Protección de datos. RLOPD (R.D. 1720/2007 de 21 de Diciembre). Medidas de seguridad. Fin plazos establecidos su para la adaptación.

Posted in Particulares

 

El Reglamento 1720/2007 de 21 de Diciembre (RLOPD), nace para desarrollar los mandatos contenido en la Ley 15/1999 Sobre Protección de Datos de Carácter Personal y en la Directiva Europea 95/46 CE.

 

El RLOPD abarca el ámbito regulado hasta su entrada en vigor, lo dispuesto en los Reales Decretos 1332/1994, de 20 de junio, y 994/1999, de 11 de junio. En este reglamento, ya no solo se establecen medidas para los ficheros automatizados, sino que también se contemplan las medias aplicables para los ficheros no automatizados, es decir, ficheros papel u análogos.

Por ello y según la normativa vigente en materia de Protección de Datos se impone a los Responsables de Ficheros y Encargados de Tratamiento la adopción de unas determinadas medidas de seguridad. Éstas se deberán implementar según lo dispuesto en el Título VIII del RLOPD, que ya lo deja latente a su comienzo: “Los Responsables de los tratamientos o los ficheros y los Encargados de Tratamiento deberán implantar las medidas de seguridad con arreglo a los dispuesto en este Titulo, con independencia de cuál sea su sistema de tratamiento” (Art. 79 RLOPD).

     ¿Cómo saber qué Medidas debemos aplicar?

Las medidas de seguridad que deben ser aplicadas, van en función de la tipología de los datos que en nuestra organización tratemos. Existen tres niveles: Básico, Medio y Alto.

Todos los ficheros deben adoptar las medidas de seguridad de nivel básico. (En el siguiente punto expondré las medidas que son de aplicación).

Además de estás, debemos aplicar el Nivel Medio, siempre que manejemos información y datos relativos a:

-Comisión de infracciones administrativas o penales.

-Aquellos cuya finalidad sea la prestación de solvencia patrimonial y de crédito.

-Aquellos de los que sean Responsables las Administraciones Tributarias y se relacionen con el ejercicio de sus potestades.

-Aquellos que sean responsables las entidades financieras para finalidades relacionadas con la prestación de servicios financieros.

-Aquellos que sean responsables las entidades gestoras y Servicios Comunes de la Seguridad Social y se relaciones con el ejercicio de sus competencias. De igual modo, aquellos de los que sean responsables las mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social.

-Aquellos que contengan un conjunto de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o el comportamiento.

Serán de aplicación las medidas de Nivel Alto, cuando tratemos datos relativos a:

-Los que se refieran a ideología, afiliaciación sindical, religión, creencias, origen racial, salud o vida sexual.

-Los que contengan o se refieran a fines policiales sin consentimiento de las personas afectadas

-Aquellos que contengan datos relacionados con la violencia de género.

      Medidas aplicables según la tipología de los datos.

Existen una serie de medidas que son comunes, independientemente del nivel de seguridad que poseamos. Partimos que debemos poseer y elaborar un Documento de Seguridad, en el cual describamos la arquitectura, protocolos y políticas de nuestra organización en cuanto a LOPD se refiere. Siempre deberemos tener en cuenta que el Documento de Seguridad deberá contener unos punto mínimos que se encuentran fijados en el propio RLOPD. Dicho documento no debe caer en el olvido de la estantería, sino que por el contrario debe ser un documento vivo, en el cual se plasmen los cambios de la organización, incidencias y cualesquiera otros elementos que afecten a los datos. Debemos mantenerlo actualizado, no solo por si se nos solicita por la Agencia Española de Protección de Datos, sino para mantener nuestra estructura organizada, de tal forma que no solo lo utilicemos para cumplir la norma sino que nos ayude a acelerar los procesos y trazabilidad de la información.

Dicho esto, entremos en las medidas de seguridad que se nos plantean:

-Regulación contractual con el personal ajeno que pudiera acceder a los datos de carácter personal de nuestra empresa. Realizar mención expresa que no debe acceder a los datos que no sean necesarios para las funciones que haya sido contratado y la obligación de secreto incluso después del término de la relación contractual.

-En el Documento de Seguridad deben aparecer las personas habilitadas para otorgar autorizaciones así como aquellas en las que recae dicha delegación, pero a tener en cuenta es que esta delegación no supone una delegación de responsabilidad, que siempre recaerá en el Responsable del Fichero.

-Medidas que garanticen la seguridad a través de las redes de comunicaciones.

-Autorización para el tratamiento de datos fuera de la organización deberá constar mediante autorización.

-Cuando trabajemos con ficheros temporales o copias de documentos, que se creen para la realización de trabajos temporales, una vez terminado este deben ser destruidos o borrados.

En cuanto a los Ficheros Automatizados las distinguimos de la siguiente forma:

Nivel Básico:

1-Determinación de las funciones y obligaciones del personal.

2-Registro de incidencias.

3-Control de accesos

4-Gestión de soportes y documentos.

5-Identificación y Autentificación de Usuarios.

Nivel Medio:

6-Designación Responsable de Seguridad.

7-Auditoria y Verificaciones de control y cumplimiento.

8-Gestión de Soportes y Documentos: Registro de entrada y salida.

9-Identificación y Autentificación de Usuarios: Limite de intentos de acceso no autorizado.

10-Control de Acceso físico

11-Registro de Incidencias: Autorización del Responsable de Seguridad para la ejecución de los procedimientos de recuperación.

Nivel Alto:

12-Gestión y distribución de soportes: Cifrado.

13-Copias de respaldo y recuperación: copia fuera de la organización.

14-Registros de Acceso: De cada intento de acceso se guardarán, como mínimo, la identificación del usuario, la fecha y la hora en que se realizó, El fichero accedido, el tipo de acceso y si ha sido autorizado o denegado.

15-Telecomunicaciones.

En cuanto a las medidas para los ficheros NO automatizados: Además de las que expondré a continuación se deben aplicar las anteriormente mencionadas, que puedan ser de aplicación.

Nivel Básico:

1-Criterios de archivo.

2-Dispositivos de almacenamiento.

3-Custodia de soportes.

Nivel Medio:

4-Responsable de Seguridad.

5-Auditoria.

Nivel Alto:

6-Almacenamiento de información.

7-Copia o reproducción.

8-Acceso a documentación.

9-Traslado de documentación

El cumplimiento de estas medidas junto con las dispuestas en la propia LOPD y otras disposiciones se hace imprescindible, no solo por el cumplimiento de la Ley, la salvaguarda de nuestro activo más importante o la obligación de garantizar el Derecho fundamental a la protección de datos, sino también para evitar las cuantiosas sanciones que se imponen por su incumplimiento, recordemos que pueden llegar a los 600.000€. En este último punto podemos decir que durante el año pasado las reclamaciones ante la Agencia Española de Protección de Datos crecieron un 45%, y las sanciones se imponen sin tener en cuenta el tamaño, facturación o sector de la  organización.

C) Plazos establecidos para la adaptación.

El 19 de Abril finalizaron algunos de los plazos para implementar por parte de los Responsable de Seguridad y Encargados de Tratamiento a las medidas de seguridad tanto de ficheros automatizados como no automatizados.

La implantación de las medidas de seguridad previstas en el RLOPD deberá producirse con arreglo a las siguientes reglas:

1. Respecto de los ficheros automatizados que existieran en la fecha de entrada en vigor del presente Real Decreto:

a.       En el plazo de un año desde su entrada en vigor, deberán implantarse las medidas de seguridad de nivel medio exigibles a los siguientes ficheros:

1.       Aquéllos de los que sean responsables las Entidades Gestoras y Servicios Comunes de la Seguridad Social y se relacionen con el ejercicio de sus competencias.

2.       Aquéllos de los que sean responsables las mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social.

3.       Aquéllos que contengan un conjunto de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos, respecto de las medidas de este nivel que no fueran exigibles conforme a lo previsto en el artículo 4.4 del Reglamento de Medidas de seguridad de los ficheros automatizados de datos de carácter personal, aprobado por Real Decreto 994/1999, de 11 de junio.

b.      En el plazo de un año desde su entrada en vigor deberán implantarse las medidas de seguridad de nivel medio y en el de dieciocho meses desde aquella fecha, las de nivel alto exigibles a los siguientes ficheros:

1.       Aquéllos que contengan datos derivados de actos de violencia de género.

2.       Aquéllos de los que sean responsables los operadores que presten servicios de comunicaciones electrónicas disponibles al público o exploten redes públicas de comunicaciones electrónicas respecto a los datos de tráfico y a los datos de localización.

c.       En los demás supuestos, cuando el presente reglamento exija la implantación de una medida adicional, no prevista en el Reglamento de Medidas de seguridad de los ficheros automatizados de datos de carácter personal, aprobado por Real Decreto 994/1999, de 11 de junio, dicha medida deberá implantarse en el plazo de un año desde la entrada en vigor del presente Real Decreto.

2. Respecto de los ficheros no automatizados que existieran en la fecha de entrada en vigor del presente Real Decreto:

a.       Las medidas de seguridad de nivel básico deberán implantarse en el plazo de un año desde su entrada en vigor.

b.      Las medidas de seguridad de nivel medio deberán implantarse en el plazo de dieciocho meses desde su entrada en vigor.

c.       Las medidas de seguridad de nivel alto deberán implantarse en el plazo de dos años desde su entrada en vigor.

3. Los ficheros, tanto automatizados como no automatizados, creados con posterioridad a la fecha de entrada en vigor del presente Real Decreto deberán tener implantadas, desde el momento de su creación la totalidad de las medidas de seguridad reguladas en el mismo.

Como nota informativa, comentamos el caso de una organización que a pesar de cumplir con la Ley de Protección de Datos, cometió un error en el cumplimiento de los protocolos de seguridad, y fue sancionada con 6000€ de multa por la aparición de documentación con datos y membrete de la organización en la calle. Con esto se ha de hacer hincapié en que no solo basta con el tema del estricto cumplimiento sino con la concienciación al personal que trata datos de carácter personal, pues muchas de las sanciones se producen por errores humanos dentro de las organizaciones.