NORMAS DE SEGURIDAD Y LA LOPD - bilib.es · rrollo de la Ley Orgánica 15/1999, de 13 de diciembre,...
67
Nociones básicas en LOPD Página | 1 NORMAS DE SEGURIDAD Y LA LOPD
Transcript of NORMAS DE SEGURIDAD Y LA LOPD - bilib.es · rrollo de la Ley Orgánica 15/1999, de 13 de diciembre,...
Nociones básicas en LOPD
Página | 1
NORMAS DE SEGURIDAD Y LA LOPD
Índice de contenido
ESTRUCTURA................................................................................................................................5
MÓDULO1. PROTECCIÓN DE DATOS............................................................................................6
LECCIÓN 1. INTRODUCCIÓN.........................................................................................................6
1.1 Introducción...........................................................................................................................6
LECCIÓN 2. PRESENTACIÓN DE LA EMPRESA DE EJEMPLO...........................................................7
2.1 Taller Pepe.........................................................................................................................7
2.2 Definiciones.......................................................................................................................8
LECCIÓN 3. ASPECTOS DEL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE DATOS................10
3.1 ¿Qué podemos considerar como un dato de carácter personal?....................................10
LECCIÓN 4. TRATAMIENTO DE DATOS DE CARÁCTER PERSONAL...............................................14
4.1 Personas que intervienen en el tratamiento de datos....................................................15
LECCIÓN 5. OBLICACIONES DEL RESPONSABLE DEL FICHERO.....................................................17
5.1 Notificación de ficheros ante la agpd..............................................................................17
5.2 Formularios de Notificación de alta de ficheros..............................................................19
LECCIÓN 6. PRINCIPIOS DE INFORMACIÓN, CALIDAD, FINALIDAD, CONSENTIMIENTO Y SEGURI-DAD............................................................................................................................................22
6.1 Principios relativos a la calidad de los datos....................................................................22
6.2 Principios relativos al consentimiento para el tratamiento o cesión de los datos..........25
6. 2. 1 Consentimiento para el tratamiento de datos de carácter personal.....................25
6.2.2 Consentimiento para la cesión de datos de carácter personal................................27
6.2.3 Consentimiento para el tratamiento de datos de menores de edad.......................28
6.2.4 Forma de recabar el consentimiento.......................................................................28
6.2.5 Revocación del consentimiento..............................................................................29
6.3 Deber de Información al interesado................................................................................31
6.3.1 Acreditación del cumplimiento del deber de información.....................................32
6.4 Deber de secreto.............................................................................................................33Página | 2
LECCIÓN 7. EJERCICIO DE DERECHOS........................................................................................34
7.1 Derecho de acceso..........................................................................................................34
7.2 Derechos de rectificación y cancelación.........................................................................35
7.3 Derecho de oposición.....................................................................................................35
7.4 Procedimiento para el ejercicio de derechos.................................................................36
7.4.1 Solicitud de derechos de acceso..............................................................................37
7.4.2 En el caso de ejercicio de los derechos de rectificación y cancelación...................39
7.4.3 En el caso de ejercicio del derecho de oposición....................................................39
LECCIÓN 8. ENCARGADO DE TRATAMIENTO..............................................................................40
LECCIÓN 9. PROBLEMAS POR INCUMPLIMIENTO DE LA LEY ORGÁNICA DE PROTECCIÓN DE DA-TOS (LOPD).................................................................................................................................41
9.1 Denuncias por parte de los afectados.............................................................................41
9.1.1 Filtrado de datos al exterior....................................................................................41
9.1.2 Pérdida de datos......................................................................................................41
9.2 Resoluciones sancionadoras por parte de la agencia española de protección de datos. 42
MÓDULO 2. NORMAS DE SEGURIDAD........................................................................................43
LECCIÓN 1. INTRODUCCIÓN.......................................................................................................43
1.1 Introducción....................................................................................................................43
1.1.1 Medidas de seguridad............................................................................................43
LECCIÓN 2. NORMAS DE SEGURIDAD PARA FICHEROS AUTOMIZADOS.....................................46
2.1 Medidas de identificación y autentificación de usuarios.................................................46
2.2 Control de Acceso............................................................................................................47
2.3 Control de Acceso Físico..................................................................................................48
2.4 Gestión de soportes........................................................................................................49
2.5 Acceso a datos a través de redes de comunicaciones.....................................................51
2.6 Ficheros temporales o copias de trabajo de documentos...............................................52
2.7 Telecomunicaciones........................................................................................................53
2.8 Copias de seguridad y restauración.................................................................................54
Página | 3
2.9 Registro de incidencias....................................................................................................55
LECCIÓN 3. MEDIDAS DE SEGURIDAD EXIGIBLES PARA FICHEROS NO AUTOMATIZADOS..........56
3.1 Acceso a datos................................................................................................................56
3.1.1 Criterios de archivo.................................................................................................56
3.1.2 Dispositivos de almacenamiento.............................................................................56
3.1.3 Custodia de los soportes.........................................................................................57
3.1.4 Copia o reproducción..............................................................................................57
3.1.5 Traslado de documentación....................................................................................57
LECCIÓN 4. AUDITORIAS BIANUALES.........................................................................................58
LECCIÓN 5. CLAÚSULAS DE INFORMACIÓN................................................................................59
LECCIÓN 6. CLÁUSULA INFORMATIVA LOPD..............................................................................63
LECCIÓN 7. CLÁUSULAS DE CONFIDENCIALIDAD........................................................................65
LECCIÓN 8. CONTRATOS DE TRATAMIENTO DE DATOS CON TERCEROS...................................66
Página | 4
ESTRUCTURA
MÓDULOS
Éste curso se divide en dos módulos, a lo largo de los cuales iremosdescubriendo la protección de datos de carácter personal y la Seguridaddesde un punto de vista profesional.
• MÓDULO 1: El primer módulo se dedica a describir el derecho fundamental a la protección dedatos y a las personas que intervienen en el tratamiento de datos de carácter personal.
• MÓDULO 2: El módulo 2 se acerca a la Seguridad desde el punto de vista de negocio. Para ello,se centra en aspectos tan importantes como la productividad, el mejor aprovechamiento de losrecursos y las buenas prácticas y políticas de seguridad en las organizaciones.
EVALUACIÓN
El curso está compuesto por dos módulos consecutivos. Al final de cada modulo habrá un Cuestiona-rio-autoevaluación para que los alumnos puedan evaluar los conocimientos adquiridos. En cada cuestio-nario se necesitará contestar correctamente al menos a 6 de las 10 cuestiones formuladas de cada cues -tionario.
Página | 5
MÓDULO1. PROTECCIÓN DE DATOS
LECCIÓN 1. INTRODUCCIÓN
1.1 Introducción
El derecho fundamental a la protección de datos personales
deriva directamente de la Constitución y atribuye a los ciudadanos un poder de disposición
sobre sus datos, de modo que, en base a su consentimiento, puedan disponer de los mismos.
La Constitución Europea reconoce el derecho fundamental a la protección de datos a travésdel artículo 18, donde se garantiza el derecho al honor, a la intimidad personal y familiar y a lapropia imagen.
Asimismo se limita el uso de la informática para garantizar el honor y la intimidad personal yfamiliar de los ciudadanos y el pleno ejercicio de sus derechos.
La actual Ley Orgánica 15/1999, de 13 de diciembre de Protección de datos de carácter perso-nal (LOPD) fue la encargada de adoptar a nuestra legislación, lo establecido por la Directiva Eu -ropea 95/46/CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995, que estable-cía las directrices relativas a la protección de datos de carácter personal relativos a las perso-nas físicas y a la libre circulación de los datos de carácter personal.
La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, ysu Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desa-rrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter per -sonal, tienen por objeto garantizar y proteger, en lo que concierne al tratamiento de los datospersonales, las libertades públicas y los derechos fundamentales de las personas físicas, y es-pecialmente de su honor e intimidad personal y familiar.
Página | 6
LECCIÓN 2. PRESENTACIÓN DE LA EMPRESA DE EJEMPLO
Durante el transcurso del curso expondremos varios ejemplos de situaciones para ilustrar me -jor los conceptos que se intentan explicar. Para ello utilizaremos una empresa ficticia llamadaTaller Pepe, en la que transcurrirán las distintas situaciones que usaremos de ejemplo.
2.1 Taller Pepe
Taller Pepe es una empresa de nueva creación. Pepe nuestroprotagonista, es un hombre de 40 años que tras 20 años detrabajo por cuenta ajena en un taller de una gran franquicia,decide montar un negocio por su cuenta.
A la hora de montar el taller, la hija de Pepe, Clara le comentaa su padre que en el instituto le han hablado de la LOPD, unaley que se dedica a proteger los datos de las personas y que
deben cumplir todas las empresas, se dedique al sector que se dediquen.
Pepe decide entonces ponerse al día de sus obligaciones, por ello decide asesorarse.
El taller contará con un ordenador donde se instalará la aplicación que lleva la contabilidadde la empresa, los datos de los clientes (las fichas de sus vehículos) y los datos de los traba-jadores.
Taller Pepe tiene pensado contratar los servicios de una Asesoría contable, fiscal y laboral,así como una autónoma que se encargará de la limpieza de los locales, mientras ellos estenallí.
A lo largo de este curso veremos las obligaciones y responsabilidades de Pepe con sus clientes,trabajadores y proveedores, así como las medidas de seguridad a implementar.
Página | 7
2.2 Definiciones
Aquí veremos algunos términos que se usarán durante el curso y sus respectivas definicionessegún la Ley Orgánica 15/1999 (LOPD):
· Datos de carácter personal: Cualquier información concerniente a personas físicas identifica-das o identificables.
· Fichero: Todo conjunto organizado de datos de carácter personal, cualquiera que fuere laforma o modalidad de su creación, almacenamiento, organización y acceso.
· Tratamiento de datos: Operaciones y procedimientos técnicos de carácter automatizado ono, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo ycancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, inter-conexiones y transferencias.
· Responsable del fichero o tratamiento: Persona física o jurídica, de naturaleza pública o pri-vada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento.
· Afectado o interesado: Persona física titular de los datos que sean objeto del tratamiento.
· Procedimiento de disociación: Todo tratamiento de datos personales de modo que la infor-mación que se obtenga no pueda asociarse a persona identificada o identificable.
· Encargado del tratamiento: La persona física o jurídica, autoridad pública, servicio o cual-quier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuentadel responsable del tratamiento.
· Consentimiento del interesado: Toda manifestación de voluntad, libre, inequívoca, específicae informada, mediante la que el interesado consienta el tratamiento de datos personales quele conciernen.
· Cesión o comunicación de datos: Toda revelación de datos realizada a una persona distintadel interesado.
· Fuentes accesibles al público: Aquéllos ficheros cuya consulta puede ser realizada, por cual-quier persona, no impedida por una norma limitativa o sin más exigencia que, en su caso, elabono de una contraprestación. Tienen la consideración de fuentes de acceso público, exclusi-vamente, el censo promocional, los repertorios telefónicos en los términos previstos por su
Página | 8
normativa específica y las listas de personas pertenecientes a grupos de profesionales que con-tengan únicamente los datos de nombre, título, profesión, actividad, grado académico, direc-ción e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de accesopúblico los diarios y boletines oficiales y los medios de comunicación.
Página | 9
LECCIÓN 3. ASPECTOS DEL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE DATOS
Antes de poder hablar de la protección de datos de carácter personal es necesario que defina-mos una serie de términos básicos, que se irán viendo a lo largo del temario.
