protección de datos formación para el personal de seguridad de los

Transcripción

PROTECCIÓN DE DATOS
FORMACIÓN PARA EL
PERSONAL DE SEGURIDAD
DE LOS REGISTROS
Enero 2010
COLEGIO DE REGISTRADORES DE LA PROPIEDAD
Y MERCANTILES DE ESPAÑA
CENTRO DE FORMACIÓN “Carlos Hernández Crespo”
C/ María de Molina, 62 - Telf. 91. 561.87.07 - Fax. 91. 561.90.33 - 28006 Madrid
Formación responsable seguridad
2-20
Centro de Formación
INDICE
1.- INTRODUCCIÓN A LA LOPD. ............................................................................. 5
1.1 Los datos de carácter personal.............................................................................. 5
1.2 Ámbito de aplicación............................................................................................ 5
1.3 ¿Qué se entiende por fichero?. ............................................................................. 6
1.4 Principios de Protección de Datos. ..................................................................... 10
1.4.1.- Calidad de los Datos:.............................................................................. 10
1.4.2.- Consentimiento para el tratamiento de los Datos: ............................. 10
1.4.3.- Deber de Información al Interesado.-................................................... 11
1.5 ¿Cómo afecta la LOPD al Registro?................................................................... 16
1.6 Infracciones y Sanciones. ................................................................................... 16
2.- REGLAMENTO DE MEDIDAS DE SEGURIDAD. .......................................... 17
3.- DOCUMENTO DE SEGURIDAD. ....................................................................... 19
4.- PROCEDIMIENTOS DE GESTIÓN.................................................................... 20
3-20
4-20
1.- INTRODUCCIÓN A LA LOPD.
¿Qué es la LOPD y a quién afecta?
La Constitución Española en su art.10 reconoce el derecho a la dignidad de la persona. Por su
parte el art.18.4 dispone que la ley limitará el uso de la informática para garantizar el honor y la
intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.
En desarrollo del art.18.4 de la C.E. y como transposición al derecho español de la Directiva
95/46/CE (Directiva sobre Protección de Datos) fue aprobada la “Ley Orgánica de Protección
de Datos de carácter Personal (LOPD)” de 13 de Diciembre de 1999, siendo desarrollada por el
RD1720/2007 de 21 de Diciembre (BOE 19/1/2009) que aprueba su Reglamento de desarrollo.
La LOPD entró en vigor el 15 de enero de 2000, momento en el que quedó derogada la anterior
LORTAD, desarrollada por el RD 994/1999. La diferencia fundamental entre ambas es que el
ámbito de la LORTAD únicamente abarcaba los ficheros que contuviesen datos de carácter
personal que se almacenasen en soporte electrónico. La LOPD amplia este ámbito a cualquier
tipo de soporte, es decir, los ficheros en formato papel también están sujetos a esta
reglamentación.
La Ley Orgánica de Protección de datos de Carácter Personal (LOPD) establece una serie de
obligaciones para las empresas, los profesionales autónomos y las administraciones públicas
que sean titulares de datos de carácter personal.
La LOPD tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos
personales, las libertades públicas y los derechos fundamentales de las personas físicas, y
especialmente de su honor e intimidad personal y familiar.
LA LOPD establece las obligaciones que los responsables de los ficheros y los encargados de
los tratamientos, tanto de organismos públicos como privados, han de cumplir para garantizar
la observancia del derecho a la protección de los datos de carácter personal.
Quedan excluidos, por tanto, cualquier tipo de datos relativos a personas jurídicas.
1.1 Los datos de carácter personal.
Son “datos de carácter personal” cualquier información concerniente a personas físicas identificadas
o identificables, es decir, toda información que aporte datos sobre una persona física concreta o bien
que a través de dicha información se puede llegar a identificar.
Estos pueden ser nombres y apellidos, números de teléfono, fotografías, DNI, etc que identifiquen o
hagan identificable a una persona y otros datos como informes médicos, estado civil, nacionalidad,
sexo, edad, números bancarios..., siempre y cuando estos datos estén asociados a una persona
1.2 Ámbito de aplicación.
La LOPD es de aplicación a los datos de carácter personal registrados en soporte físico, que
los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por
los sectores público y privado. (art.2 de la LOPD y art.2-1 de su Reglamento)
El régimen de protección de los datos de carácter personal que se establece en la Ley
Orgánica NO será aplicable a los tratamientos de datos referidos a personas jurídicas, ni a los
ficheros que se limiten a incorporar los datos de las personas físicas que presten sus servicios
en aquellas, consistentes únicamente en su nombre u apellidos, las funciones o puestos
5-20
desempeñados, así como la dirección postal o electrónica, teléfono y número de fax
profesionales. Tampoco los datos de empresarios individuales, cuando se haga referencia a
ellos en su calidad de comerciantes, industriales o navieros. Tampoco aplicará a los datos de
personas fallecidas. ( art.2-2, 2-3 y 2-4 de su Reglamento)
Quedan excluidos, por tanto los siguientes ficheros o tratamientos:
-
Los realizados o mantenidos por personas físicas en el ejercicio de actividades
exclusivamente personales o domésticas (las que se inscriben en el marco de la
vida privada o familiar de los particulares;
-
Los sometidos a la normativa sobre protección de materias clasificadas;
-
Los establecidos para la investigación del terrorismo y de formas graves de
delincuencia organizada.
-
( Art. 2-2 de la LOPD y art.4 de su Reglamento)
Se regirán por sus disposiciones específicas, y por lo especialmente previsto por la LOPD
siguientes tratamientos de datos personales:
- Los ficheros regulados por la legislación de régimen electoral
- Los que sirvan a fines exclusivamente estadísticos
- Los que tengan por objeto el almacenamiento de los datos contenidos en
informes personales de calificación a que se refiere la legislación de régimen
personal de las Fuerzas Armadas.
- Los derivados del Registro Civil y del Registro Central de Penados y Rebeldes
- Los procedentes de imágenes y sonidos obtenidos mediante la utilización
videocámaras por la Fuerzas y Cuerpos de Seguridad ( art. 2-3 de la LOPD).
los
los
del
de
RESUMEN.- Existen tres tipos de ficheros:
1.-FICHEROS SOMETIDOS A LA LEGISLACIÓN SOBRE PROTECCIÓN DE DATOS
(LOPD Y SU REGLAMENTO)
2.- FICHEROS EXCLUIDOS DE LA LEGISLACIÓN DE PROTECCIÓN DE DATOS
3.- FICHEROS SOMETIDOS A LEGISLACIÓN ESPECIAL Y DISPOSIONES ESPECIALES
DE LA PROPIA LOPD Y SU REGLAMENTO
1.3 ¿Qué se entiende por fichero?.
A efectos de la LOPD, el término fichero se define como ”todo conjunto organizado de datos de
carácter personal, que permite el acceso a los datos con arreglo a criterios determinados,
cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y
acceso”.
Por lo tanto, bastará con que exista un conjunto de datos de carácter personal organizado de
alguna manera que permita acceder a los datos utilizando algún criterio determinado para que
se considere que estamos ante un fichero.
Ficheros de titularidad pública y Ficheros de titularidad privada
En función de quien sea el responsable del fichero y la finalidad para la que se creó, los
ficheros se pueden agrupar en titularidad pública o titularidad privada.
6-20
•
FICHEROS DE TITULARIDAD PÚBLICA: Los ficheros de los que sean responsables
los órganos constitucionales o con relevancia constitucional del Estado o las
instituciones autonómicas con funciones análogas a los mismos, las Administraciones
públicas territoriales, así como las entidades u organismos vinculados o dependientes
de las mismas y las Corporaciones de derecho público siempre que su finalidad sea el
ejercicio de potestades de derecho público. (art.5-1-m Rglo de la LOPD)
•
FICHEROS DE TITULARIDAD PRIVADA: Los ficheros de los que sean responsables
las personas, empresas o entidades de derecho privado, con independencia de quien
ostente la titularidad de su capital o de la procedencia de sus recursos económicos, así
como los ficheros de los que sean responsables las Corporaciones de derecho público,
en cuanto dichos ficheros no se encuentren estrictamente vinculados al ejercicio de
potestades de derecho público que a las mismas atribuye su normativa específica
(art.5-1-l Rglo. LOPD).
Ficheros automatizados y no automatizados
En función de cuál sea el procedimiento de almacenamiento, organización y acceso de los
datos de carácter personal, la normativa sobre protección de datos diferencia entre dos tipos de
ficheros, los ficheros automatizados y los ficheros no automatizados.
•
FICHEROS AUTOMATIZADOS: Con el término fichero automatizado la normativa
sobre protección de datos se refiere a todo conjunto organizado de datos de carácter
personal que permita acceder a la información relativa a una persona física
determinada utilizando procedimientos de búsqueda automatizados. Están claramente
incluidos dentro de este concepto los ficheros de datos personales que almacenan la
información en soportes informáticos (bases de datos, archivos, etc.) y que se
encuentran organizados de manera que se puede acceder a los datos personales
utilizando cualquier tipo de aplicación o procedimiento informatizado.
•
FICHEROS NO AUTOMATIZADOS: Los ficheros no automatizados están definidos
legalmente como “todo conjunto de datos de carácter personal organizado de forma no
automatizada y estructurado conforme a criterios específicos relativos a personas
físicas, que permiten acceder sin esfuerzos desproporcionados a sus datos personales,
ya sea aquél centralizado, descentralizado o repartido de forma funcional o
geográfica”.(art.5-1-n Rglo de la LOPD)
•
Un ejemplo de un fichero no automatizado lo tenemos en los archivadores existentes
en la mayoría de las organizaciones, y en un Registro de la Propiedad , Mercantil o y
de Bienes Muebles serían los Tomos, Libros, Legajos …
Agrupación de ficheros por su finalidad y responsable
Aunque físicamente los datos de carácter personal se encuentren almacenados en distintos
tipos de ficheros e, incluso, aunque geográficamente se encuentren ubicados en distintas
instalaciones, todos los ficheros físicos existentes en una organización determinada
(automatizados y no automatizados) que hayan sido creados con la misma finalidad
y dependan del mismo responsable, se agrupan en un solo fichero jurídico que es el
que hay que notificar a la Agencia Española de Protección de Datos para su
inscripción en el Registro General de Protección de datos.
