Número 171 - 2ª Quincena Noviembre 1999.
 
 
 

Los poseedores de ficheros automatizados con datos personales deberán establecer medidas de seguridad antes del 26 de diciembre

Los poseedores de ficheros automatizados con datos personales 
deberán establecer medidas de seguridad antes del 26 de diciembre


Medidas a tomar para la adaptación al Reglamento de Medidas de Seguridad de los Ficheros Automatizados que contengan datos de carácter personal

(Ley Orgánica 5/1992, de 29 de octubre de 1992. BOE n.º 262)

(Real Decreto 994/1999, de 11 de junio de 1999. BOE n.º 151)
  Por virtud de la Ley Orgánica 5/1992, de 29 de octubre (publicada en el BOE n.º 262 de 31/10/92), se reguló el Tratamiento automatizado de los Datos de carácter personal en cuyo artículo 47 se dispuso que por vía reglamentaria se establecería el procedimiento a seguir para la determinación de las infracciones y  la imposición de las sanciones previstas en la Ley. El citado desarrollo reglamentario se estableció en el Real Decreto 1332/1994, de 20 de junio.

  En el artículo 9 de la citada Ley orgánica, conocida también LORTAD se dispuso la obligación del responsable del fichero de adoptar las medidas precisas para garantizar la seguridad de los datos contenidos, estableciéndose en el artículo 43.3.h) que mantener los ficheros, los locales, los programas, o los equipos que contuvieran datos de carácter personal, sin las debidas condiciones de seguridad que por vía reglamentaria se determinasen, constituiría infracción grave en los términos previstos en la propia Ley.

  La carencia de este desarrollo reglamentario ha impedido, hasta este año, disponer de un marco de referencia para que los responsables promovieran las adecuadas medidas de seguridad, determinando, consecuentemente, la imposibilidad de hacer cumplir uno de los más importantes principios de dicha Ley Orgánica.

  A efectos de resolver esta situación, el 25 de junio de este año se publicó en el BOE nº. 151 el Real Decreto 994/1999, por el que se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal. (Cualquier información concerniente a personas físicas, identificadas o identificables, según la definición de la LORTAD.)

  En el Reglamento se establecen tres niveles de seguridad dependiendo del tipo de datos que son contenidos en los ficheros automatizados o bases de datos.

  Nivel básico: todos los ficheros que contengan datos de carácter personal(nombre, dirección, teléfono, etcétera). Medidas de nivel básico.

  Fecha límite para su implantación: 26 de diciembre de 1999.

  Nivel medio: los ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros y aquellos ficheros cuyo funcionamiento se rija por el artículo 28 de la Ley Orgánica 5/1992 (servicios de información sobre la solvencia patrimonial y el crédito). Medidas de nivel básico y de nivel medio.

  Fecha límite para su implantación: 26 de junio del 2000.

  Nivel alto: los ficheros que contengan datos de ideología, religión, creencias, origen racial, salud o vida sexual así como los que contengan datos para fines policiales sin consentimiento de las personas afectadas. Medidas de nivel básico, de nivel medio y de nivel alto.

  Fecha límite para su implantación: 26 de junio del 2001.

A continuación se resumen las medidas de seguridad de nivel básico cuya fecha límite de implantación finaliza el próximo 26 de diciembre.

  Medidas de seguridad de nivel básico

  1 La persona responsable del fichero elaborará e implantará la normativa de seguridad mediante un documento de obligado cumplimiento para el personal de acceso a los datos.

  2 El documento debe contener:

  2.1 Nombre de los ficheros concretos a los que se aplicarán las medidas de protección.

  2.2 Se deben contemplar todas las normas de uso y procedimiento de los ficheros a los que se      aplicarán las medidas de seguridad.

  2.3 Pautas de uso y obligaciones para el personal con acceso a los ficheros o bases de datos.

  2.3.1 El responsable del fichero debe tomar las medidas necesarias para informar al personal con acceso a la base de datos sobre las normas de seguridad que puedan afectar a las funciones de cada uno de ellos y las consecuencias de no cumplir dichas medidas de seguridad.

  2.4 Estructura de los ficheros y programas de los cuales son utilizados.

  2.5 El responsable de la base de datos deberá elaborar el procedimiento de notificación de cualquier incidencia en la base de datos, su gestión y actuación ante la misma.

  2.5.1 El procedimiento de notificación y gestión de incidencias debe contener un registro de cada incidencia, el tipo de incidencia, el momento en el que se produjo, la persona que notifica la incidencia, a quién se le comunica y los efectos que haya podido causar dicha incidencia.

  2.6 El documento deberá contener también el procedimiento para las copias de seguridad y recuperación de datos.

  2.7 El documento deberá mantenerse siempre actualizado y deberá ser revisado siempre que se produzcan cambios relevantes en el programa de gestión de la base de datos.

  2.8 El contenido del documento deberá adecuarse en todo momento a las disposiciones vigentes en materia de seguridad de los datos de carácter personal.

(Desde el momento que en la base de datos figuren otro tipo de datos contemplados en los niveles de seguridad siguientes (medio o alto), se deberán tomar las medidas de seguridad correspondientes para esos datos).

  3. debe estar claramente definido y documentado las funciones y obligaciones de cada una de las personas que tengan acceso a la base de datos.

  4. el responsable del fichero o base de datos se encargará de que exista una relación actualizada de los usuarios con acceso a la misma con su identificador de usuario y contraseña o password. Cuando el mecanismo de autentificación sea mediante contraseña, debe existir un procedimiento de asignación, distribución y almacenamiento de las contraseñas. Las contraseñas se deberán cambiar con la periodicidad que se indique en el documento de seguridad y se almacenarán de forma ininteligible.

  4.1 La relación de usuarios deberá definir a qué datos tendrá acceso cada uno de los usuarios.

  4.2 En el documento de seguridad elaborado por el responsable de la base de datos deberá constar quién tendrá la posibilidad de conceder, cambiar o anular acceso a la base de datos.

  5 Cada usuario tendrá acceso a aquellos datos necesarios para el desempeño de sus funciones. El responsable de la base de datos deberá establecer la forma en la que evitar que un usuario acceda a datos para los que no está autorizado.

  6 Los soportes informáticos sobre los que se realicen las copias de seguridad (disquetes, Cintas DAT, ZIPs, CDs, etcétera) deberán llevar de forma visible el tipo de información que contienen, ser inventariados y guardarse en un lugar con acceso restringido al personal no autorizado.

  7 La salida de soportes informáticos que contengan datos de carácter personal, fuera de los locales desde donde se gestiona el fichero, únicamente podrá ser autorizada por el responsable del fichero.

  8 El responsable del fichero se debe encargar de comprobar la correcta realización de las copias de seguridad y de recuperación de los datos.

  8.1 El sistema de copia de seguridad deberá garantizar que cuando fuese necesaria la recuperación de los datos su recuperación devolverá dichos datos al estado en que se encontraban en el momento de producirse su pérdida o destrucción.

  8.2 Las copias de seguridad deberán hacerse al menos semanalmente, salvo que en dicho periodo no se hubiera producido ninguna actualización de los datos.

En cuanto a infracciones y sanciones, esta norma se remite ala LORTAD, que regula tal materia en los artículos 43 a 45. Es de subrayar que los tipos de sanciones previstos en tal Ley son altos, pues alas infracciones leves corresponde multa de 100.000 a 10.000.000 de ptas., a las graves, de 10.000.001 a 50.000.000, y a las muy graves, de 50.000.001 a  100.000.000.

Ir a: Artículo Anterior Ir a: Artículo Siguiente