Nuevas medidas de seguridad para la protección de datos personales.

PMFarma utiliza cookies propias y de terceros para recopilar informacion con la finalidad de mejorar nuestros servicios y mostrarte publicidad relacionada con tus preferencias. Al continuar navegando por el sitio, aceptas el uso de las mismas. Tienes la posibilidad de configurar tu navegador pudiendo impedir que sean instaladas.   Configurar
Ver por categoría:
Enviar a un amigo | Imprimir en PDF
15 Abr. 2008
Nuevas medidas de seguridad para la protección de datos personales.

Entra en vigor el Reglamento que desarrolla la LO de Protección de datos de carácter personal.

 

La entrada en vigor, el próximo 19 de abril de 2008, del nuevo Reglamento de protección de datos de carácter personal, afectará, entre otros, a las medidas de seguridad y al contenido de los documentos de seguridad.

 

Los ficheros de titularidad privada creados a partir de esa fecha deberán ajustarse a la nueva norma, en tanto que los ficheros automatizados anteriores tendrán un plazo de adaptación de 12 meses. Los ficheros no automatizados deberán adaptarse en 12, 18 ó 24 meses según el nivel de protección requerido.

 

Ficheros automatizados

 

El nuevo Reglamento impone para todos los ficheros las siguientes obligaciones: (i) adoptar un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado. La periodicidad de las contraseñas no será superior a un año; (ii) implementar medidas dirigidas a evitar la sustracción, pérdida o acceso indebido a la información durante su traslado; (iii) implementar medidas dirigidas a evitar el acceso o recuperación de información contenida en cualquier documento o soporte que vaya a desecharse; y (iv) las pruebas previas a la implantación o modificación de los sistemas de información no se harán con datos reales.

 

El nuevo Reglamento especifica también que cada seis meses debe verificarse la correcta definición, funcionamiento y aplicación de los procedimientos de realización de las copias de respaldo y de recuperación de los datos.

 

Con relación a las medidas de seguridad de nivel medio, el Reglamento incrementa las exigencias de auditoría. Así, por ejemplo, se extiende la auditoría obligatoria de los sistemas de información e instalaciones de tratamientos de datos a las instalaciones de almacenamiento.

 

Por último, para el nivel de seguridad alto, el Reglamento introduce la obligación de identificar los soportes mediante sistemas de etiquetado comprensibles y con significado que permitan a los usuarios identificar su contenido, y que dificulten la identificación para el resto de personas.

 

También son nuevas las medidas que requieren que se cifren los datos que contengan los dispositivos portátiles cuando éstos se encuentren fuera de las instalaciones del responsable del fichero y que se evite su tratamiento en dispositivos portátiles que no permitan su cifrado.

 

En cuanto a la obligación del responsable de seguridad de revisar la información de control registrada, esta revisión se tendrá que efectuar al menos una vez al mes.

 

Ficheros no automatizados

 

La gran novedad de este Reglamento es que contempla explícitamente la protección de los ficheros y tratamientos no automatizados.

A estos ficheros y tratamientos también son de aplicación las medidas de seguridad de nivel básico relativas a las funciones y obligaciones del personal, el registro de incidencias, el control de acceso y la gestión de soportes, que se aplican a los ficheros automatizados.

 

Además, se añaden medidas específicas para estos ficheros relativas a (i) los criterios de archivo de los soportes o documentos, que deberán garantizar la conservación, localización y consulta de la información; (ii) los dispositivos de almacenamiento de los documentos, que deberán disponer de mecanismos que obstaculicen su apertura o de medidas que impidan el acceso de personas no autorizadas; y (iii) al deber de custodia de los soportes mientras la documentación no esté archivada.

 

El Reglamento incluye dos medidas adicionales para el nivel medio; la obligación de designar uno o varios responsables de seguridad, y la de someter los ficheros no automatizados a una auditoría interna o externa que verifique el cumplimiento de las normas de seguridad.

 

Respecto a los ficheros y tratamientos sujetos al nivel alto, el Reglamento ha determinado que los elementos en los que se almacenen los ficheros, deberán encontrarse en áreas en las que el acceso esté protegido con puertas dotadas de sistemas de apertura mediante llave u otro dispositivo equivalente, y que dichas áreas deberán permanecer cerradas cuando no sea preciso el acceso a los documentos. Si ello no fuera posible por las características de los locales, el responsable tendrá que adoptar medidas alternativas.

 

Además, la generación de copias o la reproducción de los documentos, únicamente se podrá hacer bajo el control del personal autorizado y el acceso a la documentación se limitará a dicho personal.

 

El Reglamento obliga a establecer mecanismos que permitan identificar los accesos realizados en el caso de documentos que puedan ser utilizados por múltiples usuarios y a que el acceso de personas no autorizadas quede adecuadamente registrado. Por último, siempre que se proceda al traslado físico de la documentación, deberán adoptarse medidas para proteger la información objeto de traslado.

 

Documento de Seguridad

 

Con relación al contenido del Documento de Seguridad, el Reglamento impone que en todos ellos se recojan las medidas necesarias a adoptar cuando un soporte se destruya o reutilice, y añade que deben incluir también las medidas para el transporte de soportes y documentos.

 

Otros aspectos nuevos a tener en cuenta son que el Documento de Seguridad deberá identificar los ficheros o tratamientos cuyo tratamiento esté encargado a un tercero, con referencia expresa al contrato que regule el encargo, la identificación del responsable, el período de vigencia y si el tratamiento tiene lugar sólo en los sistemas del encargado.

 

Por último, se mantiene que el documento se revisará siempre que se produzcan cambios relevantes en el sistema de información y en su organización, y añade que dicha revisión también procederá cuando se produzcan cambios relevantes en el sistema de tratamiento y en el contenido de la información incluida en los ficheros o tratamientos.




Escribe tu comentario
Debes estar unido a PMFARMA para participar. Únete o haz login