MEDIDAS DE SEGURIDAD

EN EL TRATAMIENTO DE
DATOS DE CARÁCTER
PERSONAL
TITULO VIII del R.D. 1720/2007
 MEDIDAS DE SEGURIDAD EN EL
TRATAMIENTO DE DATOS DE CARÁCTER
PERSONAL
Las medidas de seguridad exigibles a los ficheros y tratamientos se
clasifican en tres niveles: básico, medio y alto.

Los responsables de los tratamientos o de los ficheros y los encargados del

tratamiento deberán implantar las medidas de seguridad de acuerdo a lo
estipulado en el RD 1720/2007.

Las medidas de seguridad exigibles a los ficheros y tratamientos se clasifican

en tres niveles: básico, medio y alto.

A todos los ficheros con datos de carácter personal les será de aplicación las
medidas de nivel básico.

Las medidas incluidas en cada uno de los niveles tienen la condición de

mínimos exigibles, sin perjuicio de las disposiciones legales o
reglamentarias específicas vigentes que pudieran resultar de aplicación en
cada caso o las que por propia iniciativa adoptase el responsable del
fichero.
 MEDIDAS DE SEGURIDAD EN EL
TRATAMIENTO DE DATOS DE CARÁCTER
PERSONAL
Se aplicarán las medidas de nivel medio en el caso de
ficheros o tratamientos con datos personales:

1. Referentes a la comisión de infracciones administrativas o penales.

2. Relativos a la Hacienda Pública, servicios financieros y solvencia
patrimonial y crédito.
3. Aquellos de los que son responsables las Entidades gestoras y
servicios comunes de la Seguridad Social en el ejercicio de sus
competencias.
4. Los ficheros de las mutuas de accidentes de trabajo de la SS.SS y
enfermedades profesionales de la Seguridad Social.
5. Los contengan datos que permitan evaluar la personalidad o el
comportamiento de un individuo.
6. Ficheros de operadores con datos de tráfico y datos de localización.
(Además se les aplicará la medida de registro de accesos del nivel
alto).
 MEDIDAS DE SEGURIDAD EN EL
TRATAMIENTO DE DATOS DE CARÁCTER
PERSONAL
Además de las medidas de nivel básico y medio, las
medidas de nivel alto se aplicarán en los siguientes
ficheros o tratamientos de datos de carácter personal:

1. Los que se refieran a datos de ideología, afiliación

sindical, religión, creencias, origen racial, salud o vida
sexual.
2. Los que contengan o se refieran a datos recabados para
fines policiales sin consentimiento de las personas
afectadas.
3. Aquéllos que contengan datos derivados de actos de
violencia de género.
 MEDIDAS DE SEGURIDAD EN EL
TRATAMIENTO DE DATOS DE CARÁCTER
PERSONAL
Excepciones a las reglas generales:
1.- A los ficheros de los que sean responsables los operadores que
presten servicios de comunicaciones electrónicas disponibles al
público o exploten redes públicas de comunicaciones electrónicas
respecto a los datos de tráfico y a los datos de localización, se
aplicarán, además de las medidas de seguridad de nivel básico y
medio, la medida de seguridad de nivel alto correspondiente al
registro de acceso Art 103 del reglamento .
2.- Podrán implantarse las medidas de seguridad de nivel básico en los
ficheros o tratamientos que contengan datos relativos a la salud,
referentes exclusivamente al grado de discapacidad o la simple
declaración de la condición de discapacidad o invalidez del afectado,
con motivo del cumplimiento de deberes públicos.
 MEDIDAS DE SEGURIDAD EN EL
TRATAMIENTO DE DATOS DE CARÁCTER
PERSONAL
Excepciones a las reglas generales (cont.)
En caso de ficheros o tratamientos de datos de
ideología, afiliación sindical, religión, creencias,
origen racial, salud o vida sexual bastará la
implantación de las medidas de seguridad de nivel
básico cuando:

– a) Los datos se utilicen con la única finalidad de realizar una

transferencia dineraria a las entidades de las que los
afectados sean asociados o miembros.
– b) Se trate de ficheros o tratamientos no automatizados en
los que de forma incidental o accesoria se contengan
aquellos datos sin guardar relación con su finalidad.
 MEDIDAS DE SEGURIDAD EN EL
TRATAMIENTO DE DATOS DE CARÁCTER
PERSONAL
Las medidas de seguridad aplicables a los ficheros y/o tratamientos de
datos de carácter general se recogen en el documento de seguridad
en los términos que más adelante se recogen. Estas medidas serán de
obligado cumplimiento para los miembros de la organización.
En el caso de que exista la figura del encargado del tratamiento se deberá tener en cuenta lo
siguiente:

1.- Si el Servicio es prestado en los locales del responsable del fichero o tratamiento-- El
documento de seguridad debe recoger esta circunstancia y el encargado del tratamiento
de cumplir las normas de seguridad.
2.- Si el Servicio es prestado mediante acceso remoto--- El documento de seguridad debe
recoger esta circunstancia y el encargado del tratamiento de cumplir las normas de
seguridad.
3.- Si el Servicio es prestado en locales propios del encargado del tratamiento--- Elaborar
documento de seguridad por parte del encargado del tratamiento o completar el del
responsable del fichero o tratamiento incorporando las medidas de seguridad a implantar
en relación con dicho tratamiento.

En cualquier caso se aplicarán siempre las medidas de seguridad incluidas en el documento.

 MEDIDAS DE SEGURIDAD EN EL
TRATAMIENTO DE DATOS DE CARÁCTER
PERSONAL
El documento de seguridad
• El responsable del fichero o tratamiento elaborará un documento de
seguridad que recogerá las medidas de índole técnica y
organizativa acordes a la normativa de seguridad vigente que será
de obligado cumplimiento para el personal con acceso a los
sistemas de información.

• El documento de seguridad podrá ser único y comprensivo de

todos los ficheros o tratamientos, o bien individualizado para cada
fichero o tratamiento.

• El documento de seguridad debe estar actualizado y de acuerdo a

las disposiciones vigentes sobre medidas de seguridad aplicables a
los ficheros con datos de carácter personal
 MEDIDAS DE SEGURIDAD EN EL
TRATAMIENTO DE DATOS DE CARÁCTER
PERSONAL
El documento de seguridad (cont.)
• Debe contener como mínimo:

– Ámbito de aplicación. Detalle de los recursos a los que se aplica.

– Medidas, normas y procedimientos de actuación que garanticen la seguridad.
– Funciones y obligaciones del personal.
– Estructura de los ficheros y descripción de los S.I. que los tratan.
– Procedimientos de gestión y respuesta ante las incidencias.
– Procedimientos de realización de copias de respaldo y recuperación.
– Medidas de seguridad para el transporte de soportes y documentos, así como el
proceso de destrucción o reutilización de los soportes.
– Ficheros cuyo tratamiento los realizan terceros.
– Además, para los datos de nivel medio y alto, contendrá
• Identificación del responsable(s) de seguridad.
• Controles periódicos a realizar para verificar el cumplimiento del documento de
seguridad (auditorías internas o externas).
– Se podrá delegar la realización del documento en terceros, cuando los datos se
incorporen de modo exclusivo en los sistemas del encargado. (Esto se indicará en el
contrato con el tercero).
 MEDIDAS DE SEGURIDAD EN EL
TRATAMIENTO DE DATOS DE CARÁCTER
PERSONAL
Medidas de seguridad aplicables a ficheros y tratamientos
automatizados. Medidas de nivel básico

• Funciones y obligaciones del personal: Usuarios o perfiles de usuarios.

Conocimiento por parte de los implicados.
• Registro de incidencias que afecten a los datos de carácter personal (tipo,
momento, persona que notifica, a quien se notifica, efectos derivados).
• Control de acceso: Acceso sólo a los recursos precisos (personal propio y
ajeno). Lista actualizada de accesos autorizados.
• Gestión de soportes y documentos: Inventario, protección en traslados
(incluidos documento anexos a e-mail), etiquetado.
• Identificación y autorización. Identificación de forma inequívoca y
personalizada. En el caso de uso de contraseñas, la periodicidad de cambio no
puede ser superior a un año.
• Copias de respaldo y recuperación: Respaldo semanal como mínimo, salvo
que no se produzcan cambios. Se verificará cada seis meses los
procedimientos y mecanismos de respaldo y recupareración.
• No realizar pruebas con datos reales, salvo que se asegure el nivel de
seguridad y antes se haga copia de seguridad.
 MEDIDAS DE SEGURIDAD EN EL
TRATAMIENTO DE DATOS DE CARÁCTER
PERSONAL
Medidas de seguridad aplicables a ficheros y tratamientos
automatizados. Medidas de nivel medio

• Nombrar Responsable(s) de Seguridad.

• Realización de auditoría interna o externa cada dos años. El informe de
auditoría quedará a disposición de la AEPD, o autoridades de control de las
CCAA, en su caso. También se realizará auditoría siempre que se produzcan
modificaciones sustanciales en el sistema de información que puedan
repercutir en el cumplimiento de las medidas de seguridad.
• Gestión de soportes y documentos: Elaboración de los Registros de entrada y
de Salida que permita conocer los soportes y documentos objeto de entrada y
salida de los recintos.
• Identificación y autenticación: Se limitará el número de reintentos de acceso.
• Control de acceso físico: Únicamente tendrán acceso a las instalaciones el
personal autorizado en el documento de seguridad.
• Registro de incidencias: Se indicarán, además de la información de registro en
el nivel básico, los procedimientos de recuperación de datos, que necesitarán
para su ejecución de la autorización del responsable del fichero.
 MEDIDAS DE SEGURIDAD EN EL
TRATAMIENTO DE DATOS DE CARÁCTER
PERSONAL
Medidas de seguridad aplicables a ficheros y
tratamientos automatizados. Medidas de nivel alto

• La distribución de soportes que contengan datos de carácter personal se

realizará cifrando los datos en los soportes.

• Copias de respaldo y recuperación se almacenarán en lugar diferente a donde

residan los ficheros originales y se deberán cumplir en todo caso, las medidas
de seguridad exigidas en este Título.

• Registro de accesos. De cada intento de acceso se guardarán, como mínimo, la

identificación del usuario, la fecha y hora en que se realizó, el fichero accedido,
el tipo de acceso y si ha sido autorizado o denegado Se conservarán los datos
registrados dos años como mínimo.

• La transmisión de datos por redes de telecomunicaciones se realizará cifrando

los datos.
Resumen medidas de seguridad ficheros
automatizados
 MEDIDAS DE SEGURIDAD EN EL
TRATAMIENTO DE DATOS DE CARÁCTER
PERSONAL
Medidas de seguridad aplicables a ficheros y tratamientos NO
automatizados. Medidas de nivel básico

• El archivo de soportes o documentos se realizará de acuerdo a su respectiva

legislación. Si no existe norma aplicable, será el responsable del fichero quién
establezca los criterios pertinentes.

• Se garantizará la conservación, localización y consulta, así como se

posibilitará el ejercicio de los derechos de oposición, acceso, rectificación y
cancelación.

• Se establecerán mecanismos que obstaculicen la apertura de los dispositivos

de almacenamiento.

• Custodia de soportes para información temporalmente no archivada por

encontrarse en proceso de tramitación: será responsable la persona al cargo.
 MEDIDAS DE SEGURIDAD EN EL
TRATAMIENTO DE DATOS DE CARÁCTER
PERSONAL
Medidas de seguridad aplicables a ficheros y
tratamientos NO automatizados. Medidas de nivel
medio y alto:

Medidas de nivel medio

• Se designará Responsable(s) de seguridad.
• Auditoría interna o externa cada dos años.

Medidas nivel alto

• Almacenamiento: Acceso protegido por llave o similar. Recinto cerrado.
• Copias: Se realizarán bajo control del personal autorizado en el documento
de seguridad. Destrucción de las copias desechadas.
• Mecanismo para identificar accesos de personal autorizado.
• Traslado físico de documentación: Medidas para impedir acceso o
manipulación.
Resumen medidas de seguridad
ficheros NO automatizados
 MEDIDAS DE SEGURIDAD EN EL
TRATAMIENTO DE DATOS DE CARÁCTER
PERSONAL

Fin de la presentación