Area privada

Clientes 91 837 38 14 91 837 38 14

¿Aún no eres cliente?

Llámanos 91 151 37 11 91 558 98 48

Cómo elaborar la seguridad necesaria para el acceso a los ficheros de datos personales

30 junio 2014

Se deben adoptar las medidas de seguridad necesarias por el Responsable del Fichero o, en su caso, el Encargado de Tratamiento (Art. 17 Directiva 95/46/CE), para la correcta conservación de sus datos teniendo en cuenta el riesgo al que están expuestos ante una intrusión o robo de los mismos.

No se podrán registrar datos en ficheros que no reúnan las condiciones reglamentarias de seguridad (Art.9 L.O.P.D.) Sino se reúnen las condiciones necesarias, se puede incurrir en una de las infracciones graves por tener un nivel insuficiente de seguridad, por faltar al deber de secreto profesional.

Se debe de tener en cuenta:

 a) el estado de la técnica, teniendo en cuenta las innovaciones, para una seguridad actualizada;

b) la naturaleza de los datos almacenados (salud, afiliaciones sindicales, etc.);

 c) los riesgos a los que se expongan dependiendo del medio donde se encuentren almacenados.

Dependiendo de la calificación del Fichero en ficheros y tratamientos automatizados (Arts. 89 a 104 R.D. 1720/2007) y no automatizados (Arts. 105 a 114 R.D. 1720/2007), y  en los tres niveles diferentes dependiendo de la naturaleza de los Datos que se tratan, la necesidad de confidencialidad y la integridad de la información (Art.81 R.D. 1720/2007, se deben adoptar las siguientes medidas:

  1. FICHEROS DE NIVEL BÁSICO: Los dispositivos que contengan Datos de carácter personal, deberán contener mecanismos que dificulten su apertura, si no se puede realizar por las características del dispositivo, el  Encargado debe adoptar medidas para impedir su acceso.

Mientras que los Datos no estén  archivados y se encuentren en fase de revisión o tramitación, se deben adoptar medidas para su correcta custodia.

Las MEDIDAS DE SEGURIDAD DE NIVEL BÁSICO son de aplicación en todos los niveles restantes y las podemos ordenar de la siguiente manera .

-PERSONAL: las funciones y obligaciones de los diferentes usuarios o sus perfiles deben estar claramente definidas y documentadas. Se tienen que definir las funciones de control y las autorizaciones delegadas por el Responsable.Se debe difundir entre el personal las normas que les afecten y las consecuencias por su incumplimiento.

-INCIDENCIAS: registro de incidencias, especificando: tipo, momento de su detección, persona que lo notifica, efectos y medidas correctoras.

-CONTROL DE ACCESO: relación actualizada de usuarios y acceso autorizado. Control de accesos permitidos a cada usuario según las funciones asignadas. Mecanismos que eviten el acceso a datos o recursos con derechos distintos de las personas autorizadas. Concesión de permiso de acceso sólo al personal autorizado. Mismas condiciones para el personal ajeno con acceso a los recursos de datos.

-IDENTIFICACIÓN Y AUTENTICACIÓN: (sólo para los ficheros automatizados) identificación y autenticación personalizada. Procedimiento de asignación y distribución de contraseñas.

Almacenamiento ilegible de las contraseñas. Cambio de la contraseña en periodos inferiores a un año.

-GESTIÓN DE SOPORTES: inventario de los soportes. Identificación del tipo de información que contiene, o sistema de etiquetado. Acceso restringido al lugar de almacenamiento. Autorización de las salidas de soportes (incluido a través de e-mails). Medidas para el transporte y el desecho de los soportes.

-COPIAS DE RESPALDO: (sólo para ficheros automatizados) copia de respaldo semanal.

Procedimiento de generación de copias de respaldo y recuperación de datos.

Verificación semestral de los procedimientos. Reconstrucción de los datos a partir de la última copia. Grabación en su caso, si existe documentación que lo permita. Pruebas con datos reales. Copia de seguridad y aplicación del nivel correspondiente.

-CRITERIOS DE ARCHIVO: el archivo de los documentos debe realizarse según criterios que faciliten su consulta y localización para garantizar el ejercicio de los derechos de acceso, rectificación, cancelación y oposición.

-ALMACENAMIENTO: (ficheros no automatizados) dispositivos de almacenamiento dotados de mecanismos que obstaculicen su apertura.

-CUSTODIA DE SOPORTES: (ficheros no automatizados) durante la revisión o tramitación de los documentos, la persona a cargo de los ficheros debe ser diligente y custodiarlo para evitar los accesos no autorizados.

  1. FICHEROS NIVEL MEDIO: Además de los requisitos de los que disponen los Ficheros de nivel básico, estos archivos se someterán, al menos cada DOS AÑOS o cuando se produzca una modificación, a una Auditoría que verifique que se cumple con los requisitos.

Se debe designar a uno o  varios Responsables de Seguridad por cada Fichero o para todos, pero el Responsable del Fichero sigue asumiendo la responsabilidad sobre el mismo.  El Informe de las Auditorías debe informar sobre (Art.95 R.D. 1720/2007):

  • La adecuación de las medidas y controles de adecuación a la Ley y su Reglamento.
  • Hechos y observaciones en que se basen los dictámenes alcanzados.
  • Los informes serán analizados por el Responsable de Seguridad, que los elevará al Responsable del Fichero o Tratamiento para corregir los errores; y quedarán a disposición de la AEPD o sus equivalentes Autoridades autonómicas.

Registro de entradas se tienen que incluir un Registro donde se permita conocer:

-Fecha y hora.

-Tipo de Documento y número de los mismos enviados.

-El tipo de información.

-La forma de envío.

-La persona responsable de la recepción.

Sólo el personal autorizado por el Documento de Seguridad, podrán acceder al lugar donde se hallen los soportes físicos en los que se encuentren los Datos. (Art.97 y 99 R.D. 1720/2007).

Se debe limitar la posibilidad de acceso reiterado y no autorizado al sistema, mediante por ejemplo un número máximo de posibilidades de acceder. (Art. 99 R.D. 1720/2007).

Además de procedimiento de notificación de incidentes que afecten a los datos y registrar el tipo de incidencia que establece el Art.90 del R.D. 1720/2007, se debe integrar un procedimiento de recuperación de datos, indicando la persona que ejecutó el proceso, los datos restaurados y qué datos ha sido necesario grabar manualmente. (Art.100 R.D. 1720/2007).

MEDIDAS DE SEGURIDAD DE NIVEL MEDIO:

-RESPONSABLE DE SEGURIDAD: el responsable del fichero tiene que designar a uno o varios responsables de seguridad, es el encargado de coordinar y controlar las medidas que recoge el documento de seguridad.

-INCIDENCIAS: (sólo para ficheros automatizados) anotar los procedimientos de recuperación, la persona que los ejecuta, los datos restaurados, y en su caso los datos grabados manualmente.

Autorización del responsable del fichero para la recuperación de datos.

-CONTROL DE ACCESO: (sólo para ficheros automatizados) control de acceso físico a los locales donde se encuentren ubicados los sistemas de información.

-IDENTIFICACIÓN Y AUTENTICACIÓN: (sólo para ficheros automatizados) limitar el número de intentos reiterados de acceso no autorizado.

-GESTIÓN DE SOPORTES: (sólo para ficheros automatizados) registro de entradas y salida de soportes: documento o soporte, fecha, emisor/destinatario, número, tipo de información, forma de envío, responsable autorizado para recepción/entrega.

-AUDITORÍAS: bianuales o en caso de que se produzca un cambio sustancial en el sistema.

3. FICHEROS DE NIVEL ALTO: Identificar los soportes utilizados mediante un sistema de etiquetado y significado que permita a los usuarios identificar su contenido y dificulten su identificación al resto. La distribución se hará mediante el cifrado de Datos, o utilizando mecanismos que garanticen que no sean accesibles ni manipulados por terceros, evitando su tratamiento en dispositivos portátiles que no permitan el cifrado. (Art. 101 R.D. 1720/2007). Conservar una copia de respaldo de datos y de recuperación de los mismos en un lugar diferente en donde se encuentren los equipos que los tratan que garantice su recuperación, Copia de Seguridad. (Art. 102 R.D. 1720/2007)

Registro de acceso, dónde se recoja:

  • Identificación del usuario, la fecha y hora, el fichero al que accedió, el tipo de acceso y si se ha autorizado o denegado.
  • Guardar la información del registro
  • El Registro de acceso debe permanecer bajo control del Responsable de Seguridad.
  • El Responsable de encargar una revisión CADA MES sobre la información registrada, elaborando un informe.
  • No será necesario registrarlo si:

-el Responsable del Fichero o de Tratamiento sea una persona física.

-el Responsable garantice que únicamente él tiene acceso a los Datos.

Si se transmiten Datos por vía inalámbrica de telecomunicaciones, se cifrarán para garantizar que la información no se manipule ni descifre.

MEDIDAS DE SEGURIDAD DE NIVEL ALTO:

-CONTROL DE ACCESO: (sólo en ficheros automatizados) es necesario elaborar un registro de acceso en donde se indique:

  • Usuario.
  • Hora.
  • Fichero al que se accede.
  • Tipo de acceso.
  • Acceso autorizado o denegado.

Revisión mensual del registro de acceso por el responsable de seguridad del fichero. Conservación durante dos años, aunque no es necesario el registro si el responsable del fichero es una persona física y es el único usuario.

Control de accesos autorizados, identificación de acceso para documentos accesibles por múltiples usuarios.

-GESTIÓN DE SOPORTES: (sólo para los ficheros automatizados) elaborar un sistema de etiquetado confidencial. Se debe de cifrar los datos en la distribución de soportes.

Cifrado de información en dispositivos portátiles fuera de las instalaciones.

-COPIAS DE RESPALDO: (sólo para los ficheros automatizados) se deben de tener copias de respaldo y procedimiento de recuperación en un lugar diferente de donde se encuentren los equipos.

-ALMACENAMIENTO: (sólo ficheros no automatizados) armarios o archivadores en áreas con acceso protegido mediante una puerta con llave.

-COPIA: la copia o la reproducción sólo puede realizarse por los usuarios autorizados. Se tienen que destruir las copias desechadas.

-TELECOMUNICACIONES: (sólo automatizados) transmisión cifrada de los datos en las redes electrónicas.

-TRANSLADO DE DOCUMENTOS: (sólo para los ficheros  no automatizados) se deben de tomar medidas que impidan el acceso o la manipulación por terceros

Desde el próximo mayo llega la figura del "delegado de protección de datos" a las empresas

Como ya hemos venido informando desde Legálitas, en mayo de 2018 entrará en vigor el n ...

leer más

El Gobierno está alertando a miles de webs sobre el deber de cumplimiento de la LSSI

Más de 20.000 empresas con páginas web han recibido recientemente un email del ministe ...

leer más

LOPD: Las novedades que nos esperan en 2018

En mayo de 2018 entrará en vigor el nuevo Reglamento Europeo de Protección de Datos qu ...

leer más