¿Qué son los niveles de protección de datos?, ¿Cuándo aplican?
Los niveles de protección de la información se establecen en la Ley Orgánica 15/1999 de 13 de Diciembre de Protección de Datos de Caracter Personal (LOPD), y se detallan en su reglamento, aprobado en el Real Decreto RD 1720/2007, de 21 de diciembre. Presentamos un pequeño extracto orientativo.
Se establecen tres niveles de seguridad, que irán acompañados de medidas de seguridad crecientes para cada uno:
- Nivel básico: Es el mínimo que se debe respetar para cualquier fichero que contenga datos de caracter personal (nombre, domicilio, teléfono o cualquier otro tipo de dato identificativo), sin perjuicio de que se deban aplicar niveles mayores si existen más datos.
- Nivel medio: Se deben guardar a este nivel los datos que además contengan información sobre:
- Comisión de infracciones administrativas o penales.
- Cumplimiento o incumplimiento de obligaciones dinerarias o solvencia patrimonial (artículo 29 de la LOPD).
- Los que gestionen las adminsitraciones tributarias relacionados con sus potestades.
- Los que gestiona la Seguridad Social i/o las mútuas de accidentes y trabajo.
- Aquellos de los que se pueda derivar información sobre la personalidad y/o el compartamiento del ciudadano que los ha dado.
- Nivel alto: El máximo nivel aplicable, para.
- Datos sobre ideología, afiliación sindical o política, origen racial, saludo o vida sexual.
- Datos recabados con fines policiales, sin consentimiento de las personas afectadas.
- Datos derivados de actos de violencia de género.
¿Qué medidas son necesarias para cumplir con cada nivel de protección?
Cada nivel lleva aparejadas unas medidas de seguridad mínimas, sin perjuicio de que se puedan adoptar más. Todas se deben reflejar en el documento de seguridad que se establece en el artículo 88 del reglamento RD 1720/2007.
Todas las medidas establecidas se deberán registrar en el documento de seguridad.
Medidas de seguridad para el nivel básico
- Todos los usuarios o perfiles de usuario con acceso a los datos de caracter personal y a los sistemas deben tener perfectamente definidas sus funciones.
- Los usuarios deben estar informados de las normas y procedimientos a seguir, así como de las consecuencias de su incumplimiento.
- Se debe mantener un registro de incidencias temporal.
- Se debe mantener un control de accesos:
- Cada usuario accede sólo a los datos imprescindibles para ejercer sus funciones.
- Existe una relación actualizada de usuarios y perfiles.
- Se establecen mecanismos de seguridad para evitar que un usuario tenga privilegios que no le corresponden.
- El personal ajeno al serviod está sometido a las mismas normas.
Medidas de seguridad para el nivel medio
Se deben cumplier todas las del nivel básico y además:
- Se nombrará a uno o varios responsables de seguridad.
- Cada dos años, se debe pasar una auditoría de seguridad en relación a la base de datos.
- Se deberrá controlar el acceso físico a los servidores: sólo las personas especificadas en el documento de seguridad podrán acceder a la estancia dónde estén los servidores
- Se mantendrá un registro de incidencias sólo el responsable del fichero podrá autorizar operaciones de restauración de datos.
Medidas de seguridad para un nivel alto
Adicionalmente a las medidas necesarias en los dos niveles anteriores:
- Establece obligaciones de cifrado para los soportes y los dispositivos móviles. Sólo en casos excepcionales permite tener información no cifrada en dispositivos móviles y se debe justificar en el documento.
- Se mantendrá copia de seguridad en el lugar de los datos o en otro diferente, sometida a las mismas medidas de seguridad mencionadas.
- Se establece (para la mayoría de los casos) un registro de accesos.
- En la transmisión en redes públicas se establecerán medidas de cifrado de nivel alto.
