Nuestra LOPD y el Reglamento que lo desarrolla, nos obliga a:

1.- DOCUMENTAR todas las medidas de seguridad que implantemos para la protección de los ficheros de datos de carácter personal. En este sentido, se debe indicar cómo, quién y de qué manera se manejarán los datos por parte del responsable/encargado del tratamiento.

2.- DAR A CONOCER el documento de seguridad.

3.- LISTA DE USUARIOS del documento de seguridad, claramente identificados.

4.- Qué DERECHOS DE ACCESO tienen los mencionados usuarios de estos datos.

5.- Utilización de NOMBRE DE USUARIO Y PASSWORD para cada uno de los usuarios, la cual debe renovarse cada año, como mínimo.

6.- Se debe HACER COPIAS DE SEGURIDAD semanalmente, y cada 6 meses comprobar que puedo recuperar los datos.

7.- MANTENER LAS MEDIDAS DE SEGURIDAD durante traslados de la información.

8.- Cuando se produce un CAMBIO DE ORDENADOR, se debe borrar de forma segura la información (destrucción de datos segura).

9.- Si se trata de papel, los documentos han de mantenerse BAJO LLAVE.

10.-  Llevar un REGISTRO DE INCIDENCIAS.

Estas son, grosso modo, las medidas de nivel básico a las que la LOPD nos obliga.

¿Dónde se aplican las medidas?

Por supuesto en los datos de carácter personal, pero también en los procesos relacionados con los mismos, aplicaciones, sistemas operativos (software), ordenadores (hardware), en las propias personas, etc.

Las medidas de seguridad deben evitar cuatro cosas:

1.- Alteración no consentida o autorizada de los datos
2.- Pérdida de los datos.
3.- Tratamiento no autorizado de los datos.
4.- Acceso no autorizado de los datos.

El análisis de riesgos

Respecto a este asunto, simplemente apuntar que, obviamente, será necesario un exhaustivo análisis de riesgos previo para poder saber qué medidas de seguridad debemos implantar (aunque ya nos las dice la Ley), y sobre todo cómo. Para ello, necesitaremos la ayuda de un abogado o consultor/auditor especializado en la materia.

Tipos de tratamiento de datos

El tratamiento puede ser automatizado o no automatizado (papel). El tratamiento NO automatizado está en desuso.

Dentro del tratamiento automatizado (informatizado, digitalizado), existen a su vez 3 tipos de tratamiento:

1.- Básico
2.- Medio
3.- Alto

Según el tipo de datos, se aplicará un tratamiento u otro, ya que la LOPD determina, como ya expliqué en su momento, que existen datos personales especialmente protegidos relativos a la salud, orientación sexual, religión, afiliación sindical, etc. Lógicamente para este tipo de datos se aplica un tratamiento de nivel alto.

Y por último, simplemente indicar, que cada tipo de tratamiento lleva aparejadas unas medidas diferentes, que se diferencian en función del tipo de datos. Las medidas de nivel medio incluyen todas las del nivel básico más las de nivel medio. Las medidas de nivel alto incluyen todas las básicas, las de nivel medio y las de nivel alto.