Tema 4. EL DOCUMENTO DE SEGURIDAD 1. Introducción 1.1La seguridad de los datos En la LOPD se establece como obligación del responsable del fichero y, en su caso, del encargado del tratamiento la de velar por la seguridad de los datos de carácter personal. Según el artículo 9.1 de la LOPD los responsables de ficheros y encargados del tratamiento de los datos han de adoptar una serie de medidas técnicas y organizativas para garantizar la seguridad de los datos de carácter personal y evitar su manipulación, acceso no autorizado o utilización fraudulenta. Estas medidas de seguridad no se limitan a los ficheros, tanto automatizados como de otra índole, sino que se exige también medidas para garantizar la seguridad de los centros de tratamiento, locales, equipos, sistemas, programas y en la actuación de las personas que intervengan en el tratamiento de los datos de carácter personal. En la práctica esta obligación se traduce en la imposibilidad de registrar datos de carácter personal en ficheros que no reúnan las condiciones que se han determinado por vía reglamentaria con respecto a su integridad y seguridad, y a las de los centros de tratamiento, locales, equipos, sistemas y programas.
1.2 El Documento de Seguridad El Real Decreto 994/1999, de 11 de junio, aprobó el Reglamento de Medidas de Seguridad de los ficheros que contengan datos de carácter personal, también denominado como Reglamento de Medidas de Seguridad (en adelante RMS). En este Reglamento es donde se establecen las medidas de seguridad, tanto de índole técnica como organizativa, necesarias para garantizar la seguridad que deben reunir los ficheros, los centros de tratamiento, locales, equipos, sistemas y programas y las personas que intervengan en el tratamiento de datos de carácter personal. Establece, por tanto, la obligación de documentar las medidas de seguridad que debemos adoptar siempre que se traten datos personales, cualquiera que sea el nivel de seguridad al que correspondan. Obligación que se corresponde con la elaboración e
Curso LOPD
2
implantación del denominado Documento de Seguridad, documento que ha de describir los procesos que garantizan el acceso controlado a dichos datos según el nivel de seguridad que por su naturaleza a cada uno se le asigna. En base a esto, las empresas, ya sean personas físicas o jurídicas, públicas o privadas, que empleen ficheros automatizados que contengan datos de carácter personal tienen la obligación de elaborar e implantar el citado Documento de Seguridad. Éste es una pieza fundamental y eje sobre el que giran todas estas medidas de seguridad de los datos de carácter personal; su adopción es de obligado cumplimiento para el responsable del fichero, o en su caso, del encargado del tratamiento. A su vez el responsable o encargado del fichero debe adoptar todas las medidas para que el personal conozca las normas de seguridad que afectan al desarrollo de sus funciones, así como las consecuencias en que pudiera incurrir en caso de incumplimiento, para de este modo llevar un correcto y legal tratamiento o gestión de los datos personales por parte de la plantilla. A este aspecto, el Reglamento no se pronuncia otorgando libertad a la entidad que posee los datos personales para que establezca un mecanismo de conocimiento (por ejemplo, a través la firma por parte del personal de un documento en el que se recojan sus funciones y obligaciones en la materia o mediante el acceso por parte del personal al Documento de Seguridad en el que se recopilan sus funciones y obligaciones en la materia) Se trata pues de un documento privado de acceso público, en el que se señalan las políticas de seguridad que se seguirán por quienes traten los datos personales. Por tanto, en este documento el responsable o, en su caso, el encargado, estará obligado a personalizar el uso que va a hacer de los datos personales elaborando e implantando un documento que, una vez asumido, será de obligado cumplimiento para todo el personal que tenga acceso a los datos de carácter personal y a los sistemas de información. En este documento han de recogerse los mínimos obligatorios que se seguirán en la política de seguridad de la empresa. Entre estos aspectos podemos citar al menos:
El documento de cumplimiento de la seguridad debe reflejar:
Curso LOPD
3
El objetivo y ámbito de aplicación del documento
Normas y procedimientos de seguridad
Procedimiento general de información al personal
Funciones y obligaciones del personal
Procedimientos de notificación, gestión y respuesta ante incidencias Procedimientos de revisión Consecuencias del incumplimiento del documento
Diversos anexos:
Curso LOPD
- Relación de ficheros - Estructura de los ficheros y sistemas de información que los tratan - Registro de incidencias - Usuarios autorizados a acceder los sistemas de información que tratan datos de carácter personal - Registro de personal autorizado a acceder a los soportes - Registro de entrada y salida de soportes - Nombramientos. Responsable/s de seguridad - Autorizaciones para la salida y recuperación de datos - Contratos o cláusulas encargados de tratamientos.
4
Digamos que este podría ser un ejemplo del índice que debería presentar un Documento de Seguridad para ficheros de datos de carácter personal. Este documento debe mantenerse, en todo momento, actualizado y ha de revisarse siempre que: - Se originen cambios relevantes en el sistema e información o en la organización del mismo. - Se produzcan cambios normativos en materia de seguridad de los datos de carácter personal. Para la elaboración y posterior implantación del Documento de Seguridad se puede seguir el Modelo de Documento de Seguridad aportado por la Agencia Española de Protección de Datos. En función de la naturaleza de los datos, va a variar el nivel de seguridad que debemos aplicar al Documento de Seguridad. De este modo en base al tipo de datos que contengan los ficheros, las empresas deberán cumplir con una cantidad mayor o menor de requisitos para garantizar la confidencialidad y la integridad de la información. Existen tres niveles de seguridad según se especifica en el artículo 3 del Reglamento de Medidas de Seguridad (en adelante RMS) y cada uno de estos niveles de protección exige una serie de medidas de seguridad que abarcan desde el control de personal, autentificación y acceso de usuarios, hasta la exigencia de codificación de datos comprendidos en el nivel alto de protección, los cuales trataremos a continuación con un mayor detalle.
2. Los niveles de seguridad de los datos 2.1 Nivel básico En el artículo 4.1 del RMS se establece que todos los ficheros que contengan datos de carácter personal deberán adoptar las medidas de seguridad calificadas de nivel básico.
Curso LOPD
5
Se aplicarán, por tanto, este tipo de medidas a los siguientes datos personales: Nombre, apellidos, dirección, teléfono, DNI, etc. Además en el artículo 4.4 se menciona que cuando los ficheros contengan un conjunto de datos de carácter personal suficientes que permitan conocer una evaluación de la personalidad del individuo, deberán garantizar las medidas de seguridad calificadas como de nivel medio, en concreto las siguientes:
-Auditoria en el control periódico del cumplimiento de lo dispuesto en el Documento de Seguridad
- Identificación y autentificación de usuarios
-Control de acceso físico
-Gestión de soportes
Estas medidas de nivel medio se explicarán en el apartado 3.2 relativo al Documento de Seguridad de Nivel Medio. Por tanto, este nivel de seguridad medio "atenuado" se aplicara a datos personales por que permitan obtener una valoración de la personalidad del titular legítimo de esos datos, como por ejemplo, los datos personales que se encontrarían en los ficheros de las empresas que gestionen los recursos humanos,
2.2 Nivel medio En el artículo 4.2 se hace mención a los ficheros a los que se ha de aplicar este nivel. En concreto: -Los relativos a la comisión de infracciones penales o administrativas.
Curso LOPD
6
-Hacienda pública. -Servicios financieros. -Ficheros que contengan datos sobre solvencia patrimonial y crédito (artículo 28. de la derogada Ley Orgánica 5/1992, denominada LORTAD). Todos estos ficheros además de cumplir con los requisitos específicos estipulados para este tipo de datos, han de cumplir con las medidas calificadas como de nivel básico.
2.3 Nivel alto En este nivel se incluyen ficheros que contengan datos de: - Ideología - Religión - Creencias - Origen racial - Vida sexual - Los recabados para fines policiales sin consentimiento de las personas afectadas.
Estos ficheros han de cumplir también con las medidas calificadas como de nivel básico y de nivel intermedio.
Curso LOPD
7
3. Contenido mínimo obligatorio de los Documentos de Seguridad 3.1 Documento de Seguridad de Nivel básico En el 4.1 del RMS se establece que todos los ficheros que contengan datos de carácter personal deberán adoptar las medidas de seguridad calificadas como de nivel básico, de modo que cualquier dato personal esté protegido con deltas medidas. El contenido mínimo exigible (recogido en los artículos 8-14. del RMS) que debe reunir un Documento de Seguridad de nivel básico es el siguiente: Ámbito de aplicación del documento: En este apartado se deben incluir el fichero o ficheros que se encuentran bajo el ámbito de aplicación del documento, es decir, una especificación detallada de los recursos protegidos. Medidas, normas, procedimientos y estándares encaminados a garantizar el nivel de seguridad exigido: Dentro de este grupo se incluyen las medidas que el responsable del fichero piensa aplicar para hacer cumplir las medidas de seguridad exigidas, es decir, en este apartado se enumeran todas las medidas y procedimientos que se van a llevar a cabo, en la práctica, para adoptar las medidas de seguridad que exige el reglamento. Como ejemplos de estas medidas se pueden citar:
-
Procedimientos de identificación y autentificación de dichos usuarios
-
El control de acceso a los usuarios autorizados
-
Gestión de soportes
Curso LOPD
8
-
Copias de respaldo y recuperación
Las medidas de seguridad enumeradas junto con otras, se desarrollan a continuación con más detalle: Identificación y autenticación de usuarios: la presente medida de seguridad, viene establecida por el artículo 11 del RMS, según el cual, deberá de existir un procedimiento de identificación (normalmente "nombre de usuario") y autenticación de usuarios (normalmente "contraseña"), una relación actualizada de usuarios, accesos actualizados y criterios de acceso. En el caso de realizar la autenticación por contraseñas se debe especificar el procedimiento de asignación, distribución y almacenamiento ininteligible de las mismas, así como la periodicidad con la que se cambian. Con esta medida se pretende tener identificados claramente a los usuarios que acceden, tratan o gestionan datos personales y, al mismo tiempo, evitar el acceso por parte de terceros no autorizados. Control de los accesos: cada usuario accederá únicamente a los datos y recursos necesarios para el desarrollo de sus funciones (según esta medida una persona del departamento de recursos humanos no tendría derecho a acceder a datos contables de los clientes de la empresa). Para ello deberán existir mecanismos que eviten el acceso de datos o recursos con derechos diferentes a los autorizados; estos mecanismos suelen ser de tipo informático como el control de acceso directo, grupos de usuarios o perfiles, etc. En relación a la concesión, alteración o anulación de permisos para el acceso, sólo podrán realizarse por personal exclusivamente autorizado en el documento (aunque habrá que tener en cuenta el procedimiento a seguir para casos en que el personal no autorizado tenga que tener acceso a los locales por razones de fuerza mayor o urgencia). Por tanto, el objetivo fundamental de esta medida es la de controlar y gestionar el acceso a los sistemas que contengan datos de carácter personal. Gestión de soportes: en el artículo 13 del RMS se recoge esta medida. Según este artículo los soportes que contengan datos de carácter personal deben permitir identificar el tipo de información que contienen (el mejor método es el etiquetado),
Curso LOPD
9
inventariados y almacenados en un lugar con acceso restringido al personal autorizado especificado en el documento (este lugar puede ser, por ejemplo, una habitación cerrada con llave a la que sólo accederá un determinado número de personas: las autorizadas. La salida de soportes informáticos que contengan datos de carácter personal, fuera de los locales en donde esté situado el sistema de información, únicamente podrá ser autorizada por el responsable del fichero o aquél en quien se hubiera delegado (en caso de delegación será necesario indicar el procedimiento). Es importante citar, que el concepto de soporte informático se define legalmente en el RMS como cualquier "objeto físico susceptible de ser tratado en un sistema de información y sobre el que se puedan grabar o recuperar datos". Según esta definición se considerará soporte a un CD-ROM, una cinta de back-up o un disquete, sin embargo, pueden surgir problemas respecto a si un ordenador o un portátil entran de esta definición y, por tanto, han de ser objeto de gestión. Al respecto, mencionar que si son considerados como tales, pues en un ordenador o en un portátil sí que existe un soporte, su disco duro. Copias de respaldo y recuperación: esta medida de nivel básico se recoge en el artículo 14 del RMS. Las cuestiones más características del citado artículo con las que se pretende controlar y gestionar el acceso al sistema de información son básicamente las que se indican a continuación: - Se debe establecer a través del Documento de Seguridad un procedimiento de realización de copias de respaldo y de recuperaci6n de datos. - Estos procedimientos deberán garantizar la reconstrucci6n de los datos en el estado en que se encontraban los mismos en el momento en que se perdieron o destruyeron por cualquier motivo. -Las copias de respaldo deberán realizarse periódicamente, como mínimo, una vez a la semana. Con esta medida se garantiza que en todo momento los datos personales son actualizados y que se adecuan a la realidad.
Curso LOPD
10
Acceso a datos a través de las redes de telecomunicaciones: las medidas de seguridad exigibles a los accesos a datos de carácter personal a través de las redes de telecomunicaciones deberán garantizar un nivel de seguridad equivalente al correspondiente a los accesos a datos personales en modo local. Régimen de trabajo fuera de los locales de la ubicación del fichero: la ejecución de tratamiento de datos de carácter personal fuera de los locales de la ubicación del fichero deberá ser autorizada expresamente por el responsable del fichero y, en todo caso, deberá garantizarse el nivel de seguridad correspondiente al tipo de fichero tratado. Ficheros temporales: los ficheros temporales deberán cumplir el nivel de seguridad que les corresponda con arreglo a los criterios expresados en el RMS, y serán borrados un vez que hayan dejado de ser necesarios para los fines que motivaron su creación. Funciones y obligaciones del personal: El personal que tenga acceso a los datos de carácter personal debe ser informado por el responsable del fichero sobre las normas de seguridad que afecten al desarrollo de sus funciones para ello el responsable adoptara todas las medidas necesarias para que el personal conozca las normas de seguridad que afectan al desarrollo de sus funciones .y obligaciones, así como de las consecuencias en que pudiera incurrir en caso de incumplimiento (puede ser conveniente incluir algún sistema de acuse de recibo de la información). Las funciones y obligaciones de cada una de las personas con acceso a los datos de carácter personal y a los sistemas de información han de estar claramente definidas y documentadas en el Documento de Seguridad. En algunos casos puede ser conveniente la remisión periódica de información sobre seguridad, como circulares, recordatorios, etc. En este caso será necesario indicar también el procedimiento de remisión y el personal autorizado para llevarlo a cabo. Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que tos tratan: En este apartado se especifica la estructura interna de cada fichero (campos y registros) además de la descripción del contenido de los ficheros, soportes y equipos que se hayan utilizado para el almacenamiento y tratamiento de los datos.
Curso LOPD
11
Procedimiento de notificación, gestión y respuesta ante las incidencias: Se considera un incidencia cualquier anomalía que afecte o pudiera afectar a la seguridad de los datos, así como cualquier incumplimiento de la normativa desarrollada en el Documento de Seguridad (Por tanto, no sólo se considerará incidencia el mal funcionamiento de un sistema sino que también otras cuestiones reflejadas en el Documento de Seguridad como, por ejemplo, la pérdida de contraseñas).
Según el RMS deberá existir un procedimiento de notificación, gestión y respuesta ante las incidencias, así como un registro de las incidencias (que puede ser manual o informático), que recogerán las siguientes cuestiones: - Tipos de incidencias - Momento en que se han producido - Persona que realiza la notificación - persona a la que se notifica la incidencia - Efectos que se hubieran derivado de la incidencia Con esta medida se pretende reflejar los posibles fallos que se detecten en la implantación y funcionamiento de las medidas de seguridad para de ese modo proceder a subsanación. En el caso de que la gestión e incidencias se realice de forma automatizada habrá que indicar el sistema empleado
Los procedimientos de revisión Se deben especificar en el Documento de Seguridad los procedimientos previstos para la modificación del Documento de Seguridad, especificando concretamente las personas que pueden o deben proponerlos y aprobarlos, así como para la comunicación de las modificaciones al personal que pueda verse afectado.
Curso LOPD
12
Se verificará además que está actualizado, así como que se ha revisado si se han producido cambios relevantes en el sistema de información o en la organización del mismo (artículo 8.3 del RMS). También es necesario comprobar el contenido del documento sea adecuado a las disposiciones vigentes en materia de seguridad de los datos de carácter personal (artículo 8.4. del RMS). La revisión del "Documento de Seguridad" y de su cumplimiento puede ser los puntos más laboriosos. Los niveles son acumulativos y tienen la condición de mínimos exigibles. A continuación se muestra un cuadro resumen de las medidas de seguridad de nivel básico (según el Real Decreto 994/1999).
Nivel básico
Documento de seguridad -Ámbito de aplicación
-Medidas normas, procedimientos, reglas y estándares de seguridad -Funciones y obligaciones del personal -Estructuras y descripción de ficheros y sistemas de información
-Procedimientos de notificación, gestión y respuesta ante incidencias. Procedimientos de realización de copias de respaldo y recuperación de datos
Curso LOPD
13
- Funciones y obligaciones perfectamente definidas y documentadas. Personal -Difusión entre el personal de las normas que les afecten y de las consecuencias de su incumplimiento.
Incidencias
Identificación y autentificación
-Registrar el tipo de incidencia, el momento en que se ha producido, persona que la notifica persona a la que se comunica y efectos derivados.
-Relación actualizada de usuarios y acceso autorizados. -Procedimientos autentificación.
de
identificación
y
-Criterios de accesos y autentificación -Procedimientos de asignación y gestión de contraseñas y periodicidad con que se cambien
-Almacenamiento contraseñas activas
Curso LOPD
ininteligible
de
14
Control de acceso
-Cada usuario acceder únicamente a los datos y recursos necesarios para el desarrollo de sus funciones.
-Mecanismos que eviten el acceso a datos o recursos con acceso derechos distintos de los autorizados -Concesión de permisos solo por personal autorizado.
Gestión de soportes
-Identificar el tipo de información que contienen. -Inventario. -Almacenamiento con acceso restringido. -Salida de soportes autorizada por el responsable del fichero.
Copias de respaldo
- Verificar la definición y aplicación de los procedimientos de copias y recuperación
-Garantizar la reconstrucción de los datos en el estado en que se encontraban en el momento de producirse la pérdida o destrucción.
Curso LOPD
15
-Copia de respaldo, al menos semanal.
En relación a los documentos de seguridad de nivel básico, conviene recordar que aquellos que permitan obtener una valoración de la personalidad del individuo deberán garantizar, además de las medidas de nivel básico, las medidas de nivel medio de:
Auditoría
Identificación y autentificación (con sus nuevas especificaciones para el nivel medio)
Gestión de soportes (con sus nuevas especificaciones para el nivel medio)
Estas medidas las explicaremos con más detalle a continuación.
3.2 Documento de Seguridad de Nivel medio Las medidas de seguridad de nivel medio se recogen en el capítulo III del RMS. Según este RMS el Documento de Seguridad de nivel medio, además de todos los contenidos ya citados en el apartado anterior (relativo al Documento de Seguridad básico) debe incorporar las siguientes medidas adicionales:
La identificación del responsable o responsables de seguridad En primer lugar vamos a definir este concepto, que en el RMS se define como:"Persona o personas a las que el responsable del fichero ha asignado formalmente la función de coordinar y controlar las medidas de seguridad aplicables".
Curso LOPD
16
Por tanto, vemos que es el responsable del fichero quien lo designa (a uno o a varios), aunque su designación no supone en ningún caso una delegación de responsabilidades por parte del responsable del fichero. Éste será designado para un período determinado de tiempo durante el que desarrollará las funciones que le han sido encomendadas; transcurrido dicho período el responsable del fichero podrá nombrar al mismo o a un responsable de seguridad diferente. En caso de existir un responsable de seguridad diferente para cada fichero habrá que indicarlo. Con esta medida se pretende que todos los procedimientos y normas del Documento de Seguridad sean centralizados en esta figura, pero sin olvidar que este cargo no supone la asunción de ningún tipo de responsabilidades. Procedimiento de revisión. Auditoria Los sistemas de información y las instalaciones de tratamiento deben de someterse a una auditoria de protección de datos, externa o interna, la cual es obligatoria como mínimo cada dos años (artículo 17.1 del RMS). Mediante la auditoría se verificará que los sistemas de información y las instalaciones de tratamiento de datos cumplen con el Reglamento de Medidas de Seguridad, así como la adecuación a la realidad de las diferentes normas y procedimientos recogidos en el Documento de Seguridad Las funciones de la auditoría son: - Adecuar las medidas y controles al Reglamento de Seguridad -Identificar sus deficiencias y proponer las posibles medidas correctoras adecuadas -Incluir los datos, evidencias, hechos y observaciones en que se basen los dictámenes y recomendaciones propuestas. Todos estos puntos se recopilaran en el denominado informe de auditoría. El responsable de seguridad será el encargado de analizar el informe de auditoría y entregar las conclusiones a las que llegue al responsable del fichero para que adopte las medidas correctoras pertinentes.
Curso LOPD
17
Además, este informe de auditoría deberá estar siempre a disposición de la Agencia Española de Protección de Datos (AEPD). Medidas de identificación y autenticación Se establecerán mecanismos que permitan la identificación de forma inequívoca y personalizada de todo usuario que pretenda acceder at sistema de información (cada identificación deber pertenecer a un único usuario y no a un grupo determinado de personas como podía suceder en el nivel básico) y la verificación de que está autorizado para acceder al citado sistema. Mediante la auditoria se verificara que los sistemas de informaci6n y las instalaciones de tratamiento de datos cumplen con el Reglamento de Medidas de Seguridad, así como la adecuación a la realidad de las diferentes normas y procedimientos recogidos en el Documento de Seguridad. Además, se limitará la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de información que trata los datos personales. Dentro de los mecanismos más empleados para la identificación y autenticación se suelen incluir: - Nombre de usuario (identificación) -Contraseña (autenticación) - Tarjetas criptográficas - Tarjetas con banda magnética Con lo añadido, se pretende reforzar medida de identificación y autentificación recogida en el nivel básico, es decir, tener controlados en todo momento a los usuarios que acceden al sistema, así como evitar aún más, la posibilidad de un acceso no autorizado a los datos de carácter personal que posee una entidad que gestiona este tipo de datos. Control de acceso físico La presente medida viene regulada en el artículo 19 del RMS.
Curso LOPD
18
Según la misma existirá un control de acceso físico a los locales donde se encuentren ubicados los sistemas de información. Únicamente el personal autorizado en el Documento de Seguridad podrá acceder a estos locales. Con, esta medida se pretende establecer que no sólo se deben implantar mecanismos (normalmente informáticos) de control de acceso, sino que también medidas de tipo físico. Además los usuarios que pretendan acceder físicamente a estos locales han de estar claramente identificados en el Documento de Seguridad. Gestión de soportes Las medidas adicionales que se señalan en relación al nivel básico son: Se debe implantar un registro de entrada y salida de soportes (en caso de gestick) automatizada debe indicarse en este punto el sistema informático empleado) que al menos contengan las siguientes cuestiones: - Tipo de soporte - Fecha y hora de entrada/ salida del soporte - Emisor/ destinatario del soporte - Numero de soportes - Tipo de información - Forma de envío de los soportes - Persona responsable de su recepción/ emisión (debe estar autorizada para ello y así debe señalarse en el Documento de Seguridad). Los soportes que se vayan a reutilizar o desechar deberán cumplir todas las medidas necesarias para impedir la recuperación de la información por terceros no autorizados (detallar el procedimiento). También deben indicarse todas las medidas que impidan la recuperación indebida de la información almacenada en un soporte que vaya a salir del lugar donde habitualmente se encuentren (recordar que se trata de un lugar con acceso restringido) como consecuencia de las operaciones de mantenimiento.
Curso LOPD
19
Con esta medida adicional se ha pretendido reforzar el control que debe poseer una entidad respecto a los datos personales que gestiona. Copias de respaldo y recuperación Las recuperaciones de los datos contenidos en los ficheros deberán ser autorizadas por escrito por el responsable del fichero, en base al procedimiento especificado en el apartado de registro de incidencias, el cual se explica a continuación. Registro de incidencias Además de los datos incluidos en los documentos de nivel básico (tipo de incidencia, momento en que se ha producido, persona que realiza la notificación, persona a la cual se le notifica la incidencia y efectos derivados de la incidencia). deberán registrarse los procedimientos que se iban llevado a cabo para la recuperación de los datos, indicando: - Persona que ejecutó el proceso - Datos restaurados - En caso de ser necesario, datos grabados manualmente en el proceso de recuperación Pruebas con datos reales Esté medida de nivel medio se recoge en el artículo 22 del RMS, que dice lo siguiente "Las pruebas anteriores a la implantación o modificación de los sistemas de información que traten ficheros con datos de carácter personal no se realizarán con datos reales, a menos que se asegure el nivel de seguridad correspondiente al tipo de fichero tratado". Esto quiere decir que, en el caso de que se empleen datos personales reales en la implantación o modificación del sistema de información, se deben utilizar las mismas medidas de seguridad que se emplean cuando no se realizan pruebas. A continuación se muestra un cuadro resumen de las medidas de seguridad de nivel medio (según el Real Decreto 994/1999). Recuerda que los niveles son acumulativos.
Curso LOPD
20
NIVEL MEDIO
Documento de Seguridad
-Identificación seguridad
del
responsable
de
-Control periódico del cumplimiento del -Documento de seguridad
Incidencias
-Registrar la realización de los procedimientos de recuperación de los datos persona que lo ejecuta datos restaurados y grabados manualmente
-Autorización por escrito del responsable del fichero para su recuperación
Identificación y autentificación
-Se establecerá el mecanismo que permita la identificación de identificación y forma inequívoca y personalizada de todo usuario y la verificación de que está autorizado
-Limite de accesos reiterados de acceso
Curso LOPD
21
no autorizado
Control de acceso
Gestión de Soportes
-Control de acceso físico a los locales donde se encuentren ubicados los sistemas de información.
- Registro de entrada y salida de soportes
-Medidas para impedir la posterior recuperación de la información almacenada en un soporte que vaya a salir como consecuencia de operaciones de mantenimiento
Responsable -Uno o varios nombrados por el responsable del fichero.
-Encargado de coordinar y controlar las medidas del documento
-No
Curso LOPD
supone
una
delegación
de
22
responsabilidades por parte del responsable del fichero
Pruebas
-Solo se realizaran si se asegura el nivel de seguridad correspondiente al tipo de fichero tratado
Auditoría
-Bianual interna o externa -Adecuación de las medidas controles -Deficiencias detectadas y correctoras adecuadas Auditoria
medidas
-Análisis del responsable de seguridad y aportación de las conclusiones al responsable del fichero para la adopción de las medidas correctoras pertinentes
Curso LOPD
23
3.3 Documento de Seguridad de Nivel alto Además de los contenidos de los documentos de nivel básico y medio, se adoptarán las siguientes medidas específicas: Seguridad en la distribución de soportes La distribución de los soportes que contengan datos de carácter personal (disquetes, CD-ROM, etc.) se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que dicha información no sea inteligible ni manipulada durante su transporte (artículo 23 del Reglamento). Con esta medida, por tanto, se pretende evitar el acceso no autorizado a terceros al contenido de los soportes cuando los mismos deban ser distribuidos. Registro de accesos Con esta medida (recogida en el artículo 24. del RMS) se pretende potenciar aun más las medidas de identificación y autenticación y de control de accesos de los niveles básico y medio. Lo más destacado de esta medida se recoge a continuación: De cada acceso se guardarán, como mínimo: -La identificación del usuario que ha accedido -La fecha y hora en que se realizó -El fichero accedido -El tipo de acceso -Si el acceso ha sido autorizado o denegado. En el caso de haber sido autorizado se deben registrar en el mencionado registro de accesos las informaciones necesarias para identificar el dato o datos a los que se ha accedido. De este registro de accesos debe existir un control directo por parte del responsable de seguridad, el cual debe revisar periódicamente (como mínimo una vez al mes) las informaciones contendidas en el mismo realizando un informe, al menos mensual, de las revisiones y de los problemas que hayan surgido. El registro de accesos deber conservarse como mínimo por un periodo de dos años. En ningún caso se permitirá la desactivación de los mecanismos de control de registro.
Curso LOPD
24
Se podría decir que esta es una de las medidas de seguridad más costoso que se plantea en el RMS, tanto en el sentido económico como en el sentido de dedicación de recursos, ya que la información que debe contener el registro de accesos es muy amplia y el tiempo que se debe conservar esa información es muy largo. Copias de respaldo y recuperación El artículo 25 del RMS dice así "Deberá conservarse una copia de respaldo y de los procedimientos de recuperación de los datos en un lugar diferente de aquél en que se encuentren los equipos informáticos que /os tratan cumpliendo en todo caso, las medidas de seguridad exigidas en este Reglamento". Con esta medida se pretende incrementar la seguridad implementada en los anteriores niveles. Telecomunicaciones Antes de proceder al desarrollo de esta medida es necesario definir el concepto de red de telecomunicación, que según el artículo 2. c) de la Directiva 97/66/CE, de 15 de diciembre, relativa al tratamiento de datos personales y a la protección de la intimidad en el sector de las telecomunicaciones, se define como sigue: "Los sistemas de transmisión y, cuando proceda, los equipos de conmutación y otros recursos que permiten la transmisión de seriales entre puntos de terminación definidos por cable, por medios radioeléctricos, por medios ópticos o por otros medios electromagnéticos que se utilizan, total o parcialmente, para la prestación de servicios públicos de telecomunicaciones". Según el artículo 26 del RMS los datos de nivel alto quo se transmitan a través de redes de telecomunicaciones deberán estar cifrados. Se podrán utilizar otros mecanismos diferentes al cifrado, siempre que garanticen quo la información es inteligible ni puede ser manipulada por terceros. No obstante, es recomendable el empleo de mecanismos de cifrado ya que son técnicas que hoy día se encuentran muy estandarizadas y generalizadas.
Curso LOPD
25
En general, los accesos a través de redes de telecomunicaciones deben garantizar un nivel de seguridad equivalente al de los accesos en modo local. Es preciso mencionar quo las medidas a las que se refiere el citado artículo serán de aplicación a la transmisión de datos entre distintas dependencias de la entidad cuando sea necesaria para dicha transmisión la utilización de redes de telecomunicaciones cuya titularidad sea ajena a la propia empresa. A continuación se muestra un cuadro resumen de las medidas de seguridad de nivel alto (según el Real Decreto 994/1999). Como resumen general, indicar que el Documento de Seguridad (independientemente del nivel) es de obligado cumplimiento para todo el personal con acceso a los datos y sistemas de información. Los niveles de seguridad son acumulativos y tienen la condición de mínimos exigibles. Llegados a este punto, es necesario comentar el nivel de seguridad de los denominados ficheros temporales los cuales, según el RMS, deben cumplir el nivel de seguridad que les corresponda, y deben ser borrados una vez que hayan dejado de ser necesarios para los fines que motivaron su creación, medida con la que se pretende que no exista una gestión paralela, mediante un fichero temporal, de los datos personales contenidos en un fichero original.
NIVEL ALTO
Gestión soportes
de - Cifrado de los datos en la distribución de soportes
Copias respaldo
de - Copia de respaldo y procedimientos de recuperación en lugares distintos a aquél en que se encuentran los equipos
Curso LOPD
26
-Registrar usuario, hora, fichero, tipo de acceso y registro accedido Registro acceso
de - Control del responsable de seguridad. elaboración de informe anual - Conservación durante dos años
Se definen en el artículo 7 del Reglamento de Medidas de Seguridad como “ todo conjunto organizado de datos, independientemente de su forma o modalidad de creación, almacenamiento, organización o acceso, y que fue creado para un espacio determinado de tiempo que variará en función de la finalidad para la que se creó ese fichero". La definición corriente que se suele dar de los mismos es como aquellos diferentes del original, creados por la aplicación informática que los gestiona, cuya finalidad es un procesamiento paralelo de los datos originales sin afectar al original, y/o con la finalidad de copia de seguridad temporal ante una parada anormal del sistema (los denominados “tmp” en el caso de los automatizados). Pero dentro de este grupo también se incluyen los ficheros desarrollados manualmente para una concreta finalidad y que contienen datos del fichero original, por lo tanto, una vez concluida la misma, se procederá al borrado manual del mismo. Según esto, parece lógico pensar que una vez que se haya finalizado el objeto que motivó su creación, se debe proceder al borrado del fichero temporal (normalmente en los informatizados ocurre de forma automática). Además, hay que señalar que cuando en un fichero temporal se añaden nuevos datos, a efectos legales éste se considerará como un nuevo fichero y deberá, por tanto, cumplir con todos los requisitos legales que se establecen en la LOPD.
¡FIN DEL TEMA4!
Curso LOPD
27