Segons la LOPD, les empreses han d'adoptar les mesures de caràcter tècnic, organitzatiu i jurídic que garanteixin la seguretat de les dades de caràcter personal i evitin la seva alteració, pèrdua, tractament o accés no autoritzat.
Guia de 5 passos per complir la llei de protecció de dades
Mesures de seguretat de la LOPD
1. Segons la Llei orgànica 15/1999, de 13 de desembre, de
protecció de dades de caràcter personal
03/09/2013 1Protectat Consultoria LOPD · www.protectat.es
2. Abast
Els responsables dels tractaments o els fitxers i els
encarregats del tractament han d’implantar les
mesures de seguretat d’acord amb la LOPD.
03/09/2013 2Protectat Consultoria LOPD · www.protectat.es
3. Nivells de seguretat
Les mesures de seguretat exigibles als fitxers i
tractaments es classifiquen en tres nivells: bàsic, mitjà
i alt.
03/09/2013 3Protectat Consultoria LOPD · www.protectat.es
4. Aplicació dels nivells de seguretat
Tots els fitxers o tractaments de dades personals han
d’adoptar les mesures de seguretat qualificades de
nivell bàsic.
S’han d’implantar les mesures de nivell mitj{ en els
fitxers de dades personals de comissió d’infraccions
administratives o penals.
S’han d’implantar les mesures de nivell mitj{ en els
fitxers de dades personals de les administracions
tributàries.
03/09/2013 4Protectat Consultoria LOPD · www.protectat.es
5. Aplicació dels nivells de seguretat
S’han d’implantar les mesures de nivell mitj{ en els
fitxers de dades personals de les entitats financeres.
S’han d’implantar les mesures de nivell mitj{ en els
fitxers de dades personals de les entitats gestores i
Seguretat Social.
S’han d’implantar les mesures de nivell mitj{ en els
fitxers de dades personals que ofereixin una definició
de la personalitat.
03/09/2013 5Protectat Consultoria LOPD · www.protectat.es
6. Aplicació dels nivells de seguretat
S’han d’implantar les mesures de nivell alt en els fitxers
que es refereixin a dades
d’ideologia, religió, creences, raça i salut.
S’han d’implantar les mesures de nivell alt en els fitxers
que continguin o es refereixin a dades obtingudes per a
fins policials.
S’han d’implantar les mesures de nivell alt en els fitxers
que continguin dades derivades d’actes de violència de
gènere.
03/09/2013 6Protectat Consultoria LOPD · www.protectat.es
7. Aplicació dels nivells de seguretat
S’han d’implantar les mesures de nivell alt en fitxers els
responsables dels quals siguin els operadors de serveis
de comunicacions.
S’han d’implantar mesures de seguretat de nivell b{sic
quan les dades s’utilitzin amb l’única finalitat de
realitzar una transferència dinerària.
S’han d’implantar mesures de seguretat de nivell b{sic
quan es tracti de fitxers on de forma incidental
s’incloguin dades personals.
03/09/2013 7Protectat Consultoria LOPD · www.protectat.es
8. Aplicació dels nivells de seguretat
S’han d’implantar mesures de seguretat de nivell b{sic
en els fitxers referents exclusivament al grau de
discapacitat.
Les mesures incloses en cadascun dels nivells tenen la
condició de mínims exigibles.
És aplicable en cada cas el nivell de mesures de
seguretat corresponent i sempre que es puguin
delimitar les dades afectades i usuaris.
03/09/2013 8Protectat Consultoria LOPD · www.protectat.es
9. Encarregat del tractament
Si l’encarregat de tractament presta els seus serveis en
els locals del responsable s’ha de fer constar en el
document de seguretat.
Si l’encarregat de tractament presta els seus serveis en
els locals del responsable el personal ha de complir les
mesures de seguretat.
Quan l’accés sigui remot s’ha de fer constar aquesta
circumstància en el document de seguretat del
responsable.
03/09/2013 9Protectat Consultoria LOPD · www.protectat.es
10. Encarregat del tractament
Quan l’accés sigui remot el personal de l’encarregat
s’ha de comprometre al compliment de les mesures de
seguretat.
Si el servei el presta l’encarregat del tractament en els
seus propis locals ha d’elaborar un document de
seguretat.
L’accés a les dades per part de l’encarregat del
tractament està sotmès a les mesures de seguretat de la
LOPD.
03/09/2013 10Protectat Consultoria LOPD · www.protectat.es
11. Prestacions de serveis sense accés
a dades personals
El responsable ha d’adoptar mesures per limitar accés
del personal a dades personals per treballs sense
tractament de dades personals.
Quan es tracti de personal aliè el contracte de
prestació de serveis ha de recollir la prohibició
d’accedir a dades personals.
03/09/2013 11Protectat Consultoria LOPD · www.protectat.es
12. Delegació d’autoritzacions
Les autoritzacions del responsable del fitxer o
tractament poden ser delegades en les persones
designades a aquest efecte.
03/09/2013 12Protectat Consultoria LOPD · www.protectat.es
13. Accés a dades a través de xarxes
de comunicacions
Les mesures de seguretat als accessos a través de xarxes
de comunicacions han de garantir un nivell de
seguretat equivalent al local.
03/09/2013 13Protectat Consultoria LOPD · www.protectat.es
14. Règim de treball fora dels locals
del responsable del fitxer o
encarregat del tractament
Quan les dades personals s’emmagatzemin en
dispositius portàtils o es tractin fora dels locals és
necessària una autorització.
L’autorització ha de constar en el document de
seguretat i es pot establir per a un usuari o per a un
perfil d’usuaris.
03/09/2013 14Protectat Consultoria LOPD · www.protectat.es
15. Fitxers temporals o còpies de
treball de documents
Els fitxers temporals o còpies de documents han de
complir el nivell de seguretat que els correspongui.
Qualsevol fitxer temporal o còpia de treball creat s’ha
d’esborrar o destruir una vegada deixi de ser necessari.
03/09/2013 15Protectat Consultoria LOPD · www.protectat.es
16. El document de seguretat
El responsable del fitxer o tractament ha d’elaborar un
document de seguretat que reculli les mesures d’índole
tècnica i organitzativa.
El document de seguretat és de compliment obligat
per al personal amb accés als sistemes d’informació.
El document de seguretat pot ser únic i ha d’incloure
tots els fitxers o bé individualitzat per a cada fitxer o
tractament.
03/09/2013 16Protectat Consultoria LOPD · www.protectat.es
17. El document de seguretat
El document ha de contenir àmbit
d’aplicació, mesures, normes, procediments
d’actuació, regles i est{ndards.
Per al fitxers amb mesures de nivell mitjà o alt el
document ha de contenir el responsable de seguretat i
els controls periòdics.
Quan existeixi un tractament de dades per compte de
tercers el document de seguretat ha de contenir la
identificació dels seus fitxers.
03/09/2013 17Protectat Consultoria LOPD · www.protectat.es
18. El document de seguretat
En els casos en què dades personals d’un fitxer
s’incorporin en sistemes de l’encarregat el responsable
ho ha d’anotar en el document.
El document de seguretat s’ha de mantenir actualitzat
en tot moment i s’ha de revisar sempre que es
produeixin canvis.
El contingut del document de seguretat sempre s’ha
d’adequar a les disposicions vigents en matèria de
seguretat de dades personals.
03/09/2013 18Protectat Consultoria LOPD · www.protectat.es
19. Funcions i obligacions del personal
Les funcions i obligacions de cadascun dels usuaris o
perfils d’usuaris han d’estar clarament definides i
documentades.
S’han de definir les funcions de control o
autoritzacions delegades pel responsable del fitxer o
tractament.
El responsable del fitxer ha d’adoptar les mesures
necessàries perquè el personal conegui les normes de
seguretat que l’afectin.
03/09/2013 19Protectat Consultoria LOPD · www.protectat.es
20. Registre d’incidències
Hi ha d’haver un procediment de notificació i gestió
d’incidències que afectin les dades personals i s’ha
d’establir un registre.
03/09/2013 20Protectat Consultoria LOPD · www.protectat.es
21. Control d’accés
Els usuaris han de tenir accés només als recursos que
necessitin per a l’exercici de les seves funcions.
El responsable del fitxer s’ha d’encarregar que hi hagi
una relació actualitzada d’usuaris i perfils d’usuaris i
accessos autoritzats.
El responsable del fitxer ha d’establir mecanismes per
evitar l’accés d’un usuari a recursos amb drets diferents
dels autoritzats.
03/09/2013 21Protectat Consultoria LOPD · www.protectat.es
22. Control d’accés
Exclusivament el personal autoritzat pot
concedir, alterar o anul·lar l’accés autoritzat sobre els
recursos.
En cas que existeixi personal aliè ha d’estar sotmès a
les mateixes condicions i obligacions de seguretat que
el personal propi.
03/09/2013 22Protectat Consultoria LOPD · www.protectat.es
23. Gestió de suports i documents
Els suports i documents que continguin dades
personals han de permetre identificar el tipus
d’informació que contenen.
La sortida de suports i documents que continguin
dades personals l’ha d’autoritzar el responsable del
fitxer.
En el trasllat de la documentació s’han d’adoptar
mesures dirigides a evitar la sostracció o pèrdua de la
informació o l’accés indegut.
03/09/2013 23Protectat Consultoria LOPD · www.protectat.es
24. Gestió de suports i documents
Sempre que s’hagi de rebutjar qualsevol document o
suport que contingui dades personals s’ha de destruir o
esborrar.
La identificació de suports que continguin dades
personals sensibles es pot realitzar utilitzant sistemes
d’etiquetatge comprensibles.
03/09/2013 24Protectat Consultoria LOPD · www.protectat.es
25. Identificació i autenticació
El responsable del fitxer o tractament ha d’adoptar les
mesures que garanteixin la correcta identificació i
autenticació dels usuaris.
El responsable del fitxer o tractament ha d’establir un
mecanisme que permeti la identificació de forma
inequívoca i personalitzada.
03/09/2013 25Protectat Consultoria LOPD · www.protectat.es
26. Identificació i autenticació
Quan el mecanisme d’autenticació es basi en
contrasenyes hi ha d’haver un procediment que
garanteixi la confidencialitat i integritat.
El document de seguretat ha d’establir la periodicitat
amb què s’han de canviar les contrasenyes.
03/09/2013 26Protectat Consultoria LOPD · www.protectat.es
27. Còpies de seguretat i recuperació
S’han d’establir procediments d’actuació per fer com a
mínim setmanalment còpies de seguretat.
S’han d’establir procediments per a la recuperació de
les dades que garanteixin en tot moment la
reconstrucció a l’estat previ.
03/09/2013 27Protectat Consultoria LOPD · www.protectat.es
28. Còpies de seguretat i recuperació
El responsable del fitxer s’ha d’encarregar de verificar
cada sis mesos els procediments de còpies de seguretat
i recuperació de dades.
Les proves anteriors a la implantació o modificació
dels sistemes d’informació no s’han de fer amb dades
reals.
03/09/2013 28Protectat Consultoria LOPD · www.protectat.es
29. Criteris d’arxivament
L’arxivament dels suports o documents s’ha de fer
d’acord amb els criteris que preveu la seva respectiva
legislació.
03/09/2013 29Protectat Consultoria LOPD · www.protectat.es
30. Dispositius d’emmagatzematge
Els dispositius d’emmagatzematge de documents que
continguin dades personals han de disposar de
mecanismes que obstaculitzin obertura.
03/09/2013 30Protectat Consultoria LOPD · www.protectat.es
31. Custòdia dels suports
Mentre la documentació amb dades personals no
estigui arxivada en els dispositius d’emmagatzematge
s’ha de custodiar.
03/09/2013 31Protectat Consultoria LOPD · www.protectat.es