Boletín nº 5 · 8 de Junio del 2005

 
Fiscal Contable|MK Jurídico | Laboral | Marketing | Inicio  
Artículos
Protección de Datos

Medidas de seguridad para los ficheros de Nivel Básico

Enlazando con nuestro artículo anterior, el cual versaba sobre el nivel básico de seguridad, en el presente artículo vamos a comentar en qué consisten las medidas a llevar a cabo para los ficheros que tengan este nivel de seguridad.

Ante todo, recordar a nuestros lectores que antes de pasar a aplicar las medidas que exija el correspondiente nivel de seguridad para su fichero, es IMPRESCINDIBLE

Nayra Pérez
registrar el mismo en el Registro General de la Agencia Española de Protección de Datos, puesto que su no inscripción puede ser motivo de infracción leve (artículo 44, 2c de la LOPD).

La primera medida de seguridad a la que nos remite la ley con respecto a ficheros de nivel básico se halla contenida en el artículo 8 del Reglamento de Seguridad (RD 994/1999):          

“ Art. 8: Documento de seguridad.

            1.- El Responsable del fichero elaborará e implantará la normativa de seguridad mediante un documento de obligado cumplimiento para el personal con acceso a los datos automatizados de carácter personal y a los sistemas de información.

            2.- El documento deberá contener, como mínimo, los siguientes aspectos:

                        a.- Ámbito de aplicación del documento, con especificación detallada de los recursos protegidos.

                        b.- Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en este Reglamento.

                        c.-  Funciones y obligaciones del personal.

                        d.- Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan.

                        e.- Procedimiento de notificación, gestión y respuesta ante las incidencias.

                        f.- Los procedimientos de realización de copias de respaldo y de recuperación de los datos.

            3.- El documento deberá mantenerse en todo momento actualizado y deberá ser revisado siempre que se produzcan cambios relevantes en el sistema de información o en la organización del mismo.

            4.- El contenido del documento deberá adecuarse, en todo momento, a las disposiciones vigentes en materia de seguridad de los datos de carácter personal.”

1) El DOCUMENTO DE SEGURIDAD: Este documento viene a ser un manual de seguridad para la empresa, de uso interno para la misma, pero que deberá entregarse siempre que sea solicitado por la Agencia de Protección de Datos en caso de inspección.

Ante todo hay que dejar claro que este manual no es inscribible, ni se tiene que enviar copia del mismo a la Agencia de Protección de Datos, simplemente tenerlo actualizado en las dependencias de la empresa y facilitarlo siempre y cuando así nos lo requieran.

Este documento deberá ser revisado y adecuado a las nuevas realidades de la empresa, siempre y cuando se den en la misma cambios significativos en el sistema de información de la empresa (por ejemplo, debido a un cambio de los programas que utilizamos para tratar la información de nuestros clientes), o cambios producidos en la organización de la misma (por ejemplo, en caso de altas y bajas de personal).

El segundo punto del artículo 8 indica los puntos que indiscutiblemente debe contener este documento de seguridad.

            a.- “Ámbito de aplicación del documento, con especificación detallada de los recursos protegidos”: es decir, sobre qué materias va a versar el documento de seguridad (ficheros, programas, soportes de almacenamiento de datos, equipos informáticos, etc...).

            b.- “Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en este Reglamento”: hay que dar a conocer al personal de la compañía cuál va a ser, a partir de ahora, la política de la empresa en cuanto a normas de seguridad, haciendo especial hincapié de que, en caso de que no se cumplan estas medidas, puede derivar, por parte de la misma, en adopción de medidas de tipo disciplinario para el trabajador.

            Asimismo, el documento deberá contener una relación donde consten los trabajadores autorizados a acceder al sistema informático, y a acceder a éste a través de identificación del usuario (o password) y contraseña (o login), que deben ser personales, secretos e intransferibles, y asignados por alguien de la empresa en caso necesario.

            Cada trabajador deberá tener en su ordenador las medidas necesarias articuladas para que sólo tenga acceso a la información necesaria e indispensable para realizar sus funciones, puesto que no puede tener acceso a mayor información sin que medie una autorización expresa de por medio.

            c.- “Funciones y obligaciones del personal”: Será necesario que el documento refleje qué funciones realiza en todo momento el trabajador, y a qué obligaciones está sujeto en la medida que éste trate o maneje datos de carácter personal. Este documento será muy necesario a la hora de realizar los perfiles de usuario.

            d.- “Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan”: el documento de seguridad deberá reflejar cada uno de los ficheros, cómo están los mismos compuestos y organizados y deberá contener una descripción de los sistemas (léase programas) que los tratan.

            e.- “Procedimiento de notificación, gestión y respuesta ante las incidencias”: se pide que el documento contenga un registro de incidencias (como ya mencionamos anteriormente, puede considerarse como incidencia “Cualquier incumplimiento de la normativa desarrollada en el documento de seguridad, así como cualquier anomalía que afecte o pueda afectar a la seguridad de los datos de carácter personal”.   En este registro de incidencias, que puede ser tanto automatizado como manual, se deben reflejar una serie de aspectos, tales como el día en que se produjo la incidencia, el tipo, quién comunica la incidencia y a quién se le comunica, los efectos que se han producido debido a la misma y las medidas que se han llevado a cabo para paliar esos efectos.

            f.- “Los procedimientos de realización de copias de respaldo y de recuperación de datos”: el documento de seguridad deberá indicar el procedimiento que se emplea para la realización de copias de seguridad, la frecuencia con que éstas se hacen (como mínimo semanalmente, siempre y cuando no se hubieran grabado datos con una periodicidad inferior), así como, para aquellos casos en que se produzcan pérdidas de datos, cuáles son las medidas que toma la empresa para recuperar esos datos perdidos.

Esto es lo que implica la realización de un documento de seguridad. Como habrán podido constatar ustedes, tiene una doble vertiente, tanto legal como informática, por lo que desde aquí recomendamos, (sobretodo para dar cumplimiento a la exigencia de actualización en caso de nuevas normativas, y para las revisiones del mismo), que se pongan en manos de buenos profesionales pertenecientes al ámbito legal e informático, para así evitar problemas mayores.

Ésta es la primera de las medidas que se piden para el nivel básico. Recordemos que estas medidas son acumulativas a medida que vamos subiendo de nivel de seguridad.

En nuestro próximo artículo, acabaremos de concretar las demás medidas exigidas para este nivel.

Nayra Pérez Gutiérrez
Abogada – Especialista en Nuevas Tecnologías
www.protecdatos.com
Ibáñez & Almenara Abogados

     enviar a un amigo  

  Protección de datos

 
  Asesoría On-Line
 
  Consultoría Virtual
 
  Contratos On-Line
 
  Números Anteriores
  · Boletín mes 1
  · Boletín mes 2
  · Boletín mes 3
  · Boletín mes 4
[+]
   
  Versión completa de nuestra Newsletter
  haga click aquí
 
©2005 · Ibañez & Almenara. Todos los derechos reservados.