¿Qué es un fichero en la normativa de protección de datos?
Es un conjunto organizado de datos personales, con independencia a como se cree, almacene o acceda al mismo.
Si quieres crear un fichero de datos personales, tiene que ser necesario para tu empresa y para tu actividad.
Hasta mayo de 2018, según los datos que incluyas en el fichero pueden existir tres tipos de sistemas de seguridad, según la normativa vigente hasta ese momento:
1. Nivel de seguridad básico, que es el tendrás que aplicar a cualquier fichero que contenga algún dato personal.
2. Nivel de seguridad medio:
-
Los que contengan datos sobre comisión de infracciones administrativas o penales.
-
Los que contengan información sobre solvencia patrimonial y crédito.
-
Aquellos de los que sean responsables Administraciones tributarias en su actividad.
-
Aquellos de los que sean responsables las entidades financieras para finalidades relacionadas con la prestación de servicios financieros; las entidades gestoras y servicios comunes de la Seguridad Social dentro de sus competencias; las mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social.
-
Aquellos que contengan una definición de la personalidad de los ciudadanos o del comportamiento de los mismos.
3. Nivel de seguridad alto: para ficheros que contengan datos relativos a ideología, afiliación sindical o política, religión, creencias, raza, sanitario o vida sexual; los que contengan o se refieran a datos recogidos para fines policiales sin consentimiento de las personas afectadas o aquéllos que contengan datos derivados de actos de violencia de género.
A partir de mayo de 2018 el Reglamento General de Protección de Datos (RGPD) lo que establece es que los responsables del fichero o del tratamiento y los encargados del mismo, aplicarán las medidas técnicas y organizativas apropiadas para garantizar el nivel de seguridad adecuado al riesgo, en función de:
-
La situación técnica.
-
Los costes de aplicarlo.
-
La naturaleza, alcance, contexto y fines del tratamiento.
Estas medidas de seguridad deberán incluir, al menos:
-
La seudominización y el cifrado de datos personales.
-
La confidencialidad, integridad, disponibilidad y resilencia permanentes en los sistemas y servicios de tratamiento.
-
Debe poder restaurar la disponibilidad y acceso a los datos si hubiera algún tipo de incidencia física o técnica.
-
Un proceso de verificación, evaluación y valoración de la eficacia de las medidas técnicas y organizativas.
Con esta modificación en las normas de protección de datos, puede ocurrir que puedas seguir aplicando las mismas medidas de seguridad, si del análisis de riesgos que debes hacer como responsable, concluyes que debes aplicarla. En otros casos, te verás obligado a complementarlas con otras medidas de seguridad.
Para establecer las medidas de seguridad se tendrán que evaluar los riesgos que puedan presentarse en el tratamiento de los datos, sobre todo y especialmente lo relativo a la posible destrucción, pérdida o modificación accidental o ilícita de los datos. También habrá que evaluar los supuestos de comunicaciones o accesos no autorizados a los mismos.
Podrás acreditar que cumples adecuadamente con las medidas de seguridad si te adhieres a algún código de conducta sobre protección de datos, o bien, obtienes una certificación sobre su cumplimiento.
Muy importante, a tener en cuenta, es que debes tomar todas las medidas oportunas para que la persona que nombres para poder acceder a los datos, cumpla estrictamente tus instrucciones u órdenes.
¿Qué es un documento de seguridad?
En tu empresa debes elaborar un documento de seguridad de obligado cumplimiento para el personal interno, colaboradores y empresas que le presten servicios, en el que se detallen todos los sistemas de seguridad que se aplican a tus ficheros, independientemente del soporte en el que se encuentren.
Este documento lo puedes elaborar con nuestro modelo de documento de seguridad, que incluirá las reglas y procedimientos de conducta, las funciones y obligaciones del personal, la estructura de los ficheros y, la descripción de los sistemas informáticos.
Su contenido, en lo que afecta a las funciones de los usuarios de los datos personales, deberás difundirlo y darlo a conocer entre ellos.
¿Cuáles son los sistemas de seguridad necesarios?
Hasta mayo de 2018, para ficheros informatizados, según su nivel de protección, hacemos la siguiente clasificación con sus respectivos sistemas de seguridad:
1. Nivel de seguridad básico: documento de seguridad, registro de incidencias, control de acceso a los datos, deben permitir la identificación del tipo de información que contienen, ser inventariados y almacenarse donde sólo las personas autorizadas en el documento de seguridad puedan acceder, establecer medidas para evitar accesos y sustracciones en el caso de traslado de los ficheros, destrucción o borrado de información desechada, realización de copias de seguridad semanales.
2. Nivel de seguridad medio: todas las del nivel básico y además, documento de seguridad con un contenido más amplio con auditoría de cumplimiento de la Ley de protección de datos al menos cada 2 años, limitación de accesos no autorizados, acceso limitado al lugar físico donde estén los ficheros, registro de entrada y salida de la información de los ficheros y registro de incidencias más amplio.
3. Nivel de seguridad alto: todas las del nivel básico y medio y además, registro de cada intento de acceso, cifrado de datos para que no sean manipulados, sistema de gestión y distribución de soporte que permita la identificación del contenido y su sistematización, copia de seguridad que se guarda en lugar distinto a donde estén los equipos con los ficheros de datos personales.
Para ficheros no informatizados, las medidas a adoptar serán las siguientes:
1. Nivel de seguridad básico: archivar los documentos asegurando su conservación, localización y consulta, garantizando los derechos de acceso, rectificación, cancelación y oposición por parte de los clientes o interesados; mecanismos de control de acceso de personas no autorizadas; custodiar la información si se cambia de lugar.
2. Nivel de seguridad medio: se estiman las mismas medidas que para los ficheros automatizados.
3. Nivel de seguridad alto: almacenar la información en áreas seguras bajo llave; sólo el personal autorizado en el documento de seguridad puede acceder y realizar copias que después de su utilización se deberán destruir; control de acceso; medidas de seguridad en caso de traslado.
A partir de 2018, esta diferenciación entre las medidas de seguridad desaparece con el nuevo Reglamento General de Protección de Datos (RGPD), tal y como hemos indicado más arriba.
Este artículo contiene información jurídica general y no contiene asesoramiento jurídico. Rocket Lawyer no es un bufete de abogados y no sustituye a un abogado o bufete de abogados. El derecho es complejo y cambia con frecuencia. Para obtener asesoramiento jurídico,pregunta a un abogado