Lopd Varios

Creado el 11/12/06
LOPD
Documentos Varios
Adolfo Manuel Pachn Rodrguez
Origen: Destino: Tipo Documento: Lectura:
INFORMTICA INFORMTICA INFORMACIN DISPONIBLE
LOPD
Pgina 1 de 60
Creado el 11/12/06
ndice de Contenido
1. LA PROTECCIN DE DATOS DE CARCTER PERSONAL, UNA NUEVA OBLIGACIN PARA LAS EMPRESAS Y PROFESIONALES.........................................................................................................3 2. IMPLICACIONES Y RESPONSABILIDADES DE LA PROTECCIN DE DATOS DE CARCTER PERSONAL.....................................................................................................................................................6 3. LA IMPORTANCIA DE LA PROTECCIN DE LA INFORMACIN CORPORATIVA.LOS ACUERDOS O PACTOS DE CONFIDENCIALIDAD...................................................................................8 4. BIEN JURDICO PROTEGIDO POR LA NORMATIVA SOBRE PROTECCIN DE DATOS DE CARCTER PERSONAL. EVOLUCIN.....................................................................................................12 5. MBITO DE APLICACIN DE LA LOPD QU DATOS/FICHEROS SE REGULAN POR LA LOPD Y CULES NO?............................................................................................................................................14 6. INSCRIPCIN DE FICHEROS LOCALIZACIN Y DETERMINACIN DE LOS FICHEROS A INSCRIBIR....................................................................................................................................................17 7. INSCRIPCIN NOTIFICACIN DE FICHEROS EN LA AGENCIA ESPAOLA DE PROTECCIN DE DATOS. PROCEDIMIENTO..................................................................................................................21 8. INSCRIPCIN DE LOS FICHEROS TEMPORALES..............................................................................25 9. OBTENCIN DEL CONSENTIMIENTO DE LOS TITULARES DE LOS DATOS Y OTROS PRINCIPIOS BSICOS DE LA LOPD.........................................................................................................28 10. CALIDAD DE LOS DATOS (ART.4 LOPD)..........................................................................................30 11. CONSENTIMIENTO DEL AFECTADO (ART.6)..................................................................................33 12. LEGITIMACIN: DEBER DE SECRETO (ART.10).............................................................................36 13. LAS MEDIDAS DE SEGURIDAD EN LA PROTECCIN DE DATOS DE CARCTER PERSONAL.. 38
LOPD
Pgina 2 de 60
Creado el 11/12/06
Introduccin: Empiece a Conocer la Ley 1. La Proteccin de Datos de Carcter Personal, una nueva Obligacin para las Empresas y Profesionales.
La Proteccin de Datos de Carcter Personal es una materia que ha tomado importancia en los ltimos aos, fundamentalmente a raz de la aprobacin de la LO 15/1999 de Proteccin de Datos de Carcter Personal, convirtindose en una obligacin a cumplir por las empresas si no quieren estar expuestas a duras sanciones por la Agencia Espaola de Proteccin de Datos.
Por: Mara Gonzlez Moreno de Manaca Consulting, S.L.
Muchas veces las trampas surgen en el camino, por el propio devenir del La Ley Orgnica de Proteccin de Datos, en adelante LOPD, ha adquirido una gran importancia debido a que equipara y convierte el derecho a la proteccin de los datos personales en un derecho fundamental de las personas. El derecho fundamental al que hacemos referencia tiene una estrecha relacin con el derecho a la intimidad y al honor, encuadrndose todos ellos dentro del art. 18 de la Constitucin. Este nuevo derecho fundamental adopta la denominacin de libertad informativa o autodeterminacin informtica, protegiendo el control que a cada una de las personas le corresponde sobre la informacin que les concierne personalmente, sea intima o no, para preservar el libre desarrollo de la personalidad. La LOPD establece una serie de obligaciones en aras a la proteccin de los datos personales contenidos en ficheros automatizados que poseen empresas y administraciones pblicas, y que son tratadas por stas con diferentes finalidades; gestin de personal, proveedores, clientes, campaas de marketing, etc. OBLIGACIONES BSICAS IMPUESTAS POR LA LOPD Las obligaciones bsicas impuestas por la LOPD se pueden resumir en: 1. LEGALIZAR. Todos los ficheros de datos de carcter personal debern estar inscritos y legalizados ante la Agencia Espaola de Proteccin de Datos. 2. LEGITIMAR. Todos los datos de carcter personal recogidos por la empresa, deben contar con el consentimiento del afectado, as como cumplir una serie de principios bsicos como son: A. Principio del consentimiento del afectado. B. Principio de informacin C. Principio de calidad de los datos
LOPD
Pgina 3 de 60
Creado el 11/12/06
A) Por principio del consentimiento entiende la Ley que es la manifestacin de voluntad, libre, inequvoca, especfica e informada, mediante la cual el interesado consiente el tratamiento de los datos personales que le son recabados. Cuando una empresa decide recabar datos de carcter personal debe, para poder utilizarlos, recabar el consentimiento de la persona que los cede. Ese consentimiento no se basa en que demos los datos, sino en qu nosotros seamos conscientes de que los damos. Por ello, se exige casi siempre (existen excepciones) que la persona que da sus datos personales lo manifieste conscientemente, y que ese consentimiento sea informado. Ello supone que el consentimiento del afectado deber ser precedido por una declaracin del Responsable del Fichero (la empresa que los recaba) en la que se indiquen, de forma clara y fcilmente comprensible, los datos que van a ser objeto de tratamiento y las finalidades a que van a ser destinados, para que los interesados indiquen, sin ningn gnero de dudas, su conformidad con su tratamiento o su oposicin al mismo. Actualmente, se recaban ms datos a travs de formularios en pginas web que de manera tradicional y encontramos, en ellos, una serie de casillas de verificacin en las que aparece que, adems de ceder los datos, damos nuestro consentimiento para recibir cualquier tipo de publicidad o comunicacin a travs de correo electrnico. Estas casillas, segn lo dispuesto en la normativa Comunitaria sobre Comunicaciones Comerciales y en lo que dispone la Ley de Servicios de la Sociedad de la Informacin, deben estar en blanco para que sea el propio afectado el que las marque si desea recibir tal informacin y porque tal acto supone el consentimiento expreso. En cuanto a las excepciones sobre que el consentimiento sea expreso e inequvoco, encontramos las siguientes: 1.- No es necesario recabar el consentimiento del afectado cuando los datos de carcter personal se recojan para el ejercicio propio de las Administraciones Pblicas. 2.- Tampoco es necesario el consentimiento cuando los datos se refieran a las partes de un contrato o precontrato en una relacin negocial, laboral o administrativa y sean necesarios para el cumplimiento o el mantenimiento de las obligaciones nacidas del mismo. 3.- No ser necesario el consentimiento del afectado si los datos son recabados de fuentes accesibles al pblico. Pero, en el caso de que sean utilizados estos datos, en cada comunicacin que se realice, se informar al interesado que sus datos proceden de estas fuentes, con lo que puede entenderse que es un consentimiento a posteriori. B) El principio del deber de informacin es la obligacin que tienen las empresas de informarnos, de forma previa a la recogida, de modo expreso, inequvoco y preciso de lo siguiente: 1.- De la existencia de un "fichero" al que sern incorporados los datos que nos solicitan. 2.- Del carcter obligatorio o facultativo de consignar determinados datos. 3.- De las consecuencias de la obtencin de los datos. 4.- De la posibilidad del ejercicio de los derechos de acceso, rectificacin, cancelacin u oposicin al tratamiento de los datos. 5.- De la identidad y direccin del responsable del tratamiento o, en su caso, de su representante.
LOPD
Pgina 4 de 60
Creado el 11/12/06
C) Esta informacin previa que se nos debe entregar a la recogida responde tambin al principio de calidad y contenido de los datos que nos son solicitados. La calidad hace referencia a que los datos son recogidos para una concreta finalidad, y no podrn ser destinados por el Responsable del Fichero a otras finalidades. La finalidad tambin nos permite reconocer qu fichero es al que deben dirigirse los interesados para ejercitar los derechos reconocidos por la Ley: los derechos de acceso, modificacin, oposicin y cancelacin. Si la empresa que almacena y trata datos de carcter personal cumple con los tres principios bsicos, facilita al interesado el ejercicio de estos derechos en los plazos y en los extremos sealados por la ley (derecho a solicitar y obtener gratuitamente informacin de sus datos sometidos a tratamiento, la modificacin, cancelacin u oposicin a su tratamiento o cesin, el origen de dichos datos, as como las comunicaciones realizadas y las que se prevn realizar) y legaliza el fichero ante el Registro de la Agencia de Proteccin de Datos, estableciendo unas medidas de seguridad para la proteccin del mismo, estar totalmente segura de no incurrir en las infracciones previstas. Adems, hay que tener en cuenta las precauciones a adoptar en el caso de que los datos de carcter personal vayan a ser cedidos a otras empresas, o bien cuando el tratamiento de estos datos se va a efectuar por cuenta de tercero, ya que debern realizarse contratos especficos. 3. PROTECCIN. La LOPD y el Reglamento de Medidas de Seguridad (RD 994/1999), establecen la obligacin de establecer una serie de medidas de carcter tcnico y organizativo que garanticen la seguridad de los datos de carcter personal, medidas que habrn de adoptarse / implementarse por la empresa o profesional que almacene estos datos. Entre estas medidas se incluye la elaboracin de un Documento de Seguridad en el que se detallarn los datos almacenados, las medidas de seguridad adoptadas, as como las personas que tienen acceso a esos datos. El cumplimiento de cada una de estas obligaciones tan slo exige un pequeo esfuerzo de las empresas y profesionales, que junto al asesoramiento adecuado, evitar disgustos y la imposicin de duras sanciones econmicas.
LOPD
Pgina 5 de 60
Creado el 11/12/06
2. Implicaciones y Responsabilidades de la Proteccin de Datos de Carcter Personal.

