá detallarse: la identificación de responsables de seguridad, control periódico del cumplimiento del documento y medidas a adoptar en caso de reutilizar o tirar soportes.

  2. Registro de acceso físico a los locales donde estén ubicados los sistemas de información.

  3. Conservar un registro de entrada y salida de soportes.

  4. Indicar medidas que imposibiliten la recuperación posterior de información de un soporte que vaya a ser desechado o reutilizado.

  5. Elaborar una auditoría cada 2 años, interna o externa.

Medidas de seguridad de nivel alto

  1. El nivel alto de seguridad, incluye todas las medidas indicadas para el nivel medio.

  2. Realizar el cifrado de datos en la entrega de soportes.

  3. Conservar copias de seguridad en un emplazamiento diferente del que se encuentren los equipos.

  4. Mantener un control de usuarios, hora, fichero, clase de acceso y registro al que se ha accedido. El control de accesos se deberá conservarse al menos durante 2 años.

  5. Efectuar transferencias cifradas de datos.

  6. Registro de accesos autorizados a ficheros no automatizados e identificación de accesos para documentos a los que accedan múltiples usuarios.

  7. Almacenamiento de la documentación no automatizada en zonas (armarios, archivadores…) con acceso preservado con puertas con llave.

  8. La copia o reproducción de ficheros no automatizados únicamente la realizará el personal autorizado.

  9. Se detallarán las medidas adicionales que impidan el acceso o modificación de los datos al ser trasladados.

¿Necesitas cumplir el RGPD?

Solicita varios presupuestos

Escribe aquí tu comentario

Deja un comentario

Este sitio está protegido por reCAPTCHA y se aplican la política de privacidad y los términos de servicio de Google.

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.

  1. Hola,

    Me gustaría saber si todas estos pasos se pueden realizar a nivel particular, es decir, la propia persona que gestiona el fichero con datos de caracter personal, o por el contrario se necesita de un asesoramiento específico de alguna gestoria o asesoría, y los trámites se han de hacer medienta ella. Por otro lado, por parte de quién se realizan las auditorías cada dos años?

    Gracias y saludos,

    Maria

    1. Hola María, gracias por visitarnos y comentar.

      Todas las obligaciones LOPD pueden ser realizadas por el mismo responsable del fichero, no existe ninguna obligación de contratar a nadie para ello, incluida la auditoría cada dos años en caso de medidas de seguridad de nivel alto.

      Otra cosa es que sea necesario cierto nivel de conocimientos de los que no todo el mundo dispone.

  2. […] Nivel de seguridad. Decisión previa e imprescindible en función del tipo de datos a tratar, que además genera las Medidas de seguridad a implantar. […]

  3. Buenas tardes,

    Somos un pequeño gabinete de peritación, y tenemos una página Web donde peritos que trabajan para nosotros pueden acceder y descargar los encargos, que lógicamente tiene los datos personales de los clientes. Para acceder a esta página el perito tiene que autenticarse -aceptando los correspondientes avisos- pidiendo un número de usuario y contraseña.

    Según nos indican, las comunicaciones vía web no van encriptadas y por lo tanto un hacker podría en casos extremos apoderarse de la información que viaja. La pregunta es: ¿La LOPD indica en estos casos qué hay que hacer? ¿Sería suficiente tener una conexión SSL para cumplir con la LOPD? ¿Sería suficiente que este certificado SSL fuese al dominio de Internet donde tenemos colgada la página?

    Gracias por adelantado

    1. D.M.B.: la pregunta excede con mucho las posibilidades de un comentario sin mucha más información. Sería necesario auditar el sistema aunque fuera a distancia para poder verificar las cuestiones técnicas. También habría que repasar cuales son las condiciones legales que firman los peritos para acceder a la información.

  4. […] Nivel de seguridad. Decisión previa e imprescindible en función del tipo de datos a tratar, que además genera las Medidas de seguridad a implantar. […]