¿Qué principales obligaciones exige la LOPD a mi organismo?
Las obligaciones que nos exige la LOPD dependen del tipo de datos que tratemos en nuestro organismo, así podemos distinguir para los datos de nivel básico un esquema de obligaciones más importantes como:
¿Qué es un dato de carácter personal?
En virtud de lo dispuesto en la Ley Orgánica 15/1999 de 13 de diciembre, de Protección de Datos de Carácter Personal, es cualquier información concerniente a personas físicas identificadas o identificables.
El Real Decreto 1720/2007, de 21 de diciembre, amplía dicha definición añadiendo al concepto de datos de carácter personal; Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables.
¿Qué es un dato identificable?
Cualquier dato que permita de alguna manera determinar, directa o indirectamente, la identidad de una persona.
¿Qué es la protección de datos de carácter personal?
Marco normativo garante del derecho a la intimidad de las personas, ante la utilización uso o tratamiento de sus datos de carácter personal por parte de un tercero.
Garantiza que el tercero, independientemente de que pertenezca al sector público o privado utilizarán los datos del titular de forma legal y leal, estando siempre informado el interesado sobre la utilización de los mismos.
¿Qué norma regula los tratamientos de datos personales?
En la actualidad, las disposiciones que regulan el tratamiento de datos de carácter personal en el derecho Español, son principalmente, la Ley Orgánica 15/1999, 13 de diciembre, de protección de datos de carácter personal y el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el reglamento de desarrollo de la Ley Orgánica de Protección de Datos.
¿Qué es la Ley Orgánica de Protección de Datos?
Ley Orgánica 15/1999, 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) nace de una directiva europea que tiene como principal objetivo proteger los derechos fundamentales, como son el derecho al honor, la intimidad personal y la propia imagen de todas las personas físicas.
De esta forma, la LOPD cumple este objetivo, limitando y regulando el tratamiento de la información con datos de carácter realizada en soportes informatizados y manuales por los sectores público y privado.
¿Qué datos son considerados especialmente protegidos?
Son aquellos datos que, por ser especialmente sensibles, afectan especialmente a la intimidad de las personas.
La Ley Orgánica 15/1999, 13 de diciembre, de protección de datos de carácter personal considera “datos especialmente protegidos” a aquellos relativos a la ideología, afiliación sindical, religión, creencias, origen racial, salud y vida sexual, por lo que para el tratamiento de este tipo de datos, la Ley requiere que se utilicen unas medidas de seguridad más restrictivas comúnmente llamadas medidas de seguridad de nivel alto.
Además, para los datos que se refieren a la comisión de infracciones penales o administrativas será necesario aplicar medidas de seguridad de nivel medio.
¿Qué se considera tratamiento de datos?
La normativa considera tratamiento de datos, a todas las operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.
Esta definición tan amplia, tiene por objeto englobar cualquier modalidad de tratamiento futura que pudiera surgir.
¿Es aplicable la Ley Orgánica de Protección de Datos (LOPD) a los ficheros en formato papel?
SI, la normativa de protección de datos es aplicable tanto a los ficheros automatizados como a los no automatizados o manuales.
¿Es aplicable la normativa de protección de datos a las personas jurídicas?
NO, la normativa de protección de datos sólo es aplicable a las personas físicas, ya que el objeto de la LOPD es garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar.
¿Quién tiene la obligación de adecuarse a la Ley Orgánica de Protección de Datos (LOPD)?
Todo organismo que mantenga y trate datos de carácter personal, como son una relación de trabajadores, clientes, proveedores, ciudadanos, etc., ya sea en un sistema informático o en soporte papel, está obligada al cumplimiento de la LOPD.
¿Cómo se cumple con la legislación en protección de datos?
El cumplimiento debe hacerse efectivo en las distintas obligaciones que para el responsable del fichero, aparecen durante las distintas fases del tratamiento de datos, como por ejemplo;
El cumplimiento de la normativa supone por un lado una serie de obligaciones para quien trata los datos y por otro lado confiere una serie de derechos al titular de mismos, por lo que los responsables de los ficheros deben vigilar que la adaptación cumpla con esta doble premisa.
¿Qué es la Agencia Española de Protección de Datos?
Es un Ente de Derecho Público, con personalidad jurídica propia y plena capacidad pública y privada. Actúa con plena independencia de las Administraciones Públicas en el ejercicio de sus funciones.
¿Cuál es el objeto de la Agencia Española de Protección de Datos?
Su principal objetivo es velar por el cumplimiento de la legislación sobre protección de datos personales y controlar su aplicación, en especial en lo relativo a los derechos de información, acceso, oposición, rectificación y cancelación de datos. Además garantiza el cumplimiento y aplicación de las previsiones establecidas en la normativa de protección de datos de carácter personal.
¿Puede la Agencia Española de Protección de Datos realizar inspecciones a las empresas de oficio o necesitan denuncia?
La AEPD puede llevar a cabo inspecciones de oficio o a instancia de parte, dirigiéndose a los locales en los que se hallen los ficheros.
¿Cómo actúa la Agencia Española de Protección de Datos en una inspección?
La AEPD, previo aviso, puede iniciar una inspección de oficio o por denuncia de los afectados, una vez realizada la inspección, si se aprecia la existencia de irregularidades de las detalladas en el Título VII de la Ley, podrá iniciar la apertura de un expediente sancionador, que de confirmarse terminará en la interposición de una sanción al responsable del fichero.
¿Tiene potestad para imponer multas?
El Director de la AEPD ostenta entre sus funciones la potestad de iniciar, impulsar y resolver los expedientes sancionadores instruidos por la AEPD.
El ejercicio de la potestad sancionadora de la AEPD se determinará por la LOPD. La cuantía de las sanciones se graduará atendiendo a la naturaleza de los derechos personales afectados, al volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de intencionalidad, a la reincidencia, a los daños y perjuicios causados a las personas interesadas y a terceras personas, y a cualquier otra circunstancia que sea relevante para determinar el grado de antijuricidad y de culpabilidad presentes en la concreta actuación del cliente. Es el órgano sancionador el que establecerá la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que proceda en relación con la gravedad de cada caso.
¿Qué principios rigen la LOPD?
Los principios son:
- Principio de calidad: Los datos de carácter personal sólo se podrán recoger para su tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.