3.1 ¿Qué podemos considerar como un dato de carácter personal?
En primer lugar en necesario que sepamos que se considera dato de carácter personal, de lodefinido en el RD 1720/2007 se desprender que se considera dato de carácter personal a cual-quier información (numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo)concerniente a personas físicas identificadas o identificables.
Se considerará dato disociado aquél que no permite la identificación de un persona física ypor tanto no se considerara datos de carácter personal por sí solo, este tipo de dato es el aso -ciado a encuestas, históricos, estadísticas etc.
Los datos pueden ser de distintos tipos, por ejemplo:
• Datos de carácter identificativo, como sonel nombre, apellidos, DNI, dirección, teléfonoetc.
• Datos de carácter personal relacionados con la salud, que serán toda aquella informaciónconcerniente a la salud pasada, presente y futura, física o mental, de un individuo, Datos relati -vos a infracciones administrativas o penales, datos identificativos, datos de características per-sonales etc.
• Datos de carácter personal de características personales: Estado civil, fecha de nacimiento,edad, sexo.
• Datos académicos o profesionales, como pueden ser notas, cursos realizados, estudios, etc.
• Datos económicos o financieros, como el número de cuenta, ingresos, subvenciones, etc.
Ahora bien, ya sabemos qué datos protege la Ley, sin embargo un dato por sí solo no significanada, por esa razón la Ley habla en términos de fichero.
Debemos entender por Fichero, todo conjunto organizado de datos de carácter personal, quepermita el acceso a los datos con arreglo a criterios determinados, cualquiera que sea la formao modalidad de su creación, almacenamiento, organización y acceso. Por tanto, no solo se con-siderará fichero a los datos tratados en formato electrónico, sino a todos los datos recogidos.
Página | 10
De la definición dada anteriormente se desprende que un fichero no automatizado será todoconjunto de datos de carácter personal organizado de forma no automatizada y estructuradoconforme a criterios específicos relativos a personas físicas, que permitan acceder sin esfuer-zos desproporcionados a sus datos personales, ya sea aquél centralizado, descentralizado o re-partido de forma funcional o geográfica.
Dependiendo de los tipos de datos que contenga un fiche-ro, podremos hablar de tres niveles de clasificación: fiche-ros de nivel básico, medio o alto.
Se considerada ficheros de nivel Alto aquellos que recojan datos:
• Que se refieran a datos de ideología, afiliación sindical, religión, creencias, origen racial,salud o vida sexual, salvo que los datos se utilicen con la única finalidad de realizar una transfe-rencia dineraria a las entidades de las que los afectados sean asociados o miembros, o se tratede ficheros o tratamientos en los que de forma incidental o accesoria se contengan aquellosdatos sin guardar relación con su finalidad o se traten datos de salud referentes exclusivamen-te al grado de discapacidad o la simple declaración de la condición de discapacidad o invalidezdel afectado, con motivo del cumplimiento de deberes públicos.
• Los que contengan o se refieran a datos recabados para fines policiales sin consentimientode las personas afectadas.
• Aquéllos que contengan datos derivados de actos de violencia de género.
• A los ficheros de los que sean responsables los operadores que presten servicios de comu-nicaciones electrónicas disponibles al público o exploten redes públicas de comunicacioneselectrónicas respecto a los datos de tráfico y a los datos de localización.
Página | 11
Se consideraran ficheros de nivel medio los que contengan datos:
• Relativos a la comisión de infracciones administrativas o penales.
• Aquéllos cuyo funcionamiento se rija por el artículo 29 de la LOPD, dedicados a la presta-ción de servicios de información sobre solvencia patrimonial y crédito.
• Aquéllos de los que sean responsables Administraciones tributarias y se relacionen con elejercicio de sus potestades tributarias.
• Aquéllos de los que sean responsables las entidades financieras para finalidades relaciona-das con la prestación de servicios financieros.
• Aquéllos de los que sean responsables las Entidades Gestoras y Servicios Comunes de la Se -guridad Social y se relacionen con el ejercicio de sus competencias.
• De igual modo, aquéllos de los que sean responsables las mutuas de accidentes de trabajo yenfermedades profesionales de la Seguridad Social.
• Aquéllos que contengan un conjunto de datos de carácter personal que ofrezcan una defini-ción de las características o de la personalidad de los ciudadanos y que permitan evaluar de -terminados aspectos de la personalidad o del comportamiento de los mismos.
El último nivel que nos falta por definir es los ficheros de nivel básico, sin embargo no existeuna definición para ellos, ya que se consideraran de nivel básico todos aquellos ficheros que nosean de nivel alto o medio.
En la introducción hemos hablado de la Agen-cia Española de Protección de Datos (AGPD),esta agencia es la encargada de hacer cumplirla normativa vigente en materia de protecciónde datos. Podemos acceder a la informaciónde la AGPD a través de su página web:https://www.agpd.es/
En la página web de la AGPD podremos encontrar el material sobre el cual trabajaremos a lolargo de este curso.
Guía del Responsable del fichero:
http://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/pdfs/guia_responsable_ficheros.pdf
Guía de Seguridad de los datos:
Página | 12
http://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/pdfs/guia_seguridad_datos_2008.pdf
Un documento de seguridad base:
http://www.agpd.es/portalwebAGPD/jornadas/dia_proteccion_2011/responsable/herramientas-ides-idphp.php
Los formularios de inscripción de ficheros:
https://www.agpd.es/portalwebAGPD/canalresponsable/inscripcion_ficheros/Notificaciones_tele/obtencion_formulario/index-ides-idphp.php
El programa Evalúa que nos ayudará a saber nuestro nivel de cumplimiento:
http://www.agpd.es/portalwebAGPD/jornadas/dia_proteccion_2011/responsable/evalua-ides-idphp.php
Página | 13
LECCIÓN 4. TRATAMIENTO DE DATOS DE CARÁCTER PERSONAL
Se considera como tratamiento de datos a cualquier operación o procedimiento técnico, sea o
no automatizado, que permita la recogida, grabación, conservación, elaboración, modifica-
ción, consulta, utilización, modificación, cancelación, bloqueo o supresión, así como las cesio-
nes de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.
Con la definición de datos de carácter personal y tratamiento de datos podríamos suponer quecasi toda información está sujeta a la Ley Orgánica de protección de datos, sin embargo estaLey establece una serie de excepciones que se quedaría al margen del cumplimiento comoson:
• Personas jurídicas. Personas de contacto.
• Empresarios individuales (autónomos).
• Personas fallecidas.
• Ficheros mantenidos por personas físicas para actividades exclusivamente personales o do-mésticas (agenda privadas).
• Ficheros relativos a Materias Clasificadas.
• Ficheros establecidos para la Investigación del terrorismo y de formas graves de delincuen-cia organizada.
• Ficheros de aplicación supletoria: Régimen Electoral, Función estadística pública, Informesde calificación del personal de Fuerzas Armadas y guardia Civil; Registro Civil, Registro Centralde Penados y Rebeldes; e imágenes y sonidos obtenidos por Fuerzas y Cuerpos de Seguridad.
Página | 14
4.1 Personas que intervienen en el tratamiento de datos
Una vez definido cuales son los datos que se consideran de carácter personal, es necesario que
identifiquemos a las personas que interceden en el tratamiento de estos datos.
En primer lugar es muy importante que identifiquemos a qué nos referimos cuando hablamosde afectado o interesado, es aquella persona física que es “titular” o dueña de los datos quese tratan, nosotros somos los interesados de nuestros datos de carácter personal.
Una vez definido claramente quien es el “dueño” de los datos, es necesario que sepamos cuá-les son sus derechos y cuáles son los principios para el tratamiento de los datos. Estos dos te -mas iremos viéndolos en sucesivas lecciones.
Sigamos ahora con las personas que interactúan con los datos, hablemos del responsable delfichero o del tratamiento, es aquella persona física o jurídica, de naturaleza pública o privada,u órgano administrativo, que sólo o conjuntamente con otros, decide sobre la finalidad, conte-nido y uso del tratamiento de los datos, aunque no lo realizase materialmente.
En nuestro ejemplo, Taller Pepe será el responsable del fichero y los interesados serán susclientes y trabajadores. Los proveedores al ser todos empresas no estarán sujetos a laLOPD.
Un autónomo o empresario individual será responsable del fichero o tratamiento de losdatos personales de sus clientes.
Un hotel será responsable del fichero de sus huéspedes.
Un gimnasio será responsable del fichero de sus socios.
Un centro educativo será responsable del fichero de sus alumnos.
Un Ayuntamiento será responsable del fichero del padrón.
El tratamiento puede delegarse en un encargado de tratamiento, entendiéndose como la per-
sona física o jurídica, pública o privada, u órgano administrativo que, solo o conjuntamente
con otros, trate datos personales por cuenta del responsable del tratamiento o del responsa-
ble del fichero, como consecuencia de la existencia de una relación jurídica que le vincula con
el mismo (contrato de prestación de un servicio) y delimita el ámbito de su actuación para la
prestación de un servicio.
Página | 15
En nuestro ejemplo, la Asesoría de Pepe será su encargado de tratamiento con acceso a da -
tos de sus clientes y trabajadores.
Por otro lado, la señora de la limpieza será un encargado de tratamiento de datos sin acce-so a datos.
Aparte de las personas definidas anteriormen-te pueden entrar en juego otros tipos de per-sonas que realizan tratamiento de datos, acontinuación mostramos las más comunes y sudefinición:
• Exportador de datos personales, es la persona física o jurídica, pública o privada, u órganoadministrativo situado en territorio español que realice una transferencia de datos de carácterpersonal a un país tercero.
• Importador de datos personales, es la persona física o jurídica, pública o privada, u órganoadministrativo receptor de los datos en caso de transferencia internacional de los mismos a untercer país, ya sea responsable del tratamiento, encargada del tratamiento o tercero.
• Destinatario o cesionario, es la persona física o jurídica, pública o privada u órgano admi-nistrativo, al que se revelen los datos.
• Tercero, es la persona física o jurídica, pública o privada u órgano administrativo distintodel afectado o interesado, del responsable del tratamiento, del responsable del fichero, delencargado del tratamiento y de las personas autorizadas para tratar los datos bajo la autori -dad directa del responsable del tratamiento o del encargado del tratamiento.
• Responsable de Seguridad, es la persona encargada de velar por el cumplimiento de lasmedidas, reglas y normas de seguridad establecidas por el responsable del fichero.
Página | 16
LECCIÓN 5. OBLICACIONES DEL RESPONSABLE DEL FICHERO
A lo largo de este apartado vamos a conocer las obligaciones del responsable del fichero:
I. Notificar los ficheros ante el Registro General de Protección de Datos para que se procedaa su inscripción.
II. Asegurarse de que se cumplen los principios de información, calidad, finalidad, consenti-miento y seguridad.
III. Garantizar el cumplimiento de los deberes de secreto y seguridad.
IV. Facilitar y garantizar el ejercicio de los derechos de oposición al tratamiento, acceso, rectifi-cación y cancelación.
V. Asegurar que sus encargados de tratamiento cumplan lo dispuesto en la LOPD.
VI. Elaboración del documento de Seguridad y cumplimiento de las medidas de seguridad exi-gibles según el nivel de los ficheros.
5.1 Notificación de ficheros ante la agpd
El responsable del fichero es el encargado de notificar a la AGPD el tratamiento de datos queva a realizar. La creación de ficheros se debe notificar para su inscripción en el registro generalde protección de datos (RGPD).
El responsable del fichero debe notificar la creación del fichero con anterioridad al uso del mis-mo, de igual forma debe notificar a la agencia cuando se produzcan cualquier cambios en la es -tructura o finalidad del fichero y cuando se suprima el fichero.
La notificación de los ficheros ante la AGPD es necesaria para que los afectados puedan cono -cer quiénes son los responsables de los ficheros ante los que ejercitar directamente los dere -chos de acceso, rectificación, cancelación y oposición.
El Registro General de Protección de Datos es el órgano al que corresponde velar por la publici-dad de la existencia de los ficheros que contengan datos de carácter personal, con miras a ha -cer posible el ejercicio de los derechos de acceso, rectificación, oposición y cancelación, regula-dos en los artículos 14 a 16 de la LOPD. Por ello, es el encargado de la gestión de las inscripcio -nes. El acceso al Registro es público y gratuito y puede consultarse en la web de la Agencia.
Página | 17
Ante la agencia pueden declararse ficheros de dos tipos:
• Ficheros de titularidad privada: los ficheros de los que sean responsables las personas,empresas o entidades de derecho privado, con independencia de quien ostente la titularidadde su capital o de la procedencia de sus recursos económicos, así como los ficheros de los quesean responsables las corporaciones de derecho público, en cuanto dichos ficheros no se en-cuentren estrictamente vinculados al ejercicio de potestades de derecho público que a las mis-mas atribuye su normativa específica.
• Ficheros de titularidad pública: los ficheros de los que sean responsables los órganos cons-titucionales o con relevancia constitucional del Estado o las instituciones autonómicas con fun-ciones análogas a los mismos, las Administraciones públicas territoriales, así como las entida-des u organismos vinculados o dependientes de las mismas y las corporaciones de derecho pú-blico siempre que su finalidad sea el ejercicio de potestades de derecho público.
A través de la página de la agencia podemos acceder al formulario de notificación de ficheros,https://www.agpd.es/portalwebAGPD/canalresponsable/inscripcion_ficheros/Notificaciones_tele/obtencion_formulario/index-ides-idphp.php
Página | 18
5.2 Formularios de Notificación de alta de ficheros
Los datos que recogen los formularios de alta de los ficheros son:
• Los órganos responsables del fichero.
• Los servicios o unidades ante los que pudiesen ejercitarse los derechos de acceso, rectifica-ción, cancelación y oposición.
• La identificación del fichero o tratamiento, indicando su denominación, así como la descrip-ción de su finalidad y usos previstos.
Página | 19
• El origen de los datos, indicando el colectivo de personas sobre los que se pretende obtenerdatos de carácter personal o que resulten obligados a suministrarlos, el procedimiento de re -cogida de los datos y su procedencia.
• La estructura básica del fichero mediante la descripción detallada de los datos especialmen-te protegidos y los datos identificativos, así como las restantes categorías de datos de carácterpersonal incluidas en el mismo y el sistema de tratamiento utilizado en su organización.
• Las comunicaciones de datos previstas, indicando en su caso, los destinatarios o categoríasde destinatarios.
Página | 20
• Las transferencias internacionales de datos previstas a terceros países, con indicación, en sucaso, de los países de destino de los datos.
• El nivel básico, medio o alto de seguridad que resulte exigible según lo especificado ante-riormente.
Página | 21
LECCIÓN 6. PRINCIPIOS DE INFORMACIÓN, CALIDAD, FINALIDAD, CONSENTIMIENTO Y SEGURIDAD
El tratamiento de datos de carácter personal debe realizarse de acuerdo con los principios de
información, calidad, finalidad, consentimiento y seguridad. Dichos principios se plasman en
diversos preceptos de la Ley Orgánica de Protección de Datos y del RD 1720/2007.
Todo responsable de un fichero o tratamiento de datos personales está obligado a cumplir loscitados principios recogidos en la Ley Orgánica de Protección de Datos. Los principios de divi-den en tres grandes bloques:
• Principios relativos a la calidad de los datos.
• Principios relativos al consentimiento parael tratamiento de los datos.
• Principios sobre el deber de información.
6.1 Principios relativos a la calidad de los datos
• Los datos de carácter personal deberán ser tratados de forma leal y lícita. Se prohíbe la re-cogida de datos por medios fraudulentos, desleales o ilícitos.
• Los datos de carácter personal sólo podrán ser recogidos para el cumplimiento de finalida-des determinadas, explícitas y legítimas del responsable del tratamiento.
• Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades in-compatibles con aquéllas para las que los datos hubieran sido recogidos.
• Sólo podrán ser objeto de tratamiento los datos que sean adecuados, pertinentes y no ex-cesivos en relación con las finalidades determinadas, explícitas y legítimas para las que se ha-yan obtenido.
Página | 22
• Los datos de carácter personal serán exactos y puestos al día de forma que respondan converacidad a la situación actual del afectado. Si los datos fueran recogidos directamente delafectado, se considerarán exactos los facilitados por éste.
Si los datos de carácter personal sometidos a tratamiento resultaran ser inexactos, en todo oen parte, o incompletos, serán cancelados y sustituidos de oficio por los correspondientes da-tos rectificados o completados en el plazo de diez días desde que se tuviese conocimiento de lainexactitud, salvo que la legislación aplicable al fichero establezca un procedimiento o un plazoespecífico para ello.
Cuando los datos hubieran sido comunicados previamente, el responsable del fichero o trata-miento deberá notificar al cesionario, en el plazo de diez días, la rectificación o cancelaciónefectuada, siempre que el cesionario sea conocido.
En el plazo de diez días desde la recepción de la notificación, el cesionario que mantuviera eltratamiento de los datos, deberá proceder a la rectificación y cancelación notificada.
Esta actualización de los datos de carácter personal no requerirá comunicación alguna al inte -resado, sin perjuicio del ejercicio de los derechos por parte de los interesados reconocidos enla Ley Orgánica 15/1999, de 13 de diciembre.
• Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios opertinentes para la finalidad para la cual hubieran sido recabados o registrados.
No obstante, podrán conservarse durante el tiempo en que pueda exigirse algún tipo de res -ponsabilidad derivada de una relación u obligación jurídica o de la ejecución de un contrato ode la aplicación de medidas precontractuales solicitadas por el interesado.
Una vez cumplido el período al que se refieren los párrafos anteriores, los datos sólo podránser conservados previa disociación de los mismos, sin perjuicio de la obligación de bloqueoprevista en la Ley Orgánica 15/1999, de 13 de diciembre, y en el presente reglamento.
Hay un caso especial en el cual podrán conservarse los datos sin necesidad de disociación,con fines históricos, estadísticos o científicos según lo dispuesto en la Ley 12/1989, de 9 demayo, Reguladora de la función estadística pública, la Ley 16/1985, de 25 junio, del Patri-monio histórico español y la Ley 13/1986, de 14 de abril de Fomento y coordinación generalde la investigación científica y técnica, y sus respectivas disposiciones de desarrollo, asícomo a la normativa autonómica en estas materias.
La Agencia Española de Protección de Datos o, en su caso, las autoridades de control de lascomunidades autónomas podrán, previa solicitud del responsable del tratamiento, acordar
Página | 23
el mantenimiento íntegro de determinados datos, atendidos sus valores históricos, estadís-ticos o científicos.
• Los datos de carácter personal serán tratados de forma que permitan el ejercicio del dere-cho de acceso, en tanto no proceda su cancelación.
Página | 24
6.2 Principios relativos al consentimiento para el tratamiento o cesión de los datos
Otro de los principios que debe cumplir cualquier encargado de tratamiento es el principio deconsentimiento para el tratamiento o cesión de los datos.
Antes de empezar es necesario que tengamos claro que es el consentimiento, que se entiendepor cesión y que es una Transferencia internacional de datos.
Se entiende como un consentimiento por parte del interesado siempre que haya una manifes-tación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesadoconsienta el tratamiento de datos personales que le conciernen.
Se entiende como cesión o comunicación de datos, todo tratamiento de datos que suponga surevelación a una persona distinta del interesado.
Si la cesión de datos o el tratamiento suponen una transmi-sión de los mismos fuera del territorio del Espacio Económi-co Europeo será considerada Transferencia internacionalde datos.
6. 2. 1 Consentimiento para el tratamiento de datos de carácter personal
La Ley establece que el responsable del tratamiento deberá obtener el consentimiento del in-teresado para el tratamiento o cesión de sus datos de carácter personal, este consentimientodeberá ir referida a un tratamiento o serie de tratamientos concretos, con delimitación de lafinalidad para los que se recaba, así como de las restantes condiciones que concurran en el tra-tamiento o serie de tratamientos.
En nuestro ejemplo, Pepe necesitará el consentimiento de sus clientes para el tratamientode los datos ya que los recoge directamente de ellos, este consentimiento se podrá obtenera través de cláusulas de confidencialidad.
La Ley establece que corresponderá al responsable del tratamiento la prueba de la existenciadel consentimiento del afectado.
Página | 25
La Ley también establece una serie de supuestos en los cuales se podrá tratar y ceder los datosde carácter personal sin la previa autorización del afectado.
• Lo autorice una norma con rango de ley o una norma de derecho comunitario y, en particu -lar, cuando concurra uno de los supuestos siguientes:
◦ El tratamiento o la cesión tengan por objeto la satisfacción de un interés legítimo del respon -sable del tratamiento o del cesionario amparado por dichas normas, siempre que no prevalez-ca el interés o los derechos y libertades fundamentales de los interesados previstos en elartículo 1 de la Ley Orgánica 15/1999, de 13 de diciembre.
◦ El tratamiento o la cesión de los datos sean necesarios para que el responsable del trata-miento cumpla un deber que le imponga una de dichas normas.
• Los datos objeto de tratamiento o de cesión figuren en fuentes accesibles al público y el res -ponsable del fichero, o el tercero a quien se comuniquen los datos, tenga un interés legítimopara su tratamiento o conocimiento, siempre que no se vulneren los derechos y libertades fun-damentales del interesado.
No obstante, las Administraciones públicas sólo podrán comunicar al amparo de este apartadolos datos recogidos de fuentes accesibles al público a responsables de ficheros de titularidadprivada cuando se encuentren autorizadas para ello por una norma con rango de ley.
El RD 1720/2007 recoge también los supuestos en los cuales se podrán tratar datos sin el con -sentimiento del afectado:
• Se recojan para el ejercicio de las funciones propias de las Administraciones públicas en elámbito de las competencias que les atribuya una norma con rango de ley o una norma de de-recho comunitario.
• Se recaben por el responsable del tratamiento con ocasión de la celebración de un contratoo precontrato o de la existencia de una relación negocial, laboral o administrativa de la que seaparte el afectado y sean necesarios para su mantenimiento o cumplimiento.
• El tratamiento de los datos tenga por finalidad proteger un interés vital del interesado, esdecir sea necesario para la prevención o para el diagnóstico médicos, la prestación de asisten-cia sanitaria o tratamientos médicos o la gestión de servicios sanitarios, siempre que dicho tra-tamiento de datos se realice por un profesional sanitario sujeto al secreto profesional o porotra persona sujeta asimismo a una obligación equivalente de secreto.
Página | 26
6.2.2 Consentimiento para la cesión de datos de carácter personal
Cuando se solicite el consentimiento del afecta-do para la cesión de sus datos, éste deberá serinformado de forma que conozca inequívoca-mente la finalidad a la que se destinarán los da-tos respecto de cuya comunicación se solicita elconsentimiento y el tipo de actividad desarrolla-da por el cesionario. En caso contrario, el con-sentimiento será nulo.
La Ley también establece una serie de supuestos para los cuales no será necesario contar conel consentimiento del afectado para ceder los datos:
• La cesión responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo,cumplimiento y control comporte la comunicación de los datos. En este caso la comunicaciónsólo será legítima en cuanto se limite a la finalidad que la justifique.
• La comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Mi-nisterio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas o a las instituciones autonómi-cas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas y se realice en elámbito de las funciones que la ley les atribuya expresamente.
• La cesión entre Administraciones públicas cuando concurra uno de los siguientes supuestos:
◦ Tenga por objeto el tratamiento de los datos con fines históricos, estadísticos o científicos.
◦ Los datos de carácter personal hayan sido recogidos o elaborados por una Administración pú-blica con destino a otra.
◦ La comunicación se realice para el ejercicio de competencias idénticas o que versen sobre lasmismas materias.
◦ La comunicación de datos personales relativa a la salud, incluso a través de medios electróni -cos, entre organismos, centros y servicios del Sistema Nacional de Salud cuando se realice parala atención sanitaria de las personas, conforme a lo dispuesto en el Capítulo V de la Ley16/2003, de 28 de mayo, de cohesión y calidad del Sistema Nacional d e Salud .
Página | 27
6.2.3 Consentimiento para el tratamiento de datos de menores de edad
El caso del consentimiento en el caso de los menores de edadrecibe un tratamiento especial, la Ley establece que para losmayores de catorce años bastará con su consentimiento, salvoen aquellos casos en los que la Ley exija para su prestación laasistencia de los titulares de la patria potestad o tutela.
En el caso de los menores de catorce años se requerirá el con-sentimiento de los padres o tutores.
En ningún caso podrán recabarse del menor, datos que permi-tan obtener información sobre los demás miembros del grupo familiar, o sobre las característi -cas del mismo, como los datos relativos a la actividad profesional de los progenitores, informa -ción económica, datos sociológicos o cualesquiera otros, sin el consentimiento de los titularesde tales datos. No obstante, podrán recabarse los datos de identidad y dirección del padre,madre o tutor con la única finalidad de recabar la autorización prevista en el apartado anterior.
Cuando el tratamiento se refiera a datos de menores de edad, la información dirigida a los mis -mos deberá expresarse en un lenguaje que sea fácilmente comprensible por aquéllos.
La Ley establece que corresponde al responsable del fichero o tratamiento articular los proce-dimientos que garanticen que se ha comprobado de modo efectivo la edad del menor y la au -tenticidad del consentimiento prestado en su caso, por los padres, tutores o representantes le-gales.
6.2.4 Forma de recabar el consentimiento
La Ley establece que el responsable del tratamiento puede solicitar el consentimiento del inte-resado de forma verbal, salvo cuando la Ley exija la obtención del consentimiento expresopara el tratamiento de los datos, por ejemplo para los datos categorizados como de nivel alto(relativos a salud, ideología, religión, etc.).
El responsable debe informar al interesado según los términos previstos en los artículos 5 de laLey Orgánica 15/1999, de 13 de diciembre y 12.2 de este reglamento y deberá concederle unplazo de treinta días para manifestar su negativa al tratamiento, advirtiéndole de que en casode no pronunciarse a tal efecto se entenderá que consiente el tratamiento de sus datos de ca-rácter personal. En la lección 7 veremos los términos en los cuales debemos recoger el consen-timiento.
En particular, cuando se trate de responsables que presten al afectado un servicio que genereinformación periódica o reiterada, o facturación periódica, la comunicación podrá llevarse acabo de forma conjunta a esta información o a la facturación del servicio prestado, siempreque se realice de forma claramente visible.
Página | 28
En todo caso, será necesario que el responsable del tratamiento pueda conocer si la comunica -ción ha sido objeto de devolución por cualquier causa, en cuyo caso no podrá proceder al tra -tamiento de los datos referidos a ese interesado.
En el caso de que se vaya a solicitar el tratamiento de datos para dos finalidades completa-mente distintas es necesario que demos la posibilidad al afectado que manifieste expresamen -te su negativa al tratamiento o comunicación de datos.
En nuestro caso ejemplo, supongamos quePepe firma con sus clientes un contrato, Pepedebe incluir en el contrato una cláusula infor-mativa sobre protección de datos, donde defi-na claramente la finalidad por la que se reco-gen los datos, en este caso reparación de vehí-culos.
Si Pepe, emite facturas periódicas a sus clientes podría obtener el consentimiento de susclientes a través de la incorporación de una cláusula al pie o reverso de las facturas.
OJO!!!!!, Pepe también debe recoger el consentimiento para el tratamiento de los datos desus trabajadores.
Ahora bien, supongamos que Pepe quiere utilizar también los datos de sus clientes paramandarle publicidad sobre productos de motor, para ello necesitaría un consentimiento dis-tinto.
Esto podemos conseguirlo a través de una casilla claramente visible y que no se encuentreya marcada en el contrato de tal forma que el cliente si quiere recibir dicha publicidad mar-que la casilla.
6.2.5 Revocación del consentimiento
La Ley establece que el responsable del fichero deberá facilitar un método sencillo, gratuito yque no implique ingreso alguno para el responsable del fichero o tratamiento, para que el inte-resado pueda revocar su consentimiento.
Una vez que el afectado haya manifestado su interés en revocar dicho consentimiento, el res -ponsable cesará en el tratamiento de los datos en el plazo máximo de diez días a contar desdeel de la recepción de la revocación del consentimiento, sin perjuicio de otras obligaciones deconservación , como por ejemplo las establecidas por las leyes de facturación.
Página | 29
Si los datos hubieran sido cedidos previamente, el responsable del tratamiento, una vez revo-cado el consentimiento, debe comunicarlo a los cesionarios, en el plazo previsto de diez días,para que éstos, cesen en el tratamiento de los datos.
De igual forma el responsable del fichero debe notificar al afectado, que se ha procedido a larevocación de su consentimiento.
Página | 30
6.3 Deber de Información al interesado
El deber de información se encuentra recogido por la LOPD en el artículo 5, en el se estableceque el responsable del fichero debe informar a los interesados de forma expresa, precisa einequívoca de:
• La existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de larecogida de éstos y de los destinatarios de la información.
• El carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
• Las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
• La posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
• La identidad y dirección del responsable del tratamiento o, en su caso, de su representante.
Cuando el responsable del tratamiento no esté establecido en el territorio de la Unión Europeay utilice en el tratamiento de datos medios situados en territorio español, deberá designar, sal -vo que tales medios se utilicen con fines de trámite, un representante en España, sin perjuiciode las acciones que pudieran emprenderse contra el propio responsable del tratamiento.
En el caso de que la recogida de información se realice a través de cuestionarios u otros impre -sos para la recogida debe figurar en los mismos los términos anteriores.
Si los datos no los ha obtenido el responsable del fichero directamente, sino que han sido reco-gidos por otras fuentes, esté debe informar de forma expresa, precisa e inequívoca, dentro delos tres meses siguientes al momento del registro de los datos, salvo que ya hubiera sido infor -mado con anterioridad, del contenido del tratamiento, de la procedencia de los datos, asícomo de lo previsto en los términos anteriores.
Página | 31
6.3.1 Acreditación del cumplimiento del deber de información
Como comentábamos anteriormente es responsabilidad del responsable del fichero el guardarel consentimiento del afectado mientras persista el tratamiento de los datos del afectado.
El responsable del fichero debe conservar el soporteen el que conste el cumplimiento del deber de infor-mar. Para el almacenamiento de los soportes, el res-ponsable del fichero o tratamiento podrá utilizar me-dios informáticos o telemáticos. En particular podráproceder al escaneado de la documentación en so-porte papel, siempre y cuando se garantice que en di-cha automatización no ha mediado alteración algunade los soportes originales.
Siempre que se produzca un cambio en el responsable del fichero, se deberá informar a losafectados , salvo que la modificación del responsable del fichero sea consecuencia de una ope-ración de fusión, escisión, cesión global de activos y pasivos, aportación o transmisión de nego-cio o rama de actividad empresarial, o cualquier operación de reestructuración societaria deanáloga naturaleza, contemplada por la normativa mercantil, no se producirá cesión de datos,sin perjuicio del cumplimiento por el responsable de lo dispuesto en el artículo 5 de la Ley Or -gánica 15/1999, de 13 de diciembre.
Página | 32
6.4 Deber de secreto
El artículo 10 de la LOPD, exige a quienes intervengan en cualquier fase del tratamiento de losdatos a guardar secreto profesional sobre los datos, subsistiendo la obligación aún después definalizar su relación con el responsable del fichero.
Por esa razón, el responsable del fichero debe asegurarse, que las personas que interviene enel tratamiento de datos de los que él es responsable son conocedores de sus deberes.
Esto se consigue a través de la incorporación de cláusulas de confidencialidad en los contratosde los trabajadores y de los prestadores de servicios con acceso a datos. Dichas cláusulas seránvistas en el modulo tres: Normas de Seguridad.
El incumplimiento del deber de secreto puede ser constitutivo de una infracción leve, en lostérminos del artículo 44.2.e, o de infracción grave de acuerdo con lo previsto en el artículo44.3.g en virtud del cual, la vulneración del deber de guardar secreto sobre los datos de carác-ter personal incorporados a ficheros que contengan datos relativos a la comisión de infraccio-nes administrativas o penales, Hacienda Pública, servicios financieros, prestación de serviciosde solvencia patrimonial y crédito, así como aquellos otros ficheros que contengan un conjun-to de datos de carácter personal suficientes para obtener una evaluación de la personalidaddel individuo.
La vulneración del deber de guardar secreto sobre los datos de carácter personal especialmen-te protegidos a que hacen referencia los apartados 2 y 3 del artículo 7, así como de aquéllosque hayan sido recabados para fines policiales sin consentimiento de las personas afectadas,puede ser constitutivo de una infracción muy grave en los términos del artículo 44.4.g de la LeyOrgánica 15/1999.
Página | 33
LECCIÓN 7. EJERCICIO DE DERECHOS
Como hemos comentado anteriormente los afectados tienen derecho a revocar elconsentimiento de tratamiento de sus datos, pero los afectados no sólo tienen este derechosino que también tienen derecho a acceder a la información que se tiene sobre ellos, derechoa rectificar sus datos y derecho a que se cancelen parte o la totalidad de sus datos.
7.1 Derecho de acceso
El derecho de acceso es el derecho del afectado aobtener información sobre si sus propios datosde carácter personal están siendo objeto detratamiento, la finalidad del tratamiento que, ensu caso, se esté realizando, así como lainformación disponible sobre el origen de dichosdatos y las comunicaciones realizadas o previstasde los mismos.
En virtud del derecho de acceso el afectado podrá obtener del responsable del tratamientoinformación relativa a datos concretos, a datos incluidos en un determinado fichero, o a latotalidad de sus datos sometidos a tratamiento.
No obstante, cuando razones de especial complejidad lo justifiquen, el responsable del ficheropodrá solicitar del afectado la especificación de los ficheros respecto de los cuales quieraejercitar el derecho de acceso, a cuyo efecto deberá facilitarle una relación de todos ellos.
Página | 34
7.2 Derechos de rectificación y cancelaciónEl derecho de rectificación es el derecho del afectado a que semodifiquen los datos que resulten ser inexactos o incompletos.
El ejercicio del derecho de cancelación dará lugar a que sesupriman los datos que resulten ser inadecuados o excesivos, sinperjuicio del deber de bloqueo.
7.3 Derecho de oposición
El derecho de oposición es el derecho del afectado a que no se lleve a cabo el tratamiento desus datos de carácter personal o se cese en el mismo en los siguientes supuestos:
• Cuando no sea necesario su consentimiento para el tratamiento, como consecuencia de laconcurrencia de un motivo legítimo y fundado, referido a su concreta situación personal, quelo justifique, siempre que una Ley no disponga lo contrario.
• Cuando se trate de ficheros que tengan por finalidad la realización de actividades depublicidad y prospección comercial.
• Cuando el tratamiento tenga por finalidad la adopción de una decisión referida al afectado ybasada únicamente en un tratamiento automatizado de sus datos de carácter personal.
Página | 35
7.4 Procedimiento para el ejercicio de derechos
Los derechos de acceso, rectificación, cancelación y oposición son derechos independientes, detal forma que no puede entenderse que el ejercicio de ninguno de ellos sea requisito previopara el ejercicio de otro.
La Ley establece que debe concederse alinteresado un medio sencillo y gratuito para elejercicio de los derechos de acceso, rectificación,cancelación y oposición y en ningún caso podrásuponer un ingreso adicional para el responsabledel tratamiento ante el que se ejercitan.
No se considerarán conformes el envío de cartas certificadas o semejantes, la utilización deservicios de telecomunicaciones que implique una tarificación adicional al afectado ocualesquiera otros medios que impliquen un coste excesivo para el interesado.
Cuando el responsable del fichero o tratamiento disponga de servicios de cualquier índolepara la atención a su público o el ejercicio de reclamaciones relacionadas con el servicioprestado o los productos ofertados al mismo, podrá concederse la posibilidad al afectado deejercer sus derechos de acceso, rectificación, cancelación y oposición a través de dichosservicios. En tal caso, la identidad del interesado se considerará acreditada por los mediosestablecidos para la identificación de los clientes del responsable en la prestación de susservicios o contratación de sus productos.
El responsable del fichero o tratamiento deberá atender la solicitud de acceso, rectificación,cancelación u oposición ejercida por el afectado aún cuando el mismo no hubiese utilizado elprocedimiento establecido específicamente al efecto por aquél, siempre que el interesadohaya utilizado un medio que permita acreditar el envío y la recepción de la solicitud, y que éstacontenga los elementos referidos en el párrafo siguiente.
El ejercicio de los derechos deberá llevarse a cabo mediante comunicación dirigida alresponsable del fichero, que contendrá:
• Nombre y apellidos del interesado; fotocopia de su documento nacional de identidad, o desu pasaporte u otro documento válido que lo identifique y, en su caso, de la persona que lorepresente, o instrumentos electrónicos equivalentes; así como el documento o instrumentoelectrónico acreditativo de tal representación.
• Petición en que se concreta la solicitud.
Página | 36
• Dirección a efectos de notificaciones, fecha y firma del solicitante.
• Documentos acreditativos de la petición que formula, en su caso.
El responsable del tratamiento deberá contestar la solicitud que se le dirija en todo caso, conindependencia de que figuren o no datos personales del afectado en sus ficheros.
En el caso de que la solicitud no reúna los requisitos especificados en el apartado primero, elresponsable del fichero deberá solicitar la subsanación de los mismos.
Corresponderá al responsable del tratamiento la prueba del cumplimiento del deber derespuesta, debiendo conservar la acreditación del cumplimiento del mencionado deber.
El responsable del fichero deberá adoptar las medidas oportunas para garantizar que laspersonas de su organización que tienen acceso a datos de carácter personal puedan informardel procedimiento a seguir por el afectado para el ejercicio de sus derechos.
7.4.1 Solicitud de derechos de acceso
El responsable del fichero resolverá sobre lasolicitud de acceso en el plazo máximo de unmes a contar desde la recepción de la solicitud.
En el caso de que no disponga de datos decarácter personal de los afectados deberáigualmente comunicárselo en el mismo plazo.
Si la solicitud fuera estimada y el responsable no acompañase a su comunicación lainformación necesaria, el acceso se hará efectivo durante los diez días siguientes a dichacomunicación.
La información que se proporcione, cualquiera que sea el soporte en que fuere facilitada, sedará en forma legible e inteligible, sin utilizar claves o códigos que requieran el uso dedispositivos mecánicos específicos.
Dicha información comprenderá todos los datos de base del afectado, los resultantes decualquier elaboración o proceso informático, así como la información disponible sobre elorigen de los datos, los cesionarios de los mismos y la especificación de los concretos usos yfinalidades para los que se almacenaron los datos.
El responsable del fichero o tratamiento podrá denegar el acceso a los datos de carácterpersonal cuando el derecho ya se haya ejercitado en los doce meses anteriores a la solicitud,salvo que se acredite un interés legítimo al efecto.
Página | 37
Podrá también denegarse el acceso en los supuestos en que así lo prevea una Ley o una normade derecho comunitario de aplicación directa o cuando éstas impidan al responsable deltratamiento revelar a los afectados el tratamiento de los datos a los que se refiera el acceso.
En todo caso, el responsable del fichero informará al afectado de su derecho a recabar la tutelade la Agencia Española de Protección de Datos o, en su caso, de las autoridades de control delas comunidades autónomas, conforme a lo dispuesto en el artículo 18 de la Ley Orgánica15/1999, de 13 de diciembre.
Al ejercitar el derecho de acceso, el afectado podrá optar por recibir la información a través deuno o varios de los siguientes sistemas de consulta del fichero:
• Visualización en pantalla.
• Escrito, copia o fotocopia remitida por correo,certificado o no.
• Telecopia.
• Correo electrónico u otros sistemas decomunicaciones electrónicas.
• Cualquier otro sistema que sea adecuado a laconfiguración o implantación material del fichero o ala naturaleza del tratamiento, ofrecido por elresponsable.
Si tal responsable ofreciera un determinado sistema para hacer efectivo el derecho de acceso yel afectado lo rechazase, aquél no responderá por los posibles riesgos que para la seguridad dela información pudieran derivarse de la elección.
Del mismo modo, si el responsable ofreciera un procedimiento para hacer efectivo el derechode acceso y el afectado exigiese que él mismo se materializase a través de un procedimientoque implique un coste desproporcionado, surtiendo el mismo efecto y garantizando la mismaseguridad el procedimiento ofrecido por el responsable, serán de cuenta del afectado losgastos derivados de su elección.
Página | 38
7.4.2 En el caso de ejercicio de los derechos de rectificación y cancelación
La solicitud de rectificación deberá indicar a qué datos se refiere y la corrección que haya derealizarse y deberá ir acompañada de la documentación justificativa de lo solicitado.
En la solicitud de cancelación, el interesado deberá indicar a qué datos se refiere, aportando alefecto la documentación que lo justifique, en su caso.
7.4.3 En el caso de ejercicio del derecho de oposición
El derecho de oposición se ejercitará mediante solicitud dirigida al responsable deltratamiento, deberán hacerse constar los motivos fundados y legítimos, relativos a unaconcreta situación personal del afectado, que justifiquen el ejercicio de este derecho.
Página | 39
LECCIÓN 8. ENCARGADO DE TRATAMIENTO
El artículo 12 de la LOPD es el encargado de regular el acceso a los da-
tos por cuenta de terceros, establece que el responsable del fichero o
tratamiento debe ser diligente en la elección del encargado asegurán-
dose de que cumplirá adecuadamente las condiciones del encargo
respetando escrupulosamente todas las previsiones en materia de
protección de datos.
El contenido del contrato no deberá limitarse a una simple reproducción de lo dispuesto por elartículo 12 LOPD y deberá establecer de modo específico las obligaciones del encargado detratamiento.
El artículo 12 también especifica los requisitos que deben cumplirse en el caso de subcontrata -ción por parte del encargado de tratamiento de un tercero.
La Ley establece que el encargado de tratamiento deberá informar al responsable del serviciode los servicios que puedan ser objeto de subcontratación y, si ello fuera posible, la empresacon la que se vaya a subcontratar.
En el módulo tres de normas de seguridad veremos un ejemplo de contrato de tratamiento dedatos por cuenta de terceros.
Página | 40
LECCIÓN 9. PROBLEMAS POR INCUMPLIMIENTO DE LA LEY ORGÁNICA DE PROTECCIÓN DE DATOS (LOPD)
9.1 Denuncias por parte de los afectados
Las personas o entidades que aparecen en sus ficheros de carácter personal tienen una seriede derechos sobre ellos, como son: el derecho de acceso, rectificación, exclusión, oposición ycancelación.
Oponerse a estos derechos incumple los artículos 15 y 16 del capítulo III de la Ley Orgánica15/1999 y puede ocasionar sanciones de carácter grave.
9.1.1 Filtrado de datos al exterior
La Ley Orgánica de Protección de datos establece la obligatoriedad de suscribir contratos detratamiento de datos que incluyen un compromiso de confidencialidad para el personal ex-terno con acceso a datos responsabilidad de la organización. La falta de contratos de confiden-cialidad puede provocar el filtrado de datos al exterior y con ello denuncias por parte de losafectados.
Igualmente, han de suscribirse compromisos de confidencialidad por el personal interno, usua-rios del sistema de información.
9.1.2 Pérdida de datos
No adoptar medidas de seguridad puede implicar la pérdi-da parcial o total de los datos, lo cual puede provocar lapérdida de información vital para la Organización. La LeyOrgánica de Protección de Datos obliga al cumplimiento deuna serie de medidas de seguridad, las cuales, se estable-cen en el Documento de Seguridad.
Página | 41
9.2 Resoluciones sancionadoras por parte de la agencia española de protección de datos
El incumplimiento de todo lo estipulado en la Ley Orgánica 15/1999, puede provocar sancio-nes por parte de la agencia.
Estas sanciones están catalogadas como:
• Leves (multa de 600€ a 60.101,21€)
• Graves (multa de 60.101,21€ a 300.506,05 €)
• Muy graves (multa de 300.506,05 a € 600.101,21€).
Página | 42
MÓDULO 2. NORMAS DE SEGURIDAD
LECCIÓN 1. INTRODUCCIÓN
1.1 Introducción
En el módulo anterior definíamos una serie de obligaciones que debe cumplir el responsabledel fichero, como recordareis nos quedaba la ultima obligación, la elaboración del documentode Seguridad y cumplimiento de las medidas de seguridad exigibles según el nivel de los fi-cheros.
Según los especificado en el articulo 88.RDLOPD, “El responsable del fichero o tratamientoelaborará un documento de seguridad que recogerá las medidas de índole técnica y organi-zativa acordes a la normativa de seguridad vigente que será de obligado cumplimiento parael personal con acceso a los sistemas de información”.
Esta primera parte del módulo la dedicaremos a las medidas técnicas que debe implementar elresponsable del fichero y que deben ser recogidas por el documento de seguridad y la segundaparte del módulo la dedicaremos a las medidas organizativas a implementar.
1.1.1 Medidas de seguridad
Dividiremos las medidas de seguridad en dos dominios, las medidas de seguridad para ficherosautomatizados y las medidas de seguridad para ficheros no automatizados, a su vez cada unode estos dominios define medidas de seguridad exigibles para cada uno de los niveles defini-dos según los datos del fichero.
A continuación se adjunta una tabla resumen de las medidas de seguridad para ficheros auto-matizados, exigibles por la normativa de protección de datos:
El fondo azul se indican las Medidas de Seguri-dad obligatoria para ficheros de Nivel Medio.(Básico y Medio).
El fondo salmón indica la Medida de Seguridadobligatoria para ficheros de Nivel Alto. (Básico,Medio y Alto).
Página | 43
Identificación y Auten-ticación de usuarios
Establecimiento de mecanismos de identificación y autenticación que garanticen el accesocontrolado a los datos de carácter personal.
Cuando el mecanismo de autenticación se base en la existencia de contraseñas, existirá unprocedimiento de asignación, distribución y almacenamiento que garantice su confidenciali-
dad e integridad.
Las contraseñas han de ser cambiadas con una periodicidad, al menos, anual.
Mecanismo que limite la posibilidad de intentar reiteradamente el acceso no autorizado alsistema de información.
Control de Acceso
Establecer mecanismos para el controlar el acceso, de tal manera que los usuarios sólo ten-gan acceso a los datos y recursos que precisen para el desempeño de sus funciones.
Mecanismos que eviten el acceso a datos o recursos con derechos distintos a los autoriza-dos.
Concesión, alteración o supresión de los accesos autorizados únicamente por el Personal Au-torizado.
Limitación del acceso a los lugares donde estén instalados los equipos físicos que den sopor-te al sistema de información.
Mecanismo que guarde constancia de los intentos de accesos realizados, como mínimo:identificación de usuario, fecha, hora, fichero accedido, tipo de acceso, y si ha sido autoriza-
do o denegado. En caso de acceso autorizado, además: registro accedido.Control del Responsable de seguridad. Informe mensual.
El periodo mínimo de conservación de los datos registrados será de 2 años.
Gestión de soportes Los correos electrónicos
son considerados so-portes.
Identificación física e Inventario de Soportes que almacenen o traten datos de carácter per-sonal. Únicamente el personal autorizado podrá tener acceso a dichos soportes.
Las Salidas de soportes requieren autorización.
Medidas para el desechado de soportes o documentos; deberá procederse a su destruccióno borrado mediante medidas dirigidas a evitar el acceso al contenido o la recuperación pos-
terior.
Deberá establecerse un sistema de Registro de Entradas y Salidas de Soportes (y documen-tos), que permita conocer: tipo de documento o soporte; fecha y hora; emisor/destinatario;número de documentos y soportes incluidos en el envío; tipo de información que contienen;
forma de envío; y, persona responsable de la recepción/entrega.
La distribución de Soportes que contengan datos de carácter personal (alto), se realizará ci-frando dichos datos; o bien, utilizando otro mecanismo que garantice que la información no
sea accesible ni manipulada durante su transporte.
Igualmente, se cifrarán los datos que contengan los dispositivos portátiles cuando estén fue-ra de la organización.
Telecomunicaciones
Las transmisiones de datos de carácter personal a través de redes públicas o redes inalám-bricas de comunicaciones electrónicas se realizará cifrando dichos datos, o bien utilizando
cualquier otro mecanismo que garantice que la información no sea inteligible o manipuladapor terceros.
Copias de Respaldo yrecuperación
Procedimientos periódicos para la realización de copias de seguridad y recuperación de da-tos, como mínimo semanalmente.
Una copia de seguridad, cifrada, deberá conservarse en lugar diferente al que se encuentrenlos equipos informáticos que traten los datos de carácter personal.
PruebasSólo se realizarán si se asegura el nivel de seguridad correspondiente al tipo de fichero trata-
do.
Registro de IncidenciasDebe existir un procedimiento de Notificación y Gestión de Incidencias que afecten a los da-tos de carácter personal. Y establecer un Registro en el que se haga constar: tipo de inciden-
cia, momento en que se ha producido/detectado, persona que realiza la notificación, a
Página | 44
quién se le comunica, efectos derivados de la incidencia y medidas correctoras aplicadas.Debe hacerse constar además, los procedimientos de recuperación de datos llevados a cabo,
la persona que ejecutó el proceso, los datos restaurados, y, en su caso, los datos que hansido necesarios grabar manualmente en el proceso de recuperación.
Página | 45
LECCIÓN 2. NORMAS DE SEGURIDAD PARA FICHEROS AUTOMIZADOS
2.1 Medidas de identificación y autentificación de usuarios
El responsable del fichero debe establecer mecanismos de identificación y autenticación quegaranticen el acceso controlado a los datos de carácter personal.
Toda persona que acceda a los Sistemas de Información que contengan datos de carácter per -sonal debe identificarse y autenticarse para acceder al sistema. La identificación de los usua-rios debe realizarse de forma inequívoca y personalizada.
Aunque ya existen procedimientos de identificación basados en certificado electrónico, DNIelectrónico, o incluso en datos biométricos como huellas dactilares, la contraseña personalconstituye hoy en día uno de los métodos más usados para proteger el acceso a datos.
Para los ficheros de Nivel Básico será admisible el uso de cualquier mecanismo de autentica-ción, claves concertadas, dispositivos físicos o componentes lógicos tales como certificados so-ftware u otros equivalentes o mecanismos biométricos; en el caso de usar contraseñas se apli -carán las reglas básicas de calidad de las mismas.
Para los ficheros de Nivel Medio no es recomendable el uso de claves concertadas; en el casode usar contraseñas se aplicarán políticas rigurosas de calidad; se recomienda el uso de dispo -sitivos físicos, certificados software y otros equivalentes o biométricos.
Para los ficheros de Nivel Alto, se recomienda no admitir claves concertadas; se recomienda eluso de biometrías o dispositivos físicos personalizados (tokens) en los que se empleen algorit-mos acreditados por el CCN.
Cuando el mecanismo de autenticación se base en la existencia de contraseñas, existirá unprocedimiento de asignación, distribución y almacenamiento que garantice su confidencialidade integridad. Además estas contraseñas han de ser cambiadas con una periodicidad, al menos,anual.
Para los ficheros de nivel medio y Alto, debe implementarse un mecanismo que limite la posi -
bilidad de intentar reiteradamente el acceso no autorizado al sistema de información.
Página | 46
2.2 Control de Acceso
El responsable del fichero debe implementar los mecanismopara el controlar el acceso, de tal manera que los usuariossólo tengan acceso a los datos y recursos que precisen parael desempeño de sus funciones.
Asimismo se tienen que implementar los mecanismos queeviten el acceso a datos o recursos con derechos distintos alos autorizados. La concesión, alteración o supresión de losaccesos autorizados sólo podrá ser autorizado por el respon-sable del fichero.
Todas las aplicaciones con acceso a ficheros con datos de carácter personal que se utilicentendrán implementado un sistema de control de acceso, basado en la autenticación medianteusuario/contraseña; y para cada aplicación existirá un perfil de usuario con derecho de consul-ta y un perfil de usuario con derecho de modificación. De este modo todos los usuarios ten-drán asignado un perfil para cada aplicación a la que tengan acceso autorizado.
Si la aplicación informática que permite el acceso al fichero no cuenta con un control de acce-so, deberá ser el sistema operativo, donde se ejecuta esa aplicación, el que impida el accesono autorizado, mediante el control de los citados códigos de usuarios y contraseñas.
Para los ficheros de nivel medio, debe implementarse una limitación del acceso a los lugaresdonde estén instalados los equipos físicos que den soporte al sistema de información.
Para los ficheros de nivel Alto, debe implementarse una mecanismo que guarde constancia delos intentos de accesos realizados, como mínimo: identificación de usuario, fecha, hora, ficheroaccedido, tipo de acceso, y si ha sido autorizado o denegado. En caso de acceso autorizado,además: registro accedido. Este registro debe ser guardado durante dos años.
Este registro no será necesario si se cumplen las siguientes circunstancias:
• Qué el responsable del fichero o del tratamiento sea una persona física.
• Qué el responsable del fichero o del tratamiento garantice que únicamente él tiene acceso ytrata los datos personales.
Página | 47
2.3 Control de Acceso Físico
En el caso de ficheros de nivel medio y alto sólo se permitirá el acceso a las dependencias don-de se encuentren los sistemas de información al personal autorizados.
Aunque el RDLOPD no establece qué tipo de medidas de seguridad deberán ser implantadaspara controlar el acceso físico, deberían tenerse en cuanta las siguientes para mayor seguri-dad:
• El equipamiento se instalará en áreas separadas específicaspara su función y se controlará el acceso a las mismas de for-ma que sólo se pueda acceder por las entradas previstas y vi-giladas.
• Acceso restringido a personal autorizado, mediante claves,llaves o tarjetas electrónicas.
• Deberían implementarse sistemas de protección de la información como; Sistemas redun-dantes de alimentación, Sistemas de refrigeración, Sistemas contra-incendios específicos paraequipos electrónicos y Armarios ignífugos.
Página | 48
2.4 Gestión de soportes
Los soportes y documentos que contengan datos de carácter personal han de permitir identifi -car el tipo de información que contienen, deben encontrarse inventariados y únicamente se-rán accesibles por el personal autorizado para ello en el presente documento de seguridad.
La salida de soportes y documentos, incluyendo los ordenadores portátiles y el resto de dispo-sitivos móviles, que contengan datos de carácter personal, incluidos igualmente los correoselectrónicos -tanto su contenido como sus adjuntos-, fuera de los locales bajo el control delresponsable del tratamiento, deberá encontrarse debidamente autorizada por el responsabledel fichero o aquel en que se hubiera delegado.
Asimismo, las salidas de soportes requieren autorización, debe existir un “Libro” en el que seregistren las Salidas de Soportes, cuyos asientos estarán constituidos por los documentos deautorización de salida debidamente cumplimentados. La persona responsable de la entrega delos soportes estará debidamente autorizada por el responsable del fichero o persona delegada.
En el traslado de soportes o de la documentación se deben adoptar medidas dirigidas a evitarsustracciones, pérdidas o accesos indebidos y no autorizados a la información durante sutransporte. El soporte se entregará al transportista o directamente al destinatario en un sobreo contenedor cerrado y sellado, siempre que el tipo de soporte lo permita.
En general, cualquier soporte o documento que vaya a ser desechado o reutilizado, que puedacontener datos personales de los ficheros, ya sea papel impreso, soportes magnéticos, ópticosu otros, o los propios ordenadores obsoletos que vayan a desecharse, deberán ser previamen-te destruidos o borrados, mediante un procedimiento de desechos informáticos, de forma queno sea posible el acceso a la información contenida en ellos o su recuperación posterior. Se se-guirá el procedimiento dispuesto al efecto.
Para los ficheros de nivel medio y alto debe crearse un Sistema de Registro de Entradas y Sali-das de Soportes (y documentos), que permita conocer:
• Tipo de documento o soporte.
• Fecha y hora.
• Emisor/destinatario.
• Número de documentos y soportes incluidos en el envío.
• Tipo de información que contienen.
Página | 49
• Forma de envío.
• Persona responsable de la recepción/entrega.
Los soportes que contienen datos de carácter personal calificados de nivel alto, deben ser eti-quetados de forma que, sin revelar su contenido se indique el nivel de seguridad de la infor-mación contenida. Los usuarios han de estar capacitados para entender el significado de lasetiquetas, bien mediante simple inspección, bien mediante el recurso a un repositorio que loexplique.
Toda distribución de soportes que contengan datos de carácter personal de nivel alto, se deberealizar cifrando dichos datos, para garantizar que dicha información no sea accesible o mani-pulada durante su transporte.
Esta medida se aplicará a todos los dispositivos removibles, es decir, CD, DVD, discos USB yotros de naturaleza análoga. Asimismo, se cifrarán los discos duros de los dispositivos portáti-les que contengan datos de nivel alto, cuando éstos se encuentren fuera de las instalacionesque están bajo el control del responsable.
