Què són els nivells de protecció de dades?, Quan apliquen?

Els nivells de protecció de la informació s'estableixen en la Llei Orgànica 15/1999 de 13 de Desembre de Protecció de Dades de Caràcter Personal (LOPD), i es detallen en el seu reglament, aprovat en el Reial decret RD 1720/2007, de 21 de desembre. Presentem un petit extracte orientatiu.

S' estableixen tres nivells de seguretat, que aniran acompanyats de mesures de seguretat creixents per a cadascun:

  • Nivell bàsic: És el mínim que s'ha de respectar per a qualsevol fitxer que contingui dades de caràcter personal (nom, domicili, telèfon o qualsevol altre tipus de dada identificativa), sense perjudici que s'hagin d'aplicar nivells majors si existeixen més dades.
  • Nivell mitjà: S' han de guardar a aquest nivell les dades que a més continguin informació sobre:
    • Comissió d' infraccions administratives o penals.
    • Compliment o incompliment d'obligacions dineràries o solvència patrimonial (article 29 de la LOPD).
    • Els que gestionin les adminsitracions tributàries relacionats amb les seves potestats.
    • Els que gestiona la Seguretat Social i/o les mútues d'accidents i treball.
    • Aquells dels quals es pugui derivar informació sobre la personalitat i/o el compartament del ciutadà que els ha donat.
  • Nivell alt: El màxim nivell aplicable, per a.

    • Dades sobre ideologia, afiliació sindical o política, origen racial, salutació o vida sexual.
    • Dades recaptades amb finalitats policials, sense consentiment de les persones afectades.
    • Dades derivades d' actes de violència de gènere.

 Quines mesures són necessàries per complir amb cada nivell de protecció?

Cada nivell porta aparellades unes mesures de seguretat mínimes, sens perjudici que se' n puguin adoptar més. Totes s'han de reflectir en el document de seguretat que s'estableix a l'article 88 del reglament RD 1720/2007.

Totes les mesures establertes s' hauran de registrar en el document de seguretat.

Mesures de seguretat per al nivell bàsic

  •  Tots els usuaris o perfils d' usuari amb accés a les dades de caràcter personal i als sistemes han de tenir perfectament definides les seves funcions.
  • Els usuaris han d' estar informats de les normes i procediments a seguir, així com de les conseqüències del seu incompliment.
  • S' ha de mantenir un registre d' incidències temporal.
  • S' ha de mantenir un control d' accessos:
    • Cada usuari accedeix només a les dades imprescindibles per exercir les seves funcions.
    • Hi ha una relació actualitzada d' usuaris i perfils.
    • S' estableixen mecanismes de seguretat per evitar que un usuari tingui privilegis que no li corresponen.
    • El personal aliè al serviod està sotmès a les mateixes normes.

Mesures de seguretat per al nivell mitjà

S' han de complir totes les del nivell bàsic i a més:

  • Es nomenarà un o diversos responsables de seguretat.
  • Cada dos anys, s' ha de passar una auditoria de seguretat en relació a la base de dades.
  • S' haurà de controlar l ' accés físic als servidors: només les persones especificades en el document de seguretat podran accedir a l' estada on estiguin els servidors
  • Es mantindrà un registre d' incidències només el responsable del fitxer podrà autoritzar operacions de restauració de dades.

Mesures de seguretat per a un nivell alt

Addicionalment a les mesures necessàries en els dos nivells anteriors:

  • Estableix obligacions de xifrat per als suports i els dispositius mòbils. Només en casos excepcionals permet tenir informació no xifrada en dispositius mòbils i s' ha de justificar en el document.
  • Es mantindrà còpia de seguretat en el lloc de les dades o en un altre de diferent, sotmesa a les mateixes mesures de seguretat esmentades.
  • S'estableix (per a la majoria dels casos) un registre d'accessos.
  • En la transmissió en xarxes públiques s' establiran mesures de xifrat de nivell alt.