[{"@context":"http:\/\/schema.org\/","@type":"BlogPosting","@id":"https:\/\/ayudaleyprotecciondatos.es\/2016\/06\/27\/nivel-de-medidas-de-seguridad-a-implantar-en-un-fichero\/#BlogPosting","mainEntityOfPage":"https:\/\/ayudaleyprotecciondatos.es\/2016\/06\/27\/nivel-de-medidas-de-seguridad-a-implantar-en-un-fichero\/","headline":"Nivel de medidas de seguridad a implantar en un fichero","name":"Nivel de medidas de seguridad a implantar en un fichero","description":"Seguridad de la informaci\u00f3n, niveles de seguridad lopd de ficheros seg\u00fan el tipo de datos personales y resumen de medidas de seguridad aplicables","datePublished":"2016-06-27","dateModified":"2021-09-22","author":{"@type":"Person","@id":"https:\/\/ayudaleyprotecciondatos.es\/author\/agonzar34\/#Person","name":"Ana Gonz\u00e1lez","url":"https:\/\/ayudaleyprotecciondatos.es\/author\/agonzar34\/","image":{"@type":"ImageObject","@id":"https:\/\/secure.gravatar.com\/avatar\/9d20ce04c893956aaa747aa424b64675?s=96&d=blank&r=g","url":"https:\/\/secure.gravatar.com\/avatar\/9d20ce04c893956aaa747aa424b64675?s=96&d=blank&r=g","height":96,"width":96}},"publisher":{"@type":"Organization","name":"AyudaLeyProteccionDatos","logo":{"@type":"ImageObject","@id":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/01\/ayuda-ley-proteccion-datos.png","url":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/01\/ayuda-ley-proteccion-datos.png","width":600,"height":60}},"image":{"@type":"ImageObject","@id":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/06\/medidas-seguridad-lopd.gif","url":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/06\/medidas-seguridad-lopd.gif","height":287,"width":696},"url":"https:\/\/ayudaleyprotecciondatos.es\/2016\/06\/27\/nivel-de-medidas-de-seguridad-a-implantar-en-un-fichero\/","commentCount":"8","comment":[{"@type":"Comment","@id":"https:\/\/ayudaleyprotecciondatos.es\/2016\/06\/27\/nivel-de-medidas-de-seguridad-a-implantar-en-un-fichero\/#Comment1","dateCreated":"2013-10-17 09:11:30","description":"Gracias Jes\u00fas.","author":{"@type":"Person","name":"D.M.B.","url":""}},{"@type":"Comment","@id":"https:\/\/ayudaleyprotecciondatos.es\/2016\/06\/27\/nivel-de-medidas-de-seguridad-a-implantar-en-un-fichero\/#Comment2","dateCreated":"2013-10-16 15:20:05","description":"D.M.B.: la pregunta excede con mucho las posibilidades de un comentario sin mucha m\u00e1s informaci\u00f3n. Ser\u00eda necesario auditar el sistema aunque fuera a distancia para poder verificar las cuestiones t\u00e9cnicas. Tambi\u00e9n habr\u00eda que repasar cuales son las condiciones legales que firman los peritos para acceder a la informaci\u00f3n.","author":{"@type":"Person","name":"Jes\u00fas P\u00e9rez Serna","url":""}},{"@type":"Comment","@id":"https:\/\/ayudaleyprotecciondatos.es\/2016\/06\/27\/nivel-de-medidas-de-seguridad-a-implantar-en-un-fichero\/#Comment3","dateCreated":"2013-10-16 12:53:21","description":"Buenas tardes,\n\nSomos un peque\u00f1o gabinete de peritaci\u00f3n, y tenemos una p\u00e1gina Web donde peritos que trabajan para nosotros pueden acceder y descargar los encargos, que l\u00f3gicamente tiene los datos personales de los clientes. Para acceder a esta p\u00e1gina el perito tiene que autenticarse -aceptando los correspondientes avisos- pidiendo un n\u00famero de usuario y contrase\u00f1a.\n\nSeg\u00fan nos indican, las comunicaciones v\u00eda web no van encriptadas y por lo tanto un hacker podr\u00eda en casos extremos apoderarse de la informaci\u00f3n que viaja. La pregunta es: \u00bfLa LOPD indica en estos casos qu\u00e9 hay que hacer? \u00bfSer\u00eda suficiente tener una conexi\u00f3n SSL para cumplir con la LOPD? \u00bfSer\u00eda suficiente que este certificado SSL fuese al dominio de Internet donde tenemos colgada la p\u00e1gina?\n\nGracias por adelantado","author":{"@type":"Person","name":"D.M.B.","url":""}},{"@type":"Comment","@id":"https:\/\/ayudaleyprotecciondatos.es\/2016\/06\/27\/nivel-de-medidas-de-seguridad-a-implantar-en-un-fichero\/#Comment4","dateCreated":"2012-04-11 20:44:17","description":"Gracias por tu respuesta!!