INFODF Accesible

Los Entes Públicos establecerán las medidas de seguridad técnica y organizativa para garantizar la confidencialidad e integralidad de cada sistema de datos personales que posean, con la finalidad de preservar el pleno ejercicio de los derechos tutelados en la LPDPDF, frente a su alteración, pérdida, transmisión y acceso no autorizado.


Dichas medidas deben adoptarse en relación con el menor o mayor grado de protección que ameriten los datos personales y deberán constar por escrito y comunicados al INFODF a través de su registro.


Tipos de seguridad:


Física

Se refiere a toda medida orientada a la protección de instalaciones, equipos, soportes o sistemas de datos para la prevención de riesgos por caso fortuito o causas de fuerza mayor;


Lógica

Se refiere a las medidas de protección que permiten la identificación y autentificación de las personas o usuarios autorizados para el tratamiento de los datos personales de acuerdo con su función;


De desarrollo y aplicaciones

Corresponde a las autorizaciones con las que deberá contar la creación o tratamiento de sistemas de datos personales, según su importancia, para garantizar el adecuado desarrollo y uso de los datos, previendo la participación de usuarios, la separación de entornos, la metodología a seguir, ciclos de vida y gestión, así como las consideraciones especiales respecto de aplicaciones y pruebas;


De cifrado

Consiste en la implementación de algoritmos, claves, contraseñas, así como dispositivos concretos de protección que garanticen la integralidad y confidencialidad de la información;


De comunicaciones y redes

Se refiere a las restricciones preventivas y/o de riesgos que deberán observar los usuarios de datos o sistemas de datos personales para acceder a dominios o cargar programas autorizados, así como para el manejo de telecomunicaciones.



Niveles de seguridad


Básico

Es el relativo a las medidas generales de seguridad cuya aplicación es obligatoria para todos los sistemas de datos personales. Dichas medidas corresponden a los siguientes aspectos:

  • Documento de seguridad;
  • Funciones y obligaciones del personal que intervenga en el tratamiento de los sistemas de datos personales;
  • Registro de incidencias;
  • Identificación y autentificación;
  • Control de acceso;
  • Gestión de soportes;
  • Copias de respaldo y recuperación.


Medio

Corresponde a aquellos sistemas de datos relativos a la comisión de infracciones administrativas o penales, hacienda pública, servicios financieros, datos patrimoniales, así como a los sistemas que contengan datos de carácter personal suficientes que permitan obtener una evaluación de la personalidad del individuo. Este nivel de seguridad, de manera adicional a las medidas calificadas como básicas, considera los siguientes aspectos:

  • Responsable de seguridad;
  • Auditoría;
  • Control de acceso físico;
  • Pruebas con datos reales.


Alto

Aplica a sistemas de datos concernientes a la ideología, religión, creencias, afiliación política, origen racial o étnico, salud, biométricos, genéticos o vida sexual, así como los que contengan datos recabados para fines policiales, de seguridad, prevención, investigación y persecución de delitos. Los sistemas de datos a los que corresponde adoptar este nivel, además de incorporar las medidas de nivel básico y medio, deberán completar las que se detallan a continuación:

  • Distribución de soportes;
  • Registro de acceso;
  • Telecomunicaciones.