Adaptación, formación y asesoramiento
a la Ley Orgánica de Protección de Datos (LOPD)

Legislación

Medidas de Seguridad

Disposiciones Generales

Artículo 1 : Ámbito de aplicación y fines.
El presente Reglamento tiene por objeto establecer las medidas de índole técnica y organizativas necesarias para garantizar la seguridad que deben reunir los ficheros automatizados, los centros de tratamiento, locales, equipos, sistemas, programas y las personas que intervengan en el tratamiento automatizado de los datos de carácter personal sujetos al régimen de la Ley Orgánica 5/1992, de 29 de Octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal.
Artículo 2 : Definiciones
A efectos de este Reglamento, se entenderá por:
  • 1. Sistemas de información: conjunto de ficheros automatizados, programas, soportes y equipos empleados para el almacenamiento y tratamiento de datos de carácter personal.
  • 2. Usuario: sujeto o proceso autorizado para acceder a datos o recursos.
  • 3. Recurso: cualquier parte componente de un sistema de información.
  • 4. Accesos autorizados: autorizaciones concedidas a un usuario para la utilización de los diversos recursos.
  • 5. Identificación: procedimiento de reconocimiento de la identidad de un usuario.
  • 6. Autenticación: procedimiento de comprobación de la identidad de un usuario.
  • 7. Control de acceso: mecanismo que en función de la identificación ya autenticada permite acceder a datos o recursos.
  • 8. Contraseña: información confidencial, frecuentemente constituida por una cadena de caracteres, que puede ser usada en la autenticación de un usuario.
  • 9. Incidencia: cualquier anomalía que afecte o pudiera afectar a la seguridad de los datos.
  • 10. Soporte: objeto físico susceptible de ser tratado en un sistema informático y sobre el cual se pueden grabar o recuperar datos.
  • 11. Responsable de seguridad: persona o personas a las que el responsable del fichero ha asignado formalmente la función de coordinar y controlar las medidas de seguridad aplicables.
  • 12. Copia del respaldo: copia de los datos de un fichero automatizado en un soporte que posibilite su recuperación.
Artículo 3. Niveles de seguridad.
Las medidas de seguridad exigibles se clasifican en tres niveles: básico, medio y alto.

Dichos niveles se establecen atendiendo a la naturaleza de la información tratada, en relación con la mayor o menor necesidad de garantizar la confidencialidad y la integridad de la información
Artículo 4. Aplicación de los niveles de seguridad.
Todos los ficheros que contengan datos de carácter personal deberán adoptar las medidas de seguridad calificadas como de nivel básico.

Los ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros y aquellos ficheros cuyo funcionamiento se rija por el artículo 28 de la Ley Orgánica 5/1992, deberán reunir, además de las medidas de nivel básico, las calificadas como de nivel medio.

Prestación de servicios de información sobre solvencia patrimonial y crédito. (Art 28 Ley Orgánica 5/1992 )
  • 1. Quienes se dediquen a la prestación de servicios de información sobre la solvencia patrimonial y el crédito sólo podrán tratar automatizadamente datos de carácter personal obtenidos de fuentes accesibles al públicoFicheros cuya consulta puede ser realizada por cualquier persona. Son exclusivamente: censo promocional, repertorios telefónicos listas de personas pertenecientes a grupos profesionales, diarios, Boletines Oficiales y medios de comunicación. o procedentes de informaciones facilitadas por el afectado o con su consentimiento. Podrán tratarse, igualmente, datos de carácter personal relativos al cumplimiento o incumplimiento de obligaciones dinerarias facilitados por el acreedor o por quien actúe por su cuenta o interés. En estos casos se notificará a los afectados respecto de los que hayan registrado datos de carácter personal en ficheros automatizados, en el plazo de treinta días desde dicho registro, una referencia de los que hubiesen sido incluidos y se les informará de su derecho a recabar información de la totalidad de ellos, en los términos establecidos por la presente Ley.
  • 2. Cuando el afectado lo solicite, el responsable del ficheroPersona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento. le comunicará los datos, así como las evaluaciones y apreciaciones que sobre el mismo hayan sido comunicadas durante los últimos seis meses y el nombre y dirección del cesionario.
  • 3. Sólo se podrán registrar y ceder los datos de carácter personal que sean determinantes para enjuiciar la solvencia económica de los afectados y que no se refieran, cuando sean adversos, a más de seis años.
  • 4. Los ficheros que contengan datos de ideología, religión, creencias, origen racial, salud o vida sexual así como los que contengan datos recabados para fines policiales sin consentimiento de las personas afectadas deberán reunir, además de las medidas de nivel básico y medio, las calificadas como de nivel alto.
  • 5. Cuando los ficheros contengan un conjunto de datos de carácter personal suficientes que permitan obtener una evaluación de la personalidad del individuo deberán garantizar las medidas de nivel medio establecidas en los artículos 17, 18, 19 y 20.
  • 6. Cada uno de los niveles descritos anteriormente tienen la condición de mínimos exigibles, sin perjuicio de las disposiciones legales o reglamentarias específicas vigentes.
Artículo 5: Acceso a datos a través de redes de comunicaciones.
Las medidas de seguridad exigibles a los accesos a datos de carácter personal a través de redes de comunicaciones deberán garantizar un nivel de seguridad equivalente al correspondiente a los accesos en modo local.
Artículo 6: Régimen de trabajo fuera de los locales de la ubicación del fichero.
La ejecución de tratamiento de datos de carácter personal fuera de los locales de la ubicación del fichero deberá ser autorizada expresamente por el responsable del fichero y, en todo caso, deberá garantizarse el nivel de seguridad correspondiente al tipo de fichero tratado.
Artículo 7: Ficheros temporales.
  • 1. Los ficheros temporales deberán cumplir el nivel de seguridad que les corresponda con arreglo a los criterios establecidos en el presente Reglamento.
  • 2. Todo fichero temporal será borrado una vez que haya dejado de ser necesario para los fines que motivaron su creación.

subir

© Adapta Soluciones 2007