Acceso Clientes
  • La Universitat Politècnica de Catalunya actualiza su Web de Deportes con OMESA
  • El Ayuntamiento de Briviesca se suma a la gestión deportiva online DE OMESA
  • La Diputación de Burgos adquiere el software de OMESA para gestionar las actividades deportivas de la provincia
  • OMESA y La Ciudad de la Energía (Ponferrada)
  • Roquetas del Mar ha adjudicado un sistema de control biométrico a OMESA
  • OMESA incorpora nuevos elementos de información y venta
  • Éxito de la 1ª Jornada “OMESA Deporte”
  • JORNADA DE TRABAJO OMESA DEPORTE
  • LA UAM GESTIONA SUS ACTIVIDADES DEPORTIVAS CON EL PROGRAMA DE OMESA
  • Se instala en Plasencia el control de presencia de Omesa
 

Analizamos a fondo la Ley Orgánica de Protección de Datos

A fondo

El objeto de la Ley, como ella misma establece en su art. 1, es “garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas y especialmente de su honor e intimidad personal y familiar”. Una reciente sentencia del Tribunal Constitucional (292/2006) encuadra este nuevo derecho fundamental dentro del articulo 18 de la Constitución, y ha pasado a denominarse como derecho de autodeterminación informativa o libertad informativa.

Queda claro que la presente Ley ampara los datos personales de las personas físicas, entendiendo por “datos personales” (art. 3.a) “cualquier información concerniente a personas físicas identificadas o identificables”.

La protección se extiende a todos los registrados en soporte físico que los haga susceptibles de tratamiento (art 2.1) mantenidos tanto por empresas públicas o privadas como por particulares cuando traten datos de carácter personal en el ejercicio de su actividad profesional. Introduce esta Ley la novedad de incluir los ficheros en papel, siempre que sean susceptibles de tratamiento.

Por lo que prácticamente cualquier fichero que contenga datos de carácter personal de personas físicas (P.Ej. Nombre, Dirección, Teléfono, etc) estará protegido por la presente Ley, y las personas responsables de los mismos sometidos a sus obligaciones.

Aparece la figura del “Responsables del Fichero”, que es quien decide sobre la finalidad, contenido y uso del tratamiento de los datos personales. Puede ser una persona física o jurídica. Esta figura es la obligada a tomar una serie de medidas encaminadas a proteger los datos.

El incumplimiento de las obligaciones que la ley prescribe conllevará tanto sanciones administrativas, establecidas en la misma Ley y cuyos importes económicos van desde los 600 a los 600.000 euros, como sanciones civiles, penales y laborales. Se establecen sanciones por la utilización abusiva, fraudulenta e incluso simplemente negligente de dichos datos.

Las obligaciones básicas que impone la Ley y que las empresas públicas o privadas y particulares en el ejercicio de su actividad profesional deben cumplir son:

  • Proteger los derechos: Todos los datos de carácter personal que consten en archivos deben contar con el consentimiento del titular de los datos. Debe ser un consentimiento informado, el titular debe saber para qué se guardan estos datos y tener posibilidad de ejercer sus derechos de acceso, rectificación, cancelación u oposición al tratamiento de sus datos personales.
  • Comunicar los archivos: Todos los ficheros que contengan datos de carácter personal deben estar inscritos y legalizados ante la Agencia Española de Protección de Datos.
  • Documento de seguridad: Debe elaborarse un documento donde se establezcan las medidas tanto de carácter técnico como organizativas encaminadas a la protección de esos ficheros.


Los datos personales están clasificados reglamentariamente en tres niveles de protección y a cada nivel habrá que implementar unas medidas de seguridad que se establecen como mínimas y son acumulativas, a cada nivel siempre habrá que aplicarle las medidas del anterior más las propias.



TIPO DE DATOS

Nivel Básico
  • Nombre
  • Apellidos
  • Direcciones de contacto (tanto físicas como electrónicas)
  • Teléfono (tanto fijo como móvil)
  • Nº cuenta corriente
  • Otros

Nivel Medio
  • Comisión infracciones administrativas o penales
  • Información de Hacienda Pública
  • Información de servicios financieros
  • Información sobre solvencia patrimonial y crédito
  • Datos que permitan elaborar un perfil del afectado

Nivel Alto
  • Ideología
  • Religión
  • Creencias
  • Origen racial
  • Salud
  • Vida sexual


MEDIDAS DE SEGURIDAD OBLIGATORIAS

Nivel Básico
  • Documento de seguridad
  • Régimen de funciones y obligaciones del personal
  • Registro de incidencias
  • Identificación y autenticación de usuarios
  • Control de acceso
  • Gestión de soportes
  • Copias de respaldo y recuperación

Nivel Medio
  • Medidas de seguridad de nivel básico
  • Responsable de Seguridad
  • Auditoria bianual
  • Medidas adicionales de Identificación y autenticación de usuarios
  • Control de acceso físico
  • Medidas adicionales de gestión de soportes
  • Registro de incidencias
  • Pruebas sin datos reales

Nivel Alto
  • Medidas de seguridad de nivel básico y medio
  • Seguridad en la distribución de soportes
  • Registro de accesos
  • Medidas adicionales de copias de respaldo
  • Cifrado de telecomunicaciones


EL DOCUMENTO DE SEGURIDAD
Es la pieza clave de las medidas obligatorias impuestas por el RD 994/1999 de 11 de junio, por el que se aprueba el Reglamento de Medidas de Seguridad de los Ficheros Automatizados que contengan Datos de Carácter Personal. Deberá estar elaborado por el Responsable del Fichero y recoger el conjunto de medidas de carácter técnico y organizativo que está obligado a implantar el responsable del fichero a fín de garantizar la seguridad tanto de los locales, como equipos, programas, ficheros y del personal que los maneja.



LAS MEDIDAS TÉCNICAS Y ORGANIZATIVAS
Las medidas técnicas y organizativas establecidas por el Reglamento deben aplicarse sobre:

  • Los ficheros automatizados, entendidos como todo conjunto organizado de datos de carácter personal, cualquiera que fuere su forma o modalidad de creación, almacenamiento, organización y acceso.
  • Los centros de tratamiento, entendidos como los lugares habilitados donde se encuentran los ordenadores, equipos y servidores que almacenan la información.
  • Los locales, entendidos como aquellos lugares donde se encuentran físicamente ubicados los equipos y el personal que trata datos.
  • Los equipos, todo material en soporte físico que sirva para tratar y almacenar electrónicamente datos personales.
  • Los sistemas y programas informáticos que tratan los datos de carácter personal.
  • Las personas que acceden a los datos: personal laboral que, de acuerdo con sus funciones y obligaciones, interviene en cualquiera de las fases del tratamiento de los datos (recogida, grabación, conservación, elaboración, modificación, bloqueo, cancelación, consulta, etc...)



EL DOCUMENTO DE SEGURIDAD DEBERÁ TENER COMO MÍNIMO

  1. Ámbito de aplicación del documento con especificación detallada de los recursos protegidos.
  2. Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en este Reglamento.
  3. Funciones y obligaciones del personal.
  4. Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan.
  5. Procedimiento de notificación, gestión y respuesta ante las incidencias.
  6. Los procedimientos de realización de copias de respaldo y de recuperación de los datos.
  7. Copias de respaldo y recuperación.
  8. Identificación y Autenticación.
  9. Control de Acceso.

1.- Ámbito de aplicación
El Documento de Seguridad deberá expresar el ámbito de aplicación del mismo, con especificación detallada de los recursos protegidos. A modo de ejemplo, el Documento de Seguridad deberá contener las siguientes determinaciones:

  • Indicación de la empresa, entidad u organización de cualquier tipo a la que se aplica el Documento de Seguridad que se elabora.
  • Identificación del Responsable del Fichero y de la ubicación física del mismo.
  • Identificación de las personas a las que por tener acceso a los datos les sea de aplicación las medidas de seguridad establecidas en el documento.
  • Identificación de los ficheros protegidos, su finalidad, número de ordenadores que los manejas y ubicación de los mismos.


2.- Medidas, normas y procedimientos de seguridad
El Documento de Seguridad incluirá el conjunto de medidas, normas, procedimientos, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en Reglamento de Medidas de Seguridad, de acuerdo con el nivel de seguridad aplicable.

  • Se describirán detalladamente el sistema informático a través del cual se accede a los ficheros de datos, indicando los equipos informáticos existentes, aislados o conectados en red, sus características técnicas, la existencia de conexiones remotas y el tipo de las mismas (módem analógico, ADSL, RDSI, cable, etc), el sistema operativo utilizado, los sistemas de protección existentes como antivirus o firewalls y las características técnicas de los mismos.
  • Se expresarán las medidas de seguridad existentes, tanto las medidas de seguridad físicas del local en el que se ubiquen los ficheros como las medidas de seguridad con que cuente el sistema informático, como contraseñas: procedimiento de creación, asignación, conservación y cambio periódico.
  • Descripción y estructura informática del fichero (campos ID).
  • A los Ficheros Temporales se les aplicará los mismas medidas, normas y procedimientos de seguridad que a los ficheros de origen.


3.- Funciones y obligaciones del personal
En relación al personal deben indicarse los siguientes extremos:

  • Se mencionarán todas y cada una de las personas que tengan acceso a los datos incluidos en el fichero, con indicación de las funciones, obligaciones, perfiles y privilegio de acceso de cada uno de ellos en relación con los datos.
  • Se reconoce que estas personas están plenamente informadas de las normas y medidas de seguridad que les son aplicables.
  • Los trabajos fuera de la ubicación principal deberán estar expresamente autorizados.
  • Igualmente se mencionarán cualesquiera personas o empresas ajenas a la organización de que se trate que tengan acceso a los datos por razón de servicios que presten a la organización (por ejemplo, empresas de mantenimiento del hardware o del software).
  • Identificación de (los) Responsable(s) de Seguridad, que controla el control y la coordinación de las medidas de seguridad.
  • Se creará un listado del personal autorizado para tener acceso a los locales donde se encuentren ubicados los sistemas de información (acceso a Servidores y/o CPD)


4.- Estructura de los ficheros
El Documento de Seguridad debe expresar la estructura de los ficheros y la descripción de los sistemas de información que los tratan.

  • Se describirá la estructura de los ficheros que contienen los datos de carácter personal, sus características y la finalidad de los mismos.
  • Se describirán los programas informáticos utilizados para el tratamiento de los datos.


5.- Procedimiento de incidencias
Ha de contemplar un procedimiento de notificación, gestión y respuesta ante las incidencias, que implica contar con un Registro de Incidencias en el que se anotará lo siguiente:

  • Las incidencias que se produzcan que afecten a la seguridad de los datos. Tipo de incidencia.
  • El momento en que se han producido.
  • La persona que ha notificado la existencia de la incidencia y la persona a la que se comunica la incidencia.
  • El procedimiento seguido y las medidas adoptadas como consecuencia de la incidencia producida.
  • Procedimientos realizados para la recuperación de los datos, la persona que lo realiza y los datos restaurados y la forma.


6.- Procedimientos de copias de respaldo
Ha de contemplar un procedimiento de copias de respaldo y de recuperación de los datos.

  • Se expresará el procedimiento para la realización de copias de respaldo (copias de seguridad), así como el procedimiento para la recuperación de los datos, indicando los medios técnicos o programas que se utilizan para esas tareas.
  • Tales procedimientos deberán garantizar la reconstrucción de los datos en el estado en que se encontraban al tiempo de su pérdida o destrucción.
  • Se indicará la periodicidad con que se realicen las copias de respaldo o de seguridad, que deberá ser al menos de una copia por semana.
  • Autorización escrita del Responsable del Fichero para llevar a cabo la ejecución de los procedimientos de recuperación de datos.
  • Deberá conservarse una copia de respaldo y de los procedimientos de recuperación de los datos en lugar diferente de donde se encuentren los equipos informáticos. Ambos lugares deben cumplir iguales medidas de seguridad.


7.- Copias de respaldo
Los soportes informáticos que contengan datos de carácter personal deben cumplir los siguientes requisitos:

  • Deben estar etiquetados de forma que permitan conocer la información que contienen.
  • Deben ser inventariados.
  • Deben almacenarse en un lugar al que sólo tenga acceso el personal autorizado para ello en el propio Documento de Seguridad.
  • Sólo podrán salir del local donde este ubicado el fichero bajo autorización del Responsable del Fichero.
  • Sistema de registro de Entrada de soportes, con el tipo de soporte, fecha, hora, destinatario, número de soportes, información que contienen, forma de envío y persona que lo recepciona, que deberá estar autorizada.
  • Sistema de registro de Salida de soportes, con el tipo de soporte, fecha, hora, destinatario, número de soportes, información que contienen, forma de envío y persona que lo entrega, que deberá estar autorizada.
  • Medidas y procedimientos para la destrucción de soportes.
  • Cuando los soportes vayan a salir de su ubicación por operaciones de mantenimiento, habrá que cifrar el contenido para evitar recuperaciones indebidas de la información.
  • La distribución de los soportes se hará cifrando los datos para que no sean inteligibles durante su transporte (cifrado).


8.- Identificación y Autenticación
En orden a la identificación y autenticación de los usuarios debe preverse lo siguiente:

  • El Responsable del Fichero mantendrá una relación actualizada de usuarios con derecho de acceso al sistema de información que contenga los datos personales.
  • Establecerá igualmente un sistema de identificación (reconocimiento de la identidad ¿Quién soy?) y autenticación (comprobación de la identidad ¿Soy quien pretendo ser?) de tales usuarios.
  • Cuando la autenticación de los usuarios se base en la existencia de contraseñas, éstas deberán cumplir los siguientes requisitos:
    • Se establecerá un sistema de asignación, distribución y almacenamiento de las mismas que garantice su integridad y confidencialidad.
    • Las contraseñas se almacenarán de forma ininteligible.
    • Las contraseñas se cambiarán con la periodicidad que señale el Documento de Seguridad.
  • Procedimientos de identificación y autenticación informáticos
    • Identificación de usuario, de manera inequívoca y personalizada.
    • Limitación de acceso incorrecto reiterado


9.- Control de acceso
La entrada tanto en los ficheros que contienen los datos, como en el sistema informático y en los recintos donde se ubican los procesadores de datos deberán estar controlados:

  • Los usuarios tendrán únicamente acceso a los datos/recursos de acuerdo a su puesto laboral y tareas definidas en el documento.
  • Deberán implantarse mecanismos que eviten el acceso no autorizado a otros recursos: p.ej establecimiento de perfiles de usuario.
  • Para accesos a través de redes de telecomunicaciones, deberán tener las mismas medidas que para accesos en modo local.
  • Exclusivamente el personal autorizado podrá acceder físicamente al recinto a local donde se encuentren ubicados los servidores o CPD.
  • De cada acceso se guardarán: identificación usuario, fecha y hora, fichero accedido, tipo de acceso y su autorización o denegación, guardando la información que permita identificar el registro accedido.
  • Los mecanismos de acceso estarán bajo el control directo del Responsable de Seguridad, sin que pueda permitirse la desactivación.
  • El período mínimo de conservación de los datos registrados será de dos años.



PRUEBAS CON DATOS REALES
Aplicación de mismas medidas según nivel de seguridad de los datos



ACTUALIZACIÓN Y AUDITORIA
Aplicación de mismas medidas según nivel de seguridad de los datos. Auditoria cada 2 años. Conservación de Informe a disposición Agencia Española de Protección de Datos (AEPD). Revisión periódica de la información de control de los accesos informáticos a ficheros y aplicaciones.


Medidas específicas para datos en soporte papel
Aunque el Real Decreto no especifica concretamente qué medidas técnicas u organizativas deben de implementarse para la protección de los datos de carácter personal mantenidos en este tipo de soporte (el Real Decreto es anterior a la Ley, y por tanto no recoge la novedad incluida en esta de amparar todos los datos personales en cualquiera que sea el soporte donde se mantenga para su tratamiento), se puede mantener que las obligaciones son:

  1. Control de acceso a la documentación.
  2. Medidas de conservación y almacenamiento.
  3. Procedimientos y mecanismos de destrucción que impidan posterior recuperación de la información que contienen.

OMESA Informática pone a su disposición diversos productos para cumplir fácilmente con las obligaciones que la Ley Orgánica de Protección de Datos Personales impone a particulares y empresas.

El programa de Control de Accesos que cumple con los requisitos de Nivel Alto de seguridad y protección de los datos personales. Sencillo y fácil de instalar, se integra perfectamente.

No hay nada más seguro y fiable para la identificación y autenticación de una persona que su huella dactilar,OMESA Informática comercializa dispositivos que emplean esta técnica.

FingerScan V70 para controles de acceso; plenamente integrable en sistemas ya creados, incluso puede añadirse el uso de tarjetas y códigos PIN para hacer el sistema de una seguridad máxima (algo que se tenga – huella dactilar-; algo que se lleve- una tarjeta-; algo que se conozca- un código PIN).

También disponemos de dispositivos de seguridad para sus ordenadores, el Bio Touch USB 500 es el elemento perfecto para autentificar la identidad de la persona que accede a los sistemas y programas. Con un software compatible con sistemas Windows.

Y los portátiles pueden ser protegidos por el Biotouch PCMCIA es un lector de huellas dactilares montado en una tarjeta PC de tipo II, se complementa con el software de Biologon Cliente que le permitirá controlar quien accede a su portátil.



 
Utilizamos cookies propias y de terceros para mejorar la experiencia de navegación. Si continua navegando consideramos que acepta el uso de cookies. OK Más información