LOPD: aplicación práctica en entornos Windows. (III) Reglamento de medidas de seguridad

3 05 2008

En los artículos anteriores hemos visto aspectos sobre la LOPD, su ámbito de aplicación, qué se considera un dato de carácter personal, los diferentes niveles de los datos, los derechos de los interesados, etc.

En este artículo hablaremos de las medidas de seguridad que la LOPD establece para proteger los ficheros de datos personales, es decir, ¿qué acciones tenemos que realizar para adaptarnos a la Ley?.

Ya ha quedado claro en capítulos anteriores que el mero hecho de crear un fichero de datos personales tiene que regirse por una serie de normas. Una vez que se tienen claras las reglas para recabar los datos, su finalidad, tenemos la autorización de los interesados, etc, tenemos que ceñirnos a lo que la LOPD establece para la protección de estos ficheros.

Las medidas que la LOPD establece para garantizar la seguridad de los datos personales se centra en:

  • Los propios ficheros
  • Los lugares físicos donde se almacenan o se tratan los ficheros
  • Los equipos, sistemas y programas
  • Las personas que intervengan en los tratamientos de datos personales

¿Cómo adaptarnos a la LOPD?

Las medidas establecidas por la Ley no son iguales para todos los ficheros, sino que son más estrictas cuanto más alto es el nivel de los ficheros (ya hemos visto en artículos anteriores la clasificación de los ficheros en niveles en función de la naturaleza de los datos que contienen).

Medidas para ficheros de nivel básico

  1. Comunicar a la Agencia de Protección de Datos la creación del fichero y proceder al registro del mismo. Esto se puede hacer online a través de la web de la propia APD de forma electrónica o en formato físico a través de las plantillas de que nos ofrece la Agencia en http://www.agpd.es/ , apartado “Canal del Responsable de ficheros – Inscripción de ficheros”. En cualquier caso
  2. Elaboración del Documento de Seguridad por parte del Responsable del fichero, que contendrá la normativa de seguridad de obligado cumplimiento para todo el personal de la empresa con acceso a los ficheros, su tratamiento o los sistemas de información. Aunque posteriormente comentaremos más en detalle las características que tiene que contener el Documento de Seguridad, vamos a citar aquí los campos que mínimos que ha de contener para el nivel básico:
      • Ámbito de aplicación y especificación de los ficheros protegidos.
      • Políticas para garantizar el nivel de seguridad exigido.
      • Funciones y deberes el personal
      • Plan de seguridad, donde se describirá la estructura de los ficheros y los sistemas TI que los tratan.
      • Procedimientos ante incidencias
      • Procedimientos de backup y recuperación
  3. Deben establecerse medidas para restringir el acceso únicamente a los usuarios autorizados. Es decir, servirían simplemente las contraseñas de inicio de sesión de los usuarios en un dominio, por ejemplo.
  4. Definir de forma clara y precisa las funciones y obligaciones que recaerán sobre cada usuario con acceso a los datos y sistemas de información. Este listado de permisos de acceso (así como el tipo de privilegios de los usuarios sobre los ficheros, es decir, lectura, lectura y modificación, etc) ha de ser actualizado constantemente conforme vaya cambiando. El Responsable del fichero será el encargado de dar a conocer las normas al personal.
  5. Creación de un registro de incidencias respecto a los ficheros, en el que conste: el tipo de incidencia, momento en que se produjo, persona que lo notifica, persona a la que se le comunica y efectos derivados de dicha incidencia.
  6. Gestión de soportes. Los soportes físicos que contengan datos de carácter personal (llaves USB, disquetes, cintas, etc.) deben estar inventariados y almacenados en un lugar restringido sólo a personal autorizado. Sólo el Responsable de los ficheros podrá autorizar la salida de esos soportes de su ubicación (se trata de establecer medidas de seguridad física a los mismos).
  7. Copias de seguridad. Se establece como obligatorio el realizar copias de seguridad de los ficheros al menos una vez por semana, salvo que estos ficheros no hayan sufrido modificaciones.

Medidas para los ficheros de nivel medio

Las medidas para los ficheros de nivel medio incluyen todas las citadas para nivel básico, y además las siguientes:

  1. Documento de seguridad. Además de los campos requeridos en el nivel básico, el Documento de Seguridad deberá incluir:
      • Identificación del responsable de seguridad
      • Plan de auditoría interna
      • Medidas a adoptar ante la eliminación o reutilización de soportes.
  2. Identificar al Responsable de seguridad. Designado por el responsable del fichero y encargado de velar por el cumplimiento de las medidas definidas en el documento de seguridad.
  3. Realizar una auditoría cada 2 años, interna o externa, que verifique que se cumple el reglamento.
  4. Identificación de los usuarios que intentan acceder a los Sistemas de Información, limitación de intentos fallidos y limitación de la posibilidad de acceso no autorizado.
  5. Control de acceso FÍSICO a los locales donde se encuentran los ficheros. Puerta cerrada con llave en la sala de servidores, por ejemplo.
  6. Registro de entrada/salida de soportes informáticos.

Medidas para los ficheros de nivel alto

Las medidas para los ficheros de nivel alto incluyen todas las citadas para los niveles básico y medio, y además las siguientes:

  1. Cifrado de los soportes que contengan datos personales y que sean distribuidos.
  2. Registro de los accesos a los ficheros, que deberá conservarse al menos 2 años.
  3. Transmisión cifrada de los datos por la red.
  4. Almacenar las copias de seguridad en otro lugar físico distinto a donde se encuentran los propios ficheros (fuera de la empresa, por ejemplo).

ARTÍCULOS RELACIONADOS:

LOPD: aplicación práctica en entornos Windows. (I) Introducción a la LOPD

LOPD: aplicación práctica en entornos Windows. (II) Recogida de datos, titulares de los ficheros, deberes y derechos

LOPD: aplicación práctica en entornos Windows. (III) Reglamento de medidas de seguridad

LOPD: aplicación práctica en entornos Windows. (IV) El Documento de Seguridad


Acciones

Information

One response

3 05 2008
LOPD: aplicación práctica en entornos Windows. (III) Reglamento de medidas de seguridad

[…] MSDN Blog Postings wrote an interesting post today onHere’s a quick excerpt En los artículos anteriores hemos visto aspectos sobre la LOPD, su ámbito de aplicación, qué se considera un dato de carácter personal, los diferentes niveles de los datos, los derechos de los interesados, etc. En este artículo hablaremos de las medidas de seguridad que la LOPD establece para proteger los ficheros de datos personales, es decir, ¿qué acciones tenemos que realizar para adaptarnos a la Ley?. Ya ha quedado claro en capítulos anteriores que el mero hecho de crear un fichero de […]

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s




A %d blogueros les gusta esto: