El
Real Decreto 994/1999 de 11 Junio aprueba
el Reglamento de Medidas de Seguridad
de los ficheros automatizados que contengan
datos de carácter personal –
Reglamento de Seguridad. El Reglamento
de Seguridad desarrolla la LOPD y establece
la obligación de las organizaciones
a poner en marcha diversas medidas destinadas
a garantizar la protección de
datos.
Contenido
de la LOPD
La LOPD se aplica a los datos de carácter
personal registrados en soporte físico,
que los haga susceptibles de tratamiento,
y a toda modalidad de uso posterior
de estos datos por los sectores público
y privado. Todas las empresas que tengan
ficheros con datos personales han de
declararlos a la Agencia de Protección
de Datos. Hay que implantar
un documento de seguridad.
Se
clasifican en tres niveles:
• Básico:
Información personal.
• Medio: Información
personal y económica.
• Alto: Información
personal, económica, salud e
ideológica.
Hay que aplicar medidas de seguridad
técnicas y organizativas en función
del nivel y según establece el
reglamento. Revisiones bianuales para
ficheros de nivel medio y alto.
Nivel
básico
Creación de un documento de seguridad,
de obligado cumplimiento para el personal
que tenga acceso a los datos. Adopción
de medidas para que el personal conozca
las normas de seguridad. Creación
de un registro de incidencias.
Creación
de una relación de usuarios (procesos
a personas) que tengan acceso al sistema
de información.
Establecer mecanismos de control de
acceso.
Establecer mecanismos de control de
soporte.
Nivel
medio
Todas las obligaciones del nivel básico.
Identificación del responsable
de seguridad.
Control periódico para verificar
el cumplimiento delo dispuesto en el
documento de seguridad
Definir además las medidas para
reutilizar o desechar un soporte.
Revisión interna o externa, al
menos cada 2 años.
Mecanismo para identificar todo usuario
que intente acceder al sistema. Limitar
el número de intentos.
Normas sobre gestión de los soportes.
Nivel
alto
Todas las obligaciones de nivel básico
y nivel medio.
Medidas complementarias sobre:
-Distribución de soportes.
-Registro de accesos.
-Copias de respaldo y recuperación.
Comunicaciones cifradas en caso de realizar
transmisión de datos.
La Disposición Adicional primera
de la LOPD establece que los ficheros
y tratamientos automatizados inscritos
o no en el Registro de la Agencia de
Protección de Datos deberán
adecuarse a la LOPD 15/99 dentro del
plazo de 3 años, a contar desde
su entrada en vigor.
En
el caso de los ficheros y tratamientos
no automatizados el plazo establecido
para su adecuación a la LOPD
15/99 es de 12 años a contar
desde el 24 de Octubre de 1995.
La LOPD se basa en las buenas prácticas
de la normativa UNE/ISO 17799.
La UNE/ISO 17799 analiza las siguientes
10 áreas de seguridad:
| |
•
Políticas de Seguridad.
• Organización de la
Seguridad.
• Clasificación y control
de activos.
• Seguridad ligada al personal.
• Seguridad física.
• Seguridad lógica.
• Control de accesos.
• Mantenimiento y desarrollo
de los sistemas.
• Continuidad de negocio.
• Cumplimiento de la legislación
vigente. |
| |
• Derechos que otorga la LOPD
a los usuarios.
• Derecho de información.
• Necesidad de solicitud de
su consentimiento.
• La impugnación de
valoraciones.
• Derecho de consulta en el
Registro General de Protección
de Datos.
• Derecho de acceso, rectificación
y cancelación de datos.
• Derecho de oposición.
• Tutela de los derechos.
• Derecho de indemnización. |
Que
supone su cumplimiento
Acreditar los niveles de seguridad informática
exigidos por la Normativa ISO 17799
y la Ley Orgánica 15/99 de Protección
de los Datos de Carácter Personal
(LOPD) es básico para obtener
la credibilidad que su empresa necesita
y ganarse la confianza de sus clientes,
socios y empleados.
El
correcto cumplimiento de la ISO/LOPD
supone para las empresas la obligación
de garantizar la confidencialidad, integridad
y alta disponibilidad de los datos.
|