- Principio de finalidad: La ley establece que los datos no pueden ser utilizados para finalidades distintas a aquellas para los que fueron recabados. Se habla de finalidades incompatibles.
- Principio de actualidad: Los datos personales incorporados a un fichero han de responder a una situación actual, supone una remisión al, principio de calidad de los datos, o lo que es lo mismo, sería la aplicación de ese principio una vez que los datos han sido tratados.
- Principio de exactitud: Los datos personales han de ser modificados y rectificados por el responsable del fichero desde el momento en que conoce la modificación.
- Principio de información: Cuando se recojan datos de carácter personal ha de informarse al afectado de la existencia de un fichero, de la finalidad de la recogida, de los destinatarios de los mismos y de los datos necesarios para poder ejercer sus derechos.
- Principio de obtención del consentimiento: El tratamiento de los datos requiere el consentimiento inequívoco (tácito o expreso) del afectado.
¿Qué es un fichero?
La normativa entiende por fichero, todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso. Los ficheros pueden ser tanto físicos (en soporte de papel), como automatizados (soporte informatizado).
¿En qué consiste la inscripción de los ficheros?
Toda persona o entidad que proceda a la creación de ficheros de carácter personal lo debe notificar a la Agencia Española de Protección de Datos, estableciéndose reglamentariamente los distintos extremos que debe contener la notificación.
La consulta de los ficheros inscritos es pública, y se puede hacer online. Por tanto si desea saber si su empresa tiene inscritos los ficheros puede hacerlo a través del Registro General de Protección de Datos dependiente de la AEPD y que se puede consultar a través de la web http://www.agpd.es/.
Todos los ficheros deben ser inscritos en el Registro General de Protección de Datos a nombre de cada uno de los responsables y conforme al modelo estándar que figura en la página Web anteriormente citada.
Tanto para inscribir, como para suprimir o modificar la inscripción de un fichero en el Registro General de Protección de Datos, se deberá cumplimentar en todos los casos el modelo establecido en la Resolución de la Agencia Española de Protección de Datos, de 30 de mayo de 2000 (B.O.E. nº 153, de 27 de junio de 2000), por la que se aprueban los modelos normalizados en soporte papel, magnético y telemático. Así mismo, se comunica que los citados modelos se pueden obtener a través de Internet en la página web de la AEPD.
En el caso de que se solicite la modificación de la inscripción de un fichero, deberá notificar, de acuerdo a lo dispuesto en el artículo 26.3 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, los cambios que se produzcan en la finalidad del fichero automatizado, en su responsable, y en la dirección de su ubicación, o cualquier otra modificación que se pudiera haber producido desde la declaración inicial del fichero objeto de inscripción en el Registro General de Protección de Datos.
Deberá cumplimentar del modelo de notificación, la hoja de solicitud, el apartado de modificación indicando el código de inscripción asignado por la Agencia, señalando aquellos apartados que se modifican respecto a la notificación anterior y los apartados que se pretendan modificar.
Los apartados señalados deben cumplimentarse en su totalidad, y no sólo los aspectos modificados respecto a notificaciones previas, ya que esta notificación sustituye a la anterior inscripción en el Registro General de Protección de Datos.
¿Qué ocurre si no se notifica la existencia de un fichero?
En este caso podría incurrirse en falta leve o grave, tal y como señala el artículo 44 de la ley orgánica 15/1999, quedando sujeto al régimen sancionador previsto en esta ley.
Las faltas leves originan sanciones económicas que oscilan entre 601,01 euros y 60.101,21 euros, mientras que las faltas graves suponen sanciones económicas de hasta 300.506,05 euros.
¿Quién es el responsable de un fichero?
Es aquella persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento, en protección de datos esta figura es equiparable a la del responsable del tratamiento.
¿Quién es el encargado del tratamiento?
La Ley Orgánica de Protección de Datos (LOPD) entiende por encargado del tratamiento la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento.
Encargados del tratamiento serían, por ejemplo, todas aquellas empresas o profesionales que, para prestarnos un servicio contratado, traten con los datos de nuestros ficheros (asesoría laboral, contable, empresas de informática, etc.)
¿Qué se considera fuente accesible al público?
Son aquellos ficheros cuya consulta puede ser realizada, por cualquier persona, no impedida por una norma limitativa o sin más exigencia que, en su caso, el abono de una contraprestación.
Son fuentes accesibles al público, exclusivamente:
- Censo promocional
- Los repertorios telefónicos en los términos previstos por su normativa específica
- Las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo.
- Los diarios y boletines oficiales (el día de su emisión solamente) y los medios de comunicación.
¿Es Internet un medio de comunicación, a efectos de ser considerado como fuente de acceso público?
La enumeración de las fuentes de acceso público realizada en el artículo 3.j de la Ley Orgánica de Protección de Datos (LOPD) tiene carácter exclusivo, por lo que no caben interpretaciones analógicas de la misma. En este sentido la AEPD se ha pronunciado en diversas ocasiones afirmando que Internet no constituye un medio de comunicación, por lo que los datos de carácter personal publicados en la red no podrán ser sometidos a tratamiento sin contar con el consentimiento de los interesados, obtenido conforme a las previsiones legales.
¿Qué es la cesión o comunicación de datos?
Es toda revelación de datos realizada a una persona distinta del interesado.
La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal establece en su artículo 11, que “los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado”.
¿Qué niveles de Seguridad distingue la LOPD?
Dependiendo de su mayor o menor injerencia dentro del ámbito de la esfera de lo personal, los datos se dividen en tres niveles:
Nivel Básico:
- Nombres, apellidos, D.N.I., dirección, etc.
Nivel Medio:
- Comisión de infracciones penales y administrativas.
- Solvencia patrimonial y crédito.
- Administraciones tributarias.
- Entidades financieras para la prestación de servicios financieros.
- Entidades gestoras y servicios comunes de la Seguridad Social.
- Mutuas de accidente de trabajo y enfermedad profesional.
- Ficheros que reúnan un conjunto de datos de carácter personal que permitan evaluar aspectos o comportamientos del individuo.
Nivel Alto:
- Comisión de infracciones penales y administrativas.
- Solvencia patrimonial y crédito.
- Administraciones tributarias.
- Entidades financieras para la prestación de servicios financieros.
- Entidades gestoras y servicios comunes de la Seguridad Social.
- Mutuas de accidente de trabajo y enfermedad profesional.
- Ficheros que reúnan un conjunto de datos de carácter personal que permitan evaluar aspectos o comportamientos del individuo.
¿En qué consisten los derechos de acceso, rectificación, cancelación y oposición?
El responsable del tratamiento deberá hacer efectivo y atender las solicitudes del afectado para el ejercicio de los siguientes derechos:
Derecho de acceso: El interesado tendrá derecho a solicitar y a obtener gratuitamente información de sus datos de carácter personal sometidos a tratamiento, el origen de sus datos o que se prevean hacer con los mismos.
Este derecho solo podrá ser ejercitado a intervalos no inferiores a doce meses.
Derecho de rectificación y cancelación: El responsable deberá así mismo hacer efectivo estos derechos en un plazo de diez días. Se deberá proceder a la rectificación y cancelación de los datos, en la forma legalmente recogida, siempre que los datos objeto de tratamiento no se ajuste a l dispuesto en la presente ley y, en particular, cuando tales datos resulten inexactos o incompletos.
Derecho de oposición: Los interesados, titulares de los datos pueden oponerse a al tratamiento de los mismos, de conformidad con lo revisto en el artículo 6.4 de la LOPD que establece:
“En los casos en los que no sea necesario el consentimiento del afectado para el tratamiento de los datos de carácter personal, y siempre que una Ley no disponga lo contrario, éste podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal. En tal supuesto, el responsable del fichero excluirá del tratamiento los datos relativos al afectado."
Habrá de tenerse en cuenta además, que el consentimiento es revocable, a salvo de las excepciones previstas por la Ley.
Los procedimientos para ejercitar los derechos del afectado serán establecidos reglamentariamente, facilitando la AEPD unos modelos de impresos para la solicitud de los mismos, que se encuentran a disposición de los interesados en su web (www.agpd.es), pudiendo el interesado dirigir esta solicitud a la dirección facilitada por el responsable del fichero.
¿Qué información y cómo debe proporcionarse a los interesados cuando se recogen sus datos personales?
El deber de información previo al tratamiento de los datos de carácter personal es uno de los derechos básicos de los interesados, contenidos en la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal; por tanto, si se van a registrar y tratar datos de carácter personal, será necesario informar a través del medio que se utilice para la recogida, del contenido del artículo 5 que regula el derecho de información de los afectados previo a la recogida de los datos:
1. 'Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:
a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.
b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante....'
Cuando el responsable del tratamiento no esté establecido en el territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, deberá designar, salvo que tales medios se utilicen con fines de tránsito, un representante en España, sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable del tratamiento.
2. Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, en forma claramente legible, las advertencias a que se refiere el apartado anterior.
3. No será necesaria la información a que se refieren las letras b), c) y d) del apartado 1 si el contenido de ella se deduce claramente de la naturaleza de los datos personales que se solicitan o de las circunstancias en que se recaban.
4. Cuando los datos de carácter personal no hayan sido recabados del interesado, éste deberá ser informado de forma expresa, precisa e inequívoca, por el responsable del fichero o su representante, dentro de los tres meses siguientes al momento del registro de los datos, salvo que ya hubiera sido informado con anterioridad, del contenido del tratamiento, de la procedencia de los datos, así como de lo previsto en las letras a), d) y e) del apartado 1 del presente artículo.
No será de aplicación lo dispuesto en el apartado anterior cuando expresamente una Ley lo prevea, cuando el tratamiento tenga fines históricos, estadísticos o científicos, o cuando la información al interesado resulte imposible o exija esfuerzos desproporcionados, a criterio de la Agencia Española de Protección de Datos o del organismo autonómico equivalente, en consideración al número de interesados, a la antigüedad de los datos y a las posibles medidas compensatorias.
Asimismo, tampoco regirá lo dispuesto en el apartado anterior cuando los datos procedan de fuentes accesibles al público y se destinen a la actividad de publicidad o prospección comercial, en cuyo caso, en cada comunicación que se dirija al interesado se le informará del origen de los datos y de la identidad del responsable del tratamiento así como de los derechos que le asisten.'
En consecuencia, cuando se recaban datos personales debe informarse de modo expreso, preciso e inequívoco de lo expuesto anteriormente.
¿A qué se refiere la Ley Orgánica de Protección de Datos (LOPD) cuando habla de consentimiento?
Se refiere, exactamente, a cualquier manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen.
¿Qué tipos de consentimiento existen y cuales son admitidos por la Ley Orgánica de Protección de Datos (LOPD)?
Realizando un análisis sobre los tipos de consentimiento admitidos por la LOPD, podemos concluir que existen tres tipos:
Consentimiento presunto:
El consentimiento presunto, aquel que “se desprende del comportamiento del interesado”, pese a su admisión doctrinal, presenta grandes problemas de inseguridad jurídica conllevando un evidente riesgo, por lo que no se encuentra admitido por la LOPD.
Consentimiento tácito:
El consentimiento tácito, se diferencia del consentimiento presunto en que este no se deriva de actos del interesado sino precisamente “de su falta de actuación, de su silencio”.
Este consentimiento tácito se encuentra admitido por la LOPD y también por la propia AEPD pero no tendría validez en los casos en que la Ley exige una declaración expresa, como para el tratamiento de datos de salud.
Consentimiento expreso:
El consentimiento expreso, por su parte, “exige que se declare de forma clara e inequívoca por parte del interesado que acepta o consiente el tratamiento o la cesión de los que se le informa, mediante la expresión de su voluntad”, este consentimiento podrá ser por escrito, verbalmente, mediante comunicación telemática o por cualquier otro medio.
El consentimiento expreso únicamente debe reclamarse en aquellos supuestos en los que la Ley así lo establece de forma manifiesta y en este sentido, se encuentra admitido por la LOPD.
En conclusión:
Si unimos las anteriores consideraciones deberemos:
0. Si se trata de datos de nivel básico y medio, la ley no exige ninguna especialidad en el consentimiento, por lo que será válido el consentimiento tácito.
1. Si se trata de datos de nivel alto (excepto los relativos a ideología, afiliación sindical, religión y creencias) será necesario el consentimiento expreso.
2. Si se trata de datos de ideología, afiliación sindical, religión y creencias, es necesario que el consentimiento no sólo sea expreso sino además por escrito.
¿Qué es un documento de seguridad?
La Ley Orgánica de Protección de Datos (LOPD) obliga a las empresas que sean titulares de ficheros de datos de carácter personal, independientemente de que estos se encuentren en formato papel o informatizados, a elaborar e implantar un Documento de Seguridad que describa los procesos que garantizan el acceso controlado a dichos datos según el nivel de seguridad que por su naturaleza a cada uno se le atribuye.
El documento de seguridad debe tener el contenido mínimo que indica el artículo 88 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.
Este documento deberá mantenerse en todo momento actualizado y deberá ser revisado siempre que se produzcan cambios relevantes en el sistema de información o en la organización del mismo.
¿Qué se entiende por medidas de seguridad de los ficheros de datos?
Las medidas de seguridad de los ficheros son el conjunto de medidas de carácter técnico y organizativo que debe implantar el Responsable del fichero para controlar el acceso y tratamiento de los ficheros que contengan datos de carácter personal, estas medidas serán más o menos restrictivas en función del nivel de seguridad que requieran los datos contenidos en dichos ficheros.
Con el fin de garantizar la seguridad de los datos, las medidas de seguridad se aplicarán a los centros de tratamiento de los datos, a los locales en los que se ubican físicamente los ficheros de datos, a los equipos, sistemas informáticos y programas que se utilicen en su almacenamiento o tratamiento y a las personas que realizan las labores de recogida y tratamiento de los mismos.
¿Cuáles son las medidas de seguridad a aplicar?
Las medidas de seguridad se dividen en los niveles básico, medio y alto dependiendo del tipo de dato que contenga el fichero y hay que destacar que las medidas a aplicar son acumulativas, es decir, el nivel alto deberá cumplir además de las medidas de seguridad correspondientes a su nivel, las de nivel básico y medio.
Los datos de nivel básico son cualquier tipo de dato personal como un nombre o un DNI y las principales medidas de seguridad a aplicar son:
- Redacción de un documento de seguridad en el que se refleje la política de seguridad del Responsable del Fichero.
- Poseer mecanismos de identificación y autenticación de los usuarios que entren en el sistema de información.
- Poseer un Registro de Incidencias.
- Realizar copias de seguridad.
El nivel de seguridad de nivel medio se aplica a aquellos datos relativos a los servicios financieros, a los datos que permitan obtener una evaluación de la personalidad del individuo, datos sobre solvencia patrimonial y crédito (ficheros de morosos), datos de la Hacienda Pública, etc. para estos datos las medidas de seguridad más importantes del nivel medio son:
- La designación de un responsable de seguridad.
- Un sistema de identificación y autenticación de usuarios personalizado.
- Control de acceso físico al sistema de información.
- Un registro de entrada, salida y un control exhaustivo de soportes.
- Un registro de incidencias reforzado.
El nivel máximo de seguridad es el alto y se aplicará a aquellos datos especialmente protegidos como los de salud, afiliación sindical, etc. Las principales medidas de seguridad son:
- La distribución de soportes se realizará cifrando los datos.
- Existirá un registro de accesos que controle la identificación del usuario, la fecha y hora del acceso, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado.
- La distribución de datos personales a través de redes de telecomunicaciones se realizará cifrando dichos datos.
¿Qué entidades están obligadas a someterse a una auditoría de protección de datos?
El Reglamento de Medidas de Seguridad establece la necesidad de someter a los sistemas de información e instalaciones de tratamiento de datos de carácter personal calificados de nivel medio y alto a una Auditoria Bienal que verifique el cumplimiento de las disposiciones vigentes en materia de seguridad de datos.
Esta auditoría se realizará como hemos dicho al menos, cada dos años, o siempre que se realice una modificación sustancial en el sistema de tratamiento de datos.
¿Cuándo existe distribución o transporte de datos?
Cuando existe movimiento de datos que consiste en la extracción de estos fuera del sistema de información, mediante un soporte extraíble o de otra forma, como por ejemplo la que se produce por correo o por cualquier otro medio convencional.
Mi organismo tiene subcontratado un servicio externo. ¿Estoy obligado a adaptarme a la LOPD?
Aunque la gestión de los datos no la realice su organismo y este subcontratada, su entidad como responsable de ese fichero está obligada a adaptarse a la LOPD.
Dentro de las obligaciones que su organismo asumirá, existe la de adaptar sus contratos de outsourcing o prestación de servicios de terceros a la LOPD, detallando en los mismos las obligaciones que esa empresa subcontratada o encargado del tratamiento tiene que cumplir en su nombre.
¿Los datos relativos a empresas son también objeto de aplicación de la LOPD?
No, el que su organismo tenga en una base de datos, una ficha donde aparezca que la empresa A, tiene una sede en la calle X y que el gerente es Pedro López con número de teléfono profesional X no es considerado un dato de carácter personal, objeto de aplicación de la LOPD, porque esos datos se refieren únicamente a los datos profesionales de Pedro López, en representación de su empresa.
Ahora bien, si además tengo su DNI y la dirección de su domicilio, en este caso si se considera que tengo datos de carácter personal de Pedro López, por lo que a ese fichero se le debe aplicar la LOPD.
¿Qué organismos están obligados a notificar sus ficheros al registro general de protección de datos?
Están obligados a notificar la creación de ficheros para su inscripción en registro, de acuerdo con lo dispuesto en la Ley Orgánica 15/1999, aquellas personas físicas jurídicas, de naturaleza pública o privada, que en el desarrollo de su actividad profesional trate o mantenga ficheros que contengan datos de carácter personal.
Así, aquellos organismos que manejen bases de datos, archivos, ficheros o programas informáticos que traten datos de carácter personal deberán notificarlos al registro general de la agencia de protección de datos
Las obligaciones que nos exige la LOPD dependen del tipo de datos que tratemos en nuestro organismo, así podemos distinguir para los datos de nivel básico un esquema de obligaciones más importantes como:
- Inscripción de los ficheros automatizados y documentales (soporte papel) en el Registro de la Agencia de Protección de Datos.
- Elaboración del Documento de Seguridad donde se reflejan las medidas, tanto técnicas como organizativas, a adoptar dependiendo del nivel de seguridad que nos afecte.
- Regularización de contratos con terceros que accedan y/o traten los datos del Fichero, como son la gestoría (para la gestión de nóminas), empresa de soporte informático, etc.
- Deber de informar a los afectados sobre la finalidad de sus datos y sus derechos de acceso, rectificación, oposición y cancelación.
- La elaboración de distintos textos y cláusulas dependiendo del sector en que nos encontremos.
- Atender los derechos de los titulares, estableciendo un sistema de gestión, que permita atender en plazo las solicitudes en el ejercicio del derecho de acceso, rectificación, cancelación y oposición.
- Realizar el nombramiento de un responsable de seguridad
- Obligación de una auditoría cada dos años.
¿Qué es un dato de carácter personal?
En virtud de lo dispuesto en la Ley Orgánica 15/1999 de 13 de diciembre, de Protección de Datos de Carácter Personal, es cualquier información concerniente a personas físicas identificadas o identificables.
El Real Decreto 1720/2007, de 21 de diciembre, amplía dicha definición añadiendo al concepto de datos de carácter personal; Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables.
¿Qué es un dato identificable?
Cualquier dato que permita de alguna manera determinar, directa o indirectamente, la identidad de una persona.
¿Qué es la protección de datos de carácter personal?
Marco normativo garante del derecho a la intimidad de las personas, ante la utilización uso o tratamiento de sus datos de carácter personal por parte de un tercero.
Garantiza que el tercero, independientemente de que pertenezca al sector público o privado utilizarán los datos del titular de forma legal y leal, estando siempre informado el interesado sobre la utilización de los mismos.
¿Qué norma regula los tratamientos de datos personales?
En la actualidad, las disposiciones que regulan el tratamiento de datos de carácter personal en el derecho Español, son principalmente, la Ley Orgánica 15/1999, 13 de diciembre, de protección de datos de carácter personal y el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el reglamento de desarrollo de la Ley Orgánica de Protección de Datos.
¿Qué es la Ley Orgánica de Protección de Datos?
Ley Orgánica 15/1999, 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) nace de una directiva europea que tiene como principal objetivo proteger los derechos fundamentales, como son el derecho al honor, la intimidad personal y la propia imagen de todas las personas físicas.
De esta forma, la LOPD cumple este objetivo, limitando y regulando el tratamiento de la información con datos de carácter realizada en soportes informatizados y manuales por los sectores público y privado.
¿Qué datos son considerados especialmente protegidos?
Son aquellos datos que, por ser especialmente sensibles, afectan especialmente a la intimidad de las personas.
La Ley Orgánica 15/1999, 13 de diciembre, de protección de datos de carácter personal considera “datos especialmente protegidos” a aquellos relativos a la ideología, afiliación sindical, religión, creencias, origen racial, salud y vida sexual, por lo que para el tratamiento de este tipo de datos, la Ley requiere que se utilicen unas medidas de seguridad más restrictivas comúnmente llamadas medidas de seguridad de nivel alto.
Además, para los datos que se refieren a la comisión de infracciones penales o administrativas será necesario aplicar medidas de seguridad de nivel medio.
¿Qué se considera tratamiento de datos?
La normativa considera tratamiento de datos, a todas las operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.
Esta definición tan amplia, tiene por objeto englobar cualquier modalidad de tratamiento futura que pudiera surgir.
¿Es aplicable la Ley Orgánica de Protección de Datos (LOPD) a los ficheros en formato papel?
SI, la normativa de protección de datos es aplicable tanto a los ficheros automatizados como a los no automatizados o manuales.
¿Es aplicable la normativa de protección de datos a las personas jurídicas?
NO, la normativa de protección de datos sólo es aplicable a las personas físicas, ya que el objeto de la LOPD es garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar.
¿Quién tiene la obligación de adecuarse a la Ley Orgánica de Protección de Datos (LOPD)?
Todo organismo que mantenga y trate datos de carácter personal, como son una relación de trabajadores, clientes, proveedores, ciudadanos, etc., ya sea en un sistema informático o en soporte papel, está obligada al cumplimiento de la LOPD.
¿Cómo se cumple con la legislación en protección de datos?
El cumplimiento debe hacerse efectivo en las distintas obligaciones que para el responsable del fichero, aparecen durante las distintas fases del tratamiento de datos, como por ejemplo;
- Obligaciones previas a la recogida de los datos, como la declaración de los ficheros.
- Obligaciones durante la recogida de los datos, como cumplir el deber de Información al interesado.
- Obligaciones durante el tratamiento, como tener una política adecuada de accesos a la información.
El cumplimiento de la normativa supone por un lado una serie de obligaciones para quien trata los datos y por otro lado confiere una serie de derechos al titular de mismos, por lo que los responsables de los ficheros deben vigilar que la adaptación cumpla con esta doble premisa.
¿Qué es la Agencia Española de Protección de Datos?
Es un Ente de Derecho Público, con personalidad jurídica propia y plena capacidad pública y privada. Actúa con plena independencia de las Administraciones Públicas en el ejercicio de sus funciones.
¿Cuál es el objeto de la Agencia Española de Protección de Datos?
Su principal objetivo es velar por el cumplimiento de la legislación sobre protección de datos personales y controlar su aplicación, en especial en lo relativo a los derechos de información, acceso, oposición, rectificación y cancelación de datos. Además garantiza el cumplimiento y aplicación de las previsiones establecidas en la normativa de protección de datos de carácter personal.
¿Puede la Agencia Española de Protección de Datos realizar inspecciones a las empresas de oficio o necesitan denuncia?
La AEPD puede llevar a cabo inspecciones de oficio o a instancia de parte, dirigiéndose a los locales en los que se hallen los ficheros.
¿Cómo actúa la Agencia Española de Protección de Datos en una inspección?
La AEPD, previo aviso, puede iniciar una inspección de oficio o por denuncia de los afectados, una vez realizada la inspección, si se aprecia la existencia de irregularidades de las detalladas en el Título VII de la Ley, podrá iniciar la apertura de un expediente sancionador, que de confirmarse terminará en la interposición de una sanción al responsable del fichero.
¿Tiene potestad para imponer multas?
El Director de la AEPD ostenta entre sus funciones la potestad de iniciar, impulsar y resolver los expedientes sancionadores instruidos por la AEPD.
