DOCUMENTO DE SEGURIDAD PROTECCIÓN DE DATOS (LOPD)

Toda entidad, empresa, autónomo, asociación, comunidad de propietaios..., que utilicen ficheros automatizados o manuales que contengan datos de carácter personal deben elaborar el documento de seguridad.

Este documento lo elabora el responsable del fichero, y debe contener la normativa de seguridad que se va a implantar en la empresa. Es decir, en el documento de seguridad se redactan todas las medidas técnicas y de organización que se van a adoptar en la empresa para garantizar las medidas de seguridad que han de reunir los ficheros automatizados, los equipos, los programas, las personas, los locales, etc.

Ahora bien, dependiendo del tipo de datos que contengan los ficheros, las empresas deberán cumplir una cantidad mayor o menor de requisitos para garantizar la confidencialidad y la integridad de esa información. Por lo tanto, el nivel de seguridad que debemos aplicar al documento de seguridad variará dependiendo de cuál sea la naturaleza de los datos.

Existen tres niveles de seguridad:

NIVEL ALTO. Ficheros o tratamientos con datos:

de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual y respecto de los que no se prevea la posibilidad de adoptar el nivel básico;
recabados con fines policiales sin consentimiento de las personas afectadas; y
derivados de actos de violencia de género.

NIVEL MEDIO. Ficheros o tratamientos con datos:
relativos a la comisión de infracciones administrativas o penales;
que se rijan por el artículo 29 de la LOPD (prestación de servicios de solvencia patrimonial y crédito); de Administraciones tributarias, y que se relacionen con el ejercicio de sus potestades tributarias; de entidades financieras para las finalidades relacionadas con la prestación de servicios financieros; de Entidades Gestoras y Servicios Comunes de Seguridad Social, que se relacionen con
el ejercicio de sus competencias; de mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social que ofrezcan una definición de la personalidad y permitan evaluar determinados aspectos de la misma o del comportamiento de las personas; y de los operadores de comunicaciones electrónicas, respecto de los datos de tráfico y localización* (*Para esta categoría de ficheros además deberá disponerse de un registro de accesos).

Los ficheros de nivel básico que contengan datos que permitan obtener una evaluación de la personalidad del individuo deberán garantizar, además de las medidas de nivel básico, las de nivel medio relativas a auditoría, identificación y autenticación, control de acceso físico y gestión de soportes.

NIVEL BÁSICO. Cualquier otro fichero que contenga datos de carácter personal. También aquellos ficheros que contengan datos de ideología, afiliación sindical, religión, creencias, salud, origen racial o vida sexual, cuando:
los datos se utilicen con la única finalidad de realizar una transferencia dineraria a entidades de las que los afectados sean asociados o miembros; se trate de ficheros o tratamientos de estos tipos de datos de forma incidental o accesoria,
que no guarden relación con la finalidad del fichero; y en los ficheros o tratamientos que contengan datos de salud, que se refieran exclusivamente
al grado o condición de discapacidad o la simple declaración de invalidez, con
motivo del cumplimiento de deberes públicos.

Las medidas de seguridad de nivel básico son exigibles en todos los casos. Las medidas de nivel medio complementan a las anteriores en el caso de ficheros clasificados en este nivel, y las de nivel alto, cuando deban adoptarse, incluyen también las de nivel básico y medio.

NIVEL BÁSICO

PERSONAL                Funciones y obligaciones de los diferentes usuarios o de los perfiles de usuarios                                                        claramente definidos y documentadas.

                                   Definición de las funciones de control y las autorizaciones delegadas por el        

                                   responsable.

                                   Difusión entre el personal, de las normas que les afecten y de las consecuencias 

                                   por su  incumplimiento.  

IINCIDENCIAS          Registro de incidencias: tipo, momento de su detección, persona que la notifica,   

                                   efectos y medidas correctoras.

                                   Procedimiento de notificación y gestión de las incidencias.

CONTROL DE           Relación actualizada de usuarios y accesos autorizados.                              

ACCESO                     Control de accesos permitidos a cada usuario según las funciones asignadas.

                                   Mecanismos que eviten el acceso a datos o recursos con derechos distintos de los 

                                   autorizados.

                                   Concesión de permisos de acceso sólo por personal autorizado.

                                   Mismas condiciones para personal ajeno con acceso a los recursos de datos.

IDENTIFICACIÓN    SOLO FICHEROS AUTOMATIZADOS

           Y                     Identificación y autenticación personalizada.

AUTENTICACIÓN    Procedimiento de asignación y distribución de contraseñas.

                                   Almacenamiento ininteligible de las contraseñas.

                                   Periodicidad del cambio de contraseñas

GESTIÓN DE              Inventario de soportes.

SOPORTES                 Identificación del tipo de información que contienen, o sistema de etiquetado.

                                   Acceso restringido al lugar de almacenamiento.

                                   Autorización de las salidas de soportes (incluidas a través de email)

                                   Medidas para el transporte y el desecho de soportes.

COPIAS DE                 SOLO FICHEROS AUTOMATIZADOS

RESPALDO                 Copia de respaldo semanal.

                                    Procedimientos de generación de copias de respaldo y recuperación de datos.

                                    Verificación semestral de los procedimientos.

                                    Reconstrucción de los datos a partir de la última copia.

                                    Grabación manual en su caso, si existe documentación que lo permita.

                                    Pruebas con datos reales.

                                    Copia de seguridad y aplicación del nivel de seguridad correspondiente.

CRITERIOS                 SOLO FICHEROS NO AUTOMATIZADOS

DE ARCHIVO              El archivo de los documentos debe realizarse según criterios que faciliten su  

                                     consulta y Localización para garantizar el ejercicio de los derechos de Acceso,

                                     Rectificación, Cancelación y Oposición (ARCO)

ALMACENAMIENTO SOLO FICHEROS NO AUTOMATIZADOS

                                      Dispositivos de almacenamiento dotados de mecanismos que obstaculicen su

                                      apertura.

CUSTODIA DE             SOLO FICHEROS NO AUTOMATIZADOS

DE SOPORTES              Durante la revisión o tramitación de los documentos, la persona a cargo de los

                                      mismos debe ser diligente y custodiarla para evitar accesos no autorizados.

NIVEL MEDIO

RESPONSABLE DEL     El responsable del fichero tiene que designar a uno o varios responsables de

FICHERO                        seguridad (no es una delegación de responsabilidad).

                                       El responsable de seguridad es el encargado de coordinar y controlar las

                                       medidas del documento.

INCIDENCIAS               SOLO FICHEROS AUTOMATIZADOS

                                      Anotar los procedimientos de recuperación, persona que lo ejecuta, datos

                                      restaurados, y en su caso, datos grabados manualmente.

                                      Autorización del responsable del fichero para la recuperación de datos.

CONTROLDE               SOLO FICHEROS AUTOMATIZADOS

ACCESOS                      Control de acceso físico a loslocales donde se encuentrenubicados los sistemas

                                      de Información

IDENTIFICACIÓN        SOLO FICHEROS AUTOMATIZADOS

             Y                       Limite de intentos reiterados de acceso no autorizado.

AUTENTICACIN

GESTIÓN DE                SOLO FICHEROS AUTOMATIZADOS

SOPORTES                    Registro de entrada y salida de soportes: documento o soporte, fecha,

                                      emisor/destinatario, número, tipo de información, forma de envío, responsable

                                      autorizado para recepción/entrega.

AUDITORÍA                  Al menos cada dos años, interna o externa.

                                       Debe realizarse ante modificaciones sustanciales en los sistemas de

                                       información con repercusiones en seguridad.

                                       Verificación y control de la adecuación de las medidas.

                                       Informe de detección de deficiencias y propuestas correctoras.

                                       Análisis del responsable de seguridad y conclusiones elevadas al responsable del

                                       fichero.

NIVEL ALTO

CONTROL DE            SOLO FICHEROS AUTOMATIZADOS

ACCESOS                    Registro de accesos: usuario, hora, fichero, tipo de acceso, autorizado o

                                    denegado.

                                    Revisión mensual del registro por el responsable de seguridad.

                                    Conservación 2 años.

                                    No es necesario este registro si el responsable del fichero es una persona física y

                                    es el único  usuario.

                                                      SOLO FICHEROS NO AUTOMATIZADOS

                                    Control de accesos autorizados.

                                    Identificación accesos para documentos accesibles por múltiples usuarios.

GESTIÓN DE              SOLO FICHEROS AUTOMATIZADOS

SOPORTES                  Sistema de etiquetado confidencial.

                                    Cifrado de datos en la distribución de soportes.

                                    Cifrado de información en dispositivos portátiles fuera de las instalaciones

                                    (evitar el uso de dispositivos que no permitan cifrado, o adoptar medidas

                                    alternativas).

COPIAS DE                 SOLO FICHEROS AUTOMATIZADOS

RESPALDO                 Copia de respaldo y procedimientos de recuperación en lugar diferente del que se

                                    encuentren los equipos.

ALMACENAMIENTOSOLO FICHEROS NO AUTOMATIZADOS

                                    Armarios, archivadores de documentos en áreas con acceso protegido mediante

                                    puertas con llave.

COPIAS O                  SOLO FICHEROS NO AUTOMATIZADOS

REPRODUCCION      Sólo puede realizarse por los usuarios autorizados.

                                   Destrucción de copias desechadas.

TELECOMUNI-         SOLO FICHEROS AUTOMATIZADOS

CACIONES                 Transmisión de datos a través de redes electrónicas cifradas.

TRASLADO O            SOLO FICHEROS NO AUTOMATIZADOS

COMUNICACIÓN      Medidas que impidan el acceso o manipulación.



Esta información procede de la web www.agpd.es