(RD 1720/2007), resumen medidas TyD

Anuncio
R.D. 1720/2007 de REGLAMENTO DE DESARROLLO DE LA LOPD
REAL DECRETO 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo
de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.
BOE nº 17 del 19 de enero de 2008.
(Resumen TyD – enero 2011)
ENTRADA EN VIGOR (Disposición final segunda)
A los tres meses de su íntegra publicación en el Boletín Oficial del Estado: 21 de abril de 2008.
PLAZOS DE IMPLANTACIÓN DE LAS MEDIDAS DE SEGURIDAD (Disposición transitoria segunda)
Ficheros automatizados existentes: un año para implantar las medidas de seguridad de nivel
Medio y dieciocho meses para las de nivel Alto. Un año también para las medidas no existentes en
el RD 994/99.
Ficheros no automatizados (papel) existentes: un año para implantar las medidas de nivel Básico,
dieciocho meses para las de nivel Medio y dos años para las de nivel Alto.
Ficheros, tanto automatizados como no automatizados, creados con posterioridad a la entrada en
vigor del Reglamento desarrollo LOPD: deben tener implantadas desde su creación todas las
medidas indicadas en el mismo.
APLICACIÓN DE LOS NIVELES DE SEGURIDAD (Art. 81):
NIVEL BÁSICO
Todos los ficheros o
tratamientos de datos de
carácter personal.
Ideología, afiliación sindical,
religión, creencias, origen
racial, salud o vida sexual
(cuando la única finalidad es
realizar una transferencia
dineraria a las entidades de las
que los afectados sean
asociados; o cuando sean
ficheros en los que de forma
accesoria se contengan estos
datos sin guardar relación con
su finalidad).
Grado de discapacidad o
invalidez con motivo del
cumplimiento de deberes
públicos (Salud).
NIVEL MEDIO
NIVEL ALTO
Infracciones administrativas o
penales.
Ideología, afiliación sindical,
religión, creencias,
Prestación de servicios de
información sobre solvencia
patrimonial y crédito.
Cumplimiento o incumplimiento de
obligaciones dinerarias
(Art. 29 LOPD).
Origen racial, salud o vida
sexual.
Administraciones Tributarias (en
el ejercicio de sus potestades
tributarias).
Entidades Financieras
(prestación de servicios
financieros).
Fines policiales sin
consentimiento.
Actos de Violencia de
género.
Operadores de servicios de
comunicaciones
electrónicas (datos de tráfico
y de localización).
Entidades Gestoras y Servicios
Comunes de la Seguridad Social
y mutuas de accidentes de trabajo
y enfermedades profesionales (en
el ejercicio de sus competencias
en Seguridad Social).
Definición de las características o
de la personalidad (evaluar
comportamiento).
_______________________________________________________________________________________
TECNOLOGÍA Y DIRECCIÓN, S.L. N.I.F. B96999107 Web: www.tyd.es
Inscrita en Reg. Mercantil Valencia, tomo 6700, libro 4004, folio 111, sección 8, hoja V-73408, inscrip. 1ª
MEDIDAS DE SEGURIDAD COMUNES
COMUNES NIVEL BÁSICO
NIVEL MEDIO
CONTROL DE ACCESO
REGISTRO DE INCIDENCIAS
FUNCIONES Y OBLIGACIONES DEL
PERSONAL
DOC. SEGURIDAD Y
ACTIVOS
- El documento de seguridad deberá contener como mínimo (Art. 88):
o Ámbito de aplicación y recursos protegidos.
o Estructura de los ficheros y descripción de los sistemas.
o Medidas, normas, procedimientos, reglas y estándares de
seguridad (automatizados y no).
- El documento de seguridad deberá mantenerse en todo momento
actualizado y será revisado siempre que se produzcan cambios
relevantes [...] (Art. 88.7).
- El contenido del documento de seguridad deberá adecuarse, en
todo momento, a las disposiciones vigentes [...] (Art. 88.8).
El documento de seguridad
deberá contener uno o varios
responsables de seguridad,
Las autorizaciones que, en el Reglamento de desarrollo de la LOPD, encargados de coordinar y
controlar las medidas definidas en
se atribuyen al responsable del fichero podrán ser delegadas. En el
el mismo.
doc. de seguridad deberán constar las personas habilitadas para
Esta designación puede ser única
otorgar estas autorizaciones así como aquellas en las que recae
para todos los ficheros o
dicha autorización. (Art. 84)
diferenciada según los sistemas
También se definirán en doc. seguridad las funciones de control o
de tratamiento utilizados, lo que
autorizaciones delegadas por el responsable del fichero (Art. 89).
deberá constar en el doc.
El responsable del fichero adoptará las medidas para que el
seguridad.
personal conozca las normas de seguridad que les afecten así como
En ningún caso esta designación
las consecuencias por incumplimiento. (Art. 89)
supone una delegación de la
Personal ajeno al responsable del fichero que tenga acceso a los
responsabilidad que corresponde
recursos deberá estar sometido a las mismas condiciones y
al responsable del fichero
obligaciones de seguridad que el personal propio. (Art. 91)
(Art. 88, 95 y 109)
- Las funciones y obligaciones de cada uno de los usuarios o perfiles
de usuarios estarán claramente definidas y documentadas en doc.
Seguridad (Art. 88c y 89).
-
-
-
- El documento de seguridad deberá contener un Procedimiento de
notificación, gestión y respuesta ante incidencias (Art. 88)
- Registrar tipo de incidencia, momento en que se ha producido, o en
su caso, detectado, persona que la notifica, a quién se le comunica,
efectos que se hubieran derivado y medidas correctoras aplicadas
(Art. 90)
- Únicamente, en el caso de que la pérdida o destrucción afectase a
ficheros o tratamientos parcialmente automatizados, y siempre que
la existencia de documentación permita alcanzar el objetivo al que
se refiere el párrafo anterior, se deberá proceder a grabar
manualmente los datos quedando constancia motivada de este
hecho en el documento de seguridad (Art. 94.2)
- Los usuarios tendrán acceso únicamente a los recursos que
precisen para el desarrollo de sus funciones.
- El responsable del fichero se encargará de que exista una relación
actualizada de usuarios y los accesos autorizados para cada uno de
ellos.
- El responsable del fichero establecerá mecanismos para evitar que
un usuario pueda acceder a recursos con derechos distintos de los
autorizados.
- Exclusivamente el personal autorizado para ello en doc. seguridad
podrá conceder, alterar o anular el acceso autorizado sobre los
recursos.
(Art. 91)
- Página 2 de 7 -
NIVEL
ALTO
ACCESO o TRATAMIENTO POR
TERCEROS
COMUNES NIVEL BÁSICO
- Cuando se trate de personal ajeno contratado para la realización de
trabajos que no impliquen el tratamiento de datos personales, el
contrato de prestación de servicios recogerá expresamente la
prohibición de acceder a los datos personales y la obligación de
secreto respecto a los datos que el personal hubiera podido conocer
con motivo de la prestación del servicio. (Art. 83)
- Si existe un tratamiento de datos por cuenta de terceros, el doc.
seguridad deberá contener la identificación de dicho fichero con
referencia expresa al contrato que regule las condiciones del
encargo y su periodo de vigencia (Art. 88)
- Además, si el encargado del tratamiento presta sus servicios en los
locales del responsable deberá hacerse constar esta circunstancia
en el doc. de seguridad de dicho responsable (Art. 82)
- Si el servicio fuera prestado por el encargado del tratamiento en sus
propios locales deberá elaborar un doc. de seguridad identificando
el fichero y el responsable del mismo, así como las medidas de
seguridad a implantar (Art. 82)
GESTIÓN DE SOPORTES Y DOCUMENTOS
- Los ficheros temporales o copias de trabajo de documentos deberán
cumplir el nivel de seguridad que les corresponda, siendo borrados
una vez que hayan dejado de ser necesarios (Art. 87).
- Los soportes y documentos que contengan datos de carácter
personal deberán permitir identificar el tipo de información que
contienen, ser inventariados y sólo deberán ser accesibles por el
personal autorizado en doc. seguridad. Se exceptúan estas
obligaciones cuando las características físicas del soporte
imposibiliten su cumplimiento, quedando constancia motivada de
ello en el doc. seguridad (Art. 92).
- El documento de seguridad deberá contener las Medidas a adoptar
para el transporte de soportes y documentos, así como para su
destrucción (Art. 88).
- La salida de soportes y documentos, incluidos los anejos a un
correo electrónico, deberá ser autorizada por el responsable del
fichero o encontrarse debidamente autorizada en el doc. Seguridad
(Art. 92).
- En el traslado de la documentación se adoptarán las medidas
dirigidas a evitar la sustracción, pérdida o acceso indebido a la
información durante su transporte (Art. 92)
- Siempre que vaya a desecharse cualquier documento o soporte
deberá procederse a su destrucción o borrado, mediante la
adopción de medidas dirigidas a evitar el acceso a la información
contenida en el mismo o su recuperación posterior (Art. 92).
DISPOSITIVOS
PORTÁTILES
- La identificación de los soportes que contengan datos
especialmente sensibles se podrá realizar utilizando sistemas de
etiquetado comprensibles para los usuarios con acceso autorizado,
pero que dificulten la identificación para el resto de personas (Art.
92)
- Cuando los datos se almacenen en dispositivos portátiles o se traten
fuera de los locales del responsable del fichero o del encargado del
tratamiento, será preciso una autorización previa del responsable
del fichero, garantizándose el nivel de seguridad correspondiente.
Dicha autorización deberá constar en el doc. de seguridad, por
usuario o perfil y periodo (Art. 86).
- Página 3 de 7 -
NIVEL MEDIO
NIVEL
ALTO
MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS AUTOMATIZADOS
AUTOMATIZADOS BÁSICO
NIVEL ALTO
REGISTRO DE INCIDENCIAS
- Exclusivamente el personal
autorizado en el doc. seguridad
podrá tener acceso a los lugares
donde se hallen instalados los
equipos físicos que den soporte a
los sistemas de información (Art.
99)
CTRL. FÍSICO
ACCESO
GESTIÓN DE SOPORTES Y DOCUMENTOS
TELECOMUNICACIONES
NIVEL MEDIO
- En el registro de incidencias
deberán consignarse además los
procedimientos realizados de
recuperación de los datos,
indicando la persona que ejecutó el
proceso, los datos restaurados y
qué datos ha sido necesario grabar
manualmente.
- Será necesaria la autorización del
responsable del fichero para la
ejecución de los procedimientos de
recuperación.
(Art. 100)
- El documento de seguridad
deberá contener las Medidas a
adoptar para la reutilización de
los soportes (Art. 88)
- Registro de entrada y salida de
soportes, que permita conocer el
tipo de documento o soporte, la
fecha y hora, el emisor o
destinatario, el número de
documentos o soportes incluidos en
el envío, el tipo de información que
contienen, la forma de envío y la
persona responsable de la
recepción o de la entrega, que
deberá estar debidamente
autorizada (Art. 97).
- Las medidas de seguridad
exigibles a los accesos a datos
a través de redes de
comunicaciones deberán
garantizar un nivel de seguridad
equivalente al de los accesos
en modo local. (Art. 85)
- La identificación de los soportes se
deberá realizar utilizando sistemas de
etiquetado comprensibles para los
usuarios con acceso autorizado, y que
dificulten la identificación para el resto
de personas.
- La distribución de los soportes se
realizará cifrando los datos o bien
utilizando otro mecanismo que garantice
que dicha información no sea accesible
o manipulada durante su transporte.
- Se cifrarán los datos que contengan los
dispositivos portátiles cuando éstos se
encuentren fuera de las instalaciones del
responsable del fichero.
- Deberá evitarse el tratamiento de datos
en dispositivos portátiles que no
permitan su cifrado. En caso de que sea
estrictamente necesario se hará constar
motivadamente en el doc. seguridad y
se adoptarán medidas que tengan en
cuenta los riesgos de realizar
tratamientos en entornos desprotegidos.
(Art. 101)
- La transmisión de datos a través de
redes públicas o redes inalámbricas de
comunicaciones electrónicas se
realizará cifrando dichos datos o bien
utilizando cualquier otro mecanismo que
garantice que la información no sea
inteligible ni manipulada por terceros.
(Art. 104)
- Página 4 de 7 -
NIVEL ALTO
- Establecer procedimientos para la
realización como mínimo semanal de
copias de respaldo, salvo que no se
hubiera producido ninguna
actualización (Art. 88 y 94).
- Procedimientos para la recuperación
de los datos que garanticen su
reconstrucción en el estado en que se
encontraban al tiempo de producirse la
pérdida o destrucción (Art. 88 y 94).
- Deberá conservarse una copia de respaldo de
los datos y de los procedimientos de
recuperación en un lugar diferente de aquel en
que se encuentren los equipos informáticos
que los tratan. (Art. 102)
- Los productos de software destinados
al tratamiento automatizado de datos
personales deberán incluir en su
descripción técnica el nivel de
seguridad, básico, medio o alto, que
permitan alcanzar (Disposición
adicional única)
- Las pruebas anteriores a la
implantación o modificación de los
sistemas de información no se
realizarán con datos reales, salvo que
se asegure el nivel de seguridad
correspondiente al tratamiento
realizado y se anote su realización en
el doc. seguridad. Si está previsto
realizar pruebas con datos reales,
previamente deberá realizarse una
copia de seguridad (Art. 94)
IDENTIFICACIÓN Y AUTENTICACIÓN
- De cada intento de acceso se guardarán la
identificación del usuario, la fecha y hora en
que se realizó, el fichero accedido, el tipo de
acceso y si ha sido autorizado o denegado.
- Si el acceso ha sido autorizado, se guardará
también la información que identifique el
registro accedido.
- Los mecanismos que permiten el registro de
accesos estarán bajo el control directo del resp.
seguridad sin que deban permitir la
desactivación ni la manipulación de los
mismos.
- Periodo mínimo de conservación de estos
datos de dos años.
- El resp. seguridad se encargará de revisar al
menos una vez al mes la información de control
registrada y elaborará un informe de las
revisiones realizadas y los problemas
detectados.
- No será necesario el registro de accesos si el
responsable del fichero es una persona física y
garantiza que únicamente él tiene acceso y
trata los datos personales. Estas circunstancias
deberán constar expresamente en el doc.
seguridad.
(Art. 103)
COPIAS DE RESPALDO Y
RECUPERACIÓN
NIVEL MEDIO
ADQUISICIÓN, DESARROLLO, PRUEBAS Y MTO.
DE LOS S.I.
AUTOMATIZADOS BÁSICO
- El responsable del fichero deberá
- El responsable del
adoptar las medidas que garanticen la
fichero establecerá un
correcta identificación y autenticación
mecanismo que limite
de los usuarios.
la posibilidad de
intentar
- El responsable del fichero establecerá
reiteradamente el
un mecanismo que permita la
acceso no autorizado
identificación de forma inequívoca y
al sistema de
personalizada de todo aquel usuario
información. (Art. 98)
que intente acceder al sistema de
información y la verificación de que
está autorizado.
- Cuando el mecanismo de
autenticación se base en la existencia
de contraseñas existirá un
procedimiento de asignación,
distribución y almacenamiento que
garantice su confidencialidad e
integridad.
- El doc. seguridad establecerá la
periodicidad, que en ningún caso será
superior a un año, con la que tienen
que ser cambiadas las contraseñas
que, mientras estén vigentes, se
almacenarán de forma ininteligible.
(Art. 93)
- Página 5 de 7 -
VERIFICACIONES PERIÓDICAS Y AUDITORIA
AUTOMATIZADOS BÁSICO
NIVEL MEDIO
El responsable del fichero
- El documento de seguridad deberá contener
se encargará de verificar
los controles periódicos para verificar el
cada seis meses la correcta
cumplimiento del doc. seguridad (Art. 88).
definición, funcionamiento y - Los sistemas de información e instalaciones de
aplicación de los
tratamiento y almacenamiento de datos se
procedimientos de copias y
someterán, al menos cada dos años, a una
recuperación (Art. 94).
auditoría interna o externa que verifique el
cumplimiento del Reglamento de desarrollo de
la LOPD.
- Con carácter extraordinario deberá realizarse
dicha auditoría siempre que se realicen
modificaciones en el sistema de información
que puedan repercutir en el cumplimiento de
las medidas de seguridad implantadas.
- El informe de auditoría deberá dictaminar sobre
la adecuación de las medidas y controles a la
Ley y su desarrollo reglamentario, identificar
sus deficiencias y proponer las medidas
correctoras o complementarias necesarias.
Deberá incluir los datos, hechos y
observaciones en que se basen los dictámenes
alcanzados y las recomendaciones propuestas.
- Los informes de auditoría serán analizados por
el responsable de seguridad competente, que
elevará las conclusiones al responsable del
fichero para que adopte las medidas
correctoras adecuadas y quedarán a
disposición de la AEPD.
(Art. 96)
- Página 6 de 7 -
NIVEL ALTO
- El Responsable de seguridad se
encargará de revisar al menos una
vez al mes la información de control
registrada y elaborará un informe de
las revisiones realizadas y los
problemas detectados (Art. 103).
MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS NO AUTOMATIZADOS
NIVEL MEDIO
CRITERIOS DE
ARCHIVO
DISPOSITIVOS DE
ALMACENAMIENTO
- Los dispositivos de almacenamiento
deberán disponer de mecanismos que
obstaculicen su apertura. Cuando las
características físicas de aquéllos no
permitan adoptar esta medida, el
responsable del fichero adoptará las
medidas que impidan el acceso de
personas no autorizadas.
(Art. 107)
- Mientras la documentación no se
encuentre archivada en los dispositivos de
almacenamiento, por estar en proceso de
revisión o tramitación, la persona que se
encuentre al cargo de la misma deberá
custodiarla e impedir en todo momento
que pueda ser accedida por persona no
autorizada.
(Art. 108)
- Los armarios o archivadores deberán
encontrarse en áreas en las que el acceso esté
protegido con puertas de acceso dotadas de
sistemas de apertura mediante llave u otro
dispositivo equivalente. Dichas áreas deberán
permanecer cerradas cuando no sea preciso el
acceso a los documentos.
- Si, atendidas las características de los locales de
que dispusiera el responsable del fichero, no
fuera posible cumplir lo anterior, el responsable
adoptará medidas alternativas que se incluirán
en el documento de seguridad. (Art. 111)
- El acceso a la documentación se limitará
exclusivamente al personal autorizado.
- Se establecerán mecanismos que permitan
identificar los accesos realizados en el caso de
documentos que puedan ser utilizados por
múltiples usuarios.
- El acceso de personas no incluidas en el párrafo
anterior deberá quedar adecuadamente
registrado de acuerdo con el procedimiento
establecido al efecto en el doc. seguridad.
(Art. 113)
- La generación de copias o la reproducción de los
documentos únicamente podrá ser realizada
bajo el control del personal autorizado en el doc.
seguridad.
- Deberá procederse a la destrucción de las
copias o reproducciones desechadas de forma
que se evite el acceso a la información contenida
en las mismas.
(Art. 112)
TRASLADO DE
DOCUMENTACIÓN
COPIA O
REPRODUCCIÓN
- El archivo de los soportes o documentos
se realizará de acuerdo con los criterios
previstos en su respectiva legislación.
Estos criterios deberán garantizar la
correcta conservación de los documentos,
la localización y consulta de información y
posibilitar el ejercicio de los derechos
ARCO. (Art. 106)
AUDITORIA
NIVEL ALTO
- El documento de seguridad deberá
contener:
o Medidas de seguridad de los ficheros
NO automatizados.
CUSTODIA DE LOS
SOPORTES
DOCUMENTO DE
SEGURIDAD
NO AUTOMATIZADOS BÁSICO
- Siempre que se proceda al traslado físico de la
documentación deberán adoptarse medidas
dirigidas a impedir el acceso o manipulación de
dicha información.
(Art. 114)
- Los ficheros NO automatizados se
someterán, al menos cada dos
años, a una auditoría interna o
externa que verifique el
cumplimiento de las medidas de
seguridad aplicables (Art. 110).
- Página 7 de 7 -
Descargar