El ejercicio de la potestad sancionadora de la AEPD se determinará por la LOPD. La cuantía de las sanciones se graduará atendiendo a la naturaleza de los derechos personales afectados, al volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de intencionalidad, a la reincidencia, a los daños y perjuicios causados a las personas interesadas y a terceras personas, y a cualquier otra circunstancia que sea relevante para determinar el grado de antijuricidad y de culpabilidad presentes en la concreta actuación del cliente. Es el órgano sancionador el que establecerá la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que proceda en relación con la gravedad de cada caso.
¿Qué principios rigen la LOPD?
Los principios son:
- Principio de calidad: Los datos de carácter personal sólo se podrán recoger para su tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.
- Principio de finalidad: La ley establece que los datos no pueden ser utilizados para finalidades distintas a aquellas para los que fueron recabados. Se habla de finalidades incompatibles.
- Principio de actualidad: Los datos personales incorporados a un fichero han de responder a una situación actual, supone una remisión al, principio de calidad de los datos, o lo que es lo mismo, sería la aplicación de ese principio una vez que los datos han sido tratados.
- Principio de exactitud: Los datos personales han de ser modificados y rectificados por el responsable del fichero desde el momento en que conoce la modificación.
- Principio de información: Cuando se recojan datos de carácter personal ha de informarse al afectado de la existencia de un fichero, de la finalidad de la recogida, de los destinatarios de los mismos y de los datos necesarios para poder ejercer sus derechos.
- Principio de obtención del consentimiento: El tratamiento de los datos requiere el consentimiento inequívoco (tácito o expreso) del afectado.
¿Qué es un fichero?
La normativa entiende por fichero, todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso. Los ficheros pueden ser tanto físicos (en soporte de papel), como automatizados (soporte informatizado).
¿En qué consiste la inscripción de los ficheros?
Toda persona o entidad que proceda a la creación de ficheros de carácter personal lo debe notificar a la Agencia Española de Protección de Datos, estableciéndose reglamentariamente los distintos extremos que debe contener la notificación.
La consulta de los ficheros inscritos es pública, y se puede hacer online. Por tanto si desea saber si su empresa tiene inscritos los ficheros puede hacerlo a través del Registro General de Protección de Datos dependiente de la AEPD y que se puede consultar a través de la web http://www.agpd.es/.
Todos los ficheros deben ser inscritos en el Registro General de Protección de Datos a nombre de cada uno de los responsables y conforme al modelo estándar que figura en la página Web anteriormente citada.
Tanto para inscribir, como para suprimir o modificar la inscripción de un fichero en el Registro General de Protección de Datos, se deberá cumplimentar en todos los casos el modelo establecido en la Resolución de la Agencia Española de Protección de Datos, de 30 de mayo de 2000 (B.O.E. nº 153, de 27 de junio de 2000), por la que se aprueban los modelos normalizados en soporte papel, magnético y telemático. Así mismo, se comunica que los citados modelos se pueden obtener a través de Internet en la página web de la AEPD.
En el caso de que se solicite la modificación de la inscripción de un fichero, deberá notificar, de acuerdo a lo dispuesto en el artículo 26.3 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, los cambios que se produzcan en la finalidad del fichero automatizado, en su responsable, y en la dirección de su ubicación, o cualquier otra modificación que se pudiera haber producido desde la declaración inicial del fichero objeto de inscripción en el Registro General de Protección de Datos.
Deberá cumplimentar del modelo de notificación, la hoja de solicitud, el apartado de modificación indicando el código de inscripción asignado por la Agencia, señalando aquellos apartados que se modifican respecto a la notificación anterior y los apartados que se pretendan modificar.
Los apartados señalados deben cumplimentarse en su totalidad, y no sólo los aspectos modificados respecto a notificaciones previas, ya que esta notificación sustituye a la anterior inscripción en el Registro General de Protección de Datos.
¿Qué ocurre si no se notifica la existencia de un fichero?
En este caso podría incurrirse en falta leve o grave, tal y como señala el artículo 44 de la ley orgánica 15/1999, quedando sujeto al régimen sancionador previsto en esta ley.
Las faltas leves originan sanciones económicas que oscilan entre 601,01 euros y 60.101,21 euros, mientras que las faltas graves suponen sanciones económicas de hasta 300.506,05 euros.
¿Quién es el responsable de un fichero?
Es aquella persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento, en protección de datos esta figura es equiparable a la del responsable del tratamiento.
¿Quién es el encargado del tratamiento?
La Ley Orgánica de Protección de Datos (LOPD) entiende por encargado del tratamiento la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento.
Encargados del tratamiento serían, por ejemplo, todas aquellas empresas o profesionales que, para prestarnos un servicio contratado, traten con los datos de nuestros ficheros (asesoría laboral, contable, empresas de informática, etc.)
¿Qué se considera fuente accesible al público?
Son aquellos ficheros cuya consulta puede ser realizada, por cualquier persona, no impedida por una norma limitativa o sin más exigencia que, en su caso, el abono de una contraprestación.
Son fuentes accesibles al público, exclusivamente:
- Censo promocional
- Los repertorios telefónicos en los términos previstos por su normativa específica
- Las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo.
- Los diarios y boletines oficiales (el día de su emisión solamente) y los medios de comunicación.
¿Es Internet un medio de comunicación, a efectos de ser considerado como fuente de acceso público?
La enumeración de las fuentes de acceso público realizada en el artículo 3.j de la Ley Orgánica de Protección de Datos (LOPD) tiene carácter exclusivo, por lo que no caben interpretaciones analógicas de la misma. En este sentido la AEPD se ha pronunciado en diversas ocasiones afirmando que Internet no constituye un medio de comunicación, por lo que los datos de carácter personal publicados en la red no podrán ser sometidos a tratamiento sin contar con el consentimiento de los interesados, obtenido conforme a las previsiones legales.
¿Qué es la cesión o comunicación de datos?
Es toda revelación de datos realizada a una persona distinta del interesado.
La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal establece en su artículo 11, que “los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado”.
¿Qué niveles de Seguridad distingue la LOPD?
Dependiendo de su mayor o menor injerencia dentro del ámbito de la esfera de lo personal, los datos se dividen en tres niveles:
Nivel Básico:
- Nombres, apellidos, D.N.I., dirección, etc.
Nivel Medio:
- Comisión de infracciones penales y administrativas.
- Solvencia patrimonial y crédito.
- Administraciones tributarias.
