Al mínimo LOPD debe sumarse la seguridad de datos personales

El sistema de protección de datos debe establecer una serie de estándares de seguridad de tipo organizativo y técnico-informático que deben ser cumplidos en el tratamiento de información de carácter personal. Entre otros, se resumen los siguientes como prioritarios.

ACCESO LÓGICO AL TRATAMIENTO DE DATOS AUTOMATIZADO.

Sólo los usuarios autorizados por la entidad responsable del uso de los datos personales deben acceder a los sistemas informáticos. Debe existir una relación actualizada de los usuarios que poseen permisos de acceso y tratamiento de la información. Dicha relación ha de mantener concordancia con los permisos establecidos a nivel informático. Los ficheros que tratan datos de nivel alto LOPD, de acuerdo con lo establecido por el art. 81 del R.D. 1720/2007 que desarrolla la LPD, han de registrar mediante archivos log la actividad realizada sobre ellos por los usuarios.

ACCESO LÓGICO AL TRATAMIENTO DE DATOS NO AUTOMATIZADO.

Sólo los usuarios autorizados por el documento de seguridad deben acceder a los sistemas informativos documentales. Por lo tanto tiene que existir una relación actualizada de los usuarios que poseen permisos de acceso y tratamiento de la información, aplicándose para ello medidas de seguridad en el acceso a los archivos documentales, los cuales se sitúan en zonas de acceso restringido al personal autorizado.

ACCESO FÍSICO A LAS INSTALACIONES en las cuales se encuentran los sistemas informáticos y los archivos de expedientes en papel.

Sólo el personal autorizado por el documento de seguridad LOPD puede contar con autorización y permisos para el acceso a estas instalaciones. Todos los armarios que contienen expedientes con datos personales se encuentran en sala cerrada con llave.

DESTRUCCIÓN DE SOPORTES.

Debe restringirse el uso de soportes externos de grabación de información. Igualmente, no debe liberalizarse de uso de papel borrador por cara B. La entidad debe contar con un número adecuado de destructoras de papel de gran capacidad, que estarán colocadas estratégicamente para facilitar la destrucción de documentos confidenciales por los usuarios autorizados. La situación de las destructoras en los locales de la entidad, así como la eficacia de las mismas, constituye un punto esencial en las auditorías de seguridad informativa que la entidad tiene que realizar bienalmente.

SALVAGUARDA DE FICHEROS.

La información automatizada ha de contar con copia de salvaguarda diaria. Dicha copia de seguridad si existen datos de nivel alto debe estar cifrada en centro alejado del centro de proceso de datos, lo cual garantizaría su recuperación en caso de desastre.