Documentos de Académico
Documentos de Profesional
Documentos de Cultura
01 2008AdaptacionLOPD PDF
01 2008AdaptacionLOPD PDF
1 Introducción .........................................................................................................3
3.6 Aplicación de las medidas técnicas necesarias para cada nivel de seguridad .................... 49
2
1 Introducción
Con esta guía de adaptación a la LOPD, una Entidad Local conocerá cuáles son los
pasos a seguir para su adecuación y las actuaciones obligatorias para su aplicación,
entendiendo que la adecuación a la LOPD no debe considerarse como una adaptación
puntual sino como un proceso de actualización continua.
Esta normativa obliga a todas las Entidades Locales a implementar una serie de
medidas y procedimientos que garanticen la protección de los datos personales.
4
La Ley y su Reglamento de desarrollo mencionan también el concepto de fichero,
como cualquier conjunto de datos de carácter personal, en cualquier formato,
electrónico, papel, etc.
Los datos de carácter personal se dividen en grupos, nivel básico, medio y alto, que
permitirán posteriormente la aplicación de diferentes medidas de seguridad y
protección para cada grupo:
• Características personales.
• Circunstancias sociales.
• Académicos y profesionales.
• Información comercial.
• Económico-Financieros.
• Transacciones.
Nivel Medio:
Nivel Alto:
Excepciones:
6
b) Se trate de ficheros o tratamientos no automatizados en los que de forma
incidental o accesoria se contengan datos sin guardar relación con su finalidad.
La LOPD obliga a todas las empresas y organismos, tanto privados como públicos que
dispongan de datos de carácter personal a cumplir una serie de requisitos y aplicar
determinadas medidas de seguridad en función del tipo de datos que se posea.
En el caso concreto de las Administraciones Públicas, éstas poseen ficheros con datos
personales. En particular, los Ayuntamientos y Diputaciones Provinciales poseen
ficheros con datos relativos al padrón municipal, gestión tributaria, catastro, etc.
La posesión de estos ficheros conlleva una serie de obligaciones que deben cumplir e
implantar una serie de medidas de seguridad en el tratamiento y protección de datos
de carácter personal.
8
6. Aplicación de las medidas técnicas necesarias para asegurar el nivel de
protección de los ficheros que contengan datos de carácter personal.
Por lo tanto será necesaria una identificación de los ficheros que contengan datos de
carácter personal que están dentro del alcance de aplicación de la LOPD,
distinguiendo:
• Ficheros automatizados.
Una vez han sido localizados los ficheros en la Entidad, es necesario sistematizar de
una manera lógica y coherente toda la información recabada.
10
Posteriormente se deberá determinar el nivel de seguridad de los ficheros
identificados.
Para el caso de las Entidades Locales, será cada Entidad quien adopte la figura de
responsable de fichero, respecto de aquellos ficheros que se han creado y se
vayan creando en un futuro.
Funciones:
Adoptar las medidas necesarias para que el personal conozca las normas
de seguridad que afecten al desarrollo de sus funciones.
12
Definir y documentar las funciones y obligaciones de cada uno de los
usuarios con acceso a datos de carácter personal y a los sistemas de
información.
Adoptar las medidas necesarias para limitar el acceso del personal a datos
personales y a los soportes que los contengan para la realización de
trabajos que no impliquen el tratamiento de datos personales,
estableciendo mecanismos para evitar que un usuario pueda acceder a
recursos distintos a los autorizados.
Realizar el tratamiento de los datos por cuenta del responsable del fichero.
Funciones:
14
Controlar los mecanismos que permiten el registro de accesos a datos de
nivel alto, revisar al menos una vez al mes la información de control
registrada y elaborar un informe de las revisiones realizadas y los
problemas detectados.
En todo caso la disposición o acuerdo deberá dictarse y publicarse con carácter previo
a la creación, modificación o supresión del fichero y deberá revestir la forma que
establezca su legislación específica.
Esta disposición o acuerdo deberá contener, según el Artículo 54 del Real Decreto
1720/2007:
16
Los órganos responsables del fichero.
Los servicios o unidades ante los que pudiese ejercitarse los derechos de
acceso, rectificación, cancelación y oposición.
En las siguientes páginas podemos ver una plantilla modelo para la creación y
supresión de ficheros a través del Boletín Oficial de la Provincia:
Ayuntamiento de XXX
Por otra parte, se indica que en las disposiciones que se dicten para la supresión de los ficheros, se
establecerá el destino de los mismos o, en su caso, las previsiones que se adopten para su destrucción.
Por otra parte, el art. 39.2 de la misma disposición legal establece que serán objeto de inscripción en el
Registro General de Protección de Datos los ficheros de que sean titulares las Administraciones Públicas.
En cumplimiento de las obligaciones que la citada normativa impone a las Administraciones Públicas, por
medio del presente, el Pleno, por unanimidad,
ACUERDA:
18
Cuarto: Publicación y entrada en vigor
La presente resolución será publicada en el Boletín Oficial de la Provincia y entrará en vigor al día
siguiente de su publicación.
ANEXO I
En cuanto a la determinación del nivel de seguridad del fichero lógico que será inscrito
en la Agencia Española de Protección de Datos, habrá que tener en cuenta los
distintos niveles de seguridad que corresponden a los diferentes ficheros físicos que
se agrupan en el fichero lógico, y aplicar el más alto de ellos.
Una vez han sido localizados y determinados los ficheros de datos de carácter
personal se procederá a su notificación de los mismos a la Agencia Española de
Protección de Datos para su inscripción.
20
de Notificaciones Telemáticas a la AGPD (NOTA),
(https://www.agpd.es/index.php?idSeccion=581) se trata de una herramienta
informática que asesora acerca de los requerimientos de la notificación, y permite
presentar las notificaciones a través de Internet con y sin firma electrónica, y en otros
soportes como el papel.
22
Figura 2: Formulario de alta de ficheros de titularidad pública
24
Formulario NOTA de titularidad pública, caso de supresión de ficheros:
Se compone de dos páginas de detalle y la hoja de solicitud, en las que hay que
rellenar obligatoriamente los siguientes campos:
Es en este punto donde se han de establecer los sistemas de tratamiento de los datos,
hay que indicar que los datos son tratados automatizadamente en los diferentes
sistemas informáticos y, además, en formato papel.
• Transferencias internacionales.
26
Figura 5: Formulario de notificación
28
Figura 7: Formulario de notificación
30
3º. Cumplimentar y firmar la Hoja de solicitud
En este paso se indican los datos identificativos de la persona que firma la solicitud y
el cargo o la condición del firmante en relación con el responsable del fichero.
32
El código AGPD, es el número de inscripción que el Registro General de la Agencia
Española de Protección de Datos le asigna al fichero. Una vez realizado el envío de la
notificación, el Registro comunica el código que se asigna.
28001 Madrid
La hoja de solicitud también puede enviarse por fax a los números 91 445 25 29 ó 91
448 36 80.
Una vez cumplimentadas la hoja de solicitud, para obtener el modelo que se presenta
en la AGPD, se pulsa el botón «Finalizar formulario» que se encuentra al final de la
hoja de solicitud generándose el código de barras bidimensional PDF 417 (nube de
puntos), así como el correspondiente código de envío que establece la
correspondencia entre el contenido que figura en cada una de las páginas que
componen el modelo de notificación y la nube de puntos generada.
34
La hoja de solicitud una vez firmada se envía a la dirección de la AGPD, con el código
bidimensional impreso, así como las dos páginas con el contenido de la notificación en
las que debe figurar el código de envío generado por el formulario electrónico.
Por tanto en este documento deben centrarse todas las políticas, reglas y
procedimientos de seguridad establecidos por el responsable del fichero o tratamiento.
Puede existir un único documento de seguridad que comprenda a todos los ficheros o
tratamientos, puede haber un documento de seguridad individual para cada fichero o
tratamiento, o podrán elaborarse distintos documentos agrupando ficheros o
tratamientos según el sistema utilizado en la Entidad. La Agencia Española de
Protección de Datos recomienda la primera de las opciones, elaborando un único
documento de seguridad para todos los ficheros.
36
• Ámbito de aplicación del documento con especificación detallada de los
recursos protegidos.
38
3.5.1 Modelo de documento de seguridad
• Identificación y autenticación
• Control de acceso
40
• Control de acceso físico
• Registro de accesos
• Almacenamiento de la información
42
• Custodia de soportes
• Traslado de documentación
• Ficheros temporales
• Copia o reproducción
• Copias de seguridad
• Responsable de seguridad
Este apartado hace referencia a la obligación que tiene todo el personal que
acceda a datos de carácter personal, de conocer las normas y reglas que le
afectan.
44
Por tanto se indicará que el personal notificará al responsable del fichero o de
seguridad las incidencias encontradas.
Deberemos añadir un anexo por cada fichero con datos de carácter personal
que posea la Entidad, indicando en este apartado entre otros los siguientes
datos:
46
En el caso de ficheros con un nivel medio de medidas de seguridad, se indicará
la persona designada por el responsable del fichero para coordinar y controlar
dichas medidas. En este caso se incluirá además la siguiente información:
• Administrador.
48
3.6 Aplicación de las medidas técnicas necesarias para cada
nivel de seguridad
NIVELES DE SEGURIDAD
MEDIDAS DE SEGURIDAD
BASICO MEDIO ALTO
Documento de Seguridad √ √ √
Funciones y obligaciones del personal √ √ √
Responsable de seguridad √ √
Registro de incidencias √ √ √
Identificación y autentificación √ √ √
Control y Registro de acceso √ √ √
Gestión de soportes y documentos √ √ √
Copias de respaldo y recuperación √ √ √
Auditoria √ √
Telecomunicaciones √
Criterios de archivo √ √ √
Almacenamiento √ √ √
Custodia soportes √ √ √
Copia o reproducción √
Traslado documentación √
FICHEROS
12 Meses 12 Meses 18 Meses
AUTOMATIZADOS
FICHEROS NO
12 Meses 18 Meses 24 Meses
AUTOMATIZADOS
Según el Titulo VIII del Real Decreto 1720/2007, el Documento de Seguridad debe
contemplar no solo las medidas de seguridad para ficheros automatizados, sino
también deberá cumplir las medidas de seguridad de los ficheros no automatizados.
50
Documento de Seguridad
Medidas de Seguridad de
nivel Básico
Medidas de seguridad de nivel Medio
Medidas de seguridad de nivel Alto
• Uno o varios, nombrados por el
Responsable del fichero
• Encargado de coordinar y controlar
las medidas recogidas en el
documento de seguridad
• Designación única del responsable
para todos los ficheros o
diferenciando según sistema de
tratamiento
• No supone delegación de
responsabilidad, por parte del
Responsable del fichero
Registro de Incidencias
52
Identificación y Autentificación
54
Gestión de soportes y documentos
56
Auditorias
Medidas de Seguridad de
nivel Básico
Medidas de seguridad de nivel Medio
Medidas de seguridad de nivel Alto
• Al menos, bienal, interna o externa.
Con carácter extraordinario,
siempre que se realicen
modificaciones en el SI que
puedan repercutir en el
cumplimiento de las medidas de
seguridad implantadas. (Iniciará
un nuevo cómputo de dos años)
• Verificación y control de la
adecuación de las medidas
• Informe de detección de
deficiencias y propuestas
correctoras
• Análisis del responsable de
seguridad y conclusiones al
responsable del fichero o
tratamiento
• Adopción de las medidas
correctoras adecuadas
Telecomunicaciones
Medidas de Seguridad de
nivel Básico
Almacenamiento
Medidas de Seguridad de
nivel Básico
58
Custodia soportes
Medidas de Seguridad de
nivel Básico
Copia o reproducción
Medidas de Seguridad de
nivel Básico
Traslado documentación
Medidas de Seguridad de
nivel Básico
• En primer lugar será necesario identificar los ficheros que contienen datos de
carácter personal objeto de la auditoría, tratamiento sobre los mismos, sistema de
tratamiento, procedimientos, etc.
60
• Como resultado de la auditoria se generarán dos tipos de informes:
• Como último paso, los informes de auditoría son revisados por el responsable de
seguridad, que notifica las conclusiones al responsable del fichero o tratamiento
para que adopte las medidas correctoras adecuadas y quedarán a disposición de
la AGPD.
62
4.1 Advertencia y consentimiento en la recogida de datos de
carácter personal
La LOPD indica que los interesados a los que se soliciten datos personales deberán
ser previamente informados de modo expreso, preciso e inequívoco:
Por lo tanto, en el momento en que una Entidad vaya a realizar una recogida de datos
de carácter personal, y se utilicen cuestionarios u otros impresos, se podrá añadir
como cláusula las advertencias anteriores. En caso de no existir dicho cuestionario, se
realizará un impreso independiente con la cláusula y que la persona firme, de manera
que quede constancia de que ha sido informado y de que da su consentimiento a la
recogida de datos y a su tratamiento.
Cuando los datos de carácter personal no hayan sido recabados del interesado, éste
debe ser informado de forma expresa, precisa e inequívoca por el responsable del
64
Cuando se refieran a las partes de un contrato o precontrato de una
relación comercial, laboral o administrativa y sean necesarios para su
mantenimiento o cumplimiento.
Los datos de carácter personal recogidos deberán ser tratados de forma leal y lícita y
siempre atendiendo a los siguientes principios de calidad de los datos:
Solo podrán ser objeto de tratamiento los datos que sean adecuados,
pertinentes y no excesivos en relación con las finalidades determinadas,
explícitas y legítimas para las que se hayan obtenidos.
Los datos deben ser exactos y puestos al día de forma que respondan con
veracidad a la situación actual del afectado.
66
MODELO DE CLAÚSULA DE RECOGIDA DE DATOS DE CARÁCTER PERSONAL
Los datos recabados, conforme a lo previsto en la Ley Orgánica 15/1999 de Protección de Datos de
Carácter Personal, en el presente contrato serán incluidos en un fichero denominado (Nombre del
fichero ante la AEPD), inscrito en el Registro General de la Agencia Española de Protección de
Datos y cuya titularidad pertenece a (nombre de la Entidad dirección), en adelante Responsable
del Fichero.
Vd. da, como titular de los datos, su consentimiento y autorización al Responsable del Fichero para
la inclusión de los mismos en el fichero ut supra detallado. En cualquier caso, podrá ejercitar
gratuitamente los derechos de acceso, rectificación, cancelación y oposición (siempre de acuerdo
con los supuestos contemplados por la legislación vigente) dirigiéndose a (nombre de la entidad),
con dirección (dirección), o bien y con carácter previo a tal actuación, solicitar con las mismas
señas que le sean remitidos los impresos que el Responsable del Fichero dispone a tal efecto.
Por todo ello, para que conste a los efectos oportunos, Vd. Muestra su conformidad con lo que en
esta cláusula detallado, de acuerdo con la firma estampada en el documento al que esta cláusula
figura anexionado.
Los datos recabados, conforme a lo previsto en la Ley Orgánica 15/1999 de Protección de Datos de
Carácter Personal, en el presente contrato serán incluidos en un fichero denominado (Nombre del
fichero ante la AEPD), inscrito en el Registro General de la Agencia Española de Protección de
Datos y cuya titularidad pertenece a (nombre de la Entidad dirección), en adelante Responsable
del Fichero.
Asimismo, el titular de los datos autoriza expresamente a ceder los mismos a las siguientes
organizaciones: (listado de empresas u organizaciones), con la finalidad de que estas
compañías puedan remitir, por cualquier medio, información sobre sus respectivos servicios,
productos, ofertas o promociones especiales (incluir más u otras finalidades si fuere oportuno).
Para ello el Responsable del Fichero cederá, con la finalidad indicada, los siguientes datos de
carácter personal: (listado de datos cedidos), pudiendo Vd. en todo caso ejercitar los derechos
que le asisten y que, a renglón seguido, se especifican.
Vd. da, como titular de los datos, su consentimiento y autorización al Responsable del Fichero para
la inclusión de los mismos en el fichero ut supra detallado. Así mismo, declara estar informado de
las condiciones y cesiones detalladas en la presente cláusula y, en cualquier caso, podrá ejercitar
gratuitamente los derechos de acceso, rectificación, cancelación y oposición (siempre de acuerdo
con los supuestos contemplados por la legislación vigente) dirigiéndose a (nombre de la entidad),
con dirección (dirección), o bien y con carácter previo a tal actuación, solicitar con las mismas
señas que le sean remitidos los impresos que el Responsable del Fichero dispone a tal efecto.
En caso de que se oponga a la cesión de sus datos en los términos previstos marque una cruz en
esta casilla. En caso contrario, se entenderá que presta su consentimiento tácito a tal efecto.
68
El responsable del fichero o tratamiento deberá conservar el soporte en el que consten
estas cláusulas. Para el almacenamiento de los soportes, el responsable del fichero o
tratamiento podrá utilizar medios informáticos o telemáticos. En particular podrá
proceder al escaneado de la documentación en soporte papel, siempre y cuando se
garantice que en dicha automatización no ha mediado alteración alguna de los
soportes originales.
No podrán obtenerse datos del menor que permita obtener información sobre los
demás miembros del grupo familiar, como datos relativos a la actividad profesional de
sus progenitores, información económica, etc. No obstante si podrá recabarse
información de la identificación y dirección de los padres o tutores con la finalidad de
recabar la autorización necesaria.
70
4.3 Regulación del movimiento con terceros
Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a
un tercero para el cumplimiento de fines directamente relacionados con la funciones
legitimas del cedente y del cesionario con el previo consentimiento del interesado.
Esta relación cedente/cesionario debe plasmarse a través de un contrato de cesión de
datos de carácter personal.
Se deberá establecer:
Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser
destruidos o devueltos al responsable del tratamiento, de igual forma ocurrirá con los
soportes o documentos en que consten datos de carácter personal objeto del
tratamiento.
En el caso de que el encargado del tratamiento destine los datos a fines distintos que
los estipulados en el contrato, responderá a las infracciones incurridas.
72
ACUERDO DE CONFIDENCIALIDAD
Por el presente documento, D/Dª _________ con NIF nº ____________ actuando en nombre y representación de la
empresa____________en adelante denominada la Empresa, con CIF_________, con domicilio comercial en
_________participante en el proyecto ___________, en adelante PROYECTO,
MANIFIESTA
SE COMPROMETE A:
PRIMERO.- A que toda la información de carácter confidencial suministrada y obtenida, NO sea facilitada a ninguna
otra persona que no esté implicada en el proceso.
TERCERO.- A que la información de carácter confidencial obtenida NO se utilice con fines distintos al del proyecto.
CUARTO.- A responder por el incumplimiento de las obligaciones asumidas en los compromisos anteriores, sin
perjuicio, en su caso, de la responsabilidad penal de acuerdo con la legislación vigente.
QUINTO.- En todo caso, la EMPRESA garantiza que el acceso a la información se limitará estrictamente a aquellos
empleados de la misma que necesiten información para cumplir con los fines precisos en el PROYECTO y que éstos
estarán obligados a guardar el secreto, a que obliga la Ley, de la información obtenida, extendiéndose el presente
acuerdo a aquellas empresas subcontratadas y sus empleados, para la realización del PROYECTO.
Y para que así conste a los efectos oportunos se extiende por duplicado en el lugar y fecha indicados
Entidad
_________________________________
Firma representante________________
DNI representante__________________
74
En el caso de intercambio de información confidencial entre diferentes organizaciones,
se realizará un contrato de confidencialidad, que se utilizará como referencia en
aquellos casos en los que la organización lleve a cabo relaciones contractuales con un
tercero y se prevea la posibilidad de intercambiar información confidencial entre
ambas. En la página siguiente podemos ver un modelo de dicho contrato de
confidencialidad.
Al objeto de garantizar la confidencialidad del presente [Proyecto, colaboración entre las partes implicadas], se
hace necesario la firma de un acuerdo que garantice unos niveles de confianza entre las partes. El documento se
firmará una vez aceptado y firmado el (tipo: contrato, acuerdo,...] por ambas partes.
DE UNA PARTE: [nombre de la organización]y en su nombre y representación (con poder suficiente para ello)
D/Dña. [nombre completo], en calidad de [cargo, administrador, apoderado,...]
DE OTRA PARTE: [nombre de la organización]. y en su nombre y representación (con poder suficiente para
ello) D/Dña. [nombre completo], en calidad de [cargo, administrador, apoderado,...]
EXPONEN
I – Que las partes, anteriormente citadas, están interesadas en el desarrollo del presente contrato, para lo cual,
aceptaron celebrar el presente Acuerdo de Confidencialidad con el fin de establecer el procedimiento que regirá la
custodia y no transmisión a terceros de la información distribuida entre las partes, así como los derechos,
responsabilidades y obligaciones inherentes en calidad de remitente, Propietario y «Destinatario» de la referida
información.
II – Que las partes, en virtud de lo anteriormente expuesto, convinieron que el presente Acuerdo de Confidencialidad
se rija por la normativa aplicable al efecto y, en especial por las siguientes.
CLÁUSULAS
PRIMERA - Definiciones
A los efectos del presente Acuerdo, los siguientes términos serán interpretados de acuerdo con las definiciones
anexas a los mismos. Entendiéndose por:
- «Información propia»: tendrá tal consideración y a título meramente enunciativo y no limitativo, lo siguiente:
descubrimientos, conceptos, ideas, conocimientos, técnicas, diseños, dibujos, borradores, diagramas, textos,
modelos, muestras, bases de datos de cualquier tipo, aplicaciones, programas, marcas, logotipos, así como cualquier
información de tipo técnico, industrial, financiero, publicitario, de carácter personal o comercial de cualquiera de las
partes, esté o no incluida en la solicitud de oferta
presentada, independientemente de su formato de presentación o distribución, y aceptada por los «Destinatarios».
- «Fuente»: tendrá la consideración de tal, cualquiera de las partes cuando, dentro de los términos del presente
Acuerdo, sea ella la que suministre la Información Propia y/o cualquiera de los implicados (accionistas, directores,
empleados, …) de la empresa o la organización.
- «Destinatarios»: tendrán la consideración de tales cualquiera de las partes cuando, dentro de los términos del
presente Acuerdo, sea ellos quienes reciban la Información Propia de la otra parte.
76
SEGUNDA.- Información Propia.
Las partes acuerdan que cualquier información relativa a sus aspectos financieros, comerciales, técnicos, y/o
industriales suministrada a la otra parte como consecuencia de la solicitud de Oferta para el desarrollo del presente
proyecto objeto del contrato, o en su caso, de los acuerdos a los que se lleguen (con independencia de que tal
transmisión sea oral, escrita, en soporte magnético o en cualquier otro mecanismo informático, gráfico, o de la
naturaleza que sea) tendrá consideración de información confidencial y será tratada de acuerdo con lo establecido en
el presente documento. Esa información, y sus copias y/o reproducciones tendrán la consideración de «Información
propia» los efectos del presente acuerdo.
No se entenderá por «Información propia», ni recibirá tal tratamiento aquella información que:
I – Sea de conocimiento público en el momento de su notificación al «Destinatario» o después de producida la
notificación alcance tal condición de pública, sin que para ello el «Destinatario» violentara lo establecido en el
presente acuerdo, es decir, no fuera el «Destinatario» la causa o «Fuente» última de la divulgación de dicha
información.
II – Pueda ser probado por el «Destinatario», de acuerdo con sus archivos, debidamente comprobados por la
«Fuente», que estaba en posesión de la misma por medios legítimos sin que estuviese vigente en ese momento
algún y anterior acuerdo de confidencialidad al suministro de dicha información por su legítimo creador.
III – Fuese divulgada masivamente sin limitación alguna por su legítimo creador.
IV – Fuese creada completa e independientemente por el «Destinatario», pudiendo este demostrar este extremo, de
acuerdo con sus archivos, debidamente comprobados por la «Fuente».
Las partes consideran confidencial la «Información propia» de la otra parte que le pudiera suministrar y acuerdan su
guarda y custodia estricta, así como a su no divulgación o suministro, ni en todo ni en parte, a cualquier tercero sin el
previo, expreso y escrito consentimiento de «Fuente». Tal consentimiento no será necesario cuando la obligación de
suministrar o divulgar la «Información propia» de la «Fuente» por parte del «Destinatario» venga impuesta por Ley en
vigor o Sentencia Judicial Firme.
Este Acuerdo no autoriza a ninguna de las partes a solicitar o exigir de la otra parte el suministro de información,
y cualquier obtención de información de/o sobre la «Fuente» por parte del «Destinatario» será recibida por éste con
el previo consentimiento de la misma.
Toda o parte de la «Información propia», papeles, libros, cuentas, grabaciones, listas de clientes y/o socios,
programas de ordenador, procedimientos, documentos de todo tipo o tecnología en el que el suministro fuese hecho
bajo la condición de «Información propia», con independencia del soporte que la contuviera, tendrá la clasificación de
secreta, confidencial o restringida.
La «Información propia» podrá ser dada a conocer por el «Destinatario» o sus directivos y/o sus empleados, sin
perjuicio de que el «Destinatario» tome cuentas medidas sean necesarias para el exacto y fiel cumplimento del
presente Acuerdo, debiendo necesariamente informar a unos y otros del carácter secreto, confidencial, o restringido
de la información que da a conocer, así como da existencia del presente Acuerdo.
Así mismo, el «Destinatario» deberá dar a sus directivos y/o sus empleados, las directrices e instrucciones que
considere oportunas y convenientes a los efectos de mantener el secreto, confidencial, o restringido de la
información propia de la «Fuente». El «Destinatario» deberá advertir a todos sus directivos, empleados, etc., que de
acuerdo con lo dispuesto en este acuerdo tengan acceso a la «Información propia», de las consecuencias y
responsabilidades en las que el «Destinatario» puede incurrir por la infracción por parte de dichas personas, de lo
dispuesto en este Acuerdo.
Sin perjuicio de lo anterior, la «Fuente» podrá pedir y recabar del «Destinatario», como condición previa al suministro
de la «Información propia», una lista de los directivos y empleados que tendrán acceso a dicha información, lista que
podrá ser restringida o reducida por la «Fuente».
Esta lista será firmada por cada uno de los directivos y empleados que figuren en ella, manifestando expresamente
que conocen la existencia del presente Acuerdo y que actuarán de conformidad con lo previsto en él. Cualquier
modificación de la lista de directivos y/o empleados a la que se hizo referencia anteriormente será comunicada de
forma inmediata a la «Fuente», por escrito conteniendo los extremos indicados con anterioridad en este párrafo.
Sin perjuicio de lo previsto en los párrafos anteriores, cada parte será responsable tanto de la conducta dos sus
directivos y/o empleados como de las consecuencias que de ella se pudieran derivarse de conformidad con lo
previsto en el presente Acuerdo.
El «Destinatario» será responsable de la custodia de la «Información propia» y cuantas copias pudiera tener de la
misma suministrada por la «Fuente», en orden a su tratamiento, como secreta, confidencial o restringida, en el
momento presente y futuro, salvo indicación explicita de la «Fuente».
Al objeto de garantizar esta custodia, se deberá devolver la «Información propia» y cuantas copias pudiera tener de
la misma suministrada por la «Fuente», a la terminación de las relaciones comerciales, o antes, si fuera requerido por
la «Fuente» y respondiendo a los daños y perjuicios correspondientes, en el caso de incumplimiento de lo aquí
dispuesto. (En aquellos casos en los que no fuera necesaria la devolución de la «Información propia» deberá
eliminarse este párrafo)
78
OCTAVA.- Incumplimiento.
El incumplimiento de las obligaciones de confidencialidad plasmadas en este documento, por cualquiera de las
partes, sus empleados o directivos, facultará a la otra a reclamar por la vía legal que estime más procedente, a la
indemnización de los daños y perjuicios ocasionados, incluido el lucro cesante.
Ambas partes acuerdan mantener el presente Acuerdo de Confidencialidad, aún después de terminar sus relaciones
comerciales.
El presente Acuerdo de Confidencialidad se regirá por la Legislación Española, y cualquier disputa, controversia o
conflicto en cuanto a la interpretación o ejecución del presente Acuerdo será sometido a la jurisdicción de los
Tribunales de (Valladolid), con exclusión de cualquier otro que pudiera corresponder a las partes, al que en este
momento renuncian.
Y en prueba de esta conformidad, las partes firman o presente acuerdo, por duplicado y a un solo efecto, en el lugar
y fecha ut supra.
Excepciones:
80
Cuando la transferencia se realice desde un registro público y sea acorde
con la finalidad del mismo.
La LOPD reconoce como derechos básicos de los afectados o titulares de los datos de
carácter personal los derechos de acceso, rectificación, cancelación y oposición. Estos
derechos son personalísimos y serán ejercidos por el afectado, acreditando su
identidad.
Derecho de acceso:
82
tratamiento, así como la información disponible sobre el origen de dichos datos y las
comunicaciones realizadas o previstas de los mismos.
En virtud del derecho de acceso el afectado podrá obtener del responsable del
tratamiento información relativa a datos concretos, a datos incluidos en un
determinado fichero, o a la totalidad de sus datos sometidos a tratamiento.
Visualización en pantalla.
Telecopia.
D./Dª (Nombre completo del solicitante), mayor de edad, con domicilio (nombre de la vía), nº (número), Localidad
(Localidad, municipio), Provincia (provincia) C.P. (código postal), con D.N.I. (indicar el número), del que acompaña
fotocopia, por medio del presente escrito manifiesta su deseo de ejercer su derecho de acceso a sus datos de
carácter personal, de conformidad con los artículos 15 de la Ley Orgánica 15/1999 de Protección de Datos, y los
artículos 27, 28, 29 y 30 del Real Decreto 1720/2007.
SOLICITA:
1. Que se le facilite gratuitamente el acceso a los ficheros en el plazo máximo de un mes a contar desde la recepción
de esta solicitud, atendiendo que si transcurre este plazo sin que de forma expresa se conteste la mencionada
petición de acceso se entenderá denegada. En este caso se interpondrá la oportuna reclamación ante la Agencia de
Protección de Datos para iniciar el procedimiento de tutela de derechos, en virtud del artículo 18 de la Ley Orgánica y
el 29 del Real Decreto 1720/2007.
2. Que si la solicitud del derecho de acceso fuese estimada, se remita por (correo, correo electrónico, etc.) la
información a la dirección (arriba indicada, indicar dirección de correo, etc.) en el plazo de diez días desde la
resolución estimatoria de la solicitud de acceso.
3. Que esta información comprenda de modo legible e inteligible los datos de base que sobre mi persona estén
incluidos en sus ficheros, y los resultantes de cualquier colaboración, proceso o tratamiento, así como el origen de
los datos, los cesionarios y la especificación de los concretos usos y finalidades para los que se almacenaros.
84
MODELO DE RESPUESTA AL DERECHO DE ACCESO
A la vista de la solicitud de D...., [tercero, funcionario, laboral, vecino, contribuyente, residente, etc. del Ayuntamiento
de_______) sobre acceso a sus datos de de carácter personal incluidos en el fichero de [introducir fichero], habiendo
considerado su solicitud adecuada a Derecho, de acuerdo con lo dispuesto en la Ley Orgánica 15/1999 de
Protección de Datos de Carácter Personal y su normativa de desarrollo, pasamos a informarle, dentro del plazo
previsto [en el caso de que la solicitud no cumpla con los requisitos señalados en el artículo 8 se le comunicará al
interesado dentro del plazo de diez días para que subsane los defectos], de lo siguiente:
1. El Ayuntamiento de _______ trata los siguientes datos de carácter personal relativos a su persona:
• Datos identificativos:
• Datos académicos:
• Datos de empleo y profesionales:
• Datos económico financieros:
• Datos de participación en servicio universitarios:
• Datos de salud:
4. Las empresas y organismos públicos cesionarios de sus datos son las siguientes: [introducir entidades cesionarias
con la dirección. No será necesario introducir la dirección en el caso de organismos oficiales] para la finalidad de
[___]
Atentamente, El Sr Alcalde
El ejercicio del derecho de cancelación dará lugar a que se supriman los datos que
resulten ser inadecuados o excesivos.
En la siguiente página podemos ver dos modelos para los ejercicios de derecho de
rectificación y cancelación.
86
MODELO EJERCICIO DEL DERECHO DE RECTIFICACIÓN
D./Dª (Nombre completo del solicitante), mayor de edad, con domicilio (nombre de la vía), nº (número), Localidad
(Localidad, municipio), Provincia (provincia) C.P. (código postal), con D.N.I. (indicar el número), del que acompaña
fotocopia, por medio del presente escrito manifiesta su deseo de ejercer su derecho de rectificación sobre sus datos
de carácter personal, de conformidad con los artículos 16 de la Ley Orgánica 15/1999 de Protección de Datos, y los
artículos 31, 32 y 33 del Real Decreto 1720/2007.
SOLICITA:
1. Que proceda gratuitamente a la efectiva corrección en el plazo de diez días desde la recepción de esta solicitud,
de los datos inexactos relativos a mi persona que se encuentran en sus ficheros.
2. Los datos que hay que rectificar se enumeran en la hoja anexa, haciendo referencia a los documentos que se
acompañan a esta solicitud y que acreditan, en caso de ser necesario, la veracidad de los nuevos datos.
3. Que me comuniquen de forma escrita a la dirección arriba indicada, la rectificación de los datos una vez realizada.
4. Que, en caso de que el responsable del fichero considere que la rectificación o la cancelación no procede, lo
comunique igualmente, de forma motivada y dentro del plazo de diez días señalado, a fin de poder interponer la
reclamación prevista en el artículo 18 de la Ley.
D./Dª (Nombre completo del solicitante), mayor de edad, con domicilio (nombre de la vía), nº (número), Localidad
(Localidad, municipio), Provincia (provincia) C.P. (código postal), con D.N.I. (indicar el número), del que acompaña
fotocopia, por medio del presente escrito manifiesta su deseo de ejercer su derecho de cancelación sobre sus datos
de carácter personal, de conformidad con los artículos 16 de la Ley Orgánica 15/1999 de Protección de Datos, y los
artículos 31, 32 y 33 del Real Decreto 1720/2007.
SOLICITA:
1. Que en le plazo de diez días desde la recepción de esta solicitud, se proceda a la efectiva cancelación de
cualesquiera datos relativos a mi persona que se encuentren en sus ficheros, en los términos previstos en la Ley
Orgánica 15/1999 de Protección de Datos de Carácter Personal y me lo comuniquen de forma escrita a la dirección
arriba indicada.
2. Que, en el caso de que el responsable del fichero considere que la cancelación no procede, lo comunique
igualmente, de forma motivada y dentro del plazo de diez días señalado, a fin de poder interponer la reclamación
prevista en el artículo 18 de la Ley.
88
MODELO DE RESPUESTA AL DERECHO DE RECTIFICACÓN
A la vista de la solicitud de D...., [tercero, funcionario, laboral, vecino, contribuyente, residente, etc. del Ayuntamiento
de_______) sobre la rectificación de sus datos de carácter personal incluidos en el fichero de [introducir fichero],
habiendo considerado su solicitud adecuada a Derecho, de acuerdo con lo dispuesto en la Ley Orgánica 15/1999 de
Protección de Datos de Carácter Personal y su normativa de desarrollo, pasamos a informarle, dentro del plazo
previsto, de lo siguiente:
1. Los datos de carácter personal relativos a ____ que constaban en nuestros ficheros han sido modificados de
acuerdo a su solicitud efectuada en fecha ____, por lo que a partir de ahora consta en nuestros archivos.
A la vista de la solicitud de D...., [tercero, funcionario, laboral, vecino, contribuyente, residente, etc. del Ayuntamiento
de_______) sobre la cancelación de sus datos de carácter personal incluidos en el fichero de [introducir fichero],
habiendo considerado su solicitud adecuada a Derecho, de acuerdo con lo dispuesto en la Ley Orgánica 15/1999 de
Protección de Datos de Carácter Personal y su normativa de desarrollo, pasamos a informarle, dentro del plazo
previsto, de lo siguiente:
1. Los datos de carácter personal relativos a ____ que constaban en nuestros ficheros han sido cancelados por lo
que no se realizará tratamiento alguno de los mismos en adelante.
Atentamente,
El Sr Alcalde
90
MODELO EJERCICIO DEL DERECHO DE OPOSICIÓN
D./Dª (Nombre completo del solicitante), mayor de edad, con domicilio (nombre de la vía), nº (número), Localidad
(Localidad, municipio), Provincia (provincia) C.P. (código postal), con D.N.I. (indicar el número), del que acompaña
fotocopia, por medio del presente escrito manifiesta su deseo de ejercer su derecho de oposición al tratamiento de
sus datos de carácter personal, de conformidad con los artículos 17 de la Ley Orgánica 15/1999 de Protección de
Datos, y los artículos 34, 35 y 36 del Real Decreto 1720/2007.
SOLICITA:
1. Que en le plazo de diez días desde la recepción de esta solicitud, se proceda a la efectiva cancelación de
cualquier tratamiento de los datos relativos a mi persona que se encuentren en sus ficheros, en los términos
previstos en el Real Decreto 1720/2007 y me lo comuniquen de forma escrita a la dirección arriba indicada.
2. Que, en el caso de que el responsable del fichero considere que la cancelación no procede, lo comunique
igualmente, de forma motivada y dentro del plazo de diez días señalado, a fin de poder interponer la reclamación
prevista en el artículo 18 de la Ley.
En cuanto a las diferencias entre el sector público y el privado con respecto a la LOPD,
hay algunas cuestiones que diferencian la implantación de las medidas de seguridad,
sometiéndose las Entidades Públicas a unos procedimientos de adaptación a la LOPD
que presentan un grado de complejidad y dedicación superior a las entidades
privadas:
92
Podrán realizarse cesiones de datos entre Administraciones Públicas sin
consentimiento del interesado sólo en los casos en que coincidan las
materias de los organismos (Artículo 21.1 LOPD).
94