Quelles sont les mesures de sécurité pour les fichiers manuels selon la LOPD? Liste 2020
Lorsque nous parlons de mesures de sécurité ou de protection des données, nous pensons automatiquement à ce que sont les bases de données informatisées , car elles sont les plus dangereuses aujourd’hui, et où une grande quantité d’informations précieuses est également stockée .
La protection des fichiers manuels est devenue un droit fondamental dans la Constitution espagnole, où le titulaire de ce droit se voit accorder le pouvoir de contrôler ses données et d’en disposer et de les décider. C’est ainsi que la «loi organique sur la protection des données» (LOPD) et les règlements élaborés par le décret royal 1720/2007 précisent et développent ce droit à la protection.
Tout cela est apparu comme une nécessité pour protéger les données personnelles, en les empêchant d’être utilisées de manière inappropriée par un tiers ou sans le consentement du propriétaire. Conformément à cela, nous allons ici expliquer un peu plus l’importance de l’application de ces mesures de la LOPD , ainsi que les niveaux de sécurité disponibles .
Pourquoi est-il important d’appliquer des mesures de sécurité aux fichiers?
Ce n’est un secret pour personne que la confidentialité et la sécurité sont deux des facteurs les plus importants à tout moment, en particulier dans les fichiers où des données personnelles très importantes sont traitées et qui ne peuvent pas être manipulées par des tiers sans autorisation préalable. du titulaire .
Conformément à cela, nous vous montrons ici les principales raisons pour lesquelles ces mesures de sécurité doivent être appliquées aux fichiers:
- Lorsqu’il s’agit de données personnelles, il faut tenir compte du fait qu’il s’agit d’actifs très précieux pour les entreprises, il vaut donc la peine de s’en occuper.
- Lorsque vous disposez d’informations ordonnées et systématisées, cela vous aidera à maintenir et à améliorer la qualité des opérations commerciales .
- Si l’ entreprise offre et garantit la protection des données personnelles de chacun de ses travailleurs, elle pourra alors offrir une plus grande confiance au public.
- Ces mesures de sécurité permettent à l’entreprise de s’orienter vers un environnement de plus grande sécurité et confidentialité .
- S’adapter à la réglementation sur la protection des données est très simple , vous n’aurez donc pas de complications.
- La protection des données est considérée comme un droit fondamental , c’est pourquoi chaque entreprise est tenue d’assurer la garantie et le respect de chacun des utilisateurs .
Liste des principales mesures de sécurité de haut niveau pour les fichiers non automatisés
Les mesures de sécurité pour les fichiers de données sont classés en trois niveaux de protection , comme est le niveau de base, niveau intermédiaire et de haut niveau. Conformément à cela, nous allons ici expliquer un peu plus en quoi consiste le haut niveau des fichiers non automatisés, ce qui vous aidera à garantir la confidentialité et l’intégrité des informations stockées dans lesdits fichiers selon la LOPD .
Dans le cas du niveau élevé, il est utilisé spécifiquement pour les fichiers qui se réfèrent à des données sur la religion, les idéologies, l’union, les convictions, l’affiliation, la vie sexuelle, la santé ou l’origine raciale. Ainsi que tous les fichiers qui contiennent ou font référence à des données reçues à des fins politiques sans le consentement des personnes concernées.
Selon les mesures à appliquer selon le règlement LOPD, les éléments suivants sont disponibles:
Gestion et distribution des supports
- L’identification des supports doit être effectuée à l’aide de systèmes d’étiquetage compréhensibles et significatifs qui permettent aux utilisateurs ayant un accès autorisé aux supports et documents susmentionnés d’identifier leur contenu, ce qui rend l’identification difficile pour d’autres personnes. .
- Dans le cas de la distribution de supports contenant des données personnelles, cela se fera en cryptant lesdites données ou en utilisant d’autres mécanismes garantissant que toutes les informations ne sont pas accessibles ou manipulées lors de leur transport.
De la même manière, les données contenues dans les appareils portables seront cryptées lorsqu’elles sont en dehors des installations sous le contrôle du gestionnaire de fichiers:
- Le traitement des données personnelles sur des appareils portables qui ne permettent pas le cryptage doit être évité . Dans le cas où cela serait strictement nécessaire, cela sera dûment indiqué dans le document de sécurité. Cela permettra l’adoption de mesures prenant en compte les risques liés à la réalisation de traitements dans des environnements non protégés.