La Proteccin de Datos de Carcter Personal es una materia que preocupa a todas las empresas, principalmente por las fuertes sanciones econmicas que impone la Agencia Espaola de Proteccin de Datos en caso de incumplimiento.
Le recomendamos completar la informacin con: La Proteccin de Datos de Carcter Personal, una nueva Obligacin para las Empresas y Profesionales. Pero, el deber de las empresas en esta materia no slo debe consistir en la adaptacin a la normativa vigente, sino tambin en la aplicacin prctica de los principios de proteccin de datos en el seno de la empresa, dentro de cada uno de los departamentos, involucrando a todo el personal... Las consecuencias del incumplimiento de la normativa no se quedan slo en las sanciones de la Agencia, sino que van ms all y afectan a todos. El cumplimiento de lo establecido en la LOPD (LO 15/1999 de Proteccin de Datos de Carcter Personal) y su normativa de desarrollo (RD 994/1999, Reglamento de Medidas de Seguridad de los Ficheros Automatizados que contengan datos de carcter personal) pasa no slo por la legalizacin, legitimacin y proteccin de los ficheros de datos de carcter personal, sino tambin por su aplicacin prctica en el seno de las organizaciones, es decir, la incorporacin a la dinmica de la empresa de los principios rectores de la Proteccin de Datos de Carcter Personal. La incorporacin a la dinmica de la empresa de los principios rectores de la Proteccin de Datos de Carcter Personal, adquiere una gran importancia desde el momento en que las consecuencias de su incumplimiento conllevan grandes responsabilidades tanto para la Organizacin como para el personal que trata o accede a los datos de carcter personal, es decir, las sanciones ya no slo son administrativas y dirigidas a la Organizacin en s, sino que adems de ellas se pueden derivar responsabilidades civiles, penales y laborales. a) Administrativas: Sanciones contempladas en la LOPD y que son impuestas por la Agencia Espaola de Proteccin de Datos en el ejercicio de sus funciones, ya sea por inspeccin de oficio o abierta a instancia de parte. Estas sanciones son de carcter econmico y su cuanta est entre 601,01 y 601.012,10 Euros. b) Civiles: Artculos del Cdigo Civil relativos a la Responsabilidad Contractual y Extracontractual (arts. 1902 y 1903 CC). As cuando determinado servicio es contratado a un tercero ajeno a la propia organizacin e implique un acceso a los ficheros de datos de carcter personal, deber estar precedido del correspondiente contrato de acceso a datos en el que se limiten las facultades del tercero en cuanto al tratamiento de los datos de carcter personal, se especifiquen las medidas de seguridad que debern ser implantadas o cumplidas por el tercero para la proteccin del fichero, y se determinen las responsabilidades derivadas del incumplimiento de la LOPD o de lo establecido en el contrato.
LOPD
Pgina 6 de 60
Creado el 11/12/06
c) Penales: El Cdigo Penal tipifica los delitos contra la intimidad y concretamente el descubrimiento y revelacin de secretos en los artculos 197 y siguientes. En este sentido, ha sido condenado recientemente un funcionario de la Seguridad Social, a cinco aos y tres meses de prisin, una multa de 330.556 Euros y la inhabilitacin especial de 11 aos para empleo o cargo pblico, por vender datos personales de cotizantes a una empresa privada. d) Laborales: La fuga de datos, un tratamiento inadecuado de los ficheros de datos de carcter personal, un acceso no autorizado a los datos del fichero, una proteccin inadecuada de los ficheros, pueden venir derivadas de cualquier puesto laboral dentro del seno de la Organizacin. Cuando una cadena de fallos deriva en la imposicin de una sancin a la Organizacin, es frecuente que adems se deriven responsabilidades laborales. En consecuencia, se hace absolutamente necesario el establecimiento de una serie de medidas adicionales para la correcta aplicacin de la Ley de Proteccin de Datos en las empresas, tendentes principalmente a informar y formar al personal que trata los datos, independientemente de su cargo o funcin. Como principales acciones adicionales encaminadas a informar y formar al personal sobre los principios del tratamiento de datos de carcter personal encontramos las siguientes: 1. Establecimiento de una Poltica de Tratamiento de Datos en la Organizacin. Esta Poltica de Tratamiento de Datos deber entregarse a cada uno de los empleados que entre sus funciones est el tratamiento de datos de carcter personal, quin deber firmarla tras su conocimiento. En esta Poltica se suele informar sobre el carcter y finalidad de la LOPD y su normativa de desarrollo, las obligaciones bsicas impuestas, as como los diferentes principios, acciones y procedimientos a adoptar en la gestin diaria de la empresa. Igualmente, se puede informar al empleado sobre otras medidas o polticas de seguridad de los sistemas de informacin implementados por la Organizacin, as como de las responsabilidades que se pueden derivar de su incumplimiento. 2. Formacin en materia de Proteccin de Datos. El establecimiento de seminarios, conferencias o jornadas de formacin en materia de proteccin de datos en el seno de las Organizaciones es otra de las medidas que se pueden adoptar. Como principales ventajas de la formacin encontramos: Informacin y Formacin para el empleado. Formacin personalizada para cada empresa. Se analizaran los casos concretos de cada organizacin y su problemtica particular. Mayor participacin de los empleados. Podrn consultar y comentar las particularidades de cada puesto.
LOPD
Pgina 7 de 60
Creado el 11/12/06
3. La importancia de la Proteccin de la Informacin Corporativa.Los Acuerdos o Pactos de Confidencialidad.

Mara Gonzlez, aborda en este artculo determinados medios legales a tener en cuenta por cualquier empresa para la proteccin de su Informacin Corporativa Confidencial
Resumen La Informacin Corporativa Confidencial es uno de los principales activos de las empresas y como tal, debe estar protegida con medios tcnicos y legales de accesos no autorizados. El establecimiento de Pactos de Confidencialidad con trabajadores y terceras empresas nos permitir proteger la Informacin Corporativa Confidencial, estableciendo expresamente las obligaciones y limites que se han de tener en cuenta en su tratamiento. El incumplimiento de los Pactos de Confidencialidad puede suponer el inicio de acciones legales, y la reclamacin de indemnizaciones por daos y perjuicios. La Informacin Corporativa (informacin relativa a los productos, servicios, clientes, proveedores, personal, mtodo de trabajo, organizacin, estrategias empresariales, informacin econmica y financiera, etc...) se considera como uno de los principales activos de negocio de cualquier empresa, y como tal, debe ser protegida adecuadamente con medios tcnicos y legales, de forma que se evite, en la medida de lo posible, que cualquier persona fsica o jurdica pueda acceder/obtener/tratar/difundir la misma fraudulenta o ilcitamente, causando perjuicios ms o menos graves a su titular. En este artculo abordamos determinados medios legales a tener en cuenta por cualquier empresa para la proteccin de su Informacin Corporativa Confidencial, tanto a nivel interno (con respecto al personal que accede/trata esa informacin con motivo de su relacin laboral), como a nivel externo (cuando es una tercera empresa o persona la que accede y trata la informacin); as como las acciones legales que permiten la defensa y reparacin de los derechos e intereses del titular.
3.b)Qu entendemos por Informacin Confidencial?

La Real Academia de la Lengua Espaola define Confidencial como que se hace o se dice en confianza o con seguridad reciproca entre dos o ms personas, y Confidencialidad como la cualidad de confidencial. As, el empresario tiene la libertad de calificar como Confidencial, cualquier documento o informacin, que a su juicio, influya directa o indirectamente en el desarrollo del negocio: estrategias empresariales, mtodos de negocio, documentos contractuales, propiedad intelectual, patentes, desarrollo de nuevos productos, etc... Esta Informacin Confidencial ha de gozar de una proteccin especial, tendente a evitar su filtracin, divulgacin o difusin a terceros, acciones que pueden causar graves perjuicios a su empresa (imaginemos por ejemplo, que una determinada estrategia empresarial tendente a posicionar en el mercado una determinada empresa, es filtrada y difundida previa y fraudulentamente a la competencia, lo que impide al empresario el posicionamiento deseado).
LOPD
Pgina 8 de 60
Creado el 11/12/06
3.c)Proteccin interna de la Informacin Confidencial de la empresa.

A) Qu establecen las normas laborales? Respecto a la Proteccin de la Informacin Confidencial dentro de la propia empresa hay que distinguir entre los trabajadores y el personal de alta direccin, que por razn de su puesto y funciones, accede o trata dicha Informacin. En cuanto a los Trabajadores, se entiende que existe una obligacin de confidencialidad y secreto intrnseca a la relacin laboral, incluso cuando no exista una referencia expresa a la misma en el Contrato de Trabajo o no se hayan firmado Acuerdos de Confidencialidad especficos. As, se entiende que el deber de confidencialidad y secreto se encuentra recogido por el art. 5 Estatuto de los Trabajadores (referente a los deberes laborales), y en concreto en su punto 1.a) que hace referencia expresa al deber de Cumplir con las obligaciones concretas de su puesto de trabajo, de conformidad a las reglas de la buena fe y diligencia. A pesar de lo establecido en el Estatuto de los Trabajadores es recomendable incluir en los Contratos Laborales o adicionalmente a los mismos, Acuerdos o Pactos de Confidencialidad, que establezcan claramente las obligaciones de los trabajadores en este sentido. Con la firma de estos Acuerdos o Pactos de Confidencialidad, informaremos a los trabajadores de las pautas a seguir en el tratamiento de la Informacin Confidencial, sus obligaciones y los limites establecidos, pudiendo, con esta medida, reducir algunas practicas que se dan en el mundo empresarial (por ejemplo: llevarse las bases de datos o informacin confidencial o reservada, desarrollos de nuevos productos, etc... en el momento de abandonar el puesto laboral) o, en caso contrario, tener un documento que pueda servir como prueba en juicio en el que se manifiesta expresamente la obligacin de confidencialidad y secreto, y el conocimiento del trabajador de tal obligacin. En cuanto al Personal de Alta Direccin, y dado que por razn de su cargo acceden a informacin especialmente sensible y/o confidencial, existe la obligacin expresa de mantener la confidencialidad y secreto de las informaciones a las que tiene acceso por razn de su cargo, siendo prctica habitual el firmar Acuerdos especficos de confidencialidad junto con los Contratos de Trabajo, bien a travs de una clusula especfica de confidencialidad en los Contratos, o bien incluyendo un Pacto o Acuerdo de Confidencialidad como Anexo al contrato principal de trabajo. Adems de la obligacin de confidencialidad especfica que tiene el personal de alta direccin de las empresas, hay que hacer referencia al pacto de no concurrencia, es decir, aquel por el que un personal de alta direccin no podr celebrar contratos de trabajo con otras empresas, salvo autorizacin del empresario o pacto escrito en contrario (art. 8 RD 1382/1985). B) Otros medios de proteccin interna de la Informacin Corporativa o Confidencial. Adems del establecimiento de Acuerdos o Pactos de Confidencialidad, la empresa deber tener establecidos medios tcnicos u organizativos que permitan la proteccin de la informacin confidencial independientemente del soporte en el que sea tratada o almacenada. As es recomendable establecer las siguientes medidas de proteccin:
Limitar el acceso a la informacin confidencial. Es decir, permitir el acceso a dicha informacin slo al personal que por razn de su cargo o funciones es necesario que acceda a dicha informacin, no permitiendo tal acceso al resto del personal.
LOPD
Pgina 9 de 60
Creado el 11/12/06
Establecer medidas tcnicas que permitan la visualizacin o tratamiento de informacin confidencial (por ejemplo: uso de contraseas para el acceso a los documentos, criptografa, etc...). Mantener/Almacenar los documentos confidenciales en soporte papel, en armarios que se encuentren cerrados bajo llave o cajas fuertes, a las que slo tengan acceso las personas autorizadas. Realizar de copias de seguridad que eviten la perdida de informacin confidencial o sensible en caso de catstrofe, guardando una copia fuera de las instalaciones principales de la empresa (recordemos lo sucedido en el edificio Windsor de Madrid para comprender la importancia de esta medida).
Por ltimo, y en relacin a la proteccin de la informacin confidencial dentro del mbito interno de la empresa, hay que sealar que en la prestacin de determinados servicios se accede a informacin confidencial de terceros, existiendo de este modo, una obligacin especifica de confidencialidad con respecto a esa tercera empresa, obligacin de confidencialidad que se extiende a los trabajadores que tratan dicha informacin, y que por tanto, debe quedar expresamente regulada a nivel interno, a fin de evitar posibles responsabilidades derivadas de la negligencia de algn trabajador de la empresa.
3.d)Proteccin de la Informacin Confidencial de la empresa cuando es tratada por terceros. Los contratos de outsourcing.
Cuando una empresa vaya a encargar la prestacin de un determinado servicio, que implique el tratamiento o acceso a informacin confidencial por parte de terceras empresas, es recomendable incluir en el Contrato de Prestacin de Servicios, una clusula especifica de confidencialidad, o bien, firmar directamente con cada una de las personas que accedan a dicha Informacin, Pactos o Acuerdos de Confidencialidad especficos. Igualmente, y cuando la prestacin del servicio implique el tratamiento de bases de datos titularidad de un tercero, es necesario tener en cuenta los aspectos recogidos en el artculo 12 de la LOPD, Acceso a Datos por Cuenta de Terceros, que ya fueron desarrollados en el artculo 5 pautas para proteger la informacin confidencial de mi empresa cuando es tratada por terceros.
3.e)Contenido bsico de un Acuerdo o Pacto de Confidencialidad.

-Establecer claramente qu se entiende por Informacin Confidencial. En este sentido, se puede establecer el deber de guardar secreto respecto de toda o determinada informacin tratada, siendo recomendable huir de referencias genricas a la confidencialidad. Establecer claramente los medios, recursos o informacin que se pone a disposicin del trabajador o tercera empresa, determinando la titularidad de la misma. Establecer especficamente la obligacin de secreto y confidencialidad, el deber de actuar diligentemente en cuanto al tratamiento, conservacin, almacenamiento, transporte, etc... estableciendo que en todos los casos debern adoptarse los medios que aseguren y garanticen dicho secreto, y se evite su prdida o el acceso a la misma de terceros no autorizados. Establecer la obligacin de devolver la informacin confidencial a la que se ha tenido acceso en el momento que termine la relacin contractual, estableciendo, igualmente, que a pesar de dicha terminacin, la obligacin de confidencialidad y secreto permanecer vigente durante el plazo que sea establecido por las partes (la prctica habitual en este sentido, es establecer un plazo de 2 aos despus de finalizada la relacin contractual).
LOPD
Pgina 10 de 60
Creado el 11/12/06
Es conveniente, igualmente, informar de las consecuencias que pueden derivarse del incumplimiento de dicha obligacin de confidencialidad y secreto. As puede establecerse que la sustraccin o revelacin de dicha informacin puede ser constitutivo de un ilcito de naturaleza penal (art. 197 CP del descubrimiento y revelacin de secretos), puede ser objeto de acciones disciplinarias (despido disciplinario en caso de que el incumplimiento venga por parte de un trabajador), reclamacin de indemnizaciones por daos y perjuicios, etc... Por ltimo, en los Acuerdos o Pactos de Confidencialidad pueden establecerse todas las especialidades, que por razn de la relacin contractual que se establece, sean establecidas por las partes.
3.f)Limites de la Obligacin de Confidencialidad y Secreto.

Hay que sealar que la Obligacin de Confidencialidad y Secreto queda limitada en aquellos casos en los que, por imperativo legal, la parte obligada sea requerida por un organismo jurisdiccional o administrativo para facilitar determinada informacin. En estos casos, debern ser atendidas aquellas rdenes en las que: La obligacin de entrega venga determinada de manera concreta en la orden. Sea dictada por una administracin o juzgado competente. Sea firme.
En estos casos, se informar a la otra parte de inmediato sobre el requerimiento recibido, siempre que no exista obligacin de guardar secreto sobre el mismo por mandato legal, administrativo o judicial.
LOPD
Pgina 11 de 60
Creado el 11/12/06
Objeto y mbito de aplicacin de la LOPD: Qu entra y qu no en la LOPD 4. Bien jurdico protegido por la normativa sobre proteccin de datos de carcter personal. Evolucin.
Para profundizar en el por qu de la importancia de la normativa sobre Proteccin de Datos de Carcter Personal y conocer su objeto y finalidad principal, es preciso conocer la finalidad de la Ley y los antecedentes de la misma. As, hemos de remontarnos hasta el ao 1992, en el que se aprob la denominada LORTAD, precedente de la actual LOPD.
A) LOS ANTECEDENTES. La LORTAD o Ley Orgnica 5/1992, de 29 de Octubre, de Regulacin del Tratamiento Automatizado de Datos de Carcter Personal, desarrollaba en su Exposicin de Motivos 1 el art. 18 de la Constitucin Espaola de 1978, asimilando, de este modo, el derecho a la proteccin de datos de carcter personal con el Derecho Fundamental al Honor, la Intimidad personal y familiar, y la propia imagen, estableciendo:
...hasta el presente, las fronteras de la privacidad estaban defendidas por el tiempo y el espacio. El primero procuraba, con su transcurso, que se desvanecieran los recuerdos de las actividades ajenas, impidiendo, as, la configuracin de una historia lineal e ininterrumpida de la persona; el segundo, con la distancia que impona, hasta hace poco difcilmente superable, impeda que tuvisemos conocimiento de los hechos que, protagonizados por los dems, hubieran tenido lugar lejos de donde nos hallbamos. El tiempo y el espacio operaban, as, como salvaguarda de la privacidad de la persona. Uno y otro lmite han desaparecido hoy: las modernas tcnicas de comunicacin permiten salvar sin dificultades el espacio, y la informtica posibilita almacenar todos los datos que se obtienen a travs de las comunicaciones y acceder a ellos en apenas segundos, por distante que fuera el lugar donde transcurrieron los hechos, o remotos que fueran stos. Los ms diversos datos relativos a las personas podran ser, as, compilados y obtenidos sin dificultad. Ello permitira a quien dispusiese de ellos acceder a un conocimiento cabal de actitudes, hechos o pautas de comportamiento que, sin duda, pertenecen a la esfera privada de las personas; a aqulla a la que slo deben tener acceso el individuo y, quizs, quienes le son ms prximos, o aquellos a los que l autorice. An ms: el conocimiento ordenado de esos datos puede dibujar un determinado perfil de la persona, o configurar una determinada reputacin o fama que es, en definitiva, expresin del honor; y este perfil, sin duda, puede resultar luego valorado, favorable o desfavorablemente, para las ms diversas actividades pblicas o privadas, como pueden ser la obtencin de un empleo, la concesin de un prstamo o la admisin en determinados colectivos....
As el art. 1 de la LORTAD, pretenda limitar el uso de la informtica y otros medios de tratamiento automatizados, en aras de la proteccin del derecho al honor, la intimidad y la propia imagen, siendo de aplicacin la norma sobre los Ficheros automatizados o bases de datos tratadas por medios informticos, dejando fuera los Ficheros en cualquier otro soporte o medio de tratamiento.
1Exposicin de Motivos: parte inicial de cualquier regulacin en el que se establecen los motivos de aprobacin de las normas por los rganos pblicos
LOPD
Pgina 12 de 60
Creado el 11/12/06
B) LA LEY ORGNICA DE PROTECCIN DE DATOS (LOPD) En 1999 se aprueba la actual Ley Orgnica 15/1999, de 13 de Diciembre, de Proteccin de Datos de Carcter Personal (LOPD), norma que deroga a la LORTAD y que tiene como finalidad principal, transponer a la normativa nacional la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de Octubre de 1995, relativa a la proteccin de las personas fsicas en lo que respecta al tratamiento de datos personales y a la libre circulacin de esos datos. Como principal novedad, la LOPD introduce en su mbito de aplicacin los Ficheros no automatizados o ficheros en papel, centrando toda su proteccin en el tratamiento de datos de carcter personal sea cual sea el soporte o medio de su tratamiento, con el fin de proteger los derechos fundamentales y libertades pblicas de los ciudadanos. C) OBJETO DE LA LEY: BIEN JURDICO PROTEGIDO. Se establece como objeto de la Ley ...garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades pblicas y los derechos fundamentales de las personas fsicas, y especialmente, de su honor e intimidad personal y familiar. El Objeto de la Normativa, o lo que es lo mismo, el Bien Jurdico Protegido, es el denominado Habeas Data, o el control que a cada uno de nosotros nos corresponde sobre la informacin que nos concierne personalmente, sea ntima o no, para preservar, en ltimo extremo, el libre desarrollo de nuestra personalidad, tambin denominada Autodeterminacin Informativa o Libertad Informtica. Posteriormente a la aprobacin de la LOPD, y al objeto de dotar de mayor importancia y proteccin a los datos de carcter personal, la Sentencia 292/2000 del Tribunal Constitucional viene a reconocer el Derecho a la Proteccin de Datos o Habeas Data, como un derecho fundamental independiente del derecho al honor, intimidad e imagen, dotando a la Proteccin de Datos de Carcter Personal, de este modo, de identidad propia e independiente de cualquier otro derecho fundamental. Igualmente, y siguiendo esta reconocimiento de derecho independiente, la Constitucin Europea incorpora en su articulado, como un derecho fundamental de cualquier ciudadano de la Unin, el Derecho a la Proteccin de Datos.
LOPD
Pgina 13 de 60
Creado el 11/12/06
5. mbito de aplicacin de la lopd Qu datos/ficheros se regulan por la lopd y cules no?

Una de las principales dudas que se encuentran los empresarios y profesionales con respecto a la LOPD es la determinacin de qu Ficheros o Datos de Carcter Personal tratados se encuentran amparados por la normativa.
A) mbito de Aplicacin Material, Qu datos se encuentran incluidos en la LOPD? La LOPD establece su mbito de aplicacin en el artculo 2, al establecer que la presente Ley Orgnica ser de aplicacin a los datos de carcter personal registrados en soporte fsico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores pblico y privado As, para la determinacin de qu concretos Ficheros o Datos de carcter personal entran dentro del mbito de aplicacin de la LOPD debemos tener en cuenta tres conceptos: dato personal, fichero y tratamiento.
Dato de carcter personal, entendido como cualquier informacin concerniente a personas fsicas, identificadas o identificables; es decir, toda informacin numrica, grfica, fotogrfica, acstica o de cualquier otro tipo susceptible de recogida, tratamiento o transmisin concerniente a una persona fsica identificada o identificable.
As, de cara a la ley, dato de carcter personal es cualquier elemento que permite determinar, de manera directa o indirecta, la identidad fsica, fisiolgica, psquica, econmica, cultural o social de una persona fsica. Fichero, entendido como conjunto organizado de datos de carcter personal, cualquiera que sea la forma o modalidad de su creacin, almacenamiento, organizacin y acceso. Es, por tanto, el soporte fsico, sea automatizado o no, en el que se recoge y almacena, de manera organizada, el conjunto de datos que integra la informacin. Tratamiento, entendido como las operaciones y procedimientos tcnicos de carcter automatizado o no, que permitan la recogida, grabacin, conservacin, elaboracin, modificacin, bloqueo y cancelacin, as como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias. Si bien entendemos que los ficheros de datos de carcter personal que se mantengan en soporte informtico o telemtico no presentan grandes dudas para su determinacin, puesto que para su creacin se exige, con carcter previo, la grabacin, depuracin y estructuracin de una forma determinada, no sucede lo mismo para los ficheros en soporte papel (o ficheros no automatizados). Para poder determinar cuando los datos registrados en soporte papel son susceptibles de tratamiento, y en consecuencia, se encuentren incluidos en el mbito de aplicacin de la LOPD, hay que atender a los siguientes requisitos:
Que el tratamiento no automatizado se refiera a datos comprendidos en un Fichero en soporte papel.
LOPD
Pgina 14 de 60
Creado el 11/12/06
Y, que dichos datos se encuentren organizados estructurados u ordenados por criterios especficos. no considerndose, en consecuencia Fichero, la existencia de carpetas no estructuradas, aunque ests contengan datos de carcter personal (por ejemplo: en una consulta mdica las carpetas o fichas de pacientes ordenadas alfabticamente por el nombre de los mismos, se considerara un fichero susceptible de tratamiento, sindole por tanto de aplicacin la LOPD).
De este modo, la Ley concibe los Ficheros protegidos desde una perspectiva dinmica; es decir, no los entiende como un mero depsito de datos, sino, como una globalidad de procesos o aplicaciones que se llevan a cabo con los datos almacenados (por ejemplo: en la consulta mdica en la que los datos de los pacientes estn recogidos en fichas, las mismas no suponen un mero deposito de datos, sino que permiten al mdico efectuar un anlisis de las distintas visitas que ha efectuado el paciente, revisar la historia clnica del paciente, y ofrecer un tratamiento o diagnstico que se adapte a las circunstancias concretas de cada paciente). B) mbito de Aplicacin Temporal. Qu plazo existe para la adaptacin de los Ficheros a la LOPD? Todos los ficheros de datos de carcter personal, automatizados o no, creados despus de la entrada en vigor de la Ley debern adecuarse a la normativa. Segn la Disposicin Final Tercera, la LOPD entr en vigor el 14 de Enero de 2000. El principal problema reside en la adecuacin de los ficheros de datos preexistentes a dicha fecha. La Ley vino a establecer un rgimen transitorio para los mismos en su Disposicin Adicional Primera: Para ficheros automatizados preexistentes al 14 de Enero de 2000, se establece que -los ficheros y tratamientos automatizados inscritos o no en el Registro de Proteccin de Datos deben adecuarse a la LOPD dentro del plazo de tres (3) aos a contar desde su entrada en vigor.... Este plazo adicional para la adecuacin a la LOPD finaliz el pasado 14 de Enero de 2003. En relacin a los Ficheros no automatizados preexistentes a la entrada en vigor de la LOPD su adecuacin a la LOPD deber cumplimentarse en el plazo de doce (12) aos a contar desde el 24 de Octubre de 1995, sin perjuicio del ejercicio de los derechos de acceso, rectificacin y cancelacin por parte de los afectados. De este modo, los ficheros no automatizados preexistentes a la entrada en vigor de la LOPD no se encuentran incluidos en el mbito de aplicacin de la LOPD hasta el 24 de Octubre de 2007, pero si les son de aplicacin las obligaciones descritas para el ejercicio de los derechos de los usuarios (derechos de acceso, rectificacin, cancelacin y oposicin).
C) Ficheros excluidos del mbito de aplicacin de la LOPD. El rgimen de proteccin de los datos de carcter personal establecido por la LOPD no ser de aplicacin a: A los ficheros mantenidos por personas fsicas en el ejercicio de actividades exclusivamente personales o domesticas. A los ficheros sometidos a la normativa sobre proteccin de materias clasificadas. A los ficheros establecidos para la investigacin del terrorismo y de formas graves de delincuencia organizada. No obstante, en estos supuestos el responsable del fichero comunicar previamente la existencia del mismo, sus caractersticas generales y su finalidad a la Agencia Espaola de Proteccin de Datos.
LOPD
Pgina 15 de 60
Creado el 11/12/06
D) Ficheros regulados por normas especficas. El artculo 2.3. de la LOPD establece que se regirn por sus disposiciones especficas, y por lo especialmente previsto, en su caso, por la LOPD, los siguientes tratamientos de datos personales:

Los ficheros regulados por la legislacin de rgimen electoral. Los que sirvan a fines exclusivamente estadsticos, y estn amparados por la legislacin estatal o autonmica sobre la funcin estadstica pblica. Los que tengan por objeto el almacenamiento de los datos contenidos en los informes personales de calificacin a que se refiere la legislacin del rgimen del personal de las fuerzas armadas. Los derivados del Registro Civil y del Registro Central de Penados y Rebeldes. Los procedentes de imgenes y sonidos obtenidos mediante la utilizacin de videocmaras por las Fuerzas y Cuerpos de Seguridad, de conformidad con la legislacin sobre la materia.
LOPD
Pgina 16 de 60
Creado el 11/12/06
6. Inscripcin de ficheros localizacin y determinacin de los ficheros a inscribir

Una de las obligaciones bsicas establecidas por la LOPD es la LEGALIZACIN o inscripcin de los Ficheros de datos de carcter personal en la Agencia Espaola de Proteccin de Datos, pero para realizar correctamente esta inscripcin es necesario realizar previamente la Localizacin y Determinacin de los Ficheros preexistentes, as como la determinacin de los nuevos ficheros a inscribir.
De este modo, y previamente a la inscripcin de Ficheros es necesario localizar los ficheros existentes en la empresa o entidad, analizando la finalidad para la que son tratados los datos, el origen de los datos, y el sistema de almacenamiento de los mismos, y con esta informacin realizar un inventario de ficheros preexistentes. Posteriormente, se realizar una sistematizacin de los Ficheros detectados, realizando un anlisis de los ficheros fsicos y lgicos, que dar como conclusin el listado de ficheros que habrn de ser inscritos en la Agencia Espaola de Proteccin de Datos. Por ltimo, debern ser determinados aquellos nuevos ficheros que vayan a ser creados, y en consecuencia, inscritos en la Agencia Espaola de Proteccin de Datos.
6.b)a) Localizacin de Ficheros preexistentes.

Para la localizacin de ficheros preexistentes, y la realizacin de un inventario de los mismos, es necesario estudiar la siguiente informacin:

Departamentos afectados, que por su actividad traten datos de carcter personal (por ejemplo: Recursos Humanos, Marketing, Financiero, Asesora Jurdica, etc...). Origen de los datos que son tratados por la entidad. Finalidad del tratamiento. Datos recabados para cada finalidad. Tratamientos realizados.
Una vez han sido localizados los ficheros preexistentes y los tratamientos que son realizados en la empresa, es necesario sistematizar de una manera lgica y coherente toda la informacin recabada. As, una vez analizada toda esta informacin, se proceder a la elaboracin de un inventario de ficheros fsicos y lgicos, que permitir la sistematizacin de los ficheros a inscribir en la Agencia Espaola de Proteccin de Datos.
LOPD
Pgina 17 de 60
Creado el 11/12/06
6.c)b) Sistematizacin. Inventario de Ficheros fsicos y lgicos.

Segn el art. 3 de la LOPD, se entiende por Fichero todo conjunto organizado de datos de carcter personal, cualquiera que fuere la forma o modalidad de su creacin, almacenamiento, organizacin y acceso. La amplitud y generalidad de esta definicin ha creado confusin en las empresas, al poder considerar como Fichero, conceptos informticos tales como: carpeta, base de datos, fichero, documento, aplicacin, etc... As ser necesario considerar que estamos ante un fichero con datos de carcter personal cuando exista una organizacin de esos datos de una manera lgica, que permita tratarlos con determinadas finalidades, con independencia de los criterios utilizados para su organizacin, de la aplicacin que se haya utilizado para crear dicho fichero, y de los criterios de bsqueda y acceso a esos datos. Qu se entiende por Fichero fsico? Dentro de una entidad o empresa es probable encontrar decenas o centenares de ficheros fsicos, es decir, todos aquellos que son creados mediante la organizacin de datos personales con independencia de la aplicacin que los crea o los trata. As pues, es habitual encontrar en las empresas o entidades programas de gestin o aplicaciones corporativas que permiten realizar tratamientos de datos de forma integral y centralizada, junto con innumerables pequeos ficheros creados para distintas finalidades y principalmente utilizando como soporte aplicaciones ofimticas que no permiten un tratamiento integral y centralizado. Es por tanto necesario, realizar un inventario de todos los ficheros fsicos existentes en la empresa, para proceder en un momento posterior, a su sistematizacin en ficheros lgicos. Qu se entiende por Fichero lgico? Como fichero lgico entendemos un fichero o conjunto de ficheros fsicos, que contienen el mismo tipo de datos, y que son tratados para una misma finalidad o finalidades compatibles. De este modo, y una vez que se haya realizado el inventario de ficheros fsicos, se proceder a la agrupacin de los mismos en ficheros lgicos. Las claves ms importantes para llevar a cabo correctamente la agrupacin de ficheros fsicos en lgicos son las siguientes:

Las finalidades para las que se destinen los datos han de ser similares, y en todo caso, compatibles. Habr de ser determinado el nivel de seguridad del fichero lgico, en funcin del fichero fsico que tenga el nivel ms alto. Determinacin de las aplicaciones que tratan los ficheros. Determinacin de los Accesos a Datos por Cuenta de Terceros y cesiones de datos. Transferencias Internacionales de Datos. Etc.
LOPD
Pgina 18 de 60
Creado el 11/12/06
Ejemplo: En una determinada empresa o entidad existen multitud de ficheros fsicos que contienen datos de clientes:

Fichero de datos bancarios. Fichero impagados. Fichero gestin relacin comercial/contractual. Fichero marketing clientes (fidelizacin) Etc...
Todos estos ficheros tienen en comn que contienen y tratan datos de clientes, cuya finalidad es la gestin de las relaciones con los mismos, pero que se encuentran almacenados en diferentes tablas o aplicaciones. En este caso, podrn ser agrupados todos estos ficheros fsicos en un solo fichero lgico, denominado, por ejemplo, clientes, cuya finalidad ser la gestin de la relacin comercial o contractual con los clientes, abarcando dentro de la misma los siguientes tratamientos: gestin administrativa, contable y fiscal de los datos de los clientes, gestin de cobros y pagos, elaboracin de acciones tendentes a la fidelizacin de clientes, etc... En cuanto a la determinacin del nivel de seguridad del fichero lgico que ser inscrito en la Agencia Espaola de Proteccin de Datos, habr que tener en cuenta los distintos niveles de seguridad que corresponden a los diferentes ficheros fsicos que se agrupan en el fichero lgico, y aplicar el ms alto de ellos. En el ejemplo expuesto, al fichero de datos bancarios le correspondera un nivel medio, al de impagados nivel medio, al de gestin de la relacin comercial/contractual nivel medio, y al de marketing nivel bsico. Siendo el nivel ms alto el medio, est ser el nivel que habr de ser aplicado al fichero lgico de clientes que ser inscrito.
6.d)c) Creacin de nuevos Ficheros de Datos de Carcter Personal.

La LOPD regula la creacin de nuevos ficheros de datos de carcter personal en los artculos 20 (para las entidades pblicas) y 25 (para las entidades privadas). Entidades Pblicas: El artculo 20.1 LOPD establece: La creacin, modificacin o supresin de ficheros de las Administraciones Pblicas slo podrn hacerse por medio de disposicin general publicada en el Boletn Oficial del Estado o diario oficial correspondiente. As, para la creacin de un Fichero de titularidad pblica ser necesaria la aprobacin de una Orden por el Organismo competente, que habr de ser publicada en un Boletn Oficial.
LOPD
Pgina 19 de 60
Creado el 11/12/06
Entidades Privadas: El artculo 25 de la LOPD establece: Podrn crearse ficheros de titularidad privada que contengan datos de carcter personal cuando resulte necesario para el logro de la actividad u objeto legtimo de la persona, empresa o entidad titular y se respeten las garantas que esta Ley establece para la proteccin de las personas. Adems, el artculo 26.1. de la LOPD establece: Toda persona o entidad que proceda a la creacin de ficheros de datos de carcter personal lo notificar previamente a la Agencia Espaola de Proteccin de Datos. Es, por tanto, requisito imprescindible para la creacin de nuevos ficheros de datos de carcter personal, la previa inscripcin en el Registro de la Agencia Espaola de Proteccin de Datos.
LOPD
Pgina 20 de 60
Creado el 11/12/06
7. Inscripcin notificacin de ficheros en la agencia espaola de proteccin de datos. Procedimiento

Una vez han sido localizados y determinados los ficheros de datos de carcter personal se proceder a la Notificacin de los mismos a la Agencia Espaola de Proteccin de Datos para su Inscripcin.
7.b)a) Objetivos de la Notificacin / Inscripcin de Ficheros.

1.- Para la Agencia Espaola de Proteccin de Datos: Control sobre los ficheros y tratamientos de datos de carcter personal efectuados por las entidades pblicas o privadas, para facilitarle el ejercicio de las acciones y actividades que le otorga la normativa sobre proteccin de datos de carcter personal como Autoridad de Control Espaola. Determinar el grado de adecuacin de dichos tratamientos a la normativa sobre proteccin de datos de carcter personal, y requerir a los responsables de los ficheros la adopcin de las medidas de seguridad y procedimientos que garanticen la proteccin de los datos contenidos en los ficheros. Conocer la existencia de Transferencias Internacionales de Datos que requieran de autorizacin del Director de la Agencia Espaola de Proteccin de Datos. Permitir el ejercicio de los derechos de consulta de los titulares de los datos incluidos en los ficheros.
7.c)2.- Para las Entidades Privadas:
Evitar la imposicin de sanciones. En concreto la falta de notificacin e inscripcin de ficheros es calificada como infraccin leve o grave (dependiendo de la magnitud del incumplimiento), sancionadas con multas de entre 601 y 300.506 . No obstante, hay que sealar que la notificacin e inscripcin de ficheros es meramente declarativa, no prejuzgando el cumplimiento del resto de la normativa de proteccin de datos de carcter personal.
Buena imagen exterior. El cumplimiento de la normativa sobre proteccin de datos de carcter personal nos crear una buena imagen de cara a nuestros clientes y potenciales clientes, aportndoles seguridad y confianza con respecto a nuestra empresa. Igualmente, el incumplimiento de esta normativa y la imposicin de sanciones por su incumplimiento, generarn en nuestros clientes y potenciales clientes una imagen negativa, pues las personas son da a da ms conscientes de la importancia de la proteccin de su intimidad mediante el tratamiento diligente de sus datos.
LOPD
Pgina 21 de 60
Creado el 11/12/06
Facilita las labores de control interno de la empresa. Puesto que el cumplimiento de la normativa sobre proteccin de datos de carcter personal implica la adopcin de medidas de seguridad de carcter tcnico (que pueden ser aprovechadas para la proteccin del resto de informacin corporativa de la empresa), as como la implantacin de procedimientos organizacionales, las labores de control interno se ven agilizadas y facilitadas.
7.d)b) Principios que rigen la notificacin e inscripcin de Ficheros:

1. El Responsable del Fichero deber notificar a la Agencia Espaola de Proteccin de Datos, previamente a la realizacin de cualquier tratamiento, la creacin de un Fichero de datos de carcter personal. 2. La notificacin e inscripcin del Fichero tiene efectos meramente declarativos, no prejuzga el cumplimiento del resto de las obligaciones establecidas por la normativa sobre proteccin de datos de carcter personal. 3. La notificacin de Ficheros implica el compromiso de asegurar el cumplimiento de las exigencias legales en el tratamiento de datos de carcter personal declarado para su inscripcin. 4. La notificacin de Ficheros tiene como finalidad principal asegurar la publicidad de las caractersticas y finalidades de los tratamientos. 5. Deber notificarse a la Agencia Espaola de Proteccin de Datos cualquier cambio que se produzca con respecto a la declaracin inicial.
7.e)c) Procedimiento para la notificacin de Ficheros de Titularidad Privada. Creacin:

