Agencia española de protección de datos

Medidas de seguridad

El principio de seguridad de datos establecido en el artículo 9 de la Ley Orgánica 15/1999, impone al responsable del fichero adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado. Estas medidas han sido desarrolladas en el Título VIII – del Reglamento de desarrollo de la LOPD, aprobado por el Real Decreto 1720/2007, de 21 de diciembre.


  "Artículo 9. Seguridad de los datos.


  • 1. El responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.

  • 2. No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas.

  • 3. Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los ficheros y las personas que intervengan en el tratamiento de los datos a que se refiere el artículo 7 de esta Ley".

El Reglamento de desarrollo de la LOPD (RLOPD) ha regulado la materia de modo que contempla las múltiples formas de organización material y personal de la seguridad que se dan en la práctica. Así, se regula un conjunto de medidas destinadas a los ficheros y tratamientos estructurados y no automatizados que ofrezca a los responsables un marco claro de actuación.

El artículo 79 del RLOPD establece que los responsables de los tratamientos o los ficheros y los encargados del tratamiento deberán implantar las medidas de seguridad con arreglo a lo dispuesto en el Título VIII del Reglamento, con independencia de cual sea su sistema de tratamiento.

El artículo 80 del RLOPD señala que las medidas de seguridad exigibles a los ficheros y tratamientos se clasifican en tres niveles: básico, medio y alto y, a continuación, el artículo 81 especifica la aplicación de los niveles de seguridad a aplicar según el tipo de datos de carácter personal a tratar.

Por último, señalar entre las obligaciones del responsable se encuentra la de elaborar un documento de seguridad, que recogerá las medidas de índole técnica y organizativa acorde a la normativa de seguridad vigente que será de obligado cumplimiento para todos aquellos con acceso a datos de carácter personal y cuya concreción se encuentra en el artículo 88 del RLOPD.

Con el objeto de facilitar a los responsables de los ficheros la adopción de las disposiciones del RLOPD sobre medidas de seguridad, se ha elaborado una Guía de Seguridad de datos que incluye un cuadro resumen de medidas de seguridad, las comprobaciones para la realización de la auditoría de seguridad y un modelo de Documento de seguridad, que puede servir de guía en la aplicación de las previsiones del Reglamento.

AVISO IMPORTANTE

Debe entenderse, en cualquier caso, que siempre habrá de atenerse a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, en su Reglamento de desarrollo aprobado por el Real Decreto 1720/2007, de 21 de diciembre, y en el resto de previsiones relativas a la protección de datos de carácter personal, y que la utilización de esta guía debe, en todo caso, tener en cuenta los aspectos y circunstancias aplicables en cada caso concreto, sin prejuzgar el criterio de la Agencia Española de Protección de Datos en el ejercicio de sus funciones.

De conformidad con lo dispuesto en el artículo 44.3.h) de la Ley Orgánica 15/1999, constituye infracción grave el "Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen".

En relación con las medidas de seguridad, la AEPD ha publicado una nota informativa de interés para los responsables.