EJEMPLO.-
7-20
Para comprender mejor esta idea, vamos a analizar cómo suelen tratar las empresas los
datos personales de sus clientes. Generalmente, estas utilizan un software de facturación
que almacena los datos de los clientes bajo archivos informáticos, además de utilizar
también carpetas y archivadores que contienen la documentación de los clientes en
formato papel (presupuestos, facturas, etc.). Pues bien, aunque físicamente existe un
fichero automatizado (formado por todos los archivos y aplicaciones informáticas) y un
fichero no automatizado (formado por todas las carpetas y archivadores) jurídicamente se
trata de un solo fichero de carácter “mixto” (automatizado y no automatizado) que ha sido
creado con la finalidad de gestionar las relaciones comerciales entre la empresa y sus
clientes.
El fichero de nuestro ejemplo será notificado a la Agencia Española de Protección de Datos
como un “fichero mixto”, al que vamos a identificar como “fichero de clientes” y cuya
finalidad, tal y como está tipificada en el formulario de notificación de ficheros, será la
de “Gestión de Clientes, contable, fiscal y administrativa”.
Niveles de Seguridad de los ficheros.
Dependiendo de la naturaleza de los datos, requieren diferentes niveles de protección. No
da igual la relevancia que puede tener un registro de nombres y teléfonos, que un registro
en el que se incluyan cuestiones de raza, ideología o sexualidad, por ejemplo. Así se
establecen los siguientes niveles:
•
Nivel básico: Datos de carácter identificativo: nombre, teléfono, DNI, edad, domicilio…
•
Es el nivel por defecto, por tanto todos los datos de carácter personal deberán estar
sujetos, como mínimo, a las medidas establecidas para los datos de nivel básico.
•
Asimismo, tendrán nivel básico los ficheros de datos de ideología, afiliación sindical,
religión, creencias, origen racial, salud o vida sexual cuando :
•
Los datos se utilicen con la única finalidad de realizar una transferencia dineraria a las
entidades de las que los afectados sean asociados o miembros
•
Se trate de ficheros o tratamientos no automatizados en los que de forma incidental o
accesoria se contengan aquellos datos sin guardar relación con su finalidad.
•
Se trate de ficheros o tratamientos que contengan datos relativos a la salud, referentes
exclusivamente al grado de discapacidad o la simple declaración de la condición de
discapacidad o invalidez del afectado, con motivo del cumplimiento de deberes
públicos.
8-20
•
Nivel medio: Ficheros que contengan datos relativos a la comisión de infracciones
administrativas o penales
•
Aquellos cuyo funcionamiento se rija por el art.29 de la L.O.P.D. (Prestación de
servicios de información sobre solvencia patrimonial y crédito.)
•
Aquellos de los que sean responsables Administraciones tributarias y se relacionen con
el ejercicio de sus potestades tributarias,
•
Aquellos de los que sean responsables las entidades financieras para finalidades
relacionadas con la prestación de servicios financieros,
•
Aquellos de los que sean responsables las Entidades Gestoras y Servicios Comunes
de la Seguridad Social y se relacionen con el ejercicio de sus competencias, así como
aquellos de los que sean responsables las mutuas de accidentes de trabajo y
enfermedades profesionales de la Seguridad Social,
•
Aquellos que contengan un conjunto de datos de carácter personal que ofrezcan una
definición de las características o de la personalidad de los ciudadanos y que permitan
evaluar determinados aspectos de la personalidad o del comportamiento de los
mismos, deberán reunir, además de las medidas de nivel básico, las calificadas como
de nivel medio.
•
Aquellos de los que sean responsables los operadores que presten servicios de
comunicaciones electrónicas disponibles al público o exploten redes públicas de
comunicaciones electrónicas respecto a los datos de tráfico o los de localización. Estos
ficheros aplicaran además lo previsto en el art.103 RDLOPD respecto del Registro de
Acceso.
•
Nivel alto: Ficheros que contengan datos de ideología, religión, creencias, origen
racial, salud o vida sexual
•
Así como los que contengan datos recabados para fines policiales sin consentimiento
de las personas afectadas,
•
Aquellos que contengan datos derivados de actos de violencia de género,
•
Los niveles de seguridad son acumulativos de modo que un fichero de nivel alto deberá
aplicar también las medidas previstas en los niveles básico y medio.
Titulares de los de ficheros
1. Responsable del fichero/tratamiento:
Cada fichero tendrá asignado un “responsable”, es decir, una persona física o jurídica,
de naturaleza pública o privada, u órgano administrativo, que decide sobre la finalidad,
contenido y uso del fichero. Así mismo decidirá sobre el contenido y el uso del
tratamiento de los datos personales
2. Encargado tratamiento: persona física o jurídica, pública o privada, u órgano
administrativo, que trata datos personales por cuenta del Responsable, como
9-20
consecuencia de la existencia de una relación jurídica que le vincula con el mismo
y delimita el ámbito de su actuación para la prestación de un servicio. El Encargado
del tratamiento no podrá subcontratar con un tercero la realización de ningún
tratamiento de datos sin autorización del responsable del fichero/tratamiento.
Podrán ser también encargados del tratamiento entes sin personalidad jurídica que
actúen en el tráfico como sujetos diferenciados.
1.4 Principios de Protección de Datos.
1.4.1.- Calidad de los Datos ( art.4 de la LOPD)
Los datos de carácter personal deberán ser tratados de forma leal y lícita,
prohibiéndose la recogida de datos por medios fraudulentos, desleales o ilícitos.
Los datos deben recogerse con fines determinados, explícitos y legítimos: NO
USARLOS PARA OTROS FINES
No obstante, no se considerará incompatible el tratamiento de los datos con fines
históricos, estadísticos o científicos, para ello se estará a la legislación que en cada
caso resulte aplicable.
Los datos deben ser exactos y responder con veracidad a la situación del titular:
MANTENERLOS ACTUALIZADOS.
Los datos SOLO DEBEN CONSERVARSE DURANTE EL TIEMPO NECESARIO PARA
LAS FINALIDADES DEL TRATAMIENTO PARA LAS QUE HAN SIDO RECOGIDOS
Serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la
finalidad para la cual hubieran sido recabados o registrados, aunque deberán
conservarse durante el tiempo en que pueda exigirse algún tipo de responsabilidad
derivada de una relación u obligación jurídica o de la aplicación de un contrato o de la
aplicación de medidas precontractuales solicitadas por el interesado (proceso de
bloqueo de los datos y posterior disociación de los mismos cumplido el tiempo de
conservación).
Los datos de carácter personal serán tratados de forma que permitan el ejercicio del
derecho de acceso, en tanto no proceda su cancelación.
1.4.2.- Consentimiento para el tratamiento de los Datos: (Título I Capitulo II
Sección Primera del RDLOPD)
El responsable del tratamiento debe obtener el consentimiento del interesado para el
tratamiento de los datos.
La solicitud del consentimiento debe ir referida a un tratamiento concreto, con
delimitación de la finalidad para el que se recaba, así como del resto de condiciones
que concurran en el tratamiento.
Será al responsable del tratamiento a quien corresponda la prueba de la existencia del
consentimiento del afectado por cualquier medio de prueba admisible en derecho.
Será posible el tratamiento o la cesión de los datos de carácter personal SIN necesidad
de consentimiento cuando ( Art.10-3 y 4 del RDLOPD):
10-20
- lo autorice una norma con rango de ley o una norma de derecho comunitario;
- los datos objeto de tratamiento o cesión figuren en fuentes accesibles al público y
el responsable del fichero o el tercero al que se comuniquen los datos tenga un
interés legítimo para su tratamiento o conocimiento siempre que no se vulneren
los derechos o libertades fundamentales del interesado;
- los datos que se recojan para el ejercicio de las funciones propias de las
Administraciones públicas en el ámbito de las competencias que les
atribuya una norma con rango de ley o de derecho comunitario;
- los datos que se recaben por el responsable del tratamiento con ocasión de la
celebración de un contrato o precontrato o de la existencia de una relación
negocial, laboral o administrativa de la que sea parte el afectado y sean
necesarios para su mantenimiento o cumplimiento;
- el tratamiento de los datos tenga por finalidad proteger un interés vital del
interesado;
- la cesión de datos responda a la libre y legítima aceptación de una relación
jurídica cuyo desarrollo, cumplimiento y control comporte la comunicación de los
datos (solo será legítima en cuanto se limite a la finalidad que la justifique);
- la comunicación que deba efectuarse tenga por destinatario el Defensor del
Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas o
a las instituciones autonómicas con funciones análogas al Defensor del Pueblo o
al Tribunal de Cuentas y se realice en el ámbito de las funciones que la ley les
atribuya expresamente;
- la cesión entre Administraciones Públicas cuando concurra alguno de estos
supuestos:
o
Tratamiento de los datos con fines históricos, estadísticos o científicos.
o
Los datos hayan sido recogidos o elaborados por una Administración
pública con destino a otra.
o
La comunicación se realice para el ejercicio de competencias idénticas
o que versen sobre las mismas materias.
El afectado podrá revocar su consentimiento a través de un medio sencillo, gratuito y
que no implique ingreso alguno para el responsable del fichero/tratamiento.
Corresponderá al responsable del tratamiento la prueba de la existencia del
consentimiento del afectado por cualquier medio de prueba admisible en derecho.
1.4.3.- Deber de Información al Interesado.Cuando se solicite el consentimiento del afectado para la cesión de sus datos, éste
deberá ser informado de forma que conozca inequívocamente la finalidad a la que se
destinarán sus datos y el tipo de actividad desarrollada por el cesionario. En caso
contrario, el consentimiento será nulo.
11-20
El deber de información deberá realizarse a través de un medio que permita
acreditar su cumplimiento, debiendo conservarse mientras persista el
tratamiento de los datos del afectado.
La conclusión práctica en cuanto a la forma de recabar los datos de carácter personal
es que si el modo de hacerlo es ilegítimo, cualquier otra medida en la aplicación de la
LOPD no tendrá valor alguno.
No se pueden recoger datos personales por capricho, tienen que tener unas
determinadas justificaciones y una naturaleza adecuada al fin que se persigue al
recabarlos.
El “afectado” o “interesado”, la persona física sobre la que se almacenan datos de
carácter personal, ha de ser informado de forma explicita y precisa de que sus datos
van a ser incluidos en un fichero, la finalidad del mismo y el destinatario de esta
información.
Es obligatorio también informar a los afectados de su derecho de acceso, rectificación,
cancelación y oposición, así como del Responsable del Tratamiento (ARCO).
Datos provenientes de fuentes accesibles al público.
