LEY ORGÁNICA DE PROTECCIÓN DE DATOS (LOPD)

Transcripción

1 LEY ORGÁNICA DE PROTECCIÓN DE DATOS (LOPD) TEMA 7 Travesía del Monzón, Majadahonda (Madrid) Telf Fax marketing@belt.es

2

3 Índice 1. REGLAMENTO DE DESARROLLO DE LA LOPD PLAZO PARA LA IMPLANTACIÓN EL DOCUMENTO DE SEGURIDAD IMPLANTACIÓN DE LAS MEDIDAS DE SEGURIDAD MEDIDAS DE SEGURIDAD POR NIVEL DE DATOS (tratamientos automatizados) BÁSICO MEDIO ALTO MEDIDAS DE SEGURIDAD POR NIVEL DE DATOS (tratamientos NO automatizados) BÁSICO MEDIO ALTO... 7 Página 3

4 1. REGLAMENTO DE DESARROLLO DE LA LOPD El Reglamento de Desarrollo de la LOPD clasifica las medidas a aplicar en tres niveles: básico, medio, alto. Dichos niveles, se establecen atendiendo a la naturaleza de la información tratada, en función de la necesidad de garantizar la confidencialidad e integridad de dicha información. Es decir el nivel de seguridad que debe guardar el responsable de seguridad vendrá establecido en función de los datos personales objeto del tratamiento. El Reglamento parece estructurar la aplicación de los niveles de seguridad en función de los ficheros de la entidad, de forma, que responda en función de los datos que almacene. En concreto, se establece que todos los ficheros que contengan datos de carácter personal deberán adoptar las medidas calificadas como nivel básico. Los ficheros que contengan datos relativos a comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros, los relativos a solvencia patrimonial y crédito, aquéllos de los que sean responsables las Entidades Gestoras y Servicios Comunes de la Seguridad Social y se relacionen con el ejercicio de sus competencias y aquellos de los que sean responsables las mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social habrán de guardar además de las medidas de nivel básico las de medio nivel. Por último, los ficheros que contengan datos de ideología, religión, creencias, origen racial, salud o vida sexual, así como los que contengan datos recabados para fines policiales sin consentimiento de las personas afectadas y los ficheros de los que sean responsables los operadores que presten servicios de comunicaciones electrónicas disponibles al público o exploten redes públicas de comunicaciones electrónicas respecto a los datos de tráfico y a los datos de localización, deberán reunir además de las medidas de nivel básico y medio, las de nivel alto. Al grupo de datos que requieren la aplicación de nivel alto de seguridad, deberíamos añadir el de la afiliación sindical que aparece incluido en el mismo grupo, como dato especialmente protegido, por el artículo 7 de la LOPD. Un caso especial es el de los ficheros que contengan un conjunto de datos de carácter personal suficientes que permitan obtener una evaluación de la personalidad del individuo. Para este caso, la norma exige la aplicación del nivel medio. Página 4

5 1.1 PLAZO PARA LA IMPLANTACIÓN El RD 1720/2007 establece unos plazos para la implantación de las medidas de seguridad previstas en el mismo, con arreglo al siguiente calendario: a) Ficheros automatizados existentes en la fecha de entrada en vigor: a.1. Medidas de seguridad de nivel medio, plazo de un año desde su entrada en vigor. a.2. Medidas de seguridad de nivel alto, dieciocho meses desde su entrada en vigor. b) Ficheros no automatizados existentes en la fecha de entrada en vigor: b.1. Medidas de seguridad de nivel básico, plazo de un año desde su entrada en vigor. b.2. Medidas de seguridad de nivel medio, dieciocho meses desde su entrada en vigor. b.3. Medidas de seguridad de nivel alto, dos años desde su entrada en vigor. c) Ficheros automatizados y no automatizados creados con posterioridad a la fecha de entrada en vigor deberán tener implantadas las medidas desde el momento de su creación. 1.2 EL DOCUMENTO DE SEGURIDAD El artículo 88 del Reglamento impone la elaboración de una normativa de seguridad de la empresa en materia de protección de datos, a la que denomina Documento de Seguridad. El Documento tiene como función regular las condiciones de seguridad de los ficheros que contienen datos personales dentro de la empresa o entidad, estableciendo las normas y procedimientos necesarios para garantizar la seguridad, cumpliendo con la normativa vigente. Este documento será de de obligado cumplimiento para todo el personal con acceso autorizado a los datos automatizados y no automatizados de carácter personal y a los sistemas de información de la empresa o entidad. El documento de seguridad deberá guardarse en las instalaciones de la empresa a disposición de una posible solicitud o inspección de la Agencia de Protección de Datos. El contenido mínimo del documento de seguridad es el siguiente: 1. Ámbito de aplicación del tratamiento con especificación detallada de los recursos protegidos. Página 5

6 2. Medidas, normas, procedimientos, reglas y estándares encaminadas a garantizar el nivel de seguridad exigido por el Reglamento. 3. Obligaciones y funciones del personal. 4. Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan. 5. Procedimientos de notificación, gestión respuesta ante incidencias. 6. Los procedimientos de realización de copias de respaldo y recuperación de datos en los ficheros o tratamientos automatizados. 7. Las medidas que sea necesario adoptar para el transporte de soportes y documentos, así como para la destrucción de los documentos y soportes, o en su caso, la reutilización de estos últimos. 1.3 IMPLANTACIÓN DE LAS MEDIDAS DE SEGURIDAD MEDIDAS DE SEGURIDAD POR NIVEL DE DATOS (TRATAMIENTOS AUTOMATIZADOS) BÁSICO Funciones y obligaciones del personal claramente definidas. Registro de incidencias. Control de acceso. Gestión de soportes y documentos. Identificación y autenticación. Copias de respaldo y recuperación MEDIO Designación de uno o varios responsables de seguridad. Auditoría cada dos años. Gestión de soportes y documentos. Identificación y autenticación. Página 6

7 Control reacceso físico. Registro de incidencias ALTO Gestión y distribución de soportes. Copias de respaldo y recuperación. Registro de accesos. Telecomunicaciones. Transmisión de datos cifrada MEDIDAS DE SEGURIDAD POR NIVEL DE DATOS (TRATAMIENTOS NO AUTOMATIZADOS) BÁSICO Obligaciones comunes. Criterios de archivo. Dispositivos de almacenamiento. Custodia de los soportes MEDIO Designación de uno o varios responsables de seguridad. Auditoría cada dos años ALTO Almacenamiento de la información. Copia o reproducción. Acceso a la documentación. Traslado de documentación. Página 7