NIVELES DE SEGURIDAD LOPD

Las medidas de seguridad exigibles a los ficheros y tratamientos de datos personales se clasifican en
tres niveles acumulativos: BÁSICO, MEDIO y ALTO. Esta clasificación se realiza atendiendo a la
naturaleza de la información tratada, en relación con la menor o mayor necesidad de garantizar la
confidencialidad y la integridad de la información.

A continuación se indican los ficheros y tratamientos a los que corresponde aplicar las medidas de
seguridad relativas a cada uno de los niveles que determina el RLOPD.

NIVEL ALTO.
Ficheros o tratamientos con datos de:

 Ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual y respecto
de los que no se prevea la posibilidad de adoptar el nivel básico;
 Recabados con fines policiales sin consentimiento de las personas afectadas; y derivados de
actos de violencia de género.

NIVEL MEDIO.
Ficheros o tratamientos con datos:

 Relativos a la comisión de infracciones administrativas o penales; que se rijan por el artículo

29 de la LOPD (prestación de servicios de solvencia patrimonial y crédito) ; de Administraciones
tributarias, y que se relacionen con el ejercicio de sus potestades tributarias; de entidades
financieras para las finalidades relacionadas con la prestación de servicios financieros; de
Entidades Gestoras y Servicios Comunes de Seguridad Social, que se relacionen con el ejercicio
de sus competencias; de mutuas de accidentes de trabajo y enfermedades profesionales de
la Seguridad Social; 8 que ofrezcan una definición de la personalidad y permitan evaluar
determinados aspectos de la misma o del comportamiento de las personas; y de los
operadores de comunicaciones electrónicas, respecto de los datos de tráfico y localización.

NIVEL BÁSICO.

 Cualquier otro fichero que contenga datos de carácter personal. También aquellos ficheros
que contengan datos de ideología, afiliación sindical, religión, creencias, salud, origen racial o
vida sexual, cuando: los datos se utilicen con la única finalidad de realizar una transferencia
dineraria a entidades de las que los afectados sean asociados o miembros; se trate de ficheros
o tratamientos de estos tipos de datos de forma incidental o accesoria, que no guarden
relación con la finalidad del fichero; y en los ficheros o tratamientos que contengan datos de
salud, que se refieran exclusivamente al grado o condición de discapacidad o la simple
declaración de invalidez, con motivo del cumplimiento de deberes públicos.

Las medidas de seguridad de nivel básico son exigibles en todos los casos. Las medidas de nivel medio
complementan a las anteriores en el caso de ficheros clasificados en este nivel, y las de nivel alto,
cuando deban adoptarse, incluyen también las de nivel básico y medio.
 CUADRO RESUMEN MEDIDAS DE SEGURIDAD

Reglamento de medidas de seguridad de los ficheros que contengan datos de carácter personal (RD 994/1999)

Nivel básico: Ficheros que contengan datos de carácter personal.

Nivel medio: Ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios
financieros y los que se rijan por el artículo 29 de la LOPD (prestación de servicios de solvencia y crédito).
Nivel alto: Ficheros que contengan datos de ideología, religión, creencias, origen racial, salud o vida sexual así como los recabados para
fines policiales sin consentimiento de las personas afectadas.

NIVEL BÁSICO
NIVEL MEDIO
NIVEL ALTO
DOCUMENTO DE

- Ambito de aplicación. - Identificación del responsable de seguridad.

SEGURIDAD

- Medidas, normas, procedimientos reglas y estándares de seguridad.
- Funciones y obligaciones del personal.
- Estructura y descripción de ficheros y sistemas de información.
- Procedimiento de notificación, gestión y respuesta ante incidencias.
- Proced. realización copias de respaldo y recuperación de datos.
- Control periódico del cumplimiento del documento.
- Medidas a adoptar en caso de reutilización o desecho de
soportes.

- Funciones y obligaciones claramente definidas y documentadas.

PERSO
NAL

- Difusión entre el personal, de las normas que les afecten y de las

consecuencias por incumplimiento.

- Registrar tipo de incidencia, momento en que se ha producido, - Registrar realización de procedimientos de recuperación de los
INCIDEN
CIAS

persona que la notificia, persona a la que se comunica y efectos datos, persona que lo ejecuta, datos restaurados y grabados
derivados. manualmente.
- Autorización por escrito del responsable del fichero para su
recuperación.
IDENTIFICAIÓN Y
AUTENTICACIÓN

- Relación actualizada de usuarios y accesos autorizados.
- Procedimientos de identificación y autenticación.
- Criterios de accesos.
- Procedimientos de asignación y gestión de contraseñas y
periodicidad con que se cambian.
- Almacenamiento ininteligilble de contraseñas activas.
- Se establecerá el mecanismos que permita la identificación de
forma inequívoca y personalizada de todo usuario y la
verificación de que está autorizado.
- Límite de intentos reiterados de accceso no autorizado.

- Cada usuario accederá únicamente a los datos y recursos - Control de acceso físico a los locales donde se encuenetren
CONTROL

ACCESO

necesarios para el desarrollo de sus funciones. ubicados los sistemas de información.

DE

- Mecanismos que eviten el acceso a datos o recursos con derechos

distintos de los autorizados.
- Concesión de permisos de acceso sólo por personal autorizado.

- Identificar el tipo de información que contienen. - Registro de entrada y salida de soportes. - Cifrado de datos en la
GESTIÓN DE
SOPORTES

- Inventario. - Medidas para impedir la recuperación posterior de información de distribución de soportes.

- Almacenamiento con acceso restringido. un soporte que vaya a ser desechado o reutilizado.
- Salida de soportes autorizada por el responsable del fichero. - Medidas que impidan la recuperación indebida de la información
almacenada en un soporte que vaya a salir como consecuencia
de operaciones de mantenimiento.

- Verificar la definición y aplicación de los procedimientos de copias y - Copia de respaldo y

RESPALDO
COPIAS DE

recuperación. procedimientos de recuperación

- Garantizar la reconstrucción de los datos en el estado en que se en lugar diferente del que se
encontraban en el momento de producirse la pérdida o destrucción. encuentren los equipos.
- Copia de respaldo, al menos semanal.

- Uno o varios nombrados por el responsable del fichero.

RESPON
SABLE

- Encargado de coordinar y controlar las medidas del documento.

- No supone delegación de responsabilidad del responsable del
fichero.

- Solo se realizarán si se asegura el nivel de seguridad

PRUE
BAS

correspondiente al tipo de fichero tratado.

- Bianual, interna o externa.

AUDITORIA

- Adecuación de las medidas y controles.

- Deficiencias y propuestas correctoras.
- Análisis del responsable de seguridad y conclusiones al
responsable del fichero,
- Adopción de las medidas correctoras adecuadas.

- Registrar usuario, hora, fichero,

REGISTRO

ACCESOS

tipo acceso y registro accedido.

DE

- Control del responsable de

seguridad. Informe mensual.
- Conservación 2 años.
CIONES
COMU

- Transmisión de datos cifrada.

TELE

NICA

- Los niveles son acumulativos y tienen la condición de mínimos exigibles.

- Los accesos a través de redes de telecomunicaciones deben garantizar un nivel de seguridad equivalente al de los accesos en modo local.
- La ejecución de trabajos fuera de los locales de la ubicación del fichero debe ser expresamente autorizada por el responsable del fichero y garantizar el nivel
de seguridad.
- Los ficheros temporales deberán cumplir el nivel de seguridad correspondiente y serán borrados una vez que hayan dejado de ser necesarios.
- Los ficheros de nivel básico que contengan datos que permitan obtener una evaluación de la personalidad del individuo deberan garantizar, además de las
medidas de nivel básico, las de nivel medio relativas a auditoria, identificación y autenticación, control de acceso físico y gestión de soportes.