introducción a la ley orgánica de protección de datos (lopd) miguel Ángel quirós...

Introducción a la Ley Orgánica de Protección de Datos (LOPD)

Miguel Ángel Quiró[email protected]

Santander Agosto 2008www.cumplaconlaley.com

Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603

Índice

1. ANTECEDENTES NORMATIVOS

2. CONCEPTOS BÁSICOS

3. OBLIGACIONES DEL RESPONSABLE DEL FICHERO

4. INFRACCIONES Y SANCIONES

5. DERECHOS “ARCO” DE LOS CIUDADANOS

6. OTROS DERECHOS DE LOS CIUDADANOS


Antecedentes

Artículo 10

Se reconoce el derecho a la dignidad de la persona …

Artículo 18

1. Se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen.

2. El domicilio es inviolable. Ninguna entrada o registro podrá hacerse en él sin consentimiento del titular o resolución judicial, salvo en caso de flagrante delito.

3. Se garantiza el secreto de las comunicaciones y, en especial, de las postales, telegráficas y telefónicas, salvo resolución judicial.

4. La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.

CONSTITUCIÓN ESPAÑOLA TÍTULO I. De los derechos y deberes fundamentales


Antecedentes

LEY ORGÁNICA 5/1992, de 29 de octubre, de regulación del tratamiento automatizado de los datos de carácter personal (LORTAD).

REAL DECRETO 994/1999, de 11 de junio, por el que se aprueba el reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal.

LEY ORGÁNICA 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD).

REAL DECRETO 195/2000, de 11 de febrero, por el que se establece el plazo para implantar las medidas de seguridad de los ficheros automatizados previstas por el Reglamento aprobado por el Real Decreto 994/1999, de 11 de junio.

REAL DECRETO 1720/2007, de 21 de diciembre, por el que se aprueba el reglamento de desarrollo de la ley Orgánica 15/1999 de la Ley Orgánica 15/1999 de 13 de diciembre, de protección de datos de carácter personal.


Conceptos

1. Protección de datos2. Datos de carácter personal3. Fichero4. Tratamiento de datos5. Sujetos del tratamiento

• Afectado o interesado• Responsable del fichero o tratamiento• Encargado del tratamiento• Responsable del seguridad• Usuario del fichero


Conceptos

¿EN QUE CONSISTE LA PROTECCIÓN DE ¿EN QUE CONSISTE LA PROTECCIÓN DE DATOS?DATOS?

Se trata de un derecho fundamental y, como tal, ha de ser respetado por todos.

Salvaguarda del derecho al honor, la intimidad, y la propia imagen de las personas físicas ante el uso ilegítimo de sus datos de carácter personal.

Garantizar al titular de los datos que los terceros, ya se trate de sector público o privado, tratarán sus datos personales con el respeto debido, de forma que aquél pueda tener un control sobre los mismos, y en todo momento sepa qué va a hacer quien trata sus datos, para qué los recaba, cómo los trata y para qué los utiliza o a quién se los cede o comunica.


Conceptos

DATO DE CARÁCTER PERSONALDATO DE CARÁCTER PERSONAL

Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables.

Si se recogen y tratan datos como el nombre, dirección postal, e-mail, teléfono, matrícula del coche, fotografía, huella digital, etc…, se están usando datos que identifican a una persona y por tanto se han de cumplir las prescripciones recogidas en la normativa referida anteriormente.

Excluidos del amparo otorgado por la normativa en cuestión:

Los datos concernientes a personas jurídicas

Los datos de personas físicas que presenten sus servicios a personas jurídicas (nombre y apellidos, las funciones o puestos desempeñados, la dirección postal o electrónica, el teléfono y el número de fax profesionales)

Los datos relativos a empresarios individuales, cuando hagan referencia a ellos en su calidad de comerciantes, industriales o navieros

Los datos referidos a personas fallecidas


Conceptos

FICHEROFICHEROTodo conjunto organizado de datos de carácter personal, que permita el acceso a los datos con arreglo a los criterios determinados, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.No se consideran ficheros a estos efectos, los que poseen las personas físicas en el ejercicio de sus actividades exclusivamente personales o domesticas (por ejemplo, los datos de una agenda electrónica de uso doméstico)

TRATAMIENTO DE DATOS:TRATAMIENTO DE DATOS:Cualquier operación o procedimiento técnico, sea o no automatizado, que permita la recogida, grabación, conservación, elaboración, modificación, consulta, utilización, modificación, cancelación, bloqueo o supresión, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.

