1-Definiciones 2-Objeto y mbito de Aplicacin de la Ley Orgnica de Proteccin de Datos (L.O.P.D.)
UNIDAD 2: PRINCIPIOS DE LA LOPD 1- Consentimiento del afectado 2- Informacin en la Recogida de Datos 3- Deber de secreto 4- Calidad de los datos 5- Seguridad de los datos
Unidad 3 DERECHOS DE LOS AFECTADOS 1- Derechos de Acceso, Rectificacin y Cancelacin 2- Otros derechos de los titulares de los datos
Unidad 4 TRATAMIENTO DE DATOS PERSONALES Y FICHEROS 1-Los Datos Personales 2-Los ficheros y sus niveles de seguridad
Unidad 5 MEDIDAS DE SEGURIDAD A ADOPTAR 1-Medidas de Seguridad para ficheros automatizados 2-Medidas de Seguridad para ficheros no automatizados 3- Medidas Organizativas 4.- Roles y funciones en materia de LOPD
Unidad 6 - LA AGENCIA DE PROTECCIN DE DATOS 1-Funciones de la Agencia 2-Las Infracciones y las Sanciones
Unidad 7 EL DOCUMENTO DE SEGURIDAD
1- Delimitacin de los ficheros 2.- Redaccin del Documento de Seguridad
Unidad 8 LA AUDITORA BIENAL 1-Objeto y Alcance 2- Equipo Auditor 3- Tipos de Auditora 4-Estructura de un Informe de Auditora
Unidad 9 - INSCRIPCIN DE FICHEROS EN LA AGENCIA DE PROTECCIN DE DATOS 1-Pasos a seguir 2-Instrucciones para cumplimentar el modelo de notificacin de ficheros
Unidad 10 - LA WEB DE LA AGENCIA 1-Bsqueda de ficheros 2-Canal del Responsable del fichero
Unidad 11 APLICACIN PRCTICA DEL RLOPD EN SISTEMAS OPERATIVOS WINDOWS
Unidad 12 CASOS CONCRETOS LOPD: FICHEROS ESPECFICOS 1- Ficheros de Solvencia Patrimonial y Crdito 2- Ficheros de Bolsa Empleo, Tratamiento de currculums vital 3- Tratamiento para actividades de publicidad y prospeccin comercial 4- Ficheros de Comunidad de Propietarios 5- Ficheros de Videovigilancia 6- Fichero de Nminas Personal 7- Fichero de Plizas
Unidad 13 OTRAS NORMATIVAS RELACIONADAS CON LA LOPD
Unidad 14 NO OLVIDAR
Unidad 15 - CASOS PRCTICOS: IMPLANTACIN DE LA LOPD EN EMPRESA
OBJETIVOS DEL CURSO:
El curso AUTO IMPLANTACIN PRCTICA DE LA LOPD, es un curso dirigido a directores de seguridad, auditores, consultores de seguridad, directores de tecnologa y en definitiva a todos aquellos profesionales que estn interesados en la implantacin de la LOPD en una empresa. El objetivo del curso en profundizar y conocer los conceptos, interpretaciones, principios inspiradores y procesos prcticos para la implantacin y plena adecuacin de la organizacin a la normativa vigente en materia de proteccin de datos personales. Durante el curso estudiaremos y trabajaremos en: Estudio de antecedentes y marco normativo. Adecuacin del tratamiento de los datos de la Organizacin a la Ley Orgnica 15/1999, de 11 de diciembre, de proteccin de datos de carcter personal: Anlisis e interpretacin de conceptos recogidos en la normativa. Anlisis de las obligaciones, principios y derechos referenciados al rgimen de infracciones y sanciones recogidas en este ordenamiento. Identificacin de activos de informacin y anlisis de situacin de empresa. Estudio de Implementacin de las obligaciones legales recogidas en la LOPD. Estudio prctico del Documento de Seguridad en la Ley de proteccin de Datos (RD 1720/2007, de 21 de diciembre, por el que se aprueba el reglamento de medidas de seguridad: Anlisis jurdico / tcnico y elaboracin del Documento de Seguridad)
INDICE UNIDAD 1: CONCEPTOS BSICOS 1-Definiciones 2-Objeto y mbito de Aplicacin de la Ley Orgnica de Proteccin de Datos (L.O.P.D.)
UNIDAD 2: PRINCIPIOS DE LA LOPD 1- Consentimiento del afectado 2- Informacin en la Recogida de Datos 3- Deber de secreto 4- Calidad de los datos 5- Seguridad de los datos
Unidad 3 DERECHOS DE LOS AFECTADOS 1- Derechos de Acceso, Rectificacin y Cancelacin 2- Otros derechos de los titulares de los datos
Unidad 4 TRATAMIENTO DE DATOS PERSONALES Y FICHEROS 1-Los Datos Personales 2-Los ficheros y sus niveles de seguridad
Unidad 5 MEDIDAS DE SEGURIDAD A ADOPTAR 1-Medidas de Seguridad para ficheros automatizados 2-Medidas de Seguridad para ficheros no automatizados 3- Medidas Organizativas 4.- Roles y funciones en materia de LOPD
Unidad 6 - LA AGENCIA DE PROTECCIN DE DATOS 1-Funciones de la Agencia 2-Las Infracciones y las Sanciones
Unidad 7 EL DOCUMENTO DE SEGURIDAD
1- Delimitacin de los ficheros 2.- Redaccin del Documento de Seguridad
Unidad 8 LA AUDITORA BIENAL 1-Objeto y Alcance 2- Equipo Auditor 3- Tipos de Auditora 4-Estructura de un Informe de Auditora
Unidad 9 - INSCRIPCIN DE FICHEROS EN LA AGENCIA DE PROTECCIN DE DATOS 1-Pasos a seguir 2-Instrucciones para cumplimentar el modelo de notificacin de ficheros
Unidad 10 - LA WEB DE LA AGENCIA 1-Bsqueda de ficheros 2-Canal del Responsable del fichero
Unidad 11 APLICACIN PRCTICA DEL RLOPD EN SISTEMAS OPERATIVOS WINDOWS
Unidad 12 CASOS CONCRETOS LOPD: FICHEROS ESPECFICOS 1- Ficheros de Solvencia Patrimonial y Crdito 2- Ficheros de Bolsa Empleo, Tratamiento de currculums vital 3- Tratamiento para actividades de publicidad y prospeccin comercial 4- Ficheros de Comunidad de Propietarios 5- Ficheros de Videovigilancia 6- Fichero de Nminas Personal 7- Fichero de Plizas
Unidad 13 OTRAS NORMATIVAS RELACIONADAS CON LA LOPD
Unidad 14 NO OLVIDAR
Unidad 15 - CASOS PRCTICOS: IMPLANTACIN DE LA LOPD EN EMPRESA
OBJETIVOS DEL CURSO:
El curso AUTO IMPLANTACIN PRCTICA DE LA LOPD, es un curso dirigido a directores de seguridad, auditores, consultores de seguridad, directores de tecnologa y en definitiva a todos aquellos profesionales que estn interesados en la implantacin de la LOPD en una empresa. El objetivo del curso en profundizar y conocer los conceptos, interpretaciones, principios inspiradores y procesos prcticos para la implantacin y plena adecuacin de la organizacin a la normativa vigente en materia de proteccin de datos personales. Durante el curso estudiaremos y trabajaremos en: Estudio de antecedentes y marco normativo. Adecuacin del tratamiento de los datos de la Organizacin a la Ley Orgnica 15/1999, de 11 de diciembre, de proteccin de datos de carcter personal: Anlisis e interpretacin de conceptos recogidos en la normativa. Anlisis de las obligaciones, principios y derechos referenciados al rgimen de infracciones y sanciones recogidas en este ordenamiento. Identificacin de activos de informacin y anlisis de situacin de empresa. Estudio de Implementacin de las obligaciones legales recogidas en la LOPD. Estudio prctico del Documento de Seguridad en la Ley de proteccin de Datos (RD 1720/2007, de 21 de diciembre, por el que se aprueba el reglamento de medidas de seguridad: Anlisis jurdico / tcnico y elaboracin del Documento de Seguridad)
NORMATIVA Ley Orgnica 15/1999, de 21 de diciembre, de proteccin de datos de carcter personal El Objeto de la L.O.P.D. es garantizar y proteger, en lo que concierne al tratamiento de datos personales (automatizados o no), las libertades pblicas y los derechos fundamentales de las personas fsicas y, especialmente, de su honor e intimidad personal y familiar.
La ley se aplica slo a los datos de carcter personal en ficheros que contengan datos personales que los hagan susceptibles de tratamiento y uso posterior de esos datos. La L.O.P.D. ha entrado en vigor para los ficheros automatizados el 14 de Enero de 2.000. Los ficheros no automatizados (los que estn registrados en soportes fsicos) tenan de plazo hasta 24 de Octubre de 2.007 para adecuarse a la L.O.P.D. La Ley de Proteccin de Datos tiene sus orgenes en la Ley Orgnica 15/1992, de Regulacin del Tratamiento Automatizado de los Datos de Carcter Personal (LORTAD) Las motivaciones de la LOPD en su creacin fueron corregir deficiencias de la LORTAD y proteger no slo los datos de carcter personal sino tambin a las personas a las que se refieren.
Descargar Ley Orgnica de Proteccin de Datos
Real Decreto 1720/2007, de 21 de Diciembre, por el que se aprueba el Reglamento de Desarrollo de la LOPD. Reglamento que desarrolla las medidas de seguridad para los ficheros de carcter personal. Se public en el BOE N 17 el 19 de Enero de 2008 y entr en vigor el 14 de Abril de ese mismo ao. Este reglamento ampla, define y modifica, algunos artculos del anterior Reglamento (Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de Medidas de Seguridad de los ficheros automatizados que contengan datos de carcter personal) en cuanto al tratamiento de los Datos de Carcter Personal automatizados y define tambin el tratamiento que debe hacerse de los mismos en ficheros no automatizados. Los plazos de adecuacin para la adaptacin de las medidas de seguridad del nuevo Reglamento de Desarrollo de la LOPD, respecto a los ficheros creados antes del 19 de Enero de 2008 se indican en el cuadro adjunto.
NIVEL AUTOMATIZADOS NO AUTOMATIZADOS BASICO - 1 AO MEDIO 1 AO 1 AO Y MEDIO ALTO 1 AO Y MEDIO 2 AOS
Descargar Reglamento de Desarrollo de la LOPD (R.D. 1720/2007)
Muy Importante!!.-Se ofrece para su consulta el anterior Reglamento de Medidas de Seguridad de la LOPD, derogado por la entrada en vigor del R. D. 1720/2007. Se facilita al usuario por el hecho de que puede ser mencionado a lo largo del presente curso, especialmente en los informes y resto de documentacin de la Agencia, que se incluyen como apoyo en diferentes apartados del temario. Pero es importante que se recuerde que ya no se encuentra en vigor.
Descargar Reglamento de Medidas de Seguridad (DEROGADO) (R.D. 994/1999)
ALCANCE Y EXCLUSIONES La L.O.P.D. se aplica tanto a los ficheros de titularidad Pblica como de titularidad Privada, quedando excluidos de la aplicacin de la norma los siguientes ficheros o tratamientos: Los ficheros que posean personas fsicas en el ejercicio de actividades exclusivamente personales o domsticas (por ejemplo, los de una agenda electrnica o PDA) Los sometidos a la normativa sobre proteccin de materias clasificadas (por ejemplo, los secretos del CESID) Los ficheros establecidos para la investigacin del terrorismo y de formas graves de delincuencia organizada. Los ficheros regulados por la legislacin de rgimen electoral (sobre todo, el censo) Los que se utilicen para fines estadsticos y estn amparados por la legislacin sobre la funcin estadstica pblica. Los que almacenen datos en informes personales de calificacin que se encuentran amparados por la legislacin del Rgimen del personal de las Fuerzas Armadas, los del Registro Civil, el Registro Central de penados y rebeldes, los que contengan imgenes y sonidos obtenidos de videocmaras de las Fuerzas y Cuerpos de Seguridad del Estado y se encuentren amparados por su legislacin especfica, etc.
SUPUESTO PRCTICO
Muchas personas tienen en su domicilio un fichero en el que guardan los datos de contacto de otras personas, ya sea en formato papel o en programas informticos de gestin de contactos. Dichos ficheros tienen la consideracin de ficheros con datos de carcter personal, segn la normativa reguladora de esta materia? Las agendas personales, no debern notificarse, al considerarse que, tal y como se indica, son ficheros creados con finalidades exclusivamente domsticas y personales.
Desde el punto de vista del mbito territorial, se regir por el presente reglamento todo tratamiento de datos de carcter personal cuando: El establecimiento del responsable del tratamiento (instalacin en la que se desarrolla el ejercicio de la actividad) se encuentre ubicado en territorio espaol, o exista un encargado del tratamiento ubicado en Espaa (en cuyo caso le ser de aplicacin las medidas de seguridad indicadas en la Unidad 4). Cuando al responsable del tratamiento no establecido en territorio espaol, le sea de aplicacin la legislacin espaola. Cuando el responsable del tratamiento no est establecido en territorio de la Unin Europea y utilice en el tratamiento de datos medios situados en territorio espaol. En este supuesto, el responsable del tratamiento deber designar un representante establecido en territorio espaol. Del mismo modo, el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgnica 15/1999, de 13 de diciembre, de proteccin de datos de carcter personal, no ser de aplicacin a: Los tratamientos de datos referidos a personas jurdicas, ni a los ficheros que se limiten a incorporar los datos de las personas fsicas que presten sus servicios en aqullas, consistentes nicamente en su nombre y apellidos, las funciones o puestos desempeados, as como la direccin postal o electrnica, telfono y nmero de fax profesionales Los datos relativos a empresarios individuales, cuando hagan referencia a ellos en su calidad de comerciantes, industriales o navieros, tambin se entendern excluidos del rgimen de aplicacin de la proteccin de datos de carcter personal Los datos referidos a personas fallecidas. No obstante, las personas vinculadas al fallecido, por razones familiares o anlogas, podrn dirigirse a los responsables de los ficheros o tratamientos que contengan datos de ste con la finalidad de notificar el bito.
SUPUESTO PRCTICO En el caso que todos los clientes sean personas jurdicas (empresas, asociaciones, administraciones, etc.) y no haya clientes que sean personas fsicas, es necesario notificar un fichero de clientes? La LOPD nicamente obliga a notificar ante la Agencia de Proteccin de Datos aquellos ficheros que contengan datos de carcter personal, con lo cual, no es necesario notificar dichos ficheros, siempre y cuando no hayan datos de clientes personas fsicas. Tal y como se indica, la LOPD no aplica sobre los datos de personas jurdicas o empresarios individuales, as como a los ficheros que se limiten a incorporar datos de las personas que presten sus servicios en entidades empresariales. Ahora bien, es importante destacar que estos ser as siempre que se cumplan dos factores fundamentales. En primer lugar, refirindonos a los datos de contacto de personas que trabajen en las empresas, no ser de aplicacin la LOPD, siempre y cuando los datos que de ellas se manejen se cian exclusivamente a los necesarios para cumplir con la finalidad de mantener el contacto o la relacin comercial con la empresa a la que pertenecen, no pudiendo tener de estas personas ms datos que no sean exclusivamente los de nombre, apellidos, funcin o puesto desempeado, direccin postal o electrnica, telfono y nmero de fax profesionales. Toda vez que se disponga de ms informacin del individuo que la mencionada, como puede ser el disponer del DNI o del historial acadmico o titulaciones, s entraramos dentro del mbito de aplicacin de la LOPD. Asimismo, al tratamiento tanto para estas personas de contacto que trabajen en las empresas, como con los empresarios individuales o personas jurdicas no le ser de aplicacin la normativa de proteccin de datos, en cuanto sus datos se utilicen nicamente con finalidades relacionadas con las actividades empresariales de la persona jurdica, como puede ser la de mantener la relacin comercial con la entidad. S entraramos dentro del mbito de la LOPD, siempre que los datos que se dispongan sean utilizados con una finalidad diferente, es decir, si sus datos se utilizan para perseguir una relacin directa con el titular de los datos, no con la entidad que constituyen o a la que pertenecen, siendo el destinatario del tratamiento, no la empresa, sino, por ejemplo, el propio empresario. No se podra por lo tanto, utilizar datos de autnomos que tengamos en nuestra base de datos de proveedores para enviarles publicidad de nuestros servicios o productos en su condicin de consumidores individuales.
Descargar Informe datos de personas jurdicas o de contacto. SUPUESTO PRCTICO Deben de protegerse y adecuarse a las exigencias de la LOPD el tratamiento de los datos personales que maneje, por ejemplo, una funeraria, de personas fallecidas? Efectivamente, la LOPD establece que no entran dentro del mbito de la LOPD los datos de personas fallecidas en cuanto que se entiende el derecho de proteccin de datos como el derecho del individuo a decidir sobre la posibilidad de que un tercero pueda conocer y tratar la informacin que le es propia, as como el ejercicio por el afectado de sus derechos de acceso, rectificacin, cancelacin y oposicin. Entendindose por lo tanto que este derecho se extingue con la muerte de las personas. As pues, no sera necesario adecuar el tratamiento de los datos a las exigencias de la LOPD. Sin embargo, conviene aclarar que existen otros derechos constitucionalmente reconocidos que otorgan a los cnyuges, descendientes o dems familiares, la posibilidad de tomar medidas o acciones que permitan garantizar el derecho al honor y la intimidad personal y familiar. Descargar Informe Tratamiento de datos de fallecidos.
1. CONSENTIMIENTO DEL AFECTADO. El tratamiento de los datos de carcter personal requiere el consentimiento inequvoco del afectado, salvo que la ley disponga otra cosa. Este principio quiebra ante las siguientes excepciones: - Cuando los datos de carcter personal se recojan para el ejercicio de las funciones propias de las Administraciones Pblicas. - Cuando se refieran a las partes de un contrato precontrato de una relacin negocial, laboral administrativa. - Cuando el tratamiento de los datos tenga por finalidad proteger un inters vital del interesado. - Cuando los datos figuren en fuentes accesibles al pblico. Las excepciones indicadas, no eximen del cumplimiento del deber de informado, al que se hace referencia en el presente captulo. El consentimiento que exige la LOPD, puede manifestarse de dos formas distintas segn los casos: - Tcito: Voluntad deducible no de una actividad realizada, como es el caso del consentimiento presunto, sino de la inactividad, falta de oposicin, o silencio. - Expreso: El consentimiento expreso exige que el interesado declare de forma inequvoca que acepta el tratamiento. A diferencia de los dos anteriores ste se deber efectuar mediante una expresin de voluntad realizada de forma fehaciente que podr ser escrita (obligatorio para los datos de carcter personal de nivel alto: ideologa, afiliacin sindical, religin y creencias) Articulo 6. L.O.P.D. 1. El tratamiento de los datos de carcter personal requerir el consentimiento inequvoco del afectado, salvo que la ley disponga otra cosa. 2. No ser preciso el consentimiento cuando los datos de carcter personal se recojan para el ejercicio de las funciones propias de las Administraciones Pblicas en el mbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relacin negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un inters vital del interesado en los trminos del artculo 7, apartado 6, de la presente Ley, o cuando los datos figuren en fuentes accesibles al pblico y su tratamiento sea necesario para la satisfaccin del inters legtimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado. 3. El consentimiento a que se refiere el artculo podr ser revocado cuando exista causa justificada para ello y no se le atribuyan efectos retroactivos. 4. En los casos en los que no sea necesario el consentimiento del afectado para el tratamiento de los datos de carcter personal, y siempre que una ley no disponga lo contrario, ste podr oponerse a su tratamiento cuando existan motivos fundados y legtimos relativos a una concreta situacin personal. En tal supuesto, el responsable del fichero excluir del tratamiento los datos relativos al afectado.
Descargar Caracteres de consentimiento
Siempre habr de tenerse en cuenta que el afectado podr, en todo momento, revocar el consentimiento que haya otorgada, para lo cual se debern de poner a su disposicin un medio sencillo y gratuito, que no implique un gasto por parte del afectado, como pueden ser el envo de cartas certificadas o mediante servicios telefnicos con tarificacin adicional. S se consideran admisibles otros medios, como los envos prefranqueados o llamadas a travs de nmeros telefnicos gratuitos.
SUPUESTO PRCTICO Se entiende que hay consentimiento cuando se firma un contrato y una de sus clusulas informa sobre el tratamiento de datos de carcter personal. Tambin se entiende que hay consentimiento cuando se cumplimenta un formulario y en el mismo se informa que dichos datos sern tratados.
SUPUESTO PRCTICO En el caso de pginas Web, se entiende que existe consentimiento si el usuario enva los datos mediante un formulario, haciendo "clic" en el botn de enviar, contratar o darse de alta, y al lado hay un texto (aviso legal) en el que se informa al usuario de los aspectos relativos al tratamiento de datos de carcter personal.
