protección de datos formación para el personal de seguridad de los
Transcripción
protección de datos formación para el personal de seguridad de los
PROTECCIÓN DE DATOS FORMACIÓN PARA EL PERSONAL DE SEGURIDAD DE LOS REGISTROS Enero 2010 COLEGIO DE REGISTRADORES DE LA PROPIEDAD Y MERCANTILES DE ESPAÑA CENTRO DE FORMACIÓN “Carlos Hernández Crespo” C/ María de Molina, 62 - Telf. 91. 561.87.07 - Fax. 91. 561.90.33 - 28006 Madrid Formación responsable seguridad 2-20 Centro de Formación COLEGIO DE REGISTRADORES DE LA PROPIEDAD Y MERCANTILES DE ESPAÑA CENTRO DE FORMACIÓN “Carlos Hernández Crespo” C/ María de Molina, 62 - Telf. 91. 561.87.07 - Fax. 91. 561.90.33 - 28006 Madrid INDICE 1.- INTRODUCCIÓN A LA LOPD. ............................................................................. 5 1.1 Los datos de carácter personal.............................................................................. 5 1.2 Ámbito de aplicación............................................................................................ 5 1.3 ¿Qué se entiende por fichero?. ............................................................................. 6 1.4 Principios de Protección de Datos. ..................................................................... 10 1.4.1.- Calidad de los Datos:.............................................................................. 10 1.4.2.- Consentimiento para el tratamiento de los Datos: ............................. 10 1.4.3.- Deber de Información al Interesado.-................................................... 11 1.5 ¿Cómo afecta la LOPD al Registro?................................................................... 16 1.6 Infracciones y Sanciones. ................................................................................... 16 2.- REGLAMENTO DE MEDIDAS DE SEGURIDAD. .......................................... 17 3.- DOCUMENTO DE SEGURIDAD. ....................................................................... 19 4.- PROCEDIMIENTOS DE GESTIÓN.................................................................... 20 Formación responsable seguridad 3-20 Centro de Formación COLEGIO DE REGISTRADORES DE LA PROPIEDAD Y MERCANTILES DE ESPAÑA CENTRO DE FORMACIÓN “Carlos Hernández Crespo” C/ María de Molina, 62 - Telf. 91. 561.87.07 - Fax. 91. 561.90.33 - 28006 Madrid Formación responsable seguridad 4-20 Centro de Formación COLEGIO DE REGISTRADORES DE LA PROPIEDAD Y MERCANTILES DE ESPAÑA CENTRO DE FORMACIÓN “Carlos Hernández Crespo” C/ María de Molina, 62 - Telf. 91. 561.87.07 - Fax. 91. 561.90.33 - 28006 Madrid 1.- INTRODUCCIÓN A LA LOPD. ¿Qué es la LOPD y a quién afecta? La Constitución Española en su art.10 reconoce el derecho a la dignidad de la persona. Por su parte el art.18.4 dispone que la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos. En desarrollo del art.18.4 de la C.E. y como transposición al derecho español de la Directiva 95/46/CE (Directiva sobre Protección de Datos) fue aprobada la “Ley Orgánica de Protección de Datos de carácter Personal (LOPD)” de 13 de Diciembre de 1999, siendo desarrollada por el RD1720/2007 de 21 de Diciembre (BOE 19/1/2009) que aprueba su Reglamento de desarrollo. La LOPD entró en vigor el 15 de enero de 2000, momento en el que quedó derogada la anterior LORTAD, desarrollada por el RD 994/1999. La diferencia fundamental entre ambas es que el ámbito de la LORTAD únicamente abarcaba los ficheros que contuviesen datos de carácter personal que se almacenasen en soporte electrónico. La LOPD amplia este ámbito a cualquier tipo de soporte, es decir, los ficheros en formato papel también están sujetos a esta reglamentación. La Ley Orgánica de Protección de datos de Carácter Personal (LOPD) establece una serie de obligaciones para las empresas, los profesionales autónomos y las administraciones públicas que sean titulares de datos de carácter personal. La LOPD tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar. LA LOPD establece las obligaciones que los responsables de los ficheros y los encargados de los tratamientos, tanto de organismos públicos como privados, han de cumplir para garantizar la observancia del derecho a la protección de los datos de carácter personal. Quedan excluidos, por tanto, cualquier tipo de datos relativos a personas jurídicas. 1.1 Los datos de carácter personal. Son “datos de carácter personal” cualquier información concerniente a personas físicas identificadas o identificables, es decir, toda información que aporte datos sobre una persona física concreta o bien que a través de dicha información se puede llegar a identificar. Estos pueden ser nombres y apellidos, números de teléfono, fotografías, DNI, etc que identifiquen o hagan identificable a una persona y otros datos como informes médicos, estado civil, nacionalidad, sexo, edad, números bancarios..., siempre y cuando estos datos estén asociados a una persona 1.2 Ámbito de aplicación. La LOPD es de aplicación a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado. (art.2 de la LOPD y art.2-1 de su Reglamento) El régimen de protección de los datos de carácter personal que se establece en la Ley Orgánica NO será aplicable a los tratamientos de datos referidos a personas jurídicas, ni a los ficheros que se limiten a incorporar los datos de las personas físicas que presten sus servicios en aquellas, consistentes únicamente en su nombre u apellidos, las funciones o puestos Formación responsable seguridad 5-20 Centro de Formación COLEGIO DE REGISTRADORES DE LA PROPIEDAD Y MERCANTILES DE ESPAÑA CENTRO DE FORMACIÓN “Carlos Hernández Crespo” C/ María de Molina, 62 - Telf. 91. 561.87.07 - Fax. 91. 561.90.33 - 28006 Madrid desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales. Tampoco los datos de empresarios individuales, cuando se haga referencia a ellos en su calidad de comerciantes, industriales o navieros. Tampoco aplicará a los datos de personas fallecidas. ( art.2-2, 2-3 y 2-4 de su Reglamento) Quedan excluidos, por tanto los siguientes ficheros o tratamientos: - Los realizados o mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas (las que se inscriben en el marco de la vida privada o familiar de los particulares; - Los sometidos a la normativa sobre protección de materias clasificadas; - Los establecidos para la investigación del terrorismo y de formas graves de delincuencia organizada. - ( Art. 2-2 de la LOPD y art.4 de su Reglamento) Se regirán por sus disposiciones específicas, y por lo especialmente previsto por la LOPD siguientes tratamientos de datos personales: - Los ficheros regulados por la legislación de régimen electoral - Los que sirvan a fines exclusivamente estadísticos - Los que tengan por objeto el almacenamiento de los datos contenidos en informes personales de calificación a que se refiere la legislación de régimen personal de las Fuerzas Armadas. - Los derivados del Registro Civil y del Registro Central de Penados y Rebeldes - Los procedentes de imágenes y sonidos obtenidos mediante la utilización videocámaras por la Fuerzas y Cuerpos de Seguridad ( art. 2-3 de la LOPD). los los del de RESUMEN.- Existen tres tipos de ficheros: 1.-FICHEROS SOMETIDOS A LA LEGISLACIÓN SOBRE PROTECCIÓN DE DATOS (LOPD Y SU REGLAMENTO) 2.- FICHEROS EXCLUIDOS DE LA LEGISLACIÓN DE PROTECCIÓN DE DATOS 3.- FICHEROS SOMETIDOS A LEGISLACIÓN ESPECIAL Y DISPOSIONES ESPECIALES DE LA PROPIA LOPD Y SU REGLAMENTO 1.3 ¿Qué se entiende por fichero?. A efectos de la LOPD, el término fichero se define como ”todo conjunto organizado de datos de carácter personal, que permite el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso”. Por lo tanto, bastará con que exista un conjunto de datos de carácter personal organizado de alguna manera que permita acceder a los datos utilizando algún criterio determinado para que se considere que estamos ante un fichero. Ficheros de titularidad pública y Ficheros de titularidad privada En función de quien sea el responsable del fichero y la finalidad para la que se creó, los ficheros se pueden agrupar en titularidad pública o titularidad privada. Formación responsable seguridad 6-20 Centro de Formación COLEGIO DE REGISTRADORES DE LA PROPIEDAD Y MERCANTILES DE ESPAÑA CENTRO DE FORMACIÓN “Carlos Hernández Crespo” C/ María de Molina, 62 - Telf. 91. 561.87.07 - Fax. 91. 561.90.33 - 28006 Madrid • FICHEROS DE TITULARIDAD PÚBLICA: Los ficheros de los que sean responsables los órganos constitucionales o con relevancia constitucional del Estado o las instituciones autonómicas con funciones análogas a los mismos, las Administraciones públicas territoriales, así como las entidades u organismos vinculados o dependientes de las mismas y las Corporaciones de derecho público siempre que su finalidad sea el ejercicio de potestades de derecho público. (art.5-1-m Rglo de la LOPD) • FICHEROS DE TITULARIDAD PRIVADA: Los ficheros de los que sean responsables las personas, empresas o entidades de derecho privado, con independencia de quien ostente la titularidad de su capital o de la procedencia de sus recursos económicos, así como los ficheros de los que sean responsables las Corporaciones de derecho público, en cuanto dichos ficheros no se encuentren estrictamente vinculados al ejercicio de potestades de derecho público que a las mismas atribuye su normativa específica (art.5-1-l Rglo. LOPD). Ficheros automatizados y no automatizados En función de cuál sea el procedimiento de almacenamiento, organización y acceso de los datos de carácter personal, la normativa sobre protección de datos diferencia entre dos tipos de ficheros, los ficheros automatizados y los ficheros no automatizados. • FICHEROS AUTOMATIZADOS: Con el término fichero automatizado la normativa sobre protección de datos se refiere a todo conjunto organizado de datos de carácter personal que permita acceder a la información relativa a una persona física determinada utilizando procedimientos de búsqueda automatizados. Están claramente incluidos dentro de este concepto los ficheros de datos personales que almacenan la información en soportes informáticos (bases de datos, archivos, etc.) y que se encuentran organizados de manera que se puede acceder a los datos personales utilizando cualquier tipo de aplicación o procedimiento informatizado. • FICHEROS NO AUTOMATIZADOS: Los ficheros no automatizados están definidos legalmente como “todo conjunto de datos de carácter personal organizado de forma no automatizada y estructurado conforme a criterios específicos relativos a personas físicas, que permiten acceder sin esfuerzos desproporcionados a sus datos personales, ya sea aquél centralizado, descentralizado o repartido de forma funcional o geográfica”.(art.5-1-n Rglo de la LOPD) • Un ejemplo de un fichero no automatizado lo tenemos en los archivadores existentes en la mayoría de las organizaciones, y en un Registro de la Propiedad , Mercantil o y de Bienes Muebles serían los Tomos, Libros, Legajos … Agrupación de ficheros por su finalidad y responsable Aunque físicamente los datos de carácter personal se encuentren almacenados en distintos tipos de ficheros e, incluso, aunque geográficamente se encuentren ubicados en distintas instalaciones, todos los ficheros físicos existentes en una organización determinada (automatizados y no automatizados) que hayan sido creados con la misma finalidad y dependan del mismo responsable, se agrupan en un solo fichero jurídico que es el que hay que notificar a la Agencia Española de Protección de Datos para su inscripción en el Registro General de Protección de datos. EJEMPLO.- Formación responsable seguridad 7-20 Centro de Formación COLEGIO DE REGISTRADORES DE LA PROPIEDAD Y MERCANTILES DE ESPAÑA CENTRO DE FORMACIÓN “Carlos Hernández Crespo” C/ María de Molina, 62 - Telf. 91. 561.87.07 - Fax. 91. 561.90.33 - 28006 Madrid Para comprender mejor esta idea, vamos a analizar cómo suelen tratar las empresas los datos personales de sus clientes. Generalmente, estas utilizan un software de facturación que almacena los datos de los clientes bajo archivos informáticos, además de utilizar también carpetas y archivadores que contienen la documentación de los clientes en formato papel (presupuestos, facturas, etc.). Pues bien, aunque físicamente existe un fichero automatizado (formado por todos los archivos y aplicaciones informáticas) y un fichero no automatizado (formado por todas las carpetas y archivadores) jurídicamente se trata de un solo fichero de carácter “mixto” (automatizado y no automatizado) que ha sido creado con la finalidad de gestionar las relaciones comerciales entre la empresa y sus clientes. El fichero de nuestro ejemplo será notificado a la Agencia Española de Protección de Datos como un “fichero mixto”, al que vamos a identificar como “fichero de clientes” y cuya finalidad, tal y como está tipificada en el formulario de notificación de ficheros, será la de “Gestión de Clientes, contable, fiscal y administrativa”. Niveles de Seguridad de los ficheros. Dependiendo de la naturaleza de los datos, requieren diferentes niveles de protección. No da igual la relevancia que puede tener un registro de nombres y teléfonos, que un registro en el que se incluyan cuestiones de raza, ideología o sexualidad, por ejemplo. Así se establecen los siguientes niveles: • Nivel básico: Datos de carácter identificativo: nombre, teléfono, DNI, edad, domicilio… • Es el nivel por defecto, por tanto todos los datos de carácter personal deberán estar sujetos, como mínimo, a las medidas establecidas para los datos de nivel básico. • Asimismo, tendrán nivel básico los ficheros de datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual cuando : • Los datos se utilicen con la única finalidad de realizar una transferencia dineraria a las entidades de las que los afectados sean asociados o miembros • Se trate de ficheros o tratamientos no automatizados en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad. • Se trate de ficheros o tratamientos que contengan datos relativos a la salud, referentes exclusivamente al grado de discapacidad o la simple declaración de la condición de discapacidad o invalidez del afectado, con motivo del cumplimiento de deberes públicos. Formación responsable seguridad 8-20 Centro de Formación COLEGIO DE REGISTRADORES DE LA PROPIEDAD Y MERCANTILES DE ESPAÑA CENTRO DE FORMACIÓN “Carlos Hernández Crespo” C/ María de Molina, 62 - Telf. 91. 561.87.07 - Fax. 91. 561.90.33 - 28006 Madrid • Nivel medio: Ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales • Aquellos cuyo funcionamiento se rija por el art.29 de la L.O.P.D. (Prestación de servicios de información sobre solvencia patrimonial y crédito.) • Aquellos de los que sean responsables Administraciones tributarias y se relacionen con el ejercicio de sus potestades tributarias, • Aquellos de los que sean responsables las entidades financieras para finalidades relacionadas con la prestación de servicios financieros, • Aquellos de los que sean responsables las Entidades Gestoras y Servicios Comunes de la Seguridad Social y se relacionen con el ejercicio de sus competencias, así como aquellos de los que sean responsables las mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social, • Aquellos que contengan un conjunto de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos, deberán reunir, además de las medidas de nivel básico, las calificadas como de nivel medio. • Aquellos de los que sean responsables los operadores que presten servicios de comunicaciones electrónicas disponibles al público o exploten redes públicas de comunicaciones electrónicas respecto a los datos de tráfico o los de localización. Estos ficheros aplicaran además lo previsto en el art.103 RDLOPD respecto del Registro de Acceso. • Nivel alto: Ficheros que contengan datos de ideología, religión, creencias, origen racial, salud o vida sexual • Así como los que contengan datos recabados para fines policiales sin consentimiento de las personas afectadas, • Aquellos que contengan datos derivados de actos de violencia de género, • Los niveles de seguridad son acumulativos de modo que un fichero de nivel alto deberá aplicar también las medidas previstas en los niveles básico y medio. Titulares de los de ficheros 1. Responsable del fichero/tratamiento: Cada fichero tendrá asignado un “responsable”, es decir, una persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decide sobre la finalidad, contenido y uso del fichero. Así mismo decidirá sobre el contenido y el uso del tratamiento de los datos personales 2. Encargado tratamiento: persona física o jurídica, pública o privada, u órgano administrativo, que trata datos personales por cuenta del Responsable, como Formación responsable seguridad 9-20 Centro de Formación COLEGIO DE REGISTRADORES DE LA PROPIEDAD Y MERCANTILES DE ESPAÑA CENTRO DE FORMACIÓN “Carlos Hernández Crespo” C/ María de Molina, 62 - Telf. 91. 561.87.07 - Fax. 91. 561.90.33 - 28006 Madrid consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio. El Encargado del tratamiento no podrá subcontratar con un tercero la realización de ningún tratamiento de datos sin autorización del responsable del fichero/tratamiento. Podrán ser también encargados del tratamiento entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados. 1.4 Principios de Protección de Datos. 1.4.1.- Calidad de los Datos ( art.4 de la LOPD) Los datos de carácter personal deberán ser tratados de forma leal y lícita, prohibiéndose la recogida de datos por medios fraudulentos, desleales o ilícitos. Los datos deben recogerse con fines determinados, explícitos y legítimos: NO USARLOS PARA OTROS FINES No obstante, no se considerará incompatible el tratamiento de los datos con fines históricos, estadísticos o científicos, para ello se estará a la legislación que en cada caso resulte aplicable. Los datos deben ser exactos y responder con veracidad a la situación del titular: MANTENERLOS ACTUALIZADOS. Los datos SOLO DEBEN CONSERVARSE DURANTE EL TIEMPO NECESARIO PARA LAS FINALIDADES DEL TRATAMIENTO PARA LAS QUE HAN SIDO RECOGIDOS Serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados, aunque deberán conservarse durante el tiempo en que pueda exigirse algún tipo de responsabilidad derivada de una relación u obligación jurídica o de la aplicación de un contrato o de la aplicación de medidas precontractuales solicitadas por el interesado (proceso de bloqueo de los datos y posterior disociación de los mismos cumplido el tiempo de conservación). Los datos de carácter personal serán tratados de forma que permitan el ejercicio del derecho de acceso, en tanto no proceda su cancelación. 1.4.2.- Consentimiento para el tratamiento de los Datos: (Título I Capitulo II Sección Primera del RDLOPD) El responsable del tratamiento debe obtener el consentimiento del interesado para el tratamiento de los datos. La solicitud del consentimiento debe ir referida a un tratamiento concreto, con delimitación de la finalidad para el que se recaba, así como del resto de condiciones que concurran en el tratamiento. Será al responsable del tratamiento a quien corresponda la prueba de la existencia del consentimiento del afectado por cualquier medio de prueba admisible en derecho. Será posible el tratamiento o la cesión de los datos de carácter personal SIN necesidad de consentimiento cuando ( Art.10-3 y 4 del RDLOPD): Formación responsable seguridad 10-20 Centro de Formación COLEGIO DE REGISTRADORES DE LA PROPIEDAD Y MERCANTILES DE ESPAÑA CENTRO DE FORMACIÓN “Carlos Hernández Crespo” C/ María de Molina, 62 - Telf. 91. 561.87.07 - Fax. 91. 561.90.33 - 28006 Madrid - lo autorice una norma con rango de ley o una norma de derecho comunitario; - los datos objeto de tratamiento o cesión figuren en fuentes accesibles al público y el responsable del fichero o el tercero al que se comuniquen los datos tenga un interés legítimo para su tratamiento o conocimiento siempre que no se vulneren los derechos o libertades fundamentales del interesado; - los datos que se recojan para el ejercicio de las funciones propias de las Administraciones públicas en el ámbito de las competencias que les atribuya una norma con rango de ley o de derecho comunitario; - los datos que se recaben por el responsable del tratamiento con ocasión de la celebración de un contrato o precontrato o de la existencia de una relación negocial, laboral o administrativa de la que sea parte el afectado y sean necesarios para su mantenimiento o cumplimiento; - el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado; - la cesión de datos responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control comporte la comunicación de los datos (solo será legítima en cuanto se limite a la finalidad que la justifique); - la comunicación que deba efectuarse tenga por destinatario el Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas o a las instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas y se realice en el ámbito de las funciones que la ley les atribuya expresamente; - la cesión entre Administraciones Públicas cuando concurra alguno de estos supuestos: o Tratamiento de los datos con fines históricos, estadísticos o científicos. o Los datos hayan sido recogidos o elaborados por una Administración pública con destino a otra. o La comunicación se realice para el ejercicio de competencias idénticas o que versen sobre las mismas materias. El afectado podrá revocar su consentimiento a través de un medio sencillo, gratuito y que no implique ingreso alguno para el responsable del fichero/tratamiento. Corresponderá al responsable del tratamiento la prueba de la existencia del consentimiento del afectado por cualquier medio de prueba admisible en derecho. 1.4.3.- Deber de Información al Interesado.Cuando se solicite el consentimiento del afectado para la cesión de sus datos, éste deberá ser informado de forma que conozca inequívocamente la finalidad a la que se destinarán sus datos y el tipo de actividad desarrollada por el cesionario. En caso contrario, el consentimiento será nulo. Formación responsable seguridad 11-20 Centro de Formación COLEGIO DE REGISTRADORES DE LA PROPIEDAD Y MERCANTILES DE ESPAÑA CENTRO DE FORMACIÓN “Carlos Hernández Crespo” C/ María de Molina, 62 - Telf. 91. 561.87.07 - Fax. 91. 561.90.33 - 28006 Madrid El deber de información deberá realizarse a través de un medio que permita acreditar su cumplimiento, debiendo conservarse mientras persista el tratamiento de los datos del afectado. La conclusión práctica en cuanto a la forma de recabar los datos de carácter personal es que si el modo de hacerlo es ilegítimo, cualquier otra medida en la aplicación de la LOPD no tendrá valor alguno. No se pueden recoger datos personales por capricho, tienen que tener unas determinadas justificaciones y una naturaleza adecuada al fin que se persigue al recabarlos. El “afectado” o “interesado”, la persona física sobre la que se almacenan datos de carácter personal, ha de ser informado de forma explicita y precisa de que sus datos van a ser incluidos en un fichero, la finalidad del mismo y el destinatario de esta información. Es obligatorio también informar a los afectados de su derecho de acceso, rectificación, cancelación y oposición, así como del Responsable del Tratamiento (ARCO). Datos provenientes de fuentes accesibles al público. Esto genera bastante confusión. Cuando se recaban datos provenientes de fuentes accesibles al público, no será necesario el consentimiento de los afectados, pero cuidado, a efectos de la LOPD se consideran fuentes accesibles al público las siguientes: Censo promocional, Listines telefónicos, Listas de personas que pertenezcan a grupos profesionales, que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección profesional (domicilio postal completo, teléfono, fax y dirección electrónica) e indicación de su pertenencia al grupo (si pertenece a un Colegio Profesional, su número de colegiado, fecha de incorporación y situación de ejercicio profesional), Diarios y Boletines oficiales, y Medios de comunicación social. Es importante hacer observar en este punto que entre los datos mencionados anteriormente no se encuentre al NIF de las personas, por lo que este datos no es susceptible de incorporar a las guías colegiales. Es necesario que para que estos supuestos sean considerados fuentes accesibles al público, la consulta ha de poder ser realizada por cualquier persona, no impedida por una norma limitativa, o sin más exigencia que, en su caso, el abono de una contraprestación. ¿Quién está obligado a notificar los ficheros? DEBER DE NOTIFICAR Toda persona o entidad que proceda a la creación de ficheros de datos de carácter personal lo notificará previamente a la Agencia Española de Protección de Datos (AEPD). QUIEN LO HACE El Registrador, como responsable del fichero, está obligado a notificar la creación de ficheros para su inscripción en el Registro General de Protección de Datos (RGPD). El Registro General de Protección de Datos es un órgano de la Agencia Española de Protección de Datos encargado de recoger la existencia de los ficheros de datos Formación responsable seguridad 12-20 Centro de Formación COLEGIO DE REGISTRADORES DE LA PROPIEDAD Y MERCANTILES DE ESPAÑA CENTRO DE FORMACIÓN “Carlos Hernández Crespo” C/ María de Molina, 62 - Telf. 91. 561.87.07 - Fax. 91. 561.90.33 - 28006 Madrid personales, y de publicar esta existencia. Este registro es público, y podemos consultar, por ejemplo, los ficheros que tiene registrados una determinada empresa a través del buscador de su página Web: “http:\\www.agpd.es”. De conformidad con el art.39 de la LOPD serán objeto de inscripción en el Registro: - Los ficheros de que sean titulares las administraciones publicas - Los ficheros de titularidad privada - Las autorizaciones de transferencias internacionales - Los Códigos tipo - Los datos relativos a los ficheros que sean necesarios para el ejercicio de los derechos A.R.C.O. CUANDO SE HACE La creación, modificación o supresión de ficheros de titularidad pública pertenecientes a las Administraciones Públicas sólo podrán hacerse por medio de disposición general publicada en el BOE (ficheros de titularidad pública). Podrán crearse ficheros de titularidad privada que contengan datos de carácter personal cuando resulte necesario para el logro de la actividad u objeto legítimos de la persona, empresa o entidad titular y se respeten las garantías establecidas en la LOPD. Cualquier modificación posterior en el contenido de la inscripción de un fichero en el RGPD deberá comunicarse a la AEPD, mediante una solicitud de modificación o de supresión de la inscripción para los ficheros de titularidad privada, y mediante publicación en el BOE para los ficheros de titularidad pública. En el supuesto de ficheros y tratamientos no automatizados, creados con posterioridad a la fecha de entrada en vigor de la LOPD deberán ser notificados para su inscripción en el RGPD. EN RESUMEN: - La Notificación debe hacerse con anterioridad al uso de los ficheros Cuando se producen cambios con respecto a la declaración inicial Cuando cesa el uso del fichero PARA QUE SE DECLARAN LOS FICHEROS: Permite que los titulares de los datos puedan conocer quienes son los responsables de los ficheros ante los que ejercitar directamente los derechos de acceso, rectificación, cancelación y oposición. La NO NOTIFICACIÓN a la AEPD de la existencia de un fichero supondría una infracción, tal y como señala el art.44 de la LOPD, quedando sujeto al régimen sancionador previsto en dicha ley. Formación responsable seguridad 13-20 Centro de Formación COLEGIO DE REGISTRADORES DE LA PROPIEDAD Y MERCANTILES DE ESPAÑA CENTRO DE FORMACIÓN “Carlos Hernández Crespo” C/ María de Molina, 62 - Telf. 91. 561.87.07 - Fax. 91. 561.90.33 - 28006 Madrid DERECHO DE ACCESO, RECTIFICACIÓN, CANCELACIÓN Y OPOSICIÓN (Derechos ARCO): Los derechos de acceso, rectificación, cancelación y oposición son personalísimos y serán ejercidos por el afectado. El ejercicio de estos derechos será gratuito. Se deberá conceder al interesado un medio sencillo y gratuito para el ejercicio de los derechos Los derechos de acceso, rectificación, cancelación y oposición se ejercitarán: - Por el afectado, acreditando su identidad; - Si se trata de un incapaz o un menor de edad, por su representante legal, que deberá acreditar tal condición; - A través de representante voluntario, expresamente designado para el ejercicio del derecho, y acreditando su identidad; • Derecho de Acceso: Es el derecho del afectado a obtener información gratuita sobre si sus datos personales están siendo objeto de tratamiento, la finalidad del mismo, así como la información disponible sobre el origen de los mismos y las comunicaciones que se hayan hecho o se vayan a hacer. • El plazo máximo para resolver sobre una solicitud de acceso por parte del responsable del fichero es de 1 mes y satisfacerse en los siguientes diez días a la notificación de la resolución. • Podrá ejercitarse a intervalos de 12 meses sin necesidad de que el titular de los datos personales alegue justificación alguna. • Podrá ejercitarse en periodos inferiores cuando se alegue un interés legítimo. • Derecho de Rectificación: El afectado puede instar al Responsable del fichero a cumplir con su obligación de mantener la exactitud y adecuación de los datos, teniendo el Responsable que rectificarlos en su caso. • Este derecho exige al titular indicar el dato que es erróneo y la corrección que debe hacerse y deberá ir acompañada de la documentación justificativa de la rectificación solicitada, salvo que la misma dependa exclusivamente del consentimiento del interesado. • El Responsable resolverá sobre la solicitud de rectificación en el plazo máximo de 10 días desde la recepción de la solicitud. • Derecho de Cancelación: El afectado tiene el derecho a que se supriman los datos personales que resulten ser inadecuados o excesivos, sin perjuicio del deber de bloqueo. • DERECHO DE BLOQUEO.