Todas las empresas, independientemente de su tamaño, están obligadas a tomar una serie de medidas de seguridad, por lo tanto les es aplicable la Ley de Protección de Datos en sus actividades diarias. “Se deben adoptar las medidas de carácter técnico que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado.”
Las medidas de seguridad aplicables al tratamiento de datos personales dependen de la naturaleza de la información. La LOPD clasifica los ficheros en tres niveles: básico, medio y alto.
Ficheros de nivel alto
Además de las medidas de nivel básico y medio, las medidas de nivel alto se aplicarán en los siguientes ficheros o tratamientos de datos de carácter personal:
- Los que se refieran a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual.
- Los que contengan o se refieran a datos recabados para fines policiales sin consentimiento de las personas afectadas.
- Aquéllos que contengan datos derivados de actos de violencia de género.
Medidas de seguridad en ficheros de nivel alto
Gestión y distribución de soportes
- La identificación de los soportes se deberá realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido, y que dificulten la identificación para el resto de personas.
- La distribución de los soportes que contengan datos de carácter personal se realizará cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha información no sea accesible o manipulada durante su transporte.
Asimismo, se cifrarán los datos que contengan los dispositivos portátiles cuando éstos se encuentren fuera de las instalaciones que están bajo el control del responsable del fichero. - Deberá evitarse el tratamiento de datos de carácter personal en dispositivos portátiles que no permitan su cifrado. En caso de que sea estrictamente necesario se hará constar motivadamente en el documento de seguridad y se adoptarán medidas que tengan en cuenta los riesgos de realizar tratamientos en entornos desprotegidos.
Copias de respaldo y recuperación
Deberá conservarse una copia de respaldo de los datos y de los procedimientos de recuperación de los mismos en un lugar diferente de aquel en que se encuentren los equipos informáticos que los tratan, que deberá cumplir en todo caso las medidas de seguridad exigidas en este título, o utilizando elementos que garanticen la integridad y recuperación de la información, de forma que sea posible su recuperación.
Registro de accesos
- De cada intento de acceso se guardarán, como mínimo, la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado.
- En el caso de que el acceso haya sido autorizado, será preciso guardar la información que permita identificar el registro accedido.
- Los mecanismos que permiten el registro de accesos estarán bajo el control directo del responsable de seguridad competente sin que deban permitir la desactivación ni la manipulación de los mismos.
- El período mínimo de conservación de los datos registrados será de dos años.
- El responsable de seguridad se encargará de revisar al menos una vez al mes la información de control registrada y elaborará un informe de las revisiones realizadas y los problemas detectados.
- No será necesario el registro de accesos definido en este artículo en caso de que concurran las siguientes circunstancias:
-
- Que el responsable del fichero o del tratamiento sea una persona física.
- Que el responsable del fichero o del tratamiento garantice que únicamente él tiene acceso y trata los datos personales.
La concurrencia de las dos circunstancias a las que se refiere el apartado anterior deberá hacerse constar expresamente en el documento de seguridad rgpd.
Autenticación de usuarios
La autenticación es el procedimiento mediante el cual se comprueba la identidad del usuario, es decir, se comprueba que es quien dice ser.
Como mecanismo de seguridad es quizás el más importante, pues una vez superado satisfactoriamente ya se puede acceder al sistema de información. Esta autenticación se suele realizar a través de una contraseña que el usuario autorizado conoce, un objeto que posea (como una tarjeta) o una característica corporal suya (huella dactilar, voz, iris, etc.).
Cifrado de datos
Una de las medidas de seguridad que debemos cumplir, según la LOPD, si poseemos datos personales de Nivel Alto es el cifrado de datos. Este es el proceso mediante el cual se transforma la información de tal manera que un tercero no autorizado no pueda leerla. Los datos confidenciales se cifran con un algoritmo de cifrado y una clave que los hace ilegibles si no se conoce dicha clave.
Según la LOPD debemos realizar el cifrado de datos en la distribución de soportes, en dispositivos portátiles fuera de las instalaciones y en la transmisión de datos a través de redes electrónicas. Es decir, necesitamos cifrar archivos y correos electrónicos principalmente. Para ello utilizaremos programas específicos de encriptación o cifrado de datos.
Telecomunicaciones
Cuando, conforme al artículo 81.3 deban implantarse las medidas de seguridad de nivel alto, la transmisión de datos de carácter personal a través de redes públicas o redes inalámbricas de comunicaciones electrónicas se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros.
Almacenamiento
Los ficheros no automatizados se almacenarán en armarios o archivadores de documentos, que a su vez, tienen que estar ubicados en lugares con acceso protegidomediante puertas con llave.
Traslado de documentación
Durante el traslado de la documentación que contenga datos sensibles, se deben de cumplir una serie de medidas que impidan el acceso o manipulación de dichos datos.
Es importante recordar también que está prohibido crear ficheros con la finalidad exclusiva de almacenar datos personales que revelen la ideología, afiliación sindical, religión, creencias, origen racial, étnico o vida sexual.