LOPD
Introducción.
En el año 1944 se reconocía el
derecho a la intimidad de las personas en la Declaración de Derechos Humanos.
La primera ley sobre protección de datos en Europa se redactó en Alemania en
1970 y en EEUU se dictó la Privacy Action en 1974. En España fue en 1978, en el
artículo 18 de la Constitución Española. De esta manera, cualquier persona
tiene derecho a controlar todos los aspectos de su vida privada, decidir quién
puede acceder a sus datos y quién no.
De ahí deriva la ley orgánica
15/1999 de 13 de diciembre de Protección de Datos de carácter personal.
Definiciones.
Datos de carácter personal. Cualquier información numérica,
alfabética, gráfica, fotográfica, acústica o de cualquier tipo concerniente a
personas físicas identificadas e identificables.
Datos de carácter personal relacionados con la salud. Las
informaciones concernientes a la salud pasada, presente o futura, física o
mental, de un individuo. En particular, se consideran datos relacionados con la
salud de las personas los referidos a su porcentaje de discapacidad y a su
información genética.
Fichero. Todo conjunto organizado de datos de carácter personal,
que permita el acceso a datos con arreglo a criterios determinados, cualquiera
que fuera la forma o modalidad de su creación, almacenamiento, organización y
acceso.
Fichero no automatizado. Todo conjunto de datos de carácter
personal organizado de forma no automatizada y estructurado conforme a
criterios específicos relativos a personas físicas, que permitan acceder sin
esfuerzos desproporcionados a sus datos personales, ya sea aquél centralizado,
descentralizado o repartido de forma funcional o geográfica.
Ficheros temporales. Ficheros de trabajo creados por usuarios o
procesos que son necesarios para un tratamiento ocasional o como paso
intermedio durante la realización de un tratamiento.
Tratamiento de datos. Operaciones y procedimientos técnicos de
carácter automatizado o no, que permitan la recogida, grabación, conservación,
elaboración, modificación, consulta, utilización, modificación, bloqueo,
cancelación o supresión, así como las cesiones de datos que resulten de
comunicaciones, consultas, interconexiones y transferencias.
Responsable del fichero o tratamiento. Persona física o jurídica,
de naturaleza pública o privada, u órgano administrativo, que sólo o
conjuntamente con otros decida sobre la finalidad, contenido y uso del
tratamiento, aunque no lo realizase materialmente.
Responsable de seguridad. Persona o personas a las que el
responsable del fichero ha asignado formalmente la función de coordinar y
controlar las medidas de seguridad aplicables.
Encargado del tratamiento. La persona física o jurídica, pública o
privada, u organismo administrativo que, solo o conjuntamente con otros, trate
datos personales por cuenta del responsable del tratamiento o del responsable
del fichero, como consecuencia de la existencia de una relación jurídica que le
vincula con el mismo y delimita el ámbito de su actuación para la prestación de
un servicio.
Afectado o interesado. Persona física titular de los datos que sean
objeto de tratamiento.
Comunicación o cesión de datos. Tratamiento de datos que supone su
revelación a una persona distinta del interesado.
Destinatario o cesionario. La persona física o jurídica, pública o
privada y órgano administrativo, al que se revelen los datos. Podrán ser
también destinatarios los entes sin personalidad jurídica que actúen en el
tráfico como sujetos diferenciados.
Transferencia de datos. El transporte de datos entre sistemas
informáticos por cualquier medio de transmisión, así como el transporte de
soportes de datos por correo o por cualquier otro medio convencional.
Fuentes accesibles al público. Aquellos ficheros cuya consulta
puede ser realizada por cualquier persona, no impedida por una norma
limitativa, o sin más exigencia que, en su caso, una contraprestación.
Sistema de información. Conjunto de ficheros, tratamientos,
programas, soportes y es su caso, equipos empleados para el tratamiento de
datos de carácter personal.
Sistema de tratamiento. Modo en que se organiza o utiliza un
sistema de información. Atendiendo al sistema de tratamiento, los sistemas de
información podrán ser automatizados, no automatizados o parcialmente
automatizados.
Usuario. Sujeto o proceso autorizado para acceder a datos o
recursos.
Recurso. Cualquier parte componente de un sistema de información.
Soporte. Objeto físico que almacena o contiene datos o documentos,
u objeto susceptible de ser tratado en un sistema de información y sobre el
cual se puede grabar o recuperar datos.
Identificación. Procedimiento de reconocimiento de la identidad de
un usuario.
Autenticación. Procedimiento de comprobación de la identidad de un
usuario.
Control de acceso. Mecanismo que, en función de la identificación
ya autenticada, permite acceder a los datos o recursos.
Contraseña. Información confidencial, frecuentemente constituida
por una cadena de caracteres, que puede ser usada en la autenticación de un
usuario, o en el acceso a un recurso.
Copia de respaldo. Copia de los datos de un fichero automatizado en
un soporte que posibilite su recuperación.
Incidencia. Cualquier anomalía que afecte o pudiera afectar a la
seguridad de los datos.
Perfil de usuario. Acceso autorizado a un grupo de usuarios.
Documento. Todo escrito, gráfico, sonido, imagen o cualquier otra
clase de información que puede ser tratada en un sistema de información como
una unidad diferenciada.
Cancelación. Procedimiento en virtud del cual el responsable cesa
en el uso de los datos. La cancelación implicará el bloqueo de los datos,
consistente en la identificación y reserva de los mismos con el fin de impedir
su tratamiento excepto para su puesta a disposición de las Administraciones
públicas, Jueces y Tribunales, para la atención de las posibles
responsabilidades nacidas del tratamiento y sólo durante el plazo de
prescripción de dichas responsabilidades.
Consentimiento del interesado. Toda manifestación de voluntad,
libre, inequívoca, específica, mediante la que el interesado consienta el
tratamiento de datos personales que le conciernen.
Exportador de datos personales. La persona física o jurídica,
pública o privada, u órgano administrativo situado en territorio español que
realice, conforme a lo dispuesto en el presente Reglamento, una transferencia
de datos de carácter personal a un país tercero.
Persona identificable. Toda persona cuya identidad pueda
determinarse, directa o indirectamente, mediante cualquier información referida
a su identidad física, fisiológica, psíquica, económica, cultural o social. Una
persona física no se considerará identificable si dicha identificación requiere
plazos o actividades desproporcionadas.
Proceso de disociación. Todo tratamiento de datos personales que
permita la obtención de datos disociados.
Tercero. La persona física o jurídica, pública o privada u órgano
administrativo distinto del afectado o interesado, del responsable del
tratamiento, del responsable del fichero, del encargado del tratamiento y de
las personas autorizadas para tratar los datos bajo la autoridad directa del
responsable del tratamiento o del encargado del tratamiento. Podrán ser también
terceros los entes sin personalidad jurídica que actúen en el tráfico como
sujetos diferenciados.
Ámbito de aplicación.
Protege los datos de carácter
personal registrados en soporte físico que sean susceptibles de tratamiento, y
a toda modalidad de uso posterior. Se aplica tanto a los datos personales
registrados en soporte automatizado como a los registrados en soporte papel.
Se aplica a los sectores público
y privado.
Se aplicará la normativa a:
-Las personas físicas o jurídicas
dentro del territorio español que realicen actividades en un establecimiento
del responsable del fichero.
-Las personas físicas y jurídicas
a las cuales, aunque no se encuentren en territorio español, se les pueda
aplicar la legislación española en aplicación de las normas de Derecho
Internacional Público.
-Los responsables del tratamiento
que, aunque no se encuentren en territorio de la Unión Europea, utilicen en el
tratamiento de datos medios que estén situados en territorio español, a menos
que dichos medios se utilicen con fines de tránsito.
No se aplicará la ley a:
-Los ficheros que posean personas
físicas para fines exclusivamente personales o domésticos, que forman parte de
la vida privada o familiar de los particulares.
-Los ficheros sometidos a la
normativa sobre protección de materias clasificadas.
-Los ficheros establecidos para
la investigación del terrorismo y de
formas graves de delincuencia organizada.
El responsable del fichero
comunicará previamente la existencia del fichero, sus características generales y su finalidad a la
Agencia de Protección de Datos.
No será aplicable a los
tratamientos de datos referidos a personas jurídicas, ni a los ficheros que se
limiten a incorporar los datos de las personas físicas que presten sus
servicios en aquellas, consistentes
únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así
como la dirección postal o electrónica, teléfono y número de fax profesional.
También estarán excluidos los
datos relativos a empresarios individuales, cuando hagan referencia a ellos en
su calidad de comerciantes, industriales o navieros.
No se aplicará a personas
fallecidas. Los familiares pueden dirigirse a los responsables de los ficheros
para comunicar el fallecimiento y solicitar en su caso la cancelación de los
datos.
Ficheros que no regula la LOPD.
*Ficheros regulados por la
legislación de régimen electoral.
*Ficheros cuyos fines son
exclusivamente estadísticos y estén amparados por la legislación estatal o
autonómica sobre la función estadística pública.
*Ficheros que tengan por objeto
el almacenamiento de los datos contenidos en los informes personales de
calificación a que se refiere la legislación del Régimen del personal de las
Fuerzas Armadas.
*Ficheros derivados del Registro
Civil y del Registro Central de penados y rebeldes.
*Ficheros procedentes de imágenes
y sonidos obtenidos mediante utilización de videocámaras por las Fuerzas y
Cuerpos de Seguridad, conforme a la legislación sobre la materia.
Principio de calidad de los datos.
Se define como datos de carácter
personal cualquier información concerniente a personas físicas identificadas e
identificables.
Sólo se podrán recoger y someter
a tratamiento datos cuando sean adecuados, pertinentes y no excesivos en
relación con el ámbito y las finalidades determinadas, explícitas y legítimas
para las que se hayan obtenido.
No se podrán usar los datos de
carácter personal para fines incompatibles con aquellos para los que se
hubieran recogido, salvo que se trate de fines históricos, estadísticos o
científicos.
Está prohibida la recogida
fraudulenta, desleal o ilícita de datos de carácter personal. Sancionada con
multas de 300.505,05 hasta 601.012,10
El tratamiento posterior de los
datos con fines históricos, estadísticos o científicos no se considerará una
finalidad incompatible.
Deben de cumplir los siguientes requisitos:
-Ser exactos y estar
actualizados.
-Caso contrario serán cancelados
y sustituidos de oficio por los correspondientes en el plazo de 10 días desde
el conocimiento de la inexactitud.
-El responsable tiene 10 días
para comunicárselo al cesionario que a su vez tiene 10 días para proceder a la
rectificación y cancelación desde la notificación.
-Los datos serán cancelados
cuando dejen de ser necesarios o pertinentes para la finalidad para la que
fueron recogidos.
-Podrán conservarse el tiempo en
que pueda exigirse algún tipo de responsabilidad derivada de una relación u
obligación jurídica o de la ejecución de un contrato o de la aplicación de
medidas precontractuales solicitadas por el interesado.
-Los datos de carácter personal
serán tratados de forma que permitan el ejercicio del derecho de acceso en
tanto no proceda su cancelación.
El derecho de los interesados a la información durante la recogida de datos.
Deben de estar informados de
forma precisa, inequívoca y expresa de los siguientes aspectos:
-Existencia del fichero o
tratamiento de datos de carácter personal.
-Finalidad de la recogida de
datos.
-Destinatarios de la información.
-Si las respuestas son
facultativas u obligatorias.
-Consecuencias de la obtención de
datos y de la negativa a facilitarlos.
-Identidad y dirección del
responsable del tratamiento o de su representante en su caso.
El responsable del fichero deberá
conservar el soporte en el que conste el cumplimiento del deber de informar
durante el periodo de tiempo durante el cual transcurra el tratamiento de los
datos.
Si los datos son recabados de
manera indirecta, el responsable del fichero no está obligado a comunicarlo al
interesado antes de los tres meses siguiente al momento del registro de datos
si:
-La obtención de la información
está prevista en una ley.
-Los fines son históricos,
estadísticos o científicos.
-La información al interesado
necesitase esfuerzos desproporcionados o fuese imposible.
-Los datos procedan de fuentes
accesibles al público y se destinen a actividades de publicidad o prospección
comercial. En cuyo caso habrá de comunicárselo a los interesados, de parte del
responsable del fichero indicando el origen de los datos y la identidad del
responsable del tratamiento de los datos.
Consentimiento del afectado.
Será necesario siempre, pudiendo
éste revocarlo, siempre que exista causa justificada para ello.
Excepciones:
-Cuando los datos se recojan para
el ejercicio de las funciones propias de las Administraciones Públicas en el
ámbito de sus competencias.
-Cuando se refieran a las partes
de un contrato y los datos personales sean necesarios para su mantenimiento y
cumplimiento.
-Cuando la finalidad es de
importancia vital para el interesado. Diagnósticos y tratamientos médicos.
-Cuando los datos se encuentren
en fuentes accesibles al público y su tratamiento sea necesario para la
satisfacción del interés legítimo perseguido por el responsable del fichero.
-Cuando lo autorice una norma con
rango de ley o una norma de derecho comunitario.
Corresponderá al responsable del
tratamiento la prueba de la existencia del consentimiento del afectado por
cualquier medio de prueba admisible en derecho.
Los afectados deberán poder
revocar el consentimiento a través de un medio sencillo, gratuito y que no
implique ingreso alguno para el responsable del fichero o tratamiento. Será
válido cualquier procedimiento en el que la revocación pueda efectuarse mediante
un envío pre franqueado al responsable del tratamiento o la llamada a un número
de teléfono gratuito o a los servicios de atención al público que el mismo
hubiera establecido.
No se consideran validos los
casos en que el responsable establezca como medio para que el interesado pueda
manifestar su negativa al tratamiento el envío de cartas certificadas o envíos
semejantes, la utilización de servicios de telecomunicaciones que implique una
tarificación adicional al afectado o cualquier medio que impliquen un coste
adicional al interesado.
El responsable deberá cesar en el
tratamiento de los datos en el plazo máximo de 10 días a contar desde el de la
recepción de la revocación del consentimiento. Si el interesado hubiera
solicitado del responsable del tratamiento la confirmación del cese en el
tratamiento de sus datos, éste deberá responder expresamente a la solicitud.
Si los datos hubieran sido
cedidos o comunicados previamente, el responsable del tratamiento, una vez
revocado el consentimiento, deberá comunicarlo a los cesionarios, en el plazo
de 10 días, para que éstos, cesen en el tratamiento de los datos en caso de que
aún lo mantuvieran.
Tipos de datos.
Datos especialmente protegidos.
-Ideología
-Afiliación
sindical
-Religión
-Creencias
-Origen
racial o étnico
-Salud
-Vida
sexual
Datos de carácter identificativo
DNI
o NIF
Nº
de la SS o Mutualidad
Nombre
y apellidos
Dirección
(postal electrónica)
Teléfono
Firma
o huella digital
Imagen
o voz
Marcas
físicas
Firma
electrónica
Datos de características personales
Datos
de estado civil
Datos
de familia
Fecha
de nacimiento
Lugar
de nacimiento
Edad
Sexo
Nacionalidad
Lengua
materna
Características
físicas o antropométricas
Datos de circunstancias sociales.
Características
de alojamiento, vivienda
Situación
militar
Propiedades,
posesiones
Aficiones
y estilos de vida
Pertenencia
a clubes, asociaciones
Licencias,
permisos, autorizaciones
Datos académicos y profesionales.
Formación,
titulaciones
Historial
de estudiante
Experiencia
profesional
Pertenencia
a colegios o asociaciones profesionales
Datos de detalles de empleo.
Profesión
Puesto
de trabajo
Datos
no económicos de la nómina
Historial
del trabajador
Datos de información comercial.
Actividades
y negocios
Licencias
comerciales
Suscripciones
a publicaciones y medios de comunicación
Creaciones
artísticas, literarias, científico-técnicas
Datos económico-financieros y de seguros.
Ingresos,
rentas
Inversiones,
bienes patrimoniales
Créditos,
préstamos, avales
Datos
bancarios
Planes
de pensiones, jubilaciones
Datos
económicos de nómina
Datos
deducciones impositivas o impuestos
Seguros
Hipotecas
Subsidios
o beneficios
Historial
créditos
Tarjeta
crédito
Datos de transacciones.
Bienes y
servicios suministrados por el afectado
Bienes y
servicios recibidos por el afectado
Transacciones
financieras
Compensaciones,
indemnizaciones
Los ficheros mantenidos por los
partidos políticos, los sindicatos, las iglesias, las comunidades religiosas,
asociaciones, fundaciones o entidades sin ánimo de lucro quedan excluidos ya
que estos ficheros tratarían de datos de sus miembros o asociados y la cesión
de estos datos siempre necesitan el consentimiento previo del afectado.
Los ficheros creados con la única
finalidad de almacenar datos personales sobre la ideología, la afiliación
sindical, la religión, las creencias, el origen racial o étnico, o la vida
sexual están totalmente prohibidos.