- La cancelación dará lugar al bloqueo de los datos, cuando sea preciso conservar éstos únicamente a disposición de la Administraciones Públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de estas. Cumplido el citado plazo deberá procederse a la supresión. Formación responsable seguridad 14-20 Centro de Formación COLEGIO DE REGISTRADORES DE LA PROPIEDAD Y MERCANTILES DE ESPAÑA CENTRO DE FORMACIÓN “Carlos Hernández Crespo” C/ María de Molina, 62 - Telf. 91. 561.87.07 - Fax. 91. 561.90.33 - 28006 Madrid • El Responsable resolverá sobre la solicitud de cancelación en el plazo máximo de 10 días desde la recepción de la solicitud. • Derecho de Oposición: Es el derecho del afectado a que no se lleve a cabo el tratamiento de sus datos personales o se cese en el mismo cuando no sea necesario el consentimiento expreso del afectado, como consecuencia de un motivo legítimo y fundado, referido a su concreta situación personal, que lo justifique, siempre que no haya una Ley en contrario; cuando se trate de ficheros que tengan por finalidad la realización de actividades de publicidad y prospección comercial, en los términos previstos en el artículo 51 del Reglamento, cualquiera que sea su la empresa responsable de su creación; cuando el tratamiento tenga por finalidad la adopción de una decisión referida al afectado y basada únicamente en un tratamiento automatizado de sus datos, en los términos previstos en el artículo 36 del Reglamento. • El Responsable resolverá sobre la solicitud de oposición en el plazo máximo de 10 días desde la recepción de la solicitud. Los derechos de acceso, oposición, rectificación y cancelación no son absolutos. El Responsable del Fichero o tratamiento podrá denegarlos cuando concurra causa legal para ello. EJEMPLO.- Cuando se haya ejercitado el derecho de acceso en los últimos doce meses y no se alegue interés legítimo o cuando exista un deber lugar de conservación en caso de la cancelación Si los datos a rectificar o cancelar hubieran sido cedidos previamente a un tercero, el responsable del fichero notificará al cesionario la rectificación o cancelación efectuada. AL RECIBIR/REALIZAR UN SERVICIO EN EL QUE SE ACCEDE A LOS DATOS La realización de ese tratamiento por terceros, a los que denominaremos encargados del tratamiento, deberá estar regulada por un contrato escrito o cualquier otra forma que permita acreditar su celebración y contenido que expresamente indique las obligaciones del encargado del tratamiento. Los datos sólo se tratarán conforme a las instrucciones del responsable del fichero. Los datos no se utilizarán con fin distinto al establecido en el contrato. Los datos no se comunicarán, ni para conservación, a otras personas. Las medidas de seguridad a implementar. La destrucción o devolución de los datos una vez cumplido el contrato. El artículo 12 de la LOPD regula el acceso a los datos por cuenta de terceros. El responsable del fichero o tratamiento debe ser diligente en la elección del encargado asegurándose de que cumplirá adecuadamente las condiciones del encargo respetando escrupulosamente todas las previsiones en materia de protección de datos. El contenido del contrato no deberá limitarse a una simple reproducción de lo dispuesto por el artículo 12 LOPD y deberá establecer de modo específico las obligaciones del encargado. Si fuese necesaria una subcontratación deben cumplirse los siguientes requisitos establecidos en el RDLOPD: Que se especifiquen en el contrato los servicios que puedan ser objeto de subcontratación y, si ello fuera posible, la empresa con la que se vaya a subcontratar. Cuando no se identificase en el contrato la empresa con la que se vaya a subcontratar, será preciso que el encargado del tratamiento comunique al responsable los datos que la identifiquen antes de proceder a la subcontratación. Formación responsable seguridad 15-20 Centro de Formación COLEGIO DE REGISTRADORES DE LA PROPIEDAD Y MERCANTILES DE ESPAÑA CENTRO DE FORMACIÓN “Carlos Hernández Crespo” C/ María de Molina, 62 - Telf. 91. 561.87.07 - Fax. 91. 561.90.33 - 28006 Madrid Que el tratamiento de datos de carácter personal por parte del subcontratista se ajuste a las instrucciones del responsable del fichero. Que el encargado del tratamiento y la empresa subcontratista formalicen el contrato previsto por el artículo 12 LOPD. En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, responderá de las infracciones en que hubiera incurrido personalmente. 1.5 ¿Cómo afecta la LOPD al Registro?. El Registro es una Institución cuyos archivos, tanto automatizados (sistemas informáticos y soportes) como no automatizados (tomos, libros auxiliares y legajos del Registro) se hallan sometidos a la LOPD, así como a su Reglamento por contener datos de carácter personal y no hallarse dentro de la relación de fuentes accesibles al públicos definidas en la LOPD. 1.6 Infracciones y Sanciones. Las sanciones pueden ser de tres tipos, dependiendo de su gravedad: • LEVES: Multa de 601,01 a 60.101,21 euros. o o o o o • No atender la solicitud de rectificación o cancelación. No facilitar a la Agencia de Protección de Datos la información que ésta solicite. No inscribir un fichero con datos personales en el Registro. Recoger datos personales contraviniendo el derecho de información en la recogida de datos. (art. 5 LOPD). Incumplir el deber de secreto recogido en el artículo 10 de la LOPD GRAVES: Multa de 60.101,21 a 300.506,05 euros. o o o o o o o o o o Crear un fichero de titularidad pública o proceder a la recogida de datos personales sin autorización de “disposición general” publicada en un Boletín Oficial. Crear un fichero de titularidad privada o proceder a la recogida de datos con una finalidad distinta al objeto legítimo de la entidad que los recaba. Recoger datos sin el consentimiento expreso de los afectados (siempre y cuando este sea exigible). Tratar los datos personales en contra de los principios y las garantías recogidos en la LOPD. El impedimento del ejercicio de los derechos de acceso o de oposición y la negativa a facilitar la información requerida. Mantener los datos de forma inexacta o no efectuar las rectificaciones o cancelaciones de los datos cuando legalmente haya que realizarlas. Infringir del deber de secreto sobre datos de nivel medio atenuado o de nivel medio (según el Reglamento de Seguridad). No implantar las medidas que se correspondan según el Reglamento de Seguridad. No remitir a la Agencia de Protección de Datos las notificaciones que sean solicitadas o no proporcionadas en el plazo requerido. La obstrucción del ejercicio de la función inspectora de la Agencia de Protección de Datos. Formación responsable seguridad 16-20 Centro de Formación COLEGIO DE REGISTRADORES DE LA PROPIEDAD Y MERCANTILES DE ESPAÑA CENTRO DE FORMACIÓN “Carlos Hernández Crespo” C/ María de Molina, 62 - Telf. 91. 561.87.07 - Fax. 91. 561.90.33 - 28006 Madrid o o • No inscribir el fichero en el Registro General de Protección de Datos, cuando sea requerido por el director de la Agencia de Protección de Datos. Incumplir el deber de información cuando los datos hayan sido recabados de persona distinta del afectado. MUY GRAVES: Multa de 300.506,05 a 601.012,10 euros. o o o o o o o o Recoger datos personales de forma engañosa y fraudulenta. Ceder datos personales fuera de los casos en los que está permitido. Recabar y tratar datos especialmente protegidos sin el consentimiento expreso del afectado, cuando no lo disponga una ley o cuando se recaben con la única finalidad de poseer este tipo de datos. No cesar en el uso ilegítimo de un tratamiento de datos personal cuando así sea requerido por el director de la Agencia de Protección de Datos para realizar una transferencia internacional de datos cuando aquella sea necesaria. Tratar los datos personales de manera ilegítima o contra los principios y las garantías aplicables, siempre que ello impida o vaya en contra de los derechos fundamentales. Vulnerar el deber de secreto (artículo 10 de la LOPD) de los datos especialmente protegidos. No atender u obstaculizar sistemáticamente el ejercicio de los derechos de acceso, rectificación, cancelación u oposición. No atender sistemáticamente el derecho de información en la recogida de datos personales. 2.- REGLAMENTO DE MEDIDAS DE SEGURIDAD. De acuerdo a lo anteriormente expuesto, por el simple hecho de crear un fichero de datos personales, hay que regirse por una serie de normas; y una vez claras las reglas para recabar los datos, la finalidad, el consentimiento de los interesados, etc… vamos a ceñirnos a lo que el Reglamento de desarrollo (RD 1720/2007) de la LOPD establece en cuanto a la protección de estos ficheros. Las medidas que el Reglamento de desarrollo de la LOPD establece para garantizar la seguridad de los datos personales se centra en: • • • • los propios ficheros; los lugares físicos donde se almacenan o se tratan los ficheros; los equipos, sistemas y programas; las personas que intervengan en los tratamientos de datos personales; ¿Cómo adaptarnos a la normativa de Protección de Datos? Las medidas establecidas por la Ley y su Reglamento no son iguales para todos los ficheros, sino que son más estrictas cuanto más alto es el nivel seguridad a aplicar a cada uno de los ficheros, siendo acumulables las medidas de un nivel a otro. Formación responsable seguridad 17-20 Centro de Formación COLEGIO DE REGISTRADORES DE LA PROPIEDAD Y MERCANTILES DE ESPAÑA CENTRO DE FORMACIÓN “Carlos Hernández Crespo” C/ María de Molina, 62 - Telf. 91. 561.87.07 - Fax. 91. 561.90.33 - 28006 Madrid Medidas para ficheros de nivel básico: 1. Comunicar a la Agencia de Protección de Datos la creación del fichero y proceder al registro del mismo. 2. Elaboración del Documento de Seguridad por parte del Responsable del fichero, que contendrá la normativa de seguridad de obligado cumplimiento para todo el personal de la empresa con acceso a los ficheros, su tratamiento o los sistemas de información. Aunque posteriormente comentaremos más en detalle las características que tiene que contener el Documento de Seguridad, vamos a citar los campos mínimos que ha de contener para el nivel básico: a. b. c. d. Ámbito de aplicación y especificación de los ficheros protegidos. Políticas para garantizar el nivel de seguridad exigido. Funciones y deberes del personal. Plan de seguridad, donde se describirá la estructura de los ficheros y los sistemas que los tratan. e. Procedimientos ante incidencias. f. Procedimientos de realización de copias de respaldo y de recuperación de los datos en los ficheros o tratamientos automatizados. 3. Deben establecerse medidas para restringir el acceso únicamente a los usuarios autorizados. Es decir, servirían simplemente las contraseñas de inicio de sesión de usuarios en un dominio, por ejemplo. 4. Definir de forma clara y precisa las funciones y obligaciones que recaerán sobre cada usuario con acceso a los datos y sistemas de información. Este listado de permisos de acceso (así como el tipo de privilegios de los usuarios sobre los ficheros, es decir, lectura, lectura y modificación, etc.) ha de ser actualizado constantemente conforme vaya cambiando. El Responsable del fichero será el encargado de dar a conocer las normas al personal. 5. Creación de un registro de incidencias respecto a los ficheros, en el que conste: el tipo de incidencia, momento en que se produjo, persona que lo notifica, persona a la que se le comunica y efectos derivados de dicha incidencia. 6. Gestión de soportes. Los soportes físicos que contengan datos de carácter personal (llaves USB, disquetes, cintas, etc.) deben estar inventariados y almacenados en un lugar restringido sólo a personal autorizado. Sólo el Responsable de los ficheros podrá autorizar la salida de esos soportes de su ubicación (se trata de establecer medidas de seguridad física a los mismos). 7. Copias de seguridad. Se establece como obligatorio el realizar copias de seguridad de los ficheros al menos una vez por semana, salvo que estos ficheros no hayan sufrido modificaciones. Medidas para ficheros de nivel medio: Las medidas para los ficheros de nivel medio incluyen todas las citadas para nivel básico, y además las siguientes: 1. Documento de Seguridad. Además de los campos requeridos en el nivel básico, el Documento de Seguridad deberá incluir: a. Identificación del responsable de seguridad. b. Plan de auditoria interna. c. Medidas a adoptar ante la eliminación o reutilización de soportes. Formación responsable seguridad 18-20 Centro de Formación COLEGIO DE REGISTRADORES DE LA PROPIEDAD Y MERCANTILES DE ESPAÑA CENTRO DE FORMACIÓN “Carlos Hernández Crespo” C/ María de Molina, 62 - Telf. 91. 561.87.07 - Fax. 91. 561.90.33 - 28006 Madrid 2. Identificar al Responsable de seguridad. Designado por el responsable del fichero y encargado de velar por el cumplimento de las medidas definidas en el documento de seguridad. 3. Realizar una auditoría cada 2 años, interna o externa, que verifique que se cumple el reglamento. 4. Identificación de los usuarios que intentan acceder a los Sistemas de Información, limitación de intentos fallidos y limitación de la posibilidad de acceso no autorizado. 5. Control de acceso FÍSICO a los locales donde se encuentran los ficheros. Por ejemplo, puerta cerrada con llave en la sala de servidores. 6. Registro de entrada/salida de soportes informáticos. Medidas para ficheros de nivel alto: Las medidas para los ficheros de nivel alto incluyen todas las citadas para los niveles básico y medio, y además las siguientes: 1. Cifrado de los soportes que contengan datos personales y que sean distribuidos. 2. Registro de los accesos a los ficheros, que deberá conservarse al menos 2 años. 3. Transmisión cifrada de los datos por la red. 4. Almacenar las copias de seguridad en otro lugar físico distinto a donde se encuentran los propios ficheros (por ejemplo, fuera de la empresa); 3.- DOCUMENTO DE SEGURIDAD. El “Documento de Seguridad” se podría definir como “las medidas de índole técnica y organizativas necesarias para garantizar la protección, confidencialidad e integridad que exige la LOPD”. El Documento de Seguridad es un documento elaborado por el Responsable se Seguridad y de obligado cumplimiento para todo el personal con acceso a datos. El contenido principal queda estructurado como sigue: • • Funciones y obligaciones del personal. Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar los niveles de seguridad exigidos por este documento. Concretamente: o o o Medidas comunes a ficheros automatizados y no automatizados. Medidas específicas a ficheros automatizados. Medidas específicas a ficheros no automatizados. Formación responsable seguridad 19-20 Centro de Formación COLEGIO DE REGISTRADORES DE LA PROPIEDAD Y MERCANTILES DE ESPAÑA CENTRO DE FORMACIÓN “Carlos Hernández Crespo” C/ María de Molina, 62 - Telf. 91. 561.87.07 - Fax. 91. 561.90.33 - 28006 Madrid 4.- PROCEDIMIENTOS DE GESTIÓN. Dentro del Procedimiento de Gestión analizaremos especialmente: • • Procedimiento de Gestión de Incidencias. Gestión de Soporte. Una incidencia es un hecho que repercute directamente a la confidencialidad, integridad o disponibilidad de los datos, poniendo en peligro la seguridad de éstos y provocando su posible pérdida, destrucción o modificación. Cuando se produce una incidencia en el registro que afecta a “Protección de Datos” deberemos registrar dicha incidencia mediante un “Procedimiento de Gestión de Incidencias” detallando las acciones a seguir cuando se produce una, concretamente, reflejará su grabación en el registro de incidencias así como el flujo de trabajo para su resolución y posterior análisis. Un soporte es aquel fichero físico o electrónico que contiene datos de carácter personal. La “Gestión de Soportes” de aquellos que contengan datos de carácter personal, tanto de fichero automatizados como no automatizados, deben de ser etiquetados para su identificación, inventariado y almacenados en un lugar con acceso restringido, al que sólo podrán acceder las personas con autorización. La SALIDA de los soportes y documentos de cualquier tipo DEBEN SER AUTORIZADOS POR EL RESPONSABLE DEL FICHERO y aparecer dicha autorización en el documento de Seguridad. Idéntica AUTORIZACIÓN se necesita para el almacenamiento de datos personales en dispositivos portátiles o tratamiento de los mismos fuera del registro. Si dichos datos de carácter personal van a ser objeto de traslado fuera del registro se adoptarán las medidas necesarias para evitar la sustracción, pérdida o acceso indebido a la información durante su transporte. Formación responsable seguridad 20-20 Centro de Formación