Est�s en :: 5. Conceptos fundamentales sobre protecci�n de datos :: 5.3. Medidas de seguridad en el tratamiento de datos de car�cter personal

 5.3. Medidas de seguridad en el tratamiento de datos de car�cter personal

TTal y como se establece en el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Org�nica 15/1999, de 13 de diciembre, de protecci�n de datos de car�cter personal, los responsables de los tratamientos o los ficheros y los encargados del tratamiento deber�n implantar las medidas de seguridad con arreglo a lo dispuesto en este T�tulo, con independencia de cu�l sea su sistema de tratamiento.

El citado reglamento establece en su art�culo 80 que las medidas de seguridad exigibles a los ficheros y tratamientos se clasifican en tres niveles (Figura 2): b�sico, medio y alto.

Figura 2. Niveles de las medidas de seguridad.

Todos los ficheros o tratamientos de datos de car�cter personal deber�n adoptar las medidas de seguridad calificadas de nivel b�sico.

Conforme al art�culo 81.2 para los ficheros que deben tener medidas de seguridad de nivel medio, debemos tener en cuenta que:

"2. Deber�n implantarse, adem�s de las medidas de seguridad de nivel b�sico, las medidas de nivel medio, en los siguientes ficheros o tratamientos de datos de car�cter personal:

1. Los relativos a la comisi�n de infracciones administrativas o penales.
2. Aquellos cuyo funcionamiento se rija por el art�culo 29 de la Ley Org�nica 15/1999, de 13 de diciembre.
3. Aquellos de los que sean responsables Administraciones tributarias y se relacionen con el ejercicio de sus potestades tributarias.
4. Aqu�llos de los que sean responsables las entidades financieras para finalidades relacionadas con la prestaci�n de servicios financieros.
5. Aqu�llos de los que sean responsables las Entidades Gestoras y Servicios Comunes de la Seguridad Social y se relacionen con el ejercicio de sus competencias. De igual modo, aquellos de los que sean responsables las mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social.
6. Aqu�llos que contengan un conjunto de datos de car�cter personal que ofrezcan una definici�n de las caracter�sticas o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos".

Contin�a la redacci�n del art�culo 81 estableciendo cu�ndo se aplicar�n medidas de seguridad de nivel alto en los ficheros. A saber:

"3. Adem�s de las medidas de nivel b�sico y medio, las medidas de nivel alto se aplicar�n en los siguientes ficheros o tratamientos de datos de car�cter personal:

1. Los que se refieran a datos de ideolog�a, afiliaci�n sindical, religi�n, creencias, origen racial, salud o vida sexual.
2. Los que contengan o se refieran a datos recabados para fines policiales sin consentimiento de las personas afectadas.
3. Aqu�llos que contengan datos derivados de actos de violencia de g�nero".

El art�culo 81 tambi�n establece algunas excepciones:

"4. A los ficheros de los que sean responsables los operadores que presten servicios de comunicaciones electr�nicas disponibles al p�blico o exploten redes p�blicas de comunicaciones electr�nicas respecto a los datos de tr�fico y a los datos de localizaci�n, se aplicar�n, adem�s de las medidas de seguridad de nivel b�sico y medio, la medida de seguridad de nivel alto contenida en el art�culo 103 de este reglamento.

5. En caso de ficheros o tratamientos de datos de ideolog�a, afiliaci�n sindical, religi�n, creencias, origen racial, salud o vida sexual bastar� la implantaci�n de las medidas de seguridad de nivel b�sico cuando:

1. Los datos se utilicen con la �nica finalidad de realizar una transferencia dineraria a las entidades de las que los afectados sean asociados o miembros.
2. Se trate de ficheros o tratamientos no automatizados en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relaci�n con su finalidad.

6. Tambi�n podr�n implantarse las medidas de seguridad de nivel b�sico en los ficheros o tratamientos que contengan datos relativos a la salud, referentes exclusivamente al grado de discapacidad o la simple declaraci�n de la condici�n de discapacidad o invalidez del afectado, con motivo del cumplimiento de deberes p�blicos.

7. Las medidas incluidas en cada uno de los niveles descritos anteriormente tienen la condici�n de m�nimos exigibles, sin perjuicio de las disposiciones legales o reglamentarias espec�ficas vigentes que pudieran resultar de aplicaci�n en cada caso o las que por propia iniciativa adoptase el responsable del fichero.

8. A los efectos de facilitar el cumplimiento de lo dispuesto en este t�tulo, cuando en un sistema de informaci�n existan ficheros o tratamientos que en funci�n de su finalidad o uso concreto, o de la naturaleza de los datos que contengan, requieran la aplicaci�n de un nivel de medidas de seguridad diferente al del sistema principal, podr�n segregarse de este �ltimo, siendo de aplicaci�n en cada caso el nivel de medidas de seguridad correspondiente y siempre que puedan delimitarse los datos afectados y los usuarios con acceso a los mismos, y que esto se haga constar en el documento de seguridad".

Las medidas de seguridad para garantizar la protecci�n de los datos de car�cter personal contenidos en el fichero quedar�n reflejadas en el conocido como Documento de Seguridad:

"Art�culo 88. El documento de seguridad.

1. El responsable del fichero o tratamiento elaborar� un documento de seguridad que recoger� las medidas de �ndole t�cnica y organizativa acordes a la normativa de seguridad vigente que ser� de obligado cumplimiento para el personal con acceso a los sistemas de informaci�n.

2. El documento de seguridad podr� ser �nico y comprensivo de todos los ficheros o tratamientos, o bien individualizado para cada fichero o tratamiento. Tambi�n podr�n elaborarse distintos documentos de seguridad agrupando ficheros o tratamientos seg�n el sistema de tratamiento utilizado para su organizaci�n, o bien atendiendo a criterios organizativos del responsable. En todo caso, tendr� el car�cter de documento interno de la organizaci�n.

3. El documento deber� contener, como m�nimo, los siguientes aspectos:

1. �mbito de aplicaci�n del documento con especificaci�n detallada de los recursos protegidos.
2. Medidas, normas, procedimientos de actuaci�n, reglas y est�ndares encaminados a garantizar el nivel de seguridad exigido en este reglamento.
3. Funciones y obligaciones del personal en relaci�n con el tratamiento de los datos de car�cter personal incluidos en los ficheros.
4. Estructura de los ficheros con datos de car�cter personal y descripci�n de los sistemas de informaci�n que los tratan.
5. Procedimiento de notificaci�n, gesti�n y respuesta ante las incidencias.
6. Los procedimientos de realizaci�n de copias de respaldo y de recuperaci�n de los datos en los ficheros o tratamientos automatizados.
7. Las medidas que sea necesario adoptar para el transporte de soportes y documentos, as� como para la destrucci�n de los documentos y soportes, o en su caso, la reutilizaci�n de estos �ltimos.

4. En caso de que fueran de aplicaci�n a los ficheros las medidas de seguridad de nivel medio o las medidas de seguridad de nivel alto, previstas en este t�tulo, el documento de seguridad deber� contener adem�s:

1. La identificaci�n del responsable o responsables de seguridad.
2. Los controles peri�dicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento.

5. Cuando exista un tratamiento de datos por cuenta de terceros, el documento de seguridad deber� contener la identificaci�n de los ficheros o tratamientos que se traten en concepto de encargado con referencia expresa al contrato o documento que regule las condiciones del encargo, as� como de la identificaci�n del responsable y del per�odo de vigencia del encargo.

6. En aquellos casos en los que datos personales de un fichero o tratamiento se incorporen y traten de modo exclusivo en los sistemas del encargado, el responsable deber� anotarlo en su documento de seguridad. Cuando tal circunstancia afectase a parte o a la totalidad de los ficheros o tratamientos del responsable, podr� delegarse en el encargado la llevanza del documento de seguridad, salvo en lo relativo a aquellos datos contenidos en recursos propios. Este hecho se indicar� de modo expreso en el contrato celebrado al amparo del art�culo 12 de la Ley Org�nica 15/1999, de 13 de diciembre, con especificaci�n de los ficheros o tratamientos afectados.

En tal caso, se atender� al documento de seguridad del encargado al efecto del cumplimiento de lo dispuesto por este reglamento.

7. El documento de seguridad deber� mantenerse en todo momento actualizado y ser� revisado siempre que se produzcan cambios relevantes en el sistema de informaci�n, en el sistema de tratamiento empleado, en su organizaci�n, en el contenido de la informaci�n incluida en los ficheros o tratamientos o, en su caso, como consecuencia de los controles peri�dicos realizados. En todo caso, se entender� que un cambio es relevante cuando pueda repercutir en el cumplimiento de las medidas de seguridad implantadas.

8. El contenido del documento de seguridad deber� adecuarse, en todo momento, a las disposiciones vigentes en materia de seguridad de los datos de car�cter personal".

La Consejer�a de Educaci�n y Universidades tiene su propio Documento de Seguridad, que se introducir� con mayor detalle m�s adelante, aunque lo adelantamos aqu� porque todas las direcciones de los centros educativos deben conocer su existencia. Los ficheros sujetos a las medidas de seguridad con indicaci�n del nivel de seguridad correspondiente se relacionan en el anexo A del mismo (p�gina 8, versi�n 8.22, 14/09/2012).

 5.3.1. Medidas de seguridad de nivel b�sico

Las medidas de seguridad de nivel b�sico se exponen en los art�culo 89 a 94 del Reglamento de desarrollo de la LOPD. El documento de seguridad debe reflejar al menos los siguientes aspectos:

• las funciones y obligaciones de cada uno de los usuarios o perfiles de usuarios con acceso a los datos de car�cter personal y a los sistemas de informaci�n.
• las funciones de control o autorizaciones delegadas por el responsable del fichero o tratamiento.
• procedimiento de notificaci�n y gesti�n de las incidencias que afecten a los datos de car�cter personal y establecer un registro en el que se haga constar el tipo de incidencia, el momento en que se ha producido, o en su caso, detectado, la persona que realiza la notificaci�n, a qui�n se le comunica, los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas.
• relaci�n actualizada de usuarios y perfiles de usuarios, y los accesos autorizados para cada uno de ellos.
• mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados.
• el personal autorizado que podr� conceder, alterar o anular el acceso autorizado sobre los recursos.
• el personal ajeno al responsable del fichero que tenga acceso a los recursos.
• el tipo de informaci�n que contienen los soportes y documentos.
• requisitos y condiciones para la salida de soportes y documentos que contengan datos de car�cter personal, incluidos los comprendidos y/o anejos a un correo electr�nico, fuera de los locales bajo el control del responsable del fichero o tratamiento.
• medidas para la destrucci�n o borrado de datos.
• medidas que garanticen la correcta identificaci�n y autenticaci�n de los usuarios.
• mecanismo que permita la identificaci�n de forma inequ�voca y personalizada de todo aquel usuario que intente acceder al sistema de informaci�n y la verificaci�n de que est� autorizado.
• la periodicidad, que en ning�n caso ser� superior a un a�o, con la que tienen que ser cambiadas las contrase�as que, mientras est�n vigentes, se almacenar�n de forma ininteligible.
• plazos y mecanismos para la realizaci�n de copias de respaldo y recuperaci�n de datos.

 5.3.2. Medidas de seguridad de nivel medio

A partir del nivel medio (art�culos 95 a 100) los sistemas de informaci�n e instalaciones de tratamiento y almacenamiento de datos se someter�n, al menos cada dos a�os, a una auditor�a interna o externa que verifique el cumplimiento del presente t�tulo (art�culo 96.1). Adem�s de las medidas de seguridad contempladas para el nivel b�sico, deber�n contemplarse las siguientes:

• establecer un sistema de registro de entrada de soportes que permita, directa o indirectamente, conocer el tipo de documento o soporte, la fecha y hora, el emisor, el n�mero de documentos o soportes incluidos en el env�o, el tipo de informaci�n que contienen, la forma de env�o y la persona responsable de la recepci�n que deber� estar debidamente autorizada.
• disponer de un sistema de registro de salida de soportes que permita, directa o indirectamente, conocer el tipo de documento o soporte, la fecha y hora, el destinatario, el n�mero de documentos o soportes incluidos en el env�o, el tipo de informaci�n que contienen, la forma de env�o y la persona responsable de la entrega que deber� estar debidamente autorizada.
• articular un mecanismo que limite la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de informaci�n.
• crear un registro de incidencias en el que se reflejen los procedimientos realizados de recuperaci�n de los datos, indicando la persona que ejecut� el proceso, los datos restaurados y, en su caso, qu� datos ha sido necesario grabar manualmente en el proceso de recuperaci�n.

 5.3.3. Medidas de seguridad de nivel alto

A todas las medidas de seguridad anteriores, debemos sumar las siguientes (art�culos 101 a 104):

• disponer de un sistema de gesti�n y distribuci�n de soportes con cifrado.
• conservar una copia de respaldo de los datos y de los procedimientos de recuperaci�n de los mismos en un lugar diferente de aquel en que se encuentren los equipos inform�ticos que los tratan, que deber� cumplir en todo caso las medidas de seguridad exigidas, o utilizando elementos que garanticen la integridad y recuperaci�n de la informaci�n, de forma que sea posible su recuperaci�n.
• disponer de un registro de accesos al sistema exitosos y fallidos.
• disponer de mecanismos de cifrado en todas las telecomunicaciones.