Journal d’accès
- Pour chacune des tentatives d’accès, au moins l’ identification de l’ utilisateur, la date et l’heure auxquelles le fichier accédé a été créé, ainsi que si l’accès a été autorisé ou refusé et le type d’accès sera enregistré .
- Si l’accès a été autorisé, il sera alors nécessaire de sauvegarder les informations identifiant l’enregistrement accédé.
- Les mécanismes permettant l’accès au dossier seront sous le contrôle direct de l’agent de sécurité compétent sans avoir à autoriser leur désactivation ou manipulation .
- Dans le cas de la période minimale de conservation des données enregistrées, elle sera de deux ans .
- Vous n’aurez pas besoin de l’ enregistrement d’accès défini à moins que certaines des circonstances suivantes ne se produisent:
- Que le responsable du fichier ou du traitement garantit que c’est lui seul qui a accès et traite les données personnelles.
- Que la personne responsable du dossier ou du traitement est une personne physique.
- Le responsable de la sécurité est chargé de revoir au moins une fois par mois toutes les informations de contrôle enregistrées et préparera à son tour un rapport sur les revues effectuées et les problèmes détectés.
Sauvegarde et récupération
Ici, ce qu’est une copie de sauvegarde des données et les procédures de récupération de celles-ci doivent être conservées dans un endroit différent de celui où se trouve le matériel informatique qui les traite, qui doit en tout cas respecter les mesures de sécurité requis dans ce règlement ou en utilisant des éléments qui garantissent l’intégrité et la récupération des informations, afin que la récupération des données soit possible.
Cryptage des données
Il s’agit de l’une des mesures de sécurité à respecter conformément aux règlements de la LOPD , en cas de possession de données personnelles de haut niveau , telles que le cryptage des données . Tout cela consiste en une procédure par laquelle les informations sont transformées de manière à ce qu’un tiers non autorisé ne puisse pas les lire. Par conséquent, les données sensibles sont cryptées avec un algorithme de cryptage et une clé qui les rend illisibles si la clé n’est pas connue.
«MISE À JOUR ✅ Voulez-vous en savoir plus sur les mesures de sécurité que vous devez appliquer dans les fichiers non automatisés? ⭐ ENTRER ICI ⭐ et plus»
Conformément à la LOPD , le cryptage des données doit être effectué dans la distribution du support sur des appareils portables en dehors des installations et dans la transmission de données via des réseaux électroniques . Cela signifie qu’il sera nécessaire de crypter principalement les fichiers et les e-mails. Pour ce faire, il est nécessaire d’utiliser un logiciel de cryptage ou de cryptage de données de haut niveau.
Authentification d’utilisateur
L’authentification est une procédure par laquelle l’identité de l’utilisateur est vérifiée à titre de mesure de sécurité , ceci afin de vérifier qu’il est bien qui il prétend être. Ceci est considéré comme l’un des mécanismes de sécurité les plus importants, car une fois passé avec succès , le système d’information est accessible, où cette authentification est généralement effectuée à l’aide d’un mot de passe connu de l’utilisateur autorisé .
Espace de rangement
Dans le cas des fichiers non automatisés, ils sont stockés dans des armoires à documents ou des classeurs , où ils doivent à leur tour être situés dans des endroits protégés par des portes verrouillées, offrant ainsi une meilleure protection à tout moment.
Télécommunications
Selon l’ article 81.3 , des mesures de sécurité de haut niveau doivent être mises en œuvre, la transmission de données à caractère personnel via des réseaux publics ou des réseaux de communications électroniques sans fil sera effectuée en cryptant lesdites données ou en utilisant tout autre mécanisme garantissant que les informations ne est intelligible ni manipulé par des tiers .
Transfert de documentation
Lors du transfert de documentation contenant des données sensibles, une série de mesures doit être respectée pour empêcher l’accès ou la manipulation de ces données. Il est également essentiel de se rappeler qu’il est interdit de créer des fichiers dans le but exclusif de stocker des données personnelles révélant l’ idéologie, la religion, les convictions, la race, l’origine ethnique, la vie sexuelle, l’appartenance syndicale, entre autres.
Les mesures de sécurité de niveau moyen que vous devez appliquer dans les fichiers manuels
Dans le cas de mesures de sécurité de niveau moyen pour les fichiers manuels, elles doivent être appliquées aux fichiers de données personnelles suivants:
- Celles liées à la commission d’infractions administratives ou pénales .
- Ceux dont les administrations fiscales sont responsables et qui sont liés à l’exercice de leurs pouvoirs fiscaux.
- Celles liées à la fourniture de services d’information sur la solvabilité financière et le crédit .
- Ceux qui sont responsables d’entités financières à des fins directement liées à la fourniture de services financiers.
- Tous ceux qui contiennent un ensemble de données personnelles qui offrent une définition des caractéristiques ou de la personnalité des citoyens qui permettent d’évaluer certains aspects de leur personnalité ou de leur comportement.
- Les responsables des mutuelles pour les accidents du travail et les maladies professionnelles de la sécurité sociale .
Compte tenu des fichiers de données personnelles auxquels seront appliquées les mesures de sécurité de niveau moyen, nous allons ici vous montrer lesquels sont chacun d’entre eux:
- En plus d’avoir un contenu spécifique pour le document de sécurité de niveau de base , le niveau intermédiaire doit détailler les aspects suivants:
- L’identification des responsables de la sécurité , le contrôle périodique du respect du document et les mesures à adopter en cas de réutilisation ou de mise au rebut des supports.
- Tenez un registre d’enregistrement et de départ
- Registre des accès physiques aux locaux où se trouvent les systèmes d’information.
- Indiquez les mesures qui empêchent la récupération ultérieure d’informations à partir d’un support qui va être jeté ou réutilisé.
- Enfin, un audit interne et externe doit être préparé tous les deux ans .
Mesures de sécurité de bas niveau que vous devez appliquer aux fichiers manuels
Au premier niveau, tous les fichiers ou traitements de données personnelles doivent adopter des mesures de sécurité qualifiées de niveau de base . Fichiers contenant uniquement des données d’identification et à tous les niveaux de sécurité moyens et élevés. Un exemple de tout cela serait: noms, adresses, pièces d’identité, photographies, signatures, e-mails, coordonnées bancaires, âge, date de naissance, nationalité, sexe, entre autres.
Conformément à cela, nous vous montrons ici les principales mesures de sécurité de bas niveau selon la LOPD:
- Les mesures de sécurité de niveau bas ou de base comprennent l’obligation de disposer d’un document de sécurité, qui détaille le champ d’ application, les normes de sécurité, les mesures et procédures, les tâches et les devoirs du personnel, la structure et la description des fichiers, notification des procédures et gestion des incidents et procédures de sauvegarde et de récupération des données .
- Établir et mettre en œuvre les fonctions et obligations du personnel de l’entreprise.
- Établir des procédures d’ attribution et de gestion des mots de passe et les périodes pendant lesquelles ils doivent être modifiés. Dans le cas des mots de passe, ils s’accumuleront dans un format déroutant.
- Protégez le dossier de support afin d’identifier, d’enregistrer et de stocker tous les supports contenant des données personnelles.
- Disposer et gérer le registre des incidents à la disposition de tous les utilisateurs, cela leur permet à tous de constater les irrégularités qui se produisent au regard de la sécurité des données qui y sont conservées.
- Chacun des utilisateurs a la possibilité d’ accéder uniquement aux données et ressources nécessaires pour exécuter chacune de ses fonctions. Les attributions de permis seront effectuées par du personnel autorisé.
- Une liste à jour des utilisateurs et des accès autorisés de chacun d’eux doit être conservée .
- Il sera nécessaire d’indiquer des procédures pour faire des copies de sauvegarde des informations traitées, de cette manière, il sera possible de garantir la restauration des données dans l’état dans lequel elles se trouvaient au moment de provoquer la perte ou la destruction de celles-ci . Pour cela, des copies de sauvegarde doivent être effectuées chaque semaine.
- Préparez le modèle d’autorisation pour la sortie des médias.
- Le dépôt des documents non automatisés sera effectué selon des critères qui facilitent leur consultation et leur localisation pour assurer l’exercice des droits.
- Les instruments de dépôt de fichiers non automatisés seront soumis à des mécanismes qui rendront leur ouverture difficile. Au moment de leur vérification ou de leur gestion, l’utilisateur en charge doit être intelligent et surveiller la documentation pour éviter les entrées non autorisées .
Si vous avez des questions, laissez-les dans les commentaires, nous vous répondrons dans les plus brefs délais, et cela sera également d’une grande aide pour plus de membres de la communauté. Je vous remercie!