Niveles de seguridad.

La normativa española clasifica las medidas de seguridad que deben adoptarse en tres niveles:

- Nivel básico, aplicable a todos los ficheros de datos personales.

- Nivel medio, aplicable a los ficheros con datos relativos a la comisión de infracciones administrativas o penales, entre otros.

- Nivel alto, aplicable a los ficheros que contengan datos especialmente protegidos

LAS MEDIDAS DE SEGURIDAD SON ACUMULATIVAS.

Medidas de seguridad de nivel básico

Todos los ficheros de datos personales deben reunir las medidas de seguridad de nivel básico. Destacan:

- La existencia de un Documento de Seguridad.

- La realización de copias de seguridad semanalmente, salvo que en este período no se hayan actualizado los datos.

- Existencia de mecanismos, como las contraseñas, para acceder a los ficheros.

Medidas de seguridad de nivel medio

El nivel medio exige el cumplimiento de las medidas de seguridad propias del nivel básico y de otras adicionales, tales como:

- Existencia de la figura del Responsable de Seguridad.

- Existencia de un registro de entrada y salida de soportes que contengan datos personales.

- Realización de una auditoría sobre el cumplimiento de la normativa de seguridad, al menos cada dos años.

Medidas de seguridad de nivel alto

El nivel alto exige, junto con el cumplimiento de las medidas de seguridad del nivel básico y del nivel medio, otras medidas adicionales como la existencia de un registro de accesos a los ficheros con datos personales (a través de mecanismos técnicos que tengan incorporada la función de la trazabilidad).

Eso significa que, de cada acceso, debe quedar registrado: la identidad de la persona que ha realizado el acceso, la fecha y hora del acceso, el fichero accedido, el tipo de acceso, si ha sido autorizado o denegado, y el registro concreto al que se ha accedido.

Documento de seguridad.

El Documento de Seguridad debe recoger la normativa de seguridad en lo relativo al tratamiento de datos personales, y en él han de figurar todas las medidas de seguridad que deben cumplirse para garantizar la integridad y confidencialidad de los datos almacenados en los ficheros.

El empresario y todos los trabajadores que, en el desarrollo de sus funciones tienen acceso a los datos almacenados en los ficheros, deben conocer y cumplir las medidas de seguridad contenidas en el Documento.

Responsable de seguridad.

El Responsable de Seguridad es aquella persona designada por el responsable del fichero, de entre los empleados, u otra persona o empresa ajena al mismo, para coordinar y controlar el cumplimiento de las medidas de seguridad, tanto técnicas como organizativas.

En caso de incumplimiento de las medidas de seguridad, es el responsable de los ficheros, quien asume la responsabilidad que se derive.

Inscripción de ficheros en la agencia.

La inscripción de los ficheros de datos personales es el deber que tiene de notificar a la Agencia de Protección de Datos la existencia y creación de los ficheros de los que sea responsable.

Dentro de la APD, el Registro General de Protección de Datos es el órgano que tiene por objeto la inscripción de los ficheros.

¿Quién y cuándo tiene que llevarla a cabo?

La empresa, como responsable, tiene la obligación de notificar previamente a la APD la creación de sus ficheros de datos personales.

Si antes del 14 de enero de 1999 ya tenía los ficheros de datos personales, y éstos son automatizados, deben inscribirse en el plazo de 3 años desde esa fecha.

Si son ficheros no automatizados (recogidos únicamente en formato papel) el plazo finaliza el 24-10-2007.