R.D. 1720/2007 de REGLAMENTO DE DESARROLLO DE LA LOPD REAL DECRETO 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. BOE nº 17 del 19 de enero de 2008. (Resumen TyD – enero 2011) ENTRADA EN VIGOR (Disposición final segunda) A los tres meses de su íntegra publicación en el Boletín Oficial del Estado: 21 de abril de 2008. PLAZOS DE IMPLANTACIÓN DE LAS MEDIDAS DE SEGURIDAD (Disposición transitoria segunda) Ficheros automatizados existentes: un año para implantar las medidas de seguridad de nivel Medio y dieciocho meses para las de nivel Alto. Un año también para las medidas no existentes en el RD 994/99. Ficheros no automatizados (papel) existentes: un año para implantar las medidas de nivel Básico, dieciocho meses para las de nivel Medio y dos años para las de nivel Alto. Ficheros, tanto automatizados como no automatizados, creados con posterioridad a la entrada en vigor del Reglamento desarrollo LOPD: deben tener implantadas desde su creación todas las medidas indicadas en el mismo. APLICACIÓN DE LOS NIVELES DE SEGURIDAD (Art. 81): NIVEL BÁSICO Todos los ficheros o tratamientos de datos de carácter personal. Ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual (cuando la única finalidad es realizar una transferencia dineraria a las entidades de las que los afectados sean asociados; o cuando sean ficheros en los que de forma accesoria se contengan estos datos sin guardar relación con su finalidad). Grado de discapacidad o invalidez con motivo del cumplimiento de deberes públicos (Salud). NIVEL MEDIO NIVEL ALTO Infracciones administrativas o penales. Ideología, afiliación sindical, religión, creencias, Prestación de servicios de información sobre solvencia patrimonial y crédito. Cumplimiento o incumplimiento de obligaciones dinerarias (Art. 29 LOPD). Origen racial, salud o vida sexual. Administraciones Tributarias (en el ejercicio de sus potestades tributarias). Entidades Financieras (prestación de servicios financieros). Fines policiales sin consentimiento. Actos de Violencia de género. Operadores de servicios de comunicaciones electrónicas (datos de tráfico y de localización). Entidades Gestoras y Servicios Comunes de la Seguridad Social y mutuas de accidentes de trabajo y enfermedades profesionales (en el ejercicio de sus competencias en Seguridad Social). Definición de las características o de la personalidad (evaluar comportamiento). _______________________________________________________________________________________ TECNOLOGÍA Y DIRECCIÓN, S.L. N.I.F. B96999107 Web: www.tyd.es Inscrita en Reg. Mercantil Valencia, tomo 6700, libro 4004, folio 111, sección 8, hoja V-73408, inscrip. 1ª MEDIDAS DE SEGURIDAD COMUNES COMUNES NIVEL BÁSICO NIVEL MEDIO CONTROL DE ACCESO REGISTRO DE INCIDENCIAS FUNCIONES Y OBLIGACIONES DEL PERSONAL DOC. SEGURIDAD Y ACTIVOS - El documento de seguridad deberá contener como mínimo (Art. 88): o Ámbito de aplicación y recursos protegidos. o Estructura de los ficheros y descripción de los sistemas. o Medidas, normas, procedimientos, reglas y estándares de seguridad (automatizados y no). - El documento de seguridad deberá mantenerse en todo momento actualizado y será revisado siempre que se produzcan cambios relevantes [...] (Art. 88.7). - El contenido del documento de seguridad deberá adecuarse, en todo momento, a las disposiciones vigentes [...] (Art. 88.8). El documento de seguridad deberá contener uno o varios responsables de seguridad, Las autorizaciones que, en el Reglamento de desarrollo de la LOPD, encargados de coordinar y controlar las medidas definidas en se atribuyen al responsable del fichero podrán ser delegadas. En el el mismo. doc. de seguridad deberán constar las personas habilitadas para Esta designación puede ser única otorgar estas autorizaciones así como aquellas en las que recae para todos los ficheros o dicha autorización. (Art. 84) diferenciada según los sistemas También se definirán en doc. seguridad las funciones de control o de tratamiento utilizados, lo que autorizaciones delegadas por el responsable del fichero (Art. 89). deberá constar en el doc. El responsable del fichero adoptará las medidas para que el seguridad. personal conozca las normas de seguridad que les afecten así como En ningún caso esta designación las consecuencias por incumplimiento. (Art. 89) supone una delegación de la Personal ajeno al responsable del fichero que tenga acceso a los responsabilidad que corresponde recursos deberá estar sometido a las mismas condiciones y al responsable del fichero obligaciones de seguridad que el personal propio. (Art. 91) (Art. 88, 95 y 109) - Las funciones y obligaciones de cada uno de los usuarios o perfiles de usuarios estarán claramente definidas y documentadas en doc. Seguridad (Art. 88c y 89). - - - - El documento de seguridad deberá contener un Procedimiento