Principios Reglamento Medidas de Seguridad 1720/2007

Anuncio
José J. Ivars
Director Departamento Nuevas Tecnologías
Mompó abogados
Protección de datos. rlopd (r.d.
1720/2007 de 21 de diciembre).
Medidas de seguridad. Fin de los
plazos establecidos para la adaptación
El Reglamento 1720/2007 de 21 de Di-
Todos los ficheros deben adoptar las me-
ciembre (RLOPD), nace para desarrollar los
didas de seguridad de nivel básico. (En el
mandatos contenido en la Ley 15/1999 So-
siguiente punto expondré las medidas que
bre Protección de Datos de Carácter Perso-
son de aplicación).
nal y en la Directiva Europea 95/46 CE.
El RLOPD abarca el ámbito regulado
hasta su entrada en vigor, lo dispuesto en
los Reales Decretos 1332/1994, de 20 de
junio, y 994/1999, de 11 de junio. En este reglamento ya no solo se establecen medidas
para los ficheros automatizados, sino que
también se contemplan las medias aplicables para los ficheros no automatizados, es
decir, ficheros papel u análogos.
Por ello y según la normativa vigente en
materia de Protección de Datos se impone
a los Responsables de Ficheros y Encar-
evaluar determinados aspectos de la personalidad o el comportamiento.
Serán de aplicación las medidas de Nivel
Alto, cuando tratemos datos relativos a:
Además de estás, debemos aplicar el Ni-
- Los que se refieran a ideología, afilia-
vel Medio, siempre que manejemos informa-
ciación sindical, religión, creencias, origen
ción y datos relativos a:
racial, salud o vida sexual.
- Comisión de infracciones administrativas o penales.
- Los que contengan o se refieran a fines
policiales sin consentimiento de las perso-
- Aquellos cuya finalidad sea la prestación
de solvencia patrimonial y de crédito.
nas afectadas
- Aquellos que contengan datos relacio-
“Las medidas de seguridad
a aplicar van en función de la
tipología de los datos”
gados de Tratamiento la adopción de unas
determinadas medidas de seguridad. Éstas,
- Aquellos de los que sean Responsables
se deberán implementar según lo dispuesto
las Administraciones Tributarias y se relacio-
en el Título VIII del RLOPD, que ya lo deja
nen con el ejercicio de sus potestades.
nados con la violencia de género.
B) Medidas aplicables según la tipología
latente a su comienzo: “Los Responsables
- Aquellos que sean responsables las
de los tratamientos o los ficheros y los En-
entidades financieras para finalidades re-
Existen una serie de medidas que son
cargados de Tratamiento deberán implantar
lacionadas con la prestación de servicios
comunes, independientemente del nivel de
las medidas de seguridad con arreglo a los
financieros.
seguridad que poseamos. Partimos que
de los datos.
dispuesto en este Titulo, con independencia
- Aquellos que sean responsables las en-
debemos poseer y elaborar un Documento
de cuál sea su sistema de tratamiento” (Art.
tidades gestoras y Servicios Comunes de la
de Seguridad, en el cual describamos la ar-
79 RLOPD).
Seguridad Social y se relaciones con el ejer-
quitectura, protocolos y políticas de nuestra
cicio de sus competencias. De igual modo,
organización en cuanto a LOPD se refiere.
A) ¿Cómo saber qué Medidas debemos
aquellos de los que sean responsables las
Siempre deberemos tener en cuenta que el
aplicar?
mutuas de accidentes de trabajo y enferme-
Documento de Seguridad deberá contener
dades profesionales de la Seguridad Social.
unos punto mínimos que se encuentran fija-
aplicadas, van en función de la tipología de
- Aquellos que contengan un conjunto de
dos en el propio RLOPD. Dicho documento
los datos que en nuestra organización tra-
datos de carácter personal que ofrezcan una
no debe caer en el olvido de la estantería
temos. Existen tres niveles: Básico, Medio
definición de las características o de la per-
para que acumule polvo, sino que por el
y Alto.
sonalidad de los ciudadanos y que permitan
contrario debe ser un documento vivo, en el
Las medidas de seguridad que deben ser
| 12 |
Consejo de Colegios de Mediadores de Seguros de la Comunidad Valenciana
| asesoría jurídica |
cual se plasmen los cambios de la organi-
en las que recae dicha delegación, pero a
zación, incidencias y cualesquiera otros ele-
tener en cuenta es que esta delegación no
mentos que afecten a los datos. Debemos
supone una delegación de responsabilidad,
Nivel Medio:
mantenerlo actualizado, no solo por si se
que siempre recaerá en el Responsable del
6- Designación Responsable de Seguri-
nos solicita por la Agencia Española de Pro-
Fichero.
tección de Datos, sino para mantener nuestra estructura organizada, de tal forma que
dad.
- Medidas que garanticen la seguridad a
través de las redes de comunicaciones.
no solo lo utilicemos para cumplir la norma
- Autorización para el tratamiento de da-
sino que nos ayude a acelerar los procesos
tos fuera de la organización deberá constar
y trazabilidad de la información.
mediante autorización.
Dicho esto, entremos en las medidas de
seguridad que se nos plantean:
- Cuando trabajemos con ficheros temporales o copias de documentos, que se creen
- Regulación contractual con el personal
para la realización de trabajos temporales,
ajeno que pudiera acceder a los datos de
una vez terminado este deben ser destrui-
carácter personal de nuestra empresa. Rea-
dos o borrados.
lizar mención expresa que no debe acceder
a los datos que no sean necesarios para las
5- Identificación y Autentificación de
Usuarios.
7- Auditoria y Verificaciones de control y
cumplimiento.
8- Gestión de Soportes y Documentos:
Registro de entrada y salida.
9- Identificación y Autentificación de
Usuarios: Limite de intentos de acceso no
autorizado.
10- Control de Acceso físico.
11- Registro de Incidencias: Autorización
del Responsable de Seguridad para la eje-
En cuanto a los Ficheros Automatizados
las distinguimos de la siguiente forma:
cución de los procedimientos de recuperación.
funciones que haya sido contratado y la obli-
Nivel Básico:
Nivel Alto:
gación de secreto incluso después del térmi-
1- Determinación de las funciones y obli-
12- Gestión y distribución de soportes:
no de la relación contractual.
- En el Documento de Seguridad deben
gaciones del personal.
2- Registro de incidencias.
aparecer las personas habilitadas para
3- Control de accesos
otorgar autorizaciones así como aquellas
4- Gestión de soportes y documentos.
| 13 |
Mediadores de Seguros
Cifrado.
13- Copias de respaldo y recuperación:
Pasa a página 14
| asesoría jurídica |
Viene de la página 13
copia fuera de la organización.
14- Registros de Acceso: De cada intento
de acceso se guardarán, como mínimo, la
identificación del usuario, la fecha y la hora
en que se realizó, El fichero accedido, el tipo
de acceso y si ha sido autorizado o denegado.
15- Telecomunicaciones.
“No sólo basta con el estricto
cumplimiento, sino que debemos
concienciar al personal”
automatizados.
de tráfico y a los datos de localización.
La implantación de las medidas de segu-
c. En los demás supuestos, cuando el
ridad previstas en el RLOPD deberá produ-
presente reglamento exija la implantación
cirse con arreglo a las siguientes reglas:
de una medida adicional, no prevista en el
En cuanto a las medidas para los ficheros
1. Respecto de los ficheros automatiza-
Reglamento de Medidas de seguridad de
NO automatizados: Además de las que ex-
dos que existieran en la fecha de entrada en
los ficheros automatizados de datos de ca-
pondré a continuación se deben aplicar las
vigor del presente Real Decreto:
rácter personal, aprobado por Real Decre-
anteriormente mencionadas, que puedan
a. En el plazo de un año desde su entra-
to 994/1999, de 11 de junio, dicha medida
ser de aplicación.
da en vigor, deberán implantarse las medi-
deberá implantarse en el plazo de un año
Nivel Básico:
das de seguridad de nivel medio exigibles a
desde la entrada en vigor del presente Real
1- Criterios de archivo.
los siguientes ficheros:
Decreto.
2- Dispositivos de almacenamiento.
a1. Aquéllos de los que sean responsa-
2. Respecto de los ficheros no automati-
3- Custodia de soportes.
bles las Entidades Gestoras y Servicios Co-
zados que existieran en la fecha de entrada
Nivel Medio:
munes de la Seguridad Social y se relacio-
en vigor del presente Real Decreto:
4- Responsable de Seguridad.
nen con el ejercicio de sus competencias.
5- Auditoria.
a2. Aquéllos de los que sean responsa-
Nivel Alto:
bles las mutuas de accidentes de trabajo y
6- Almacenamiento de información.
enfermedades profesionales de la Seguri-
7- Copia o reproducción.
dad Social.
8- Acceso a documentación.
a. Las medidas de seguridad de nivel básico deberán implantarse en el plazo de un
año desde su entrada en vigor.
b. Las medidas de seguridad de nivel medio deberán implantarse en el plazo de die-
a3. Aquéllos que contengan un conjunto
ciocho meses desde su entrada en vigor.
9- Traslado de documentación
de datos de carácter personal que ofrezcan
c. Las medidas de seguridad de nivel
El cumplimiento de estas medidas jun-
una definición de las características o de la
alto deberán implantarse en el plazo de dos
to con las dispuestas en la propia LOPD y
personalidad de los ciudadanos y que per-
años desde su entrada en vigor.
otras disposiciones se hace imprescindible,
mitan evaluar determinados aspectos de la
3. Los ficheros, tanto automatizados
no solo por el cumplimiento de la Ley, la sal-
personalidad o del comportamiento de los
como no automatizados, creados con pos-
vaguarda de nuestro activo más importante
mismos, respecto de las medidas de este
terioridad a la fecha de entrada en vigor
o la obligación de garantizar el Derecho fun-
nivel que no fueran exigibles conforme a lo
del presente Real Decreto deberán tener
damental a la protección de datos, sino tam-
previsto en el artículo 4.4 del Reglamento
implantadas, desde el momento de su crea-
bién para evitar las cuantiosas sanciones
de Medidas de seguridad de los ficheros au-
ción la totalidad de las medidas de seguri-
que se imponen por su incumplimiento, re-
tomatizados de datos de carácter personal,
dad reguladas en el mismo.
cordemos que pueden llegar a los 600.000€.
aprobado por Real Decreto 994/1999, de 11
En este último punto podemos decir que du-
de junio.
Como nota informativa, comentamos el
caso de una organización que a pesar de
rante el año pasado las reclamaciones ante
b. En el plazo de un año desde su entra-
cumplir con la Ley de Protección de Datos,
la Agencia Española de Protección de Datos
da en vigor deberán implantarse las medi-
cometió un error en el cumplimiento de los
crecieron un 45%, y las sanciones se impo-
das de seguridad de nivel medio y en el de
protocolos de seguridad, y fue sancionada
nen sin tener en cuenta el tamaño, factura-
dieciocho meses desde aquella fecha, las de
con 6000€ de multa por la aparición de do-
ción o sector de la organización.
nivel alto exigibles a los siguientes ficheros:
cumentación con datos y membrete de la or-
b1. Aquéllos que contengan datos deriva-
ganización en la calle. Con esto se hace hin-
C) Plazos establecidos para la adaptación
dos de actos de violencia de género.
capié en que no solo basta con el tema del
El 19 de Abril finalizaron algunos de los
b2. Aquéllos de los que sean responsa-
estricto cumplimiento sino con la conciencia-
plazos para implementar por parte de los
bles los operadores que presten servicios de
ción al personal que trata datos de carácter
Responsable de Seguridad y Encargados
comunicaciones electrónicas disponibles al
personal, pues muchas de las sanciones se
de Tratamiento a las medidas de seguridad
público o exploten redes públicas de comu-
producen por errores humanos dentro de las
tanto de ficheros automatizados como no
nicaciones electrónicas respecto a los datos
organizaciones.
| 14 |
Consejo de Colegios de Mediadores de Seguros de la Comunidad Valenciana
Descargar