LOPD: Niveles de seguridad de los ficheros de datos

Home  >>  Aplicaciones de Aplifisa  >>  ApliSafe  >>  LOPD: Niveles de seguridad de los ficheros de datos

LOPD: Niveles de seguridad de los ficheros de datos

Según establece el artículo 80, del Reglamento de desarrollo de la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD), las medidas de seguridad exigibles a los ficheros y tratamientos se clasifican en tres niveles:

  • Básico.
  • Medio.
  • Alto.

 

NIVEL DE SEGURIDAD BÁSICO:

En primer lugar, todos los ficheros o tratamientos de datos de carácter personal, deberán adoptar las medidas de seguridad calificadas de nivel básico.

 

NIVEL DE SEGURIDAD MEDIO:

En este caso, deberán implantarse, además de las medidas de seguridad de nivel básico, las medidas de nivel medio, en los siguientes ficheros o tratamientos de datos de carácter personal:

  • Los relativos a la comisión de infracciones administrativas o penales.
  • Los relativos a la prestación de servicios de información sobre solvencia patrimonial y crédito.
  • Aquellos de los que sean responsables Administraciones tributarias y se relacionen con el ejercicio de sus potestades tributarias.
  • Los que tengan como responsables entidades financieras para finalidades relacionadas con la prestación de servicios financieros.
  • Aquellos de los que sean responsables las Entidades Gestoras y Servicios Comunes de la Seguridad Social y se relacionen con el ejercicio de sus competencias.
  • Los que tengan como responsables las mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social.
  • Aquellos que contengan un conjunto de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos.

 

NIVEL DE SEGURIDAD ALTO:

Además de las medidas de nivel básico y medio, se aplicarán las medidas de nivel alto en los siguientes ficheros o tratamientos de datos de carácter personal:

  • Los que se refieran a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual.
  • Los que contengan o se refieran a datos recabados para fines policiales sin consentimiento de las personas afectadas.
  • Aquellos que contengan datos derivados de actos de violencia de género.

 

A tener en cuenta…

Las medidas incluidas en cada uno de los niveles descritos anteriormente, tienen la condición de mínimos exigibles para el fichero; salvo que disposiciones legales o reglamentarias específicas establezcan peculiaridades.

También, por propia iniciativa del responsable del fichero, se pueden adoptar medidas de seguridad adicionales.

A los efectos de facilitar el establecimiento de las medidas de seguridad, tendremos que tener en cuenta lo siguiente. Cuando en un sistema de información existan ficheros o tratamientos, que en función de su finalidad o uso concreto, o de la naturaleza de los datos que contengan, requieran la aplicación de un nivel de medidas de seguridad diferente al del sistema principal, podrán segregarse de este último; siendo de aplicación en cada caso el nivel de medidas de seguridad correspondiente. Siempre y cuando puedan delimitarse los datos afectados y los usuarios con acceso a los mismos. Además, deberá hacerse constar en el documento de seguridad.

 

REGLAS ESPECÍFICAS DE APLICACIÓN DE NIVELES DE SEGURIDAD EN LOS FICHEROS DE DATOS DE CARÁCTER PERSONAL

Los ficheros de los que sean responsables los operadores que presten servicios de comunicaciones electrónicas disponibles al público o exploten redes públicas de comunicaciones electrónicas respecto a los datos de tráfico y a los datos de localización, se aplicarán, además de las medidas de seguridad de nivel básico y medio, la medida de seguridad de nivel alto (Registro de accesos) contenida en el artículo 103 del reglamento.

Por otra parte, en caso de ficheros o tratamientos de datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual, bastará la implantación de las medidas de seguridad de nivel básico cuando:

  1. Los datos se utilicen con la única finalidad de realizar una transferencia dineraria a las entidades. Siendo los afectados asociados o miembros.
  2. Se trate de ficheros o tratamientos no automatizados. En los que de forma incidental o accesoria se contengan aquellos datos, sin guardar relación con su finalidad.

También podrán implantarse las medidas de seguridad de nivel básico en los ficheros o tratamientos que contengan datos relativos a la salud, referentes exclusivamente al grado de discapacidad o la simple declaración de la condición de discapacidad o invalidez del afectado, con motivo del cumplimiento de deberes públicos (por ejemplo para gestionar la declaración del IRPF).

 

Luis Arrieta.

Deja un comentario

A %d blogueros les gusta esto: