Todas las empresas, independientemente de su tamaño, están obligadas a tomar una serie de medidas de seguridad, por lo tanto les es aplicable la Ley de Protección de Datos en sus actividades diarias. “Se deben adoptar las medidas de carácter técnico que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado.”

Las medidas de seguridad aplicables al tratamiento de datos personales dependen de la naturaleza de la información. La LOPD clasifica los ficheros en tres niveles: básico, medio y alto.

Ficheros de nivel alto

Además de las medidas de nivel básico y medio, las medidas de nivel alto se aplicarán en los siguientes ficheros o tratamientos de datos de carácter personal:

  • Los que se refieran a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual.
  • Los que contengan o se refieran a datos recabados para fines policiales sin consentimiento de las personas afectadas.
  • Aquéllos que contengan datos derivados de actos de violencia de género.

Medidas de seguridad en ficheros de nivel alto

Estas son las medidas a aplicar según los correspondientes artículos del Reglamento LOPD:

Gestión y distribución de soportes

  1. La identificación de los soportes se deberá realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido, y que dificulten la identificación para el resto de personas.
  2. La distribución de los soportes que contengan datos de carácter personal se realizará cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha información no sea accesible o manipulada durante su transporte.
    Asimismo, se cifrarán los datos que contengan los dispositivos portátiles cuando éstos se encuentren fuera de las instalaciones que están bajo el control del responsable del fichero.
  3. Deberá evitarse el tratamiento de datos de carácter personal en dispositivos portátiles que no permitan su cifrado. En caso de que sea estrictamente necesario se hará constar motivadamente en el documento de seguridad y se adoptarán medidas que tengan en cuenta los riesgos de realizar tratamientos en entornos desprotegidos.

Copias de respaldo y recuperación

Deberá conservarse una copia de respaldo de los datos y de los procedimientos de recuperación de los mismos en un lugar diferente de aquel en que se encuentren los equipos informáticos que los tratan, que deberá cumplir en todo caso las medidas de seguridad exigidas en este título, o utilizando elementos que garanticen la integridad y recuperación de la información, de forma que sea posible su recuperación.

Registro de accesos

  1. De cada intento de acceso se guardarán, como mínimo, la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado.
  2. En el caso de que el acceso haya sido autorizado, será preciso guardar la información que permita identificar el registro accedido.
  3. Los mecanismos que permiten el registro de accesos estarán bajo el control directo del responsable de seguridad competente sin que deban permitir la desactivación ni la manipulación de los mismos.
  4. El período mínimo de conservación de los datos registrados será de dos años.
  5. El responsable de seguridad se encargará de revisar al menos una vez al mes la información de control registrada y elaborará un informe de las revisiones realizadas y los problemas detectados.
  6. No será necesario el registro de accesos definido en este artículo en caso de que concurran las siguientes circunstancias:
    • Que el responsable del fichero o del tratamiento sea una persona física.
    • Que el responsable del fichero o del tratamiento garantice que únicamente él tiene acceso y trata los datos personales.

La concurrencia de las dos circunstancias a las que se refiere el apartado anterior deberá hacerse constar expresamente en el documento de seguridad rgpd.

Autenticación de usuarios

La autenticación es el procedimiento mediante el cual se comprueba la identidad del usuario, es decir, se comprueba que es quien dice ser.

Como mecanismo de seguridad es quizás el más importante, pues una vez superado satisfactoriamente ya se puede acceder al sistema de información. Esta autenticación se suele realizar a través de una contraseña que el usuario autorizado conoce, un objeto que posea (como una tarjeta) o una característica corporal suya (huella dactilar, voz, iris, etc.).

Cifrado de datos

Una de las medidas de seguridad que debemos cumplir,  según la LOPD, si poseemos datos personales de Nivel Alto es el cifrado de datos. Este es el proceso mediante el cual se transforma la información de tal manera que un tercero no autorizado no pueda leerla. Los datos confidenciales se cifran con un algoritmo de cifrado y una clave que los hace ilegibles si no se conoce dicha clave.

Según la LOPD debemos realizar el cifrado de datos en la distribución de soportes, en dispositivos portátiles fuera de las instalaciones y en la transmisión de datos a través de redes electrónicas. Es decir, necesitamos cifrar archivos y correos electrónicos principalmente. Para ello utilizaremos programas específicos de encriptación o cifrado de datos.

Telecomunicaciones

Cuando, conforme al artículo 81.3 deban implantarse las medidas de seguridad de nivel alto, la transmisión de datos de carácter personal a través de redes públicas o redes inalámbricas de comunicaciones electrónicas se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros.

Almacenamiento

Los ficheros no automatizados se almacenarán en armarios o archivadores de documentos, que a su vez, tienen que estar ubicados en lugares con acceso protegidomediante puertas con llave.

Traslado de documentación

Durante el traslado de la documentación que contenga datos sensibles, se deben de cumplir una serie de medidas que impidan el acceso o manipulación de dichos datos.

Es importante recordar también que está prohibido crear ficheros con la finalidad exclusiva de almacenar datos personales que revelen la ideología, afiliación sindical, religión, creencias, origen racial, étnico o vida sexual.

¿Necesitas cumplir el RGPD?

Solicita varios presupuestos

Escribe aquí tu comentario

Deja un comentario

Este sitio está protegido por reCAPTCHA y se aplican la política de privacidad y los términos de servicio de Google.

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.

  1. Hola Estoy buscando información referida a datos de salud, especialmente indicados para la eleboracion de un procedimiento de comunicacion a familiares y amigos de datos relativos a serologías positivas y pruebas dignosticas comprometidas…

    1. Hola Pablo: no se si entiendo del todo tu cuestión, pero me parece que te refieres a que necesitas un sistema de envío de datos personales de nivel alto que esté dentro de la LOPD ¿es así? En ese caso lo que has de tener muy claro es el art. 101.2 que dice:

      La distribución de los soportes que contengan datos de carácter personal se realizará cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha información no sea accesible o manipulada durante su transporte.

  2. Ok Pablo, ahora lo entiendo mejor.
    En los casos que citas sería IMPRESCINDIBLE contar no sólo con el consentimiento del afectado para tratar sus datos, sino con un permiso específico para cederlos a terceros.
    Ten en cuenta que desde el punto de vista LOPD relaciones como «es su esposa (o marido)» o «familiar» no siginifican nada, es como si fuesen otro tercero cualquiera.

  3. Gracias por contestar, pero me referia si existe algun supuesto o excepcion de la ley por el cual se pueda informar (en papel u otro soporte) sobre datos de salud comprometidos.

    Ejemplo. Un donante de sangre viene a donar y es excluido automáticamente por ejemplo por una serologia positiva (sifilis por ejemplo) y automáticamente su pareja (mujer que lo desconoce tambien) ¿es posible informarla?
    O por ejemplo una serologia positiva de hepatitis c y viene un familiar a recoger su analitica debidamente acreditado de que es familiar, porque el interesado por ejemplo está ingresado hospitalariamente?

  4. Somos una pequeña empresa informàtica que estamos desarrollando una solución web para el sector asistencial de disminuidos psíquicos i geriatricos. La solución estara en servicio SAAS (Software as a service) allojada en un servidor de Internet con protocol https de comunicación y las datos de todas las entidades en un servidor Amazon S3. El nivell de confidencialidad de les datos es ALTO, son de salud física y mental. Les preguntas son:

    – Que deberiamos de comprobar en el sistema de datos de Amazon S3?
    – Como podemos garantizar el cumplimento de la LOPD con un sistema externalizado de datos?
    – Hasta que punto tenemos la responsabilidad de los datos en un sistema de hosting?
    – Que requerimientos hemos de cumplir en nuestra base de datos? (por ejemplo encriptaciones de registros)

    Gracias.
    Rafa.

    1. Hola Rafael, gracias por visitarnos y comentar.
      La pregunta excede un poco las posibilidades de respuesta en un comentario, puesto que sería necesario estudiar las cláusulas del contrato que hayáis firmado con Amazon.
      Como norma general has de entender que el Responsable del Fichero asume la total responsabilidad sobre su gestión incluyendo la elección de un posible Encargado del Tratamiento (que sería la figura de Amazon, puesto que en LOPD un mero hosting ya se considera tratamiento de datos). Lo que se trata es de cubrir los intereses de la empresa cumpliendo los condicionantes del contrato que ha de haber entre las partes (me explico: no ha de ser necesariamente un contrato aparte o específico, basta con que las exigencias de la LOPD estén incluidos en el contrato de prestación de servicios, por eso decía que sería necesario revisar el que Amazon os haya propuesto).
      En esta entrada tienes la explicación sobre este tipo de contratos: El contrato de tratamiento de datos.

  5. En relación con los datos especialmente protegidos relativos a la salud, por ejemplo, ser celiaco, o las alergias alimentarias entiendo que estarían consideradas como tales datos ¿no?
    Para una residencia universitaria que tiene servicio de comedor y por ejemplo tiene 2 alumnos celiacos tendría que cumplir todas las medidas relativas al nivel alto, solo por esa circunstancia.
    O si no estuviera incluido en ningún fichero esos datos y fuera el propio alumno el que lo dijera en el comedor a la hora de coger su comida ¿podría tomarse en cuenta solo las medidas de nivel básico por no estar incluidos en ningún fichero? (solo habría información anónima de que 2 alumnos sin especificar el nombre necesitan una dieta especial)
    ¿O existiría alguna otra forma de cumplir solo las medidas de nivel básico? ¿o no hay escapatoria?

    1. Hola Beatriz: gracias por visitarnos y comentar.
      Efectivamente estaríamos ante datos de salud a los que se deben aplicar medidas de seguridad de nivel alto, independientemente de la cantidad.
      Ahora que tu propio comentario da la clave del asunto: un dato es de carácter personal (y por tanto sujeto a LOPD) cuando puede llevar a la identificación de la persona. Si se prepara un tipo concreto de comida, pero se codifica (tipo «X3P») sin identificación personal, y luego es el propio celiaco quien coge su comida, entonces podríamos evitar la implantación de medidas de seguridad de nivel alto.

  6. Muchas gracias Jesús, no solo por contestar, también por la ayuda que supone tu blog para los que estamos empezando con esta materia.

  7. Buenos días.
    En primer lugar, gracias Jesús por este blog. Es de grandísima ayuda.
    Tengo dudas con respecto a la figura de responsable de seguridad en una pequeñísima empresa que debe aplicar medidas de seguridad de nivel alto (por el trabajo de un fisioterapeuta)
    1. El responsable de seguridad tiene alguna responsabilidad ante el inclumplimiento de alguna norma de seguridad?
    Lo comento porque si la responsable de seguridad soy yo, que llevo temas de administración, no puedo responsabilizarme de que el fisioterapueta, que es el único que trata sus datos de salud, cumpla con sus obligaciones.
    Muchas gracias y un saludo

  8. Gracias Jesús por la rápida respuesta y por toda la información que hay en este blog. Me resulta de grandísima utilidad

  9. Tengo una duda. Según la ley, ¿en caso de modificación de los datos es requerido guardar un log de la modificación con el valor anterior y posterior del dato?

    Muchas gracias

    1. Enrique, pregunta compleja que habría que analizar en cada caso, aunque como norma general el valor anterior debe ser destruido. Por tanto el log serviría básicamente para identificar el acceso,

  10. con referencia al articulo 101 1. La identificación de los soportes se deberá realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido, y que dificulten la identificación para el resto de personas.
    ¿a que se refiere concretamente el concepto de etiquetado? ¿podría darme algún ejemplo por favor?
    muchas gracias y un saludo

    1. antonioC:
      un ejemplo clásico con soporte papel sería los ficheros AZ que cualquier empresa o su asesoría guarda de las nóminas de los empleados. No es buena práctica marcarlos como «Nóminas empleados año xxxx» porque identifica su contenido ante cualquiera. La etiqueta que los clasifique debería ser comprensible sólo para las personas que profesionalmente deban tener acceso a esa documentación.

  11. Muchas gracias por la respuesta. En soporte papel queda claro. He de suponer que en soporte automatizado no se utiliza un sistema de etiquetado? o si existe por favor, podría darme otro ejemplo…
    reciba un cordial saludo.

    1. antonioC: más o menos sería el mismo caso, pero aplicado a la etiqueta de un DVD o incluso al nombre de un archivo guardado en un disco duro o pendrive.

  12. Hola a todos.

    Tengo información de CLIENTES, que quiero dar de alta ante la Agencia de Protección de Datos.

    La información la catalogo como de nivel MEDIO. Ahora bien, hay unos pocos clientes de todos estos que su información es de nivel ALTO.

    Me planteo qué es mejor hacer:
    1) Dar de alta un único fichero de nivel ALTO: CLIENTES.
    2) Dar de alta un fichero de nivel medio ‘CLIENTES’ y otro fichero de nivel alto ‘OTROS CLIENTES’.

    ¿Qué opináis?

    Un saludo.

    1. Hola Jorge: en mi opinión no tendría mucho sentido. Teniendo en cuenta que entre nivel alto y medio las diferencias son pequeñas, yo inscribiría un sólo fichero de nivel alto y de esta forma tendría un sólo procedimiento para el tratamiento de esos datos. Haciendo dos ficheros deberías estar continuamente pensando si un cliente pertenece a un nivel o al otro con el riesgo de un posible error.

  13. Hola Jesus, si puedieras ayudarnos seria genial, necesitamos saber como podemos cumplir la ley 104, necesitamos enviar archivos en PDF con los resultados de pruebas psicologicas a los clientes. La pregunta es, enviarlos a travez de una conexion SSL es suficiente?, o necesitamos encriptar el PDF para enviarlo?, lo digo por que los usuarios no sabrian como abrirlo sino.

    De no ser asi. Seria una alternativa no enviar el archivo sino dejarlo en el servidor y permitir al usuario que lo descargue accediendo al sitio con su email y clave que se le ha enviado por correo electronico anteriormente para cumplimentar los datos del test?

    Gracias por su ayuda, he encontrado el articulo muy informativo.

  14. Me referia al articulo 104, perdona, me confundo un poco aun con todo esto:

    ahora que lo vuelvo a leer, en teoria la red no es publica es la red de la oficina de trabajo, o al ser enviado por internet se considera ya publica?…

    Artículo 104. Telecomunicaciones.

    Cuando, conforme al artículo 81.3 deban implantarse las medidas de seguridad de nivel alto, la transmisión de datos de carácter personal a través de redes públicas o redes inalámbricas de comunicaciones electrónicas se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros.

    1. George: efectivamente un envío por internet cae dentro del ámbito de aplicación de este artículo, y por tanto no sirve un envío en PDF ni tampoco el sistema login/password que comentas: en ambos casos estaríamos ante datos de nivel alto que viajan por internet sin estar protegidos.

  15. Muchas gracias por las aclaraciones Jesus, significa esto que lo unico que podemos hacer es utilizar algun tipo de encriptacion complejo para poder enviar los datos por correo electronico?.

    Sabes si existe alguna manera enviarlo de manera segura y que no requiera conocimientoa avanzados de informatica por parte del usuario para poder abrir el documento?, o la unica posible alternativa seria enviarlo como un impreso fisico (en papel) a travez de correo tradicional? (supongo que enviandolo en papel cumpliriamos la LOPD?)

