INDICE
1.2.2 Resumen del Reglamento de Seguridad
1.2.3 El Documento de Seguridad
1.2.4 ¿Qué contiene el Documento de Seguridad?
2 USUARIOS CON ACCESO A FICHEROS CON DATOS PERSONALES
2.1 Glosario de términos (según Agencia de Protección de Datos)
2.2 Procedimientos de seguridad
2.2.1 Altas y bajas de usuarios autorizados
2.2.2 Centros de tratamiento y locales
2.2.4 Entrada y salida de datos por red
2.3 Listados y documentos en papel
2.4 Servicios de gestión externa: Tratamiento de datos por terceros
2.5 Funciones y obligaciones de los usuarios en relación con la
seguridad de los datos personales
Esta
guía pretende ser un documento que permita mantener informado al personal
de la empresa en todo lo referente a la normativa de protección de datos de
carácter personal que le pueda afectar. En ella se recoge un resumen de la
ley y su reglamento, los deberes y obligaciones del personal con acceso a
ficheros con datos personales, y será un instrumento de apoyo para la comprensión
y manejo del Documento de Seguridad.
En
primer lugar, se hace una presentación de la LOPD y su relación con los empleados,
como usuarios de datos y como personas cuyos datos están incluidos en dichos
ficheros.
La
Ley Orgánica 15/1999 y la normativa que la desarrolla, tienen por objeto garantizar
y proteger, en lo que concierne al tratamiento de los datos personales, las
libertades públicas y los derechos fundamentales de las personas físicas,
y especialmente de su honor e intimidad personal y familiar.
Su
ámbito de aplicación será tanto a los ficheros públicos como privados que
contengan datos de carácter personal.
La protección
de datos queda regulada a nivel europeo con las siguientes directivas:
§
Directiva 1995/46/CE
§
Directiva 1997/66/CE
§
Acuerdo safeharbor entre EU y EEUU
·
EXCEPCIONES A LA APLICACIÓN DE LA LEY (art. 2.2 y 2.3
de la Ley Orgánica 15/1999):
El
régimen de protección de los datos de carácter personal que se establece en
la presente Ley no será de aplicación a:
a)
Los ficheros mantenidos por personas físicas
en el ejercicio de actividades exclusivamente personales o domésticas.
b)
Los ficheros sometidos a la normativa sobre
protección de materias clasificadas.
c)
Los ficheros establecidos para la investigación
del terrorismo y de formas graves de delincuencia organizada. No obstante,
en estos supuestos el responsable del fichero comunicará previamente la existencia
del mismo, sus características generales y su finalidad a la Agencia de Protección
de Datos
Asimismo,
se rigen por disposiciones específicas, los tratamientos de datos personales
siguientes:
a)
Ficheros regulados por la legislación del
régimen electoral.
b)
Los que sirvan a fines exclusivamente estadísticos
amparados por la legislación autonómica o estatal.
c)
Régimen de personal de las Fuerzas Armadas.
d)
Registro Civil y Registro Central de penados
y rebeldes.
e)
Los procedentes de videocámaras de las Fuerzas
y Cuerpos de seguridad.
El
Real Decreto 994/1999 corresponde al Reglamento de Medidas de Seguridad de
los ficheros automatizados que contengan datos de carácter personal y junto
con la LOPD representa la piedra angular legal de la protección de datos en
España.
La
siguiente tabla resume los criterios que deben seguirse para poder clasificar
los ficheros con datos personales de una empresa según su nivel de seguridad,
atendiendo a las características de la información almacenada en sus ficheros
informatizados.
|
Nivel Básico |
BÁsico |
MEDIO |
ALTO |
|
Incluyendo algunos de los siguientes tipos de datos,
cuando no constituyen un
perfil de la persona. |
|
|
|
|
Identidad |
|
|
|
|
Características
personales |
|
|
|
|
Circunstancias
sociales |
|
|
|
|
Académicos
y profesionales |
|
|
|
|
Empleo
y carrera administrativa |
|
|
|
|
Información
comercial |
|
|
|
|
Situación
económico financiera |
|
|
|
|
Sus
transacciones |
|
|
|
|
Nivel MEDIO |
|
|
|
|
Incluyendo
datos de nivel básico que sí
conformen un perfil de la persona (que permitan obtener una evaluación
de la personalidad del individuo). |
|
|
|
|
Hacienda
Pública |
|
|
|
|
Servicios
Financieros |
|
|
|
|
Solvencia
patrimonial y crédito |
|
|
|
|
Infracciones
penales y administrativas |
|
|
|
|
Nivel ALTO |
|
|
|
|
Cuando
los datos se recaben para fines policiales y datos especialmente protegidos Afiliación
Sindical |
|
|
|
|
Ideología |
|
|
|
|
Creencia |
|
|
|
|
Religión |
|
|
|
|
Origen
racial |
|
|
|
|
Salud
o vida sexual |
|
|
|
Recoge
la política de seguridad de la empresa frente al tratamiento de datos personales
y es obligatoria su creación y mantenimiento.
La normativa reflejada en el documento será
de obligado cumplimiento para todo el personal con acceso a datos personales
automatizados y a los Sistemas de Información. El contenido del documento
deberá mantenerse en todo momento actualizado y deberá ser revisado siempre
que se produzcan cambios relevantes en los Sistemas de Información o en la
organización de los mismos, además de adecuarse las disposiciones vigentes
en materia de seguridad de datos de carácter personal.
·
Ámbito de Aplicación: La Organización y sus
Sistemas de Información.
·
Los Procedimientos de Seguridad
·
Los usuarios de los sistemas de información
·
Las Funciones y Obligaciones del personal
·
La Descripción de los Ficheros que
contienen datos personales
·
El registro de accesos
·
Los formularios asociados a los procedimientos
·
Datos de carácter personal: Cualquier información concerniente a personas físicas
identificadas o identificables.
·
Fichero: Conjunto
organizado de datos de carácter personal.
·
Responsable del fichero o tratamiento de fichero: Persona física o jurídica, u órgano administrativo que
decide sobre la finalidad, contenido y uso de cualquier tratamiento sobre
un fichero.
·
Responsable de seguridad: Coordina y controla las medidas de seguridad dispuestas
en el documento de seguridad que incumben al fichero del cual es responsable.
Es nombrado por el responsable del fichero.
·
Consentimiento del interesado: Manifestación de voluntad libre, inequívoca, específica
e informada, de permitir el tratamiento de sus datos personales.
·
Comunicación o cesión de datos: Revelación de datos realizada a una persona distinta
del interesado.
·
Transferencia de datos: Transporte de los datos y de soportes entre sistemas
informáticos por cualquier medio de transmisión.
Son
necesarios para garantizar la seguridad exigida por el Reglamento y deben
estar siempre actualizados, a fin y efecto, de que reflejen la realidad de
la compañía.
·
Finalidad
Gestionar de forma efectiva los perfiles de usuarios que acceden a los sistemas, las reglas de asignación y control de las contraseñas de dichos usuarios.
·
Personal involucrado
Todo
el personal que por el desempeño
de sus funciones tenga acceso a los sistemas
de información.
·
Finalidad
Para evitar riesgos de indisponibilidad de los ficheros debido a incidencias
fortuitas o intencionadas.
·
Personal involucrado
Todos los trabajadores
que tengan acceso tanto físico como informático a los locales donde están
los servidores y a los ordenadores personales donde están instaladas las aplicaciones
de acceso a los ficheros.
SOPORTE:
todo aquel medio de grabación y recuperación de datos utilizado para realizar
copias, pasos intermedios y almacenaje de datos.
·
Ámbito de aplicación
Al almacenamiento e inventariado de soportes y a su entrada y salida de los locales habituales de explotación de los ficheros, así como las medidas de seguridad a tomar antes de su destrucción y reutilización.
·
Personal involucrado
Todo
el personal que utilice soportes, Administradores
de sistemas y responsables de seguridad.
·
¿Qué es?
Es
la transmisión vía correo electrónico o mediante sistemas de transferencia
de ficheros como EDITRAN, Línea Oberta, red EDI.
·
Personal involucrado
Todos
aquellos usuarios que para realizar
sus funciones necesiten enviar datos por red y el Administrador de sistemas que tiene que autorizar dicha salida y preparar
los registros de dichos envíos.
INCIDENCIA: Evento que puede producirse esporádicamente y que pueda
suponer un peligro para la seguridad de los datos del fichero, esto es, pérdida
de datos, recuperación de datos, acceso no autorizado o cualquier acción que
comprometa la integridad, confidencialidad y disponibilidad de los datos.
·
Personal involucrado
El
personal que sea usuario o no de
los sistemas de información y que conozca una incidencia.
La LOPD también es de aplicación sobre los listados en papel ya que son soportes no informáticos de un fichero que permiten el almacenamiento y tratamiento de datos de carácter personal.
Las
medidas de seguridad no dependen del formato del soporte sino del nivel de
los datos que contiene el fichero, por lo que se ha de evitar el acceso a
ellos por parte de personas no autorizadas. Así, el sitio físico de almacenaje
de los listados (armarios), las impresoras (no abandonar documentos en la
bandeja de salida),etc.. han de garantizar la confidencialidad de los datos
contenidos en un fichero.
·
La cesión de datos a terceros para la prestación
de servicios a la empresa ha de estar regulada mediante un contrato que incluya
cláusulas que garanticen la confidencialidad,
privacidad y seguridad de los datos cedidos.
·
Contrato de prestación de servicios de gestión (Anexo 8.14 del Documento de Seguridad)
El ámbito de aplicación de las funciones y obligaciones descritas en el Documento de Seguridad incluye:
·
Los puestos de trabajo: lugar físico, ordenador
personal, impresoras
·
La responsabilidad en la salvaguarda y protección
de las contraseñas personales
·
La notificación correcta de incidencias conocidas
·
La gestión de soportes tanto informáticos
cómo listados y papel
·
La conexión a redes externas y la salida de
datos por red.