La base de datos de nuestros trabajadores que estamos diseñando, ¿qué niveles de seguridad y confidencialidad deben guardar según la ley española?

Según la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y sus reglamentos de desarrollo. Los datos personales recabados a través de www.solucionesong.org son objeto de tratamiento automatizado y se incorporan a un fichero titularidad de solucionesong, que es asimismo la responsable del expresado fichero. Conforme a la normativa española aplicable, este Fichero debe de encuentrase inscrito en el Registro General de Protección de Datos con el código de inscripción determinado


según http://www.informatica-juridica.com


CARGOS DE LOS FICHEROS DE DATOS PERSONALES

Hasta 3 tipos de cargos relacionados con los ficheros de datos personales se pueden distinguir en la Ley y el Reglamento:

-Responsable del fichero: en todos los niveles de seguridad. El principal encargado, sujeto a la normativa sancionadora. Deberá adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal en los términos establecidos en el Reglamento. Autoriza la ejecución de tratamiento de datos de carácter personal fuera de los locales de la ubicación del fichero. Elaborará el Documento de Seguridad. Adoptará las medidas necesarias para que el personal conozca las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias a que daría lugar su incumplimiento. Se encargará de que exista una relación actualizada de usuarios que tengan acceso autorizado al Sistema de Información. Establecerá los procedimientos de identificación y autenticación para dicho acceso. Establecerá mecanismos para evitar que un usuario pueda acceder a datos o recursos con derechos distintos de los autorizados. Será quien únicamente pueda autorizar la salida fuera de los locales en que esté ubicado el fichero de soportes informáticos que contengan datos de carácter personal. Verificará la definición y correcta aplicación de los procedimientos de realización de copias de respaldo y de recuperación de datos. Designará uno o varios responsables de seguridad. Adoptará las medidas correctas necesarias en función de lo que se diga en el informe de auditoría. Establecerá un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al Sistema de Información y la verificación de que esté autorizado. Autorizará por escrito la ejecución de los procedimientos de recuperación.

-Encargado del Tratamiento: se conecta con la figura del tercero que accede a los datos. Igualmente, sujeto a la normativa sancionadora. En todos los niveles de seguridad. Debe cumplir con las Medidas de Seguridad pertinentes, a tenor de tipo de dato al que acceda.

-Responsable de Seguridad: Coordina todas las acciones de seguridad. Nombrado por el Responsable de Seguridad, pueden ser la misma persona y sólo es obligatorio para los niveles medio y alto. No está sujeto a la normativa de responsabilidad sancionadora de la Ley. Pueden ser uno o varios. Coordinará y controlará las medidas definidas en el Documento de Seguridad. No tiene delegada la responsabilidad que le corresponde al responsable del fichero. Analizará los informes de auditoría. Elevará las conclusiones del análisis al responsable del fichero. Controlará los mecanismos que permiten el registro de accesos. Revisará periódicamente la información de control registrada

Cada uno de ellos deberá estar perfectamente identificado en los documentos de seguridad. Todos están obligados por Ley (artículo 10) al secreto profesional de los datos. La vulneración del deber de secreto constituye infracción leve, grave o muy grave a tenor de la naturaleza de los datos almacenados que, en función de su mayor o menor relación con las exigencias de privacidad, requieren Medidas de Seguridad distintas.


para más información

http://www.ag-protecciondatos.es/

https://www.agenciaprotecciondatos.org/

La consulta realizada es ciertamente amplia.- No obstante, de manera gráfica trataré de responder a ella.-
El art. 9 de la Ley Orgánica 15/1999 (LOPD) exige la adopción de medidas de seguridad por parte del responsable del fichero y, en su caso, por parte del encargado del tratamiento de los datos, y añade que reglamentariamente se determinarán los requisitos y condiciones de tales ficheros.- Tal desarrollo reglamentario aún no se ha producido, por lo que hemos de entender vigente el Reglamento de Medidas de Seguridad de los Ficheros Automatizados que contengan Datos de Carácter Personal, aprobado por Real Decreto 994/1999, anterior a la LOPD.-
Aunque no se especifica en ningún texto legal cuales son las medidas de seguridad adecuadas, el Reglamento antes citado ha establecido tres niveles de seguridad: básico, medio y alto, atendiendo a la naturaleza de la información tratada.-
El nivel básico es de aplicación a todos los ficheros y tratamientos de datos, cualquiera que sea su contenido, tamaño y finalidad, y su contenido mínimo se detalla en el art. 8 del Reglamento.-
El nivel medio es aplicable a los ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda, servicios financieros, y prestación de servicios de solvencia patrimonial y crédito.-
El nivel alto es aplicable a los ficheros que contengan datos especialmente protegidos, como ideología, religión, creencias, origen racial, salud, intimidad sexual, etc.-
Entiendo que su fichero debe cumplir únicamente las medidas de seguridad previstas en el nivel básico, la principal de las cuales es el denominado documento de seguridad, a redactar por el responsable del tratamiento, y que debe estar actualizado, y en el cual deben figurar el ámbito de aplicación, procedimientos para evitar filtraciones, reglas de uso, obligaciones del personal, , estructura, procedimiento de notificación y gestión de incidencias, así como la posibilidad de realizar copias de respaldo.-
En todo caso, corresponde al responsable del fichero la determinación de tales medidas de seguridad que, repito, no vienen especificadas en cuerpo legal alguno.-
Finalmente, es necesaria la inscripción del fichero en el Registro General de Protección de Datos (art. 39 LOPD).- En caso de que se considere que el fichero no es adecuado, está prevista la posibilidad de subsanación de posibles errores en plazo de diez días.-
Quedo a su disposición para cualquier consulta o aclaración.-
Esta respuesta no es vinculante.-