lunes, 17 de noviembre de 2008

El documento de seguridad en el nuevo reglamento

Aunque es indigno de un primer espada como yo dedicarse a estas tareas serviles, hoy he pasado gran parte de mi jornada laboral preparando diferentes cuestionarios para una auditoría. No sé si se han dado cuenta, pero a la hora de revisar las menciones mínimas del documento de seguridad, no sólo tienen que fijarse en el art. 88 del RLOPD. Diversos artículos del Título VIII incluyen aspectos que deberá recoger el documento de seguridad en todo caso o cuando se produzcan determinadas circunstancias. Hagamos un repaso.

Entre las disposiciones generales, aplicable a todos los niveles (sí, yo también me pregunto el por qué de este apartado teniendo en cuenta que las medidas de seguridad son acumulativas), encontramos lo siguiente:

Art. 82:
- Cuando el responsable del fichero o tratamiento facilite el acceso a los datos, a los soporte que los contengan o a los recursos del sistema de información que los trate, aun encargado del tratamiento que preste sus servicios en los locales del primero deberá hacerse constar esta circunstancia en el documento de seguridad en el documento de seguridad de dicho responsable.
- Cuando dicho acceso sea remoto habiéndose prohibido al encargado incorporar tales datos a sus sistemas o soportes distintos de los del responsable, este último deberá hacer constar esta circunstancia en el documento de seguridad del responsable.
- Si el servicio fuera prestado por el encargado del tratamiento en sus propios locales deberá elaborar un documento de seguridad identificando el fichero o tratamiento y el responsable del mismo e incorporando las medidas de seguridad a implantar en relación con dicho tratamiento.

Art. 84:
- Las autorizaciones que en el Título VIII RLOPD se atribuyen al responsable del fichero o tratamiento podrán ser delegadas en las personas designadas al efecto. En este caso, deberán constar en el documento de seguridad.

Art. 86:
- Cuando los datos personales se almacenen en dispositivos portátiles o se traten fuera o de los locales del responsable del fichero o del encargado del tratamiento, será preciso que exista una autorización previa del responsable del fichero o tratamiento. Estas autorizaciones tendrán que constar en el documento de seguridad y podrá establecerse para un usuario o para un perfil de usuarios y determinando un periodo de validez para las mismas.

Los artículos referidos al documento de seguridad en el nivel básico son:

Art. 89:
- Las funciones y obligaciones de cada uno de los usuarios o perfiles de usuarios con acceso a los datos de carácter personal y a los sistemas de información estarán claramente definidas y documentadas en el documento de seguridad.
- También se definirán las funciones de control o autorizaciones delegadas por el responsable del fichero o tratamiento.

Art. 92:
- Los soportes y documentos que contengan datos de carácter personal deberán permitir identificar la información que contienen, ser inventariados y sólo deberán ser accesibles por el personal autorizado para ello en el documento de seguridad.
- Se exceptúan estas obligaciones cuando las características físicas del soporte imposibiliten su cumplimiento, quedando constancia motivada de ello en el documento de seguridad.
- Salida de soportes y documentos: (incluidos los comprendidos y/o anejos a un correo electrónico): debe ser autorizada por responsable del fichero o tratamiento o encontrarse autorizadas en el documento de seguridad.


Art. 93:
- El documento de seguridad establecerá la periodicidad, que en ningún caso será superior a un año, con la que tienen que ser cambiadas las contraseñas que se almacenarán de forma ininteligible.

Art. 94:
- En caso de pérdida o destrucción de los datos, cuando se proceda a grabar manualmente los datos tal circunstancia quedará reflejada, y debidamente motivada, en el documento de seguridad.
- Las pruebas anteriores a la implantación o modificación de los sistemas de información que traten ficheros con datos de carácter personal no se realizarán con datos reales, salvo que se asegure el nivel de seguridad correspondiente al tratamiento realizado y se anote su realización en el documento de seguridad.

Para el nivel medio sólo encontramos una referencia:

Art. 95:
- En el documento de seguridad deberán designarse uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en el mismo. Esta designación puede ser única para todos los ficheros o tratamiento de datos de carácter personal o diferenciada según los sistemas de tratamiento utilizados, circunstancia que deberá hacerse constar claramente en el documento de seguridad.

Por último, en lo que se refiere al nivel alto, tenemos:

Art. 103:
- No será necesario el registro de accesos si el responsable del fichero o tratamiento es una persona física o si garantiza que sólo él tiene acceso y trata los datos. Tales circunstancias se harán constar en el documento de seguridad.

Art. 111:
- Los armarios, archivadores u otros elementos en los que se almacenen los ficheros no automatizados con datos de carácter personal deberán encontrase en áreas en las que el acceso esté protegido con puertas de acceso dotadas de sistemas de apertura mediante llave u otro dispositivo equivalente. Dichas áreas deberán permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en el fichero. Si no fuera posible cumplir lo esto, el responsable se adoptarán medidas alternativas que, debidamente motivadas, se incluirán en el documento de seguridad.

No hay comentarios: