Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Bloque I Tema 08 Proteccion Datos
Bloque I Tema 08 Proteccion Datos
La protección de datos
personales y su normativa reguladora. Las
Agencias de Protección de Datos:
competencias y funciones
Índice de contenido
Bloque I. Tema 8. La protección de datos personales y su normativa reguladora. Las Agencias de
Protección de Datos: competencias y funciones...................................................................................1
Productos Software..........................................................................................................................1
Datos de carácter personal y medidas de seguridad........................................................................1
Datos que precisan medidas de nivel medio...............................................................................2
Datos que precisan medidas de nivel alto...................................................................................2
Datos protegidos y medidas de seguridad...................................................................................3
El Documento de Seguridad............................................................................................................5
Medidas de Seguridad......................................................................................................................5
Infracciones y Sanciones.................................................................................................................8
Productos Software
Disposición adicional única de RD 1720/2007, de 21 de diciembre, del reglamento de desarrollo.
Los productos de software destinados al tratamiento automatizado de datos personales deberán
incluir en su descripción técnica el nivel de seguridad básico, medio o alto, que permitan alcanzar
de acuerdo con lo establecido en el Título VIII de este reglamento.
Ahora vamos a ver la relación de los datos especialmente protegidos con los datos que precisan
medidas de seguridad de nivel alto.
1. Nadie podrá ser obligado a declarar • Los que se refieran a datos de ideología,
sobre su ideología, religión o creencias. afiliación sindical, religión, creencias,
Hay derecho a no prestar el origen racial, salud o vida sexual. Con
consentimiento. Y expreso y por escrito esto cubrimos puntos 1, 2 y 3 de los
como vemos a continuación. datos que necesitan medidas de
2. Solo con consentimiento expreso y por seguridad de nivel alto.
escrito podrán tratarse: • Los que contengan o se refieran a datos
✔ ideología recabados para fines policiales sin
✔ religión consentimiento de las personas
✔ creencias afectadas.
✔ afiliación sindical • Aquéllos que contengan datos derivados
A excepción de los ficheros mantenidos de actos de violencia de género.
por partidos políticos, sindicatos, grupos
religiosos, fundaciones y otras entidades
sin ánimo de lucro con similares
funciones para sus asociados o
miembros, siempre con el previo
consentimiento.
3. Tratamiento para origen racial, salud y
vida sexual solo por razones de interés
general y por una ley, o bien cuando
haya consentimiento expreso -aquí ya no
dice por escrito-
4. Prohibidos los ficheros cuyo único fin
sea almacenar algunos de los datos
anteriores.
5. Las infracciones penales o
administrativas solo podrán tratarse o
almacenarse por las Administraciones
Públicas.
6. Se exceptúa lo dicho en 2 y 3: ideología,
religión, creencias, afiliación sindical,
origen racial, salud y vida sexual para
prevención o diagnóstico médico o
gestión de servicios sanitarios.
Lo que está claro aquí es que todos los datos especialmente protegidos necesitan medidas de
protección de nivel alto. No hay datos especialmente protegidos que no las necesiten, salvo unas
excepciones que sí están contempladas:
• En caso de ficheros o tratamientos de datos de ideología, afiliación sindical, religión,
creencias, origen racial, salud o vida sexual bastará la implantación de las medidas de
seguridad de nivel básico cuando:
a) Los datos se utilicen con la única finalidad de realizar una transferencia dineraria a
las entidades de las que los afectados sean asociados o miembros.
b) Se trate de ficheros o tratamientos en los que de forma incidental o accesoria se
contengan aquellos datos sin guardar relación con su finalidad.
• También podrán implantarse las medidas se seguridad de nivel básico en los ficheros o
tratamientos que contengan datos relativos a la salud, referentes exclusivamente al grado de
discapacidad o la simple declaración de la condición de discapacidad o invalidez del
afectado, con motivo del cumplimiento de deberes públicos.
No es cierta la implicación de que todas las medidas de seguridad de nivel alto son solo para los
datos especialmente protegidos, ya que aparecen los datos recabados para fines policiales sin el
consentimiento del afectado y los datos de violencia de género, como datos que requerirán medidas
de protección de nivel alto, pero sin ser datos especialmente protegidos según la ley o el
reglamento.
El Documento de Seguridad
Recogerá las medidas de índole técnica y organizativa acordes a la normativa de seguridad vigente
que será de obligado cumplimiento para el personal con acceso a los sistemas de información.
Deberá contener, como mínimo, los siguientes aspectos:
a) Ámbito de aplicación del documento con especificación detallada de los recursos
protegidos.
b) Medidas, normas, procedimientos de actuación, reglas y estándares encaminados a
garantizar el nivel de seguridad exigido en este reglamento.
c) Funciones y obligaciones del personal.
d) Estructura de los ficheros y descripción de los sistemas de información que los tratan.
e) Procedimientos de notificación, gestión y respuesta ante las incidencias.
f) Los procedimientos de realización de copias de respaldo en los ficheros o tratamientos
automatizados.
g) Las medidas que sea necesario adoptar para el transporte de soportes y documentos.
Si hay que aplicar medidas de nivel alto además:
a) La identificación del responsable o responsables de seguridad.
b) Los controles periódicos que deban realizar para verificar el cumplimiento de lo dispuesto
en el propio documento.
Cuando exista un tratamiento de datos por cuenta de terceros:
1. Identificación de los ficheros o tratamientos que se traten en concepto de encargado con
referencia expresa al contrato o documento que regule:
1. Las condiciones del encargo
2. La identificación del responsable
3. El período de vigencia del encargo
2. Si el encargo es para la totalidad de los ficheros esta circunstancia deberá anotarse en el
documento de seguridad.
3. Podrá delegarse la llevanza del documento en el encargado
Medidas de Seguridad
Aunque esté distribuido de una manera poco ordenada existen medidas de seguridad con el mismo
epígrafe en los tres niveles de seguridad, pero que van añadiendo progresivamente
responsabilidades. Recordar claramente que si una medida aparece en un nivel y no en el superior
no es que no se deba llevar a cabo, esto puede llevar a preguntas con truco. Todo lo de los niveles
inferiores se “acumula”. Aquí hay que tratar de memorizar qué medidas y a qué nivel de exigencia
se expone en cada nivel de seguridad.
Vamos a ver un resumen al revés, en el que se exponen las medidas de seguridad que hay y en qué
nivel aparecen por primera vez. Entre paréntesis estarán los niveles en los que aparece.
• Funciones y Obligaciones del Personal (1)
• Nivel Básico – Del personal con acceso a D.C.P.
• Registro de Incidencias (2)
• Nivel Básico – Deberá existir un procedimiento de notificación y gestión de las
incidencias y establecer un registro: tipo, efectos, medidas correctoras, etc.
• Nivel Medio – Consignarse además los procedimientos realizados para la recuperación
de los datos y la persona que realizó el proceso. Y qué datos hubo que grabar a mano.
Necesaria autorización para la recuperación.
• Identificación y autenticación (2)
• Nivel Básico –
• Mecanismo que permita la identificación de forma inequívoca y personalizada de
todo aquel usuario que intente acceder al sistema.
• Si hay contraseña existirá un procedimiento de asignación, distribución y
almacenamiento que garantice su confidencialidad e integridad.
• El período de validez de la contraseña nunca superior a un año.
• Nivel Medio – Se establecerá un mecanismo que limite la posibilidad de intentar
reiteradamente el acceso no autorizado al sistema de información.
• Control de Acceso (3)
• Nivel Básico – Relación actualizada de usuarios y perfiles de usuario, y los accesos
autorizados para cada uno. Exclusivamente el personal autorizado para ello en el
Documento de Seguridad podrá conceder, alterar o anular el acceso.
• Nivel Medio – Control de acceso físico. Solo el personal autorizado accederá a los
lugares donde se hallen instalados los equipos físicos con los datos.
• Nivel Alto – Registro de Accesos. De cada intento de acceso se guardarán como
mínimo:
• Identificación del usuario.
• Fecha y hora.
• Fichero accedido, caso de éxito.
• Tipo de acceso.
• Autorizado o denegado.
• Registro accedido, caso de éxito.
• Gestión de Soportes y Documentos (3)
• Nivel Básico –
• Los soportes y documentos que contengan D.C.P. deberán permitir identificar el tipo
de información que contienen, ser inventariados y ser solo accesibles por el personal
autorizado, salvo que los soportes no lo permitan.
• Salida de datos es autorizable o si no, estar autorizada en el Documento de
Seguridad.
• La identificación de soportes con datos sensibles se podrá realizar con etiquetado que
dificulte la identificación a las personas no autorizadas.
• Nivel Medio –
• Un registro de entrada/salida de soportes permitirá conocer:
• Tipo de documento
• Fecha y hora
• Número de documentos incluidos en la transmisión
• Tipo de información
• Forma de envío
• Entrada: emisor y persona responsable de la recepción
• Salida: destinatario y persona responsable del envío
• Nivel Alto – Gestión y Distribución de Soportes
• Etiquetados que dificulten la identificación a los no autorizados, ahora son
obligatorios.
• Cifrado de datos para las transmisiones o también cuando los datos viajen en
dispositivos portátiles, o medidas alternativas en caso de imposibilidad, que deberán
detallarse en el Doc. Seg.
• Copias de Respaldo y Recuperación (2 irregular)
• Nivel Básico –
• Un mínimo de 1 copia semanal si se han producido cambios en los datos.
• Solo en los ficheros o tratamientos parcialmente automatizados se permite grabación
manual al recuperar los datos salvaguardados.
• El responsable del fichero verificará cada seis meses las copias y sus
procedimientos.
• Nivel Alto – Conservar una copia de los datos y de los procedimientos en un lugar físico
diferente, que también deberá cumplir las medidas aquí expuestas.
• Responsable de Seguridad (1)
• Nivel Medio – Designación de uno o varios responsables de seguridad, para todos los
ficheros o por grupos, que no exonera al responsable del tratamiento.
• Auditoría (1)
• Nivel Medio – Al menos cada dos años una auditoría interna o externa. Se hará una con
carácter extraordinario si hay modificaciones sustanciales en el SI. Los informes de
auditoría serán analizados por el responsable de seguridad.
• Telecomunicaciones (1) – la única que sólo exige a nivel alto.
• Nivel Alto – La transmisión de D.C.P. a través de redes públicas o redes inalámbricas
debe ser cifrada o con mecanismo que garantice que la información no sea inteligible ni
manipulada por terceros.
Serie de números que nos dice cuantas veces aparece cada medida, en orden que se da a
continuación, en cada uno de los niveles. Para las medidas, en las que no pongo nada, si el número
es 1 es que es en básico, si es 2 es que es en básico y medio, etc.
• 122332111
• Funciones y obligaciones del Personal
• Registro Incidencias
• Identificación y Autenticación
• Control de Acceso
• Gestión de Soportes y Documentos
• Copias de Respaldo y Recuperación (básico y alto)
• Responsable de Seguridad (medio)
• Auditoría (medio)
• Telecomunicaciones (alto)
• La FIA haCe GRR porque solo tiene ordenadores AT.
Infracciones y Sanciones
En la ley están las generalidades de las infracciones y sanciones, toda la chicha, pero en el
Reglamento también se habla del Procedimiento sancionador (Título IX, Capítulo II, Sección 3ª)
Ficheros en general
La mejor manera de aprenderse esto es memorizando las leves y memorizando las muy graves, que
ambos grupos son pequeños. Intentaremos crear nemotécnicos o algo parecido.
Son infracciones leves (RISE!!! RISE!! We shall RISEEEEE!!):
a) No Remitir a la AEPD las notificaciones previstas en este Ley o en sus disposiciones de
desarrollo.
b) El incumplimiento del deber de Información al afectado acerca del tratamiento de sus
datos de carácter personal cuando los datos sean recabados del propio interesado.
c) No Solicitar la inscripción del fichero de datos de carácter personal en el Registro General
de Protección de Datos.
d) La transmisión de los datos a un Encargado del tratamiento sin dar cumplimiento a los
deberes formales establecidos en el artículo 12 de esta Ley.
Son infracciones muy graves:
a) La recogida de datos en forma engañosa o Fraudulenta.
b) Tratar o ceder datos de carácter personal Especialmente protegidos a los que se refieren
los apartados 2, 3 y 5 del artículo 7 de esta Ley salvo en los supuestos en que la misma lo
autoriza o violentar la prohibición contenida en el apartado 4 del artículo 7.
(Son los datos especialmente protegidos: religión, creencias, ideología, afiliación sindical,
origen racial, salud, vida sexual, además de los de comisión de infracciones penales o
administrativas, que solo los pueden tratar las Administraciones Públicas)
c) No Cesar en el tratamiento ilícito de datos de carácter personal cuando existiese un previo
requerimiento del Director de la Agencia Española de Protección de Datos para ello.
d) La transferencia internacional de datos de carácter personal con destino a países que no
proporcionen un nivel de protección equiparable sin autorización del Director de la
AEPD salvo en los supuestos en los que conforme a esta Ley y sus disposiciones de
desarrollo dicha autorización no resulta necesaria.
Prescripción
Infracciones: 3 años, 2 años, 1 año y Sanciones: 3 años, 2 años, 1 año.
El procedimiento sancionador
Iniciación
Contiene:
1. Identificación de responsables
2. Descripción sucinta de hechos y posible calificación sanciones
3. Indicación de que el órgano competente es AEPD
4. Indicación al responsable de que puede reconocer voluntariamente su responsabilidad
5. Designación de instructor
6. Indicación expresa derecho formular alegaciones
7. Medidas de carácter provisional
El plazo máximo para dictar resolución será el que determinen las normas
aplicables a cada procedimiento sancionador y se computará desde la fecha en que se
dicte el acuerdo de inicio hasta que se produzca la notificación de la resolución
sancionadora, o se acredite debidamente el intento de notificación.
El vencimiento del citado plazo máximo, sin que se haya dictado y notificado
resolución expresa, producirá la caducidad del procedimiento y el archivo de las
actuaciones.