Cuando se pretenda, en el marco de una relacin contractual, recabar el consentimiento del afectado para fines no relacionados directamente con dicha relacin, deber de permitirse al afectado que manifieste expresamente su negativa a ese tratamiento o comunicacin de datos. Este es el caso por ejemplo de:
SUPUESTO PRCTICO Cmo puedo obtener, durante la firma del contrato, consentimiento de mis clientes para poder enviarles publicidad sobre diversos productos y servicios de mi empresa ?. Dentro de una relacin negocial, se entiende que se dispone del consentimiento de los afectados para el tratamiento de sus datos siempre y cuando estos se utilicen para cumplir con los servicios que el cliente haya contratado, debiendo, igualmente de cumplir con el deber de informacin que se expone ms adelante. As pues, durante la firma del contrato con el cliente, en este se deber de incluir una clusula indicando el uso que se va a realizar de esos datos, y los derechos que asisten a sus titulares. Ahora bien, si, adems, como se expone, se pretende obtener consentimiento de los afectados para otros fines, como puede ser el envo de publicidad o informacin sobre productos o servicios, deber de mencionarse expresamente y dar la posibilidad, de algn modo, de que el afectado manifieste de manera expresa que se opone a ese tratamiento, no relacionado directamente con los servicios contratados. Prctica habitual, que permite cumplir con este aspecto, es incorporar en las clusulas informativas casillas seleccionables que permitan al cliente indicar, con su marcado, si autoriza o no a que se utilicen sus datos con la finalidad indicada. As, por ejemplo, la clusula informativa en este caso quedara: "En cumplimiento de lo establecido en la LOPD, le informamos que los datos que nos facilite pasarn a formar parte de un fichero propiedad de [nombre del responsable] para cumplir con los servicios contratados. Asimismo, le informamos que puede ejercer los derechos de acceso, rectificacin, cancelacin y oposicin en [indicar la direccin donde poder ejercitarlos]. Marque esta casilla si, adems, usted autoriza el tratamiento de sus datos personales para poder enviarle publicidad o informacin sobre productos o servicios que puedan resultar de su inters.
SUPUESTO PRCTICO Cmo debera de obtener el consentimiento para el tratamiento de los datos personales un abogado para el desarrollo de sus funciones? En lo que respecta al tratamiento de datos personales por parte de un abogado o procurador nos encontraramos con dos casos diferentes: En primer lugar, en lo que respecta a los clientes de los mismos, no sera preciso obtener el consentimiento de los mismos en cuanto nos encontramos en un supuesto del artculo 6.2 de la LOPD segn el cual no ser preciso el consentimiento de los interesados cuando los datos se refieran a las partes de un contrato o precontrato de una relacin negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento. No eximira esto del derecho de informacin, debiendo de informar a los interesados del tratamiento que se va a realizar de sus datos, as como de los derechos que les asisten.
En segundo lugar, en lo que respecta al tratamiento de los datos personales de los oponentes del cliente, debemos de tener en cuenta que precisar del consentimiento de los titulares de los datos podra impedir un correcto ejercicio de la asistencia letrada, derecho consagrado por el artculo 24 del Texto Constitucional. Nos encontraramos en este caso con un conflicto entre dos derechos fundamentales: el derecho a la proteccin de datos de carcter personal, y el derecho a la asistencia letrada, como manifestacin del derecho de los ciudadanos a obtener la tutela judicial efectiva de los jueces y tribunales. Considerando que la LOPD, en su artculo 6.1, exime de la necesidad de obtener el consentimiento de los afectados en caso de que una Ley lo disponga, se debe de entender que en este caso, esa autorizacin al tratamiento de los datos viene derivada por la propia Constitucin. En situacin similar nos encontraramos ante el derecho de informacin indicado por el artculo 5 de la LOPD, pues informar al oponente del cliente de los datos de los que el abogado dispone, as como del uso que les va a dar, podran perjudicar igualmente el adecuado de las facultades vinculadas con el derecho del cliente a obtener la tutela efectiva de los Jueces y Tribunales, al quedar en conocimiento de la otra parte los datos que pudieran ser aportados a juicio en defensa de su derecho. Descargar el Informe de Consentimiento de abogados y procuradores
Consentimiento de menores de edad. En el caso del tratamiento de los datos personales de los menores de edad, deber de cumplirse con especial diligencia el derecho de informacin estipulado por la LOPD.
En estos casos, han de considerarse dos supuestos. En primer lugar, se entiende que en el caso de los mayores de 14 aos, se les atribuye la capacidad suficiente como para poder tomar decisiones y, en este caso, decidir sobre facilitar o no el consentimiento al tratamiento de sus datos personales, de modo que la informacin obligada por Ley puede ser facilitada a los mismos. Por otro lado, en lo que respecta a los nios menores de 14 aos, con carcter general, y entendindose que sus condiciones de madurez no garantizan la comprensin de la informacin facilitada, deber de optarse por informar, y por lo tanto recabar el consentimiento, directamente de los padres o tutores legales del menor. Todo esto, ha de entenderse con carcter general, debiendo de, en cada caso, adecuarse al grado de madurez del menor, y a su capacidad para tomar decisiones en este sentido. Esto es, no en todos los casos, los mayores de 14 aos pueden tener la madurez suficiente para dar su consentimiento. Debe tambin de tenerse en cuenta que, en todos los casos, el lenguaje utilizado para facilitar la informacin correspondiente al tratamiento de los datos personales, ha de adecuarse a la edad y las facultades del menor a quien va dirigida, debiendo de utilizarse un lenguaje fcil y asequible para su edad, de modo que no le queden dudas acerca del tratamiento que se va a realizar de sus datos. Por otro lado, cabe destacar que se prohbe recabar del menor datos personales de los progenitores u otros miembros de la familia, siendo preciso obtener para ello el consentimiento de los mismos, a excepcin de los datos identificativos o de contacto, que se podrn recabar pero nicamente con la finalidad de solicitar de los mismos sus propios datos personales, as como el consentimiento para su tratamiento.
Descargar Informe de consentimiento de menores de edad Descargar Recomendaciones a menores
Los interesados a los que se soliciten datos personales debern ser previamente informados de modo expreso, preciso e inequvoco: a) De la existencia de un fichero o tratamiento de datos de carcter personal, de la finalidad de la recogida de stos y de los destinatarios de la informacin. b) Del carcter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas. c) De las consecuencias de la obtencin de los datos o de la negativa a suministrarlos.
d) De la posibilidad de ejercitar los derechos de acceso, rectificacin, cancelacin y oposicin. e) De la identidad y direccin del responsable del tratamiento o, en su caso, de su representante. El deber de informacin deber llevarse a cabo a travs de un medio que permita acreditar su cumplimiento, debiendo conservarse mientras persista el tratamiento de los datos del afectado. El responsable del fichero o tratamiento deber conservar el soporte en el que conste el cumplimiento del deber de informar. Para el almacenamiento de los soportes, el responsable del fichero o tratamiento podr utilizar medios informticos o telemticos. En particular podr proceder al escaneado de la documentacin en soporte papel, siempre y cuando se garantice que en dicha automatizacin no ha mediado alteracin alguna de los soportes originales. Este derecho de informacin, ha de cumplirse igualmente, con carcter general, cuando los datos de carcter personal no hayan sido recabados directamente del interesado. En este caso, se admite como excepcin a cumplir con el derecho de informacin cuando expresamente una ley lo prevea, cuando el tratamiento tenga fines histricos, estadsticos o cientficos, o cuando la informacin al interesado resulte imposible o exija esfuerzos desproporcionados, a criterio de la Agencia de Proteccin de Datos o del organismo autonmico equivalente, en consideracin al nmero de interesados, a la antigedad de los datos y a las posibles medidas compensatorias (asrt. 5.5 de la LOPD).
SUPUESTO PRCTICO A continuacin, presentamos un modelo de advertencia legal para dar cumplimiento a las obligaciones relativas a la informacin que se ha de facilitar al afectado en el momento de la recogida de sus datos:
CLUSULA RECOGIDA DE DATOS "En cumplimiento de lo establecido en la Ley Orgnica 15/99, de 13 de diciembre, de Proteccin de Datos de Carcter Personal, le informamos que los datos que nos facilite mediante la cumplimentacin del presente formulario pasarn a formar parte de un fichero propiedad de [nombre del responsable] para [indicar los fines]. Asimismo, le informamos que puede ejercer los derechos de acceso, rectificacin, cancelacin y oposicin en [indicar la direccin donde poder ejercitarlos]." Ser necesario que en los supuestos en los que se utilicen formularios, se incluya en el mismo formulario dicho texto legal. Este aviso legal puede ser ms amplio en el caso que se deba informar o pedir el consentimiento del afectado en los casos de cesin de datos o transferencia internacional de datos, es decir, cuando los datos recabados quieran cederse posteriormente a otra empresa o vayan a ser transferidos a otro pas. En los supuestos de cesin deber, adems, informarse de cuales son las finalidades a las que se aplicarn los datos por parte del cesionario.
CLUSULA RECOGIDA DE DATOS CON CESIN A los efectos previstos en la Ley Orgnica 15/1999, de 13 de diciembre, sobre Proteccin de Datos de Carcter Personal, se le informa que los datos personales proporcionados se incorporarn (o actualizarn) a los ficheros de ORGANIZACIN, con direccin en DIRECCIN. Los datos personales solicitados en este documento son de carcter obligatorio, por lo que su no cumplimentacin supone la imposibilidad de su inclusin en los ficheros antes descritos y de cumplir con la finalidad definida en el prrafo anterior. La finalidad del tratamiento de los datos ser la de realizar los servicios contratados de DESCRIPCIN DEL SERVICIO, y su posterior comunicacin OTRA EMPRESA con direccin en DIRECCIN, para MOTIVO POR EL CUAL SE CEDEN LOS DATOS. Ud. Tiene derecho al acceso, rectificacin, cancelacin y oposicin en los trmino previsto en la Ley, que podr ejercitar mediante escrito dirigido al (a los) responsable(s) de los mismos, en las direcciones anteriormente indicadas. A los empleados de la empresa, tambin es necesario informarles sobre sus derechos en materia de Proteccin de Datos, as como del tratamiento que se va a realizar de los mismos:
CLUSULA PROTECCIN DE DATOS TRABAJADORES
ORGANIZACIN, en su constante esfuerzo por mejorar y adaptarse a la normativa actual, con la finalidad de dar el mejor servicio a sus trabajadores informa de lo siguiente: Los datos que tenemos de nuestros trabajadores son los nicos precisos, para la relacin laboral, elaboracin de nminas, contratos, etc. Esta informacin queda registrada en un fichero de datos de carcter personal, cuyo uso es exclusivo ORGANIZACIN, para los fines aludidos, prevaleciendo el deber de secreto. As mismo ORGANIZACIN, comunica a los interesados, de sus derechos de acceso, rectificacin, cancelacin y oposicin, todo ello de acuerdo con la ley orgnica 15/99 de 13 de diciembre de Proteccin de Datos de Carcter Personal (LOPD). El responsable del fichero es ORGANIZACIN. con domicilio en DOMICILIO, en donde el afecto se podr dirigir por escrito en caso de que lo encontrara necesario
SUPUESTO PRCTICO Qu ocurre cuando los datos personales son recogidos por el Responsable por telfono? Es necesario cumplir en todos los casos con el derecho de informacin siempre que se proceda a recabar datos personales, sea cual sea el mtodo utilizado para la recogida de datos. As pues, en el caso de que los datos personales se recaben por va telefnica, deber igualmente de informarse del tratamiento que se va a realizar de esos datos, as como de los derechos que asisten al afectado.
Es importante sealar en este sentido que, si bien la Ley no especifica el mtodo que ha de emplearse para cumplir con el derecho de informacin, corresponde al Responsable del Fichero, la prueba del cumplimiento del deber de informar. Esto es, es necesario que el Responsable del Fichero disponga de pruebas que permitan demostrar que ha cumplido con el derecho de informacin al recoger los datos personales, siendo, por lo tanto, ideal, el facilitar la informacin correspondiente por escrito, mediante el envo de cartas o mediante formularios en papel de recogida de datos. En el caso de obtener los datos a travs de conversacin telefnica, podra ser conveniente que estas conversaciones quedasen grabadas, pero esto implicara informar al afectado tanto del tratamiento que se va a realizar de los datos recogidos, como de los datos personales que se obtengan como de las grabaciones realizadas, y debiendo, por lo tanto de crear el nuevo fichero (GRABACIONES) que deber de ser notificado ante la APD. Otra opcin, que puede resultar ms prctica y sencilla sera la de utilizar mensajes pregrabados en los que antes de iniciar la conversacin, se informe de los aspectos relacionados con la LOPD.
SUPUESTO PRCTICO Cuando es posible acogerse a la excepcin del derecho a la informacin cuando esta resulte imposible o exija esfuerzos desproporcionados? En primer lugar es importante tener en cuenta que esto es aplicable nicamente en los casos en los que los datos no hayan sido obtenidos directamente del interesado. Y dentro de esto, la LOPD seala que el hecho de considerar que informar a los interesados es imposible o exige esfuerzos desproporcionados, queda a criterio de la Agencia de Proteccin de Datos. Esto implica necesariamente tener que dirigirse mediante solicitud escrita a la APD, para que inicie el procedimiento de exencin del deber de informar correspondiente. No debe de entenderse en ningn caso que queda en manos de los Responsables de los ficheros decidir si es o no un esfuerzo desproporcionado informar a todos los interesados de los que maneje datos personales.
Descargar Informe Informacin a clientes antiguos Descargar Informe de exencin de Informacin
SUPUESTO PRCTICO Tambin es posible acogerse a la exencin de cumplir con el derecho de informacin impuesto por el artculo 5 de la LOPD, cuando los datos personales no hayan sido recabados directamente de los interesados y una Ley prevea el tratamiento o comunicacin de datos. Se muestran a continuacin, como ejemplo, dos informes de la APD, como consecuencia de dos consultas planteadas al respecto: En primer lugar, si se debe informar a los afectados del acceso realizado al Padrn Municipal por parte de la Direccin General de Polica, y, en segundo lugar, si se debe de cumplir con el derecho de informacin en el caso de una entidad que pretende editar una gua telefnica.
Descargar Informe Exencin de Informacin ante una Ley Descargar Informe Informacin para Guas Telefnicas
En ambos casos nos encontramos, con la excepcin de que existe una Ley (Ley Reguladora de las Bases del Rgimen Local, y Ley General de Telecomunicaciones, respectivamente) que prev expresamente el tratamiento y la comunicacin de estos datos personales, sin que sea preciso, por lo tanto, cumplir con el derecho de informacin, amparndonos en el art. 5.5 de la LOPD.
SUPUESTO PRCTICO Que ocurre si una empresa asegura haber cumplido con el derecho de informacin a sus clientes mediante el envo de una carta, mediante correo ordinario, y uno de los clientes (titular de los datos) niega haber recibido dicha informacin, llegando incluso a denunciar ante la Agencia por un tratamiento de datos sin consentimiento del afectado? Es importante que quede claro que, si bien la LOPD no indica ni exige que el consentimiento dado por los afectados sea expreso y por escrito salvo para los datos de nivel ALTO, s es cierto que ante una posible denuncia es responsabilidad del Responsable del Tratamiento demostrar que ha cumplido con el derecho de informacin, de modo que el afectado ha sido claramente informado de qu se va a realizar con sus datos y, por lo tanto, ha consentido a su tratamiento. En caso de no poder demostrarlo, sera motivo de sancin al Responsable del Fichero por infraccin del artculo 5. As pues, parece que lo ms conveniente es que en todos los casos la informacin facilitada sea a travs de documentos en papel, que queden firmados por el afectado. Ciertamente, el mtodo a priori ms aconsejable y efectivo para cumplir con el derecho de informacin y que quede prueba de ello, es realizar la recogida de los datos personales a travs de formularios o plantillas en papel, que sean cubiertos por el propio titular de los datos, y que incluyan (en el pie de pgina, por ejemplo) una clusula informativa en la cual se indiquen de los aspectos sealados por la LOPD. Conservar ese documento en papel, cubierto por el propio afectado, servir como prueba en un futuro de haber cumplido con el derecho impuesto por el artculo 5 de la Ley. Lo mismo ocurre si la relacin comercial con los clientes requiere la firma de un contrato, en cuyo caso lo ideal es incluir en dicho contrato una clusula destinada a cumplir con este derecho. En caso de no existir un documento fsico, en papel, donde poder incluir este texto informativo, deber de buscarse algn mtodo que nos permite informarle del tratamiento que se va a realizar de esos datos de algn modo que en un futuro nos permita asegurar su cumplimiento: facilitarle un documento en papel con la informacin y que lo devuelva firmado, enviarle un correo electrnico con acuse de recibo, mediante correo certificado, a travs de empresas de mensajera Es prctica habitual en algunas empresas incluir esta informacin aprovechando el envo de otros documentos que son enviados a los clientes. Por ejemplo, es muy comn aprovechar el envo de las propias facturas para incluir en las mismas esta informacin, quedando probado, por lo tanto, que todo aquel que recibe la factura, ha sido informado. En este sentido cabe destacar que el derecho de informacin ha de ser cumplido en el momento de la recogida de los datos, para que el afectado pueda dar o no su consentimiento al tratamiento de los datos. No sera muy conveniente informarle a posteriori de haber realizado el tratamiento de los datos. Como ya hemos comentado, cuando los datos se recojan mediante conversacin telefnica, se puede optar por informar de palabra (grabando las conversaciones) o utilizar grabaciones que salten antes de iniciar la conversacin y, por lo tanto, la recogida de los datos. En el caso de los formularios de las pginas web a travs de los cuales se recogen datos de los clientes, la inclusin de textos informativos, debajo o al lado del formulario, permite cumplir con este deber, siendo lo ideal que el usuario antes de enviar la informacin al hacer click en el botn ACEPTAR, haya marcado o sealado que ha ledo y acepta las condiciones legales expuestas.
Descargar Informe Prueba Cumplimiento del deber de informar Descargar Informe cumplimiento deber de infomracin Descargar Informe, Tratamiento de Datos a travs de pgina web
El personal est obligado al secreto profesional respecto a los datos a los que tiene acceso. No se comunicarn datos a terceras personas para un fin distinto para el que fueron recabados. Artculo 10. L.O.P.D.: El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carcter personal estn obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirn aun despus de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo
SUPUESTO PRCTICO A continuacin, presentamos un modelo de clusula de confidencialidad de trabajadores para dar cumplimiento a las obligaciones relativas al deber de secreto:
CLUSULA COMPROMISO CONFIDENCIALIDAD TRABAJADORES El trabajador se compromete, durante su relacin con la ORGANIZACIN, e incluso despus de haber finalizado sta relacin: Conocer y cumplir lo establecido con la normativa vigente en proteccin de datos de carcter personal, as como en otros documentos de rgimen interior en la medida que sean aplicables, por la naturaleza de las actividades, funciones y responsabilidades que se le encomienden. No realizar ninguna actividad que sea incompatible con su independencia de juicio e integridad profesional en relacin con las actividades de la ORGANIZACIN. Mantener absoluta confidencialidad y discrecin sobre la informacin obtenida en el ejercicio de su trabajo acerca de las actividades de la ORGANIZACIN, de sus clientes, proveedores, y organismos relacionados. Especialmente en lo que se refiere a Datos de Carcter Personal.
SUPUESTO PRCTICO Clusulas similares a la anterior han de ser igualmente utilizadas con el personal de empresas externas que puedan acceder a los ficheros de datos personales durante el desarrollo de sus funciones, como pueden ser las empresas de mantenimiento informtico o las empresas de limpieza, que puedan acceder a los equipos o a las salas donde se almacenen los datos de carcter personal.
NOMBRE_EMPRESA_MANTENIMIENTO, con C.I.F________________, como encargada del mantenimiento de los equipos informticos, y por lo tanto con acceso a los ficheros pertenecientes a la entidad NOMBRE_RESPONSABLE_FICHEROS con C.I.F. _____________________ se compromete a que sus empleados no revelarn ni emplearn en uso propio o de terceros la informacin que conozcan en funcin de su cometido tanto durante el tiempo que dure su contrato, como posteriormente al finalizar dicha relacin. As mismo, NOMBRE_EMPRESA_MANTENIMIENTO respetar las medidas de seguridad que se deben de aplicar de nivel alto, medio o bsico segn corresponda al nivel de los ficheros de NOMBRE_RESPONSABLE_FICHEROS
En el caso de que estas empresas externas, no slo puedan disponer de acceso a los datos, sino que, adems, realicen algn tratamiento con los mismos, deber de firmarse un contrato de tratamiento externo, tal y como se explicar en la Unidad 4 del presente curso. El personal deber mantener en las bases de datos la informacin necesaria para el desarrollo de sus funciones, es decir, que no se deben ser excesivos en relacin con el mbito y las finalidades determinadas. Los datos de carcter personal sern exactos y puestos al da de forma que respondan con veracidad a la situacin actual del afectado. Artculo 8. Real Decreto 1720/2007 (Artculo 4 de la LOPD).- Principios relativos a la calidad de los datos: 1. Los datos de carcter personal debern ser tratados de forma leal y lcita. Se prohbe la recogida de datos por medios fraudulentos, desleales o ilcitos. 2. Los datos de carcter personal slo podrn ser recogidos para el cumplimiento de finalidades determinadas, explcitas y legtimas del responsable del tratamiento. 3. Los datos de carcter personal objeto de tratamiento no podrn usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos. 4. Slo podrn ser objeto de tratamiento los datos que sean adecuados, pertinentes y no excesivos en relacin con las finalidades determinadas, explcitas y legtimas para las que se hayan obtenido. 5. Los datos de carcter personal sern exactos y puestos al da de forma que respondan con veracidad a la situacin actual del afectado. Si los datos fueran recogidos directamente del afectado, se considerarn exactos los facilitados por ste. Si los datos de carcter personal sometidos a tratamiento resultaran ser inexactos, en todo o en parte, o incompletos, sern cancelados y sustituidos de oficio por los correspondientes datos rectificados o completados en el plazo de diez das desde que se tuviese conocimiento de la inexactitud, salvo que la legislacin aplicable al fichero establezca un procedimiento o un plazo especfico para ello. Cuando los datos hubieran sido comunicados previamente, el responsable del fichero o tratamiento deber notificar al cesionario, en el plazo de diez das, la rectificacin o cancelacin efectuada, siempre que el cesionario sea conocido. En el plazo de diez das desde la recepcin de la notificacin, el cesionario que mantuviera el tratamiento de los datos, deber proceder a la rectificacin y cancelacin notificada. Esta actualizacin de los datos de carcter personal no requerir comunicacin alguna al interesado, sin perjuicio del ejercicio de los derechos por parte de los interesados reconocidos en la Ley Orgnica 15/1999, de 13 de diciembre. Lo dispuesto en este apartado se entiende sin perjuicio de las facultades que a los afectados reconoce el ttulo III de este reglamento. 6. Los datos de carcter personal sern cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados. No obstante, podrn conservarse durante el tiempo en que pueda exigirse algn tipo de responsabilidad derivada de una relacin u obligacin jurdica o de la ejecucin de un contrato o de la aplicacin de medidas precontractuales solicitadas por el interesado. 7. Los datos de carcter personal sern tratados de forma que permitan el ejercicio del derecho de acceso, en tanto no proceda su cancelacin
Debe de entenderse, tal y como se indica, que los datos de carcter personal han de ser destruidos una vez ya no sean tiles para la finalidad con la que se recabaron. Ahora bien, en determinadas circunstancias, los tratamientos de los datos personales, pueden estar sujetos a normativas o legislaciones, que obliguen a mantener dichos datos durante un tiempo determinado. Es el caso, por ejemplo, de las facturas, que han de ser conservadas por un periodo de 5 aos, y encontrarse a disposicin de la Agencia Tributaria, no pudiendo, por lo tanto, cancelarse Clusulas similares a la anterior han de ser igualmente utilizadas con el personal de empresas externas que puedan acceder a los ficheros de datos personales durante el desarrollo de sus funciones, como pueden ser las empresas de mantenimiento informtico o las empresas de limpieza, que puedan acceder a los equipos o a las salas donde se almacenen los datos de carcter personal. En el caso de que estas empresas externas, no slo puedan disponer de acceso a los datos, sino que, adems, realicen algn tratamiento con los mismos, deber de firmarse un contrato de tratamiento externo, tal y como se explicar en la Unidad 4 del presente curso. Por otro lado, es importante entender el hecho de que los datos han de ser adecuados, pertinentes y no excesivos en funcin de la finalidad con la que se hayan recabado. Esto implica que no podrn ser objeto de tratamiento datos de carcter personal que realmente no se necesiten para cumplir con la finalidad para la cual el afectado facilit sus datos personales.
SUPUESTO PRCTICO A modo de ejemplo de esto ltimo reflejamos una consulta a la Agencia en la que se planteaba si proceda la cancelacin del dato, que figuraba en una historia clnica de si la paciente llevaba o no el cinturn de seguridad en un accidente sufrido. Efectivamente, esa informacin realmente no es necesaria para las finalidades que deben de cumplir las historias clnicas de los pacientes, pues no resulta relevante para facilitar su asistencia sanitaria ni aporta informacin veraz y actualizada acerca del estado de salud del paciente. As pues, por el principio de proporcionalidad derivado del artculo 4 de la LOPD, desarrollado en el artculo 8 del R.D. 1720/2007, esa informacin sera excesiva y procedera su cancelacin, ya que esos datos ya no son necesarios ni pertinentes para la finalidad con la que fueron obtenidos.
Descargar Informe Proporcionalidad en las historias clnicas
SUPUESTO PRCTICO Tomando el caso anterior, si la paciente quisiese cancelar todos los datos de su historia clnica solicitando se eliminase toda su informacin podra hacerlo acogindose al derecho de cancelacin de sus datos? Es importante destacar que segn el artculo mencionado, por calidad de los datos de carcter personal sern cancelados cuando hayan dejado de ser necesarios para la finalidad para la cual hubieran sido recabados. Esto, adems, se complementa con el derecho de cancelacin de los afectados, que como veremos, permite solicitar a los titulares de los mismos la posibilidad de que se eliminen los datos de los ficheros de datos en los que se encuentren. Ahora bien, cabe sealar que la cancelacin de los datos no ser posible y podrn seguir conservndose esos datos, tal y como se indica en el artculo de la LOPD que nos ocupa, durante el tiempo en que pueda exigirse algn tipo de responsabilidad derivada de una relacin u obligacin jurdica o de la ejecucin de un contrato o de la aplicacin de medidas precontractuales solicitadas por el interesado.
As pues, en este caso, nos encontraramos con la excepcin de que la conservacin de las historias clnicas viene amparado por la Ley 41/2002 de la documentacin clnica, que obliga a conservar las historias clnicas un tiempo mnimo de 5 aos, con lo que no procedera a atender la peticin de eliminacin de los datos de la paciente, pudiendo nicamente proceder al bloqueo de los datos, lo que significa la identificacin y reserva de los mismos con el fin de impedir su tratamiento excepto para su puesta a disposicin de las Administraciones pblicas, Jueces y Tribunales, para la atencin de las posibles responsabilidades nacidas del tratamiento, nicamente durante el plazo impuesto por la Ley, plazo despus del cual los datos han de ser destruidos. En anlogo caso nos encontraramos con, por ejemplo las facturas emitidas por las empresas, cuya conservacin viene obligada por Ley (Ley General Tributaria), igualmente durante al menos 5 aos, al menos a disposicin de la Agencia Tributaria. Artculo 9. L.O.P.D.
1. El responsable del fichero, y, en su caso, el encargado del tratamiento debern adoptar las medidas de ndole tcnica y organizativas necesarias que garanticen la seguridad de los datos de carcter personal y eviten su alteracin, prdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnologa, la naturaleza de los datos almacenados y los riesgos a que estn expuestos, ya provengan de la accin humana o del medio fsico o natural. 2. No se registrarn datos de carcter personal en ficheros que no renan las condiciones que se determinen por va reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas. 3. Reglamentariamente se establecern los requisitos y condiciones que deban reunir los ficheros y las personas que intervengan en el tratamiento de los datos a que se refiere el artculo 7 de esta Ley.
La LOPD exige que el tratamiento de los datos personales se ajuste a unos niveles de seguridad que garanticen la confidencialidad, integridad y disponibilidad dichos datos. Para ello, el Responsable de Seguridad deber de elaborar un Documento de Seguridad en el que se recojan las normas y procedimientos que han de adoptarse para alcanzar estos niveles de seguridad. Las medidas de seguridad a las que hacemos referencia vienen indicadas por el R. D. 1720/2007, por el que se aprueba el Reglamento de Desarrollo de la LOPD, y en el que se engloban las medidas de seguridad de ndole tcnico y organizativo necesarias para garantizar la seguridad de los datos, de obligado cumplimiento por parte del Responsable del Fichero y cuya inobservancia, conllevara sanciones por parte de la APD. A lo largo de las siguientes unidades se irn especificando las medidas de seguridad que habrn de adoptarse en relacin con el tipo de datos que se manejen, sealando que a mayor relevancia de los datos tratados, mayores sern las exigencias en cuanto a los niveles de seguridad. EJERCICIO 1 Los datos personales de un interesado se encuentran en un fichero automatizado, titularidad de la Empresa X, debidamente inscrito en la Agencia de Proteccin de Datos por el responsable del mismo. En el supuesto de denuncia por parte del interesado que sostiene que no fue debidamente informado de que sus datos iban a ser objeto del tratamiento, sobre quien recae la carga?
EJERCICIO 2
La Empresa Y realiza un cuestionario a sus asociados. El cuestionario incluye los siguientes datos de carcter personal: nombre, apellidos, edad, direccin, estado civil y nmero de hijos. Asimismo se contiene en el mismo una serie de preguntas acerca de la calidad y del servicio que ofrecen. En el formulario se ha informado de la existencia de un fichero, de la identidad del responsable del fichero, de la finalidad el mismo, de la obligatoriedad o no de las respuestas a las preguntas planteadas, de la posibilidad de ejercitar sus derechos de acceso, rectificacin, cancelacin y oposicin. La actuacin de la Empresa es conforme a derecho?
EJERCICIO 3
La Empresa Z, contrata a un candidato para cubrir un puesto especfico de la misma. La Empresa recaba del candidato los siguientes datos de carcter personal: nombre y apellidos, sexo, NIF, direccin, telfono, hijos con o sin minusvalas o deficiencias mentales, cnyuge, afiliacin sindical, fecha de alta, departamento, y datos bancarios. La empresa no solicita el consentimiento del trabajador para llevar a cabo el tratamiento de los datos de carcter personal, es correcta esta actuacin?
Descargar Solucin Ejercicios Unidad 2
Cualquier persona, cuyos datos personales figuren en un fichero, cuenta con un conjunto de derechos a su alcance, que podr ejercitar en el caso de no respetarse las garantas establecidas cuando sus tratos sean objeto de tratamiento. En este sentido, todo responsable de ficheros con datos de carcter personal tendr unas obligaciones para garantizar el ejercicio de estos derechos a los afectados. Estos derechos revisten un carcter personalsimo, en la medida que slo pueden ser ejercidos por el afectado o titular de los datos por lo que es necesario acreditar su identidad frente al responsable del fichero. Por otra parte, la Ley configura estos derechos como derechos independientes, de tal forma que no puede entenderse que el ejercicio de ninguno de ellos sea requisito previo para el ejercicio de otro. Los principales derechos que todos los afectados tienen, hacen referencia al acceso, rectificacin, cancelacin de datos y a la oposicin a su tratamiento.
En primer lugar, tal y como hemos visto, siempre que se proceda a la recogida de datos de carcter personal, hay que informar a los interesados de la posibilidad de ejercer los derechos mencionados sobre sus datos personales, debiendo de indicarse los medios que el Responsable ponga a su disposicin para el ejercicio de los mismos (comnmente la direccin del Responsable).
El Responsable deber conceder al interesado un medio sencillo y gratuito para el ejercicio de los derechos, que deber llevarse a cabo mediante comunicacin dirigida al responsable del fichero, que contendr: a) Nombre y apellidos del interesado, fotocopia de su documento nacional de identidad, o de su pasaporte u otro documento vlido que lo identifique y, en su caso, de la persona que lo represente, o instrumentos electrnicos equivalentes. b) Peticin en que se concreta la solicitud. c) Direccin a efectos de notificaciones, fecha y firma del solicitante. d) Documentos acreditativos de la peticin que formula, en su caso.
Debe de resaltarse el hecho de que el medio que se ponga a disposicin de los interesados para el ejercicio de los derechos ha de ser gratuito, no siendo admisible que dichos medios consistan en el envo de cartas certificadas o semejantes, el uso de servicios telefnicos que impliquen una tarificacin adicional al afectado, o cualquier otro medio que implique un gasto al interesado que pretende ejercer sus derechos.
Si la solicitud enviada por el interesado no rene los requisitos establecidos, el Responsable del Fichero deber de dirigirse al mismo para solicitar la subsanacin de los errores en la solicitud.
El responsable del tratamiento deber contestar la solicitud que se le dirija en todo caso, con independencia de que figuren o no datos personales del afectado en sus ficheros. Esto implica que, en el caso de que el Responsable nunca haya dispuesto de los datos del interesado o haya cesado en el uso de los datos que dispona, deber de dirigirse igualmente al solicitante indicndole que no dispone de esos datos, o que ha procedido a la cancelacin de los mismos.
Cuando los afectados ejercitasen sus derechos ante un encargado del tratamiento, el encargado deber dar traslado de la solicitud al responsable, a fin de que por el mismo se resuelva.
En el caso de que la solicitud de los derechos sea ejercitada por parte del interesado sobre una entidad que acta como encargada del tratamiento de esos ficheros (no Responsable), esta deber de dirigirse al Responsable del Fichero para trasladarle la solicitud recibida, a fin de que el mismo la resuelva.
De esto se entiende que como norma general, los derechos de acceso, rectificacin y cancelacin se suelen ejercer por escrito y adjuntando cualquier documento identificativo del afectado. Ahora bien, cuando el Responsable del Fichero dispone de servicios especficos para la atencin al pblico o ejercicio de reclamaciones relacionadas con los servicios o productos prestados y ofertados, podr establecersela posibilidad del ejercicio de dichos deberes a travs de estos medios, debiendo de utilizar algn medio que permita acreditar la identidad del interesado.
- Carcter personalsimo de los derechos Los derechos de acceso, rectificacin, cancelacin y oposicin son personalsimos y sern ejercidos por el afectado.
Lo cual implica que, en principio, slo el afectado, acreditando su identidad mediante fotocopia del DNI o documento equivalente, podr ejercer los derechos sobre sus datos. Ahora bien cuando el afectado se encuentre en situacin de incapacidad, o sea menor de edad, el ejercicio de los derechos podr efectuarse por parte de su representante legal, debiendo este de acreditar tal condicin.
Por otro lado, el ejercicio de los derechos tambin podr realizarse a travs de un representante voluntario, esto es, a travs de un tercero a quien el titular de los datos haya asignado como representante. En estos casos, el representante, a la hora de ejercer los derechos, deber de presentar fotocopia del DNI del representado (o documento equivalente que lo identifique), as como autorizacin por escrito en el que el titular de los datos acredite su condicin.
En el caso de que la solicitud de los derechos sea realizado por una persona diferente al interesado, y no se acredite con claridad que dicha persona acta en su representacin, el Responsable deber de denegar el ejercicio de los derechos.
- Derecho de acceso (art. 15 LORD). Contenido El interesado tendr derecho a solicitar y obtener gratuitamente informacin de sus datos de carcter personal incluidos en ficheros sometidos a tratamiento, conocer el origen de dichos datos, as como las comunicaciones realizadas o que se prevn hacer de los mismos. El ejercicio de este derecho deber facilitarse por parte del responsable del fichero al afectado y no podr imponerse trabas ni requisitos complicados.
Sistemas de consulta Al ejercitar el derecho de acceso, el afectado podr recibir la informacin a travs de una o varios de los siguientes medios:
Visualizacin en pantalla. Escrito, copia o fotocopia remitida por correo, certificada no. Telecopia. Correo electrnico u otros sistemas de comunicaciones electrnicas. Cualquier otro procedimiento que sea adecuado a la configuracin e implantacin material del fichero.
Si el Responsable del fichero ofreciese un procedimiento a para hacer efectivo el derecho de acceso y el afectado exigiese otro procedimiento que implicase un coste desproporcionado, los gastos derivados de la eleccin corrern a cargo del afectado.
Ejercicio
Tiempo: El derecho de acceso slo podr ser ejercitado a intervalos no inferiores a doce meses, salvo que el interesado acredite un inters legtimo, en cuyo caso podrn ejercitarlo antes.
Forma: El afectado deber dirigir una peticin o solicitud al responsable del fichero, por cualquier medio que garantice la identificacin del afectado y en la que conste el fichero o ficheros a consultar. El afectado deber remitir fotocopia de su Documento Nacional de Identidad con la solicitud de acceso, o cualquier otro documento que lo identifique.
Procedimiento El responsable del fichero deber resolver sobre la solicitud de acceso en el plazo mximo de un mes desde la recepcin de la solicitud. En el caso de que el Responsable no disponga de datos del interesado, deber de igualmente dirigirse al mismo, en idntico plazo, para comunicarle la no existencia de datos en sus ficheros.
La informacin se proporcionar de manera clara y (legible e inteligible), sin utilizar claves o cdigos que requieran el uso de dispositivos especficos. La informacin incluir todos los datos del afectado que disponga, as como el uso que se est realizando de los mismos. Se facilitar igualmente cualquier informacin referente al origen de los datos, as como de las cesiones (y los cesionarios) realizadas.
Si la solicitud fuera estimada y en la comunicacin dirigida al afectado admitiendo su solicitud, no se incluya la informacin indicada, esta deber de facilitarse a travs de uno de los medios indicados, en los 10 das siguientes desde la recepcin de la comunicacin.
El Responsable podr denegar el acceso a los datos personales cuando:
La solicitud haya sido formulada por persona distinta del afectado, salvo los supuestos en que proceda la representacin legal. El derecho de acceso se haya ejercitado en un intervalo inferior a doce meses sin acreditarse inters legtimo. Una Ley o norma de derecho comunitario lo prevea o impida al Responsable del Fichero revelar a los afectados el tratamiento que se est realizando de sus datos.
Artculo 15. L.O.P.D. 1. El interesado tendr derecho a solicitar y obtener gratuitamente informacin de sus datos de carcter personal sometidos a tratamiento, el origen de dichos datos, as como las comunicaciones realizadas o que se prevn hacer de los mismos. 2. La informacin podr obtenerse mediante la mera consulta de los datos por medio de su visualizacin, o la indicacin de los datos que son objeto de tratamiento mediante escrito, copia, telecopia o fotocopia, certificada o no, en forma legible e inteligible, sin utilizar claves o cdigos que requieran el uso de dispositivos mecnicos especficos. 3. El derecho de acceso a que se refiere este artculo slo podr ser ejercitado a intervalos no inferiores a doce meses, salvo que el interesado acredite un inters legtimo al efecto, en cuyo caso podr ejercitarlo antes.
Se facilita a continuacin una Plantilla, que se puede encontrar en la pgina web de la Agencia de Proteccin de Datos para ejercitar el derecho de acceso a los datos personales. Los Responsables de los ficheros debern de tener plantillas similares a esta, que permiten un ejercicio de los derechos por parte de las personas de las que manejen datos personales.
Descargar Plantillas Solicitud de Derechos de Acceso
SUPUESTO PRCTICO Se facilita un Informe de la Agencia de Proteccin de Datos, referente a una consulta planteada sobre una solicitud de derecho de acceso en la que se solicita informacin acerca de las personas que hayan podido acceder a los datos personales del solicitante. Esto es, por ejemplo, informacin de los trabajadores de una determinada empresa (Responsable del Fichero) que hayan accedido a dichos datos personales durante el desarrollo de sus funciones en la empresa. Efectivamente, el derecho de acceso a los datos, nicamente obliga al Responsable facilitar informacin sobre qu datos dispone y que uso se est realizando a los mismos, no sobre las personas que han accedido o acceden a los mismos. El facilitar esta informacin, de hecho, supondra incluso una comunicacin de datos personales (en este caso de los propios usuarios o trabajadores de la empresa), que no estara autorizada por la propia Ley.
En el Informe se mencionan, adems, dos aspectos que se vern con ms detenimiento a lo largo del presente curso. En primer lugar, que la obligacin de llevar un registro de los accesos producidos a los ficheros existira nicamente para los ficheros de datos personales de un determinado nivel de seguridad, no siendo exigible para todos los casos, y que el cumplimiento del Artculo 14 de la LOPD implica la notificacin de los ficheros ante la Agencia de Proteccin de Datos, lo cual significa que se debe de indicar ante la Agencia la existencia de un determinado tratamiento de datos por parte de un Responsable, sin que esto implique en ningn caso que haya comunicar directamente los datos personales tratados en s, hecho este que, por desconocimiento de la LOPD, puede generar confusin en ocasiones.
Descargar Alcance de Derecho de Acceso
SUPUESTO PRCTICO Es posible el ejercicio del derecho de acceso a los datos de una persona fallecida por parte de los herederos de la misma?. En este sentido hemos de recordar lo expuesto anteriormente en este curso, en donde se explicaba la no aplicacin de los trminos de la LOPD sobre los datos personales de las personas fallecidas, no amparndoles a estas los derechos derivados de dichas Ley. Sin embargo, se ha sealado que an as existen leyes y normativas (Ley Orgnica 1/1982) que otorgan proteccin frente a las intromisiones que supongan una vulneracin de los derechos al honor y a la intimidad de las personas. Por otro lado, debe de tenerse en cuenta el derecho que todo heredero tiene a conocer la informacin del fallecido directamente relacionada con su propia condicin de heredero, tal y como se indica en el Cdigo Civil. As pues, si bien los datos personales de los fallecidos no entran dentro del mbito de la LOPD, en el supuesto planteado el acceso a los datos de un fallecido por parte de los herederos, vendra autorizado por el derecho a la defensa del honor y la intimidad personal y familiar, as como por el derecho establecido por el Cdigo Civil a todo heredero a conocer los datos necesarios para conocer el estado de determinados bienes de la herencia.
Descargar Derecho de Acceso por Herederos
- Derechos de rectificacin y cancelacin.
Contenido Consisten en la facultad del afectado por la que puede instar al responsable del fichero a cumplir con la obligacin de mantener la exactitud, complitud y adecuacin de los datos. A tal efecto, puede solicitar del responsable la rectificacin o, en su caso, la cancelacin de los mismos. Sin perjuicio de estas facultades, si los datos de carcter personal registrados resultaran ser inexactos, total o parcialmente, o incompletos, sern cancelados y sustituidos de oficio por los correspondientes datos rectificados o completados, si el responsable del fichero conociera de su inexactitud.
La cancelacin de los datos dar lugar a la supresin de los mismos sin perjuicio del deber de bloqueo de los mismos, el cual implica la identificacin y reserva de los mismos con el fin de impedir su tratamiento excepto para su puesta a disposicin de las Administraciones pblicas, Jueces y Tribunales, para la atencin de las posibles responsabilidades nacidas del tratamiento y slo durante el plazo de prescripcin de dichas responsabilidades. Transcurrido ese plazo deber procederse a la supresin de los datos.
Procedimiento La solicitud de rectificacin deber indicar el dato que es errneo y la correccin que debe realizarse, aportando a tal efecto la documentacin justificativa de la rectificacin solicitada. Por su parte, la solicitud de cancelacin indicar si el afectado revoca el consentimiento otorgado, en los casos en que la revocacin proceda, o si se trata de un dato inexacto o errneo, acompaando igualmente la documentacin justificativa.
El Responsable del fichero deber de resolver sobre la solicitud de ambos ficheros dentro de los diez das siguientes a la recepcin de la solicitud, debiendo de tener en cuenta igualmente que, en el caso de que el Responsable del Fichero no disponga de datos personales del afectado, deber igualmente de dirigirse por escrito al titular de los mismos, en el mismo plazo, para comunicarle al solicitante la no existencia de datos personales del mismo en sus ficheros.
En el caso de que los datos personales sobre los que se solicitan los derechos de rectificacin o cancelacin hubieran sido cedidos previamente, el Responsable debe de comunicrselo al cesionario para que ste, en el mismo plazo de diez das proceda a la modificacin o cancelacin de esos datos en sus ficheros.
Podr denegarse el ejercicio de los derechos de acceso, rectificacin y cancelacin, en el supuesto que as lo prevea una Ley o norma de derecho comunitario o cuando la solicitud no cumpla con los requisitos indicados.
Si el responsable del fichero considera que no procede atender la solicitud del afectado, se lo comunicar motivadamente en el plazo de diez das desde su recepcin por un medio fehaciente. Transcurrido este plazo sin contestacin, se entender la solicitud desestimada.
Peculiaridades de la cancelacin. No proceder la cancelacin de los datos cuando sta sea susceptible de causar un perjuicio a los intereses legtimos del propio afectado o de terceros, o cuando los datos deban de ser conservados durante los plazos previstos en las disposiciones aplicables o en las relaciones contractuales entre el Responsable y el interesado.
Para el ejercicio del derecho de cancelacin no es suficiente una marca indicativa ni el mantenimiento de otro fichero alternativo en el que se registren las bajas producidas.
SUPUESTO PRCTICO
En este sentido, en febrero de 2001 la Agencia de Proteccin de Datos sancion a una entidad bancaria por no eliminar de sus listas de morosos el nombre de aquellas personas que ya haban saldado sus deudas. Hasta entonces, su prctica habitual consista en mantener el nombre del deudor durante seis meses, si bien acompaado de la expresin "saldo cero". En virtud de lo establecido en el art. 4.3 de la LOPD, "los datos de carcter personal sern exactos y puestos al da de forma que respondan con veracidad a la situacin actual del afectado". En la medida que es una obligacin que compete, en este caso, a la entidad suministradora del dato al fichero comn, el banco fue sancionado por incurrir en una infraccin grave, segn lo establecido en el art. 44.3. de la LOPD. Veremos ms adelante y con mayor claridad, en temas posteriores, el tratamiento que ha de realizarse de los ficheros de datos sobre solvencia patrimonial (los denominados ficheros de morosos)
Cuando no sea posible la extincin fsica de los datos, por razones tcnicas o por el procedimiento o soporte utilizado, el responsable del fichero proceder al bloqueo de los datos con el fin de impedir su ulterior proceso o utilizacin. Sin embargo, si los datos personales hubieran sido recogidos o registrados por medios ilcitos o fraudulentos, la cancelacin comportar siempre la destruccin del soporte en el que figuran.
Artculo 16. L.O.P.D. 1. El responsable del tratamiento tendr la obligacin de hacer efectivo el derecho de rectificacin o cancelacin del interesado en el plazo de diez das. 2. Sern rectificados o cancelados, en su caso, los datos de carcter personal cuyo tratamiento no se ajuste a lo dispuesto en la presente Ley y, en particular, cuando tales datos resulten inexactos o incompletos. 3. La cancelacin dar lugar al bloqueo de los datos, conservndose nicamente a disposicin de las Administraciones pblicas, Jueces y Tribunales, para la atencin de las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripcin de stas. Cumplido el citado plazo deber procederse a la supresin. 4. Si los datos rectificados o cancelados hubieran sido comunicados previamente, el responsable del tratamiento deber notificar la rectificacin o cancelacin efectuada a quien se hayan comunicado, en el caso de que se mantenga el tratamiento por este ltimo, que deber tambin proceder a la cancelacin. 5. Los datos de carcter personal debern ser conservados durante los plazos previstos en las disposiciones aplicables o, en su caso, en las relaciones contractuales entre la persona o entidad responsable del tratamiento y el interesado.
Descargar Plantilla ejercicio Derecho de Rectificacin
Descargar Plantilla ejercicio Derecho de Cancelacin
SUPUESTO PRCTICO Cmo actuar en caso de que en un hospital se reciba una solicitud de cancelacin por parte de un paciente?.
Como se ha venido sealando a lo largo del presente curso, independientemente de la posibilidad de ejercer los derechos de acceso, rectificacin y cancelacin sobre los datos personales, hay que tener en cuenta que los datos personales debern de ser conservados durante los plazos previstos en las disposiciones aplicables. En el presente caso, nos encontramos con que segn la Ley 41/2002, referente a la conservacin de la historia clnica, se obliga a los centros sanitarios a conservar la documentacin clnica durante un tiempo mnimo de 5 aos, con lo que en este caso no procedera procederse a la cancelacin de los datos. Pasado ese plazo si habra que cumplir con el derecho de cancelacin, procediendo al bloqueo o a la supresin de los datos personales incluidos en la historia clnica.
Descargar Derecho de cancelacin historia clnica
SUPUESTO PRCTICO Puedo solicitar la cancelacin de fotografas de mis hijos, publicadas en la pgina web de su colegio sin haber recabado mi consentimiento?. Efectivamente, y considerando las imgenes como datos de carcter personal, el tratamiento de dichas fotografas, y su posterior comunicacin a terceros (que es lo que implica su publicacin a travs de la pgina web) requerir el consentimiento inequvoco del afectado, o en este caso, al tratarse de menores de edad, de sus padres o tutores legales. Toda vez que, tal y como se indica, este tratamiento de datos se ha realizado sin obtener dicho consentimiento, se podr ejercer el derecho de cancelacin de dichas imgenes, como mecanismo reactivo sobre el tratamiento de las imgenes. En este caso, adems, sera adecuado presentar denuncia ante la Agencia de Proteccin de Datos, al haberse vulnerado artculos bsicos en la LOPD, como son los artculos 5 (derecho de informacin), 6 (consentimiento del afectado) y 11 (comunicacin de datos). Descargar Derecho de Cancelacin imgenes pgina web
Contenido El derecho de oposicin consiste en el derecho del afectado a solicitar que se cese o no se lleve a cabo el tratamiento de sus datos personales en los siguientes supuestos: a) Cuando no sea necesario el consentimiento del titular de los datos para su tratamiento, siempre que una Ley no disponga lo contrario. Recordar que no es preciso el consentimiento del titular de los datos: Cuando los datos de carcter personal se recojan para el ejercicio de las funciones propias de las Administraciones pblicas en el mbito de sus competencias. Cuando se refieran a las partes de un contrato o precontrato de una relacin negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento. Cuando el tratamiento de los datos tenga por finalidad proteger un inters vital del interesado. Cuando los datos figuren en fuentes accesibles al pblico y su tratamiento sea necesario para la satisfaccin del inters legtimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado. b) Cuando se trate de ficheros que tengan por finalidad la realizacin de actividades de publicidad y prospeccin comercial, c) Cuando el tratamiento tenga por finalidad la adopcin de una decisin referida al afectado y basada esta nicamente en un tratamiento de sus datos de carcter personal.
En el supuesto de ejercerse el derecho de oposicin, el responsable del fichero excluir del tratamiento los datos relativos al afectado. El plazo para hacer efectivo el derecho de oposicin, ser de 10 das a contar desde la recepcin de la solicitud. Si el Responsable no dispone de datos personales del solicitante, este deber igualmente de dirigirse al afectado, para comunicarle este aspecto.
En el supuesto de ejercerse el derecho de oposicin, el responsable del fichero excluir del tratamiento los datos relativos al afectado
Descargar Plantilla ejercicio Derecho de Oposicin
SUPUESTO PRCTICO Como Responsable de un Fichero de datos, como debo proceder para contestar ante una solicitud del ejercicio de los derechos de acceso, rectificacin o cancelacin?. Se facilitan a continuacin unas plantillas que pueden utilizarse como modelos para dirigirse a los titulares de los datos en caso de que estos ejerzan sus derechos de acceso, rectificacin y cancelacin.
Descargar Plantilla Contestacin Derecho de Acceso
Descargar Plantilla Contestacin Derecho de Rectificacin/Cancelacin
Caso particular de ficheros de publicidad Los interesados tienen derecho a oponerse al tratamiento de sus datos personales con fines de publicidad, venta a distancia, recopilacin de direcciones y prospeccin comercial, previa peticin y sin gastos. En este caso, sern dados de baja del tratamiento, cancelndose las informaciones que sobre ellos figuren en aqul.
Veremos ms informacin, y con ms de detenimiento, sobre el tratamiento de los datos personales con fines de publicidad o prospeccin comercial en sucesivos temas del presente curso (Unidad 12). - Derecho de impugnacin. El afectado podr impugnar los actos administrativos o decisiones privadas que impliquen una valoracin de su comportamiento cuyo nico fundamento sea un tratamiento de datos de carcter personal que ofrezca una definicin de sus caractersticas o personalidad. Todo afectado podr impugnar aquellas decisiones con efectos jurdicos sobre su persona que hayan sido tomadas con base nica y exclusivamente a datos destinados a evaluar determinados aspectos de su personalidad.
Excepciones a este aspecto son el que este tratamiento se realice en el marco de la celebracin o ejecucin de un contrato a peticin del interesado, o que este tratamiento est autorizado por una norma con rango de Ley.
- Derecho de consulta. Cualquier persona puede acudir al Registro General de Proteccin de Datos para recabar informacin sobre la existencia de tratamientos de datos de carcter personal, sus finalidades y la identidad del responsable del tratamiento. El Registro General de Proteccin de Datos ser de consulta pblica y gratuita. En este Registro queda inscrita una descripcin de los ficheros (finalidad, estructura, identidad del responsable, ubicacin), a efectos de que el afectado pueda ejercer los derechos que la LORD le reconoce. Es el responsable del fichero quien dispone de los datos personales de los afectados y quien debe permitir, previa solicitud adecuada, el acceso a los mismos, su rectificacin o cancelacin.
El Registro General de Proteccin de Datos, se encuentra parta su consulta en la pgina web de la Agencia (www.agpd.es), la cual ser estudiada con detenimiento en unidades sucesivas del presente cursos (Unidad 10), donde se explicar, entre otras cosas, como consultar el contenido de dicho registro.
- Reclamacin frente a la AGPD. Tutela de derechos. El ejercicio de este derecho proceder en los siguientes supuestos:
a) Por cualquier actuacin contraria a lo dispuesto en la LOPD. Por ejemplo, el incumplimiento por parte del responsable del fichero de su obligacin de facilitar determinada informacin al interesado en el momento de la recogida de sus datos de carcter personal; o no notificar al cesionario la rectificacin o cancelacin efectuada cuando los datos hubieran sido cedidos previamente.
a) Por denegacin, total o parcial, del ejercicio de los derechos de oposicin, acceso, rectificacin o cancelacin. La Agencia de Proteccin de Datos o, en su caso, el organismo competente de cada Comunidad Autnoma, deber asegurarse de la procedencia o improcedencia de la denegacin.
Procedimiento:
a) Iniciacin: el procedimiento se iniciar a instancia del afectado o afectados, que debern expresar con claridad el contenido de su reclamacin y los preceptos de la LOPD que se entienden vulnerados.
b) Alegaciones: una vez se reciba la reclamacin, se le dar traslado al responsable del fichero para que formule sus alegaciones en el plazo de 15 das.
Se facilitan a continuacin las plantillas (descargables desde la pgina web de la Agencia) para ejercer ante la Agencia de Proteccin de datos la reclamacin de tutela por denegacin de los ejercicios de acceso, rectificacin, cancelacin y oposicin.
Descargar Plantilla Tutela de Derecho de Acceso Descargar Plantilla Tutela Derecho de Rectificacin Descargar Plantilla Tutela Derecho de Cancelacin Descargar Plantilla Tutela Derecho de Oposicin
c) Resolucin: recibidos las alegaciones e informes, practicadas las pruebas pertinentes y dada audiencia del afectado y del responsable, la Agencia de Proteccin de Datos resolver expresamente en un plazo mximo de seis meses. d) Recurso: contra las resoluciones de la Agencia de Proteccin de Datos proceder recurso contencioso-administrativo.
- Derecho a indemnizacin. Las lesiones que el incumplimiento de lo previsto en la LOPD pueda ocasionar al afectado, en sus bienes o derechos, generan derecho a indemnizacin. Para el ejercicio de este derecho ser necesario acudir a los Tribunales ordinarios.
Para la implantacin de la L.O.P.D. es necesario que la organizacin inscriba en el Registro General de Proteccin de Datos cada uno de los ficheros de datos que utiliza. En cada inscripcin es necesario determinar qu tipo de datos contiene el fichero. (Datos de Carcter Identificativo, datos de circunstancias sociales, acadmicos y profesionales, etc.).
Datos especialmente protegidos:
Ideologa, Afiliacin Sindical, Religin, Creencias, Origen racial o tnico, Salud, Vida sexual Datos de carcter identificativo: DNI / NIF, N SS / Mutualidad, Nombre y Apellidos, Direccin (postal, electrnica), Telfono, Firma / Huella digitalizada, Imagen /Voz, Marcas fsicas, Firma electrnica, Otros (indicar) Datos de caractersticas personales: - Estado civil - Datos de familia - Fecha de nacimiento - Lugar de nacimiento - Edad - Sexo - Nacionalidad - Lengua materna - Caractersticas fsicas antropomtricas - Otros (indicar)
Datos de circunstancias sociales: - Caractersticas de alojamiento, vivienda - Situacin miliar - Propiedades, posesiones - Aficiones y estilos de vida - Pertenencia a clubes, asociaciones - Licencias, permisos, autorizaciones - Otros (indicar)
Datos acadmicos y profesionales: - Formacin, titulaciones - Historial de estudiante - Experiencia Profesional - Pertenencia a colegios o asociaciones - Otros (indicar) Datos de detalle de empleo: - Profesin - Puestos de trabajo - Datos no econmicos de nmina - Historial del trabajador - Otros (indicar) Datos de informacin comercial: - Actividades y negocios - Suscripciones a publicaciones / Medios de comunicacin - Licencias comerciales - Creaciones artsticas, literarias, cientficas o tcnicas. - Otros (indicar)
Datos econmico-financieros y de seguros:
- Ingresos, rentas - Inversiones, Bienes patrimoniales - Crditos, prstamos, avales - Datos bancarios - Planes de pensiones, jubilacin - Datos econmicos de nmina - Datos deducciones impositivas - Seguros - Hipotecas - Subsidios / Beneficios - Historial crditos - Tarjetas de crdito - Otros (indicar) Datos de transacciones: - Bienes y servicios suministrados por el afectado - Transacciones financieras - Bienes y servicios recibidos por el afectado - Compensaciones / Indemnizaciones - Otros (indicar)
PROCEDENCIA DE LOS DATOS Generalmente los datos de carcter personal provienen:
Directamente del interesado o su representante legal La normativa de esta ley establece que para obtener datos de una persona es necesario contar con su consentimiento adems de informarle al respecto de modo expreso, preciso e inequvoco. A travs de terceras personas distintas del interesado o su representante legal Cuando los datos de carcter personal no hayan sido recabados del interesado, ste deber ser informado de forma expresa, precisa e inequvoca, por el responsable del fichero o su representante, dentro de los tres meses siguientes al momento del registro de los datos, salvo que ya hubiera sido informado con anterioridad. De fuentes accesibles al pblico Cuando los datos provengan de estas fuentes y se destinen a la publicidad o la prospeccin comercial, en cada comunicacin que se dirija al interesado se le informar del origen de los datos y de la identidad del responsable del tratamiento, as como de los derechos que le asisten. Son fuentes accesibles al pblico por ejemplo el censo promocional y las guas de servicios de telecomunicaciones. Tambin se puede indicar la procedencia de: - Registros pblicos Administraciones Pblicas - Entidad privada Los datos personales que se recaben de los interesados deben ser adecuados, pertinentes y no excesivos en relacin con el mbito y las finalidades determinadas, explcitas y legtimas para las que hayan sido obtenidos. Adems no podrn ser mantenidos en el fichero por tiempo mayor al necesario para cumplir con la finalidad para la cual se obtuviero, debiendo de ser cancelados por parte del Responsable del Fichero, una vez se haya concluido la finalidad con la que fueron recabados, pudiendo conservarse nicamente durante el tiempo que pueda exigirse algn tipo de responsabilidad derivada de la relacin jurdica o la ejecucin de un contrato. Ejemplo de las finalidades ms frecuentes previstas por la AGPD:
Las finalidades previstas por la Agencia de Proteccin de Datos son las siguientes: Gestin contable, fiscal y administrativa: Gestin de proveedores, Gestin de cobros y pagos, Administracin de fincas, etc. Recursos Humanos: Gestin de nminas, Formacin, Prestaciones sociales, Seleccin de personal, Prevencin de riesgos laborales, etc. Servicios econmico-financieros y de seguros: Cuenta de crdito, gestin de patrimonios, Seguros de vida, Gestin de tarjetas de crdito, etc. Publicidad y prospeccin comercial: Encuestas de opinin, Anlisis de perfiles, Segmentacin de mercados, Venta a distancia, etc. Servicios de telecomunicaciones: Comercio electrnico, Guas / Repertorios de telecomunicaciones, etc. Actividades asociativas, culturales, recreativas, deportivas y sociales: Asistencia social, Gestin de socios de entidades no lucrativas, etc. Educacin: Enseanza infantil, primaria, secundaria, universitaria, especial, etc. Sanidad: Historial clnico, Investigacin epidemiolgica, Gestin y control sanitario, etc. Seguridad: Investigaciones privadas a personas, Seguridad y control de acceso a edificios, etc. Finalidades varias: Fines histricos, cientficos o estadsticos, Reservas y emisin de billetes, fidelizacin de clientes, etc.
EL FLUJO DE LOS DATOS El permanente movimiento de datos personales entre las organizaciones actuales crece de forma vertiginosa. La normativa de la ley distingue 2 figuras distintas para categorizar estos flujos:
Cesin o Comunicacin de datos Toda revelacin de datos realizada por persona distinta del interesado. Este concepto es muy amplio, puesto que revelacin recoge tanto la entrega, comunicacin, consulta, interconexin, transferencia, difusin o cualquier otra forma que facilite el acceso a los datos de un fichero a un tercero, distinto del interesado. La comunicacin o cesin de datos de carcter personal es una de las cuestiones ms conflictivas en orden a la proteccin de la intimidad de las personas, ya que esta cesin posibilita el cruce de datos haciendo posible que sean utilizados para un fin distinto al original. Por eso se hace imprescindible el consentimiento del interesado en la cesin de sus datos personales desde un fichero originario hasta el fichero de un tercero. Articulo 11. L.O.P.D. 1. Los datos de carcter personal objeto del tratamiento slo podrn ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legtimas del cedente y del cesionario con el previo consentimiento del interesado. 2. El consentimiento exigido en el apartado anterior no ser preciso: a) Cuando la cesin est autorizada en una ley. b) Cuando se trate de datos recogidos de fuentes accesibles al pblico. c) Cuando el tratamiento responda a la libre y legtima aceptacin de una relacin jurdica cuyo desarrollo, cumplimiento y control implique necesariamente la conexin de dicho tratamiento con ficheros de terceros. En este caso la comunicacin slo ser legtima en cuanto se limite a la finalidad que la justifique. d) Cuando la comunicacin que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco ser preciso el consentimiento cuando la comunicacin tenga como destinatario a instituciones autonmicas con funciones anlogas al Defensor del Pueblo o al Tribunal de Cuentas. e) Cuando la cesin se produzca entre Administraciones pblicas y tenga por objeto el tratamiento posterior de los datos con fines histricos, estadsticos o cientficos. f) Cuando la cesin de datos de carcter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiolgicos en los trminos establecidos en la legislacin sobre sanidad estatal o autonmica. 3. Ser nulo el consentimiento para la comunicacin de los datos de carcter personal a un tercero, cuando la informacin que se facilite al interesado no le permita conocer la finalidad a que destinarn los datos cuya comunicacin se autoriza o el tipo de actividad de aquel a quien se pretenden comunicar. 4. El consentimiento para la comunicacin de los datos de carcter personal tiene tambin un carcter de revocable. 5. Aquel a quien se comuniquen los datos de carcter personal se obliga, por el solo hecho de la comunicacin, a la observancia de las disposiciones de la presente Ley 6. Si la comunicacin se efecta previo procedimiento de disociacin, no ser aplicable lo establecido en los apartados anteriores
Los requisitos que se deben cumplir para realizar cesiones o comunicaciones de datos son los siguientes:
Slo ser posible la comunicacin de los datos para el cumplimiento de fines directamente relacionados con las funciones de cedente y cesionario. Este es el principal punto de inters, puesto que la ley pretende evitar que se realicen cesiones por cualquier motivo o que tengan poco que ver con el mbito de las funciones, atribuciones o competencias de la empresa cedente y la empresa cesionaria.
SUPUESTO PRCTICO Si una empresa se dedica a prestar servicios contables y financieros no podra ceder los datos de sus clientes a otra empresa que se dedicase a la venta de automviles. Siempre debe existir una relacin entre las actividades y fines de la comunicacin de las empresas cedente y cesionaria.
El previo consentimiento informado del interesado; es decir, que antes de proceder a la cesin es necesario recabar el consentimiento expreso del afectado para realizar la cesin de sus datos, informndole de: o Identificacin, actividad y direccin del cesionario. o Finalidad a la cual se destinarn los datos cedidos.
Adems, el art.27 de la LOPD referente a la comunicacin de la cesin de datos en los ficheros de titularidad privada, establece la obligacin al cedente responsable del fichero a informar a los afectados, en el momento en que se efecte la cesin de los datos al cesionario, de: La identidad y direccin del cesionario, La naturaleza de los datos cedidos, La finalidad del fichero.
Con esta comunicacin la Ley pretende que se informe al interesado del momento en que se produce efectivamente la cesin de sus datos, pudiendo contrastar de esa forma que se han cumplido los requisitos, finalidad, tipologa de datos cedidos, etc, a la que l, el interesado, previamente haba dado su consentimiento.
No ser necesario proporcionar esta informacin al interesado cuando resulte imposible o exija esfuerzos desproporcionados a criterio de la Agencia Espaola de Proteccin de Datos, en consideracin al nmero de interesados, a la antigedad de los datos y a las posibles medidas compensatorias.
SUPUESTO PRCTICO Modelo de Clusula de Recogida de Datos del Interesado con posterior cesin de datos:
RECOGIDA DE DATOS PERSONALES CON CESIN
A los efectos previstos en la Ley Orgnica 15/1999, de 13 de diciembre, sobre Proteccin de Datos de Carcter Personal, se le informa que los datos personales proporcionados se incorporarn (o actualizarn) a los ficheros de EMPRESA, con direccin en DIRECCIN.
Los datos personales solicitados en este documento son de carcter obligatorio, por lo que su no cumplimentacin supone la imposibilidad de su inclusin en los ficheros antes descritos y de cumplir con la finalidad de realizar los servicios contratados de DESCRIPCIN DEL SERVICIO, y su posterior comunicacin OTRA EMPRESA con direccin en DIRECCIN, para MOTIVO POR EL CUAL SE CEDEN LOS DATOS. En cumplimiento de la normativa en vigor sobre proteccin de datos y comercio electrnico, marque con una cruz en el caso de que no autorice el tratamiento y cesin de sus datos de carcter personal: ___ (cruz).
Ud. Tiene derecho al acceso, rectificacin, cancelacin y oposicin en los trmino previsto en la Ley, que podr ejercitar mediante escrito dirigido al (a los) responsable(s) de los mismos, en las direcciones anteriormente indicadas.
El consentimiento previo del interesado no es necesario para la cesin de los datos en los siguientes casos:
La LOPD establece supuestos tasados en los que no ser preceptivo informar y recabar el consentimiento previo de los interesados para ceder los datos. Estos supuestos son: Cuando la cesin est autorizada por una Ley. Supuestos en los que estn permitidas las cesiones de datos como en la Ley General Tributaria y en la Ley de Enjuiciamiento Civil. Cuando se trate de datos recogidos de fuentes accesibles al pblico, siempre que el tratamiento de los datos sea necesario para la satisfaccin del inters legtimo perseguido por el cedente o por el cesionario y se respeten los derechos de los interesados.
SUPUESTO PRCTICO Dentro de este caso encontramos los casos de venta de bases de datos; bases de datos que se adquieren a empresas especializadas, principalmente para realizar acciones de publicidad o prospeccin comercial, que han obtenido los datos de fuentes accesibles al pblico. El cesionario que utilice estas bases de datos para acciones de publicidad y prospeccin comercial deber informar al interesado, en cada comunicacin que le realice, del origen de los datos y de la identidad del cesionario, as como los derechos que le asisten.
Cuando el tratamiento responda a la libre y legtima aceptacin de una relacin jurdica cuyo desarrollo, cumplimiento y control implique necesariamente conexin de dicho tratamiento con ficheros de terceros. En este caso la comunicacin slo ser legtima en cuanto se limite a la finalidad que la justifique. Cuando la comunicacin que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco ser preciso el consentimiento cuando la comunicacin tenga como destinatario a instituciones autonmicas con funciones anlogas al Defensor del Pueblo o al Tribunal de Cuentas. Cuando la cesin se produzca entre Administraciones Pblicas y tenga por objeto el tratamiento posterior de los datos con fines histricos, estadsticos y cientficos. Adems, no se permiten por ley las cesiones de datos entre distintas Administraciones Pblicas para el ejercicio de competencias diferentes o para fines distintos a los que motivaron la recogida de los datos. Cuando la cesin de datos de carcter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiolgicos en los trminos establecidos en la legislacin sobre sanidad estatal o autonmica.
Transferencias Internacionales Surgen cuando los datos de carcter personal de una organizacin son transferidos a otros pases. Se suele dar en los mbitos de la economa y en los sectores bancarios y de seguros, telecomunicaciones y comercio electrnico. La LOPD prohbe las transferencias internacionales a pases sin un nivel de seguridad equiparable al espaol, salvo autorizacin del Director de la Agencia de Proteccin de Datos. Sin embargo el art. 34 de la LOPD establece una serie de excepciones a la citada afirmacin.
Requisitos para las transferencias Internacionales de datos
El artculo 33 de la LOPD establece que no se podrn realizar Transferencias Internacionales de Datos con destino a pases que no proporcionen un nivel de proteccin equiparable al establecido en la LOPD, sin la previa autorizacin del Director de la Agencia de Proteccin de Datos.
En principio, los requisitos generales necesarios para poder realizar la Transferencia Internacional de Datos son los siguientes: Cumplimiento del deber de informacin y de las obligaciones establecidas por la ley para la cesin de datos (previo consentimiento informado de la cesin, informar a los sujetos sobre la transferencia internacional de datos, tipologa de los datos ceditos, finalidad del fichero y la identidad del destinatario) o para el acceso a datos por cuenta de terceros (contrato de acceso a datos). Notificacin de la Transferencia Internacional de Datos a la Agencia Espaola de Proteccin de Datos, indicando el pas de destino y, en su caso, el supuesto al que se acoge de las excepciones establecidas en el art.34 de la LOPD para que no sea necesaria la autorizacin previa del Director de la Agencia Espaola de Proteccin de Datos.
Una vez notificada la Transferencia Internacional, la AEPD podr solicitar al Responsable del Fichero que aporte documentacin complementaria para autorizar dicha Transferencia; principalmente, en relacin con el cumplimiento del deber de informacin, consentimiento de los interesados, existencia de clusulas contractuales tipo para la cesin y/o acceso por cuenta de terceros, finalidades de la transferencia, etc El artculo 34 establece las excepciones a los supuestos en los que no ser necesaria la previa autorizacin del Director de la Agencia para la Transferencia Internacional de Datos. Los supuestos ms habituales son los establecidos en las letras e (consentimiento inequvoco del afectado), f (contratos y precontratos entre el afectado y el responsable del fichero) y k (transferencia con destino a Estados miembros de la UE y Estados no comunitarios que tengan nivel de proteccin equivalente). Las excepciones son las siguientes: Cuando la transferencia internacional de datos de carcter personal resulte de la aplicacin de los tratados o convenios en los que sea parte Espaa. Cuando la transferencia se haga a efectos de prestar o solicitar auxilio judicial internacional. Cuando la transferencia sea necesaria para la prevencin o para el diagnsticos mdicos, la prestacin de asistencia o tratamientos mdicos o la gestin de servicios sanitarios. Cuando se refiera a transferencias dinerarias conforme a su legislacin especfica. Cuando el afectado haya dado su consentimiento inequvoco a la transferencia prevista. Este consentimiento debe ser previo, inequvoco e informado. Cuando la transferencia sea necesaria para la ejecucin de un contrato entre el afectado y el responsable del fichero o para la adopcin de medidas precontractuales adoptadas a peticin del afectado. Cuando la transferencia sea necesaria para la celebracin o ejecucin de un contrato celebrado o por celebrar, en inters del afectado, por el responsable del fichero y un tercero. Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un inters pblico. Tendr esta consideracin la transferencia solicitada por una Administracin fiscal o aduanera para el cumplimiento de sus competencias. Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial. Cuando la transferencia se efecte, a peticin de persona con inters legtimo, desde un Registro Pblico y aquella sea acorde con la finalidad del mismo. Cuando la transferencia tenga como destino un Estado miembro de la Unin Europea, o un Estado respecto del cual la Comisin de las Comunidades Europeas, en el ejercicio de sus competencias, haya declarado que garantiza un nivel de proteccin adecuado.
A continuacin se detallan los requisitos para la Transferencia Internacional de Datos con destino a Estados no comunitarios sin nivel de proteccin de los datos equivalente al establecido en la LOPD y que no se puedan acoger a las excepciones previstas en el art.34 Ser preceptiva la Autorizacin del Director de la Agencia antes de proceder a la realizacin de la Transferencia. Esta autorizacin tiene por finalidad determinar si se prestan garantas adecuadas para el tratamiento de los datos, tomando en consideracin para otorgarla o denegarla los siguientes criterios: o Naturaleza de los datos. o Finalidad y duracin del tratamiento previsto. o Estado de origen y destino de la transferencia. o Normas legales vigentes en el Estado destino. o Informes de la Comisin Europea, o Normas profesionales y medidas de seguridad en vigor en el Estado de destino. o Cumplimiento de la LOPD por parte del Responsable del Fichero que quiere realizar la transferencia. Para los supuestos de cesin de datos: Cumplimiento del deber de informacin (informar a los afectados sobre la identidad del destinatario de los datos, finalidad del tratamiento que justifica la transferencia y tipologa de datos cedidos). Aportar contrato escrito, celebrado entre transmitente y destinatario en el que consten los siguientes extremos: -Que el transmitente ha cumplido con las normas establecidas en la LOPD en cuanto a la recogida, tratamiento e inscripcin del fichero. -Que el destinatario utilizar los datos exclusivamente para la finalidad que motiva la transferencia y el tratamiento de los mismos se realizar de conformidad con lo dispuesto en la LOPD, comprometindose adems a no ceder los datos a terceros. -Que el destinatario se compromete a la adopcin de las medidas de seguridad establecidas en la legislacin espaola. -Se establecer la responsabilidad solidaria de transmitente y destinatario frente a los afectados, AEPD y rganos jurisdiccionales cuando el incumplimiento del contrato por el destinatario suponga una infraccin establecida en la LOPD. -Se garantizar el ejercicio de los derechos de acceso, rectificacin, cancelacin y oposicin por parte del afectado, quien podr solicitar la tutela de la AEPD. -Compromiso del destinatario de autorizar el acceso a las instalaciones donde se realice el tratamiento de los datos a la Agencia Espaola de Proteccin de Datos. -El destinatario se obligar a que, una vez cumplida la finalidad del tratamiento, se proceder a la destruccin de los datos o, en su caso, a la devolucin de los mismos al transmitente. -Por ltimo, se dispondr que los afectados podrn solicitar el cumplimiento de lo dispuesto en el contrato que les sea favorable.
SUPUESTO PRCTICO Cules son los casos ms habituales en los que se producen Transferencias Internacionales de Datos? - Supuestos de Transferencia Internacional de Datos en el acceso a datos por cuenta de terceros; por ejemplo, en el caso de una pgina Web que recoge datos de carcter personal y los almacena, con la finalidad de proporcionar a los usuarios registrados acceso a funcionalidades especficas, contenidos, reas de descarga, etc.., y que se encuentra alojadas en un Servidor con ubicacin fsica de fuera del territorio nacional. - Supuestos de Transferencia Internacional de Datos por cesin o comunicacin de datos; por ejemplo, el caso de una empresa que transfiere los datos de carcter personal de sus ficheros de clientes, proveedores, trabajadores, etc.. a su Empresa central con domicilio fuera de Espaa, por motivos de centralizacin de informacin, gestin de recursos, etc Es necesario tener en cuenta para poder delimitar las obligaciones que se imponen por la ley el pas de destino de la Transferencia Internacional de Datos, a efectos de recabar o no la autorizacin previa del Director de la Agencia Espaola de Proteccin de Datos: - Estados Miembros de la Unin Europea, - Estados no comunitarios que ofrecen un nivel de proteccin y regulacin legal similar al establecido por la LOPD y la Directiva, o - Estados no comunitarios que no ofrecen nivel de proteccin y regulacin legal al establecido por la LOPD y la Directiva.
PRINCIPALES FICHEROS EN EL MBITO EMPRESARIAL La implantacin de la L.O.P.D. en una Empresa est delimitada por los ficheros existentes en la misma. Los ficheros ms frecuentemente usados son los siguientes:
Fichero de Clientes Incluye los datos personales de los clientes de la organizacin. La finalidad del mismo radica en la llevanza de la gestin integral de quienes mantienen relaciones comerciales con la organizacin. Fichero de Proveedores Contiene los datos de los proveedores de la entidad, necesarios para la gestin de los mismos y la facturacin y la contabilidad de la entidad. Fichero de Contabilidad y declaraciones a la Hacienda Pblica Su finalidad es el seguimiento, control, centralizacin y gestin de las cuentas y cumplimiento de las obligaciones tributarias de la organizacin. Fichero de Marketing La finalidad del mismo es la realizacin de las campaas y promociones publicitarias. Fichero de Bolsa Empleo Suele tener como finalidad el archivo, anlisis, evaluacin e histrico de los currculos de vida de los candidatos a trabajar en una organizacin. Fichero de gestin de personal La finalidad de este fichero es llevar un registro, control y seguimiento de los datos del personal (trabajadores y directivos) de la organizacin.
NIVELES DE FICHEROS A partir de los datos contenidos en los ficheros de una empresa se establecer el nivel de medidas de seguridad aplicables. Estas medidas de seguridad tienen un carcter acumulativo. Por tanto, todos los ficheros deben adoptar como mnimo las medidas de seguridad del nivel bsico. A continuacin se presentan cada uno de los niveles de seguridad:
Nivel Bsico Son de este nivel todos los ficheros con datos de carcter personal y tienen que adoptar las medidas de nivel bsico.
Nivel Medio Se considerarn ficheros de nivel medio, y, por lo tanto, debern de tenerse en cuenta las medidas de seguridad correspondientes los siguientes ficheros de datos personales: - Los relativos a la comisin de infracciones administrativas o penales. - Aquellos de los que sean responsables las Administraciones tributarias y se relacionen con el ejercicio de sus potestades tributarias. - Aqullos de los que sean responsables las entidades financieras para finalidades relacionadas con la prestacin de servicios financieros. - Aqullos de los que sean responsables las Entidades Gestoras y Servicios Comunes de la Seguridad Social as como las mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social. - Aqullos que contengan un conjunto de datos de carcter personal que ofrezcan una definicin de la personalidad del individuo.
SUPUESTO PRCTICO
En el caso de que se disponga del dato del nmero de tarjeta de crdito o el nmero de la cuenta bancaria de un cliente, tienen estos datos la consideracin de datos de carcter personal financiero? El hecho de disponer del nmero de tarjeta de crdito o el nmero de cuenta bancaria no se consideran datos financieros.
Nivel Alto Se considerarn ficheros de nivel alto, aquellos ficheros que:
- se refieran a datos de ideologa, afiliacin sindical, religin, creencias, origen racial, salud o vida sexual. - los que contengan datos recabados para fines policiales sin consentimiento de las personas afectadas. - contengan datos derivados de actos de violencia de gnero. - los ficheros de los que sean responsables los operadores que presten servicios de comunicaciones electrnicas disponibles al pblico respecto a los datos de trfico y a los datos de localizacin.
Excepciones Ser suficiente con implantar las medidas de seguridad de nivel bsico para los ficheros de datos de ideologa, afiliacin sindical, religin, creencias, origen racial, salud o vida sexual, siempre y cuando se utilicen con con la nica finalidad de realizar una transferencia dineraria a las entidades de las que los afectados sean asociados o miembros.
Del mismo modo, bastar la implantacin de las medidas de seguridad de nivel bsico en el caso de los ficheros o tratamientos que contengan datos relativos a la salud, referentes exclusivamente al grado de discapacidad o la simple declaracin de la condicin de discapacidad o invalidez del afectado, con motivo del cumplimiento de deberes pblicos.
EJERCICIO 1
Uno de los ficheros de la Empresa X contiene los siguientes datos de carcter personal: nombre y apellidos, departamento, NIF, datos de estado civil, fecha de nacimiento, datos bancarios, sexo, lengua, direccin, telfono, nmero de hijos, fecha de alta / baja en la empresa. En orden a la tipologa de datos establecida en la Agencia de Proteccin de Datos, cul ser su clasificacin?
EJERCICIO 2 Una empresa ha identificado dentro de su sistema de informacin, los siguientes ficheros con datos de carcter personal: - Un fichero creado mediante un procesador de textos en el que se registran, por orden cronolgico, cada uno de los puestos de trabajo que se hayan cubierto a travs de la mediacin de la agencia. - Varios ficheros con datos de carcter personal que eran utilizados como recursos de un antiguo programa de gestin de candidatos, que se ha desinstalado del sistema. - Un fichero que se remite mensualmente a una entidad aseguradora, que contiene una relacin de los empleados a fin de gestionar los seguros contra accidentes laborales. En el mismo constan, entre otros, los datos de las revisiones mdicas a las que cada candidato debe someterse. Qu finalidad tiene cada fichero?
EJERCICIO 3
La Empresa Z posee los datos relativos a la prevencin de riesgos laborales de sus empleados en ficheros automatizados de exclusivo uso interno y acceso restringido .Se le plantean dos cuestiones tiene que notificar los ficheros a la Agencia de Proteccin de Datos? Y es preciso obtener el consentimiento expreso de las personas cuyos datos son objeto de tratamiento?
Descargar Solucin Ejercicios Unidad 4
La organizacin deber garantizar la proteccin de los datos personales de los trabajadores mediante el cumplimiento de la LOPD y el R.D. 1720/2007, y la adopcin de las medidas tcnicas y organizativas de forma que se impida su prdida, acceso, utilizacin, modificacin o comunicacin no autorizados. Las medidas de seguridad exigibles a los ficheros que contienen datos de carcter personal se clasifican en los tres niveles: bsico, medio y alto. Los citados niveles de seguridad se establecen atendiendo a la naturaleza de la informacin tratada en relacin con la mayor menor necesidad de garantizar la confidencialidad, integridad y disponibilidad de la informacin. El REAL DECRETO 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgnica 15/1999, de 13 de diciembre, de proteccin de datos de carcter personal, establece las medidas de seguridad a adoptar para los ficheros de datos personales automatizados (datos almacenados en soporte informtico) y los ficheros no automatizados (datos almacenados en soporte papel).
PRINCIPALES MEDIDAS DE SEGURIDAD
Control de Accesos Los empleados de la empresa tendrn acceso nicamente a aquellos recursos que precisen para el desarrollo de sus funciones. Deber de existir una relacin actualizada de usuarios y perfiles de usuarios, y los accesos autorizados para cada uno de ellos. Identificadores de usuario y contraseas
Todos los usuarios que tengan acceso autorizado al sistema de informacin debern tener asignados un nombre de usuario y una contrasea, que son personales, intransferibles y confidenciales.
Gestin de soportes
Todo soporte informtico que contenga datos personales deber permitir, respecto a los mismos, lo siguiente: Identificacin. Los soportes que se utilicen deben estar claramente identificados. Inventariado. El Reglamento de Desarrollo de la LOPD exige que los soportes estn recogidos en un inventario y que sea el responsable del fichero quin decida el medio que estime ms adecuado. Almacenamiento. Los soportes de datos deben ser guardados en lugares seguros. Destruccin. Habr que eliminar siempre los datos personales de los soportes que se desechen o reutilicen.
Envo de datos por correo electrnico
El correo electrnico permite enviar datos personales al exterior con facilidad, por ello habr que tomar medidas de seguridad para protegerlos tal como la ley exige. Algunas de las medidas de seguridad a adoptar son: Enviar nicamente los datos que sean estrictamente necesarios, eliminando los campos que no sean indispensables. Inventariado. El Reglamento de Desarrollo de la LOPD exige que los soportes estn recogidos en un inventario y que sea el responsable del fichero quin decida el medio que estime ms adecuado. Cuando los DATOS PERSONALES DE NIVEL ALTO, es decir, datos especialmente protegidos en la L.O.P.D. tales como los relativos a la salud, el sexo, las creencias religiosas etc. tengan que ser enviados por correo electrnico (en general cuando viajan por redes telemticas) deben cifrarse para que evitar que espas intermedios puedan acceder a los mismo
Uso del sistema informtico
Cada empresa deber tener un documento de seguridad que recoja la normativa interna de proteccin de datos de carcter personal incluyendo al menos las exigencias legales establecidas en el Reglamento de Desarrollo de la LOPD. Respecto al uso del sistema informtico estas son algunos ejemplos de medidas mnimas a adoptar: Se prohbe la instalacin de cualquier programa o producto informtico en el sistema sin la autorizacin del responsable de seguridad. No se permite la utilizacin de recursos informticos de la empresa para fines privados o diferentes a los estrictamente laborales. Se prohbe utilizar cualquier informacin que se haya obtenido por la condicin de empleado de la empresa con cualquier fin que no est directamente relacionado con su funcin laboral. Como norma general no descargar programas de Internet pueden contener virus. Disponer de un sistema antivirus actualizado.
