CAPTULO 2

FICHEROS Y DOCUMENTO DE SEGURIDAD

1. FICHEROS Y TRATAMIENTOS DE DATOS

Se entiende por tratamiento de datos las operaciones y procedimientos tcni-

cos de carcter automatizado o no, que permitan la recogida, grabacin, conserva-
cin, elaboracin, modificacin, bloqueo y cancelacin, as como las cesiones de
datos que resulten de comunicaciones, consultas, interconexiones y transferencias.

Fichero: es todo conjunto organizado de datos de carcter personal, cual-

quiera que fuere la forma o modalidad de su creacin, almacenamiento, organi-
zacin y acceso. Estos pueden ser:
Automatizado: se refiere a todo conjunto organizado de datos de carc-
ter personal que permita acceder a la informacin relativa a una persona
fsica determinada utilizando procedimientos de bsqueda automatizados,
es decir, informacin almacenada en soportes informticos y se encuen-
tran organizados de manera que se pueda acceder a los datos personales
utilizando cualquier tipo de aplicacin o procedimiento informatizado.

AUDITORA DE LA LOPD 1
2 AUDITORA DE LA LOPD

No automatizados: todo conjunto de datos de carcter personal or-

ganizado de forma no automatizada y estructurado conforme a criterios
especficos relativos a personas fsicas, que permitan acceder sin es-
fuerzos desproporcionados a sus datos personales, ya sea aquel cen-
tralizado, descentralizado o repartido de forma funcional o geogrfica.

Adems, tambin pueden ser:

Ficheros de titularidad privada: los ficheros de los que sean responsa-
bles las personas, empresas o entidades de derecho privado, con indepen-
dencia de quien ostente la titularidad de su capital o de la procedencia de
sus recursos econmicos, as como los ficheros de los que sean responsa-
bles las corporaciones de derecho pblico, en cuanto dichos ficheros no se
encuentren estrictamente vinculados al ejercicio de potestades de derecho
pblico que a las mismas atribuye su normativa especfica.
Ficheros de titularidad pblica: los ficheros de los que sean respon-
sables los rganos constitucionales o con relevancia constitucional del
Estado o las instituciones autonmicas con funciones anlogas a los
mismos, las administraciones pblicas territoriales, as como las entida-
des u organismos vinculados o dependientes de las mismas y las corpo-
raciones de derecho pblico siempre que su finalidad sea el ejercicio de
potestades de derecho pblico.
Las medidas de seguridad exigibles a los ficheros y tratamientos de datos
personales se clasifican en tres niveles: Bsico, Medio y Alto.
 CAPTULO 2
3
FICHEROS Y DOCUMENTO DE SEGURIDAD

Datos de ideologa, afiliacin sindical, religin, creencias, origen racial, salud o vida
sexual y respecto de los que no se prevea la posibilidad de adoptar el nivel bsico;
NIVEL ALTO recabado con fines policiales sin consentimiento de las personas afectadas; y derivados
de actos de violencia de gnero.

Datos relativos a la comisin de infracciones administrativas o penales; que se rijan

por el artculo 29 de la LOPD (prestacin de servicios de solvencia patrimonial y
crdito); de Administraciones tributarias, y que se relacionen con el ejercicio de sus
potestades tributarias; de entidades financieras para las finalidades relacionadas con
la prestacin de servicios financieros; de Entidades Gestoras y Servicios Comunes de
NIVEL MEDIO
Seguridad Social, que se relacionen con el ejercicio de sus competencias; de mutuas
de accidentes de trabajo y enfermedades profesionales de la Seguridad Social; que
ofrezcan una definicin de la personalidad y permitan evaluar determinados aspectos
de la misma o del comportamiento de las personas; y de los operadores de
comunicaciones electrnicas, respecto de los datos de trfico y localizacin.

Datos de nombre, apellidos, DNI, nacionalidad, firma, firma electrnica, imagen,

nmero de la seguridad social, correo electrnico, telfono, etc. Adems, datos de
ideologa, afiliacin sindical, religin, creencias, salud, origen racial o vida sexual,
cuando: los datos se utilicen con la nica finalidad de realizar una transferencia
dineraria a entidades de las que los afectados sean asociados o miembros; se trate de
NIVEL BSICO
ficheros o tratamientos no automatizados o sean tratamientos manuales de estos tipos
de datos de forma incidental o accesoria, que no guarden relacin con la finalidad del
fichero; y en los ficheros o tratamientos que contengan datos de salud, que se refieran
exclusivamente al grado o condicin de discapacidad o la simple declaracin de
invalidez, con motivo del cumplimiento de deberes pblicos.

Los ficheros de datos de carcter personal de titularidad privada, sern noti-

ficados a la Agencia de Proteccin de Datos, por la persona o entidad privada que
pretenda crearlos, con carcter previo a su creacin.

La notificacin previa a la inscripcin de los ficheros en la Agencia de Protec-

cin de Datos ha de contener:
Identificacin del responsable del fichero.
La identificacin del fichero.
Finalidades y usos del fichero.
El sistema de tratamiento empleado para su organizacin.
El colectivo de personas sobre las que se obtienen datos.
El procedimiento y procedencia de los datos.
Las categoras de los datos.
El servicio o unidad de acceso.
La indicacin del nivel de medidas de seguridad bsico, medio o alto
exigible.
4 AUDITORA DE LA LOPD

Identificacin en su caso, del encargado de tratamiento donde se en-

cuentra ubicado el fichero.
Los destinatarios de cesiones y transferencias internacionales de datos.

Recuerde
La notificacin se realiza conforme al procedimiento esta-
blecido en el Captulo IV del Ttulo VIII del reglamento.
 CAPTULO 2
5
FICHEROS Y DOCUMENTO DE SEGURIDAD

2. EL DOCUMENTO DE SEGURIDAD

El artculo 9.1 de la Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin

de Datos de carcter personal (LOPD), establece que:

"[...]el responsable del fichero, y, en su caso, el encargado del

tratamiento, debern adoptar las medidas de ndole tcnica y
organizativas necesarias que garanticen la seguridad de los datos
de carcter personal y eviten su alteracin, prdida, tratamiento
o acceso no autorizado, habida cuenta del estado de la tecnolo-
ga, la naturaleza de los datos almacenados y los riesgos a que
estn expuestos, ya provengan de la accin humana o del medio
fsico o natural".

El Reglamento de desarrollo de la LOPD (RLOPD), aprobado por el Real Decre-

to 1720/2007, de 21 de diciembre, fue publicado en el BOE nmero 17, de 19 de
enero de 2008. El Ttulo VIII de este reglamento desarrolla las medidas de seguri-
dad en el tratamiento de datos de carcter personal y tiene por objeto establecer
las medidas de ndole tcnica y organizativa necesarias para garantizar la seguri-
dad que deben reunir los ficheros, los centros de tratamiento, locales, equipos,
sistemas, programas y las personas que intervengan en el tratamiento de los da-
tos de carcter personal.

El Documento de Seguridad es un documento interno de la organizacin,

que debe mantenerse siempre actualizado. Disponer del documento de seguridad
es una obligacin para todos los responsables de ficheros y, en su caso, para los
encargados del tratamiento, con independencia del nivel de seguridad que sea
necesario aplicar.
6 AUDITORA DE LA LOPD

Los apartados mnimos que debe incluir el documento de seguridad son los
siguientes:

APARTADOS DEL DOCUMENTO DE SEGURIDAD

mbito de aplicacin del documento con especificacin detallada de los recursos.

Medidas, normas, procedimientos, reglas y estndares encaminados a garantizar el nivel de seguridad
exigido, as como la definicin de las Polticas de Seguridad.
Identificacin de los elementos previstos para asegurar la inviolabilidad de la red informtica.
Estructura de los ficheros con datos de carcter personal y descripcin de los sistemas de informacin
que los tratan.
Procedimiento de notificacin, gestin y respuesta ante las incidencias.
Procedimiento de realizacin de las copias de respaldo de los datos.
Elaboracin de un inventario de copias de seguridad.
Mecanismo de identificacin y autenticacin, de los usuarios para el acceso autorizado a los sistemas
de informacin.
Sistemas de contraseas para el control de acceso a la informacin.
Funciones y obligaciones del personal.
Identificacin del Responsable del Fichero y del Responsable de Seguridad.
Relacin del personal autorizado para el acceso fsico a los locales donde se encuentran ubicados los
sistemas de informacin.
Registro de entrada y salidas de soportes informticos.
Medidas de seguridad a adoptar en los sitios Web del cliente.

En caso de haber contratado la prestacin de servicios por terceros para de-

terminados ficheros, en el documento de seguridad se debe hacer constar esta
circunstancia, indicando una referencia al contrato y su vigencia, as como los
ficheros objeto de este tratamiento.

Si se ha contratado la prestacin de servicios en relacin con la totalidad de

los ficheros y tratamientos de datos del responsable, y dichos servicios se prestan
en las instalaciones del encargado del tratamiento se podr delegar en este la
llevanza del documento de seguridad.
 CAPTULO 2
7
FICHEROS Y DOCUMENTO DE SEGURIDAD

3. MEDIDAS DE SEGURIDAD

Con la elaboracin del Documento de Seguridad (DS) se establece la elabora-

cin, implantacin y difusin de procedimientos de:
Tratamiento y acceso a la documentacin, y custodia de la misma.
Notificacin y gestin de incidencias.
Asignacin de autorizaciones y responsabilidades, por ejemplo, en re-
lacin con:
La aprobacin o negacin de acceso a los documentos.
El mantenimiento del registro de incidencias.
Nombramiento de responsables de seguridad.
Gestin de todos los mecanismos que limiten accesos no autorizados:
Archivadores o armarios con llave, reubicacin de la documenta-
cin en zonas de acceso restringido o que estn bajo vigilancia
permanente (requerido para datos de Nivel Alto), etc.
8 AUDITORA DE LA LOPD

Gestin de procedimientos de destruccin de documentos, e in-

ventario de la instalacin de mecanismos al efecto: trituradoras
de papel, contratacin de servicios especializados, etc.

Ejecucin de auditorias bienales obligatorias (como se viene ha-

ciendo para ficheros automatizados), para datos de Nivel Medio
o Alto.
Para datos de nivel alto (entre los que se incluye la informacin
sobre la salud de personas), deben identificarse los accesos rea-
lizados a los documentos, para lo cual puede ser recomendable
implantar un libro de control de accesos a la documentacin. Este
podra ser a su vez informatizado.
A continuacin vamos a establecer las medidas de seguridad de acuerdo con
el nivel de proteccin y sistema de tratamiento:

Nivel Bsico
Personal
Respecto del personal se debe establecer las funciones y obligaciones de
los diferentes usuarios o de los perfiles de usuarios claramente definidas
y documentadas. Definicin de las funciones de control y las autorizacio-
nes delegadas por el responsable. Difusin entre el personal, de las nor-
mas que les afecten y de las consecuencias por su incumplimiento.
Incidencia
Se establece un registro de incidencias: tipo, momento de su deteccin,
persona que la notifica, efectos y medidas correctoras. Procedimiento
de notificacin y gestin de las incidencias.
 CAPTULO 2
9
FICHEROS Y DOCUMENTO DE SEGURIDAD

Control de acceso
Consiste en la relacin actualizada de usuarios y accesos autorizados.
Control de accesos permitidos a cada usuario segn las funciones asig-
nadas. Mecanismos que eviten el acceso a datos o recursos con dere-
chos distintos de los autorizados. Concesin de permisos de acceso slo
por personal autorizado. Mismas condiciones para personal ajeno con
acceso a los recursos de datos.
Gestin de soportes
Incluye el inventario de soportes, identificacin del tipo de informacin
que contiene, o sistema de etiquetado, acceso restringido al lugar de
almacenamiento, autorizacin de las salidas de soportes (incluidas a
travs de e-mail) y medidas para el transporte y el desecho de soportes.

Solo ficheros automatizados

Identificacin y autenticacin
Se trata de establecer la identificacin y autenticacin personalizada,
procedimiento de asignacin y distribucin de contraseas, almacena-
miento ininteligible de las contraseas y periodicidad del cambio de
contraseas, que no puede ser superior a un ao.
Copia de respaldo
Debe contener la copia de respaldo semanal, procedimientos de gene-
racin de copias de respaldo y recuperacin de datos, verificacin se-
mestral de los procedimientos, reconstruccin de los datos a partir de la
ltima copia, grabacin manual en su caso, si existe documentacin
que lo permita, pruebas con datos reales, copia de seguridad y aplica-
cin del nivel de seguridad correspondiente.

Solo ficheros no automatizados

Criterios de archivo
El archivo de los documentos debe realizarse segn criterios que facili-
ten su consulta y localizacin para garantizar el ejercicio de los dere-
chos de Acceso, Rectificacin, Cancelacin y Oposicin (ARCO).
Almacenamiento
Se deben establecer los dispositivos de almacenamiento dotados de
mecanismos que obstaculicen su apertura.
10 AUDITORA DE LA LOPD

Custodia soportes
Durante la revisin o tramitacin de los documentos, la persona a car-
go de los mismos debe ser diligente y custodiarla para evitar accesos no
autorizados.

Nivel Medio
Responsable de seguridad
El responsable del fichero tiene que designar a uno o varios responsa-
bles de seguridad (no es una delegacin de responsabilidad). El respon-
sable de seguridad es el encargado de coordinar y controlar las medi-
das del documento.
Auditoria
Al menos cada dos aos, interna o externa. Debe realizarse ante modi-
ficaciones sustanciales en los sistemas de informacin con repercusio-
nes en seguridad. Verificacin y control de la adecuacin de las medi-
das. Informe de deteccin de deficiencias y propuestas correctoras. An-
lisis del responsable de seguridad y conclusiones elevadas al responsa-
ble del fichero.

Solo ficheros automatizados

Incidencia
Anotar los procedimientos de recuperacin, persona que lo ejecuta,
datos restaurados, y en su caso, datos grabados manualmente. Autori-
zacin del responsable del fichero para la recuperacin de datos.
Control de acceso
Se debe incluir el control de acceso fsico a los locales donde se encuen-
tren ubicados los sistemas de informacin.
Identificacin y autenticacin
Limite de intentos reiterados de acceso no autorizado.
Gestin de soportes
Tiene que tener el registro de entrada y salida de soportes: documento
o soporte, fecha, emisor/destinatario, nmero, tipo de informacin, for-
ma de envo, responsable autorizado para recepcin/entrega.
 CAPTULO 2
11
FICHEROS Y DOCUMENTO DE SEGURIDAD

Nivel Alto

Solo ficheros automatizados

Control de acceso
El control de accesos debe contener un registro de accesos: usuario,
hora, fichero, tipo de acceso, autorizado o denegado. Debe ser revisa-
do el registro mensualmente por el responsable de seguridad.
Los datos de este control deben conservarse durante dos aos. No es
necesario este registro si el responsable del fichero es una persona
fsica y es el nico usuario.
Gestin de soportes
Tiene que tener un sistema de etiquetado confidencial, un cifrado de
datos en la distribucin de soportes, un cifrado de informacin en dis-
positivos porttiles fuera de las instalaciones (evitar el uso de dispositi-
vos que no permitan cifrado, o adoptar medidas alternativas).
Copias de respaldo
Contiene la copia de respaldo y procedimientos de recuperacin en un
lugar diferente del que se encuentren los equipos.
Telecomunicaciones
Debe de contener explicacin de la transmisin de datos a travs de
redes electrnicas cifradas.

Solo ficheros no automatizados

Control de acceso
Contiene el control de accesos autorizados y la identificacin de acce-
sos para documentos accesibles por mltiples usuarios.
Almacenamiento
Los modos de almacenamientos son: armarios, archivadores de docu-
mentos en reas con acceso protegido mediante puertas con llave.
Copia o reproduccin
Solo puede realizarse por los usuarios autorizados. Y debe especificar
cmo se destruyen las copias desechadas.
Traslado documentacin
Medidas que impidan el acceso o manipulacin.
12 AUDITORA DE LA LOPD

Adems de estas medidas de seguridad, segn el nivel de proteccin y de si se

trata de ficheros automatizados o no, existen otras medidas de seguridad que se
han de tener en cuenta:
Los accesos a travs de redes de telecomunicaciones deben garantizar
un nivel de seguridad equivalente al de los accesos en modo local.
La ejecucin de trabajos fuera de los locales del responsable o del en-
cargado del tratamiento debe ser previamente autorizada por el res-
ponsable del fichero, constar en el documento de seguridad y garanti-
zar el nivel de seguridad.
Los ficheros temporales debern cumplir el nivel de seguridad correspon-
diente y sern borrados una vez que hayan dejado de ser necesarios.
El acceso facilitado a un encargado del tratamiento deber constar en
el documento de seguridad y deber comprometerse al cumplimiento
de las medidas de seguridad previstas.
 CAPTULO 2
13
FICHEROS Y DOCUMENTO DESEGURIDAD

1. Qu se entiende por fichero?

2. Qu ha de contener la notificacin previa a la inscripcin de los ficheros en

la Agencia de Proteccin de Datos?

3. Qu establece el artculo 9.1. de LOPD?

4. Indica cules son los niveles de proteccin.

EJERCICIOS DE REPASO Y
AUTOEVALUACIN