Medidas de seguridad para ficheros de titularidad privada

¿Qué nivel de medidas de seguridad deben implantarse en un fichero de titularidad privada?

Todos los ficheros o tratamientos de datos de carácter personal deberán adoptar las medidas de nivel básico establecidas en el Reglamento de desarrollo de la LOPD aprobado mediante Real Decreto 1720/2007, de 21 de diciembre (RLOPD).

Deberán implantarse, además de las medidas de nivel básico, las medidas de nivel medio, cuando:

  • se trate de un fichero responsabilidad de las entidades financieras para finalidades relacionadas con la prestación de servicios financieros.
  • se trate de un fichero para la prestación de servicios de información de solvencia patrimonial o crédito.
  • tenga la finalidad de realizar tratamientos sobre cumplimiento/incumplimiento de obligaciones dinerarias.
  • se trate de ficheros responsabilidad de las mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social.
  • contengan un conjunto de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos.

Se implantarán las medidas de seguridad de nivel alto para cualquier fichero de datos de carácter personal que se refiera a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual, así como para los que contengan datos derivados de actos de violencia de género y los ficheros a los que se refiere el artículo 32 de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo.

Excepcionalmente podrán implantarse las medidas de nivel básico en ficheros que traten datos especialmente protegidos cuando:

  • dichos datos se utilicen con la única finalidad de realizar una transferencia dineraria a las entidades de las que los afectados sean asociados o miembros
  • se trate de ficheros no automatizados en los que de forma incidental o accesoria se contengan datos especialmente protegidos sin guardar relación con su finalidad.

También podrán implantarse las medidas de seguridad de nivel básico en los ficheros o tratamientos que contengan datos relativos a la salud referentes, exclusivamente, al grado de discapacidad o la simple declaración de la condición de discapacidad o invalidez del afectado, con motivo del cumplimiento de deberes públicos.

Medidas de seguridad para ficheros de titularidad privada

En la página web de la Agencia (www.agpd.es > Canal del Responsable) se encuentra disponible la Guía de Seguridad, un manual práctico y básico para todos aquellos que deban adecuarse a las exigencias de la Ley en la que se explican los niveles de seguridad aplicables y las medidas que deben implantarse en función de los datos que maneje cada entidad. Por otro lado, recoge un modelo para que las entidades elaboren el “Documento de Seguridad” , documento interno obligatorio en cualquier organización en el que deben recogerse entre otros elementos, el tipo de datos, las medidas y procedimientos de seguridad aplicables, las obligaciones y funciones del personal, o las medidas adoptadas en su transporte y destrucción.

Asimismo, la Guía de Seguridad de Datos recoge en su apartado final un cuestionario de “autoevaluación”, especialmente dirigido a facilitar la realización de una auditoría de seguridad, que permite a las entidades analizar el grado de seguridad aplicado a la información que manejan y el nivel de adecuación a la normativa vigente.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *