Página principal
INICIO    DATOS Y FICHEROS    MEDIDAS DE SEGURIDAD    CONTACTO    
Cuadro de medidas de seguridad
Los datos personales deben estar siempre protegidos, tanto para mantener su integridad como para preservar su confidencialidad. Sin embargo, la seguridad exigible en cada caso guarda relación con la naturaleza de los datos a proteger, y así, junto a medidas de carácter general, en algunos casos existe la obligación de adoptar medidas adicionales.

En correspondencia con los tres niveles de protección de los datos y ficheros, las medidas del Nivel Básico afectan a todos los datos personales y a quienes los posean o traten. Para el Nivel Medio se requieren mayores medidas de seguridad por la naturaleza más sensible de los datos, y el tercer escalón -Nivel Alto- se aplica sólo a algunos datos especialmente protegidos.

Es importante subrayar que las medidas de nivel básico son igualmente obligatorias para quienes deben adoptar las de nivel medio. Y del mismo modo, los que deban aplicar las medidas de nivel alto tienen que adoptar las de los niveles medio y básico.

En la siguiente tabla se recoge el cuadro de medidas de seguridad divulgado por la Agencia Española de Protección de Datos.

- lo marcado en color rojo se aplica sólo a los ficheros no automatizados
- lo marcado en color azul se aplica sólo a los ficheros automatizados.


Nivel BásicoNivel MedioNivel Alto
RESPONSABLE DE SEGURIDAD El responsable del fichero tiene que designar a uno o varios responsables de seguridad (no es una delegación de responsabilidad). El responsable de seguridad es el encargado de coordinar y controlar las medidas del documento. 
PERSONALFunciones y obligaciones de los diferentes usuarios o de los perfiles de usuarios claramente definidas y documentadas. Definición de las funciones de control y las autorizaciones delegadas por el responsable. Difusión entre el personal, de las normas que les afecten y de las consecuencias por su incumplimiento.  
INCIDENCIASRegistro de incidencias: tipo, momento de su detección, persona que la notifica, efectos y medidas correctoras. Procedimiento de notificación y gestión de las incidencias.Anotar los procedimientos de recuperación, persona que lo ejecuta, datos restaurados, y en su caso, datos grabados manualmente. Autorización del responsable del fichero para la recuperación de datos. 
CONTROL DE ACCESORelación actualizada de usuarios y accesos autorizados. Control de accesos permitidos a cada usuario según las funciones asignadas. Mecanismos que eviten el acceso a datos o recursos con derechos distintos de los autorizados. Concesión de permisos de acceso sólo por personal autorizado. Mismas condiciones para personal ajeno con acceso a los recursos de datos.Control de acceso físico a los locales donde se encuentren ubicados los sistemas de información.Registro de accesos: usuario, hora, fichero, tipo de acceso, autorizado o denegado. Revisión mensual del registro por el responsable de seguridad. Conservación 2 años. No es necesario este registro si el responsable del fichero es una persona física y es el único usuario.
Control de accesos autorizados. Identificación accesos para documentos accesibles por múltiples usuarios.
IDENTIFICACIÓN Y AUTENTICACIÓNIdentificación y autenticación personalizada. Procedimiento de asignación y distribución de contraseñas. Almacenamiento ininteligible de las contraseñas. Periodicidad del cambio de contraseñas (<1 año).Límite de intentos reiterados de acceso no autorizado. 
GESTIÓN DE SOPORTESInventario de soportes. Identificación del tipo de información que contienen, o sistema de etiquetado. Acceso restringido al lugar de almacenamiento. Autorización de las salidas de soportes (incluidas a través de email) Medidas para el transporte y el desecho de soportes.Registro de entrada y salida de soportes: documento o soporte, fecha, emisor/destinatario, número, tipo de información, forma de envío, responsable autorizado para recepción/entrega.Sistema de etiquetado confidencial. Cifrado de datos en la distribución de soportes. Cifrado de información en dispositivos portátiles fuera de las instalaciones (evitar el uso de dispositivos que no permitan cifrado, o adoptar medidas alternativas).
COPIAS DE RESPALDOCopia de respaldo semanal. Procedimientos de generación de copias de respaldo y recuperación de datos. Verificación semestral de los procedimientos. Reconstrucción de los datos a partir de la última copia. Grabación manual en su caso, si existe documentación que lo permita. Pruebas con datos reales. Copia de seguridad y aplicación del nivel de seguridad correspondiente. Copia de respaldo y procedimientos de recuperación en lugar diferente del que se encuentren los equipos.
CRITERIOS DE ARCHIVOEl archivo de los documentos debe realizarse según criterios que faciliten su consulta y localización para garantizar el ejercicio de los derechos de Acceso, Rectificación, Cancelación y Oposición (ARCO)  
ALMACENAMIENTODispositivos de almacenamiento dotados de mecanismos que obstaculicen su apertura. Armarios, archivadores de documentos en áreas con acceso protegido mediante puertas con llave.
CUSTODIA SOPORTESDurante la revisión o tramitación de los documentos, la persona a cargo de los mismos debe ser diligente y custodiarla para evitar accesos no autorizados.  
COPIA O
REPRODUCCIÓN
  Sólo puede realizarse por los usuarios autorizados. Destrucción de copias desechadas.
AUDITORIA Al menos cada dos años, interna o externa. Debe realizarse ante modificaciones sustanciales en los sistemas de información con repercusiones en seguridad. Verificación y control de la adecuación de las medidas. Informe de detección de deficiencias y propuestas correctoras. Análisis del responsable de seguridad y conclusiones elevadas al responsable del fichero. 
TELECOMU-
NICACIONES
  Transmisión de datos a través de redes electrónicas cifradas.
TRASLADO DOCUMENTACIÓN  Medidas que impidan el acceso o manipulación.
El Documento de Seguridad
Elaborar un documento interno de seguridad es requisito fundamental para adaptarse a la LOPD.

Este documento -también llamado guía de seguridad- recoge los procedimientos técnicos y prácticos de la organización para garantizar el cumplimiento de la Ley.

Aunque su contenido es variable en funcion de los datos protegidos, trata de aspectos como el inventario de los equipos y sistemas, el nombramiento de los responsables de seguridad, el registro de incidencias, el protocolo a seguir ante las reclamaciones y las obligaciones y funciones del personal.

© LeyDatos.com