Esto genera bastante confusión. Cuando se recaban datos provenientes de fuentes
accesibles al público, no será necesario el consentimiento de los afectados, pero
cuidado, a efectos de la LOPD se consideran fuentes accesibles al público las
siguientes: Censo promocional, Listines telefónicos, Listas
de personas que
pertenezcan a grupos profesionales, que contengan únicamente los datos de nombre,
título, profesión, actividad, grado académico, dirección profesional (domicilio postal
completo, teléfono, fax y dirección electrónica) e indicación de su pertenencia al grupo
(si pertenece a un Colegio Profesional, su número de colegiado, fecha de incorporación
y situación de ejercicio profesional), Diarios y Boletines oficiales, y Medios de
comunicación social.
Es importante hacer observar en este punto que entre los datos mencionados
anteriormente no se encuentre al NIF de las personas, por lo que este datos no es
susceptible de incorporar a las guías colegiales.
Es necesario que para que estos supuestos sean considerados fuentes accesibles al
público, la consulta ha de poder ser realizada por cualquier persona, no impedida por
una norma limitativa, o sin más exigencia que, en su caso, el abono de una
contraprestación.
¿Quién está obligado a notificar los ficheros?
DEBER DE NOTIFICAR
Toda persona o entidad que proceda a la creación de ficheros de datos de carácter
personal lo notificará previamente a la Agencia Española de Protección de Datos (AEPD).
QUIEN LO HACE
El Registrador, como responsable del fichero, está obligado a notificar la creación de
ficheros para su inscripción en el Registro General de Protección de Datos (RGPD).
El Registro General de Protección de Datos es un órgano de la Agencia Española de
Protección de Datos encargado de recoger la existencia de los ficheros de datos
12-20
personales, y de publicar esta existencia. Este registro es público, y podemos consultar,
por ejemplo, los ficheros que tiene registrados una determinada empresa a través del
buscador de su página Web: “http:\\www.agpd.es”.
De conformidad con el art.39 de la LOPD serán objeto de inscripción en el Registro:
- Los ficheros de que sean titulares las administraciones
publicas
- Los ficheros de titularidad privada
- Las autorizaciones de transferencias internacionales
- Los Códigos tipo
- Los datos relativos a los ficheros que sean necesarios para el
ejercicio de los derechos A.R.C.O.
CUANDO SE HACE
La creación, modificación o supresión de ficheros de titularidad pública pertenecientes a las
Administraciones Públicas sólo podrán hacerse por medio de disposición general publicada
en el BOE (ficheros de titularidad pública).
Podrán crearse ficheros de titularidad privada que contengan datos de carácter personal
cuando resulte necesario para el logro de la actividad u objeto legítimos de la persona,
empresa o entidad titular y se respeten las garantías establecidas en la LOPD.
Cualquier modificación posterior en el contenido de la inscripción de un fichero en el RGPD
deberá comunicarse a la AEPD, mediante una solicitud de modificación o de supresión de
la inscripción para los ficheros de titularidad privada, y mediante publicación en el BOE
para los ficheros de titularidad pública.
En el supuesto de ficheros y tratamientos no automatizados, creados con posterioridad a la
fecha de entrada en vigor de la LOPD deberán ser notificados para su inscripción en el
RGPD.
EN RESUMEN:
-
La Notificación debe hacerse con anterioridad al uso de los
ficheros
Cuando se producen cambios con respecto a la declaración
inicial
Cuando cesa el uso del fichero
PARA QUE SE DECLARAN LOS FICHEROS:
Permite que los titulares de los datos puedan conocer quienes son los responsables de los
ficheros ante los que ejercitar directamente los derechos de acceso, rectificación, cancelación y
oposición.
La NO NOTIFICACIÓN a la AEPD de la existencia de un fichero supondría una infracción, tal y
como señala el art.44 de la LOPD, quedando sujeto al régimen sancionador previsto en dicha
ley.
13-20
DERECHO DE ACCESO, RECTIFICACIÓN, CANCELACIÓN Y OPOSICIÓN (Derechos
ARCO):
Los derechos de acceso, rectificación, cancelación y oposición son personalísimos y
serán ejercidos por el afectado.
El ejercicio de estos derechos será gratuito. Se deberá conceder al interesado un medio
sencillo y gratuito para el ejercicio de los derechos
Los derechos de acceso, rectificación, cancelación y oposición se ejercitarán:
- Por el afectado, acreditando su identidad;
- Si se trata de un incapaz o un menor de edad, por su representante legal, que
deberá acreditar tal condición;
- A través de representante voluntario, expresamente designado para el ejercicio
del derecho, y acreditando su identidad;
•
Derecho de Acceso: Es el derecho del afectado a obtener información gratuita sobre
si sus datos personales están siendo objeto de tratamiento, la finalidad del mismo, así
como la información disponible sobre el origen de los mismos y las comunicaciones
que se hayan hecho o se vayan a hacer.
•
El plazo máximo para resolver sobre una solicitud de acceso por parte del responsable
del fichero es de 1 mes y satisfacerse en los siguientes diez días a la notificación de la
resolución.
•
Podrá ejercitarse a intervalos de 12 meses sin necesidad de que el titular de los datos
personales alegue justificación alguna.
•
Podrá ejercitarse en periodos inferiores cuando se alegue un interés legítimo.
•
Derecho de Rectificación: El afectado puede instar al Responsable del fichero a
cumplir con su obligación de mantener la exactitud y adecuación de los datos, teniendo
el Responsable que rectificarlos en su caso.
•
Este derecho exige al titular indicar el dato que es erróneo y la corrección que debe
hacerse y deberá ir acompañada de la documentación justificativa de la rectificación
solicitada, salvo que la misma dependa exclusivamente del consentimiento del
interesado.
•
El Responsable resolverá sobre la solicitud de rectificación en el plazo máximo de 10
días desde la recepción de la solicitud.
•
Derecho de Cancelación: El afectado tiene el derecho a que se supriman los datos
personales que resulten ser inadecuados o excesivos, sin perjuicio del deber de
bloqueo.
•
DERECHO DE BLOQUEO.- La cancelación dará lugar al bloqueo de los datos, cuando
sea preciso conservar éstos únicamente a disposición de la Administraciones Públicas,
Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del
tratamiento, durante el plazo de prescripción de estas. Cumplido el citado plazo deberá
procederse a la supresión.
14-20
•
El Responsable resolverá sobre la solicitud de cancelación en el plazo máximo de 10
•
Derecho de Oposición: Es el derecho del afectado a que no se lleve a cabo el
tratamiento de sus datos personales o se cese en el mismo cuando no sea necesario el
consentimiento expreso del afectado, como consecuencia de un motivo legítimo y
fundado, referido a su concreta situación personal, que lo justifique, siempre que no
haya una Ley en contrario; cuando se trate de ficheros que tengan por finalidad la
realización de actividades de publicidad y prospección comercial, en los términos
previstos en el artículo 51 del Reglamento, cualquiera que sea su la empresa
responsable de su creación; cuando el tratamiento tenga por finalidad la adopción de
una decisión referida al afectado y basada únicamente en un tratamiento automatizado
de sus datos, en los términos previstos en el artículo 36 del Reglamento.
•
El Responsable resolverá sobre la solicitud de oposición en el plazo máximo de 10
Los derechos de acceso, oposición, rectificación y cancelación no son absolutos. El
Responsable del Fichero o tratamiento podrá denegarlos cuando concurra causa legal para
ello.
EJEMPLO.- Cuando se haya ejercitado el derecho de acceso en los últimos doce meses y no
se alegue interés legítimo o cuando exista un deber lugar de conservación en caso de la
cancelación
Si los datos a rectificar o cancelar hubieran sido cedidos previamente a un tercero, el
responsable del fichero notificará al cesionario la rectificación o cancelación efectuada.
AL RECIBIR/REALIZAR UN SERVICIO EN EL QUE SE ACCEDE A LOS DATOS
La realización de ese tratamiento por terceros, a los que denominaremos encargados
del tratamiento, deberá estar regulada por un contrato escrito o cualquier otra forma que
permita acreditar su celebración y contenido que expresamente indique las obligaciones del
encargado del tratamiento.

Los datos sólo se tratarán conforme a las instrucciones del responsable del fichero.
Los datos no se utilizarán con fin distinto al establecido en el contrato.
Los datos no se comunicarán, ni para conservación, a otras personas.
Las medidas de seguridad a implementar.
La destrucción o devolución de los datos una vez cumplido el contrato.
El artículo 12 de la LOPD regula el acceso a los datos por cuenta de terceros.
El responsable del fichero o tratamiento debe ser diligente en la elección del encargado
asegurándose de que cumplirá adecuadamente las condiciones del encargo respetando
escrupulosamente todas las previsiones en materia de protección de datos. El contenido
del contrato no deberá limitarse a una simple reproducción de lo dispuesto por el artículo
12 LOPD y deberá establecer de modo específico las obligaciones del encargado.
Si fuese necesaria una subcontratación deben cumplirse los siguientes requisitos
establecidos en el RDLOPD:

Que se especifiquen en el contrato los servicios que puedan ser objeto de
subcontratación y, si ello fuera posible, la empresa con la que se vaya a
subcontratar. Cuando no se identificase en el contrato la empresa con la que se vaya
a subcontratar, será preciso que el encargado del tratamiento comunique al
responsable los datos que la identifiquen antes de proceder a la subcontratación.
15-20

Que el tratamiento de datos de carácter personal por parte del subcontratista se
ajuste a las instrucciones del responsable del fichero.
Que el encargado del tratamiento y la empresa subcontratista formalicen el contrato
previsto por el artículo 12 LOPD.

En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los
comunique o los utilice incumpliendo las estipulaciones del contrato, responderá de las
infracciones en que hubiera incurrido personalmente.
1.5 ¿Cómo afecta la LOPD al Registro?.
El Registro es una Institución cuyos archivos, tanto automatizados (sistemas informáticos y
soportes) como no automatizados (tomos, libros auxiliares y legajos del Registro) se hallan
sometidos a la LOPD, así como a su Reglamento por contener datos de carácter personal y no
hallarse dentro de la relación de fuentes accesibles al públicos definidas en la LOPD.
1.6 Infracciones y Sanciones.
Las sanciones pueden ser de tres tipos, dependiendo de su gravedad:
•
LEVES: Multa de 601,01 a 60.101,21 euros.
o
o
o
o
o
•
No atender la solicitud de rectificación o cancelación.
No facilitar a la Agencia de Protección de Datos la información que ésta
solicite.
No inscribir un fichero con datos personales en el Registro.
Recoger datos personales contraviniendo el derecho de información en la
recogida de datos. (art. 5 LOPD).
Incumplir el deber de secreto recogido en el artículo 10 de la LOPD
GRAVES: Multa de 60.101,21 a 300.506,05 euros.
o
o
o
o
o
o
o
o
o
o
Crear un fichero de titularidad pública o proceder a la recogida de datos
personales sin autorización de “disposición general” publicada en un Boletín
Oficial.
Crear un fichero de titularidad privada o proceder a la recogida de datos con
una finalidad distinta al objeto legítimo de la entidad que los recaba.
Recoger datos sin el consentimiento expreso de los afectados (siempre y
cuando este sea exigible).
Tratar los datos personales en contra de los principios y las garantías
recogidos en la LOPD.
El impedimento del ejercicio de los derechos de acceso o de oposición y la
negativa a facilitar la información requerida.
Mantener los datos de forma inexacta o no efectuar las rectificaciones o
cancelaciones de los datos cuando legalmente haya que realizarlas.
Infringir del deber de secreto sobre datos de nivel medio atenuado o de nivel
medio (según el Reglamento de Seguridad).
No implantar las medidas que se correspondan según el Reglamento de
Seguridad.
No remitir a la Agencia de Protección de Datos las notificaciones que sean
solicitadas o no proporcionadas en el plazo requerido.
La obstrucción del ejercicio de la función inspectora de la Agencia de
Protección de Datos.
16-20
o
o
•
No inscribir el fichero en el Registro General de Protección de Datos, cuando
sea requerido por el director de la Agencia de Protección de Datos.
Incumplir el deber de información cuando los datos hayan sido recabados de
persona distinta del afectado.
MUY GRAVES: Multa de 300.506,05 a 601.012,10 euros.
o
o
o
o
o
o
o
o
Recoger datos personales de forma engañosa y fraudulenta.
Ceder datos personales fuera de los casos en los que está permitido.
Recabar y tratar datos especialmente protegidos sin el consentimiento expreso
del afectado, cuando no lo disponga una ley o cuando se recaben con la única
finalidad de poseer este tipo de datos.
No cesar en el uso ilegítimo de un tratamiento de datos personal cuando así
sea requerido por el director de la Agencia de Protección de Datos para
realizar una transferencia internacional de datos cuando aquella sea necesaria.
Tratar los datos personales de manera ilegítima o contra los principios y las
garantías aplicables, siempre que ello impida o vaya en contra de los derechos
fundamentales.
Vulnerar el deber de secreto (artículo 10 de la LOPD) de los datos
especialmente protegidos.
No atender u obstaculizar sistemáticamente el ejercicio de los derechos de
acceso, rectificación, cancelación u oposición.
No atender sistemáticamente el derecho de información en la recogida de
datos personales.
2.- REGLAMENTO DE MEDIDAS DE SEGURIDAD.
De acuerdo a lo anteriormente expuesto, por el simple hecho de crear un fichero de datos
personales, hay que regirse por una serie de normas; y una vez claras las reglas para recabar
los datos, la finalidad, el consentimiento de los interesados, etc… vamos a ceñirnos a lo que el
Reglamento de desarrollo (RD 1720/2007) de la LOPD establece en cuanto a la protección de
estos ficheros.
Las medidas que el Reglamento de desarrollo de la LOPD establece para garantizar la
seguridad de los datos personales se centra en:
•
•
•
•
los propios ficheros;
los lugares físicos donde se almacenan o se tratan los ficheros;
los equipos, sistemas y programas;
las personas que intervengan en los tratamientos de datos personales;
¿Cómo adaptarnos a la normativa de Protección de Datos?
Las medidas establecidas por la Ley y su Reglamento no son iguales para todos los ficheros,
sino que son más estrictas cuanto más alto es el nivel seguridad a aplicar a cada uno de los
ficheros, siendo acumulables las medidas de un nivel a otro.
17-20
Medidas para ficheros de nivel básico:
1. Comunicar a la Agencia de Protección de Datos la creación del fichero y proceder
al registro del mismo.
2. Elaboración del Documento de Seguridad por parte del Responsable del fichero,
que contendrá la normativa de seguridad de obligado cumplimiento para todo el
personal de la empresa con acceso a los ficheros, su tratamiento o los sistemas de
información. Aunque posteriormente comentaremos más en detalle las características
que tiene que contener el Documento de Seguridad, vamos a citar los campos mínimos
que ha de contener para el nivel básico:
a.
b.
c.
d.
Ámbito de aplicación y especificación de los ficheros protegidos.
Políticas para garantizar el nivel de seguridad exigido.
Funciones y deberes del personal.
Plan de seguridad, donde se describirá la estructura de los ficheros y los
sistemas que los tratan.
e. Procedimientos ante incidencias.
f. Procedimientos de realización de copias de respaldo y de recuperación de los
datos en los ficheros o tratamientos automatizados.
3. Deben establecerse medidas para restringir el acceso únicamente a los usuarios
autorizados. Es decir, servirían simplemente las contraseñas de inicio de sesión de
usuarios en un dominio, por ejemplo.
4. Definir de forma clara y precisa las funciones y obligaciones que recaerán sobre
cada usuario con acceso a los datos y sistemas de información. Este listado de
permisos de acceso (así como el tipo de privilegios de los usuarios sobre los ficheros,
es decir, lectura, lectura y modificación, etc.) ha de ser actualizado constantemente
conforme vaya cambiando. El Responsable del fichero será el encargado de dar a
conocer las normas al personal.
5. Creación de un registro de incidencias respecto a los ficheros, en el que conste: el
tipo de incidencia, momento en que se produjo, persona que lo notifica, persona a la
que se le comunica y efectos derivados de dicha incidencia.
6. Gestión de soportes. Los soportes físicos que contengan datos de carácter personal
(llaves USB, disquetes, cintas, etc.) deben estar inventariados y almacenados en un
lugar restringido sólo a personal autorizado. Sólo el Responsable de los ficheros podrá
autorizar la salida de esos soportes de su ubicación (se trata de establecer medidas de
seguridad física a los mismos).
7. Copias de seguridad. Se establece como obligatorio el realizar copias de seguridad
de los ficheros al menos una vez por semana, salvo que estos ficheros no hayan
sufrido modificaciones.
Medidas para ficheros de nivel medio:
Las medidas para los ficheros de nivel medio incluyen todas las citadas para nivel básico, y
además las siguientes:
1. Documento de Seguridad. Además de los campos requeridos en el nivel básico, el
Documento de Seguridad deberá incluir:
a. Identificación del responsable de seguridad.
b. Plan de auditoria interna.
c. Medidas a adoptar ante la eliminación o reutilización de soportes.
18-20
2. Identificar al Responsable de seguridad. Designado por el responsable del fichero y
encargado de velar por el cumplimento de las medidas definidas en el documento de
seguridad.
3. Realizar una auditoría cada 2 años, interna o externa, que verifique que se cumple el
reglamento.
4. Identificación de los usuarios que intentan acceder a los Sistemas de
Información, limitación de intentos fallidos y limitación de la posibilidad de acceso no
autorizado.
5. Control de acceso FÍSICO a los locales donde se encuentran los ficheros. Por
ejemplo, puerta cerrada con llave en la sala de servidores.
6. Registro de entrada/salida de soportes informáticos.
Medidas para ficheros de nivel alto:
Las medidas para los ficheros de nivel alto incluyen todas las citadas para los niveles básico y
medio, y además las siguientes:
1. Cifrado de los soportes que contengan datos personales y que sean distribuidos.
2. Registro de los accesos a los ficheros, que deberá conservarse al menos 2 años.
3. Transmisión cifrada de los datos por la red.
4. Almacenar las copias de seguridad en otro lugar físico distinto a donde se
encuentran los propios ficheros (por ejemplo, fuera de la empresa);
3.- DOCUMENTO DE SEGURIDAD.
El “Documento de Seguridad” se podría definir como “las medidas de índole técnica y
organizativas necesarias para garantizar la protección, confidencialidad e integridad que exige
la LOPD”.
El Documento de Seguridad es un documento elaborado por el Responsable se Seguridad y de
obligado cumplimiento para todo el personal con acceso a datos.
El contenido principal queda estructurado como sigue:
•
•
Funciones y obligaciones del personal.
Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar los
niveles de seguridad exigidos por este documento. Concretamente:
o
o
o
Medidas comunes a ficheros automatizados y no automatizados.
Medidas específicas a ficheros automatizados.
Medidas específicas a ficheros no automatizados.
19-20
4.- PROCEDIMIENTOS DE GESTIÓN.
Dentro del Procedimiento de Gestión analizaremos especialmente:
•
•
Procedimiento de Gestión de Incidencias.
Gestión de Soporte.
Una incidencia es un hecho que repercute directamente a la confidencialidad, integridad o
disponibilidad de los datos, poniendo en peligro la seguridad de éstos y provocando su posible
pérdida, destrucción o modificación.
Cuando se produce una incidencia en el registro que afecta a “Protección de Datos” deberemos
registrar dicha incidencia mediante un “Procedimiento de Gestión de Incidencias” detallando las
acciones a seguir cuando se produce una, concretamente, reflejará su grabación en el registro
de incidencias así como el flujo de trabajo para su resolución y posterior análisis.
Un soporte es aquel fichero físico o electrónico que contiene datos de carácter personal. La
“Gestión de Soportes” de aquellos que contengan datos de carácter personal, tanto de fichero
automatizados como no automatizados, deben de ser etiquetados para su identificación,
inventariado y almacenados en un lugar con acceso restringido, al que sólo podrán
acceder las personas con autorización.
La SALIDA de los soportes y documentos de cualquier tipo DEBEN SER AUTORIZADOS POR
EL RESPONSABLE DEL FICHERO y aparecer dicha autorización en el documento de
Seguridad.
Idéntica AUTORIZACIÓN se necesita para el almacenamiento de datos personales en
dispositivos portátiles o tratamiento de los mismos fuera del registro. Si dichos datos de
carácter personal van a ser objeto de traslado fuera del registro se adoptarán las medidas
necesarias para evitar la sustracción, pérdida o acceso indebido a la información durante su
transporte.
20-20

protección de datos formación para el personal de seguridad de los

Transcripción

Documentos relacionados

SANCIONES POR INFRINGIR LA LEY DE PROTECCION DE

CERTIFICADO LOPD

datos del alumno para la fct cfgm .

SOLICITUD ALTA SOCIA

Información sobre la Ley Orgánica de Protección de Datos (LOPD)