Reglamento de desarrollo de la Ley Orgánica de Protección de Datos (España)
El Real Decreto 1720/2007, que deroga al Real Decreto 994/1999, de medidas de seguridad de los ficheros automatizados que contengan datos personales, supone una revisión enorme que refleja el peso que esta materia ha ido adquiriendo con el tiempo. Si el anterior reglamento constaba de 29 artículos, el actual consta de 158. Por otra parte, hay que destacar también el importante hecho de que a diferencia del anterior, regula también la medidas de seguridad aplicables a los tratamientos no automatizados (papel).
Real Decreto 1720/2007, de 21 de Diciembre de desarrollo de la Ley Orgánica de Protección de Datos | ||
---|---|---|
País | España | |
Título | Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal | |
Identificador Google Knowledge Graph | /g/11b6zq4_pl | |
Identificador del Boletín Oficial del Estado | BOE-A-2008-979 | |
Fecha de publicación | 19 de enero de 2008 | |
Una de las partes más relevantes del reglamento es el Título VIII (art. 79 a art. 114) que describe las medidas de seguridad en el tratamiento de datos, sean estos tratamientos automatizados o no automatizados.
Medidas de Seguridad
editarLas medidas concretas que el reglamento obliga cumplir dependen fundamentalmente de la naturaleza de los datos. En ese sentido, las medidas se estructuran a grandes rasgos de la siguiente forma:
- Medidas de nivel básico: se aplican a cualquier fichero o tratamiento de datos de carácter personal.
- Medidas de nivel medio: estas medidas se aplican cuando los datos personales abarcan información sobre infracciones administrativas o penales, servicios de información sobre solvencia patrimonial y crédito, datos de gestión tributaria, servicios financieros, de la Seguridad Social y mutuas, y datos que permiten la elaboración de un perfil de la personalidad del sujeto.
- Medidas de nivel alto: se aplican fundamentalmente a los datos especialmente protegidos (ideología, afiliación sindical, religión, creencias, salud, origen racial o vida sexual), a los datos con fines policiales recogidos sin consentimiento de las personas afectadas y los datos sobre violencia de género. Se definen además una serie de excepciones para las cuales es admisible la aplicación solamente de medidas de nivel básico para este tipo de datos. Por ejemplo: si los datos se utilizan con la única finalidad de realizar una transferencia dineraria a las entidades de las que los afectados sean asociados o miembro.
Según el nivel de seguridad aplicable a los datos, el reglamento define medidas de seguridad concretas que van desde cosas básicas como un registro de incidencias y asegurar la correcta identificación y autenticación de los usuarios que accedan a los datos personales, medidas de nivel medio como auditorías y control de acceso físico hasta medidas de nivel alto como el cifrado de las comunicaciones o un registro de acceso detallado que guarda cómo mínimo la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado.