Diferencia entre revisiones de «Reglamento de desarrollo de la Ley Orgánica de Protección de Datos (España)»

El Real Decreto 1720/2007, que sucede al Real Decreto 994/1999, de medidas de seguridad de los ficheros automatizados que contengan datos personales, supone una revisión enorme que refleja el peso que esta materia ha ido adquiriendo con el tiempo. Si el anterior reglamento constaba de 29 artículos, el actual consta de 158, de modo que este apartado. Por otra parte, hay que destacar también el importante hecho de que a diferencia del anterior, regula también la medidas aplicables a los ficheros en papel.

Una de las partes más relevantes del reglamento es aquella dedicada a las medidas de seguridad aplicables a ficheros y tratamientos de ficheros automatizados y que se estructura en medidas de seguridad de nivel básico, medio y alto. Esta parta abarca desde el artículo 80 al artículo 104.

En primer lugar el responsable del fichero o tratamiento debe elaborar el documento de seguridad que recogerá las medidas de índole técnica y organizativa acordes a la normativa de seguridad vigente que será de obligado cumplimiento para el personal con acceso a los sistemas de información.

Medidas de Seguridad

Las medidas concretas que el reglamento obliga cumplir dependen fundamentalmente de la naturaleza de los datos. En ese sentido, las medidas se estructuran a grandes rasgos de la siguiente forma:

• Medidas de nivel básico: se aplican a cualquier fichero o tratamiento de datos de carácter personal.
• Medidas de nivel medio: estas medidas se aplican cuando los datos personales abarcan información sobre infracciones administrativas o penales, servicios de información sobre solvencia patrimonial y crédito, datos de gestión tributaria, servicios financieros, de la Seguridad Social y mutuas, y datos que permiten la elaboración de un perfil de la personalidad del sujeto.
• Medidas de nivel alto: se aplican fundamentalmente a los datos especialmente protegidos (ideología, afiliación sindical, religión, creencias, salud, origen racial o vida sexual), a los datos con fines policiales recogidos sin consentimiento de las personas afectadas y los datos sobre violencia de género. Se definen además una serie de excepciones para las cuales es admisible la aplicación solamente de medidas de nivel básico para este tipo de datos. Por ejemplo: si los datos se utilizan con la única finalidad de realizar una transferencia dineraria a las entidades de las que los afectados sean asociados o miembro.

Según el nivel de seguridad aplicable a los datos, el reglamento define medidas de seguridad concretas que van desde cosas básicas como un registro de incidencias y asegurar la correcta identificación y autenticación de los usuarios que accedan a los datos personales, medidas de nivel medio como auditorias y control de acceso físico hasta medidas de nivel alto como el cifrado de las comunicaciones o un registro de acceso detallado que guarda cómo mínimo la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado.

Enlaces externos

• Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (RLOPD)