Protección de Datos Personales

Transcripción

1 Cambios en la adaptación, Asesoramiento y Auditoría con respecto a la LOPD y su Reglamento de Desarrollo Abril de 2008

2 Índice Protección de Datos Personales Antecedentes en Protección de Datos Personales Objetivos de los trabajos de Protección de Datos Marco de Trabajo Metodología y Fases de un Proyecto Tipo Novedades del Nuevo Reglamento y su Régimen transitorio de aplicación: Plazos de adaptación Equipo de Trabajo en materia de Protección de Datos Alcance, Planificación y Honorarios Page 2

3 Antecedentes en Protección de Datos Personales 29 de octubre de LORTAD : Ley Orgánica 5/1992 de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal Tiene por objeto limitar el uso de la informática y otras técnicas y medios de tratamiento automatizado de los datos de carácter personal para garantizar el honor, la intimidad personal y familiar de las personas físicas y el pleno ejercicio de sus derechos. 11 de junio de RD 994/1999 El Reglamento : Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal. Aprueba el Reglamento de Medidas de Seguridad de los ficheros automatizados que contengan datos de carácter personal. El objetivo de esta reglamentación es establecer las medidas de índole técnica y organizativa necesarias para garantizar la confidencialidad e integridad de los datos de carácter personal, preservando el honor y la intimidad personal y familiar y el pleno ejercicio de los derechos de los ciudadanos. En el Reglamento se distinguen tres niveles de seguridad (básico, medio y alto) según el tipo de datos. Para cada uno de estos niveles se determinan las medidas de seguridad que deben estar implantadas, cubriendo las áreas que suponen un mayor riesgo en cuanto a la seguridad de los datos. Una de las medidas establecidas es la elaboración e implantación de un Documento de Seguridad. Page 3

4 Antecedentes en Protección de Datos Personales 13 de diciembre de LOPD : Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal La LOPD establece un estricto procedimiento sancionador que se aplicará atendiendo a la gravedad de la infracción cometida. 21 de diciembre de RD 1720/2007 El nuevo Reglamento : Reglamento de desarrollo de la Ley Orgánica 15/1999 de protección de datos de carácter personal Incluye expresamente en su ámbito de aplicación a los ficheros y tratamientos de datos no automatizados (en papel) y fija criterios específicos de las medidas de seguridad que deben cumplir, así como resuelve determinadas cuestiones o lagunas interpretativas que quedaban sin resolver de la LOPD. Page 4

5 Antecedentes en Protección de Datos Personales El 25 de junio de 1999 se publicó en el B.O.E. el Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de Medidas de Seguridad de los ficheros automatizados que contengan datos de carácter personal (el Reglamento ). El objetivo de esta reglamentación era la de establecer las medidas de índole técnica y organizativa necesarias para garantizar la confidencialidad e integridad de los datos de carácter personal, preservando el honor y la intimidad personal y familiar y el pleno ejercicio de los derechos de los ciudadanos. En el Reglamento se distinguían tres niveles de seguridad (básico, medio y alto) según el tipo de datos. Para cada uno de estos niveles se determinan las medidas de seguridad que deben estar implantadas, cubriendo las áreas que suponen un mayor riesgo en cuanto a la seguridad de los datos. Una de las medidas establecidas es la elaboración e implantación de un Documento de Seguridad. Asimismo, el Reglamento establece unos plazos de adaptación de las empresas a esta reglamentación, que en el caso del nivel básico era el 26 de diciembre de 1999, (prorrogado hasta el 26 de marzo de 2000 según Real Decreto 195/2000). Posteriormente, el 14 de Enero de 2000, entró en vigor la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante, la LOPD ) derogando anterior ley, la Ley Orgánica 5/1992, de 29 de Octubre, de regulación del Tratamiento automatizado de los datos de carácter personal (la LORTAD ). La LOPD establece un estricto procedimiento sancionador que se aplica atendiendo a la gravedad de la infracción cometida. Las sanciones previstas por dicha norma pueden oscilar entre las siguientes cuantías: Infracciones Leves: De 600 a ,21 Infracciones Graves: De ,21 a , 05 Infracciones Muy Graves: De ,05 a ,10. Estas sanciones que se aplican por cada uno de los incumplimientos, tienen un carácter acumulativo y los procedimientos pueden iniciarse por denuncia de un afectado o por inspección de oficio por parte de la Agencia Española de Protección de Datos. El 19 de enero de 2008 se aprueba en el BOE el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999 de protección de datos de carácter personal. Éste nuevo marco normativo desarrolla y clasifica las cuestiones más controvertidas de la LOPD, entrando en vigor a los 3 meses de su publicación, es decir el 19 de abril de 2008, otorgando mayor seguridad jurídica pero también aumentando ostensiblemente las medidas legales y técnicas exigidas lo que obligará a las empresas a la correspondiente adaptación. En Ernst & Young, como expertos en Asesoramiento Legal en materia de protección de datos así como Auditoría y Seguridad Informática, contamos con toda la experiencia y formación necesarias para colaborar con su Compañía en la adaptación a la normativa aplicable en materia de protección de datos desde un punto de vista legal y técnico. Page 5

6 Antecedentes en Protección de Datos Personales Legislación en materia de protección de datos LEY ORGÁNICA 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. REAL DECRETO 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999 de protección de datos de carácter personal. REAL DECRETO 994/1999, de 11 de junio, por el que se aprueba el Reglamento de Medidas de Seguridad de los ficheros automatizados que contengan datos de carácter personal. REAL DECRETO 195/2000, de 11 de febrero, por el que se establece el plazo para implementar las Medidas de Seguridad de los Ficheros Automatizados previstas por el Reglamento aprobado por el R.D. 994/1999 de 11 de junio. REAL DECRETO 1332/1994, de 20 de junio, por el que se desarrollan algunos preceptos de la Ley Orgánica. INSTRUCCION 1/1998, de 19 de enero, de la Agencia de Protección de Datos, relativa al Ejercicio de los Derechos de Acceso, Rectificación y Cancelación. INSTRUCCIÓN 1/1996, de 1 de marzo, de la Agencia de Protección de Datos, sobre ficheros automatizados establecidos con la finalidad de controlar el acceso a los edificios. INSTRUCCIÓN 1/2000, de 1 de diciembre, de la Agencia de Protección de Datos, relativa a las normas por las que se rigen los movimientos internacionales de datos. INSTRUCCIÓN 2/1995, de 4 de mayo, de la Agencia de Protección de Datos, sobre medidas que garantizan la intimidad de los datos personales recabados como consecuencia de la contratación de un seguro de vida de forma conjunta con la concesión de un préstamo hipotecario o personal. INSTRUCCIÓN 1/1995, de 1 de marzo, de la Agencia de Protección de Datos, relativa a prestación de servicios de información sobre solvencia patrimonial y crédito. DIRECTIVA 95/46/CE DEL PARLAMENTO EUROPEO Y DEL CONSEJO, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. DIRECTIVA 97/66/CE DEL PARLAMENTO EUROPEO Y DEL CONSEJO, de 15 de diciembre de 1997, relativa al tratamiento de los datos de carácter personal y la protección de la intimidad en el sector de las telecomunicaciones. RESOLUCIÓN 22/2001, de 22 de junio, por la que se publica el Acuerdo del Consejo de Ministros que concreta el plazo para la implantación de medidas de seguridad de nivel alto en determinados sistemas de información. Page 6

7 Objetivos de los trabajos de Protección de Datos Los objetivos de estos trabajos consistirán en el asesoramiento jurídico y técnico en materia de protección de datos personales conforme a la LOPD y normativa de desarrollo, a su Compañía, todo ello bajo los objetivos que se detallan a continuación: Conocer la casuística de su Compañía sujeta a la normativa aplicable en materia de protección de datos, identificando los datos de carácter personal de su responsabilidad. Revisar el cumplimiento de las obligaciones legales que afectan a la declaración de ficheros, al derecho de información de los afectados, a su consentimiento, a la obtención y cesión de datos de carácter personal, así como a los contratos existentes con terceros en el caso de que dichos terceros traten datos titularidad de su Compañía (Ley Orgánica 15/1999). Detectar las posibles incidencias o puntos débiles, desde el punto de vista de cumplimiento legal aplicable, proponiendo sugerencias y mejoras en los procedimientos. Desarrollar un Documento de Seguridad para su Compañía de acuerdo a lo establecido en el Reglamento de Medidas de Seguridad. Revisar las medidas de seguridad que su Compañía tiene implantadas en los ficheros de datos de carácter personal titularidad de la mismas, verificando si estas medidas son las exigidas por el Real Decreto 994/1999. De esta forma, se cubrirá con el requerimiento de auditoría bienal reglamentaria establecida en el Art. 96 del RD 1720/2007. Recomendar las acciones oportunas que se deriven del presente proyecto, encaminadas a que su Compañía cumpla con las medidas de seguridad exigidas reglamentariamente. Conocer el que el nuevo Reglamento de desarrollo de la LOPD tiene sobre su Compañía así como proponer las medidas de índole legal y técnica para adaptarse a los requerimientos de este nuevo reglamento. Será objetivo de nuestra trabajo, priorizar las acciones que desde el punto de vista legal aplicable requieran una urgencia mayor en su adaptación a los requerimientos del RD 1720/2007 anteriormente al 19 de Abril de 2008: Declaraciones y/o modificaciones de los ficheros; Revisión y adaptación de los contratos; Adecuación de los procedimientos relacionados con los derechos ARCO; Actualización y adecuación de los Documentos de Seguridad. Page 7

8 Principales novedades legales: Nuevos procedimientos para tratamientos de datos con finalidades distintas a la ejecución de los contratos; Nuevos plazos para garantizar los derechos de los afectados; Nuevos criterios de conservación de los datos; Nuevas obligaciones en relación con los menores de edad; Nuevos procedimientos para revocar el consentimiento; Acreditación del cumplimiento del deber de información; Adaptación de procedimientos de ejercicios de derechos de los afectados; Subcontratación de servicios; Nuevo régimen aplicable a los ficheros de solvencia patrimonial y crédito; Nuevas obligaciones para tratamientos de datos con fines publicitarios y de prospección comercial; Nuevos procedimientos para efectuar transferencias internacionales de datos; Informe de auditoría legal. Page 8

9 Nuevos procedimientos para tratamientos de datos con finalidades distintas a la ejecución de los contratos Uso de datos de clientes con otras finalidades que no guarden relación directa con el mantenimiento, desarrollo o control de la relación contractual inicialmente prevista. Se establecen nuevos procedimientos para tratamientos de datos con finalidades más extensas, que vayan más allá, de la propia relación contractual inicialmente pactada por la Compañía con sus clientes, por ejemplo, para envíos de comunicaciones comerciales, elaboración de encuestas de satisfacción, etc. Se entenderá cumplida esta obligación cuando se permita al afectado la marcación de una casilla. MEDIO Nuevos plazos para garantizar los derechos de los afectados Se establecen nuevos plazos para garantizar el principio de calidad de los datos. Se exige que los datos personales sean exactos y estén actualizados. Se prevén dos supuestos: 1. Que los datos sean exactos: se prevé que los recabados por el propio interesado serán exactos por el mero hecho de ser facilitados por él mismo, y, 2.- Que sean inexactos: Deberán ser cancelados y sustituidos de oficio, en todo o en parte, por los datos rectificados en el plazo de 10 días desde que se tuviera conocimiento de la inexactitud. MEDIO Cuando los datos hubieran sido comunicados previamente por un tercero, se le exige al responsable del fichero o tratamiento que notifique al cesionario, en el plazo de 10 días, la rectificación o cancelación efectuada. Page 9

10 Nuevos criterios de conservación de los datos Se permite la conservación de los datos personales siempre y cuando estén respaldados por unas finalidades que por primera vez se especifican. Una vez que han dejado de ser necesarios o pertinentes con respecto a la finalidad para la que fueron recabados, los datos podrán conservarse durante el tiempo necesario en que pueda exigirse alguna responsabilidad derivada de una relación u obligación jurídica o de la ejecución de un contrato o de la aplicación de medidas pre-contractuales solicitadas por el interesado. Nuevas obligaciones en relación con los menores de edad MEDIO Se prohíbe expresamente recabar datos de familiares o miembros del grupo familiar de los menores a través de los mismos. Se prevé el tratamiento de datos de mayores de 14 años con su consentimiento. En relación a los menores de 14 años, se exige la autorización de los padres o tutores para recabar o tratar sus datos personales. Se han de establecer procedimientos para comprobar la edad del menor y la autenticidad del consentimiento prestado por padres o tutores. Las cláusulas relativas al tratamiento de los datos de menores de edad deberán redactarse de tal modo que puedan ser fácilmente entendidas por éstos. ALTO Nuevos procedimientos para revocar el consentimiento Consiste en establecer medios sencillos y gratuitos que garanticen el derecho del afectado a revocar en cualquier momento el tratamiento de sus datos. Se prohíbe expresamente cualquier medio de revocación del consentimiento que suponga o pueda presuponer cualquier tipo de ingreso y se recomienda en el propio Reglamento envíos prefranqueados, teléfonos gratuitos, o el servicio de atención al público. ALTO Page 10

11 Acreditación del cumplimiento del deber de información A partir de ahora, con la entrada en vigor del Nuevo Reglamento, se exige la acreditación de la obligación del artículo 5 LOPD, teniendo que ser el Responsable del Fichero quien demuestre el cumplimiento de esta obligación de información. Se podrá dar por cumplido el derecho de información si en el plazo de 30 días tras la comunicación realizada no obtiene respuesta por parte del afectado. Pero en tal caso deberá acreditar que la comunicación ha sido recibida por el mismo y además debe facilitar al interesado medios gratuitos y sencillos para que este pueda manifestar la negativa al tratamiento de los datos. Se puede dar por cumplida esta obligación informando del artículo 5 LOPD en las comunicaciones periódicas que realiza a sus clientes. Cuando se solicite el consentimiento del interesado a través de estos procedimientos nuevos, se deberá garantizar que no vuelve a solicitarlo nuevamente respecto de los mismos tratamientos y para las mismas finalidades en el plazo de 1 año a contar desde la fecha de la anterior solicitud. ALTO Adaptación de procedimientos de ejercicios de derechos de los afectados Se deben proporcionar a los afectados medios sencillos y gratuitos para que estos puedan ejercitar los derechos de acceso, rectificación, cancelación y oposición. Se prohíbe expresamente cualquier medio que suponga un ingreso adicional. Se recomienda poner a disposición del afectado los servicios de atención al cliente para el ejercicio de sus derechos. En cualquier caso, se deberá atender la solicitud del afectado aún en el caso de que éste no haya utilizado los medios previstos por la Compañía. Se prevé el ejercicio de estos derechos también ante el encargado del tratamiento. ALTO Nuevos procedimientos para efectuar transferencias internacionales de datos Se determinan nuevas obligaciones para determinadas transferencias internacionales en función del país donde se envíen dichos datos. Se prevé la posibilidad de adoptar en el seno de la Compañía normas o reglas internas en las que se establezcan una serie de garantías de respeto a la protección de la intimidad y el derecho fundamental a la protección de datos de los afectados garantizándose el cumplimiento de los principios y el ejercicio de los derechos reconocidos en la normativa de protección de datos. ALTO Page 11

12 Nuevo régimen aplicable a los ficheros de solvencia patrimonial y crédito El tratamiento de datos de carácter personal sobre solvencia patrimonial y crédito a partir de la entrada en vigor del Nuevo Reglamento se someterá a nuevas obligaciones y procedimientos. Se deberá guardar la documentación necesaria para probar que la inclusión de un sujeto en un fichero de solvencia patrimonial cumple con una serie de requisitos: Deuda cierta, vencida, exigible, que haya resultado impagada y respecto de la cual no se haya entablado reclamación judicial, arbitral, etc ALTO Que no hayan pasado 6 años desde la fecha en que hubo de procederse al pago de la misma. Que hay existido requerimiento previo. Se establece la obligación de informar previamente al deudor, de la posibilidad de que en caso de impago y cuando se den los requisitos mencionados anteriormente, pueda incluirse al mismo en un fichero de solvencia patrimonial y crédito. Notificación de inclusión en dicho fichero en el plazo de 30 días desde que se efectuó el registro. La notificación deberá efectuarse a través de medios fiables, auditables e independientes de la Compañía notificante que permita acreditar la realización de los envíos. Sólo se conservarán los datos que respondan con veracidad a la situación de la deuda en cada momento: obligación de que estos ficheros estén actualizados. Nuevas obligaciones para tratamientos de datos con fines publicitarios y de prospección comercial Se reducen los datos personales que podrán ser utilizados con estos fines y por otro lado se aumenta el número de requisitos legales exigidos para el tratamiento de datos en campañas publicitarias. En el caso de que externalice la actividad publicitaria de sus productos o servicios podrá ser considerado responsable del tratamiento de los datos en el supuesto de que establece a la empresa de márketing o publicidad los parámetros identificativos de los destinatarios de la campaña. La Compañía deberá adoptar todas las medidas necesarias que aseguren que la empresa de publicidad ha recabado los datos cumpliendo con todas las exigencias establecidas en la normativa de protección de datos. ALTO Page 12

13 Principales Novedades en Medidas de Seguridad Variaciones en los niveles de seguridad de ficheros: Nóminas pasa a ser de nivel básico. Nivel medio: Mutuas de accidentes de trabajo, ficheros de personalidad o comportamiento. Organización del Documento de Seguridad. Inclusión de las relaciones con proveedores en el Documento de Seguridad. Medidas de seguridad en ficheros automatizados: Nivel básico: No se permiten usuarios genéricos Caducidad de contraseñas < 1 año Cada seis meses se revisará los procedimientos de copias de respaldo y de recuperación Nivel medio: Ampliación del alcance de la auditoría a apartados legales conexos con el RD 1720/2007 Nivel alto: Cifrado de dispositivos portátiles Definición de medidas para ficheros que contengan datos de carácter personal no automatizados. Page 13

14 Nivel básico Todos los ficheros o tratamientos de datos de carácter personal Datos del grado de discapacidad o la simple declaración de la condición de discapacidad o invalidez del afectado, con motivo del cumplimiento de deberes públicos Datos de ideología, afiliación sindical, religión, origen racial, salud o vida sexual serán de nivel básico cuando: Se utilicen con la única finalidad de realizar una transferencia dineraria a las entidades de las que los afectados sean asociados o miembros BAJO Nivel medio Ficheros o tratamientos no automatizados en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad Entidades Financieras: servicios financieros Administraciones Tributarias Solvencia patrimonial y crédito Infracciones administrativas o penales Entidades Gestoras y Servicios Comunes de la Seguridad Social MEDIO Mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social Aspectos de la personalidad o del comportamiento de los ciudadanos Datos de tráfico y de localización (operadores de comunicaciones electrónicas) Page 14

15 Nivel alto Ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual Fines policiales sin consentimiento de las personas afectadas Violencia de género Datos de tráfico y de localización (operadores de comunicaciones electrónicas) (artículo 103 de registro de accesos) Documento de Seguridad BAJO Documento interno que recoge las medidas de índole técnica y organizativa Único y comprensivo de todos los ficheros o tratamientos, o bien individualizado para cada fichero o tratamiento, o sistema de tratamiento, o bien atendiendo a criterios organizativos del responsable Contenido: Ámbito de aplicación Medidas, normas, procedimientos de actuación, reglas y estándares encaminados a garantizar el nivel de seguridad exigido MEDIO Funciones y obligaciones del personal, identificando las funciones de control o autorizaciones delegadas por el responsable del fichero Estructura de los ficheros Procedimiento de notificación, gestión y respuesta ante las incidencias Procedimientos de realización de copias de respaldo y de recuperación de los datos en los ficheros o tratamientos automatizados Las medidas que sea necesario adoptar para el transporte de soportes y documentos Relaciones de tratamiento de datos por cuenta de terceros Page 15

16 Prestación de servicios Con acceso a datos personales Prestación en sistemas del responsable del fichero independientemente del lugar Identificar la situación en el Documento de Seguridad del responsable del fichero Prestación en sistemas del encargado del tratamiento en sus propios locales, ajenos a los del responsable del fichero, deberá elaborar un Documento de Seguridad o completar el que ya hubiera elaborado identificando el fichero o tratamiento y el responsable del mismo ALTO Sin acceso a datos personales Limitación al acceso del personal a datos personales (soportes o recursos) El contrato recogerá expresamente la prohibición de acceso a los datos personales y la obligación de secreto Page 16

17 Ficheros automatizados Nivel básico Identificación y autenticación Identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado La periodicidad de caducidad de las contraseñas en ningún caso será superior a un año Copias de respaldo y recuperación MEDIO Nivel medio Auditoría Verificar cada seis meses la correcta definición, funcionamiento y aplicación de los procedimientos de realización de copias de respaldo y de recuperación de los datos Si se realizan pruebas con datos reales se anotará en el Documento de Seguridad y previamente deberá haberse realizado una copia de seguridad El informe de auditoría también deberá dictaminar sobre la adecuación de las medidas y controles a la Ley y su desarrollo reglamentario Control de acceso físico Exclusivamente el personal autorizado en el Documento de Seguridad podrá tener acceso a los lugares donde se hallen instalados los equipos físicos que den soporte a los sistemas de información Page 17

18 Ficheros automatizados Nivel alto Gestión y distribución de soportes Se cifrarán los datos que contengan los dispositivos portátiles cuando éstos se encuentren fuera de las instalaciones que están bajo el control del responsable del fichero Registro de accesos No será necesario el registro de accesos cuando el responsable del fichero o del tratamiento sea una persona física y se garantice que es el único que tiene acceso y trata los datos personales MEDIO Telecomunicaciones La transmisión de datos de carácter personal a través de redes públicas o redes inalámbricas de comunicaciones electrónicas se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros Page 18

19 Ficheros no automatizados Nivel básico Obligaciones comunes: Encargado del tratamiento Prestaciones de servicio sin acceso a datos Delegación de autorizaciones ALTO Copias de trabajo de documentos Documento de Seguridad Funciones y obligaciones del personal Registro de incidencias Control de acceso Gestión de soportes y documentos Archivo: Garantizar la conservación, localización y consulta Ejercicio de derechos (acceso, rectificación, cancelación y oposición) Almacenamiento: Mecanismos que obstaculicen la apertura de dispositivos de almacenamiento Custodia: Documentación en proceso de revisión o tramitación custodiada por la persona a cargo e impedir acceso no autorizado Page 19

20 Ficheros no automatizados Nivel medio Responsable de seguridad Auditoría Nivel alto Almacenamiento: ALTO Acceso protegido mediante llave u otro dispositivo Áreas cerradas cuando no sea preciso el acceso Copia: La generación de copias o reproducción de documentos controlado por personas autorizadas Destrucción de copias que impida acceso o recuperación Acceso: Limitación estricta al personal autorizado Identificación de los accesos realizados Traslado: Impedir el acceso o manipulación de la información objeto de traslado Page 20

21 Régimen transitorio de aplicación: Plazos de adaptación Publicación BOE 19 Enero 2008 Entrada en vigor 19 Abril Abril Octubre Abril 2010 Implantación de las obligaciones legales: - Declaración de ficheros - Contratos - Derechos ARCO Implantación de las Medidas de Seguridad adicionales: - Documento de Seguridad - Relaciones con terceros y encargados de tratamiento - Usuarios genéricos, caducidad de contraseñas, pruebas backup Implantación de las Medidas de Seguridad de nivel medio para ficheros automatizados. Auditoría de los apartados legales conexos a las M. Seguridad Implantación de las Medidas de Seguridad de nivel básico para ficheros no automatizados. Implantación de las Medidas de Seguridad de nivel alto para ficheros automatizados Implantación de las Medidas de Seguridad de nivel medio para ficheros no automatizados Implantación de las Medidas de Seguridad de nivel alto para ficheros no automatizados Page 21