Es habitual que prácticamente para cualquier actividad sea necesario que los datos personales se recojan y utilicen en la vida cotidiana.

A modo de ejemplo:Cuando se abre una cuenta en un banco

Cuando se matricula en un curso de idiomas

Cuando se reserva un vuelo o un hotel

Cuando se busca trabajo

Cuando se pide hora en una consulta médica


Conceptos: Sujetos del tratamiento

RESPONSABLE DEL FICHERORESPONSABLE DEL FICHERO

Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo que sólo o conjuntamente decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase materialmente.Sobre el Responsable del fichero recaen las principales obligaciones establecidas por la LOPD y le corresponde velar por el cumplimiento de la Ley en su organización.

Así, el Responsable del fichero deberá:

Notificar los ficheros ante el Registro General de Protección de datos para que proceda a su inscripción

Asegurarse de que los datos sean adecuados y veraces, obtenidos lícita y legítimamente y tratados de modo proporcional a la finalidad para la que fueron recabados.

Garantizar el cumplimiento de los deberes de secreto y seguridad

Informar a los titulares personales en la recogida de éstos

Facilitar y garantizar el ejercicio de los derechos de acceso, rectificación, cancelación y oposición

Velar por el cumplimiento de las medidas de seguridad aplicables en función del tipo de datos que trate.


Conceptos: Sujetos del tratamiento

• Afectado o interesadoAfectado o interesado: persona física titular de los datos que sean objeto del tratamiento.

• Encargado del tratamientoEncargado del tratamiento: persona física o jurídica, pública o privada que, solo o conjuntamente con otros, trate datos de carácter personal por cuenta del responsable del fichero, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio.

• Responsable del seguridadResponsable del seguridad: Persona o personas a las que el Responsable del Fichero ha asignado formalmente la función de coordinar y controlar las medidas de seguridad aplicables.

• Usuario del ficheroUsuario del fichero: Sujeto autorizado para acceder a datos o recursos.


Obligaciones del Responsable del Fichero

1. Legalización

Todos aquellos ficheros que contengan datos de carácter personal, objeto de tratamiento por una Organización, habrán de ser inscritos ante el Registro General de la Agencia Española de Protección de Datos.

2. Legitimación

El tratamiento de datos de carácter personal, en cualquier Organización, debe llevarse a cabo conforme a una serie de principios básicos recogidos en la normativa.

3. Seguridad y Protección

La normativa en materia de protección de datos de carácter personal, concretamente el RDLOPD, recoge la obligación de implantar una serie de medidas de carácter técnico y organizativo que garanticen la seguridad de los datos de carácter personal, medidas que habrán de ser adoptadas por la Organización que lleve a cabo un tratamiento de los datos.


Obligaciones del Responsable del Fichero: LEGALIZACIÓN

LEGALIZACIÓNLEGALIZACIÓN

Obligación de registrar los ficheros ante la AEPD:Quién: el Responsable del Fichero debe notificar la creación de ficheros

para su inscripción en el Registro General de Protección de Datos de la AEPD.

Cuándo: con anterioridad al uso de los ficheros, cuando se produzcan cambios respecto a la inscripción inicial, o cuando cesa el uso del fichero.

Para qué: permite que los titulares de los datos puedan conocer quienes son los responsables de los ficheros ante los que ejercitar directamente los derechos de acceso, rectificación, cancelación y oposición.

Incumplimiento: supondría un a infracción leve o grave, quedando sujeto al régimen sancionador.


Obligaciones del Responsable del Fichero: LEGITIMACIÓN

LEGITIMACIÓNLEGITIMACIÓN

El Responsable del Fichero ha de cumplir, y tener presentes, una serie de principios y preceptos; como son:

Calidad

Deber de información

Consentimiento

Datos especialmente protegidos

Datos de salud

Seguridad

Deber de secreto

Comunicación o cesión de datos

Acceso por terceros



Los datos de carácter personal: Deben ser adecuados, pertinentes y no excesivos según

ámbito y finalidades No podrán ser usados para finalidades incompatibles con

aquellas para las que los datos hubieran sido recogidos Deben ser exactos y puestos al día De ser inexactos o incompletos rectificación o cancelación

de oficio (10 días hábiles) por RF Deben ser tratados de forma leal y lícita. Se prohíbe la

recogida de datos por medios fraudulentos, desleales o ilícitos.

Se procederá a su cancelación si no necesario o pertinente según finalidadExcepción: Conservación para el cumplimiento de obligaciones legales o contractuales

CALIDAD DE LOS DATOS



Datos recabados del interesado directamenteDatos recabados del interesado directamenteLos interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco de :

- La existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de datos y de los destinatarios de la información

- El carácter obligatorio o facultativo de su respuesta a las preguntas que le sean planteadas

- Las consecuencias de la obtención de los datos o la negativa a suministrarlos

- La posibilidad de ejercitar los derechos acceso, cancelación, rectificación y oposición

- La identidad y dirección del responsable del fichero o de su representante

Cuando se utilicen cuestionarios u otros documentos para la recogida, deben figurar de forma clara y legible los puntos anteriores.

El deber de información deberá llevarse a través de un medio que permita acreditar su cumplimiento, debiendo conservarse mientras persista el tratamiento.

DEBER DE INFORMACIÓN



Datos NO obtenidos directamente del interesadoDatos NO obtenidos directamente del interesadoEl Responsable del Fichero debe informar al interesado de forma expresa, precisa e inequívoca, dentro de los 3 meses siguientes al registro de los datos, de los siguientes aspectos:

• del contenido del tratamiento• de la procedencia de los datos• existencia fichero, finalidad recogida,

destinatarios información• derechos acceso, cancelación, rectificación,

oposición• identidad y dirección responsable o

representante

DEBER DE INFORMACIÓN



Como regla general, el CONSENTIMIENTO del interesado es IMPRESCINDIBLE

Los datos de carácter personal únicamente podrán ser objeto de tratamiento o cesión si el interesado hubiera prestado previamente su consentimiento para ello.

La solicitud del consentimiento debe ir referida a un tratamiento o serie de tratamientos concretos, con delimitación de la finalidad para los que se recaba, así como de las restantes condiciones que concurran en el tratamiento o serie de tratamientos

Corresponde al responsable del fichero la prueba de la existencia del consentimiento del afectado por cualquier medio de prueba admisible en derecho

En el caso de tratamiento de datos de menores de catorce años se requerirá el consentimiento de los padres o tutores.

CONSENTIMIENTO



Forma de recabar el consentimientoForma de recabar el consentimientoExpresa: Mediante la suscripción del

correspondiente documento en el que se plasme la autorización o consentimiento de sus datos de carácter personal.

Tácita: El responsable podrá dirigirse al afectado informándole de los extremos del art. 5 LOPD, concediéndole un plazo de treinta días para manifestar su negativa al tratamiento, advirtiéndole que en el caso de no producirse, se entenderá que consiente el tratamiento. Debe facilitarse al interesado un medio sencillo y gratuito para manifestar su disconformidad con el tratamiento (p.ej. Teléfono o correo ordinario)

No se admite el consentimiento presunto.

CONSENTIMIENTO



Existen diferentes tipos admisibles de consentimiento, en función del nivel de seguridad de los datos:

▀ Consentimiento tácito: datos de nivel básico y medio (nombre y apellidos, DNI, fotografía, etc.)

▀ Consentimiento expreso: datos de nivel alto, en cuanto a origen racial, salud y vida sexual.

▀ Consentimiento expreso y por escrito: datos de nivel alto: Ideología, afiliación sindical, religión y creencias.

CONSENTIMIENTO



El afectado puede revocar el consentimiento para el tratamiento o cesión de sus datos

El RF deberá habilitar medios sencillos, gratuitos y que no impliquen ingreso alguno. (envío prefranqueado, número tel. gratuito u otros servicios de atención al publico)

No se consideran conformes el envío de cartas certificadas o envíos semejantes, la utilización de servicios de telecomunicaciones que impliquen tarificación adicional al afectado u otros medios que impliquen coste adicional al interesado.

Cese del tratamiento en diez días, si el interesado hubiera solicitado la confirmación del cese, se deberá responder expresamente a la solicitud.

Si los datos han sido cedidos, una vez revocado el consentimiento se deberá comunicar a los cesionarios en el plazo de diez días, para que estos cesen en el tratamiento de los datos.

CONSENTIMIENTO: Revocación



Existen una serie de supuestos en los que no es necesario el consentimiento del interesado para el tratamiento de sus datos; como son:

Cuando esté autorizado por una norma con rango de ley o una norma comunitaria

Cuando los datos se recojan para el ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de sus competencias

Cuando los datos se refieran a las partes contrato o precontrato de relación negocial, laboral o administrativa y necesarios para mantenimiento o cumplimiento

Cuando el tratamiento tenga por objeto proteger interés vital según art. 7.6 LOPD

Cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para satisfacción interés legítimo del Responsable del Fichero o Tercero al que se comuniquen los datos

Sin perjuicio del deber informativo !!

EXCEPCIONES A LA SOLICITUD PREVIA DE CONSENTIMIENTO



El Responsable del Fichero, así como quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal, están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.

DEBER DE SECRETO



COMUNICACIÓN DE DATOS

Es cualquier tratamiento de datos que suponga la revelación de los mismos a un Tercero, persona distinta del interesado.

En este sentido, conviene tener presente que se considera cesión la simple consulta que un tercero realice a los datos aunque sea a distancia y sin creación de un fichero o tratamiento nuevo.

Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de los fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo CONSENTIMIENTO del interesado



COMUNICACIÓN DE DATOS

EXCEPCIONES al consentimiento para la cesión de los datos del interesado a Terceros

Cesión autorizada por ley Fuentes accesibles al público la cesión responda a la libre y legítima aceptación de una

relación jurídica cuyo desarrollo, cumplimiento y control comporte la comunicación de los datos.

Destinatarios: Defensor del Pueblo, MF o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tienen atribuidas, así como a instituciones autonómicas análogas al Defensor del Pueblo o al Tribunal de Cuentas

Datos relativos a la salud necesarios para solucionar una urgencia

Entre administraciones públicas en determinados supuestos

Sin perjuicio del deber de información !!!!!El deber de información en supuestos de cesión es específico:

La finalidad a la que se destinarán los datos objeto de comunicación

El tipo de actividad desarrollada por el cesionario



ACCESO A DATOS POR CUENTA DE TERCEROS

No es comunicación cuando el acceso a los datos es necesario para la prestación de un servicio al responsable del fichero.

Este tipo de tratamiento debe formalizarse a través de un contrato regulado por Ley, es el denominado Contrato de Acceso a Datos por cuenta de tercero; cuyo contenido mínimo es:

• La obligación asumida por el encargado del tratamiento conforme:

– sólo tratará los datos según las instrucciones del responsable

– no los aplicará o utilizará con fin distinto al que figura en el contrato

– y no los comunicará ni siquiera para su conservación a otras personas (SUBCONTRATACIÓN)

• las medidas de seguridad que el encargado está obligado a cumplir



Cumplida la prestación contractual:– los datos de carácter personal, así como cualquier

soporte o documento en el que consten, deberán ser destruidos o devueltos al RF

– No procederá la destrucción de los datos cuando exista una previsión legal que exija su conservación, en cuyo caso se procederá a la devolución, garantizando el RF dicha conservación

– El encargado conservará debidamente bloqueados, los datos en tanto pudieran derivarse responsabilidades de su relación con el responsable del fichero.

El Encargado será considerado responsable y responderá de las infracciones en que incurra personalmente si destina los datos a otra finalidad, los comunica o los utiliza incumpliendo las estipulaciones del contrato.

ACCESO A DATOS POR CUENTA DE TERCEROS



El Responsable del Fichero deberá adoptar las medidas de índole técnica y organizativa necesarias para garantizar la seguridad de los datos de carácter personal:

NIVELES DE SEGURIDAD

MEDIDAS DE SEGURIDAD

SEGURIDAD Y PROTECCIÓN



SEGURIDAD Y PROTECCIÓNSEGURIDAD Y PROTECCIÓN

TIPOS DE DATOS. NIVELES DE SEGURIDAD

Niveles de seguridad Niveles de seguridad aplicables en atención al tipo de datos objeto de tratamiento:

NIVEL BÁSICO: Aplicable a todos los ficheros con datos de carácter personal, nombre, dirección, teléfono, correo electrónico...

NIVEL MEDIO:

•Datos relativos a la comisión de infracciones administrativas o penales

•Aquellos de los que sean responsables las administraciones tributarias, las entidades financieras y las Entidades Gestoras y Servicios Comunes de la Seguridad Social.

•Ficheros sobre solvencia patrimonial o de crédito

•Ficheros con datos suficientes para poder evaluar la personalidad del individuo. (Currículum, cuestionarios de evaluación del personal, etc...)

•Ficheros de los que sean responsables los operadores que presten servicios de comunicaciones electrónicas.

NIVEL ALTO:

•Datos de salud, ideología, afiliación sindical, religión, creencias, origen racial o étnico y vida sexual.

•Datos recabados para fines policiales sin consentimiento de las personas afectadas

•Datos de derivados de actos de violencia de género



Podrán adoptarse las medidas de NIVEL BÁSICO:

Ficheros o tratamientos automatizados que: – Contengan datos relativos a ideología, afiliación

sindical, religión o creencias, así como a salud• Transferencia dineraria a las entidades de las que

los afectados sean miembros o asociados.

– Contengan datos relativos a la salud:• Cumplimiento de deberes públicos• Datos que no incluyan ninguna referencia a una

enfermedad concreta o al historial clínico.• Porcentaje de discapacidad o la simple declaración

de la condición de discapacidad o invalidez del titular de los datos

Ficheros o tratamientos no automatizados que: de forma incidental o accesoria contengan datos especialmente protegidos (ideología, afiliación sindical, religión, creencias, origen racial, salud y vida sexual), sin guardar relación con la finalidad del fichero.

TIPOS DE DATOS. NIVELES DE SEGURIDAD


Medidas de Seguridad

FICHEROS AUTOMATIZADOS

FICHEROS NO AUTOMATIZADOS

MEDIDAS DE SEGURIDAD



DOCUMENTO DE SEGURIDAD Elaboración de un documento, de obligado cumplimiento para el personal de la

empresa, que contenga las medidas de seguridad requeridas en función del tipo de datos tratados por el Responsable del fichero.

Contenido mínimo recogido en el RDLOPD 1720/2007

FUNCIONES Y OBLIGACIONES DEL PERSONAL

Definición de las funciones y obligaciones del personal con acceso a DCP y SI Difusión entre el personal, de las normas que les afecten y de las

consecuencias de su incumplimiento.

REGISTRO DE INCIDENCIAS Registro: tipo de incidencia, momento en que se ha producido, persona que la

notifica, persona a la que se comunica, efectos derivados y medidas correctoras.

Procedimiento definido para la notificación y gestión de incidencias que afecten a DCP.

CONTROL DE ACCESO Cada usuario accederá únicamente a los datos y recursos necesarios para el

desarrollo de sus funciones. Relación actualizada de usuarios y perfiles de usuarios, y accesos autorizados a

los mismos Mecanismos que eviten el acceso a datos o recursos con derechos distintos de

los autorizados Concesión, alteración o anulación de permisos de acceso sólo por personal

autorizado según el Documento de Seguridad

FICHEROS AUTOMATIZADOS.NIVEL BÁSICO (1)



GESTIÓN DE SOPORTES Y DOCUMENTOS Medidas que eviten el acceso indebido o recuperación de la información

contenida en soportes desechados (borrado/destrucción) Acceso restringido al personal autorizado en el Documento de Seguridad Salida de soportes autorizada por el Responsable de Seguridad Identificar el tipo de información que contienen Inventario

IDENTIFICACIÓN Y AUTENTICACIÓN Identificación inequívoca y personalizada de usuarios que intenten acceder a

los Sistemas de Información Mecanismos de identificación y autenticación de usuarios:

• Procedimiento de asignación, distribución y almacenamiento de contraseñas que garantice la confidencialidad e integridad de las mismas

• Caducidad de las contraseñas (Máximo: 1 año)• Almacenamiento inteligible de contraseñas activas

COPIAS DE RESPALDO Verificar la definición, funcionamiento y aplicación de los procedimientos de

copias y recuperación (mínimo: 6 meses) Copias de respaldo (mínimo: semanal)

FICHEROS AUTOMATIZADOS.NIVEL BÁSICO (2)



DOCUMENTO DE SEGURIDAD Identificación del responsable/s de seguridad Controles periódicos para verificar su cumplimiento

GESTIÓN DE SOPORTES Y DOCUMENTOS Registro de entrada y salida de soportes

IDENTIFICACIÓN Y AUTENTICACIÓN Mecanismo que limite número de intentos reiterados de acceso no autorizado al

Sistema de Información

RESPONSABLE DE SEGURIDAD Designación de uno o varios Responsables de Seguridad Encargados de coordinar y controlar las medidas del DS No supone delegación de responsabilidad del RF

AUDITORIA Auditoria ordinaria (interna o externa): Bienal Extraordinaria: modificaciones sustanciales en los Sistemas Información Elaboración de un informe de auditoria

CONTROL DE ACCESO FÍSICO Control de acceso físico a los locales donde se ubican los Sistemas de

Información.

FICHEROS AUTOMATIZADOS.NIVEL MEDIO



GESTIÓN Y DISTRIBUCIÓN DE SOPORTES Identificación mediante etiquetado comprensible y significativo para usuarios

autorizados, que permita identificar su contenido. Cifrado de datos en la distribución de soportes Cifrado de dispositivos portátiles fuera de las instalaciones del responsable del

fichero.

COPIAS DE RESPALDO Y RECUPERACIÓN– Conservarse una copia en un lugar diferente de aquel en que se encuentren los

equipos informáticos

REGISTRO DE ACCESOS De cada acceso se registrará, el usuario, hora fichero accedido, tipo de acceso

autorizado/denegado y registro accedido. Control del registro de accesos por responsable de seguridad. Informe

mensual. Conservación datos registrados: 2 años.

TELECOMUNICACIONES La transmisión a través de redes pública o redes inalámbricas de

comunicaciones electrónicas debe realizarse cifrando los datos

FICHEROS AUTOMATIZADOS.NIVEL MEDIO


Medidas de Seguridad: Ficheros Automatizados

OBLIGACIONES A DESARROLLAR BÁSICO MEDIO ALTO

Documento de Seguridad √ √ √

Funciones y Obligaciones del personal √ √ √

Registro de incidencias √ √ √

Gestión de Soportes y Documentos √ √ √

Identificación y autenticación de usuarios √ √ √

Control de acceso lógico √ √ √

Copias de Respaldo y Recuperación √ √ √

Responsable de Seguridad √ √

Control de acceso físico √ √

Auditoria Bianual √ √

Cifrado de telecomunicaciones √

Registro de accesos √

OBLIGACIONES TECNICAS Y ORGANIZATIVAS RD1720/2007:



Se aplicarán igualmente a los ficheros no automatizados, las siguientes medidas descritas para ficheros automatizados, teniendo en cuenta los niveles de seguridad:

DOCUMENTO DE SEGURIDAD FUNCIONES Y OBLIGACIONES DEL PERSONAL REGISTRO DE INCIDENCIAS CONTROL DE ACCESO GESTIÓN DE SOPORTES Y DOCUMENTOS RESPONSABLE DE SEGURIDAD AUDITORIA

FICHEROS NO AUTOMATIZADOS.Criterios Generales



CRITERIOS DE ARCHIVO Correcta conservación, localización, consulta y ejercicio de los derechos

ARCO Criterios y procedimientos de archivo

DISPOSITIVOS DE ALMACENAMIENTO Mecanismos que dificulten su apertura e impidan el acceso a personas no

autorizadas

CUSTODIA DE SOPORTES Usuario autorizado de la documentación no archivada, encargado de

custodiarla e impedir el acceso por persona no autorizada

FICHEROS NO AUTOMATIZADOS.NIVEL BÁSICO



ALMACENAMIENTO DE LA INFORMACIÓN Armarios o archivadores ubicados en áreas de acceso con sistemas de

apertura mediante llave o dispositivo equiparable

ACCESO A LA DOCUMENTACIÓN Mecanismo de identificación de accesos a documento con múltiples usuarios Registro de accesos de usuarios no autorizados Solo personal autorizado

TRASLADO DE LA DOCUMENTACIÓN Medidas que impidan el acceso o manipulación de la documentación durante

el transporte

FICHEROS NO AUTOMATIZADOS.NIVEL ALTO


Medidas de Seguridad: Ficheros No Automatizados

OBLIGACIONES A DESARROLLAR BÁSICO MEDIO ALTO

Documento de Seguridad √ √ √

Funciones y Obligaciones del personal √ √ √

Registro de incidencias √ √ √

Gestión de Soportes y Documentos √ √ √

Control de acceso lógico √ √ √

Criterios de archivo √ √ √

Dispositivos de almacenamiento

Custodia de soportes √ √ √

Responsable de Seguridad √ √

Auditoria Bianual √ √

Almacenamiento de la información √

Copia o reproducción

Acceso a la documentación

Traslado de la documentación √

OBLIGACIONES TECNICAS Y ORGANIZATIVAS RD1720/2007:


Infracciones y Sanciones

... es un Ente de Derecho Público, cuya finalidad principal es velar por el cumplimiento de la normativa sobre protección de datos personales, actuando para ello con plena independencia de las administraciones Públicas.

FUNCIONES Y POTESTADESVelar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación, en especial en lo relativo a los derechos de información, acceso, rectificación, oposición y cancelación de los datos•Atender las peticiones y reclamaciones formuladas por las personas afectadas•Potestad sancionadora•Potestad de inspección•Potestad de inmovilización de ficheros


Infracciones y Sanciones

Nivel de la infracción

Descripción de la infracción Sanción prevista

LEVE

1. No atender la solicitud de rectificación o cancelación por motivos formales.

2. No proporcionar información a APD.3. No solicitar inscripción de fichero en el RGPD (puede ser

infracción grave).4. Recoger datos personales sin proporcionar información a

los afectados.5. Incumplir el deber de secreto (puede ser infracción grave).

601 - 60.101€

(100.000-10 M Ptas.)

GRAVE

Algunas infracciones son:1. Recoger datos personales sin consentimiento expreso de

los afectados.2. Tratar o usar datos de carácter personal incumpliendo la

legislación (puede se infracción muy grave).3. Mantener datos inexactos, sin rectificar o cancelar4. Mantener ficheros, locales, programas o equipos con datos

personales sin las debidas condiciones de seguridad5. Vulnerar el deber de secreto en ficheros de nivel medio.

60.101 - 300.506€

(10 - 50 M Ptas.)

MUY GRAVE

Entre otras:1. Recoger datos de forma engañosa o fraudulenta.2. Comunicar o ceder los datos de carácter personal, fuera de

los casos en que esté permitido.3. Transferencia de datos a países sin nivel equiparable de

protección y sin autorización de la APD.4. No atender sistemáticamente los derechos de acceso,

rectificación, cancelación u oposición.5. No atender sistemáticamente el deber notificación de la

inclusión de datos personales.

300.506 - 601.012€

(50 - 100 M Ptas.)


DERECHOS

Acceso

Rectificación

Cancelación

Oposición

Derechos ARCO de los Ciudadanos



A. Naturaleza

B. Requisitos

C. Procedimiento

D. Ejercicio de derechos ante un

Encargado de Tratamiento.



• Personalísimo

• Se ejercitarán :

Por el afectado, acreditando su identidad

Por representante legal, acreditando tal condición→ supuestos de incapacidad o minoría de edad que imposibilite el ejercicio de estos

derechos

A través de representante voluntario, acreditando la identidad del representado

→ mediante aportación del DNI del representado y la representación conferida por éste.

• Denegación de solicitud:

Cuando sea formulada por persona distinta del afectado y no se acredite que la misma actúa en representación del afectado.

NATURALEZA



• Derechos independientes:

No es necesario el ejercicio de uno para poder llevar a cabo el ejercicio de otro

• Otorgamiento de un medio sencillo y gratuito para el ejercicio de los derechos ARCO,

Medios NO conformes a la ley:

→ envíos de cartas certificadas o semejantes,

→ utilización de servicios de telecomunicaciones de tarificación adicional

→ cualesquiera otros medios que impliquen un coste excesivo

• Utilización de un medio distinto al establecido al efecto: El responsable del fichero deberá atender igualmente a la solicitud,

siempre que el medio elegido permita acreditar el envío y la recepción de la solicitud

REQUISITOS



• Comunicación dirigida al Responsable del Fichero: Nombre y apellidos del interesado y fotocopia del DNI / Persona que lo

Representa y documento acreditativo

Petición en que se concreta la solicitud

Dirección a efectos de notificaciones, fecha y firma del solicitante

Documentos acreditativos de la petición que formula,

• Corresponde al Responsable del Fichero: Deber de contestación figuren o no datos personales del afectado

Solicitar la subsanación de los errores en la solicitud, en caso de que las hubiere

Deber de cumplir con los requisitos para la contestación

La prueba del cumplimiento del deber de respuesta

Garantizar que las personas con acceso a datos dentro de su organización puedan informar del procedimiento para el ejercicio de sus derechos, al interesado

PROCEDIMIENTO



• Supuesto concreto:

→ ejercicio de derechos ARCO ante un encargado de tratamiento

• Regla general:

→ El Encargado de Tratamiento deberá trasladar la solicitud al Responsable del fichero, para que éste la resuelva

• Excepción:

→ Salvo que en la relación existente entre ET y RF, se prevea la atención a dichos derechos por parte del ET.

DERECHOS ANTE ENCARGADO DE TRATAMIENTO



A.Derecho de acceso

B.Derechos de rectificación

C.Derecho de cancelación

D.Derechos de oposición



Derecho del afectado a obtener información sobre:

– si sus propios datos están siendo objeto de tratamiento

– la finalidad del tratamiento que se esté realizando

– el origen de dichos datos

– las comunicaciones realizadas o que se prevean realizar.

DERECHO DE ACCESO



Derecho de rectificación → derecho del afectado a que se modifiquen los datos que resulten ser inexactos o incompletos

Derecho de cancelación→ derecho a que se supriman los datos que resulten ser inadecuados o excesivos, sin perjuicio del deber del bloqueo

DERECHO DE RECTIFICACIÓN Y CANCELACIÓN



Derecho a que no se lleve a cabo el tratamiento de sus datos de carácter personal en los siguientes supuestos:

a. Cuando no sea necesario su consentimiento

b. Cuando el tratamiento tenga por finalidad realización de actividades de publicidad y prospección comercial

c. Cuando el tratamiento tenga por finalidad la adopción de una decisión referida al afectado y basada únicamente en un tratamiento automatizado de sus datos

DERECHO DE OPOSICIÓN



1.Infracciones leves de 600€ a 60.000€

No atender, por motivos formales, la solicitud del interesado de rectificación o cancelación de los datos personales objeto de tratamiento cuando legalmente proceda.

2.Infracciones graves de 60.000€ a 300.000€

El impedimento o la obstaculización del ejercicio de los derechos de acceso y oposición y la negativa a facilitar la información que sea solicitada.

Mantener los datos de carácter personal inexactos o no efectuar las rectificaciones o cancelaciones de los mismos que legalmente procedan cuando resulten afectados los derechos de las personas que la presente ley ampara

3.Infracciones muy graves de 300.000€ a 600.000€

No atender, u obstaculizar de forma sistemática el ejercicio de los derechos de acceso, rectificación, cancelación u oposición.

INFRACIONES Y SANCIONES

Sanciones

Sanciones

Sanciones


Otros derechos de los ciudadanos

A. Derecho de indemnización

B. Derecho de exclusión de guías telefónicas

C. Derecho a no recibir publicidad no deseada

D. Derechos de los destinatarios de servicios de

comunicaciones electrónicas



• Interesados que sufran daño o lesión sobre sus bienes o derechos

→ La AEPD: No competencia para fijar indemnizaciones

a) Ficheros titularidad pública: responsabilidad exigida de acuerdo con la legislación reguladora del régimen de responsabilidad de las Administraciones públicas

b) Ficheros titularidad privada: acción se ejercitará ante los órganos de la jurisdicción ordinaria.

DERECHO DE INDEMNIZACIÓN



• Datos repertorios telefónicos (papel/soporte electrónico) = Fuente Accesible al Público.

– Permitido tratamiento sin consentimiento del interesado

– Medio para evitar que los datos sean de Dominio Publico:

→ Solicitar la exclusión total o parcial de los datos personales contenidos en repertorios telefónicos de abonados

→ En caso contrario: uso legal de los datos sin consentimiento

DERECHO DE EXCLUSIÓN DE GUIAS TELEFONICAS



•Tratamientos con fines de publicidad y prospección comercial:

Los datos han de ser:

· de fuentes accesibles al público

· facilitados por los propios interesados

· obtenidos con su consentimiento

Datos de fuentes accesibles al público

· En cada comunicación se informará del origen de los datos y de la identidad del RF , de los derechos ARCO

DERECHO A NO RECIBIR PUBLICIDAD NO DESEADA



•Prohibición:

→ Envío de comunicaciones publicitarias o promocionales

→ Mediante correo electrónico u otro medio de comunicación electrónica equivalente

→ No solicitadas o expresamente autorizadas por los destinatarios.

•Excepción:

→ Cuando el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario

→ los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los inicialmente contratados.

•Regla general:

→ El prestador deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con tal fin

→ Mediante un procedimiento sencillo y gratuito

→ Tanto en el momento de la recogida de los datos como en cada una de las comunicaciones comerciales que le dirija

DERECHOS DE LOS DESTINATARIOS DE SERVICIOS DE COMUNICACIONES ELECTRÓNICAS


Sitios Web de Interés

www.agpd.es

Agencia Española de Protección de Datos

www.cumplaconlaley.com

Portal Empresarial de Quirós Informática sobre la LOPD

www.cumplaconlaley.com/uimp.htm

Dirección para descagas de la Presentación y Documentación adicional

Muchas gracias por su atención y hasta la próxima.

Miguel Ángel Quiró[email protected]

www.cumplaconlaley.com

introducción a la ley orgánica de protección de datos (lopd) miguel Ángel quirós...

Documents