[{"@context":"http:\/\/schema.org\/","@type":"BlogPosting","@id":"https:\/\/ayudaleyprotecciondatos.es\/2016\/07\/12\/medidas-seguridad-nivel-alto\/#BlogPosting","mainEntityOfPage":"https:\/\/ayudaleyprotecciondatos.es\/2016\/07\/12\/medidas-seguridad-nivel-alto\/","headline":"Medidas de seguridad de nivel alto","name":"Medidas de seguridad de nivel alto","description":"Dentro de las empresas se deben aportar una serie de medidas t\u00e9cnicas para garantizar que los datos personales no se alteren ni se transpapelen , as\u00ed pues la LOPD clasifica estas medidas en tres niveles; b\u00e1sico, medio y alto.","datePublished":"2016-07-12","dateModified":"2021-09-22","author":{"@type":"Person","@id":"https:\/\/ayudaleyprotecciondatos.es\/author\/agonzar34\/#Person","name":"Ana Gonz\u00e1lez","url":"https:\/\/ayudaleyprotecciondatos.es\/author\/agonzar34\/","image":{"@type":"ImageObject","@id":"https:\/\/secure.gravatar.com\/avatar\/9d20ce04c893956aaa747aa424b64675?s=96&d=blank&r=g","url":"https:\/\/secure.gravatar.com\/avatar\/9d20ce04c893956aaa747aa424b64675?s=96&d=blank&r=g","height":96,"width":96}},"publisher":{"@type":"Organization","name":"AyudaLeyProteccionDatos","logo":{"@type":"ImageObject","@id":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/01\/ayuda-ley-proteccion-datos.png","url":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/01\/ayuda-ley-proteccion-datos.png","width":600,"height":60}},"image":{"@type":"ImageObject","@id":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/01\/ayuda-ley-proteccion-datos.png","url":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/01\/ayuda-ley-proteccion-datos.png","width":100,"height":100},"url":"https:\/\/ayudaleyprotecciondatos.es\/2016\/07\/12\/medidas-seguridad-nivel-alto\/","commentCount":"95","comment":[{"@type":"Comment","@id":"https:\/\/ayudaleyprotecciondatos.es\/2016\/07\/12\/medidas-seguridad-nivel-alto\/#Comment1","dateCreated":"2019-05-29 16:48:15","description":"Buenas tardes Marcos, s\u00ed podr\u00eda usar un servidor web para alojar los datos pero siempre cumpliendo las adecuadas medidas de seguridad, como el cifrado de los datos. Tambi\u00e9n debe informar a sus pacientes de que sus datos se van a alojar en ese servidor y firmar con la empresa que lleve ese alojamiento el correspondiente contrato de encargado del tratamiento para garantizar que cumplen la normativa de protecci\u00f3n de datos.","author":{"@type":"Person","name":"Ana Gonz\u00e1lez","url":""}},{"@type":"Comment","@id":"https:\/\/ayudaleyprotecciondatos.es\/2016\/07\/12\/medidas-seguridad-nivel-alto\/#Comment2","dateCreated":"2019-05-29 16:20:22","description":"Buenas tardes Jes\u00fas, gracias de antemano por la labor que haces.\r\nSoy un desarrollador de software y quiero crearle a una amiga fisioterapeuta un sistema para que gestione sus citas con sus clientes as\u00ed como sus historias cl\u00ednicas. La \u00fanica persona con acceso a la app ser\u00eda ella mediante Login de user y password. Me he planteado la opci\u00f3n de alojar los datos en un servidor web (podr\u00eda cifrarlos antes de subirlos) para que pueda consultarlos desde su smartphone en cualquier lugar. Al ser datos de nivel ALTO, ser\u00eda esto posible? De no serlo, habr\u00eda alguna otra alternativa almacenando los datos en un servidor local? \r\nMuchas gracias.","author":{"@type":"Person","name":"marcos glez","url":""}},{"@type":"Comment","@id":"https:\/\/ayudaleyprotecciondatos.es\/2016\/07\/12\/medidas-seguridad-nivel-alto\/#Comment3","dateCreated":"2017-07-06 08:56:58","description":"Buenos d\u00edas Jes\u00fas,\nSalvo que los correos se env\u00eden dentro de una intranet de empresa, se utiliza una red p\u00fablica y no es aconsejable el env\u00edo de datos de nivel alto a trav\u00e9s de estos sitemas. Si se hace, debe cifrarse el contenido de esos emails. Gracias por leer el blog y por tu consulta","author":{"@type":"Person","name":"Ana Gonz\u00e1lez","url":""}},{"@type":"Comment","@id":"https:\/\/ayudaleyprotecciondatos.es\/2016\/07\/12\/medidas-seguridad-nivel-alto\/#Comment4","dateCreated":"2017-06-30 10:09:26","description":"Hola\r\n\u00bf\u00bf\u00bf Si yo mando un documento con datos de salud a un compa\u00f1ero por e-mail debo, seg\u00fan el art\u00edculo 104. Telecomunicaciones. \u201cla transmisi\u00f3n de datos de car\u00e1cter personal a trav\u00e9s de redes p\u00fablicas o redes inal\u00e1mbricas de comunicaciones electr\u00f3nicas se realizar\u00e1 cifrando dichos datos\u201d cifrar el contenido de este correo???? . \u00bfEs una red p\u00fablica o una red privada?\r\nMuchas gracias","author":{"@type":"Person","name":"Jesus","url":""}},{"@type":"Comment","@id":"https:\/\/ayudaleyprotecciondatos.es\/2016\/07\/12\/medidas-seguridad-nivel-alto\/#Comment5","dateCreated":"2017-01-27 10:05:48","description":"Buenos d\u00edas Laura,\n\nLos datos de salud se consideran datos especialmente protegidos por lo que es necesario cifrarlos para que no pueda asociarse el datos a la persona en concreto y solo puedan acceder a ellos las personas autorizadas que dispongan del c\u00f3digo para descifrarlos. Deber\u00edas hablarlo con alguna empresa inform\u00e1tica que se encargue de este cifrado. Gracias a ti por leer el blog y por tu consulta","author":{"@type":"Person","name":"Ana Gonz\u00e1lez","url":""}},{"@type":"Comment","@id":"https:\/\/ayudaleyprotecciondatos.es\/2016\/07\/12\/medidas-seguridad-nivel-alto\/#Comment6","dateCreated":"2017-01-19 19:35:52","description":"Hola,\r\n\r\nEstoy haciendo una plataforma web para prestar una terapia por lo que voy a tener datos de salud por lo que tengo que poner el nivel alto. El administrador podr\u00e1 ver todos los datos de los usuarios y de sus trabajadores, y a su vez los trabajadores podr\u00e1n ver los datos de sus usuarios asignados. Todos acceden con su email y contrase\u00f1a, con lo que creo que esto valdr\u00eda para la autentificaci\u00f3n. Mi duda principal es que por lo que leo los datos tienen que ir con un sistema de etiquetado, pero esta base de datos est\u00e1 online como puedo etiquetarlos? \r\n\r\nUn saludo y enhorabuena por el blog.","author":{"@type":"Person","name":"Laura","url":""}},{"@type":"Comment","@id":"https:\/\/ayudaleyprotecciondatos.es\/2016\/07\/12\/medidas-seguridad-nivel-alto\/#Comment7","dateCreated":"2016-11-15 11:37:50","description":"Buenos d\u00edas Maisda,\n\nLos datos de salud se consideran datos especialmente protegidos y necesitan unas medidas de nivel alto. Para transmitir esos datos debe hacerse cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha informaci\u00f3n no sea accesible o manipulada por personas no autorizadas. Gracias por leer el blog y por tu consulta","author":{"@type":"Person","name":"Ana Gonz\u00e1lez","url":""}},{"@type":"Comment","@id":"https:\/\/ayudaleyprotecciondatos.es\/2016\/07\/12\/medidas-seguridad-nivel-alto\/#Comment8","dateCreated":"2016-11-14 17:06:06","description":"Buenas tardes, Jes\u00fas:\r\n\r\nEnhorabuena por el blog y muchas gracias por la informaci\u00f3n que compartes en \u00e9l. \r\nMi consulta es la siguiente:\r\n\r\n\u00bfCu\u00e1l es el procedimiento correcto que deben seguir los centros hospitalarios o m\u00e9dicos espa\u00f1oles para enviar informes m\u00e9dicos a sus pacientes a trav\u00e9s de correo electr\u00f3nico? El env\u00edo ser\u00eda tanto a pacientes nacionales como internacionales. \r\n\r\nMuch\u00edsimas gracias por tu tiempo y respuesta","author":{"@type":"Person","name":"Maisda","url":""}},{"@type":"Comment","@id":"https:\/\/ayudaleyprotecciondatos.es\/2016\/07\/12\/medidas-seguridad-nivel-alto\/#Comment9","dateCreated":"2016-08-01 11:55:02","description":"Buenos d\u00edas Jorge,\nMe alegro que te guste el blog. Respecto a lo que me comentas, yo considero arriesgado transmitir datos especialmente protegidos como son los datos de salud, a trav\u00e9s de videoconferencia. En Skype dicen que est\u00e1n cifrados y protegidos de usuarios malintencionados pero a esos datos puede tener acceso la compa\u00f1\u00eda. No obstante, se informar\u00e1 al paciente concretamente sobre esto. Muchas gracias por leer el blog y por tu consulta","author":{"@type":"Person","name":"Ana Gonz\u00e1lez","url":""}},{"@type":"Comment","@id":"https:\/\/ayudaleyprotecciondatos.es\/2016\/07\/12\/medidas-seguridad-nivel-alto\/#Comment10","dateCreated":"2016-08-01 08:43:21","description":"Feliz d\u00eda y felicidades por este blog tan interesante. Te agradecer\u00eda la respuesta a esta pregunta. Gracias de antemano. Mi pregunta es la siguiente: \u00bfen aquellos servicios de videoconferencia como Skype, en los que te dicen que la informaci\u00f3n va cifrada, pero que de alguna forma ellos pueden revisar los contenidos enviados por razones de seguridad, valdr\u00eda con el consentimiento expl\u00edcito del paciente o directamente se puede decir que no cumplen con las exigencias para datos de nivel alto?","author":{"@type":"Person","name":"Jorge","url":""}}],"about":["LOPDGDD & RGPD"],"wordCount":1213,"articleBody":" if (typeof BingeIframeRan === \"undefined\") { window.addEventListener(\"message\", receiveMessage, false); function receiveMessage(event) { try { var parsed = JSON.parse(event.data) if (parsed.context === \"iframe.resize\") { var iframes = document.getElementsByClassName(\"binge-iframe\"); for (let i = 0; i < iframes.length; ++i) { if (iframes[i].src == parsed.src || iframes[i].contentWindow === event.source) { iframes[i].height = parsed.height; } iframes[i].style.opacity = 1; } } } catch (error) { } } var BingeIframeRan = true; } Todas las empresas, independientemente de su tama\u00f1o, est\u00e1n obligadas a tomar una serie de medidas de seguridad, por lo tanto les es aplicable\u00a0la Ley de Protecci\u00f3n de Datos en sus actividades\u00a0diarias. \u201cSe deben adoptar las medidas de car\u00e1cter\u00a0t\u00e9cnico que garanticen la seguridad de los datos de car\u00e1cter personal y eviten su alteraci\u00f3n, p\u00e9rdida, tratamiento o acceso no autorizado.\u201dLas medidas de seguridad aplicables al tratamiento de datos personales dependen de la naturaleza de la informaci\u00f3n. La LOPD clasifica los ficheros en tres niveles: b\u00e1sico, medio y alto.Ficheros de nivel altoMedidas de seguridad en ficheros de nivel altoGesti\u00f3n y distribuci\u00f3n de soportesCopias de respaldo y recuperaci\u00f3nRegistro de accesosAutenticaci\u00f3n de usuariosCifrado de datosTelecomunicacionesAlmacenamientoTraslado de documentaci\u00f3n\u00bfNecesitas cumplir el RGPD?Ficheros de nivel altoAdem\u00e1s de las medidas de nivel b\u00e1sico y medio, las medidas de nivel alto se aplicar\u00e1n en los siguientes ficheros o tratamientos de datos de car\u00e1cter personal:Los que se refieran a datos de ideolog\u00eda, afiliaci\u00f3n sindical, religi\u00f3n, creencias, origen racial, salud o vida sexual.Los que contengan o se refieran a datos recabados para fines policiales sin consentimiento de las personas afectadas.Aqu\u00e9llos que contengan datos derivados de actos de violencia de g\u00e9nero.Medidas de seguridad en ficheros de nivel altoEstas son las medidas a aplicar seg\u00fan los correspondientes art\u00edculos del Reglamento LOPD:Gesti\u00f3n y distribuci\u00f3n de soportesLa identificaci\u00f3n de los soportes se deber\u00e1 realizar utilizando\u00a0sistemas de etiquetado\u00a0comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido, y que dificulten la identificaci\u00f3n para el resto de personas.La distribuci\u00f3n de los soportes que contengan datos de car\u00e1cter personal se realizar\u00e1\u00a0cifrando dichos datos\u00a0o bien utilizando otro mecanismo que garantice que dicha informaci\u00f3n no sea accesible o manipulada durante su transporte.Asimismo, se cifrar\u00e1n los datos que contengan los dispositivos port\u00e1tiles cuando \u00e9stos se encuentren fuera de las instalaciones que est\u00e1n bajo el control del responsable del fichero.Deber\u00e1 evitarse el tratamiento de datos de car\u00e1cter personal en dispositivos port\u00e1tiles que no permitan su cifrado. En caso de que sea estrictamente necesario se har\u00e1 constar motivadamente en el documento de seguridad y se adoptar\u00e1n medidas que tengan en cuenta los riesgos de realizar tratamientos en entornos desprotegidos.Copias de respaldo y recuperaci\u00f3nDeber\u00e1 conservarse una\u00a0copia de respaldo de los datos\u00a0y de los procedimientos de recuperaci\u00f3n de los mismos en un lugar diferente de aquel en que se encuentren los equipos inform\u00e1ticos que los tratan, que deber\u00e1 cumplir en todo caso las medidas de seguridad exigidas en este t\u00edtulo, o utilizando elementos que garanticen la integridad y recuperaci\u00f3n de la informaci\u00f3n, de forma que sea posible su recuperaci\u00f3n.Registro de accesosDe cada intento de acceso se guardar\u00e1n, como m\u00ednimo, la identificaci\u00f3n del usuario, la fecha y hora en que se realiz\u00f3, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado.En el caso de que el acceso haya sido autorizado, ser\u00e1 preciso guardar la informaci\u00f3n que permita identificar el registro accedido.Los mecanismos que permiten el registro de accesos estar\u00e1n bajo el control directo del\u00a0responsable de seguridad\u00a0competente sin que deban permitir la desactivaci\u00f3n ni la manipulaci\u00f3n de los mismos.El per\u00edodo m\u00ednimo de conservaci\u00f3n de los datos registrados ser\u00e1 de\u00a0dos a\u00f1os.El responsable de seguridad se encargar\u00e1 de revisar al menos una vez al mes la informaci\u00f3n de control registrada y elaborar\u00e1 un informe de las revisiones realizadas y los problemas detectados.No ser\u00e1 necesario el registro de accesos definido en este art\u00edculo en caso de que concurran las siguientes circunstancias:Que el responsable del fichero o del tratamiento sea una persona f\u00edsica.Que el responsable del fichero o del tratamiento garantice que \u00fanicamente \u00e9l tiene acceso y trata los datos personales.La concurrencia de las dos circunstancias a las que se refiere el apartado anterior deber\u00e1 hacerse constar expresamente en el\u00a0documento de seguridad rgpd.Autenticaci\u00f3n de usuariosLa autenticaci\u00f3n es el procedimiento mediante el cual se comprueba la identidad del usuario, es decir, se comprueba que es quien dice ser.Como mecanismo de seguridad es quiz\u00e1s el m\u00e1s importante, pues una vez superado\u00a0satisfactoriamente ya se puede acceder al sistema de informaci\u00f3n. Esta autenticaci\u00f3n se suele realizar a trav\u00e9s de una\u00a0contrase\u00f1a\u00a0que el usuario autorizado conoce, un\u00a0objeto\u00a0que posea (como una tarjeta) o una\u00a0caracter\u00edstica corporal\u00a0suya (huella dactilar, voz, iris, etc.).Cifrado de datosUna de las medidas de seguridad que debemos cumplir, \u00a0seg\u00fan la LOPD, si poseemos datos personales de Nivel Alto es el\u00a0cifrado de datos. Este es el\u00a0proceso mediante el cual se transforma la informaci\u00f3n de tal manera que un tercero no autorizado no pueda leerla. Los datos confidenciales se cifran con un algoritmo de cifrado y una clave que los hace ilegibles si no se conoce dicha clave.Seg\u00fan la LOPD debemos realizar el cifrado de datos en la distribuci\u00f3n de soportes, en dispositivos port\u00e1tiles fuera de las instalaciones y en la transmisi\u00f3n de datos a trav\u00e9s de redes electr\u00f3nicas. Es decir, necesitamos cifrar archivos y correos electr\u00f3nicos principalmente. Para ello utilizaremos programas espec\u00edficos de encriptaci\u00f3n o cifrado de datos.TelecomunicacionesCuando, conforme al art\u00edculo 81.3 deban implantarse las medidas de seguridad de nivel alto, la transmisi\u00f3n de datos de car\u00e1cter personal a trav\u00e9s de redes p\u00fablicas o redes inal\u00e1mbricas de comunicaciones electr\u00f3nicas se realizar\u00e1 cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la informaci\u00f3n no sea inteligible ni manipulada por terceros.AlmacenamientoLos ficheros no automatizados se\u00a0almacenar\u00e1n en armarios o archivadores de documentos, que a su vez, tienen que estar\u00a0ubicados en lugares\u00a0con\u00a0acceso protegidomediante puertas con llave.Traslado de documentaci\u00f3nDurante el traslado de la documentaci\u00f3n que contenga datos sensibles, se deben de cumplir una serie de\u00a0medidas que impidan el acceso o manipulaci\u00f3n de dichos datos.Es importante recordar tambi\u00e9n que est\u00e1 prohibido crear ficheros con la finalidad exclusiva de almacenar datos personales que revelen la ideolog\u00eda, afiliaci\u00f3n sindical, religi\u00f3n, creencias, origen racial, \u00e9tnico o vida sexual. \u00bfNecesitas cumplir el RGPD? Solicita varios presupuestos "},{"@context":"http:\/\/schema.org\/","@type":"BreadcrumbList","itemListElement":[{"@type":"ListItem","position":1,"item":{"@id":"https:\/\/ayudaleyprotecciondatos.es\/#breadcrumbitem","name":"Ayuda Ley Protecci\u00f3n Datos"}},{"@type":"ListItem","position":2,"item":{"@id":"https:\/\/ayudaleyprotecciondatos.es\/2016\/07\/12\/medidas-seguridad-nivel-alto\/#breadcrumbitem","name":"Medidas de seguridad de nivel alto"}}]}]