Medidas de seguridad en las TIC

Aspectos de la seguridad de los datos.

A la hora de hablar sobre la seguridad de los datos de carácter personal se alude implícitamente a varios hechos y aspectos de naturaleza diferente que son complementarios entre sí.

Estos elementos, considerados como los tres aspectos de la seguridad de datos, son:

1. Confidencialidad: los datos de carácter personal son registrados y guardados para poder cumplir la función que se especifique en la declaración del fichero. Para ello, es necesario que determinadas personas, expresamente autorizadas en función de su trabajo, accedan a esos datos para proceder a su tratamiento. Ninguna otra persona no autorizada podrá tener acceso a los datos personales protegidos.
2. Integridad: significa que ninguna persona que no esté autorizada podrá manipular o cambiar los datos con fines fraudulentos.
3. Disponibilidad: significa que se deberá evitar que un incidente provoque la indisponibilidad de los sistemas de acceso a los datos personales. La disponibilidad es uno de los aspectos más atacados en los servidores conectados a Internet. Esto es debido, sobre todo, a la vulnerabilidad de los complejos sistemas de los servidores, con un software que está todavía plagado de errores que se producen en situaciones extremas y que son aprovechados por los atacantes.

Disposiciones Generales.

El artículo 79 del RLOPD establece que se deberán implantar las medidas de seguridad a todos los ficheros, con independencia de cuál sea su sistema de tratamiento.

La clasificación de las medidas de seguridad exigibles a los ficheros y tratamientos se regulan en el artículo 80 y siguientes del RLOPD, y se clasifican en tres niveles: básico, medio y alto.

Cada uno de estos niveles conlleva una serie de medidas de seguridad que serán de aplicación en función del tipo de datos de carácter personal que se esté tratando.

A continuación, se exponen los niveles de seguridad según el tipo de datos que se van a tratar:

1. Nivel de seguridad básico: contiene las medidas de seguridad que se han de aplicar a todos los ficheros que contengan datos considerados como básicos. Son datos de características básicas de la persona, tales como nombre, apellidos, dirección, etc.
2. Nivel de seguridad medio: contiene las medidas de seguridad que se han de aplicar, además de las de nivel básico, a los ficheros que tratan datos de carácter personal que versen sobre las materias siguientes: comisión de infracciones administrativas o penales, hacienda pública, servicios financieros, Seguridad Social y mutuas de accidentes de trabajo y los ficheros referentes a solvencia patrimonial y crédito.
3. Nivel de seguridad alto: contiene las medidas de seguridad que se han de aplicar, además de las de nivel medio, a los ficheros con datos de carácter personal, denominados especialmente protegidos, relativos a: ideología, religión, creencias, origen racial, salud, vida sexual, datos derivados de violencia de género y los ficheros recabados para fines policiales sin consentimiento de las personas afectadas.

Todas estas medidas tienen carácter acumulativo, es decir, cumplir con las medidas de seguridad de nivel alto conlleva cumplir también con las medias de nivel básico y medio al mismo tiempo.

En el caso de sistemas de información con ficheros de niveles de seguridad diferentes, podrán segregarse en función de los niveles de seguridad y aplicar las medidas de seguridad correspondientes de cada nivel, siempre que puedan delimitarse los usuarios y datos afectados.

Excepciones en la aplicación de las medidas de nivel alto.

Los epígrafes 5 y 6 del artículo 81 del RLOPD establecen una serie de excepciones en la aplicación de las medidas de nivel alto en función de la finalidad de los datos.

Por lo tanto, bastará la implantación de las medidas de nivel básico cuando:

1. Los datos se utilicen con la única finalidad de realizar una transferencia dineraria a las entidades de las que los afectados sean asociados o miembros.
2. Se trate de ficheros o tratamientos en los que, de forma incidental o accesoria, se contengan aquellos datos sin guardar relación con su finalidad.
3. Existan datos de salud relativos únicamente a discapacidades o la simple declaración de invalidez con motivo del cumplimiento de deberes públicos.

Delegación de autorizaciones.

Según establece el artículo 84 del RLOPD el responsable del fichero podrá delegar en las personas que él designe aquellas autorizaciones que el RLOPD le atribuye directamente.

En el documento de seguridad deberán constar las personas habilitadas para otorgar estas autorizaciones, así como aquellas en las que recae dicha delegación y la fecha de la misma. En ningún caso esta designación supone una delegación de la responsabilidad que corresponde al responsable del fichero.

Acceso a datos a través de redes de comunicaciones.

Esta disposición, regulada en el artículo 85 del RLOPD, afecta únicamente a los ficheros automatizados.

Si existen redes de comunicaciones, sean o no públicas, los accesos a los datos personales a través de ellas deberán garantizar un nivel de seguridad equivalente al correspondiente a los accesos en modo local.