SUPUESTO PRCTICO
Una empresa tiene una aplicacin de gestin de alumnos para la cul en cada ficha del alumno aparece un campo denominado observaciones. A la hora de realizar anotaciones en este campo de texto libre ser necesario tener presente lo siguiente: Recordar que no se pueden introducir datos en un fichero que: Tengan un nivel superior al declarado para el fichero, por ejemplo, introducir datos de enfermedades en un fichero de nivel bsico. No sean adecuados a la finalidad del fichero, por ejemplo, introducir datos sobre la apariencia fsica de una persona en un fichero de clientes. En general, no introducir datos despectivos, insultantes o sobre la personalidad del individuo. El usuario es el nico que puede controlar qu tipo de datos se introduce y, por tanto, el mximo responsable.
MEDIDAS DE SEGURIDAD POR NIVELES
NIVEL BSICO Documento de Seguridad Rgimen de funciones y obligaciones del personal Registro de incidencias Identificacin y autenticacin de usuarios Control de acceso Gestin de soportes y documentos Copias de respaldo y recuperacin
Descargar Medidas de Nivel Bsico (RLOPD 1720/200/) NIVEL MEDIO Medidas de seguridad del nivel bsico Responsable de Seguridad Controles peridicos de verificacin Auditora bianual Medidas adicionales de identificacin y autenticacin Control de acceso fsico Medidas adicionales de gestin de soportes Registro de incidencias Pruebas con o sin datos reales Descargar medidas automatizadas nivel medio (RLOPD 1720/2007) NIVEL ALTO Medidas de seguridad de nivel bsico y medio Seguridad en la distribucin de soportes Registro de accesos Medidas adicionales para copias de respaldo Cifrado de telecomunicaciones
Descargar Medidas de nivel Alto (RLOPD 1720/2007)
SUPUESTO PRCTICOS Cmo se podra implementar la Medida de Seguridad de Nivel Alto (Registro de Accesos) en una organizacin? Los registros de acceso se almacenan en ficheros auxiliares de seguimiento (comnmente denominados logs), que incluyen al menos la identificacin del usuario, la fecha y la hora de acceso, operacin realizada, registros accedidos y toda otra informacin que permita identificar la informacin tratada, as como cualquier incidencia de restriccin de acceso que se produzca. Los mecanismos que permiten el registro de datos detallado estarn bajo el control directo del responsable de seguridad, durante un periodo mnimo de dos aos. Los responsable de seguridad se encargar de revisar peridicamente (al menos una vez al mes) la informacin de control registrada, elaborando un informe de dicha revisin y los problemas detectados.
No ser necesario el registro de accesos en el caso de que el responsable del fichero tratamiento sea una persona fsica y garantice que nicamente l tiene acceso y trata los datos personales.
Se elaborarn y mantendrn los siguientes registros en relacin a los logs de acceso: Logs de acceso (Se deber comprobar su existencia, as como si el contenido se adecua al procedimiento establecido y al RLOPD) Informe de revisin de logs (Se deber evidenciar la existencia de las comprobaciones mensuales, a travs de los registros generados)
Cules son las medidas habituales para poder transmitir datos personales de nivel alto a travs de telecomunicaciones?
Las medidas habituales consisten en la existencia de redes VPN (IPSCE SSL), que garantizan la confidencialidad de la informacin transmitida normalmente mediante protocolos seguros, as como otras tecnologas para la securizacin de los accesos va Web a las aplicaciones de intranet Internet. Otras opciones consisten en el cifrado de origen a extremo llevado a cabo por los propios usuarios mediante el uso de software especfico, certificados digitales, etc.
Una empresa desea controlar mediante un procedimiento el cumplimiento de las medidas de seguridad de acceso fsico (nivel medio), principalmente el registro de acceso a los Servidores (salas dnde se encuentran los ficheros de carcter personal) A continuacin se muestra un ejemplo de Procedimiento. Los centros y locales tienen una gran importancia en orden a asegurar la confidencialidad, integridad y disponibilidad de la informacin de los sistemas y ficheros. Para ejercer este control de acceso fsico, el responsable de seguridad elaborar y mantendr actualizado un registro de accesos para el personal interno y externo, velando especialmente por la permanencia en las dependencias de la empresa fuera del horario establecido, as como para toda persona ajena al mbito laboral de la organizacin.
El acceso fsico a las salas ubicaciones donde se encuentran los ficheros estar restringido a: - Personal de la organizacin autorizado. - Terceras personas acompaadas y supervisadas por los empleados, siempre que cuenten con una autorizacin del responsable de seguridad. - Miembros del departamento de informtica, autorizados por el responsable de seguridad para realizar labores de mantenimiento. El responsable de seguridad verificar que todos los sistemas y medios de seguridad funcionan correctamente, resolviendo las posibles deficiencias e incidentes que pudieran detectarse. Para esa finalidad, se pueden implantar sistemas de control de acceso y/o presencia. El control de presencia es una herramienta que gestiona el control horario de acceso a las reas comunes de la empresa. Adems, el control de acceso trata de limitar el acceso a las zonas protegidas, como el centro de proceso de datos (CPD). El acceso de cualquier otra persona al CPD debe tener carcter excepcional y debe ser autorizado por el responsable de seguridad.
Para el control de acceso fsico, debern elaborarse y mantenerse los siguientes registros:
Listado de autorizaciones: Se podr comprobar la lista del personal autorizado por el responsable de seguridad. Registro de entrada: Se evidenciar el registro de entrada a las salas dnde se ubiquen los ficheros, cuando dichas personas no estn autorizadas previamente en el Documento de Seguridad. PRINCIPALES MEDIDAS DE SEGURIDAD Control de accesos
Al igual que ocurre con los ficheros automatizados, deber de asegurarse que los empleados de la empresa tendrn acceso nicamente a aquellos recursos que precisen para el desarrollo de sus funciones. Deber de existir una relacin actualizada de usuarios y perfiles de usuarios, y los accesos autorizados para cada uno de ellos. Criterios de archivo Los documentos que contengan datos personales, debern de ser archivados de manera que se permita la correcta conservacin de los documentos, la localizacin y consulta de la informacin y la posibilidad del ejercicio de los derechos de oposicin al tratamiento, acceso, rectificacin y cancelacin. El archivo de los soportes y documentos se realizar de acuerdo con los criterios previstos en su respectiva legislacin. En los casos en los que no exista norma aplicable, el responsable del fichero establecer los criterios y procedimientos de actuacin que deban seguirse para el archivo. Se deber mantener registro y evidencia de los documentos archivados, as como de los mecanismos de acceso a la documentacin de forma eficaz.
Almacenamiento de la informacin Los dispositivos de almacenamiento de los documentos debern de disponer de mecanismos que obstaculicen su apertura. En el caso de los documentos que contengan datos personales de nivel ALTO, los armarios o archivadores donde sean almacenados debern de encontrarse en zonas cerradas con llave, que debern de permanecer cerradas cuando no sea preciso el acceso a los documentos. Del mismo modo, el acceso a los documentos de nivel ALTO se limitar exclusivamente al personal autorizado, debiendo de establecerse mecanismos que permitan identificar los accesos realizados a los documentos. Si no fuera posible cumplir lo establecido, el responsable adoptar medidas alternativas que debern incluirse en el Documento de Seguridad, junto a la justificacin de su aplicacin frente a las medidas establecidas en el RLOPD.
Gestin de soportes o documentos Siempre que los documentos con datos personales no estn archivados, la persona que est utilizando el documento, deber de custodiarla e impedir el acceso a dicho documento por parte de usuarios no autorizados.
Estas situaciones suponen un riesgo alto de acceso no autorizado a los documentos, y por ello se recomienda tener en cuenta las siguientes recomendaciones:
- La informacin sensible en papel en otros soportes debe almacenarse de manera protegida, especialmente cuando se abandona el puesto de trabajo. - Los puntos de correo, envo de fax, fotocopiadoras, escner, deben de estar protegidos para evitar un uso no autorizado. - Se deben recoger los documentos impresos enviados por fax confidenciales y con informacin personal inmediatamente. Por otro lado, siempre que se proceda al traslado fsico de los documentos que contengan datos personales de nivel ALTO, debern de adoptarse las medidas que impidan el acceso por parte de usuarios no autorizados a la informacin trasladada.
Copia o reproduccin Las copias o reproducciones (fotocopias o impresos) de los documentos que contengan datos de carcter personal de nivel ALTO, slo podrn ser realizadas por parte de personal autorizado, y han de ser destruidas una vez desechadas, de manera que se impida el acceso a la informacin por parte de personal no autorizado.
NIVEL BSICO Documento de Seguridad Rgimen de funciones y obligaciones del personal Criterios de archivo Dispositivos de almacenamiento Custodia de los soportes
Descargar Medidas de nivel Bsico (RLOPD 1720/2007)
NIVEL MEDIO Medidas de seguridad del nivel bsico Responsable de Seguridad Controles peridicos de verificacin Auditora bianual
Descargar Medidas de nivel Medio (RLOPD 1720/2007) NIVEL ALTO Medidas de seguridad de nivel bsico y medio Criterios de copia o reproduccin Almacenamiento de la informacin Traslado de la documentacin Acceso a la documentacin
Descargar Medidas de nivel Alto (RLOPD 1720/2007) CONFIDENCIALIDAD
La confidencialidad o deber de secreto regulado en la L.O.P.D. es una obligacin que incumbe a todos los empleados de la empresa que en el ejercicio de sus funciones tengan acceso a ficheros que estn bajo la responsabilidad de esa organizacin. Algunas de las obligaciones ms importantes son: Debe guardarse secreto profesional respecto a los datos conocidos durante el desempeo de las funciones profesionales, incluso despus de finalizada la relacin laboral. No deben revelarse datos personales a personas distintas del interesado. Slo se debe acceder a los ficheros para los que se tiene autorizacin expresa del responsable. Slo se utilizarn los datos personales con la finalidad que se les ha asignado. No se pueden trasladar ficheros fuera del sistema sin autorizacin del responsable del fichero. Es obligado notificar cualquier disfuncin o incidencia en los sistemas de informacin o en su tratamiento.
PRESTACION DE SERVICIOS SIN ACCESO A DATOS Se deber de adoptar las medidas de seguridad adecuadas para limitar el acceso del personal a datos personales, para la realizacin de trabajos que no impliquen el tratamiento de datos personales, como puede ser el personal de limpieza o de seguridad de la entidad. Cuando se trate de personal ajeno, el contrato de prestacin de servicios recoger expresamente la prohibicin de acceder a los datos personales y la obligacin de secreto respecto a los mismos.
ELABORACIN DE NORMATIVAS INTERNAS La implantacin y la aplicacin de una poltica de proteccin de datos en una empresa exigen la implicacin de todo el personal que participe en el tratamiento de datos. Ser necesario planificar esta implantacin ya que sta conlleva cambios en la infraestructura de sistemas, operaciones y organizacin de la empresa. Y, adems, habr que elaborar normativas de uso interno que debern ser aprendidas y aplicadas por todo el personal. Los principales requisitos que una normativa interna deben reunir son:
Que sea eminentemente prctica a la hora de establecer: - Los principios bsicos. - Las tcnicas a utilizar. - La documentacin que se manejar. - Los objetivos a alcanzar. Consistente y Eficaz. Fcil de transmitir. Clara y Concreta.
FORMACIN Y CONCIENCIACIN En el momento de establecer una adecuada poltica de proteccin de datos en la empresa es muy importante la concienciacin y formacin de los miembros de la empresa. La formacin que se dispense en la organizacin ha de girar fundamentalmente en torno a: Los aspectos jurdicos de la proteccin de datos. Los aspectos tcnicos relacionados con las medidas de seguridad. Medidas de carcter organizativo adoptadas. Las consecuencias negativas de la falta de cumplimiento de la LOPD.
NOTIFICACIN DE INCIDENCIAS Denominamos incidencia a cualquier anomala extraordinaria que afecte o pueda afectar a la seguridad de los datos. Las incidencias deben NOTIFICARSE con la celeridad que aconseje su gravedad al responsable correspondiente.
Ejemplos de Incidencias:
Se ha extraviado un soporte o documento con datos personales Mi contrasea de acceso no es vlida y yo no la he cambiado. Borrado fortuito intencionado de datos de carcter personal.
SUPUESTO PRCTICO A continuacin, presentamos un modelo de procedimiento para el cumplimiento de la gestin de incidencias de la LOPD: Descargar Ejemplo de Procedimiento de Gestin de Incidencias
AUDITORA Para los ficheros de nivel MEDIO en adelante, los sistemas de informacin e instalaciones de tratamiento y almacenamiento de datos se sometern, al menos cada dos aos, a una auditora interna o externa que verifique el cumplimiento de las medidas y controles establecidos por la Ley y su desarrollo reglamentario, as como para identificar las deficiencias en dichas medidas y proponer las medidas correctoras o complementarias necesarias para subsanarlas. Los informes de auditora sern analizados por el responsable de seguridad competente, y quedarn a disposicin de la Agencia Espaola de Proteccin de Datos o, en su caso, de las autoridades de control de las comunidades autnomas. Este tema se detalla en la unidad 7 EL RESPONSABLE DEL FICHERO
El responsable del fichero es el titular del mismo, quin decide los fines y los medios del tratamiento. Es la persona o entidad titular de la organizacin en cuyo marco se realizan las actividades que constituyen el tratamiento. El responsable podr ser tanto una persona fsica como jurdica y algunas de sus funciones principales son: Elaborar e implantar la normativa de seguridad. Adoptar las medidas de ndole tcnica y organizativa necesarias. Adoptar las medidas necesarias para que el personal conozca las normas de seguridad que afecten al desarrollo de sus funciones y las consecuencias en que pudiera incurrir en caso de incumplimiento. Designar al coordinador de seguridad y al administrador del sistema. Garantizar y promover la difusin del documento de seguridad. Actualizar el documento de seguridad adecundolo a las disposiciones vigentes. Establecer los mecanismos para el acceso restringido a los sistemas. Controlar la correcta asignacin de cdigo de usuario y contrasea a todos los usuarios autorizados. Autorizar expresamente la salida de soportes. Verificar la definicin y correcta aplicacin de copias de seguridad. Adoptar las medidas correctoras adecuadas despus del informe de auditora emitido por el responsable de seguridad.
EL RESPONSABLE DE SEGURIDAD
Es la persona designada por el responsable del fichero para coordinar y controlar las medidas de seguridad aplicables. Debe ser una persona con los conocimientos suficientes para llevar a cabo esa funcin, por tanto, debe estar al da en temas tcnico-informticos y tambin en temas jurdicos relativos al documento de seguridad y a la propia normativa. Algunas de sus funciones concretas son: Coordinar la puesta en marcha de las medidas establecidas en la normativa y en el documento de seguridad. Colaborar con el responsable del fichero en la difusin del documento de seguridad y coordinase con ste en el cumplimiento de las medidas de seguridad. Habilitar el libro de incidencias. Analizar las incidencias registradas y tomar las medidas oportunas. Analizar los informes de auditora y elaborar un informe de conclusiones para el responsable del fichero. Controlar directamente los mecanismos de registro de los datos de acceso. Revisar peridicamente la informacin de control registrada y elaborar un informe de las previsiones realizadas y problemas detectados. Autorizar por escrito la ejecucin de los procedimientos de recuperacin.
SUPUESTO PRCTICO A continuacin, presentamos un ejemplo de Nombramiento Formal del responsable de seguridad Fecha Asunto: Nombramiento Responsable de Seguridad
Con fecha de de 20, D es nombrado Responsable de Seguridad de la empresa con dependencia y coordinacin directa de la Direccin para todos los aspectos relativos a temas de seguridad de la informacin de la empresa. Las funciones y responsabilidades de este puesto abarcan toda la seguridad de la informacin de la empresa, incluyendo seguridad informtica, aspectos organizativos, y legislativos (tratamiento de datos personales). Ello incluye garantizar la seguridad de las instalaciones y de los datos en general y velar por el cumplimiento de los principios de la LOPD, estableciendo las medidas necesarias para su cumplimiento. De igual manera todos los profesionales de la sociedad, acreditan el conocimiento y cumplimiento de lo establecido en el Documento de Seguridad, as como de guardar secreto sobre los datos de carcter personal y cualesquiera otras informaciones circunstancias que conociera a las que haya tenido acceso en el ejercicio de las funciones que le hubiesen sido asignadas por la empresa. Las anteriores obligaciones se extienden a cualquier fase del tratamiento de los citados datos y subsistirn an despus de concluidas las funciones en el marco de las cuales ha tenido acceso a los datos concluida su relacin laboral con la sociedad. Todos los profesionales de la empresa deben colaborar con el Responsable de Seguridad en el ejercicio de sus funciones, as como transmitirle cualquier incidente, duda consulta que pueda existir en relacin con el tema. D. Recibido
Director
EL ADMINISTRADOR DEL SISTEMA
El administrador del sistema es el encargado de garantizar a los responsables y usuarios la seguridad de los datos que se procesan en la organizacin. Este rol puede ser desempeado tanto por personal de la empresa como por una persona externa. Habitualmente suelen coincidir los cargos de administrador de sistemas y responsable de seguridad. En cualquier caso, las funciones bsicas del cargo de administrador de sistemas son: Proponer estndares y procedimientos relacionados con la seguridad. Desarrollar los planes de seguridad. Gestionar los perfiles de usuarios de los sistemas informticos y los accesos de cada uno. Controlar y realizar el seguimiento de la seguridad fsica y lgica del entorno informtico. Promover, de acuerdo con el responsable del fichero, la clasificacin de los datos y, en coordinacin con los usuarios, la de las aplicaciones. Dar soporte a los usuarios en materia de seguridad. Evaluar los riesgos. Implantar equipos, dispositivos y paquetes relacionados con la seguridad fsica y lgica. Ofrecer a los usuarios finales los medios para posibilitar la actualizacin de los programas antivirus y canalizar las notificaciones de existencia de virus
EL USUARIO
Los usuarios son todas aquellas personas pertenecientes a una empresa u organizacin que participan en alguna fase del tratamiento de los datos de carcter personal. Entre sus obligaciones fundamentales se encuentran las siguientes: Es responsable de la confidencialidad y custodia de su contrasea No deben revelar nunca sus contraseas ni mantenerlas escritas en lugares visibles de su puesto de trabajo. Son responsables ante la empresa de todas las actividades y accesos que se realicen con su cdigo de usuario. Asimismo es responsable de la custodia y utilizacin del ordenador que le ha sido asignado. En el caso de las impresoras, deber asegurarse que no quedan impresos en la bandeja de salida que contengan datos protegidos. Si el terminal es porttil, deber ser guardado bajo llave o llevarlo consigo. Durante los viajes, no debe facturarse como equipaje en aeropuertos y estaciones. El usuario final es responsable exclusivo de la utilizacin del antivirus y la salvaguarda de los terminales. Ante cualquier incidencia, el usuario es responsable de la comunicacin de la misma al responsable de seguridad. La falta de notificacin de una incidencia conocida por un usuario, ser considerada como falta contra la seguridad de los ficheros. Los usuarios firmarn por escrito que conocen y se comprometen a cumplir las polticas, normas, estndares y procedimientos establecidos en la empresa.
SUPUESTO PRCTICO A continuacin, presentamos un ejemplo de Procedimiento de Organizacin y gestin de responsabilidades LOPD. Las medidas de ndole organizativas afectan en primera instancia a la actividad propia de la empresa y a la asignacin de funciones relacionadas con la seguridad. Por tanto, el responsable del fichero debe asegurar la implantacin de las medidas tcnicas y organizativas en sus sistemas de informacin y delimitar el acceso a los datos de carcter personal mediante asignacin de perfiles entre su personal. Los perfiles a definir son: - Responsable del fichero. - Responsable de seguridad - Administradores de sistemas - Usuarios
Los registros que se deben mantener en cumplimiento con lo exigido en el RLOPD son - Aprobacin y publicacin del Documento de Seguridad: Se indicar evidencia de la publicacin de las normas que afecten a las distintas personas que traten informacin. - Comunicacin del Documento de Seguridad: Se indicar medio y evidencia de la comunicacin sobre la disponibilidad del Documento de Seguridad las normas de aplicacin. - Controles peridicos de verificacin: Se indicar evidencia de las comprobaciones peridicas sobre lo contenido en el Documento de Seguridad. - Nombramiento del Responsable de Seguridad. Se reflejar el nombramiento formal del responsable de seguridad.
SUPUESTO PRCTICO Qu nivel de seguridad ha de aplicarse a un fichero en el que se almacenan los datos necesarios para la tramitacin de becas (en universidades), como pueden ser datos de minusvala o grado de discapacidad? Se adjunta informe de la Agencia de Proteccin de Datos en el que se refleja aclaracin a esta consulta planteada por una determinada universidad. En el mismo se aclara que en este caso, para la tramitacin de becas, sera suficiente con implantar las medidas de seguridad de nivel bsico siempre y cuando los datos referidos a la salud se limiten a la condicin de minusvlido o a su grado de discapacidad, y sean destinados, adems, con para el cumplimiento de deberes pblicos. S se aclara, igualmente, la condicin de fichero de nivel de seguridad alto, si incorporase otros datos de salud, o si incorporasen otro tipo de datos, necesarios para la tramitacin de becas, que puedan ser de nivel alto, como pueden ser los datos referentes a la violencia de gnero.
Descargar Informe datos de nivel alto para tramitacin de becas SUPUESTO PRCTICO Qu nivel de seguridad debe de aplicarse a los ficheros que se incorporen datos estadsticos relativos a los siniestros laborales ocurridos en una empresa, sin referencia a los trabajadores afectados? Conviene recordar en este sentido el concepto de disociacin, segn el cual, siempre que los datos sean almacenados de manera que no se puedan asociar a ninguna persona fsica, no les ser de aplicacin la normativa en materia de proteccin de datos. As pues, si, tal como parece en este caso, este tipo de datos, aunque sean referentes a accidentes o siniestros, siempre y cuando su tratamiento o almacenamiento no pueda asociarse a ninguna persona a travs de datos identificativos asociados, y se limiten a incorporar el tipo y nmero de accidentes, se vern exentos de cumplir con la LOPD y su desarrollo reglamentario.
Descargar Informe siniestralidad sin datos asociados
DEFINICIN
La Agencia de Proteccin de datos es un rgano de control con funciones especficas relativas a la proteccin de datos de carcter personal. La L.O.P.D. la define como ente de derecho pblico, con personalidad jurdica propia y plena capacidad pblica y privada que acta con plena independencia de las Administraciones Pblicas en el ejercicio de sus funciones.
La caracterstica fundamental de la Agencia de Proteccin de Datos es su independencia, es decir, que puede actuar con plena independencia de las Administraciones Pblicas en el ejercicio de sus funciones, relacionndose con el Gobierno a travs del Ministerio de Justicia.
ESTRUCTURA La estructura de la Agencia de Proteccin de Datos est compuesta por: Director es el representante de la Agencia y dicta las resoluciones e instrucciones que requiera el ejercicio de las funciones atribuidas a la Agencia. Consejo Consultivo, rgano colegiado de asesoramiento del Director. Registro General de Proteccin de Datos (R.G.P.D.) Se crea con el de facilitar a los ciudadanos el ejercicio de sus derechos de acceso, cancelacin, rectificacin y oposicin. Para ello el registro le brinda al interesado informacin acerca de: * la existencia del fichero, * la finalidad para la que fue creado y * la identidad del responsable. Tiene carcter pblico y su acceso es gratuito. Inspeccin de Datos Secretara General Estos tres ltimos rganos estn subordinados jerrquicamente al Director de la Agencia.
FUNCIONES
Algunas de las funciones ms importantes de la Agencia de Proteccin de Datos son: Velar por el cumplimiento de la legislacin sobre proteccin de datos y controlar su aplicacin. Dictar las instrucciones precisas para adecuar los tratamientos a los principios de la ley. Atender las peticiones y reclamaciones formuladas por las personas afectadas. Proporcionar informacin a las personas acerca de sus derechos en materia de tratamiento de datos personales. Requerir a los responsables y encargados de los tratamientos la adopcin de las medidas necesarias para que cumplan con la L.O.P.D. y cuando no se ajuste a sus disposiciones, ordenar la cancelacin de los ficheros. Sancionar en los trminos previstos por la Ley.
Otras funciones Velar por la publicidad en los tratamientos, publicando anualmente una lista de los mismos (CD). Cooperacin Internacional. Representacin de Espaa en los foros internacionales en la materia. Control y observancia de lo dispuesto en la Ley reguladora de la Funcin Estadstica Pblica. Elaboracin de una Memoria Anual, presentada por conducto del Ministro de Justicia a las Cortes.
INFRACCIONES
Estn sujetos al rgimen sancionador de la Ley el responsable del fichero y el encargado del tratamiento. Algunos ejemplos de infracciones se describen a continuacin. Se detallan en el ttulo VII de la L.O.P.D.: LEVES: No atender, por motivos formales, la solicitud del interesado de rectificacin o cancelacin de sus datos personales cuando legalmente proceda. No proporcionar la informacin que la Agencia de Proteccin de Datos solicite en el ejercicio de sus competencias. No solicitar la inscripcin del fichero de datos personales en el RGPD cuando no sea constitutivo de infraccin grave. Proceder a la recogida de datos de carcter personal de los propios afectados sin proporcionarles la informacin estipulada por la Ley. Incumplir el deber de secreto establecido por la L.O.P.D., salvo que constituya infraccin grave.
GRAVES: Proceder a la creacin de ficheros de titularidad pblica o iniciar la recogida de datos de carcter personal para los mismos, sin autorizacin de disposicin general, publicada en el B.O.E. o Diario Oficial correspondiente. Proceder a la creacin de ficheros de titularidad privada o iniciar la recogida de datos personales con finalidades distintas a las que constituyen el objeto legtimo de la empresa o entidad. Proceder a la recogida de datos personales sin recabar el consentimiento expreso de las personas afectadas, en los casos en que ste sea exigible. Tratar los datos de carcter personal o usarlos posteriormente con conculcacin de los principios y garantas establecidas en la Ley. El impedimento del ejercicio de los derechos de acceso y oposicin y la negativa a facilitar la informacin que sea solicitada. Mantener los datos de carcter personal inexactos o no efectuar las rectificaciones o cancelaciones de los mismos que legalmente procedan. Incumplir el deber de guardar secreto sobre los datos de nivel medio.
MUY GRAVES La recogida de datos en forma engaosa y fraudulenta. La comunicacin o cesin de datos de carcter personal, fuera de los casos en que estn permitidas. Recabar y tratar los datos personales de nivel alto cuando no medie el consentimiento expreso del afectado. No cesar en el uso ilegtimo de los tratamientos de datos personales cuando sea requerido para ello por el Director. La transferencia de datos a pases que no tengan un nivel de proteccin de los mismos similar al de la legislacin espaola, sin autorizacin del Director de la Agencia. La vulneracin del deber de guardar secreto sobre los datos personales de nivel alto as como los que hayan sido recabados para fines policiales sin consentimiento de las personas afectadas. No atender u obstaculizar de forma sistemtica el ejercicio de los derechos de acceso, rectificacin, cancelacin u oposicin. No atender de forma sistemtica el deber legal de notificacin de la inclusin de datos personales en un fichero.
SANCIONES
La L.O.P.D. solamente establece sanciones pecuniarias, consistentes en multas, en tanto otros pases llegan a incluir penas de prisin de hasta dos aos. Las penas impuestas ante la comisin de sanciones deben distinguirse segn se refieran a ficheros pblicos o privados. A continuacin se exponen las cuantas con que sern sancionados los tipos de infracciones cometidas sobre ficheros privados, en funcin de su gravedad: INFRACCIONES SANCIONES LEVES Multa de 601,01 a 60.101.21 GRAVES Multa de 60.101,21 a 300.506,05 MUY GRAVES Multa de 300.506,05 a 601.106,03
Descargar Ejemplos Sanciones y Titulares de Prensa
La cuanta de las sanciones se graduar atendiendo a: A los daos y perjuicios causados a las personas interesadas y a terceras personas. A la reincidencia. Al grado de intencionalidad. A los beneficios obtenidos. Al volumen de los tratamientos efectuados. A la naturaleza de los derechos personales afectados. Si estudiando las circunstancias se observara una disminucin de la culpabilidad del imputado, el rgano sancionador establecer la cuanta de la sancin aplicando la escala relativa a la clase de infracciones que precede inmediatamente en gravedad a aquella que precede en gravedad a la que se trate. No se podr poner una sancin ms grave que la fijada en la Ley para la clase de infraccin en la que se integre la que se pretende sancionar. Prescripcin de las sanciones En cuanto a la prescripcin, se establecen en el artculo 47 de la LOPD los siguientes plazos: Las sanciones muy graves prescribirn a los tres aos, las graves a los dos aos y las leves al ao. El plazo de prescripcin comenzar a contarse desde el da en que la infraccin se hubiera cometido. Interrumpir la prescripcin la iniciacin, con conocimiento del interesado, procedimiento sancionador, reanudndose el plazo de prescripcin si el expediente sancionador estuviere paralizado durante ms de seis meses por causas no imputables al presente infractor. Las sanciones impuestas por faltas muy graves prescribirn a los tres aos, las impuestas por faltas graves a los dos aos y las impuestas por faltas leves al ao. El plazo de prescripcin de las sanciones comenzar a contarse desde el da siguiente a aquel en que adquiera firmeza la resolucin por la que se impone la sancin. La prescripcin se interrumpir por la iniciacin, con conocimiento del interesado, del procedimiento de ejecucin, volviendo a transcurrir el plazo si el mismo est paralizado durante ms de seis meses por causa no imputable al infractor.
SUPUESTO PRCTICO Qu probabilidades hay de que se anule una sancin? Las posibilidades de que una sancin impuesta por la AEPD sea anulada son muy escasas. Al ser el recurso de reposicin presentado ante el rgano que dict la resolucin sancionadora, se torna casi imposible el conseguir que dicho rgano modifique su decisin a favor del sancionado.
Sin embargo, en lo que respecta a los sucesivos rganos jurisdiccionales, las estadsticas indican que se ratifican las sanciones impuestas debido a que consideran que la AEPD se excedi en sus consideraciones.
Ejemplo: Sentencia de la Audiencia Nacional de fecha 14 de junio de 2007, por la que oblig a la AEPD a devolver una multa de 30.000 euros a un ciudadano sancionado por SPAM.
Qu sectores son los ms proclives a sanciones? - Sector bancario y financiero - Sector de las telecomunicaciones - Entidades de publicidad - Entidades de Solvencia Patrimonial y Crdito.
FORMA DE EFECTUAR UNA DENUNCIA Cuando se detecte un incumplimiento de la LOPD, ha cuando se haya visto afectado por un mal uso o tratamiento de sus datos personales, se podr presentar denuncia ante la Agencia de Proteccin de Datos, la cual se encargar de tomar las acciones pertinentes, y, en su caso, sancionar, al Responsable del tratamiento. Para presentar una denuncia ante la Agencia, deber de enviarse un escrito en el que figure, al menos la siguiente informacin: - Nombre y apellidos del interesado y, en su caso, de la persona que lo represente, as como la identificacin del medio preferente o del lugar que se seale a efectos de notificaciones. - Hechos, razones y peticin en que se concrete, con toda claridad, la solicitud. - Lugar y fecha. - Firma del solicitante o acreditacin de la autenticidad de su voluntad expresada por cualquier medio. - rgano, centro o unidad administrativa a la que se dirige. (En su caso sera la Subdireccin General de Inspeccin de Datos de esta Agencia). - Igualmente deber acompaar los documentos o cualquier otro tipo de prueba que pueda corroborar los hechos denunciados.
En la pgina web de la Agencia (www.agpd.es), medio que la Agencia pone a disposicin de los ciudadanos como va de comunicacin, y que veremos con detenimiento en unidades posteriores, se puede encontrar un modelo o plantilla de denuncia, con los campos y apartados pertinentes y que, una vez cubierta, podr remitirse a la propia Agencia. Dejamos la plantilla para su descarga, si bien esta puede encontrarse en la citada pgina en el apartado DENUNCIAS/RECLAMACIONES del CANAL DEL CIUDADANO.
Descargar Modelo de Denuncia
La Agencia Espaola de Proteccin de Datos har pblicas sus resoluciones, con excepcin de las correspondientes a la inscripcin de un fichero o tratamiento en el Registro General de Proteccin de Datos y de aqullas por las que se resuelva la inscripcin en el mismo de los cdigos tipo. La publicacin de estas resoluciones se realizar preferentemente mediante su insercin en el sitio Web de la Agencia Espaola de Proteccin de Datos (www.agpd.es):
Los procedimientos que pueden ser tramitados por la AGPD son: - Procedimiento de tutela de los derechos de acceso, rectificacin, cancelacin y oposicin - Procedimientos relativos al ejercicio de la potestad sancionadora atribuida por la LOPD - Procedimientos relacionados con la inscripcin o cancelacin de ficheros - Procedimientos relacionados con las transferencias internacionales de datos - Procedimiento de inscripcin de cdigos tipo - Procedimiento de exencin del deber de informacin al interesado - Procedimiento para la autorizacin de conservacin de datos para fines histricos, estadsticos o cientficos
Procedimiento de tutela de los derechos de acceso, rectificacin, cancelacin y oposicin
Artculo 117 RLOPD Instruccin del procedimiento.
1. El procedimiento se iniciar a instancia del afectado o afectados, expresando con claridad el contenido de su reclamacin y de los preceptos de la Ley Orgnica 15/1999, de 13 de diciembre, que se consideran vulnerados. 2. Recibida la reclamacin en la Agencia Espaola de Proteccin de Datos, se dar traslado de la misma al responsable del fichero, para que, en el plazo de quince das, formule las alegaciones que estime pertinentes. 3. Recibidas las alegaciones o transcurrido el plazo previsto en el apartado anterior, la Agencia Espaola de Proteccin de Datos, previos los informes, pruebas y otros actos de instruccin pertinentes, incluida la audiencia del afectado y nuevamente del responsable del fichero, resolver sobre la reclamacin formulada.
Artculo 118. Duracin del procedimiento y efectos de la falta de resolucin expresa.
1. El plazo mximo para dictar y notificar resolucin en el procedimiento de tutela de derechos ser de seis meses, a contar desde la fecha de entrada en la Agencia Espaola de Proteccin de Datos de la reclamacin del afectado o afectados. 2. Si en dicho plazo no se hubiese dictado y notificado resolucin expresa, el afectado podr considerar estimada su reclamacin por silencio administrativo positivo.
Artculo 119. Ejecucin de la resolucin.
Si la resolucin de tutela fuese estimatoria, se requerir al responsable del fichero para que, en el plazo de diez das siguientes a la notificacin, haga efectivo el ejercicio de los derechos objeto de la tutela, debiendo dar cuenta por escrito de dicho cumplimiento a la Agencia Espaola de Proteccin de Datos en idntico plazo.
- Procedimientos relativos al ejercicio de la potestad sancionadora atribuida por la LOPD
Artculo 120 RLOPD. mbito de aplicacin.
1. Las disposiciones contenidas en el presente captulo sern de aplicacin a los procedimientos relativos al ejercicio por la Agencia Espaola de Proteccin de Datos de la potestad sancionadora que le viene atribuida por la Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de datos de carcter personal, en la Ley 34/2002, de 11 de julio, de Servicios de la sociedad de la informacin y de comercio electrnico, y en la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones. 2. No obstante, las disposiciones previstas en el ar-tculo 121 y en la seccin cuarta de este captulo nicamente sern aplicables a los procedimientos referidos al ejercicio de la potestad sancionadora prevista en la Ley Orgnica 15/1999, de 13 de diciembre.
Artculo 121. Inmovilizacin de ficheros.
1. En el supuesto previsto como infraccin muy grave en la Ley Orgnica 15/1999, de 13 de diciembre, consistente en la utilizacin o cesin ilcita de los datos de carcter personal en la que se impida gravemente o se atente de igual modo contra el ejercicio de los derechos de los ciudadanos y el libre desarrollo de la personalidad que la Constitucin y las leyes garantizan, el Director de la Agencia Espaola de Proteccin de Datos podr, en cualquier momento del procedimiento, requerir a los responsables de ficheros o tratamientos de datos de carcter personal, tanto de titularidad pblica como privada, la cesacin en la utilizacin o cesin ilcita de los datos. 2. El requerimiento deber ser atendido en el plazo improrrogable de tres das, durante el cual el responsable del fichero podr formular las alegaciones que tenga por convenientes en orden al levantamiento de la medida. 3. Si el requerimiento fuera desatendido, el Director de la Agencia Espaola de Proteccin de Datos podr, mediante resolucin motivada, acordar la inmovilizacin de tales ficheros o tratamientos, a los solos efectos de restaurar los derechos de las personas afectadas.
Artculo 122. Iniciacin.
1. Con anterioridad a la iniciacin del procedimiento sancionador, se podrn realizar actuaciones previas con objeto de determinar si concurren circunstancias que justifiquen tal iniciacin. En especial, estas actuaciones se orientarn a determinar, con la mayor precisin posible, los hechos que pudieran justificar la incoacin del procedimiento, identificar la persona u rgano que pudiera resultar responsable y fijar las circunstancias relevantes que pudieran concurrir en el caso. 2. Las actuaciones previas se llevarn a cabo de oficio por la Agencia Espaola de Proteccin de Datos, bien por iniciativa propia o como consecuencia de la existencia de una denuncia o una peticin razonada de otro rgano. 3. Cuando las actuaciones se lleven a cabo como consecuencia de la existencia de una denuncia o de una peticin razonada de otro rgano, la Agencia Espaola de Proteccin de Datos acusar recibo de la denuncia o peticin, pudiendo solicitar cuanta documentacin se estime oportuna para poder comprobar los hechos susceptibles de motivar la incoacin del procedimiento sancionador. 4. Estas actuaciones previas tendrn una duracin mxima de doce meses a contar desde la fecha en la que la denuncia o peticin razonada a las que se refiere el apartado 2 hubieran tenido entrada en la Agencia Espaola de Proteccin de Datos o, en caso de no existir aqullas, desde que el Director de la Agencia acordase la realizacin de dichas actuaciones. El vencimiento del plazo sin que haya sido dictado y notificado acuerdo de inicio de procedimiento sancionador producir la caducidad de las actuaciones previas.
Artculo 123. Personal competente para la realizacin de las actuaciones previas.
1. Las actuaciones previas sern llevadas a cabo por el personal del rea de la Inspeccin de Datos habilitado para el ejercicio de funciones inspectoras. 2. En supuestos excepcionales, el Director de la Agencia Espaola de Proteccin de Datos podr designar para la realizacin de actuaciones especficas a funcionarios de la propia Agencia no habilitados con carcter general para el ejercicio de funciones inspectoras o a funcionarios que no presten sus funciones en la Agencia, siempre que renan las condiciones de idoneidad y especializacin necesarias para la realizacin de tales actuaciones. En estos casos, la autorizacin indicar expresamente la identificacin del funcionario y las concretas actuaciones previas de inspeccin a realizar. 3. Los funcionarios que ejerzan la inspeccin a los que se refieren los dos apartados anteriores tendrn la consideracin de autoridad pblica en el desempeo de sus cometidos. Estarn obligados a guardar secreto sobre las informaciones que conozcan en el ejercicio de las mencionadas funciones, incluso despus de haber cesado en las mismas.
Artculo 124. Obtencin de informacin.
Los inspectores podrn recabar cuantas informaciones precisen para el cumplimiento de sus cometidos. A tal fin podrn requerir la exhibicin o el envo de los documentos y datos y examinarlos en el lugar en que se encuentren depositados, como obtener copia de los mismos, inspeccionar los equipos fsicos y lgicos, as como requerir la ejecucin de tratamientos y programas o procedimientos de gestin y soporte del fichero o ficheros sujetos a investigacin, accediendo a los lugares donde se hallen instalados.
Artculo 125. Actuaciones presenciales.
1. En el desarrollo de las actuaciones previas se podrn realizar visitas de inspeccin por parte de los inspectores designados, en los locales o sede del inspeccionado, o donde se encuentren ubicados los ficheros, en su caso. A tal efecto, los inspectores habrn sido previamente autorizados por el Director de la Agencia Espaola de Proteccin de Datos. Las inspecciones podrn realizarse en el domicilio del inspeccionado, en la sede o local concreto relacionado con el mismo o en cualquiera de sus locales, incluyendo aqullos en que el tratamiento sea llevado a cabo por un encargado. La autorizacin se limitar a indicar la habilitacin del inspector autorizado y la identificacin de la persona u rgano inspeccionado. 2. En el supuesto contemplado en el apartado anterior, las inspecciones concluirn con el levantamiento de la correspondiente acta, en la que quedar constancia de las actuaciones practicadas durante la visita o visitas de inspeccin. 3. El acta, que se emitir por duplicado, ser firmada por los inspectores actuantes y por el inspeccionado, que podr hacer constar en la misma las alegaciones o manifestaciones que tenga por conveniente. En caso de negativa del inspeccionado a la firma del acta, se har constar expresamente esta circunstancia en la misma. En todo caso, la firma por el inspeccionado del acta no supondr su conformidad, sino tan slo la recepcin de la misma. Se entregar al inspeccionado uno de los originales del acta de inspeccin, incorporndose el otro a las actuaciones.
Artculo 126. Resultado de las actuaciones previas.
1. Finalizadas las actuaciones previas, stas se sometern a la decisin del Director de la Agencia Espaola de Proteccin de Datos. Si de las actuaciones no se derivasen hechos susceptibles de motivar la imputacin de infraccin alguna, el Director de la Agencia Espaola de Proteccin de Datos dictar resolucin de archivo que se notificar al investigado y al denunciante, en su caso. 2. En caso de apreciarse la existencia de indicios susceptibles de motivar la imputacin de una infraccin, el Director de la Agencia Espaola de Proteccin de Datos dictar acuerdo de inicio de procedimiento sancionador o de infraccin de las Administraciones pblicas, que se tramitarn conforme a lo dispuesto, respectivamente, en las secciones tercera y cuarta del presente captulo.
Artculo 127. Iniciacin del procedimiento.
Con carcter especfico el acuerdo de inicio del procedimiento sancionador deber contener: a) Identificacin de la persona o personas presuntamente responsables. b) Descripcin sucinta de los hechos imputados, su posible calificacin y las sanciones que pudieran corresponder, sin perjuicio de lo que resulte de la instruccin. c) Indicacin de que el rgano competente para resolver el procedimiento es el Director de la Agencia Espaola de Proteccin de Datos. d) Indicacin al presunto responsable de que puede reconocer voluntariamente su responsabilidad, en cuyo caso se dictar directamente resolucin. e) Designacin de instructor y, en su caso, secretario, con expresa indicacin del rgimen de recusacin de los mismos. f) Indicacin expresa del derecho del responsable a formular alegaciones, a la audiencia en el procedimiento y a proponer las pruebas que estime procedentes. g) Medidas de carcter provisional que pudieran acordarse, en su caso, conforme a lo establecido en la seccin primera del presente captulo.
Artculo 128. Plazo mximo para resolver.
1. El plazo para dictar resolucin ser el que determinen las normas aplicables a cada procedimiento sancionador y se computar desde la fecha en que se dicte el acuerdo de inicio hasta que se produzca la notificacin de la resolucin sancionadora, o se acredite debidamente el intento de notificacin. 2. El vencimiento del citado plazo mximo, sin que se haya dictada y notificada resolucin expresa, producir la caducidad del procedimiento y el archivo de las actuaciones.
- Procedimientos relacionados con la inscripcin o cancelacin de ficheros
Artculo 130. Iniciacin del procedimiento.
1. El procedimiento se iniciar como consecuencia de la notificacin de la creacin, modificacin o supresin del fichero por el interesado o, en su caso, de la comunicacin efectuada por las autoridades de control de las comunidades autnomas, a la que se refiere el presente reglamento. 2. La notificacin se deber efectuar cumplimentando los modelos o formularios electrnicos publicados al efecto por la Agencia Espaola de Proteccin de Datos, en virtud de lo dispuesto en el apartado 1 del artculo 59 de este reglamento. Tratndose de la notificacin de la modificacin o supresin de un fichero, deber indicarse en la misma el cdigo de inscripcin del fichero en el Registro General de Proteccin de Datos. 3. La notificacin se efectuar en soporte electrnico, ya mediante comunicacin electrnica a travs de Internet mediante firma electrnica o en soporte informtico, utilizando al efecto el programa de ayuda para la generacin de notificaciones que la Agencia pondr a disposicin de los interesados de forma gratuita. Ser igualmente vlida la notificacin efectuada en soporte papel cuando para su cumplimentacin hayan sido utilizados los modelos o formularios publicados por la Agencia.
4. En la notificacin, el responsable del fichero deber declarar un domicilio a efectos de notificaciones en el procedimiento.
Artculo 131. Especialidades en la notificacin de ficheros de titularidad pblica.
1. Cuando se trate de la notificacin de ficheros de titularidad pblica, deber acompaarse a la notificacin una copia de la norma o acuerdo de creacin, modificacin o supresin del fichero a que hace referencia el ar-tculo 52 del presente reglamento. Cuando el diario oficial en el que se encuentre publicada la citada norma o acuerdo sea accesible a travs de Internet, bastar con indicar en la notificacin la direccin electrnica que permita su concreta localizacin. 2. Recibida la notificacin, si la misma no contuviera la informacin preceptiva o se advirtieran defectos formales, el Registro General de Proteccin de Datos requerir al responsable del fichero para que complete o subsane la notificacin. El plazo para la subsanacin o mejora de la solicitud ser de tres meses, en el caso de que se precise la modificacin de la norma o acuerdo de creacin del fichero.
Artculo 132. Acuerdo de inscripcin o cancelacin.
Si la notificacin referida a la creacin, modificacin o supresin del fichero contuviera la informacin preceptiva y se cumplieran las restantes exigencias legales, el Director de la Agencia Espaola de Proteccin de Datos, a propuesta del Registro General de Proteccin de Datos, acordar, respectivamente, la inscripcin del fichero, asignando al mismo el correspondiente cdigo de inscripcin, la modificacin de la inscripcin del fichero o la cancelacin de la inscripcin correspondiente.
Artculo 133. Improcedencia o denegacin de la inscripcin.
El Director de la Agencia Espaola de Proteccin de Datos, a propuesta del Registro General de Proteccin de Datos, dictar resolucin denegando la inscripcin, modificacin o cancelacin cuando de los documentos aportados por el responsable del fichero se desprenda que la notificacin no resulta conforme a lo dispuesto en la Ley Orgnica 15/1999, de 13 de diciembre. La resolucin ser debidamente motivada, con indicacin expresa de las causas que impiden la inscripcin, modificacin o cancelacin.
Artculo 134. Duracin del procedimiento y efectos de la falta de resolucin expresa.
1. El plazo mximo para dictar y notificar resolucin acerca de la inscripcin, modificacin o cancelacin ser de un mes. 2. Si en dicho plazo no se hubiese dictado y notificado resolucin expresa, se entender inscrito, modificado o cancelado el fichero a todos los efectos.
- Procedimiento de cancelacin de oficio de ficheros inscritos Artculo 135. Iniciacin del procedimiento.
El procedimiento de cancelacin de oficio de los ficheros inscritos en el Registro General de Proteccin de Datos se iniciar siempre de oficio, bien por propia iniciativa o en virtud de denuncia, por acuerdo del Director de la Agencia Espaola de Proteccin de Datos.
Artculo 136. Terminacin del expediente.
La resolucin, previa audiencia del interesado, acordar haber lugar o no a la cancelacin del fichero. Si la resolucin acordase la cancelacin del fichero, se dar traslado de la misma al Registro General de Proteccin de Datos, para que proceda a la cancelacin.
- Procedimientos relacionados con las transferencias internacionales de datos Artculo 137. Iniciacin del procedimiento.
1. El procedimiento para la obtencin de la autorizacin para las transferencias internacionales de datos a pases terceros a las que se refiere el artculo 33 de la Ley Orgnica 15/1999, de 13 de diciembre, y el artculo 70 de este reglamento se iniciar siempre a solicitud del exportador que pretenda llevar a cabo la transferencia.
2. En su solicitud, adems de los requisitos legalmente exigidos, el exportador deber consignar, en todo caso: a) La identificacin del fichero o ficheros a cuyos datos se refiera la transferencia internacional, con indicacin de su denominacin y cdigo de inscripcin del fichero en el Registro General de Proteccin de Datos. b) La transferencia o transferencias respecto de las que se solicita la autorizacin, con indicacin de la finalidad que la justifica. c) La documentacin que incorpore las garantas exigibles para la obtencin de la autorizacin as como el cumplimiento de los requisitos legales necesarios para la realizacin de la transferencia, en su caso. Cuando la autorizacin se fundamente en la existencia de un contrato entre el exportador y el importador de los datos, deber aportarse copia del mismo, acreditndose asimismo la concurrencia de poder suficiente en sus otorgantes. Si la autorizacin se pretendiera fundar en lo dispuesto en el apartado 4 del artculo 70, debern aportarse las normas o reglas adoptadas en relacin con el tratamiento de los datos en el seno del grupo, as como la documentacin que acredite su carcter vinculante y su eficacia dentro del grupo. Igualmente deber aportarse la documentacin que acredite la posibilidad de que el afectado o la Agencia Espaola de Proteccin de Datos puedan exigir la responsabilidad que corresponda en caso de perjuicio del afectado o vulneracin de las normas de proteccin de datos por parte de cualquier empresa importadora.
Artculo 138. Instruccin del procedimiento.
1. Cuando el Director de la Agencia Espaola de Proteccin de Datos acuerde, conforme a lo dispuesto en el artculo 86.1 de la Ley 30/1992, de 26 de noviembre, la apertura de un perodo de informacin pblica, el plazo para la formulacin de alegaciones ser de diez das a contar desde la publicacin en el Boletn Oficial del Estado del anuncio previsto en dicha Ley. 2. No ser posible el acceso a la informacin del expediente en que concurran las circunstancias establecidas en el artculo 37.5 de la Ley 30/1992, de 26 de noviembre. 3. Transcurrido el plazo previsto en el apartado 1, en caso de que se hubieran formulado alegaciones, se dar traslado de las mismas al solicitante de la autorizacin, a fin de que en el plazo de diez das alegue lo que estime procedente.
Artculo 139. Actos posteriores a la resolucin.
1. Cuando el Director de la Agencia Espaola de Proteccin de Datos resuelva autorizar la transferencia internacional de datos, se dar traslado de la resolucin de autorizacin al Registro General de Proteccin de Datos, a fin de proceder a su inscripcin. El Registro General de Proteccin de Datos inscribir de oficio la autorizacin de transferencia internacional. 2. En todo caso, se dar traslado de la resolucin de autorizacin o denegacin de la autorizacin de la transferencia internacional de datos al Ministerio de Justicia, al efecto de que se proceda a su notificacin a la Comisin Europea y a los dems Estados miembros de la Unin Europea de acuerdo a lo previsto en el artculo 26.3 de la Directiva 95/46/CE.
Artculo 140. Duracin del procedimiento y efectos de la falta de resolucin expresa.
1. El plazo mximo para dictar y notificar resolucin ser de tres meses, a contar desde la fecha de entrada en la Agencia Espaola de Proteccin de Datos de la solicitud. 2. Si en dicho plazo no se hubiese dictado y notificado resolucin expresa, se entender autorizada la transferencia internacional de datos.
- Procedimiento de inscripcin de cdigos tipo La LOPD y el RLOPD contemplan la existencia de cdigos tipo para adecuar lo establecido en la citada Ley Orgnica y en el reglamento a las peculiaridades de los tratamientos efectuados por quienes se adhieren a los mismos. Se trata de cdigos deontolgicos o de buenas prcticas profesionales de carcter sectorial y voluntarios, pero vinculantes para quienes se adhieran a los mismos. Podrn referirse: - A la totalidad o a parte de los tratamientos llevados a cabo por entidades pertenecientes a un mismo sector, debiendo ser formulados por organizaciones representativas de dicho sector, al menos en su mbito territorial de aplicacin, y sin perjuicio de la potestad de dichas entidades de ajustar el cdigo tipo a sus peculiaridades. - A la totalidad de los tratamientos llevados a cabo por una empresa.
Debern contenerse en el cdigo:
- Clusulas tipo para la obtencin del consentimiento de los afectados al tratamiento o cesin de sus datos; - Clusulas tipo para informar a los afectados del tratamiento, cuando los datos no sean obtenidos de los mismos; - Modelos para el ejercicio por los afectados de sus derechos de acceso, rectificacin, cancelacin y oposicin; - Modelos de clusulas para el cumplimiento de los requisitos formales exigibles para la contratacin de un encargado del tratamiento, en su caso.
Los cdigos tipo adems debern incluir: - Procedimientos de supervisin independientes para garantizar el cumplimiento de las obligaciones asumidas por los adheridos, y establecer un rgimen sancionador adecuado y eficaz. - El procedimiento que se prevea deber garantizar la independencia e imparcialidad del rgano responsable de la supervisin.
El cdigo tipo deber incorporar como anexo una relacin de adheridos, que deber mantenerse actualizada, a disposicin de la Agencia Espaola de Proteccin de Datos, e inscribirse en el Registro General de Proteccin de Datos. La AEPD dar publicidad a los cdigos tipo inscritos, preferentemente a travs de medios informticos o telemticos.
Artculo 145 RLOPD. Iniciacin del procedimiento.
1. El procedimiento para la inscripcin en el Registro General de Proteccin de Datos de los cdigos tipo se iniciar siempre a solicitud de la entidad, rgano o asociacin promotora del cdigo tipo. 2. La solicitud, que deber reunir los requisitos legalmente establecidos, habr de acompaarse de los siguientes documentos: a) Acreditacin de la representacin que concurra en la persona que presente la solicitud. b) Contenido del acuerdo, convenio o decisin por la que se aprueba, en el mbito correspondiente el contenido del cdigo tipo presentado. c) En caso de que el cdigo tipo proceda de un acuerdo sectorial o una decisin de empresa certificacin referida a la adopcin del acuerdo y legitimacin del rgano que lo adopt. d) En el supuesto contemplado en la letra anterior, copia de los estatutos de la asociacin, organizacin sectorial o entidad en cuyo marco haya sido aprobado el cdigo. e) En caso de cdigos tipo presentados por asociaciones u organizaciones de carcter sectorial, documentacin relativa a su representatividad en el sector. f) En caso de cdigos tipo basados en decisiones de empresa, descripcin de los tratamientos a los que se refiere el cdigo tipo. g) Cdigo tipo sometido a la Agencia Espaola de Proteccin de Datos.
Artculo 146. Anlisis de los aspectos sustantivos del cdigo tipo.
1. Durante los treinta das siguientes a la notificacin o subsanacin de los defectos el Registro General de Proteccin de Datos podr convocar a los solicitantes, a fin de obtener aclaraciones o precisiones relativas al contenido sustantivo del cdigo tipo. 2. Transcurrido el plazo sealado en el apartado anterior, el Registro General de Proteccin de Datos elaborar un informe sobre las caractersticas del proyecto de cdigo tipo. 3. La documentacin presentada y el informe del Registro sern remitidos al Gabinete Jurdico, a fin de que por el mismo se informe acerca del cumplimiento de los requisitos establecidos en el Ttulo VII de este Reglamento.
Artculo 147. Informacin pblica.
1. Cuando el Director de la Agencia Espaola de Proteccin de Datos acuerde, conforme a lo dispuesto en el artculo 86.1 de la Ley 30/1992, de 26 de noviembre, la apertura de un perodo de informacin pblica, el plazo para la formulacin de alegaciones ser de diez das a contar desde la publicacin en el Boletn Oficial del Estado del anuncio previsto en dicha ley. 2. No ser posible el acceso a la informacin del expediente en que concurran las circunstancias establecidas en el artculo 37.5 de la Ley 30/1992, de 26 de noviembre.
Artculo 148. Mejora del cdigo tipo.
Si durante la tramitacin del procedimiento resultase necesaria la aportacin de nuevos documentos o la modificacin del cdigo tipo presentado, la Agencia Espaola de Proteccin de Datos podr requerir al solicitante, a fin de que en el plazo de treinta das introduzca las modificaciones que sean precisas, remitiendo el texto resultante a la Agencia Espaola de Proteccin de Datos. Se declarar la suspensin del procedimiento en tanto el solicitante no d cumplimiento al requerimiento.
Artculo 149. Trmite de audiencia.
En caso de que durante el trmite previsto en el artculo 148 se hubieran formulado alegaciones, se dar traslado de las mismas al solicitante de la autorizacin, a fin de que en el plazo de diez das alegue lo que estime procedente.
Artculo 150. Resolucin.
1. Cumplidos los trminos establecidos en los artculos precedentes, el Director de la Agencia resolver sobre la procedencia o improcedencia de la inscripcin del cdigo tipo en el Registro General de Proteccin de Datos. 2. Cuando el Director de la Agencia Espaola de Proteccin de Datos resuelva autorizar la inscripcin del cdigo tipo, se dar traslado de la resolucin al Registro General de Proteccin de Datos, a fin de proceder a su inscripcin.
Artculo 151. Duracin del procedimiento y efectos de la falta de resolucin expresa.
1. El plazo mximo para dictar y notificar resolucin ser de seis meses, a contar desde la fecha de entrada de la solicitud en la Agencia Espaola de Proteccin de Datos. 2. Si en dicho plazo no se hubiese dictado y notificado resolucin expresa, el solicitante podr considerar estimada su solicitud.
Artculo 152. Publicacin de los cdigos tipo por la Agencia Espaola de Proteccin de Datos.
La Agencia Espaola de Proteccin de Datos dar publicidad al contenido de los cdigos tipo inscritos en el Registro General de Proteccin de Datos, utilizando para ello, con carcter preferente, medios electrnicos o telemticos.
- Procedimiento de exencin del deber de informacin al interesado
Artculo 153. Iniciacin del procedimiento.
1. El procedimiento para obtener de la Agencia Espaola de Proteccin de Datos la exencin del deber de informar al interesado acerca del tratamiento de sus datos de carcter personal cuando resulte imposible o exija esfuerzos desproporcionados, prevista en el apartado 5 del artculo 5 de la Ley Orgnica 15/1999, de 13 de diciembre, se iniciar siempre a peticin del responsable que pretenda obtener la aplicacin de la exencin. 2. En el escrito de solicitud, adems de los requisitos recogidos en el art. 70 de la Ley 30/1992, de 26 de noviembre, el responsable deber: a) Identificar claramente el tratamiento de datos al que pretende aplicarse la exencin del deber de informar. b) Motivar expresamente las causas en que fundamenta la imposibilidad o el carcter desproporcionado del esfuerzo que implicara el cumplimiento del deber de informar. c) Exponer detalladamente las medidas compensatorias que propone realizar en caso de exoneracin del cumplimiento del deber de informar. d) Aportar una clusula informativa que, mediante su difusin, en los trminos que se indiquen en la solicitud, permita compensar la exencin del deber de informar.
Artculo 154. Propuesta de nuevas medidas compensatorias.
1. Si la Agencia Espaola de Proteccin de Datos considerase insuficientes las medidas compensatorias propuestas por el solicitante, podr acordar la adopcin de medidas complementarias o sustitutivas a las propuestas por aqul en su solicitud. 2. Del acuerdo se dar traslado al solicitante, a fin de que exponga lo que a su derecho convenga en el plazo de quince das.
Artculo 155. Terminacin del procedimiento.
Concluidos los trmites previstos en los artculos precedentes, el Director de la Agencia dictar resolucin, concediendo o denegando la exencin del deber de informar. La resolucin podr imponer la adopcin de las medidas complementarias a las que se refiere el artculo anterior.
Artculo 156. Duracin del procedimiento y efectos de la falta de resolucin expresa.
1. El plazo mximo para dictar y notificar resolucin en el procedimiento ser de seis meses, a contar desde la fecha de entrada en la Agencia Espaola de Proteccin de Datos de la solicitud del responsable del fichero. 2. Si en dicho plazo no se hubiese dictado y notificado resolucin expresa, el afectado podr considerar estimada su solicitud por silencio administrativo positivo.
- Procedimiento para la autorizacin de conservacin de datos para fines histricos, estadsticos o cientficos
Artculo 157. Iniciacin del procedimiento.
1. El procedimiento para obtener de la Agencia Espaola de Proteccin de Datos la declaracin de la concurrencia en un determinado tratamiento de datos de valores histricos, cientficos o estadsticos, a los efectos previstos en la Ley Orgnica 15/1999, de 13 de diciembre, y en el presente Reglamento, se iniciar siempre a peticin del responsable que pretenda obtener la declaracin. 2. En el escrito de solicitud, el responsable deber: a) Identificar claramente el tratamiento de datos al que pretende aplicarse la excepcin. b) Motivar expresamente las causas que justificaran la declaracin. c) Exponer detalladamente las medidas que el responsable del fichero se propone implantar para garantizar el derecho de los ciudadanos. 3. La solicitud deber acompaarse de cuantos documentos o pruebas sean necesarios para justificar la existencia de los valores histricos, cientficos o estadsticos que fundamentaran la declaracin de la Agencia.
Artculo 158. Duracin del procedimiento y efectos de la falta de resolucin expresa.
1. El plazo mximo para dictar y notificar resolucin en el procedimiento ser de tres meses, a contar desde la fecha de entrada en la Agencia Espaola de Proteccin de Datos de la solicitud del responsable del fichero. 2. Si en dicho plazo no se hubiese dictado y notificado resolucin expresa, el afectado podr considerar estimada su solicitud.
Disposicin adicional nica. Productos de software.
Los productos de software destinados al tratamiento automatizado de datos personales debern incluir en su descripcin tcnica el nivel de seguridad, bsico, medio o alto, que permitan alcanzar de acuerdo con lo establecido en el ttulo VIII de este reglamento.
Disposicin final nica. Aplicacin supletoria.
En lo no establecido en el captulo III del ttulo IX sern de aplicacin a los procedimientos sancionadores tramitados por la Agencia Espaola de Proteccin de Datos las disposiciones contenidas en el Reglamento del Procedimiento para el ejercicio de la potestad sancionadora, aprobado por Real Decreto 1398/1993, de 4 de agosto.
LAS AGENCIAS AUTONMICAS La LOPD establece las funciones de la AEPD sern gestionadas por las autoridades de control de cada comunidad autnoma, cuando afecten a ficheros gestionados por ellas. Las comunidades autnomas que tienen Agencia de Proteccin de Datos propia son Madrid, Catalua y Pas Vasco. Todas son entes de Derecho Pblico, con personalidad jurdica propia y plena capacidad pblica y privada, de forma que tienen competencias para actuar con plena independencia de las administraciones pblicas en el ejercicio de sus funciones.
SUPUESTO PRCTICO El fichero de una empresa ubicada en Bilbao, se notifica ante la Agencia de Proteccin de Datos vasca o ante la AEPD? Aunque la empresa tenga su domicilio fiscal y social en Bilbao, la notificacin de ficheros deber hacerse ante la Agencia Espaola de Proteccin de Datos que es la que tiene la competencia para la inscripcin de ficheros de titularidad privada.