de notificación, gestión y respuesta ante incidencias (Art. 88) - Registrar tipo de incidencia, momento en que se ha producido, o en su caso, detectado, persona que la notifica, a quién se le comunica, efectos que se hubieran derivado y medidas correctoras aplicadas (Art. 90) - Únicamente, en el caso de que la pérdida o destrucción afectase a ficheros o tratamientos parcialmente automatizados, y siempre que la existencia de documentación permita alcanzar el objetivo al que se refiere el párrafo anterior, se deberá proceder a grabar manualmente los datos quedando constancia motivada de este hecho en el documento de seguridad (Art. 94.2) - Los usuarios tendrán acceso únicamente a los recursos que precisen para el desarrollo de sus funciones. - El responsable del fichero se encargará de que exista una relación actualizada de usuarios y los accesos autorizados para cada uno de ellos. - El responsable del fichero establecerá mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados. - Exclusivamente el personal autorizado para ello en doc. seguridad podrá conceder, alterar o anular el acceso autorizado sobre los recursos. (Art. 91) - Página 2 de 7 - NIVEL ALTO ACCESO o TRATAMIENTO POR TERCEROS COMUNES NIVEL BÁSICO - Cuando se trate de personal ajeno contratado para la realización de trabajos que no impliquen el tratamiento de datos personales, el contrato de prestación de servicios recogerá expresamente la prohibición de acceder a los datos personales y la obligación de secreto respecto a los datos que el personal hubiera podido conocer con motivo de la prestación del servicio. (Art. 83) - Si existe un tratamiento de datos por cuenta de terceros, el doc. seguridad deberá contener la identificación de dicho fichero con referencia expresa al contrato que regule las condiciones del encargo y su periodo de vigencia (Art. 88) - Además, si el encargado del tratamiento presta sus servicios en los locales del responsable deberá hacerse constar esta circunstancia en el doc. de seguridad de dicho responsable (Art. 82) - Si el servicio fuera prestado por el encargado del tratamiento en sus propios locales deberá elaborar un doc. de seguridad identificando el fichero y el responsable del mismo, así como las medidas de seguridad a implantar (Art. 82) GESTIÓN DE SOPORTES Y DOCUMENTOS - Los ficheros temporales o copias de trabajo de documentos deberán cumplir el nivel de seguridad que les corresponda, siendo borrados una vez que hayan dejado de ser necesarios (Art. 87). - Los soportes y documentos que contengan datos de carácter personal deberán permitir identificar el tipo de información que contienen, ser inventariados y sólo deberán ser accesibles por el personal autorizado en doc. seguridad. Se exceptúan estas obligaciones cuando las características físicas del soporte imposibiliten su cumplimiento, quedando constancia motivada de ello en el doc. seguridad (Art. 92). - El documento de seguridad deberá contener las Medidas a adoptar para el transporte de soportes y documentos, así como para su destrucción (Art. 88). - La salida de soportes y documentos, incluidos los anejos a un correo electrónico, deberá ser autorizada por el responsable del fichero o encontrarse debidamente autorizada en el doc. Seguridad (Art. 92). - En el traslado de la documentación se adoptarán las medidas dirigidas a evitar la sustracción, pérdida o acceso indebido a la información durante su transporte (Art. 92) - Siempre que vaya a desecharse cualquier documento o soporte deberá procederse a su destrucción o borrado, mediante la adopción de medidas dirigidas a evitar el acceso a la información contenida en el mismo o su recuperación posterior (Art. 92). DISPOSITIVOS PORTÁTILES - La identificación de los soportes que contengan datos especialmente sensibles se podrá realizar utilizando sistemas de etiquetado comprensibles para los usuarios con acceso autorizado, pero que dificulten la identificación para el resto de personas (Art. 92) - Cuando los datos se almacenen en dispositivos portátiles o se traten fuera de los locales del responsable del fichero o del encargado del tratamiento, será preciso una autorización previa del responsable del fichero, garantizándose el nivel de seguridad correspondiente. Dicha autorización deberá constar en el doc. de seguridad, por usuario o perfil y periodo (Art. 86). - Página 3 de 7 - NIVEL MEDIO NIVEL ALTO MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS AUTOMATIZADOS AUTOMATIZADOS BÁSICO NIVEL ALTO REGISTRO DE INCIDENCIAS - Exclusivamente el personal autorizado en el doc. seguridad podrá tener acceso a los lugares donde se hallen instalados los equipos físicos que den soporte a los sistemas de información (Art. 99) CTRL. FÍSICO ACCESO GESTIÓN DE SOPORTES Y DOCUMENTOS TELECOMUNICACIONES NIVEL MEDIO - En el registro de incidencias deberán consignarse además los procedimientos realizados de recuperación de los datos, indicando la persona que ejecutó el proceso, los datos restaurados y qué datos ha sido necesario grabar manualmente. - Será necesaria la autorización del responsable del fichero para la ejecución de los procedimientos de recuperación. (Art. 100) - El documento de seguridad deberá contener las Medidas a adoptar para la reutilización de los soportes (Art. 88) - Registro de entrada y salida de soportes, que permita conocer el tipo de documento o soporte, la fecha y hora, el emisor o destinatario, el número de documentos o soportes incluidos en el envío, el tipo de información que contienen, la forma de envío y la persona responsable de la recepción o de la entrega, que deberá estar debidamente autorizada (Art. 97). - Las medidas de seguridad exigibles a los accesos a datos a través de redes de comunicaciones deberán garantizar un nivel de seguridad equivalente al de los accesos en modo local. (Art. 85) - La identificación de los soportes se deberá realizar utilizando sistemas de etiquetado comprensibles para los usuarios con acceso autorizado, y que dificulten la identificación para el resto de personas. - La distribución de los soportes se realizará cifrando los datos o bien utilizando otro mecanismo que garantice que dicha información no sea accesible o manipulada durante su transporte. - Se cifrarán los datos que contengan los dispositivos portátiles cuando éstos se encuentren fuera de las instalaciones del responsable del fichero. - Deberá evitarse el tratamiento de datos en dispositivos portátiles que no permitan su cifrado. En caso de que sea estrictamente necesario se hará constar motivadamente en el doc. seguridad y se adoptarán medidas que tengan en cuenta los riesgos de realizar tratamientos en entornos desprotegidos. (Art. 101) - La transmisión de datos a través de redes públicas o redes inalámbricas de comunicaciones electrónicas se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros. (Art. 104) - Página 4 de 7 - NIVEL ALTO - Establecer procedimientos para la realización como mínimo semanal de copias de respaldo, salvo que no se hubiera producido ninguna actualización (Art. 88 y 94). - Procedimientos para la recuperación de los datos que garanticen su reconstrucción en el estado en que se encontraban al tiempo de producirse la pérdida o destrucción (Art. 88 y 94). - Deberá conservarse una copia de respaldo de los datos y de los procedimientos de recuperación en un lugar diferente de aquel en que se encuentren los equipos informáticos que los tratan. (Art. 102) - Los productos de software destinados al tratamiento automatizado de datos personales deberán incluir en su descripción técnica el nivel de seguridad, básico, medio o alto, que permitan alcanzar (Disposición adicional única) - Las pruebas anteriores a la implantación o modificación de los sistemas de información no se realizarán con datos reales, salvo que se asegure el nivel de seguridad correspondiente al tratamiento realizado y se anote su realización en el doc. seguridad. Si está previsto realizar pruebas con datos reales, previamente deberá realizarse una copia de seguridad (Art. 94) IDENTIFICACIÓN Y AUTENTICACIÓN - De cada intento de acceso se guardarán la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado. - Si el acceso ha sido autorizado, se guardará también la información que identifique el registro accedido. - Los mecanismos que permiten el registro de accesos estarán bajo el control directo del resp. seguridad sin que deban permitir la desactivación ni la manipulación de los mismos. - Periodo mínimo de conservación de estos datos de dos años. - El resp. seguridad se encargará de revisar al menos una vez al mes la información de control registrada y elaborará un informe de las revisiones realizadas y los problemas detectados. - No será necesario el registro de accesos si el responsable del fichero es una persona física y garantiza que únicamente él tiene acceso y trata los datos personales. Estas circunstancias deberán constar expresamente en el doc. seguridad. (Art. 103) COPIAS DE RESPALDO Y RECUPERACIÓN NIVEL MEDIO ADQUISICIÓN, DESARROLLO, PRUEBAS Y MTO. DE LOS S.I. AUTOMATIZADOS BÁSICO - El responsable del fichero deberá - El responsable del adoptar las medidas que garanticen la fichero establecerá un correcta identificación y autenticación mecanismo que limite de los usuarios. la posibilidad de intentar - El responsable del fichero establecerá reiteradamente el un mecanismo que permita la acceso no autorizado identificación de forma inequívoca y al sistema de personalizada de todo aquel usuario información. (Art. 98) que intente acceder al sistema de información y la verificación de que está autorizado. - Cuando el mecanismo de autenticación se base en la existencia de contraseñas existirá un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad. - El doc. seguridad establecerá la periodicidad, que en ningún caso será superior a un año, con la que tienen que ser cambiadas las contraseñas que, mientras estén vigentes, se almacenarán de forma ininteligible. (Art. 93) - Página 5 de 7 - VERIFICACIONES PERIÓDICAS Y AUDITORIA AUTOMATIZADOS BÁSICO NIVEL MEDIO El responsable del fichero - El documento de seguridad deberá contener se encargará de verificar los controles periódicos para verificar el cada seis meses la correcta cumplimiento del doc. seguridad (Art. 88). definición, funcionamiento y - Los sistemas de información e instalaciones de aplicación de los tratamiento y almacenamiento de datos se procedimientos de copias y someterán, al menos cada dos años, a una recuperación (Art. 94). auditoría interna o externa que verifique el cumplimiento del Reglamento de desarrollo de la LOPD. - Con carácter extraordinario deberá realizarse dicha auditoría siempre que se realicen modificaciones en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas. - El informe de auditoría deberá dictaminar sobre la adecuación de las medidas y controles a la Ley y su desarrollo reglamentario, identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias. Deberá incluir los datos, hechos y observaciones en que se basen los dictámenes alcanzados y las recomendaciones propuestas. - Los informes de auditoría serán analizados por el responsable de seguridad competente, que elevará las conclusiones al responsable del fichero para que adopte las medidas correctoras adecuadas y quedarán a disposición de la AEPD. (Art. 96) - Página 6 de 7 - NIVEL ALTO - El Responsable de seguridad se encargará de revisar al menos una vez al mes la información de control registrada y elaborará un informe de las revisiones realizadas y los problemas detectados (Art. 103). MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS NO AUTOMATIZADOS NIVEL MEDIO CRITERIOS DE ARCHIVO DISPOSITIVOS DE ALMACENAMIENTO - Los dispositivos de almacenamiento deberán disponer de mecanismos que obstaculicen su apertura. Cuando las características físicas de aquéllos no permitan adoptar esta medida, el responsable del fichero adoptará las medidas que impidan el acceso de personas no autorizadas. (Art. 107) - Mientras la documentación no se encuentre archivada en los dispositivos de almacenamiento, por estar en proceso de revisión o tramitación, la persona que se encuentre al cargo de la misma deberá custodiarla e impedir en todo momento que pueda ser accedida por persona no autorizada. (Art. 108) - Los armarios o archivadores deberán encontrarse en áreas en las que el acceso esté protegido con puertas de acceso dotadas de sistemas de apertura mediante llave u otro dispositivo equivalente. Dichas áreas deberán permanecer cerradas cuando no sea preciso el acceso a los documentos. - Si, atendidas las características de los locales de que dispusiera el responsable del fichero, no fuera posible cumplir lo anterior, el responsable adoptará medidas alternativas que se incluirán en el documento de seguridad. (Art. 111) - El acceso a la documentación se limitará exclusivamente al personal autorizado. - Se establecerán mecanismos que permitan identificar los accesos realizados en el caso de documentos que puedan ser utilizados por múltiples usuarios. - El acceso de personas no incluidas en el párrafo anterior deberá quedar adecuadamente registrado de acuerdo con el procedimiento establecido al efecto en el doc. seguridad. (Art. 113) - La generación de copias o la reproducción de los documentos únicamente podrá ser realizada bajo el control del personal autorizado en el doc. seguridad. - Deberá procederse a la destrucción de las copias o reproducciones desechadas de forma que se evite el acceso a la información contenida en las mismas. (Art. 112) TRASLADO DE DOCUMENTACIÓN COPIA O REPRODUCCIÓN - El archivo de los soportes o documentos se realizará de acuerdo con los criterios previstos en su respectiva legislación. Estos criterios deberán garantizar la correcta conservación de los documentos, la localización y consulta de información y posibilitar el ejercicio de los derechos ARCO. (Art. 106) AUDITORIA NIVEL ALTO - El documento de seguridad deberá contener: o Medidas de seguridad de los ficheros NO automatizados. CUSTODIA DE LOS SOPORTES DOCUMENTO DE SEGURIDAD NO AUTOMATIZADOS BÁSICO - Siempre que se proceda al traslado físico de la documentación deberán adoptarse medidas dirigidas a impedir el acceso o manipulación de dicha información. (Art. 114) - Los ficheros NO automatizados se someterán, al menos cada dos años, a una auditoría interna o externa que verifique el cumplimiento de las medidas de seguridad aplicables (Art. 110). - Página 7 de 7 -