\nMaria","author":{"@type":"Person","name":"Maria","url":""}},{"@type":"Comment","@id":"https:\/\/ayudaleyprotecciondatos.es\/2016\/06\/27\/nivel-de-medidas-de-seguridad-a-implantar-en-un-fichero\/#Comment5","dateCreated":"2012-04-10 15:42:04","description":"Hola,\n\nMe gustar\u00eda saber si todas estos pasos se pueden realizar a nivel particular, es decir, la propia persona que gestiona el fichero con datos de caracter personal, o por el contrario se necesita de un asesoramiento espec\u00edfico de alguna gestoria o asesor\u00eda, y los tr\u00e1mites se han de hacer medienta ella. Por otro lado, por parte de qui\u00e9n se realizan las auditor\u00edas cada dos a\u00f1os?\n\nGracias y saludos,\n\nMaria","author":{"@type":"Person","name":"Maria","url":""}},{"@type":"Comment","@id":"https:\/\/ayudaleyprotecciondatos.es\/2016\/06\/27\/nivel-de-medidas-de-seguridad-a-implantar-en-un-fichero\/#Comment6","dateCreated":"2012-04-10 16:13:03","description":"Hola Mar\u00eda, gracias por visitarnos y comentar.\n\nTodas las obligaciones LOPD pueden ser realizadas por el mismo responsable del fichero, no existe ninguna obligaci\u00f3n de contratar a nadie para ello, incluida la auditor\u00eda cada dos a\u00f1os en caso de medidas de seguridad de nivel alto.\n\nOtra cosa es que sea necesario cierto nivel de conocimientos de los que no todo el mundo dispone.","author":{"@type":"Person","name":"Jes\u00fas P\u00e9rez Serna - Marketing Positivo","url":""}}],"about":["CIBERSEGURIDAD"],"wordCount":1687,"articleBody":"              if (typeof BingeIframeRan === \"undefined\") {                window.addEventListener(\"message\", receiveMessage, false);                function receiveMessage(event) {                  try {                    var parsed = JSON.parse(event.data)                    if (parsed.context === \"iframe.resize\") {                      var iframes = document.getElementsByClassName(\"binge-iframe\");                      for (let i = 0; i < iframes.length; ++i) {                        if (iframes[i].src == parsed.src || iframes[i].contentWindow === event.source) {                          iframes[i].height = parsed.height; }                         iframes[i].style.opacity = 1;                     }                    }                  } catch (error) {                  }                }                var BingeIframeRan = true;              }              Hoy me han contado un caso de una peque\u00f1a empresa de mi ciudad que sufri\u00f3 un ataque en sus sistemas inform\u00e1ticos perdiendo toda la informaci\u00f3n almacenada en ello. Y como este al d\u00eda ocurren veinte mil. Por algo dicen que los datos son el petr\u00f3leo del siglo XXI.\u00bfProteges adecuadamente tu informaci\u00f3n? \u00bfDispones de las medidas de seguridad adecuadas para protegerla? \u00bfRevisas y actualizas peri\u00f3dicamente estas medidas? \u00bfTe has preguntado por d\u00f3nde empezar a dar los primeros pasos para mejorar la seguridad de tu negocio?La informaci\u00f3n es uno de los activos m\u00e1s valiosos de los que disponen las empresas y esto lo saben quienes pretenden hacerse con esa informaci\u00f3n con fines delictivos.\u00bfQu\u00e9 son las medidas de seguridad en Protecci\u00f3n de Datos?Niveles de seguridad de los ficheros de datos personalesMedidas de seguridad aplicablesMedidas de seguridad de nivel b\u00e1sicoMedidas de seguridad de nivel medioMedidas de seguridad de nivel alto\u00bfNecesitas cumplir el RGPD?Entradas relacionadas\u00bfQu\u00e9 son las medidas de seguridad en Protecci\u00f3n de Datos?Como hemos dicho, es muy com\u00fan encontrar empresas que sufren toda clase de ataques inform\u00e1ticos. Uno de los m\u00e1s frecuentes\u00a0son los ataques de malware, virus o troyanos que pueden ser desarrollados para el robo de datos\u00a0gen\u00e9ricos o con alg\u00fan otro fin espec\u00edfico.Para evitar todo esto, la LOPD establece el principio de seguridad de los datos por el que se impone al responsable del fichero la obligaci\u00f3n de adoptar las medidas t\u00e9cnicas y organizativas precisas\u00a0que protejan\u00a0la seguridad de los datos de car\u00e1cter personal y eviten su modificaci\u00f3n, extrav\u00edo, gesti\u00f3n\u00a0o acceso no autorizado.La ley establece tambi\u00e9n que el responsable del fichero, y el encargado del tratamiento, deber\u00e1n implantar\u00a0las medidas t\u00e9cnicas y organizativas necesarias para proteger los datos personales que manejan, seg\u00fan la situaci\u00f3n\u00a0tecnol\u00f3gica, el car\u00e1cter\u00a0de los datos almacenados y los riesgos a que est\u00e1n expuestos, ya procedan\u00a0de la acci\u00f3n humana o del entorno\u00a0f\u00edsico o natural.Niveles de seguridad de los ficheros de datos personalesLas medidas de seguridad a adoptar dependen del nivel de seguridad correspondiente a los datos personales que deben protegerse.El nivel b\u00e1sico de seguridad, se aplicar\u00e1 entre otros, a los ficheros que solo contengan datos identificativos y a todos los niveles medio y alto de seguridad. Por tanto, todos los ficheros o tratamientos de datos de car\u00e1cter personal deber\u00e1n adoptar las medidas de nivel b\u00e1sico establecidas en el Reglamento de desarrollo de la LOPD (RD 1720\/2007, de 21 de diciembre).Deber\u00e1n implantarse, adem\u00e1s de las medidas de seguridad de nivel b\u00e1sico, las medidas de nivel medio en los siguientes ficheros de datos de car\u00e1cter personal:Los relativos a la comisi\u00f3n de infracciones administrativas o penales.Aquellos de los que sean responsables Administraciones Tributarias y se relacionen con el ejercicio de potestades tributarias.Aquellos de los que sean responsables las Entidades Gestoras y Servicios Comunes de la Seguridad Social y se relacionen con el ejercicio de sus competencias. De igual modo, aquellos de los que sean responsables las mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social.Aquellos que contengan un conjunto de datos de car\u00e1cter personal que ofrezcan una definici\u00f3n de las caracter\u00edsticas o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos.Se se\u00f1alar\u00e1 el nivel alto para cualquier fichero de datos de car\u00e1cter personal que se refieran a datos de ideolog\u00eda, afiliaci\u00f3n sindical, religi\u00f3n, creencias, origen racial, salud o vida sexual, los que contengan o se refieran a datos recabados para fines policiales sin consentimiento de las personas afectadas, as\u00ed como los que contengan datos derivados de actos de violencia de g\u00e9nero.Excepcionalmente podr\u00e1n implantarse las medidas de nivel b\u00e1sico en ficheros que traten datos especialmente protegidos cuando dichos datos se utilicen con la \u00fanica finalidad de realizar una transferencia dineraria a las entidades de las que los afectados sean asociados o miembros, o se trate de ficheros no automatizados en los que de forma incidental o accesoria se contengan datos especialmente protegidos sin guardar relaci\u00f3n con su finalidad.Tambi\u00e9n podr\u00e1n implantarse las medidas de seguridad de nivel b\u00e1sico en los ficheros o tratamientos que contengan datos relativos a la salud referentes, exclusivamente, al grado de discapacidad o la simple declaraci\u00f3n de la condici\u00f3n de discapacidad o invalidez del afectado, con motivo del cumplimiento de deberes p\u00fablicos.Medidas de seguridad aplicablesAntes de adoptar las correspondientes medidas de seguridad debemos analizar toda la informaci\u00f3n que manejamos para clasificarla seg\u00fan el nivel de protecci\u00f3n previsto en la LOPD. As\u00ed, se indica que las medidas de seguridad demandadas\u00a0a los ficheros y tratamientos se dividen\u00a0en tres niveles: b\u00e1sico, medio y alto.Medidas de seguridad de nivel b\u00e1sicoLas medidas incluidas en el nivel b\u00e1sico contemplan la obligaci\u00f3n de contar con un Documento de Seguridad donde en el que se detallar\u00e1 el \u00e1mbito de aplicaci\u00f3n, medidas, normas y procedimientos de seguridad, cometidos\u00a0y deberes\u00a0del personal, estructura y descripci\u00f3n de ficheros, procedimiento de notificaci\u00f3n y gesti\u00f3n de incidencias y procedimiento para realizar copias de respaldo y recuperaci\u00f3n de datos.Fijar\u00a0e implantar las funciones y obligaciones del personal de la empresa.Disponer y administrar\u00a0el registro de incidencias a disposici\u00f3n de todos los usuarios, para\u00a0que anoten\u00a0las anomal\u00edas que ocurran\u00a0con respecto a la seguridad de los datos.Instaurar\u00a0procedimientos de concesi\u00f3n\u00a0y gesti\u00f3n de contrase\u00f1as y\u00a0los periodos en que se modificar\u00e1n. Las contrase\u00f1as se acumular\u00e1n\u00a0con un formato ininteligible.Conservar\u00a0una lista\u00a0actualizada de usuarios y de\u00a0accesos autorizados de cada uno de ellos.Cada usuario acceder\u00e1 s\u00f3lo\u00a0a los datos y recursos precisos\u00a0para realizar\u00a0sus funciones. La asignaci\u00f3n\u00a0de permisos se realizar\u00e1\u00a0por personal autorizado para ello.Custodiar\u00a0el registro de soportes para identificar, anotar\u00a0y almacenar todos los soportes que incluyan\u00a0datos de car\u00e1cter personal.Preparar\u00a0el modelo de autorizaci\u00f3n para salida de soportes.Indicar\u00a0procedimientos para efectuar\u00a0copias de seguridad de la informaci\u00f3n manejada, de forma que se pueda garantizar la restauraci\u00f3n\u00a0de los datos en el estado en que se encontraban en el momento de producirse la p\u00e9rdida o destrucci\u00f3n de los mismos. Las copias de seguridad deber\u00e1n realizarse, al menos, semanalmente.El archivo de los documentos no automatizados se efectuar\u00e1\u00a0con arreglo a criterios que faciliten su consulta y ubicaci\u00f3n\u00a0para asegurar\u00a0el ejercicio de los derechos ARCO.Los instrumentos\u00a0de dep\u00f3sito\u00a0de ficheros no automatizados, estar\u00e1n provistos\u00a0de mecanismos que dificulten\u00a0su apertura. Al realizarse\u00a0la verificaci\u00f3n\u00a0o gesti\u00f3n\u00a0de los mismos, la persona a cargo, deber ser diligente y vigilar\u00a0la documentaci\u00f3n para evitar entradas\u00a0no autorizadas.Medidas de seguridad de nivel medioAdem\u00e1s del contenido espec\u00edfico para el documento de seguridad de Nivel B\u00e1sico, En el nivel medio, deber\u00e1 detallarse: la identificaci\u00f3n de responsables de seguridad, control peri\u00f3dico del cumplimiento del documento y medidas a adoptar\u00a0en caso de reutilizar o tirar soportes.Registro\u00a0de acceso f\u00edsico a los locales donde est\u00e9n ubicados los sistemas de informaci\u00f3n.Conservar\u00a0un registro de entrada y salida de soportes.Indicar\u00a0medidas que imposibiliten\u00a0la recuperaci\u00f3n posterior de informaci\u00f3n de un soporte que vaya a ser desechado o reutilizado.Elaborar\u00a0una auditor\u00eda cada 2 a\u00f1os, interna o externa.Medidas de seguridad de nivel altoEl nivel alto de seguridad, incluye todas las medidas indicadas para el nivel medio.Realizar el cifrado de datos en la entrega\u00a0de soportes.Conservar\u00a0copias de seguridad en un emplazamiento\u00a0diferente\u00a0del que se encuentren los equipos.Mantener un\u00a0control\u00a0de usuarios, hora, fichero, clase\u00a0de acceso y registro al que se ha accedido. El control de accesos se deber\u00e1 conservarse\u00a0al menos durante 2 a\u00f1os.Efectuar\u00a0transferencias cifradas de datos.Registro\u00a0de accesos autorizados a ficheros no automatizados e identificaci\u00f3n de accesos para documentos a los que accedan\u00a0m\u00faltiples usuarios.Almacenamiento de la documentaci\u00f3n no automatizada en zonas\u00a0(armarios, archivadores\u2026) con acceso preservado\u00a0con puertas con llave.La copia o reproducci\u00f3n de ficheros no automatizados \u00fanicamente la realizar\u00e1 el personal autorizado.Se detallar\u00e1n\u00a0las\u00a0medidas adicionales que impidan el acceso o modificaci\u00f3n\u00a0de los datos al ser trasladados.                              \u00bfNecesitas cumplir el RGPD?                    Solicita varios presupuestos          Entradas relacionadas\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\tSeguridad de la informaci\u00f3n: Aspectos a tener en cuenta\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t"},{"@context":"http:\/\/schema.org\/","@type":"BreadcrumbList","itemListElement":[{"@type":"ListItem","position":1,"item":{"@id":"https:\/\/ayudaleyprotecciondatos.es\/#breadcrumbitem","name":"Ayuda Ley Protecci\u00f3n Datos"}},{"@type":"ListItem","position":2,"item":{"@id":"https:\/\/ayudaleyprotecciondatos.es\/2016\/06\/27\/nivel-de-medidas-de-seguridad-a-implantar-en-un-fichero\/#breadcrumbitem","name":"Nivel de medidas de seguridad a implantar en un fichero"}}]}]