Igualmente, se debe cifrar los datos que contengan los dispositivos portátiles cuando esténfuera de la organización.
Página | 50
2.5 Acceso a datos a través de redes de comunicaciones
El acceso a los sistemas de información donde estén los datos de carácter personal a través deredes de comunicaciones –sean públicas o privadas-, será posible siempre que se garantice unnivel de seguridad equivalente al correspondiente a los accesos en modo local, conforme a loscriterios establecidos en el presente documento de acuerdo con el artículo 80 RDLOPD.
Página | 51
2.6 Ficheros temporales o copias de trabajo de documentos
Ficheros temporales: “ficheros de trabajo creados por usuarios o procesos que sonnecesarios para un tratamiento ocasional o como paso intermedio durante la realización deun tratamiento.” Por tanto, un fichero temporal será cualquier elemento utilizado para larealización de un tratamiento o proceso, que pueda llegar a almacenar datos tipificadoscomo de carácter personal; por ejemplo listados intermedios, extracción parcial de datos ensoportes, informes impresos para cualquier toma de decisiones, o aquéllos que pudieranderivarse del uso del sistema operativo o las aplicaciones utilizadas por los usuarios.
Conforme al artículo 87 RDLOPD, sólo se permite la creación de ficheros temporales ogeneración de copias de documentos, exclusivamente para la realización de trabajostemporales o auxiliares y siempre que se cumplan las siguientes condiciones:
• Que se creen siempre los ficheros temporales sobre un mismo directorio de nombre TEMP osimilar, de forma que no queden dispersas por todo el disco del ordenador y siempre se puedaconocer dónde están los datos temporales.
• Que dichos ficheros temporales o copias cumplan el nivel de seguridad que les correspondaconforme a los criterios establecidos en el artículo 81 RDLOPD.
• Que todo fichero temporal o copia sea borrado o destruido una vez que haya dejado de sernecesario para los fines que motivaron su creación.
La realización de copias o reproducción de los documentos con datos personales clasificadosde nivel alto, sólo se podrán realizar bajo el control del personal autorizado en el documentode seguridad.
Las copias desechadas deben ser destruidas de forma que imposibilite el posterior acceso a lainformación contenida en las mismas o su recuperación posterior, conforme al procedimientoestablecido.
Página | 52
2.7 Telecomunicaciones
Las transmisiones de datos de carácter personal de nivel alto a través de redes públicas o redesinalámbricas de comunicaciones electrónicas se realizarán cifrando dichos datos, o bienutilizando cualquier otro mecanismo que garantice que la información no sea inteligible omanipulada por terceros.
Página | 53
2.8 Copias de seguridad y restauración
La Ley establece que deben implementarse procedimientosperiódicos para la realización de copias de seguridad yrecuperación de datos, en particular dicho procedimientodebe:
• Prever la realización como mínimo semanal de copias de respaldo, salvo que en dichoperiodo no se hubiera producido ninguna actualización de los datos.
• Garantizar en todo momento la reconstrucción de los datos en el estado en que seencontraban al tiempo de producirse la pérdida o destrucción. Únicamente respecto a losficheros parcialmente automatizados, y únicamente cuando existan documentos que permitanla reconstrucción de los datos en el estado en que se encontraban al tiempo de producirse lapérdida, se podrá proceder a grabar manualmente los datos.
• Establecer verificaciones semestrales de la correcta definición, funcionamiento y aplicaciónde los procedimientos de copias de respaldo y recuperación de datos.
Las pruebas anteriores a la implantación o modificación de sistemas de información no serealizarán con datos reales; cuando estas pruebas necesariamente deban realizarse con datosreales, se realizarán previa copia de seguridad, y, garantizando el nivel correspondiente altratamiento realizado.
Para los ficheros que contienen datos de nivel alto, se conservará una copia de respaldo de losdatos y de los procedimientos de recuperación de los mismos en un lugar diferente de aquelen que se encuentren los equipos informáticos que los traten; lugar que debe cumplir con lasmedidas de seguridad.
Página | 54
2.9 Registro de incidencias
Incidencia cualquier anomalía que afecte o pudiera afec-tar a la seguridad de los datos.
Todos los usuarios de datos de carácter personal debenser conocedores de su obligación de notificar las inciden-cias habidas en materia de seguridad de que tuvieran co-nocimiento al responsable de seguridad siguiéndose elprocedimiento para el registro, la notificación, gestión yrespuesta ante incidencias .
El registro de incidencias debe ser mantenido en exclusi-va por el responsable de seguridad.
El registro contendrá los siguientes campos:
• Tipo de incidencia.
• Momento en que se ha producido (en su caso detectado).
• Persona que realiza la notificación.
• A quien se le comunica.
• Efectos causados por la misma.
• Medidas correctoras aplicadas.
Cuando se trate de procesos de recuperación de datos que afecten a ficheros o tratamientosde nivel medio o alto, será necesaria la autorización por escrito del responsable del fichero opersona delegada, y además, en el Registro de Incidencias deberá indicarse:
• Persona que ejecutó el proceso.
• Datos restaurados.
• En su caso, datos que haya sido necesario grabar manualmente para su recuperación.
Página | 55
LECCIÓN 3. MEDIDAS DE SEGURIDAD EXIGIBLES PARA FICHEROS NO AUTOMATIZADOS
3.1 Acceso a datos
El acceso a ficheros no automatizados que contengan datos clasificados de nivel alto, debe li-mitarse exclusivamente al personal autorizado.
En el caso de documentos que puedan ser utilizados por múltiples usuarios, deben establecer -se mecanismos que permitan identificar los accesos realizados, por ejemplo a través de una ta-bla en la carpeta donde se encuentren los ficheros, los datos a recoger serán:
• Usuarios que han realizado el acceso.
• Fecha y hora del acceso.
• Tipo de acceso realizado: lectura, es-critura, etc.
Cuando no sea posible establecer estos mecanismos, el responsable del fichero o una personadesignada por él, se encargará de controlar y, en su caso registrar, estos accesos.
3.1.1 Criterios de archivo
El archivo de los soportes o documentos se realizará de acuerdo con los criterios previstos ensu respectiva legislación.
El responsable del fichero debe adoptar criterios de archivo de los soportes o documentos noautomatizados que contengan datos de carácter personal que garantizan en todo caso, la co-rrecta conservación de los documentos, la localización y consulta de la información y, posibilitael ejercicio de los derechos de oposición al tratamiento, acceso, rectificación y cancelación.
3.1.2 Dispositivos de almacenamiento
Los locales, armarios y dispositivos de almacenamiento dónde se ubiquen los soportes físicosque contienen los ficheros con datos de carácter personal deben ser objeto de especial protec-ción que garantice la disponibilidad, integridad y confidencialidad de los datos protegidos.
Los armarios, archivadores y dispositivos de almacenamiento de los documentos deberán dis-poner de mecanismos para obstaculizar su apertura.
Página | 56
Cuando las características físicas de dichos dispositivos no dispongan de estas medidas, sedebe adoptar sistemas alternativos para el impedimento de accesos no autorizados a la infor-mación.
Los armarios y demás elementos dónde se almacena la documentación sensible relativa a fi-cheros de nivel alto además de contar con sistemas para obstaculizar su apertura, deben si -tuarse en áreas protegidas mediante un sistema de cerradura; dichas áreas deben permanecercerradas siempre que no sea preciso el acceso a los documentos incluidos en el fichero.
3.1.3 Custodia de los soportes
Mientras la documentación con datos de carácter personal no se encuentre archivada en losdispositivos de almacenamiento establecidos anteriormente, por estar en proceso de revisióno tramitación, ya sea previo o posterior a su archivo, la persona que se encuentre al cargo de lamisma deberá custodiarla e impedir en todo momento que pueda ser accedida por persona noautorizada.
3.1.4 Copia o reproducción
La generación de copias o la reproducción de los documentos únicamente podrá ser realizadabajo el control del personal autorizado en el documento de seguridad.
Una vez que no sean necesarias las copias, deberá procederse a la destrucción de las copias oreproducciones desechadas de forma que se evite el acceso a la información contenida en lasmismas o su recuperación posterior.
3.1.5 Traslado de documentación
Siempre que se proceda al traslado físico de la documentación sensible relativa a ficheros denivel alto, deberán adoptarse medidas dirigidas a impedir el acceso o manipulación de lainformación del objeto de traslado.
Página | 57
LECCIÓN 4. AUDITORIAS BIANUALES
En relación con los ficheros y tratamientos tanto automatizados como no automatizados de ni -vel medio y alto, debe realizarse al menos cada dos años una auditoría de los sistemas de in -formación e instalaciones de tratamiento y almacenamiento de datos con el fin de verificar elcumplimiento de la ley de protección de datos de carácter personal.
Asimismo, con carácter extraordinario podrán realizase auditorías siempre que se realicen mo-dificaciones sustanciales en el sistema de información y de tratamiento de datos que puedanrepercutir en el cumplimiento de las medidas de seguridad implantadas con objeto de verifi -car:
- La adaptación.
- La adecuación.
- La eficacia de las medidas adoptadas.
Una vez realizada la Auditoría se emitirá un informe de auditoría que debe dictaminar sobre laadecuación de las medidas y controles a la Ley y su desarrollo reglamentario; identificando lasdeficiencias y proponiendo las medidas correctoras o complementarias necesarias.
Este informe debe incluir los datos, hechos y observaciones en que sebasen los dictámenes alcanzados y las recomendaciones propuestas.
Los informes de auditoría serán analizados por el responsable de segu-ridad competente, que elevará las conclusiones al responsable del fi-chero o tratamiento para que adopte las medidas correctoras adecua-
das y quedarán a disposición de la Agencia Española de Protección de Datos o, en su caso, delas autoridades de control de las comunidades autónomas.
Página | 58
LECCIÓN 5. CLAÚSULAS DE INFORMACIÓN
Como establecíamos en el modulo anterior es necesario que los usuarios del sistema conozcansus obligaciones con respecto a los datos de carácter personal.
Por esa razón es aconsejable facilitar a los usuarios cir-culares de información; estas circulares deben contenercláusulas relativas a lo que se debe hacer, no se debehacer y cómo se debe proceder.
A continuación exponemos algunas de las cláusulas que deberían contener estas circulares:
• Queda prohibido utilizar los recursos del sistema de información puestos a su disposición oa los que tenga acceso, para uso privado o para cualquier otra finalidad diferente de las estric-tamente laborales.
• Cada usuario se responsabilizará de proteger la confidencialidad de los datos personales quese traten en los recursos hardware puestos a su disposición, contra manipulaciones no autori -zadas o usos indebidos.
• Cuando la persona responsable de un equipo informático lo abandone temporalmente debe-rá dejarlo en un estado que impida la visualización de la pantalla, por ejemplo a través de unprotector de pantalla. La desactivación de la pantalla protectora implicará la introducción de lacontraseña correspondiente. Si el abandono del equipo se produjera debido a la finalización desu turno de trabajo, el usuario procederá al cierre completo de la sesión de trabajo.
• Se deben retirar de las impresoras y demás periféricos de salida todos los documentos quecontengan datos protegidos conforme se vayan imprimiendo.
• Para el uso de aquellos soportes que se utilicen por múltiples usuarios existirá un responsa -ble debidamente identificado, encargado de controlar e identificar estos accesos.
• Deberán utilizarse únicamente las aplicaciones informáticas facilitadas por el Responsabledel fichero. Queda terminantemente prohibido instalarse “motu propio” programas, copias ile-gales o irregulares de programas o cualquier otro producto informático.
• Todos los usuarios son responsables de mantener su puesto de trab ajo ordenado y, la docu-mentación que utilicen archivada en los cajones o dispositivos con cerramiento dispuestos al
Página | 59
efecto (política de mesas limpias). Cuando ello no sea posible porque la documentación estésiendo revisada o tramitada, el usuario a su cargo es responsable de su custodia e impedimen-to en todo momento que pueda tenerse acceso a la misma por personal no autorizado.
• Todo puesto de trabajo estará bajo la responsabilidad de algún usuario autorizado que ga-rantizará que la información que muestran no pueda ser visible por personas no autorizadas.Tanto las pantallas como las impresoras u otro tipo de dispositivos conectados al puesto detrabajo deberán estar físicamente ubicados en lugares que garanticen esa confidencialidad.
• Para acceder al sistema de información, todos los usuarios se identificarán mediante unidentificador de usuario y se autenticará mediante una contraseña. Con relación a las contra-señas se habrán de observar las siguientes normas:
o La contraseña de acceso caducará al menos a los 365 días, debiendo ser modificada en elmomento de realizar el primer acceso al sistema.
o Las contraseñas deben ser conocidas exclusivamente por el usuario propietario de la mismay tratadas como información personal e intransferible. Es responsabilidad del usuario asegurarla confidencialidad y custodia de la contraseña. Si un usuario tiene sospechas fundadas de laperdida de confidencialidad de su contraseña estará obligado a cambiarla y, registrarlo comoincidencia.
o La contraseña contendrá al menos 8 caracteres alfanuméricos. Se evitarán nombres comu-nes, números de matrículas de vehículos, teléfonos, nombres de familiares, amigos, etc. Y deri -vados del nombre de usuario como permutaciones o cambio de orden de las letras, transposi -ciones, repeticiones de un único carácter, etc.
Página | 60
• No se accederá al sistema utilizando el identificador y la contraseña de otro usuario. Las res-ponsabilidades de cualquier acceso realizado utilizando un identificador determinado, recae-rán sobre el usuario al que hubiera sido asignado.
• Se deberá evitar el guardar copias de los datos personales del fichero, en archivos interme-dios o temporales. En el caso que sea imprescindible realizar esas copias temporales por exi-gencias del tratamiento, se deberán adoptar las siguientes precauciones:
o Realizar siempre esas copias sobre un mismo directorio de nombre TEMP o similar, de for-ma que no se queden dispersas por todo el disco del ordenador y siempre se pueda conocerdónde están los datos temporales.
o Tras realizar el tratamiento para los que han sido necesarios esos datos temporales, proce-der al borrado o destrucción de los mismos.
• Para la ejecución de tareas o tratamientos fuera de las instalaciones de la entidad, bien condispositivos portátiles bien utilizando documentación que contenga datos de carácter perso -nal, es preciso una Autorización previa del responsable del fichero. En el Documento de Seguri-dad se precisa el procedimiento para obtenerla.
• La salida de soportes o documentos que contengan datos de carácter personal fuera de la or-ganización, incluidos los comprendidos y/o anejos a un correo electrónico, precisa Autoriza-ción previa. En el documento de seguridad se describe el procedimiento para obtenerla.
• Sólo se podrán realizar envíos de datos contenidos en los ficheros por correo electrónico otransferencias electrónicas, desde una única cuenta o dirección de correo, en todo caso con-trolados por un usuario debidamente autorizado.
• Todo soporte que contenga datos de carácter personal debe guardarse en lugar seguro ysiempre bajo llave cuando no sean usados, especialmente fuera de la jornada laboral. Igual -mente, deberá estar identificado mediante una etiqueta externa que indique directa o indirec-tamente el fichero de que se trata, tipo de datos que contiene, proceso que lo ha originado yfecha de creación.
• Cuando se reciclen medios que sean reutilizables, y que hayan contenido datos de los fiche -ros, deberán ser borrados físicamente antes de su reutilización, de forma que los datos quecontenían no sean recuperables. Aquéllos que no vayan a ser reutilizados deberán ser destrui -dos mediante el procedimiento especificado en el Documento de Seguridad.
Página | 61
• Toda incidencia o anomalía que afecte o pudiera afectar a la seguridad de los datos de carác-ter personal deberá comunicarse sin demora al responsable de seguridad, y quedar registradaadecuadamente. Todos los usuarios tienen acceso a un gestor de incidencias desde su propiopuesto de trabajo, para notificar sin demora la misma. Queda prohibido buscar soluciones pro -pias que, más que soluciones del problema, pueden provocar pérdidas de datos.
• El conocimiento y no notificación de una incidencia por parte de un usuario, será considera-do como una falta contra la seguridad por parte del usuario.
• Bajo ningún concepto puede revelarse a persona alguna ajena a la organización información,a la que haya tenido acceso como consecuencia o con ocasión del desempeño de sus funcio-nes, sin la debida autorización.
• Únicamente se hará uso de la información referida en el apartado anterior en la forma exigi -da para el desempeño de sus funciones laborales, no está permitido disponer de ella de ningu-na otra forma o para otra finalidad diferente.
Página | 62
LECCIÓN 6. CLÁUSULA INFORMATIVA LOPD
Como hemos visto anteriormente uno de los principales principios que se deben cumplir es elderecho a la información, por tanto es necesario establecer una serie de medidas para cumplireste principio, entre esas medidas se encuentra el establecimiento de cláusulas.
Todas las cláusulas deben incluir este párrafo:
En cumplimiento de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datosde Carácter Personal, [NOMBRE DE LA EMPRESA], le informa que sus datos de carácter per -sonal recogidos por la entidad serán objeto de tratamiento en nuestros ficheros, con la fi-nalidad de [AQUI DEBEMOS DESCRIBIR EL TRATAMIENTO QUE VAMOS A REALIZAR]
El titular autoriza a [NOMBRE DE LA EMPRESA] para el tratamiento de sus datos con las si-guientes finalidades:
//aquí debemos establecer las finalidades con las cuales vamos a usar esos datos.
En el caso de que se vayan a realizar cesiones de datos debemos incluir también el siguientepárrafo.
Asimismo, el titular autoriza a [NOMBRE DE LA EMPRESA] para la cesión de sus datos de ca-rácter personal en todos aquéllos casos en que sea necesaria la conexión con un tercero
Página | 63
para el desarrollo de la relación, y/o a cualquier entidad cuya cesión venga impuesta porLey, de conformidad con lo establecido en el art. 11.2º a) LOPD, en especial a los siguientescesionarios:
//aquí debemos establecer las cesiones que se van a realizar.
Es muy importante también que informemos de que se pueden ejercer los derechos previstospor la Ley.
Ud. Podrá en cualquier momento ejercer sus derechos de acceso, rectificación, cancelacióny oposición, según la LO 15/99, de 13 de diciembre, dirigiéndose por escrito, adjuntando co-pia de su DNI, en la siguiente dirección: [DIRECCIÓN DE LA EMPRESA]
Página | 64
LECCIÓN 7. CLÁUSULAS DE CONFIDENCIALIDAD
Otra de las medidas a cumplir, esta vez por parte de la entidad es el deber de confidencialidad,una forma de hacer cumplir este deber es mediante las cláusulas de confidencialidad que fir-man los trabajadores o los usuarios que puedan acceder a los datos de carácter personal.
Una cláusula de confidencialidad debería recoger al menos lossiguientes términos:
El usuario se compromete a:
• Utilizar los datos de carácter personal a los que tenga acceso en función de su condición deempleado de la citada entidad únicamente con los fines para los cuales haya sido exclusiva -mente autorizado (Art. 4 LOPD).
• Cumplir con el debido secreto profesional respecto de los datos de carácter personal a losque tenga acceso en función de su condición de empleado, y con el deber de guardarlos, obli -gaciones que subsistirán aún después de finalizar sus relaciones con el titular del Fichero o, ensu caso, con el responsable del mismo (art. 10 LOPD).
• Cumplir con las funciones y obligaciones establecidas en el Documento de Seguridad elabora-do por el responsable del fichero y de obligado cumplimiento para todos los empleados conacceso a los datos de carácter personal, conforme a lo establecido en el artículo 89 RDLOPD.
Página | 65
LECCIÓN 8. CONTRATOS DE TRATAMIENTO DE DATOS CON TERCEROS
De acuerdo con el artículo 12 LOPD, así como los artículos 20, 21, 22, 82 y 83 RDLOPD, elresponsable del fichero antes de la contratación de servicios a terceros, debe ser analizado elimpacto que dicha contratación puede tener en materia de protección de datos, y a talesefectos:
• Si el servicio conlleva el acceso a datos de carácter personal, el responsable del fichero,deberá suscribir un contrato de tratamiento de datos por cuenta de terceros de acuerdo con elartículo 12 LOPD y concordantes del RDLOPD. En estos casos, en el presente documento deseguridad se hará constar la siguiente información:
• Si la prestación se efectúa en los propios locales del responsable del fichero con sussoportes, recursos y sistema de información, en cuyo caso el responsable del fichero debegarantizar que el personal del encargado del tratamiento se compromete al cumplimiento delas medidas de seguridad previstas en el presente documento.
• Si la prestación se efectúa mediante acceso remoto con prohibición del encargado deincorporar los datos a sistemas o soportes distintos de los del responsable del fichero, en cuyocaso el responsable del fichero debe garantizar que el personal del encargado del tratamientose compromete al cumplimiento de las medidas de seguridad previstas en el presentedocumento.
• Si la prestación se efectúa en los locales del encargado (ajenos a los del responsable delfichero), en cuyo caso, en el contrato se exigirá al encargado que garantice la elaboración deun documento de seguridad en los términos exigidos por el artículo 88 RDLOPD o completar elque ya hubiera elaborado, en su caso, identificando el fichero o tratamiento e incorporando lasmedidas de seguridad a implantar en relación con dicho tratamiento.
Página | 66
• Si el servicio no conlleva el acceso a datos de carácter personal, pero éstos pueden serconocidos incidental o accidentalmente con motivo de la prestación del servicio, como puedenser trabajos de limpieza, vigilancia, etc., el contrato de prestación de servicios recogeráexpresamente la prohibición de acceder a los datos personales y la obligación de secretorespecto a los datos que el personal hubiera podido conocer con motivo de la prestación delservicio.
El Artículo 20 del RD 1720/2007 establece que el acceso a los datos por parte de un encargadodel tratamiento que resulte necesario para la prestación de un servicio al responsable no seconsiderará comunicación de datos, siempre y cuando se cumpla lo establecido en la LeyOrgánica 15/1999, de 13 de diciembre.
El servicio prestado por el encargado del tratamiento podrá tener o no carácter remunerado yser temporal o indefinido.
No obstante, se considerará que existe comunicación de datos cuando el acceso tenga porobjeto el establecimiento de un nuevo vínculo entre quien accede a los datos y el afectado.
En el caso de que el encargado del tratamiento destine los datos a otra finalidad, loscomunique o los utilice incumpliendo las estipulaciones del contrato al que se refiere elapartado 2 del artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, será considerado,también, responsable del tratamiento, respondiendo de las infracciones en que hubieraincurrido personalmente.
No obstante, el encargado del tratamiento no incurrirá en responsabilidad cuando, previaindicación expresa del responsable, comunique los datos a un tercero designado por aquél, alque hubiera encomendado la prestación de un servicio conforme a lo previsto en el presentecapítulo.
Página | 67
