Lo Último en IP@P
- Stellar Data Recovery revoluciona la recuperación de archivos perdidos en discos duros externos
- Goblin Mine: La Estrategia Económica Detrás del Juego de Minería que está Fascinando a Todos
- Estos son los nuevos Cargadores UGREEN: potencia y portabilidad en dos versiones que no te puedes perder
- UGREEN Nexode Pro: El Cargador Ultradelgado que revoluciona la carga de dispositivos móviles
- La computación en la nube está transformando los juegos Online y estas son sus grandes ventajas
La Ley Orgánica de Protección de Datos, o LOPD, es un estatuto que se encarga de brindar protección a los datos de carácter personal. Si te interesa saber cuáles son las medidas de seguridad para ficheros automatizados según la LOPD más importantes, continúa leyendo este listado.
El objetivo detrás de la LOPD es proteger la integridad personal y familiar de todas las personas. Esto a través de la regulación de las obligaciones de los ciudadanos que tratan con los datos personales.
Por tal motivo, la LOPD incluye tres niveles de seguridad acumulativos (Bajo, medio y alto) para garantizar la confidencialidad de la información.
Conoce todas las medidas de seguridad de bajo nivel para ficheros automatizados
El nivel bajo o básico de LOPD es aquel que se aplica a los ficheros que únicamente contengan datos de identificación. Esto incluye: domicilio, número de teléfono, DNI, nombre, correos electrónicos, nacionalidad, datos bancarios, edad, entre otros.
A continuación, recopilamos todas las medidas de seguridad de bajo nivel para ficheros automatizados:
Documento de seguridad
Todos los usuarios que posean acceso a datos personales, deben proporcionar sus respectivas funciones y obligaciones en un documento de seguridad. Todo debe estar bien definido en la documentación. Asimismo, también es necesario aclarar las autorizaciones de delegación y funciones de control del responsable del tratamiento de datos.
Notificación y gestión
Debe haber un procedimiento de gestión y notificación de todos los sucesos que afecten los datos personales. Se deben registrar con exactitud el tipo de incidentes, cuándo se ha producido o detectado, quién detectó el hecho, a quién se le comunicó, consecuencias y las medidas correctoras.
Despacho jurídico
Las personas que desarrollen funciones en el despacho jurídico pueden tener acceso a los recursos necesarios, siempre y cuando se precisen.
Derechos autorizados
Deben existir mecanismos que garanticen que sólo los usuarios con derechos autorizados pueden tener acceso a los recursos. El personal registrado en el documento de seguridad tiene la facultad de poder conceder, anular o alterar el acceso autorizado, según los criterios establecidos por el responsable del fichero.
Soportes y documentos electrónicos
Aquellos documentos electrónicos y soportes que posean información personal deberán ser inventariados según el tipo de información que contengan. Además, sólo podrá tener acceso el personal autorizado en el documento de seguridad.
Salida de documentos
La salida de aquellos documentos electrónicos y soportes que contengan información de carácter personal, debe estar autorizada por el responsable del fichero, o debe contar con una autorización registrada en el documento de seguridad.
Traslado de información
Deben existir medidas que garanticen la prevención de sustracción, pérdida o accesos no autorizados durante la salida del documento. Esto incluye también los medios de comunicación electrónica.
Medidas en el despacho
En el caso del despacho jurídico, debe tener establecidas las medidas correctas de autenticación e identificación de los usuarios que intenten acceder al sistema de información para verificar que cuentan con la autorización necesaria.
Contraseñas
Si hay un mecanismo de autenticación basado en contraseñas, es necesario ejecutar un proceso que se encargue de asignar, distribuir y almacenar las mismas para garantizar su confidencialidad. En el documento de seguridad debe contemplar el cambio de contraseñas en un periodo no mayor a un año.
Copias de seguridad
Semanalmente, como mínimo, debe establecerse un procedimiento para realizar copias de seguridad de los datos de carácter personal. Salvo en las ocasiones que no se hayan registrado actualizaciones de datos.
Recuperación de datos
Deben existir a su vez procedimientos que garanticen, en todo momento, la recuperación de datos, la reconstrucción de los mismos. Esto en caso de extravío o destrucción.
Procedimientos de recuperación
Debe existir un registro en el cual se consigne cuáles han sido los procedimientos realizados para la recuperación de datos. Asimismo, es necesario indicar quién llevó a cabo el proceso, cuáles han sido los datos recuperados, entre otros requisitos. Para ejecutar cualquier procedimiento, es fundamental la autorización del responsable del fichero.
Modificación de sistemas
En caso de ser necesarias la implantación o modificación del sistema de información, este no debe ejecutarse con datos reales. Esto con el objetivo salvaguardar los datos personales. Cabe la excepción cuando los niveles de seguridad que corresponden al tratamiento han sido asegurados y debidamente registrados en el documento de seguridad.
Lista de todas las medidas de seguridad nivel medio para ficheros automatizados según la LOPD
En cuanto a los ficheros automatizados con nivel de seguridad medio, también deben ser consideradas en conjunto las disposiciones del nivel bajo para garantizar una máxima protección.
Más en Seguridad informática
- Maltego IA ¿Qué es, para qué sirve y cuáles son todas sus funciones?
- ¿Cómo encontrar mi dispositivo móvil aunque esté apagado? Guía paso a paso
- ¿Cuáles son todos los usos y técnicas que se le pueden dar al sistema OSINT para recopilación de información? Lista 2024
- ¿Cuáles son las diferencias entre ciberseguridad y seguridad informática? Lista 2024
- Malware: ¿Qué es, cómo afecta a tu ordenador y cómo protegerte de ellos?
SÍGUENOS EN 👉 YOUTUBE TV
A continuación, presentamos una lista de todas las medidas de seguridad nivel medio para ficheros automatizados según la LOPD:
Responsables de seguridad
En el documento de seguridad deben ser designados uno o varios responsables de seguridad. Estos se deben encargar de coordinar el cumplimiento de las medidas. La designación puede aplicar para todos los ficheros o tratamientos de datos. Sin embargo, eso se debe constatar también en el documento de seguridad con claridad.
Auditorias
Cuando los datos de carácter personal son sometidos al nivel medio de seguridad, los sistemas, instalaciones de tratamientos y almacenamiento de información deben ser sometidos cada dos años a una auditoria interna o externa. Esto con el objetivo de verificar el cumplimiento de las medidas de seguridad.
Registros de entrada y salida
El despacho jurídico debe contar con un sistema de registro de entrada y salida que permita, de forma directa o indirecta, identificar el tipo de documento. Además de conocer también la fecha, hora, emisor, número de documentos incluidos, tipo de información, forma de envío y el usuario autorizado responsable de la recepción.
Accesos no autorizados
Es necesario contar con un mecanismo que se encargue de limitar el número de intentos de accesos no autorizados al sistema de datos personales.
Ubicación de equipos informáticos
Sólo el personal autorizado y designado en el documento de seguridad puede tener acceso a la ubicación de los equipos informáticos que se encargan de brindar soporte al sistema de información.
¿Qué tipos de sanciones podrían pesar sobre mí si no cumplo con estas medidas?
Las sanciones que impone la Ley Orgánica de Protección de Datos se establecen según la naturaleza de los derechos personales que se han visto afectados, a los daños y perjuicios causados, el grado de intencionalidad, al volumen de tratamientos efectuados y demás circunstancias de relevancia. No obstante, ¿Qué tipos de sanciones podrían pesar sobre mí si no cumplo con estas medidas?.
Veamos a continuación:
Infracciones leves
Las infracciones leves son motivo de sanciones entre 601,01 euros y 60.101,21 euros. Depende de la gravedad.
Algunos ejemplos son:
- No realizar la solicitud de inscripción del fichero en la Agencia Española de Protección de Datos. (AEPD).
- Hacer una recopilación de datos sin realizar una notificación previa.
- Hacer caso omiso a las solicitudes de cancelación o rectificación.
- No considerar las consultas de la AGPD.
Infracciones graves
En el caso de infracciones graves, las sanciones pueden ir entre los 60.101,21 euros hasta 300.506,25 euros.
Los casos incluyen:
- No realizar la debida inscripción del fichero a la AGPD.
- Recopilar datos para usarlos con una finalidad diferente.
- No contar con el consentimiento de las personas para tomar sus datos personales.
- No admitir el acceso a los ficheros.
- Conservar datos indexados o no llevar a cabo las solicitudes de modificación.
- No conservar los principios ni las garantías de la Ley Orgánica de Protección de Datos.
- Trabajar con datos protegidos sin la debida autorización.
- No realizar las notificaciones previstas por la LOPD a la AGPD.
- No contar con las debidas medidas de seguridad para conservar los ficheros.
Infracciones sumamente graves
En el caso de infracciones que sean sumamente graves, la cantidad de la sanción puede aumentar de 300.506,25 euros hasta los 601.012,1 euros.
Puedes ser sancionado si incurres en casos como:
- La creación de ficheros que desvelen datos que se encuentran protegidos.
- Recurrir al engaño o recopilar datos de manera fraudulenta.
- Recopilar datos protegidos sin la autorización del afectado.
- Obstaculizar o ignorar las solicitudes de rectificación o cancelación de manera sistemática.
- Vulnerar la confidencialidad de los datos protegidos.
- Comunicar o ceder datos personales sin estar permitido.
- No atender a las peticiones de la AGPD sobre el uso ilegítimo.
- Tratar los datos sin garantías y de forma ilegítima.
- Ignorar los requerimientos de la AGPD.
- Enviar datos de carácter personal de forma definitiva o temporal, sin autorización, a países que no cuenten con un nivel de protección equiparable.