  16. Perdona que pregunte tanto Jesus, he estado mirando como lo hacen los medicos para envio de resultados de laboratorio, y lo que me han hecho es simplemente pedir mi consentimiento para enviarmelo.

    La pregunta es simplemente, si el usuario da su consentimiento de recibir los resultados por email y nos facilita el email al que lo quiere recibir, estariamos cumpliendo con la ley?

    Muchas gracias por la ayuda Jesus!, sin duda la mencion de honor al mejor blog en proteccion de datos la teneis bien merecida!

    1. George: el consentimiento y las medidas de seguridad son cuestiones distintas. El usuario debe necesariamente prestar su consentimiento para el uso de sus datos, pero eso no autoriza al responsable a saltarse las medidas de seguridad, sobre las que el usuario no dispone de control ninguno.

  17. Buenos días.
    Lo mejor que habría que hacer para lo que comentas, George, según creo yo, es instalar un certificado de seguridad en las páginas en la que el usuario pueda acceder con su usuario/contraseña y en dónde esté la información que queréis proporcionarle (https).

    También podríais si no probar con PGP o encriptación propia del archivo.

    ¿O quizás a las malas comprimir el archivo con encriptación y clave?

    Saludos.

  18. Hola Jorge, gracias por tus comentarios, si, enviarlo encriptado seria lo suyo, el problema de esto es que ha de ser un metodo de encriptacion que no sea «rompible» segun el documento que comenta Jesus mas arriba en el PDF
    Lo primero que habiamos pensado fue lo del https, pero segun comenta Jesus tampoco es una opcion valida.

    Lo ideal seria poner una buena encriptacion para enviarlo seguro, sin embargo el problema es que el usuario promedio que recibira el archivo tendra conocimientos minimos, como mucho sabra utilizar el outlook para revisar los correos y poco mas.

  19. Hola Jesús. He estado leyendo los comentario a este post, y en concreto, la consulta que realizó en su día la usuaria Beatriz relativa a las medidas a aplicar en el caso del comedor de universidad. En la respuesta que le dabas se mencionaba la posibilidad de evitar la inscripción como fichero de nivel alto, procediendo a la codificación del dato de salud y posteriormente solicitando la comida por el interesado. Pues bien, no termino de entender cómo es posible evitar la inscripción de nivel alto, ya que en algún momento del procedimiento alguien de la entidad responsable del fichero, ha sido conocedor de este dato de salud y a su vez lo ha tenido que trasladar a alguien para proceder a preparar en este caso, una determinada comida. De hecho, en última instancia, la codificación del plato y el alumno, termina cayendo por su propio peso si es el alumno, personalmente (por tanto, de manera identificable) quien solicita el plato codificado (con identificación diferente al resto de platos). No sé si me he explicado correctamente. El tema de la codificaciones en los datos de salud me resulta muy compleja de entender.

    1. Laura: «conocer un dato» es distinto a tener el dato en un fichero organizado de datos personales, y es esto último lo que genera las obligaciones legales. En cada caso habría que estudiar el procedimiento a seguir, pero ten en cuenta que Beatriz comentaba un ejemplo muy básico, con 2 alumnos celiacos en una residencia universitaria.

  20. No termino de verlo claro. En cualquier caso, conocer un dato, sí genera obligaciones legales respecto del «conocedor» como por ejemplo, el deber de secreto.

    En un caso similar, por ejemplo, una empresa dedicada a atender servicios sociales, que tiene personal a su servicio dedicado al cuidado de personas mayores. Esta empresa es conocedora de datos de salud de los pacientes (clientes) y necesita comunicar estos datos a los cuidadores (empleados) para que puedan desempeñar adecuadamente su trabajo.

    Esos datos de salud, son de nivel alto (se especificarían enfermedades) por tanto, aunque los empleados sólo sean conocedores, la empresa es poseedora de datos de nivel alto y por ello, debe aplicar las medidas de seguridad de este nivel.

    Este caso, lo veo similar al que planteaba Beatriz, y sigo sin ver la posibilidad de no implantar medidas de nivel alto.

    Disculpa las molestias Jesús, pero no consigo entender el caso.

    1. Laura: por eso decía que habría que verlo en cada caso, el ejemplo que me das es muy distinto porque se trata de datos muy personalizados que exigen seguimiento, llevar fichas, etc… La opción que le daba a Beatriz es inaplicable en un centro de salud.
      Ahora imagina que tengo un restaurante y en la carta incluyo un menú para celiacos, llega un cliente y lo pide. ¿Estoy obligado a instaurar medidas de seguridad de nivel alto en mi restaurante? Obviamente no, salvo que abriera una ficha de ese cliente e indicara específicamente que es celiaco. Por supuesto existe el deber de secreto y no puedo ir contando por ahí que sé que esa persona es celiaca, pero no por eso he de modificar las medidas de seguridad de mi fichero de clientes.

  21. Buenos días Jesús. Sigo con los datos de salud que me traen de cabeza. En este caso con los partes de baja por enfermedad común.
    He leído en diversos blogs de LOPD y en informes de la agencia que, resumiendo, cuando estos informes no especifican la enfermedad en concreto del trabajador, no se consideran datos de nivel alto. Sin embargo, en todos los partes de baja médica que he podido ver, en la casilla diagnóstico, sí aparece ese dato (por ejemplo, gripe), entonces entiendo que todas las empresas que conservan o solicitan los partes de baja manejan datos de nivel alto. De hecho, es inevitable que la empresa maneje estos datos ya que en todo momento ha de saber el por qué de la baja del trabajador. Entonces, a este respecto, parece inevitable tener que aplicar algunas medidas de seguridad de nivel alto como la identificación del acceso a esta información del artículo 113 RLOPD, o ¿estaríamos en este caso, el del parte de baja por gripe, ante uno de los supuestos que enumera el artículo 81.5.a) o 81.6 del RLOPD?

    Gracias nuevamente

  22. La empresa no necesita guardar en un fichero el parte completo, le basta con saber «apto / no apto».
    Disculpa si no me extiendo mas pero ando unos días de vacaciones sin ordenador y estoy respondiendo con el movil.

  23. Gracias Jesús por responder en tu tiempo de vacaciones.

    Entonces, entiendo que los parte de baja, aunque sea por enfermedad común, si se guardan, son un de nivel alto.

    Un saludo

  24. Laura: es que la empresa no debe ni siquiera recibir esos datos. Mira el art. 22.4 de la ley de riesgos laborales.

  25. Lo sé, pero son los propios facultativos los que en la casilla DIAGNÓSTICO hacen un breve resumen de la enfermedad (aunque sea una simple gripe). En estos casos,¿incurren en algún tipo de irregularidad? ¿o les ampara alguna otra normativa? Es que no entiendo como en los partes de baja (que son tres copias, y una se sabe que es para el empresario) aparece la casilla DIAGNÓSTICO para especificar la enfermedad común si es un dato que no debe llegar al empresario

  26. No me queda claro en qué artículo de la ley de protección de datos o de la violencia de género, indica que los datos de violencia de género tenga un nivel ALTO de protección.

    Un saludo.

  27. Buenos días Jesús, primero de todo, darte las gracias por este pos, ya que sirve de gran ayuda.

    Mi duda es la siguiente: una asesoría, con clientes que son empresas jurídicas, éstas tienen trabajadores, y cada día la asesoría recibe partes de baja, en los cuales sale el diagnóstico. Sea por operaciones u otras causas de baja. La asesoría pasa el parte médico de baja a la Seguridad social por sistema de red, y luego las confirmaciones de baja, y finalmente el alta.
    En este sentido, la asesoría tiene que hacer un fichero de nivel alto?entiendo que entra dentro de la relación laboral que tiene con los clientes, y es un trabajo más. Éstos partes se archivan, o bien la asesoría los tiene que destruir?Si se destruyen no haría falta hacer un archivo de nivel alto, no?

    1. Elena: efectivamente esa información forma parte de una relación contractual, es necesaria para llevar a cabo el trabajo y no tiene una finalidad relacionada con la salud, sino con cumplimiento de legislación laboral, por lo que no es necesario un fichero de nivel alto.

      La otra pregunta dependerá de las condiciones establecidas entre empresa y asesoría en el oportuno contrato de tratamiento.

  28. Hola Jesús.
    Muchas gracias por este blog, me está resultando de mucha ayuda en este tema de la protección de datos.
    Trabajo para una asociación católica. Hemos inscrito el fichero de los miembros de la asociación como de nivel alto, ya que recoge datos de los que se deducen sus creencias.
    Hay un solo empleado que maneja la base de datos Access de miembros de la asociación; todos los demás, si necesitamos un dato, se lo pedimos a él. Como el responsable del fichero es la asociación, deberíamos implementar un registro de accesos con las características que detalla la Ley.
    ¿Se te ocurre alguna forma en la que podríamos gestionarlo?
    He consultado a la agencia de protección de datos si el registro puede llevarse de forma manual, pero me han contestado transcribiendo el artículo de la Ley que se refiere al control de acceso a datos, así que no me ha aclarado nada…
    Actualmente se lleva un registro manual de todas las modificaciones, ya que son escasas y es fácil hacerlo.
    Saludos y gracias otra vez

    1. Marta: me parece correcto que le registro sea manual. Eso sí, el acceso al mismo ha de ser tan restringido y vigilado como sea posible.

  29. Hola Jesús,

    Yo quería hacerte una pregunta relacionada con el Art.103 del Reglamento. En concreto es saber si es necesario el control del registro de accesos y el informe mensual en mi empres, en la cual la herramienta que trata este fichero, es sólo un usuario y concretamente es el responsable de seguridad.

    Muchas gracias.

    1. Hola I.E.: la clave estaría en ver si se cumplen las condiciones del apartado 6 de ese artículo:

      6. No será necesario el registro de accesos definido en este artículo en caso de que concurran las siguientes circunstancias:

      a) Que el responsable del fichero o del tratamiento sea una persona física.
      b) Que el responsable del fichero o del tratamiento garantice que únicamente él tiene acceso y trata los datos personales.
      La concurrencia de las dos circunstancias a las que se refiere el apartado anterior deberá hacerse constar expresamente en el documento de seguridad.

      Pero si como me parece entender me hablas de un empleado de la empresa, no sería una opción posible.

  30. Gracias Jesús. Efectivamente el acceso es de un empleado. Pero como el acceso a la documentación conforme al artículo 113 apartado 2, establece que se deben adoptar mecanismos que identifiquen el acceso únicamente si a los documentos acceden múltiples usuarios, pensé que en el caso del programa informático podría ser igual siendo sólo él la única persona que accede.

    Un saludo.

  31. En el caso de un ERP con datos de RH, para habilitar para un determinado grupo de personas el acceso, di estas personas no trabajan en el edificio donde el HW y el SF están alojados, sería obligatorio encriptar las comunicaciones entre edificios?

    1. María: difícil responder con rigor sin hacer una auditoría de los sistemas de comunicación de la empresa.

  32. Alejandra: no es cuestión de si está bien o mal, eso es otra materia, en este blog hablamos de si algo es legal o no, y filmar a una persona sin su consentimiento no lo es. De todas formas por el lenguaje y el tipo de correo que tiene, me parece que es usted argentina, y yo le hablo de la legislación española. Es posible que en Argentina no sea igual, no conozco la ley de protección de datos de allí.

  33. Buenos dias:
    En cuanto al registro de accesos se refiere, es quizás una de las normativas mas problemáticas para cumplir. ¿Que método podemos aplicar los que no disponemos de windows pro para conseguir dicho registro de accesos?

  34. Hola Jesús.

    Me pongo en contacto contigo por una consulta de la cuál creo que se la respuesta pero necesito confirmarlo al 100%.

    En el caso de disponer de una máquina virtual, que se encuentra montada en una plataforma de virutalización y cuyos datos residen en una plataforma de almacenamiento, y aunque a través de etas plataformas de virtualización y almacenamiento no acceda directamente al dato en sí (ya que para acceder directamente debo acceder a la máquina virtual), la consulta es:

    ¿Debo guardar los logs de estas plataformas por si se produce un borrado de la información?

    Aunque no acceda directamente al dato, desde cada una de estas plataformas puedo borrar, por ejemplo, la máquina virtual que contiene el dato o el Disco que contiene la información en sí sin acceder a él. Por ello, en mi opinión, debo guardar estos logs por posibles incidencias a tratar (más aún si tratara datos de Nivel Alto). ¿Podrías confirmarme si estoy en lo cierto?

    Muchas gracias por tu atención.

    Un saludo.

  35. Buenos días Jesús.

    Muchísimas gracias por tu rápida respuesta. Imaginaba que los tiros iban por ahí, de ahí mi comentario, pero ya me queda la constancia al 100%.

    Solo necesito realizarte una última pregunta, de la cuál creo que también se la respuesta, pero quiero igualmente estar completamente seguro:

    En el caso de tratar datos de Nivel Alto, con carácter mensual hay que elaborar un Informe sobre los accesos que se hayan producido (tanto autorizados como no autorizados).

    Estos logs que yo debería de guardar por posibles incidencias, mostrarán actividades realizadas sobre el Sistema de Información (por un posible borrado) pero no de datos concretos accedidos.

    Por esta razón, ¿debo contemplar en el informe mensual actividad que muestren estos logs?

    Yo entiendo que no, ya que esos logs me sirven para trazar ciertas acciones pero no muestran qué datos de carácter personal han sido accedidos o se ha intentado acceder a ellos;

    Por esto entiendo que debo almacenar y vigilar estos logs por trazabilidad y/o posibles incidencias, pero no tengo que elaborar informe mensual porque no van a mostrar accesos a datos de carácter personal.

    ¿Estoy en lo cierto?

    De nuevo, muchísimas gracias por tu atención.

    Un saludo.

    1. Efectivamente Luis, mientras no se trate de acceso a datos personales no es necesario pormenorizar los detalles en el informe.

  36. Jesús muchísimas gracias por todas tus respuestas, me son de gran ayuda la verdad.

    Cómo, me gustaría hacerte la que espero sea una última pregunta a este hilo de preguntas que te he realizado ahora:

    ¿Un borrado de información debe tratarse, o se considera, como un acceso a la misma? Esto lo pregunto porque, si yo puedo borrar esa información de la que hablaba aunque no acceda a ella, ¿Debería tratarlo como un acceso e informar mensualmente de posibles borrados que se realicen? ¿Debería implantar algún tipo de alerta para que el sistema me informe de si se ha producido un borrado no autorizado?

    De nuevo, muchísimas gracias por tu atención.

    Un saludo.

    1. Luis: yo consideraría que sí, en mi opinión un borrado equivale a un acceso, aunque no haya sido directo.

  37. Buenos días, yo quería hacer una consulta relacionada con la recepción de datos especialmente protegidos. Concretamente es sobre un centro médico que solicita a sus pacientes datos de salud (informes médicos para su evaluación), y el paciente los envía por correo electrónico… ¿quién es responsable de adoptar las correspondientes medidas de seguridad del Reglamento?, ¿quien es responsable de ese envío? ¿que medidas debe adoptar en este caso el centro médico?.

    Muchas gracias.

    1. IE: el responsable de los datos que maneja siempre será el centro médico. Las medidas a adoptar serían las indicadas en el reglamento como de nivel alto, puesto que se trata de datos de salud.

  38. Quiero montar una asociación de una enfermedad. Los socios no tienen por qué ser enfermos necesariamente. Si en la ficha de inscripción no pregunto ningún dato de salud ¿mi fichero debería a pesar de todo ser de «Nivel alto»?

  39. Hola.
    Nuestra aplicacion contiene informacion de salud. Por tanto el nivel de Lopd a tener en cuenta es el ALTO.

    El hosting que nos estamos planteando esta en Valencia, pero el Datacenter en Francia.

    La ley LOPD española que debemos de cumplir, es la que tiene que cumplir el datacenter frances, que debe ser la europea?

    Muchas gracias.
    Rafa.

  40. Jesús Pérez, no sé que más información te puedo facilitar. Es una asociación sobre una enfermedad. Se puede asociar todo el mundo. En el formulario de inscripción no se piden datos de la enfermedad. No sé si debemos poner nivel alto o no a nuestro fichero.

    1. Gerard: sin conocer el tratamiento interno y usos que se de a la información es difícil responder. la LOPD no está sólo en la recogida de información.

  41. Gestiono los pacientes de mi clínica dental con un programa de IBM ya desaparecido y que no dispone de forma de hacer un registro de accesos. Por lo demás funciona extraordinariamente bien y lo uso desde hace 20 años.

    El registro de acceso de datos se debe de hacer cada vez que alguien acceda a un registro y cada día accedemos a los registros un centenar de veces y mantener esos datos dos años. No entiendo cómo puedo cumplir con esa ley.

    ¿qué puedo hacer? Agradecería cualquier ayuda.

    1. Gonzalo: con ese software imposible, si no tiene esa función. Tendrá que plantearse el cambio o jugársela a que nunca pase nada.

  42. Buenos días, Jesús

    Lo primero, gracias por este blog.
    Lo segundo, tengo una duda con respecto a mi empresa: deseo enviar a mis trabajadores sus reconocimientos médico anuales por mail. Necesito su autorización expresa, pero, qué se entiende por autorización expresa?? Vale que marquen con una X en un formulario típo y estampen su firma o necesito una autorización personal y escrita por el trabajador?? Muchas gracias por la colaboración

  43. Hola Jesús:

    ¿Puede un médico utilizar una plataforma de email marketing para agrupar a sus pacientes en función de la enfermedad que hayan tenido de forma que pueda enviarles correos electrónicos con consejos para dicha enfermedad a cada uno de esos grupos?

    ¿Y qué requisitos principales tendría que cumplir la plataforma de email marketing para que eso se pudiera hacer de modo seguro?

    ¿Y en caso de que fuera posible, habría que firmar algún tipo de documento con el permiso del paciente?

    Muchas gracias

    1. Fede: el médico necesita el consentimiento explícito del paciente para la recepción de esos correos, la plataforma deberá cumplir de forma genérica las exigencias de nivel alto en lo que se refiere a telecomunicaciones, en especial, el envío cifrado de la información.

      1. Muchas Gracias por la respuesta Jesús.

        La duda se me genera ahora, por ejemplo, en aquellos servicios de email marketing como Mailchimp o por ejemplo de videoconferencia como Skype, en los que te dicen que la información va cifrada, pero que de alguna forma ellos pueden revisar los contenidos enviados por razones de seguridad.

        ¿En ese caso valdría con el consentimiento explícito del paciente o directamente se puede decir que no cumplen con las exigencias para datos de nivel alto?

        Un saludo

  44. Buenos días Jesús, yo tengo una duda que me gustaría que pudieras resolver. Tengo un programa para la gestión de nóminas, el cual incluye un campo para poder introducir la causa o patología de la baja médica de un trabajador. En cambio, nosotros este dato nunca lo hemos solicitado y por tanto nunca hemos cumplimentado este apartado de la aplicación.
    Tengo entendido que éste fichero, si no tiene datos de salud, se le puede aplicar en nivel básico de seguridad. Por tanto, entiendo que si no uso y no pido esta información a los empleados, podré aplicar el nivel básico, es correcto?

  45. EN LA SOLICITUD DE MATRÍCULA DE UN CENTRO INFANTIL DE 0 A 3 AÑOS SE VA A INCLUIR LAS SIGUIENTES PREGUNTAS A PARTE DE LOS DATOS BÁSICOS, CON LA
    FINALIDAD DE QUE SUS MONITORES PRESTEN UN MEJOR SERVICIO:
    ¿PADECE EL ALUMNO ALGUNA ENFERMEDAD? ¿CUAL?
    ¿ES ALÉRGICO A ALGO?
    ¿TOMA ALGUNA MEDICACIÓN DE FORMA CONTINUA? ¿CUAL?
    ¿CUAL SERÍA EL NIVEL DE SEGURIDAD DE LOS DATOS? ¿SE PUEDE APLICAR UN NIVEL BÁSICO O TIENE QUE SER UN NIVEL ALTO?

    1. Al tratar con datos catalogados de especialmente protegidos, datos de salud o posibles enfermedades de lo menores, el nivel de seguridad será alto. Recordarte Miguel que el solicitar ese tipo de información requiere un consentimiento de los padres o tutores de los niños.

  46. Buen día,
    Tengo una consulta con respecto a los controles que debería de colocar a una parte de un proyecto que estoy realizando para una entidad.
    Mi aplicación logueará con el DNI de los clientes, esta información del DNI, ¿debería de viajar cifrada o con algún método de encriptación?
    Qué nivel de protección debo de darle.

    1. El nivel de seguridad que debes de adoptar, dependerá del tipo de datos que contenga el proyecto. Si contiene únicamente el DNI e incluso a mayores nombre, edad, etc. será suficiente la implantación del nivel de seguridad básico y, por tanto , no existe obligación de encriptar dicha información. Recuerda que esto será siempre que no trates con datos catalogados por la Agencia de especialmente protegidos y no te olvides de tramitar el alta en la AEPD.

  47. Buneas tardes y felicidades por el blog, es de gran ayuda. Veo que estápublicado el Marzo 2011. La pregunta es, ha cambiado algo? has escrito algún post nuevo? Mil gracias!

  48. Feliz día y felicidades por este blog tan interesante. Te agradecería la respuesta a esta pregunta. Gracias de antemano. Mi pregunta es la siguiente: ¿en aquellos servicios de videoconferencia como Skype, en los que te dicen que la información va cifrada, pero que de alguna forma ellos pueden revisar los contenidos enviados por razones de seguridad, valdría con el consentimiento explícito del paciente o directamente se puede decir que no cumplen con las exigencias para datos de nivel alto?

    1. Buenos días Jorge,
      Me alegro que te guste el blog. Respecto a lo que me comentas, yo considero arriesgado transmitir datos especialmente protegidos como son los datos de salud, a través de videoconferencia. En Skype dicen que están cifrados y protegidos de usuarios malintencionados pero a esos datos puede tener acceso la compañía. No obstante, se informará al paciente concretamente sobre esto. Muchas gracias por leer el blog y por tu consulta

  49. Buenas tardes, Jesús:

    Enhorabuena por el blog y muchas gracias por la información que compartes en él.
    Mi consulta es la siguiente:

    ¿Cuál es el procedimiento correcto que deben seguir los centros hospitalarios o médicos españoles para enviar informes médicos a sus pacientes a través de correo electrónico? El envío sería tanto a pacientes nacionales como internacionales.

    Muchísimas gracias por tu tiempo y respuesta

    1. Buenos días Maisda,

      Los datos de salud se consideran datos especialmente protegidos y necesitan unas medidas de nivel alto. Para transmitir esos datos debe hacerse cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha información no sea accesible o manipulada por personas no autorizadas. Gracias por leer el blog y por tu consulta

  50. Hola,

    Estoy haciendo una plataforma web para prestar una terapia por lo que voy a tener datos de salud por lo que tengo que poner el nivel alto. El administrador podrá ver todos los datos de los usuarios y de sus trabajadores, y a su vez los trabajadores podrán ver los datos de sus usuarios asignados. Todos acceden con su email y contraseña, con lo que creo que esto valdría para la autentificación. Mi duda principal es que por lo que leo los datos tienen que ir con un sistema de etiquetado, pero esta base de datos está online como puedo etiquetarlos?

    Un saludo y enhorabuena por el blog.

    1. Buenos días Laura,

      Los datos de salud se consideran datos especialmente protegidos por lo que es necesario cifrarlos para que no pueda asociarse el datos a la persona en concreto y solo puedan acceder a ellos las personas autorizadas que dispongan del código para descifrarlos. Deberías hablarlo con alguna empresa informática que se encargue de este cifrado. Gracias a ti por leer el blog y por tu consulta

  51. Hola
    ¿¿¿ Si yo mando un documento con datos de salud a un compañero por e-mail debo, según el artículo 104. Telecomunicaciones. “la transmisión de datos de carácter personal a través de redes públicas o redes inalámbricas de comunicaciones electrónicas se realizará cifrando dichos datos” cifrar el contenido de este correo???? . ¿Es una red pública o una red privada?
    Muchas gracias

    1. Buenos días Jesús,
      Salvo que los correos se envíen dentro de una intranet de empresa, se utiliza una red pública y no es aconsejable el envío de datos de nivel alto a través de estos sitemas. Si se hace, debe cifrarse el contenido de esos emails. Gracias por leer el blog y por tu consulta

  52. Buenas tardes Jesús, gracias de antemano por la labor que haces.
    Soy un desarrollador de software y quiero crearle a una amiga fisioterapeuta un sistema para que gestione sus citas con sus clientes así como sus historias clínicas. La única persona con acceso a la app sería ella mediante Login de user y password. Me he planteado la opción de alojar los datos en un servidor web (podría cifrarlos antes de subirlos) para que pueda consultarlos desde su smartphone en cualquier lugar. Al ser datos de nivel ALTO, sería esto posible? De no serlo, habría alguna otra alternativa almacenando los datos en un servidor local?
    Muchas gracias.

    1. Buenas tardes Marcos, sí podría usar un servidor web para alojar los datos pero siempre cumpliendo las adecuadas medidas de seguridad, como el cifrado de los datos. También debe informar a sus pacientes de que sus datos se van a alojar en ese servidor y firmar con la empresa que lleve ese alojamiento el correspondiente contrato de encargado del tratamiento para garantizar que cumplen la normativa de protección de datos.