Análisis de las medidas de seguridad de nivel básico contenidas en el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

• Existencia de medidas de índole técnica y organizativa acordes a la normativa de seguridad vigente que será de obligado cumplimiento para el personal con acceso a los sistemas de información.
  
• Contenido del Documento de Seguridad:

  -Ámbito de aplicación, detallando los recursos protegidos
  -Medidas, normas, procedimientos y estándares
  -Funciones y obligaciones del personas en relación con el tratamiento de los datos de carácter personal incluidos en los ficheros
  -Estructura de los ficheros de datos y los sistemas de información que los tratan
  -Procedimientos de notificación, gestión y respuesta ante las incidencias
  -Los procedimientos de realización de copias de respaldo y de recuperación de los datos en los ficheros o tratamientos automatizados
  -Las medidas que sea necesario adoptar para el transporte de soportes y documentos, así como para la destrucción de los documentos y soportes, o en su caso, la reutilización de estos últimos
  -Los controles periódicos que deban realizarse para verificar el cumplimiento de lo dispuesto en el propio documento
  -La identificación del responsable o responsables de seguridad.

• Las funciones y obligaciones de cada una de los usuarios o perfiles de usuarios con acceso a:

- los datos de carácter personal y
- los sistemas de información

estarán claramente definidas y documentadas en el documento de seguridad.

• El responsable del fichero adoptará las medidas necesarias para que el personal conozca:
  
  - las normas de seguridad que afectan al desarrollo de sus funciones y
  - las consecuencias en que pudiera incurrir en caso de incumplimiento

• Constará:

- el tipo de incidencia,
- el momento en que se ha producido, o
- en su caso, el momento en que se ha detectado,
- persona que lo notifica,
- a quién se lo comunica,
- los efectos derivados de la misma,
- las medidas correctoras aplicadas,
- los procedimientos realizados de recuperación de datos,
- persona que ejecuta el proceso,
- los datos restaurados, y
- en su caso, qué datos ha sido necesario manualmente en el proceso de recuperación.

• Los usuarios solo tendrán acceso a los recursos que precisen para el desarrollo de sus funciones.
  
  
• Responsable del fichero se encarga de la existencia de una relación actualizada de:
  
  - Usuarios y
  - perfiles de usuarios.
  
  
• Solamente el personal autorizado en el documento de seguridad podrá:
  
  - conceder,
  - alterar, o
  - anular el acceso autorizado sobre los recursos
  
  
• Personal ajeno que tenga acceso a los recursos deberá estar sometido a las mismas obligaciones y condiciones de seguridad que el personal propio.
  

• Los soportes y documentos que contengan datos de carácter personal deberán:
  
  - permitir identificar el tipo de información que contienen,
  - ser inventariados, y
  - solo ser accesibles por el personal autorizado para ello en el documento de seguridad,
  - excepto cuando las características físicas del soporte imposibiliten su cumplimiento
  
  
• La salida de soportes y documentos que contengan datos de carácter personal deberá ser autorizadas por el responsable del fichero y documentada en el documento de seguridad.
  
  
• Destruir o borrar el documento o soporte a ser desechado, evitando su recuperación posterior.
  
  
• Adoptar medidas dirigidas a evitar la sustracción, pérdida o acceso de la información en su transporte.
  
  
• Utilizar sistema de etiquetado comprensibles para los usuarios autorizados y de difícil identificación para otras personas en los soportes que contengan datos sensibles.

• Existencia de medidas de identificación y autenticación de los usuarios.
• Mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información.
• Procedimiento de asignación, distribución y almacenamiento de contraseñas que garantice su confidencialidad e integridad.
• Periodicidad del cambio de contraseñas y almacenamiento de forma ininteligible mientras estén vigentes.

• Periodicidad semanal, a menos que en dicho período no se hubiera producido ninguna actualización de los datos.
• Procedimiento de recuperación de los datos que garantice su reconstrucción.
• El responsable del fichero deberá verificar a cada seis meses la correcta definición, funcionamiento y aplicación de los procedimientos.
• Las pruebas no se realizarán con datos reales, salvo que se asegure el nivel de seguridad correspondiente al tratamiento realizado y se anote en el documento de seguridad.
  Responsable de seguridad

Además de las obligaciones comunes, a los ficheros y tratamientos no automatizados les será de aplicación lo dispuesto el Título VIII, Capítulo VI

• El archivo de los soportes o documentos se realizará de acuerdo con los criterios previstos en su respectiva legislación.
  
• Estos criterios deberán garantizar:
  - la correcta conservación de los documentos,
  - la localización,
  - consulta de la información y
  - el ejercicio de los derechos de oposición al tratamiento, acceso, rectificación y cancelación.
  
• En aquellos casos en los que no exista norma aplicable, el responsable del fichero deberá establecer los criterios y procedimientos de actuación que deban seguirse para el archivo.

• Los dispositivos de almacenamiento de los documentos que contengan datos de carácter personal deberán disponer de mecanismos que obstaculicen su apertura.
  
• Cuando las características físicas de aquéllos no permitan adoptar esta medida, el responsable del fichero o tratamiento adoptará medidas que impidan el acceso de personas no autorizadas.
  

• La persona que se encuentre al cargo de la documentación con datos de carácter personal que no se encuentre archivada en los dispositivos de almacenamiento deberá:
  - custodiarla e
  - impedir en todo momento que pueda ser accedida por persona no autorizada.