Las medidas de seguridad en la protección de datos de carácter personal.

Inicio > Guías Prácticas de: > Adaptación a la LOPD

Las medidas de seguridad en la protección de datos de carácter personal.

Todas las empresas, independientemente de su tamaño, organización y volumen de negocio, son conscientes de la importancia de tener implantadas una serie de políticas de Seguridad tendentes a garantizar la continuidad de su negocio en el caso de que se produzcan incidencias, fallos, actuaciones malintencionadas por parte de terceros, pérdidas accidentales o desastres que afecten a los datos e informaciones que son almacenados y tratados, ya sea a través de sistemas informáticos como en otro tipo de soportes, como el papel.

_{Por:Andrés Veyrat Marqués de}_{Manaca Consulting, S.L}_.

Los casos de incidentes informáticos que en el pasado causaron daños y perjuicios económicos importantes, han ido abriendo los ojos a muchas empresas a la necesidad de implantar mecanismos para proteger su información almacenada y tratada en los equipos informáticos de incidencias externas (intencionadas y/o accidentales); pero también, de la importancia de la protección de la información desde una órbita interna de la empresa: el acceso restringido a cierta documentación por determinados empleados, la firma de cláusulas de confidencialidad por parte del personal, el establecimiento de políticas y procedimientos de respaldo y recuperación de datos o el almacenamiento externo de información.

Desde el punto de vista de la Ley Orgánica de Protección de Datos, las medidas de seguridad van destinadas a todas las organizaciones, empresas e instituciones que almacenan y tratan datos de carácter personal en sus sistemas de información, siendo su finalidad principal proteger los datos de carácter personal tratados de posibles incidencias que puedan provocar su pérdida, alteración u acceso no autorizado (tanto interno como externo).

Por ello, la adopción de medidas técnicas y organizativas tendentes a garantizar la seguridad de los datos de carácter personal es una obligación básica que debe ser cumplida por todas las empresas que traten, almacenen y accedan a datos de carácter personal; medidas que deberán adoptarse en función del nivel de los datos almacenados/tratados, de la estructura y organización de la Empresa y del estado de la tecnología.

Es importante señalar que tanto la Ley Orgánica como el Real Decreto 994/1999 que desarrolla el Reglamento de Medidas de Seguridad ligan el concepto de seguridad de los datos a los conceptos de:

a) Confidencialidad: entendido como el acceso autorizado a los datos.

b) Exactitud: la información no debe sufrir alteraciones no deseadas, en cuanto a su contenido.

c) Disponibilidad: sólo las personas autorizadas pueden tener acceso a la información.

Así podemos observar que la normativa, fijada para ofrecer unos mínimos de seguridad en el tratamiento de los datos de carácter personal, busca el ofrecer unas directrices de seguridad informática que pueden ser adoptadas e implantadas en todas las empresas, independientemente de su tamaño y organización: un concepto de protección de la información como activo empresarial, considerando a la información como elemento relevante para mejorar la competitividad, la rentabilidad y el cumplimiento de los fines empresariales conjugada con la protección del derecho a la intimidad de las personas.

1.- El Reglamento de Medidas de Seguridad.

El Real Decreto 994/1999, de 11 de junio, que aprueba el Reglamento de Medidas de Seguridad para los Ficheros automatizados de Datos de Carácter Personal establece las medidas de carácter técnico y organizativo que deben ser adoptadas por todas las Empresas, Organizaciones, Asociaciones e Instituciones, tanto Públicas como Privadas, que almacenen, traten y accedan a ficheros de datos de carácter personal.

Es una norma de mínimos, que siempre estará en función de tres extremos:

a) La tipología de los datos y el tratamiento concreto que se realiza de los mismos.

b) La dimensión y estructura de los sistemas de información.

c) El estado de la tecnología.

La obligación de seguridad que regula el art.9 de la Ley Orgánica, desarrollada por este Reglamento, es una obligación de medios; es decir, nos obliga a adoptar las medidas necesarias para proteger los datos, pero reconoce que ninguna empresa puede garantizar al 100% que, con la adopción de dichas medidas, no vayan a producirse o existir incidencias.

Por ello, siempre que el Responsable del Fichero pueda acreditar que estableció y siguió las medidas de seguridad exigibles en cada caso, evitará una posible sanción por parte de la Agencia Española de Protección de Datos. Su comportamiento siempre será valorado en función de las circunstancias y exigencias de cada tratamiento, pesando sobre él la carga de la prueba de que adoptó todas las medidas necesarias para evitar o reducir el posible daño.

a) Objeto del Reglamento.

El Reglamento tiene por objeto determinar las medidas técnicas y organizativas que garanticen la confidencialidad, integridad y disponibilidad de la información que contenga datos personales con la finalidad de preservarlos frente a su alteración, pérdida, tratamiento o acceso no autorizado.

Las medidas que deberán ser adoptadas e implantadas por el Responsable del Fichero, y en su caso por el Encargado del Tratamiento, en los Sistemas de Información (equipos informáticos, programas, redes), en los Locales (oficinas, departamentos, etc..) donde se realiza el tratamiento y sobre las personas (personal laboral) que acceden a dicha información son:

a) Medidas Organizativas: aquellas medidas destinadas a establecer procedimientos, normas, reglas y estándares de seguridad, cuyos destinatarios son los usuarios que tratan los datos de los ficheros.

Estas medidas deben tender a garantizar la confidencialidad, integridad y seguridad de los datos almacenados en programas y sistemas informáticos, que se encuentran situados físicamente en un determinado local o centro.

b) Medidas Técnicas: medidas destinadas principalmente a la conservar la integridad de la información (su no alteración, pérdida o robo) y en menor medida a la confidencialidad de los datos personales. Se encuentran delimitadas en función del nivel de seguridad de los datos tratados: básico, medio y alto.

Los destinatarios de estas medidas son los sistemas de información, ficheros, locales, equipos y demás elementos materiales que tratan los datos.

b) Ámbito de aplicación.

Las medidas técnicas y organizativas establecidas por el Reglamento deben aplicarse sobre:

- Los ficheros automatizados, entendidos como todo conjunto organizado de datos de carácter personal, cualquiera que fuere su forma o modalidad de creación, almacenamiento, organización y acceso.

- Los centros de tratamiento, entendidos como los lugares habilitados donde se encuentran los ordenadores, equipos y servidores que almacenan la información.

- Los locales, entendidos como aquellos lugares donde se encuentran físicamente ubicados los equipos y el personal que trata datos.

- Los equipos: todo material en soporte físico que sirva para tratar y almacenar electrónicamente datos personales.

- Los sistemas y programas informáticos que tratan los datos de carácter personal.

- Las personas que acceden a los datos: personal laboral que, de acuerdo con sus funciones y obligaciones, interviene en cualquiera de las fases del tratamiento de los datos (recogida, grabación, conservación, elaboración, modificación, bloqueo, cancelación, consulta, etc...).

c) Ámbito de Exclusión.

Quedan excluidos de la adopción de dichas medidas de seguridad:

- Los ficheros en soporte papel cuya creación sea anterior a la entrada en vigor de la Ley Orgánica 15/1999.

- Los ficheros automatizados que no contengan datos personales.

- Los ficheros automatizados personales para el ejercicio de actividades personales y/o domésticas (como por ejemplo, la agenda telefónica o la libreta de direcciones de los programas de correo electrónico).

d) Los niveles de seguridad en el Reglamento.

Cada uno de los niveles de seguridad establecidos en el Reglamento tienen la consideración de mínimos legales exigibles, por lo que cada Empresa podrá incrementarlas de acuerdo a otros criterios de Seguridad Informática, ofreciendo de esta forma mayores garantías, tanto para el tratamiento de sus ficheros como para el resto de la información corporativa.

El Reglamento establece los niveles de seguridad de forma acumulativa; así, en caso de tratamiento de ficheros de nivel medio, deberán implantarse todas y cada una de las medidas de seguridad descritas para el nivel básico y las del medio. Igualmente sucederá con los ficheros de nivel alto, que deberán implantar las medidas descritas para el nivel básico, el medio y el alto. En resumen:

• Nivel Básico: Para todos los ficheros de datos de carácter personal.

• Nivel Medio: Serán adoptadas para:

a) Ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales.

b) Ficheros que contengan datos sobre Hacienda Pública.

c) Ficheros que contengan datos sobre Servicios Financieros.

d) Ficheros que contengan datos sobre solvencia patrimonial y crédito.

e) Ficheros que contengan un conjunto de datos suficientes que permitan elaborar un perfil del afectado (se les aplican las medidas descritas en los art.17 a 20).

• Nivel Alto: Aquellos que contengan datos de ideología, religión, creencias, origen racial, salud, vida sexual.

En el siguiente cuadro se muestran las diferentes medidas aplicables a cada uno de los niveles:

MEDIDAS DE SEGURIDAD	BÁSICO	MEDIO	ALTO
Documento de Seguridad
Identificación y Autenticación:
1.- Existencia de una lista actualizada de usuarios autorizados que tengan acceso autorizado al sistema de información (art.11.1 y 12.3).
2.- Procedimientos de identificación y autenticación informáticos:
a) Contraseñas: procedimiento de creación, asignación, conservación y cambio periódico (art.11.2 y 11.3).
b) Identificación de usuario, de manera inequívoca y personalizada (art.18.1).
c) Limitación de acceso incorrecto reiterado (art.18.2).
Control de Acceso:
1.- Los usuarios tendrán únicamente acceso a los datos/recursos de acuerdo a su puesto laboral y tareas definidas en el documento (art.12.1).
2.- Deberán implantarse mecanismos que eviten el acceso no autorizado a otros recursos: establecimiento de perfiles de usuario (art.12.2).
3.- Control de acceso físico a servidores y CPD (art.19).
4.- De cada acceso se guardarán: identificación usuario, fecha y hora, fichero accedido, tipo de acceso y su autorización o denegación, guardando la información que permita identificar registro accedido (art.24.2).
5.- Los mecanismos de acceso estarán bajo el control directo del Responsable de Seguridad, sin que pueda permitirse la desactivación (art.24.3).
6.- Registro y conservación de accesos lógicos al fichero por un plazo no inferior a 2 años (art.24.4).
7.- Para accesos a través de redes de telecomunicaciones, deberán tener las mismas medidas que para accesos en modo local (art.5).
Funciones y obligaciones del personal:
1.- Definición en el Documento de Seguridad de las funciones y obligaciones de grupos de usuarios y/o perfiles (art.9.1).
2.- Conocimiento por parte del personal de las normas y medidas de seguridad que les son aplicables (art.9.2).
3.- Identificación y funciones del/los Responsables de Seguridad (art.15 y 16).
4.- Trabajo fuera de ubicación principal debe ser expresamente autorizado (art.6).
5.- Listado de personal con acceso a Servidores y/o CPD (art.19).
6.- Listado de personal con privilegios administrativos informáticos sobre aplicaciones y ficheros (art.12.4).
Estructura de los Ficheros y del Sistema Informático:
1.- Descripción y estructura informática del Fichero (campos ID)
2.- Descripción y estructura del Sistema Informático (enumeración de equipos, redes, programas, etc...)
Gestión de Soportes:
1.- Identificación, inventariado y almacenamiento (art.13.1).
2.- Autorización necesaria para salida de soportes (art.13.2).
3.- Cifrado de soportes en caso de operaciones externas de mantenimiento (art.20.4).
4.- Medidas y procedimientos para la destrucción de soportes (art.20.3).
5.- Registro de Entrada de Soportes (art.20.1).
6.- Registro de Salida de Soportes (art.20.2).
7.- Distribución de soportes con mecanismos de cifrado de datos (art.26).
Ficheros Temporales:
Aplicación de mismo nivel de seguridad que fichero origen (art.7).
Registro de Incidencias:
1.- Contenido mínimo: tipo de incidencia, momento en que se produce, efectos producidos, persona que comunica, medidas adoptadas (art.10).
2.- Contenido adicional: Procedimiento de restauración de datos, datos restaurados y datos grabados manualmente (art.21.1)
Procedimientos de Copias de Respaldo y Recuperación datos:
1.- Deberán garantizar la restauración de los datos al momento anterior a producirse la pérdida (art.14.2).
2.- Realización de copias de backup al menos con una frecuencia semanal (art.14.3).
3.- Necesaria autorización para la ejecución de procedimientos de restauración de datos (art.21.2).
4.- Almacenamiento externo de copias y procedimientos de restauración de datos (art.25).
Pruebas con datos reales:
Aplicación de mismas medidas según nivel de seguridad de los datos (art.22).
Actualización y Auditoria:
1.- Revisión y actualización del Documento de Seguridad en función de cambios relevantes en la Organización (art.8.3).
2.- Auditoria cada 2 años. Conservación de Informe a disposición AEPD (art.17).
3.- Revisión periódica de la información de control de los accesos informáticos a ficheros y aplicaciones (art.24.5).
Medidas específicas para datos en soporte papel:
1.- Control de acceso a la documentación.
2.- Medidas de conservación y almacenamiento.
3.- Procedimientos y mecanismos de destrucción que impidan posterior recuperación de la información que contienen.

e) Definiciones:

El Reglamento 994/1999 incorpora una serie de definiciones sobre los conceptos en los que se basan las medidas de seguridad:

• Sistemas de información: Son el conjunto de equipos, programas, ficheros automatizados y soportes empleados para el almacenamiento y tratamiento de datos.

• Usuario: Sujeto o proceso autorizado para acceder a los datos o recursos. Toda persona autorizada que accede a los datos en función funciones laborales.

• Recurso: Cualquier componente del sistema de información, materiales (equipos) o inmateriales (carpetas de red).

• Accesos autorizados: Autorizaciones concedidas a un usuario para la utilización de los diversos recursos. Comprenden tanto los accesos lógicos (equipos/red) y accesos físicos.

• Identificación: procedimiento de reconocimiento de la identidad de un usuario. Puede ser física (a través de datos biométricos) como lógica (nombre de usuario).

• Autenticación: procedimiento de comprobación de la identidad de un usuario. El uso de contraseñas asociadas a nombres de usuario se considera jurídicamente válido a los efectos de cumplir con los requisitos de identificación y autenticación.

• Control de acceso: mecanismo que, en función de la identificación ya autenticada, permite acceder a datos y/o recursos.

• Contraseña: Información confidencial, constituida por una cadena de caracteres, que puede ser usada en la autenticación del usuario.

• Incidencia: Cualquier anomalía que afecte o pueda afectar a la seguridad de los datos (lógica y física).

• Soporte: objeto físico susceptible de ser tratado en un sistema de información y sobre el cual se pueden grabar o recuperar datos.

• Responsable de seguridad: Persona o personas a las que el Responsable del Fichero ha asignado formalmente la función de coordinar y controlar las medidas de seguridad aplicables.

• Copia de respaldo: Copia de los datos de un fichero automatizado en un soporte que posibilite su recuperación.

2.- Plazos de implantación de las Medidas de Seguridad.

El Reglamento establece, en su Disposición Transitoria Única, los plazos para la implantación de estas medidas de seguridad, fijando como límite máximo para su adecuación en función del nivel de seguridad de los ficheros de datos; así:

- Nivel Básico: 26 de marzo de 2000.

- Nivel Medio: 26 de junio de 2000.

- Nivel Alto: 26 de junio de 2002.

Además, se establecía un plazo de 3 años para la adecuación de los sistemas de información que no permitían tecnológicamente implantar concretas medidas de seguridad. Este plazo también ha quedado vencido.

Actualmente, cualquier empresa puede poner en marcha las medidas de seguridad para ficheros de nivel básico y ciertas medidas del nivel medio, sin que ello suponga realizar fuertes inversiones económicas, puesto que:

1º.- Los equipos informáticos incorporan unidades/hardware que permiten la generación de copias de seguridad (por ejemplo, unidades CDRW o DVDRW).

2º.- Pueden adoptarse normas y procedimientos de calidad para la utilización de sistemas informáticos, gestión de incidencias y registros de entrada y salida de soportes informáticos, etc...

3º.- Los sistemas operativos y aplicaciones informáticas nos permiten la configuración de herramientas de control de accesos, controles de seguridad, implantación de perfiles y sistemas de autenticación de usuarios.

En la página Web de Microsoft TechNet se encuentran recursos técnicos y documentos que proporcionan información técnica para la configuración de las herramientas del panel de control en entornos operativos Windows; así como una guía para la “Aplicación de la ley de Protección de Datos en entornos Windows”.

3.- Medidas aplicables a los diferentes Niveles de Seguridad.

El Reglamento establece en los arts.5, 6 y 7 medidas de seguridad que se aplican independientemente del nivel de seguridad de los ficheros tratados. Estas medidas son las siguientes:

a) Acceso a través de redes de telecomunicaciones (art.5).

El Reglamento establece que las medidas de seguridad exigibles para el acceso a través de redes de telecomunicaciones deberá garantizar un nivel equivalente al correspondiente a los accesos en modo local.

Así, en función del nivel de seguridad, deberán adoptarse medidas de seguridad que garanticen la disponibilidad de la información (cifrado de información) así como medidas de identificación y autenticación inequívoca y personalizada para los accesos que realicen los usuarios a través de redes de telecomunicaciones.

b) Régimen de trabajo fuera de los locales de la ubicación del fichero (art.6).

Establece el Reglamento que deberá estar expresamente autorizado por el responsable del fichero la ejecución de tratamientos de los datos fuera de la ubicación principal, garantizándose en todo momento el mismo nivel de seguridad.

c) Ficheros Temporales (art.7).

Se establece que los ficheros temporales deberán cumplir el mismo nivel de seguridad que el fichero del tienen origen, procediéndose a su destrucción o borrado seguro cuando haya dejado de ser necesario para la finalidad que motivó su creación.

Para la LOPD, tendrán la consideración de ficheros temporales las extracciones puntuales de datos que se realicen de los ficheros de datos de carácter personal para atender o dar cumplimiento a determinadas finalidades concretas y comunes de gestión y administración autorizadas por el responsable del fichero.

¿Quiere un ejemplo de contrato de acceso a datos?

Modelo de contrato de acceso a datos por cuenta de terceros

Andrés Veyrat Marqués, Socio Consultor de Manaca Consulting

Si lo desea puede escribir un mail
Indique la persona a la que desea hacer la pregunta y realice cuantas preguntas, sugerencias o comentarios desee.
Recibirá su contestación lo antes posible.
Muchas gracias.

Guía LOPD

Introducción

•	La Protección de Datos de Carácter Personal, una nueva Obligación para las Empresas y Profesionales
•	Implicaciones y Responsabilidades de la Protección de Datos de Carácter Personal.
•	La importancia de la Protección de la Información Corporativa.

Objeto y ámbito de aplicación de la LOPD

•	Bien jurídico protegido por la normativa sobre protección de datos de carácter personal
•	¿Qué datos/ficheros se regulan por la lopd y cuáles no?

Obligaciones básicas de la LOPD

Legalización

•	Inscripción de ficheros localización y determinación de los ficheros a inscribir
•	Procedimiento de inscripción y notificación de ficheros en la agencia española de protección de datos.
•	Inscripción de los ficheros temporales

Legitimización

•	Obtención del consentimiento de los titulares de los datos y otros principios básicos de la LOPD
•	El derecho de información en la recogida de los datos (art.5)
•	Calidad de los datos (art.4 lopd)
•	Consentimiento del afectado (art.6)
•	Deber de secreto (art.10)

Protección

•	Las medidas de seguridad en la protección de datos de carácter personal.
•	Las medidas de seguridad de Nivel Básico.
•	Las medidas de seguridad de Nivel Medio.
•	Las medidas de seguridad de Nivel Alto.

Otros aspectos de la LOPD

•	El acceso a datos por cuenta de terceros
•	La cesión de datos: supuestos permitidos
•	Las transferencias internacionales de datos