- Entidades financieras para la prestación de servicios financieros.
- Entidades gestoras y servicios comunes de la Seguridad Social.
- Mutuas de accidente de trabajo y enfermedad profesional.
- Ficheros que reúnan un conjunto de datos de carácter personal que permitan evaluar aspectos o comportamientos del individuo.
Nivel Alto:
- Comisión de infracciones penales y administrativas.
- Solvencia patrimonial y crédito.
- Administraciones tributarias.
- Entidades financieras para la prestación de servicios financieros.
- Entidades gestoras y servicios comunes de la Seguridad Social.
- Mutuas de accidente de trabajo y enfermedad profesional.
- Ficheros que reúnan un conjunto de datos de carácter personal que permitan evaluar aspectos o comportamientos del individuo.
¿En qué consisten los derechos de acceso, rectificación, cancelación y oposición?
El responsable del tratamiento deberá hacer efectivo y atender las solicitudes del afectado para el ejercicio de los siguientes derechos:
Derecho de acceso: El interesado tendrá derecho a solicitar y a obtener gratuitamente información de sus datos de carácter personal sometidos a tratamiento, el origen de sus datos o que se prevean hacer con los mismos.
Este derecho solo podrá ser ejercitado a intervalos no inferiores a doce meses.
Derecho de rectificación y cancelación: El responsable deberá así mismo hacer efectivo estos derechos en un plazo de diez días. Se deberá proceder a la rectificación y cancelación de los datos, en la forma legalmente recogida, siempre que los datos objeto de tratamiento no se ajuste a l dispuesto en la presente ley y, en particular, cuando tales datos resulten inexactos o incompletos.
Derecho de oposición: Los interesados, titulares de los datos pueden oponerse a al tratamiento de los mismos, de conformidad con lo revisto en el artículo 6.4 de la LOPD que establece:
“En los casos en los que no sea necesario el consentimiento del afectado para el tratamiento de los datos de carácter personal, y siempre que una Ley no disponga lo contrario, éste podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal. En tal supuesto, el responsable del fichero excluirá del tratamiento los datos relativos al afectado."
Habrá de tenerse en cuenta además, que el consentimiento es revocable, a salvo de las excepciones previstas por la Ley.
Los procedimientos para ejercitar los derechos del afectado serán establecidos reglamentariamente, facilitando la AEPD unos modelos de impresos para la solicitud de los mismos, que se encuentran a disposición de los interesados en su web (www.agpd.es), pudiendo el interesado dirigir esta solicitud a la dirección facilitada por el responsable del fichero.
¿Qué información y cómo debe proporcionarse a los interesados cuando se recogen sus datos personales?
El deber de información previo al tratamiento de los datos de carácter personal es uno de los derechos básicos de los interesados, contenidos en la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal; por tanto, si se van a registrar y tratar datos de carácter personal, será necesario informar a través del medio que se utilice para la recogida, del contenido del artículo 5 que regula el derecho de información de los afectados previo a la recogida de los datos:
1. 'Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:
a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.
b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante....'
Cuando el responsable del tratamiento no esté establecido en el territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, deberá designar, salvo que tales medios se utilicen con fines de tránsito, un representante en España, sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable del tratamiento.
2. Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, en forma claramente legible, las advertencias a que se refiere el apartado anterior.
3. No será necesaria la información a que se refieren las letras b), c) y d) del apartado 1 si el contenido de ella se deduce claramente de la naturaleza de los datos personales que se solicitan o de las circunstancias en que se recaban.
4. Cuando los datos de carácter personal no hayan sido recabados del interesado, éste deberá ser informado de forma expresa, precisa e inequívoca, por el responsable del fichero o su representante, dentro de los tres meses siguientes al momento del registro de los datos, salvo que ya hubiera sido informado con anterioridad, del contenido del tratamiento, de la procedencia de los datos, así como de lo previsto en las letras a), d) y e) del apartado 1 del presente artículo.
No será de aplicación lo dispuesto en el apartado anterior cuando expresamente una Ley lo prevea, cuando el tratamiento tenga fines históricos, estadísticos o científicos, o cuando la información al interesado resulte imposible o exija esfuerzos desproporcionados, a criterio de la Agencia Española de Protección de Datos o del organismo autonómico equivalente, en consideración al número de interesados, a la antigüedad de los datos y a las posibles medidas compensatorias.
Asimismo, tampoco regirá lo dispuesto en el apartado anterior cuando los datos procedan de fuentes accesibles al público y se destinen a la actividad de publicidad o prospección comercial, en cuyo caso, en cada comunicación que se dirija al interesado se le informará del origen de los datos y de la identidad del responsable del tratamiento así como de los derechos que le asisten.'
En consecuencia, cuando se recaban datos personales debe informarse de modo expreso, preciso e inequívoco de lo expuesto anteriormente.
¿A qué se refiere la Ley Orgánica de Protección de Datos (LOPD) cuando habla de consentimiento?
Se refiere, exactamente, a cualquier manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen.
¿Qué tipos de consentimiento existen y cuales son admitidos por la Ley Orgánica de Protección de Datos (LOPD)?
Realizando un análisis sobre los tipos de consentimiento admitidos por la LOPD, podemos concluir que existen tres tipos:
Consentimiento presunto:
El consentimiento presunto, aquel que “se desprende del comportamiento del interesado”, pese a su admisión doctrinal, presenta grandes problemas de inseguridad jurídica conllevando un evidente riesgo, por lo que no se encuentra admitido por la LOPD.
Consentimiento tácito:
El consentimiento tácito, se diferencia del consentimiento presunto en que este no se deriva de actos del interesado sino precisamente “de su falta de actuación, de su silencio”.
Este consentimiento tácito se encuentra admitido por la LOPD y también por la propia AEPD pero no tendría validez en los casos en que la Ley exige una declaración expresa, como para el tratamiento de datos de salud.
Consentimiento expreso:
El consentimiento expreso, por su parte, “exige que se declare de forma clara e inequívoca por parte del interesado que acepta o consiente el tratamiento o la cesión de los que se le informa, mediante la expresión de su voluntad”, este consentimiento podrá ser por escrito, verbalmente, mediante comunicación telemática o por cualquier otro medio.
El consentimiento expreso únicamente debe reclamarse en aquellos supuestos en los que la Ley así lo establece de forma manifiesta y en este sentido, se encuentra admitido por la LOPD.
En conclusión:
Si unimos las anteriores consideraciones deberemos:
0. Si se trata de datos de nivel básico y medio, la ley no exige ninguna especialidad en el consentimiento, por lo que será válido el consentimiento tácito.
1. Si se trata de datos de nivel alto (excepto los relativos a ideología, afiliación sindical, religión y creencias) será necesario el consentimiento expreso.
2. Si se trata de datos de ideología, afiliación sindical, religión y creencias, es necesario que el consentimiento no sólo sea expreso sino además por escrito.
¿Qué es un documento de seguridad?
La Ley Orgánica de Protección de Datos (LOPD) obliga a las empresas que sean titulares de ficheros de datos de carácter personal, independientemente de que estos se encuentren en formato papel o informatizados, a elaborar e implantar un Documento de Seguridad que describa los procesos que garantizan el acceso controlado a dichos datos según el nivel de seguridad que por su naturaleza a cada uno se le atribuye.
El documento de seguridad debe tener el contenido mínimo que indica el artículo 88 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.
Este documento deberá mantenerse en todo momento actualizado y deberá ser revisado siempre que se produzcan cambios relevantes en el sistema de información o en la organización del mismo.
¿Qué se entiende por medidas de seguridad de los ficheros de datos?
Las medidas de seguridad de los ficheros son el conjunto de medidas de carácter técnico y organizativo que debe implantar el Responsable del fichero para controlar el acceso y tratamiento de los ficheros que contengan datos de carácter personal, estas medidas serán más o menos restrictivas en función del nivel de seguridad que requieran los datos contenidos en dichos ficheros.
Con el fin de garantizar la seguridad de los datos, las medidas de seguridad se aplicarán a los centros de tratamiento de los datos, a los locales en los que se ubican físicamente los ficheros de datos, a los equipos, sistemas informáticos y programas que se utilicen en su almacenamiento o tratamiento y a las personas que realizan las labores de recogida y tratamiento de los mismos.
¿Cuáles son las medidas de seguridad a aplicar?
Las medidas de seguridad se dividen en los niveles básico, medio y alto dependiendo del tipo de dato que contenga el fichero y hay que destacar que las medidas a aplicar son acumulativas, es decir, el nivel alto deberá cumplir además de las medidas de seguridad correspondientes a su nivel, las de nivel básico y medio.
Los datos de nivel básico son cualquier tipo de dato personal como un nombre o un DNI y las principales medidas de seguridad a aplicar son:
- Redacción de un documento de seguridad en el que se refleje la política de seguridad del Responsable del Fichero.
- Poseer mecanismos de identificación y autenticación de los usuarios que entren en el sistema de información.
- Poseer un Registro de Incidencias.
- Realizar copias de seguridad.
El nivel de seguridad de nivel medio se aplica a aquellos datos relativos a los servicios financieros, a los datos que permitan obtener una evaluación de la personalidad del individuo, datos sobre solvencia patrimonial y crédito (ficheros de morosos), datos de la Hacienda Pública, etc. para estos datos las medidas de seguridad más importantes del nivel medio son:
- La designación de un responsable de seguridad.
- Un sistema de identificación y autenticación de usuarios personalizado.
- Control de acceso físico al sistema de información.
- Un registro de entrada, salida y un control exhaustivo de soportes.
- Un registro de incidencias reforzado.
El nivel máximo de seguridad es el alto y se aplicará a aquellos datos especialmente protegidos como los de salud, afiliación sindical, etc. Las principales medidas de seguridad son:
- La distribución de soportes se realizará cifrando los datos.
- Existirá un registro de accesos que controle la identificación del usuario, la fecha y hora del acceso, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado.
- La distribución de datos personales a través de redes de telecomunicaciones se realizará cifrando dichos datos.
¿Qué entidades están obligadas a someterse a una auditoría de protección de datos?
El Reglamento de Medidas de Seguridad establece la necesidad de someter a los sistemas de información e instalaciones de tratamiento de datos de carácter personal calificados de nivel medio y alto a una Auditoria Bienal que verifique el cumplimiento de las disposiciones vigentes en materia de seguridad de datos.
Esta auditoría se realizará como hemos dicho al menos, cada dos años, o siempre que se realice una modificación sustancial en el sistema de tratamiento de datos.
¿Cuándo existe distribución o transporte de datos?
Cuando existe movimiento de datos que consiste en la extracción de estos fuera del sistema de información, mediante un soporte extraíble o de otra forma, como por ejemplo la que se produce por correo o por cualquier otro medio convencional.
Mi organismo tiene subcontratado un servicio externo. ¿Estoy obligado a adaptarme a la LOPD?
Aunque la gestión de los datos no la realice su organismo y este subcontratada, su entidad como responsable de ese fichero está obligada a adaptarse a la LOPD.
Dentro de las obligaciones que su organismo asumirá, existe la de adaptar sus contratos de outsourcing o prestación de servicios de terceros a la LOPD, detallando en los mismos las obligaciones que esa empresa subcontratada o encargado del tratamiento tiene que cumplir en su nombre.
¿Los datos relativos a empresas son también objeto de aplicación de la LOPD?
No, el que su organismo tenga en una base de datos, una ficha donde aparezca que la empresa A, tiene una sede en la calle X y que el gerente es Pedro López con número de teléfono profesional X no es considerado un dato de carácter personal, objeto de aplicación de la LOPD, porque esos datos se refieren únicamente a los datos profesionales de Pedro López, en representación de su empresa.
Ahora bien, si además tengo su DNI y la dirección de su domicilio, en este caso si se considera que tengo datos de carácter personal de Pedro López, por lo que a ese fichero se le debe aplicar la LOPD.
¿Qué organismos están obligados a notificar sus ficheros al registro general de protección de datos?
Están obligados a notificar la creación de ficheros para su inscripción en registro, de acuerdo con lo dispuesto en la Ley Orgánica 15/1999, aquellas personas físicas jurídicas, de naturaleza pública o privada, que en el desarrollo de su actividad profesional trate o mantenga ficheros que contengan datos de carácter personal.
Así, aquellos organismos que manejen bases de datos, archivos, ficheros o programas informáticos que traten datos de carácter personal deberán notificarlos al registro general de la agencia de protección de datos
No hay comentarios:
Publicar un comentario