Los datos relacionados con la
comisión de infracciones penales o administrativas sólo podrán ser incluidos en
los ficheros de las Administraciones Públicas competentes.
Los datos relativos a la salud también están
especialmente protegidos.
El deber del secreto.
El responsable del fichero y
todas las personas que intervengan en cualquier fase del tratamiento de los
datos de carácter personal están obligados al secreto profesional respecto de
los mismos y al deber de guardarlos.
El deber de secreto subsiste aun
después de finalizar sus relaciones con el titular del fichero, o en su caso,
con el responsable del mismo.
La comunicación de datos a terceros.
Sólo se podrán comunicar datos a
terceros cuando los fines directamente relacionados con las funciones legítimas
del cedente y del cesionario con el previo consentimiento del interesado.
En el momento que se realice la
primera cesión de datos, el responsable del fichero deberá informar de ello a
los afectados.
Para que el consentimiento del
interesado sea válido el responsable del fichero le tendrá que informar de:
-La finalidad a la que se
destinarán los datos personales a cuya comunicación se está autorizando.
-La naturaleza de los datos que
han sido cedidos.
-El nombre y dirección del
cesionario.
El responsable del fichero no
está obligado a informar caso que:
-La cesión la autorice una ley.
-El tratamiento responda a la
libre y legítima aceptación de una relación jurídica cuyo desarrollo,
cumplimiento y control implique necesariamente la conexión de dicho tratamiento
con ficheros de terceros.
-Los destinatarios de la cesión
sean el Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o
el Tribunal de Cuentas, en el ejercicio de sus funciones.
-La comunicación se realice entre
Administraciones Públicas y tenga por objeto el tratamiento posterior de los
datos con fines históricos, científicos o estadísticos.
-El tratamiento de los datos
personales se realice mediante procedimiento de disociación.
El consentimiento para la
comunicación de los datos de carácter personal tiene carácter revocable.
La subcontratación.
El encargado del tratamiento no
podrá subcontratar con un tercero la realización de ningún tratamiento que le
hubiera encomendado el responsable del tratamiento, salvo que hubiera obtenido
de éste autorización para ello. En este caso, la contratación se efectuará
siempre en nombre y por cuenta del responsable del tratamiento.
Requisitos de la subcontratación sin necesidad de autorización expresa.
-Que se especifique en el
contrato los servicios que puedan ser objeto de subcontratación y la empresa
con la que se vaya a subcontratar. Caso que no esté identificada, el encargado
del tratamiento exigirá la responsable los datos de identificación.
-Que el tratamiento de datos de
carácter personal por parte del subcontratista se ajuste a las instrucciones
del responsable del fichero.
-Que el encargado del tratamiento
y la empresa subcontratista formalicen un contrato y entonces el subcontratista
sería considerado encargado del tratamiento.
Movimiento internacional de datos.
El país receptor de datos habrá
de garantizar un nivel de protección de datos equiparable al que presta la
LOPD. A menos que lo autorice previamente el Director de la Agencia de
Protección de Datos.
La Agencia de Protección de Datos
es la encargada de evaluar el carácter adecuado de los niveles de protección de
datos de cada país.
Evaluará los siguientes aspectos:
-La naturaleza de los datos de
finalidad.
-La duración del tratamiento.
-El país de origen.
-El país de destino final.
-Las normas de Derecho generales
o sectoriales vigentes en el país tercero.
-El contenido de los informes de
la Comisión de la Unión Europea.
-Las normas profesionales y las
medidas de seguridad en vigor en dichos países.
No se aplicará lo anterior en
caso de:
-Países con tratados o convenios
en los que sea parte España.
-Que la finalidad sea prestar o solicitar
auxilio judicial internacional.
-Que sea para la prevención o el
diagnóstico médicos, prestación de asistencia o tratamiento médico o la gestión
de servicios médicos.
-Que sean transferencias
dinerarias conforme a su legislación específica.
-Que el afectado haya dado su
consentimiento.
-Cuando sea a petición del
afectado.
-Cuando sea para la celebración
de un contrato en interés del afectado, por el responsable del fichero y un
tercero.
-En interés público por una
Administración fiscal o Aduanera.
-En un proceso judicial.
-Cuando la transferencia sea a
petición de una persona con interés legítimo desde un registro público y la
petición sea acorde con la finalidad del registro.
-Cuando la transferencia sea
destinada a un estado miembro de la Unión Europea y hayan declarado que
garantiza un nivel de protección adecuado.
El fichero.
Es un conjunto organizado de
datos de carácter personal. Su creación deberá previamente notificarse a la
Agencia Española de Protección de Datos por la persona o entidad privada que
pretenda crearlo.
Solo se podrá crear cuando
resulte necesario para el logro de la actividad de la empresa, persona, o
entidad titular y se respeten las garantías que la LOPD establece para la
protección de datos.
La notificación a la Agencia Española de Protección de Datos deberá tener los siguientes datos.
-Responsable del fichero.
-Finalidad del fichero.
-Ubicación del fichero.
-Tipo de datos que contiene.
-Medidas de seguridad indicando
el nivel de protección, básico, medio o alto.
-Cesiones de datos que se prevean
efectuar.
-Previsión de transferencia de
datos a países terceros.
Con todos estos datos procedemos
a la inscripción en el registro general de protección de datos.
En caso de que falten datos el
encargado tendrá que completarlos o subsanarlos.
La inscripción del fichero deberá
encontrarse actualizada en todo momento.
Clasificación de ficheros.
Gestión contable, fiscal y administrativa.
-Gestión económica y contable.
-Gestión fiscal.
-Gestión administrativa.
-Gestión de facturación.
-Gestión de clientes.
-Gestión de proveedores.
-Gestión de cobros y pagos.
-Administración de fincas.
-Consultorías, auditorías,
asesorías y servicios relacionados.
-Históricos de relaciones
comerciales.
Recursos humanos.
-Gestión de personal.
-Gestión de nóminas.
-Formación de personal.
-Prestaciones sociales.
-Selección de personal.
-Gestión de trabajo temporal.
-Promoción y gestión de empleo.
-Prevención de riesgos laborales.
-Control de horario.
Servicios económicos financieros y seguros.
-Cuenta de crédito
-Cuenta de depósito
-Gestión de patrimonios
-Gestión de fondos de pensiones y
similares
-Gestión de tarjetas de crédito y
similares
-Registro de acciones y
obligaciones
-Otros servicios financieros
-Cumplimiento de obligaciones
dinerarias
-Prestación de servicios de
solvencia patrimonial y crédito
-Seguros de vida y salud
-otros tipos de seguros
Publicidad y prospección
-Publicidad
-Venta a distancia
-Encuestas de opinión
-Análisis de perfiles
-Prospección comercial
-Segmentación de mercados
-Sistema de ayuda a la toma de
decisiones
- Recopilación de direcciones
Servicios de telecomunicaciones
-Prestación de servicios de
telecomunicaciones
-Guías de servicios de
telecomunicaciones
-Comercio electrónico
-Prestación de servicios de
certificación
Actividades asociativas, culturales, recreativas, deportivas y sociales.
-Gestión actividades culturales
-Gestión de clubes o asociaciones
deportivas, culturales, profesionales y similares.
-Gestión de asociados o miembros
de partidos políticos, sindicatos, iglesias, confesiones o comunidades
religiosas y asociaciones, fundaciones y otras entidades sin ánimo de lucro
-Actividades asociativas diversas
-Asistencia social
-Gestión de medios de
comunicación social
Educación.
-Enseñanza infantil primaria
-Enseñanza secundaria
-Enseñanza universitaria
-Enseñanza especial
-otras enseñanzas
Sanidad.
-Gestión y control
-Historial clínico
-Investigación epidemiológica y
actividades analógicas
Seguridad
-Investigación privada a personas
-Seguridad y control acceso a
edificios
-Otras actividades de seguridad
Finalidades varias
-Fidelización de clientes
-Reservas y emisiones de billetes
-Fines históricos, científicos o
estadísticos
-Otras finalidades
Los tipos de cambios que hay que notificar a la AEPD son:
-la finalidad del fichero
automatizado
-el responsable
-la dirección de ubicación
-cualquier modificación posterior
en el contenido de la inscripción del fichero en el registro general de
protección de datos.
-notificación del responsable del
tratamiento o fichero cuando decida cancelar la inscripción.
Fuentes de acceso público.
-Censo promocional
-Listas de personas
pertenecientes a grupos de profesionales que contengan nombre, título, profesión, actividad, grado
académico, dirección profesional e indicación de su pertenencia al grupo.
-Guías de servicios de
comunicaciones electrónicas
-Diarios y boletines oficiales
-Medios de comunicación social.
Los libros de registro y los
archivos judiciales no se consideran fuentes accesibles al público sino de
acceso regulado, restringido y sujeto a un trámite de solicitud y autorización.
La AEPD no considera internet una
fuente de acceso público. Por lo tanto es necesario obtener el consentimiento
del afectado para realizar tratamientos con sus datos personales publicados en
internet.
El censo promocional.
Es aquel que recopila datos de
direcciones, reparto de documentos, publicidad, venta a distancia, prospección
comercial etc . Contiene los siguientes
datos:
*Nombre y apellidos
*Domicilio que conste en el censo
electoral.
El censo promocional se puede
utilizar durante un año, después pierde su carácter de fuente de acceso
público.
Los interesados pueden solicitar
no aparecer en dichos listados y el responsable del fichero deberá atender su
solicitud en el plazo de 10 días.
Prestación de servicios sobre solvencia patrimonial y crédito.
Solo podrán tratar datos de
carácter personal que hayan obtenido de las fuentes accesibles al público o de
informaciones facilitadas por el interesado o con su consentimiento.
Cualquier tercero podrá acceder a
esta información si:
*El afectado mantiene con el
tercero algún tipo de relación contractual.
*El afectado pretenda celebrar
con un tercero un contrato que implique el pago aplazado del precio.
*El afectado pretenda contratar
con el tercero la prestación de un servicio de
facturación periódica.
Los códigos tipo.
Es un documento que establece las
condiciones de organización, el régimen de funcionamiento, los procedimientos
aplicables, las normas de seguridad del entorno, la información personal y las
garantías para el ejercicio de los derechos de las personas.
Tiene carácter de código
deontológico o de buena práctica profesional y será vinculante para quienes se
adhieran al mismo. Contiene reglas o estándares específicos que permiten
armonizar los tratamientos de datos efectuados por los adheridos al código,
facilitar el ejercicio de los derechos a los afectados y facilitar el
cumplimiento de los dispuestos en la Ley y el reglamento. Debe estar redactado
en términos claros y accesibles.
Los códigos tipo deben
inscribirse en el registro general de protección de datos.
Cualquier particular podrá
obtener copia gratuita del código tipo que desee.
Contenido mínimo de un código tipo.
-Delimitación de su ámbito de
aplicación, las actividades a que el código se refiere y los tratamientos
sometidos al mismo.
-Las previsiones específicas para
la aplicación de los principios de protección de datos.
-Establecimiento de los
estándares homogéneos.
-Establecimiento de los
procedimientos que faciliten a los afectados ejercer sus derechos de acceso,
rectificación, cancelación y oposición.
-Determinación de la cesiones y
transferencias de datos que se prevean con indicación de las garantías que
deban adoptarse.
-Acciones formativas en materia
de protección de datos.
-Mecanismos de supervisión.
-Cláusulas tipo para la obtención
del consentimiento de los afectados al tratamiento o cesión de sus datos.
-Cláusulas tipo para informar a
los afectados del tratamiento, cuando los datos no sean obtenidos de ellos
mismos.
La auditoría.
Mediante la auditoría se verifica
que los sistemas de información y las instalaciones de tratamiento de datos de
nivel medio y alto cumplen con el Reglamento de Medidas de Seguridad.
Funciones de la autoría
-Adecuar las medidas y controles
al Reglamento de Seguridad.
-Identificar sus deficiencias y
proponer las posibles medidas correctoras.
-Incluir los datos, hechos y
observaciones en que se basen las decisiones alcanzadas y recomendaciones
propuestas.
El responsable de seguridad
analizará el informe de auditoría, y entregará las conclusiones a las que
llegue al responsable del fichero para que adopte las medidas correctoras
pertinentes.
Se realizará al menos cada dos
años. Tendrá que estar siempre a disposición de la AEPD.
La seguridad de los datos.
El responsable del fichero y el
encargado del tratamiento deberán adoptar las medidas necesarias que garanticen
la seguridad de los datos de carácter personal y eviten su alteración, pérdida,
tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología,
la naturaleza de los datos almacenados y los riesgos a que estás expuestos.
El documento de seguridad.
Quienes utilicen ficheros
automatizados que contengan datos de carácter personal deben elaborar el
documento de seguridad.
Lo elabora el responsable del
fichero y debed contener la normativa de seguridad que se va a implantar en la
empresa. Medidas técnicas y organización que se van a adoptar en la empresa
para garantizar las medidas de seguridad que han de reunir los fichero
automatizados, los equipos, los programas, los locales, etc.
Se puede redactar un solo
documento para todos los ficheros o bien un documento para cada fichero o
tratamiento. Tendrá carácter de documento interno de la organización.
El nivel de seguridad que debemos
aplicar al documento de seguridad depende de cuál sea la naturaleza de los
datos.
Niveles de seguridad de los datos.
Nivel básico.
Se aplica a todos los ficheros
que incluyan datos de carácter personal.
Nivel medio.
Se aplicarán las medidas de nivel
básico y además las del medio a los ficheros o tratamientos:
-Relativos a la comisión de
infracción administrativas o penales.
-Prestación de servicios sobre
solvencia patrimonial y crédito.
-Si los responsables son las
Administraciones tributarias y se relacionan con el ejercicio de sus potestades
tributarias.
-Si los responsables son las
entidades gestoras y servicios comunes de la Seguridad Social y se relacionan
con el ejercicio de sus competencias. Al igual que las mutuas de accidentes de
trabajo y enfermedades profesionales de la Seguridad Social.
-Si contienen datos que definan
la personalidad o características de los ciudadanos y que permiten evaluar
determinados aspectos de la personalidad o del comportamiento.
Nivel alto.
Se aplicarán las medidas de nivel
básico y medio además de las de alto a los ficheros que contengan datos
relativos a la ideología, religión, origen racial, salud o vida sexual, si son
recabados para fines policiales o los derivados de actos de violencia de
género.
Contenido mínimo de los documentos de seguridad.
Nivel básico.
-Ámbito de aplicación del
documento.
-Medidas, normas, procedimientos
y estándares encaminados a garantizar el nivel de seguridad exigido.
Control de
acceso. Únicamente a aquellos datos y recursos que precisen para el desarrollo
de sus funciones. El responsable tendrá un listado de usuarios y perfiles con
sus autorizaciones para cada uno de ellos. Solo el personal autorizado para
ello en el documento de seguridad podrá conceder, alterar o anular el acceso
autorizado sobre los recursos.
Gestión de
soportes y documentos. Deberán permitir identificar el tipo de información que
contienen, ser inventariados y solo deberán ser accesibles por el personal
autorizado.
Los
dispositivos que contengan datos de carácter personal deberán disponer de
mecanismos que obstaculicen su apertura.
En el momento
de la gestión la persona al cargo deberá custodiar los datos e impedir que
pueda ser accedida por persona no autorizada.
Entrada y salida de soportes. Ha de ser autorizada
por el responsable o encontrarse debidamente autorizada en el documento de
seguridad. En caso de traslado se adoptarán medidas para evitar la sustracción,
pérdida o acceso indebido a la información durante su transporte.
Destrucción de
soportes.
Identificación
y autenticación. Los usuarios autorizados serán correctamente identificados y
autentificados. El responsable del fichero o tratamiento establecerá un
mecanismo que permita la identificación de forma inequívoca y personalizada de
todo aquel usuario que intente acceder al sistema de información y la
verificación de que está autorizado.
En caso de
contraseñas existirá un procedimiento de asignación, distribución y
almacenamiento que garantice su confidencialidad e integridad. Las contraseñas
se deberán cambiar periódicamente. No puede exceder un año. Mientras esté
vigentes se almacenarán de forma ininteligible.
-Funciones y obligaciones del personal. Debe ser informado
sobre las normas de seguridad que afecten al desarrollo de sus funciones que
deberán estar definidas en el documento de seguridad.
-Estructura de los ficheros y descripción de los sistemas de
información que los tratan.
-Procedimiento de notificación, gestión y respuesta de
incidencias.
El registro de incidencias constará
de:
Tipo de incidencia.
Momento en que se ha producido.
Persona que realiza la
notificación.
Persona a la cual se le notifica
la incidencia.
Efectos que se hubieran derivado
de la incidencia.
Medidas correctoras.
-Procedimientos de realización de copias de respaldo y
recuperación de datos en los ficheros o tratamientos realizados.
No hay comentarios:
Publicar un comentario