Además, cuando el ordenador en el que está ubicado el fichero está integrado en una red de comunicaciones, de forma que desde otros ordenadores conectados a la misma sea posible el acceso al fichero, se deberán controlar los accesos a la red para impedir el acceso a personas no autorizadas.

Régimen de trabajo fuera de los locales del responsable del fichero.

El artículo 86 del RLOPD regula este tipo de trabajo disponiendo que no se deberá copiar ni transportar información de los sistemas centrales a dispositivos portátiles o estaciones de trabajo que se encuentren fuera de las oficinas sin autorización y, en todo caso, deberá garantizarse el nivel de seguridad correspondiente al tipo de fichero tratado.

Esta autorización tendrá que constar en el documento de seguridad y podrá establecerse para un usuario o para un perfil de usuarios, determinando un periodo de validez para la misma.

Los ordenadores portátiles deberán contar como mínimo con las mismas medidas de seguridad de los puestos de trabajo fijos, teniendo especial atención en los controles de acceso, que impidan acceder a los datos por parte de terceros en caso de pérdida o robo.

Ficheros temporales o copias de trabajo de documentos.

Los ficheros temporales o copias de documentos que se hubiesen creado exclusivamente para la realización de trabajos temporales o auxiliares deberán cumplir el nivel de seguridad que les corresponda.

Todo fichero temporal o copia de trabajo así creado será borrado o destruido una vez que haya dejado de ser necesario para los fines que motivaron su creación.

¿Qué es un documento de seguridad?

El artículo 88 del RLOPD establece las características que debe contener un documento de seguridad:

1. Es de carácter interno.
2. Es de obligado cumplimiento para el personal con acceso a los sistemas de información.
3. Debe ser elaborado por el responsable del fichero.
4. Debe recoger las medidas de índole técnica y organizativa acordes a la normativa de seguridad vigente.
5. Puede ser único y comprensivo de todos los ficheros o tratamientos, o bien individualizado para cada fichero o tratamiento.
6. Podrán elaborarse distintos documentos de seguridad agrupando ficheros o tratamientos según el sistema de tratamiento utilizado para su organización, o bien atendiendo a criterios organizativos del responsable.

Contenido del documento de seguridad.

El artículo 88.3 del RLOPD establece que, como mínimo, el documento de seguridad deberá contar con los siguientes aspectos:

1. Ámbito de aplicación del documento con especificación detallada de los recursos protegidos.
2. Medidas, normas, procedimientos de actuación, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en este reglamento.
3. Funciones y obligaciones del personal en relación con el tratamiento de los datos de carácter personal incluidos en los ficheros.
4. Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan.
5. Procedimiento de notificación, gestión y respuesta ante las incidencias.
6. Los procedimientos de realización de copias de respaldo y de recuperación de los datos en los ficheros o tratamientos automatizados.
7. Las medidas que sea necesario adoptar para el transporte de soportes y documentos, así como para la destrucción de los documentos y soportes o, en su caso, la reutilización de estos últimos.
8. Procedimiento o norma donde se especifique el criterio de archivo para los ficheros manuales (Art.106 del RLOPD).

En caso de que fueran de aplicación a los ficheros, las medidas de seguridad de nivel medio o alto, deberán contener también:

1. La identificación del responsable o responsables de seguridad.
2. Los controles periódicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento.

Cuando exista un tratamiento de datos por cuenta del documento de seguridad deberá contener:

1. La identificación de los ficheros o tratamientos que se traten en concepto de encargado con referencia expresa al contrato o documento que regule las condiciones del encargo.
2. La identificación del responsable y del período de vigencia del encargo.

En aquellos casos en los que los datos personales de un fichero o tratamiento se incorporen y traten de modo exclusivo en los sistemas del encargado, el responsable deberá anotarlo en su documento de seguridad.

Este hecho se indicará de modo expreso en el contrato celebrado al amparo del artículo 12 de la LOPD, con especificación de los ficheros o tratamientos afectados.

La actualización del documento de seguridad.

El artículo 88.7 del RLOPD establece que el documento de seguridad deberá mantenerse en todo momento actualizado y será revisado siempre que se produzcan cambios relevantes en el sistema de información, en el sistema de tratamiento empleado, en su organización, en el contenido de la información incluida en los ficheros o tratamientos o, en su caso, como consecuencia de los controles periódicos realizados.

En todo caso, se entenderá que un cambio es relevante cuando pueda repercutir en el cumplimiento de las medidas de seguridad implantadas. El contenido del documento de seguridad deberá adecuarse, en todo momento, a las disposiciones vigentes en materia de seguridad de los datos de carácter personal.