La Agencia Espaola de Proteccin de Datos, a travs de la Resolucin de 30 de Septiembre de 2000, aprob los Formularios que deben ser utilizados para la notificacin de Ficheros. Dichos Formularios estn disponibles en la pgina web de la Agencia Espaola de Proteccin de Datos (www.agpd.es, en el apartado Canal del Responsable de Ficheros Inscripcin de Ficheros), tanto para efectuar la notificacin en soporte papel, como para efectuarla por Internet o soporte magntico. 1. Notificacin de Ficheros por Internet o por soporte magntico: La notificacin de Ficheros a travs de Internet o por soporte magntico es el medio recomendado por la Agencia Espaola de Proteccin de Datos, habiendo creado al efecto una aplicacin que contiene el Formulario aprobado por Resolucin de 30 de Mayo de 2000, junto con herramientas de ayuda que facilitan al Responsable del Fichero la notificacin de los Ficheros de su titularidad. La aplicacin para la notificacin de Ficheros puede ser descargada directamente por el Responsable del Fichero a su equipo informtico desde la pgina web de la Agencia Espaola de Proteccin de Datos. Para proceder a notificar el Fichero, y una vez que la aplicacin ya ha sido descargada en el equipo informtico, ser necesario completar el Formulario de Notificacin de Ficheros, para ello, deberemos abrir la pestaa de Crear Nueva Notificacin de Creacin de Ficheros. La informacin que ha de ser completada en dicho Formulario es la siguiente:
Identidad del Responsable del Fichero.
LOPD
Pgina 22 de 60
Creado el 11/12/06
Servicio o Unidad concreto ante el que pueden ejercitarse los derechos de los usuarios, en su caso. Nombre y descripcin del fichero o tratamiento de datos. Ubicacin principal del Fichero, en su caso. Encargado del Tratamiento, en su caso. Sistema de Tratamiento o de Informacin. Medidas de Seguridad. Estructura bsica del Fichero (tipos de datos que se contienen en el Fichero). Finalidad del Fichero y usos previstos. Procedencia de los datos, y procedimiento de recogida de los datos. Cesin o Comunicaciones de Datos, en su caso. Transferencias Internacionales de Datos, en su caso.
Una vez ha sido completada la informacin requerida, puede enviarse la notificacin a la Agencia Espaola de Proteccin de Datos, directamente por Internet a travs de la opcin Enviar por Internet. As, y a travs de un protocolo de seguridad de 128 bits, es enviada la informacin del fichero de datos de carcter personal directamente al servidor de la Agencia Espaola de Proteccin de Datos. Igualmente, cabe la posibilidad de notificar la creacin de Ficheros a travs de soporte magntico, as slo tendremos que pulsar sobre la opcin Generar Soporte Magntico, seleccionar las notificaciones a incluir en el mismo, e identificar al Responsable del Fichero o persona que efecta la notificacin, y guardar las mismas en el soporte magntico seleccionado. Hay que sealar que para que la notificacin tenga efecto, ha de ser remitida a la Agencia Espaola de Proteccin de Datos, la Hoja de Solicitud de Inscripcin que puede ser impresa directamente desde la aplicacin en el momento de efectuar la notificacin por Internet, o bien con posterioridad a travs de la opcin Imprimir Hoja de Solicitud de Inscripcin. Una vez ha sido recibida la notificacin del fichero y la solicitud de inscripcin en la Agencia Espaola de Proteccin de Datos, los tcnicos de la misma evalan la informacin y si todos los extremos son correctos proceden a la inscripcin del Fichero, o en caso de detectar errores solicitan al Responsable del Fichero la subsanacin de los mismos. As el art. 26.4 establece: El Registro General de Proteccin de Datos inscribir el Fichero si la notificacin se ajusta a los requisitos exigibles. En caso contrario podr pedir que se completen los datos que falten o se proceda a su subsanacin. Una vez ha sido inscrito el Fichero en el Registro, la Agencia Espaola de Proteccin de Datos, nos comunicar la misma indicando el cdigo de inscripcin que se le ha asignado al Fichero. Este cdigo de inscripcin ha de ser correctamente archivado por el Responsable del Fichero, pues el mismo nos permitir la posterior modificacin o supresin del Fichero. En este sentido, el art. 26.5 establece: Transcurrido un mes desde la presentacin de la solicitud de inscripcin sin que la Agencia Espaola de Proteccin de Datos hubiera resuelto sobre la misma, se entender inscrito el fichero automatizado a todos los efectos.
LOPD
Pgina 23 de 60
Creado el 11/12/06
7.f)d) Modificacin y/o Supresin de Ficheros.

El procedimiento establecido para la modificacin y supresin de Ficheros inscritos en la Agencia Espaola de Proteccin de Datos, es el mismo que el indicado para la creacin de Ficheros. No obstante, y como principal diferencia entre dichos procedimientos, encontramos la necesidad de contar con el cdigo de inscripcin otorgado por la Agencia Espaola de Proteccin de Datos en el momento de la inscripcin del Fichero, para poder efectuar cualquier modificacin del Fichero inscrito, o bien para la Supresin del mismo. 1.Especialidades de la Modificacin de Ficheros. El art. 26.3 de la LOPD establece Debern comunicarse a la Agencia Espaola de Proteccin de Datos los cambios que se produzcan en la finalidad del fichero automatizado, en su responsable y en la direccin de su ubicacin. A travs de la aplicacin de Notificaciones de la Agencia Espaola de Proteccin de Datos, marcaremos la opcin Creacin Nueva Notificacin. Modificacin. La aplicacin nos solicitar la identificacin del Responsable del Fichero, as como el cdigo de inscripcin. El Responsable del Fichero deber sealar los apartados a modificar, y dentro de los mismos completar los datos que han sido modificados. 2.Especialidades de la Supresin de Ficheros. A travs de la aplicacin de Notificaciones de la Agencia Espaola de Proteccin de Datos, marcaremos la opcin Creacin Nueva Notificacin. Supresin.La aplicacin nos solicitar la identificacin del Responsable del Fichero, as como el cdigo de inscripcin.Igualmente, deberemos sealar cuales son los motivos que llevan a la supresin del Fichero (cese de actividad, trmino de la finalidad que motiv la creacin del fichero, etc...). Por ltimo, ser necesario indicar en el Formulario de Supresin del Fichero, el destino de los datos o las medidas que van a ser adoptadas para garantizar la destruccin segura de los datos contenidos en el Fichero a suprimir.
LOPD
Pgina 24 de 60
Creado el 11/12/06
8. Inscripcin de los ficheros temporales

Dentro de la Obligacin de Legalizacin establecida por la LOPD, debemos hacer referencia a un supuesto especial: LOS FICHEROS TEMPORALES.
De este modo, en el presente artculo analizamos el concepto de fichero temporal, algunos supuestos habituales, lo que establece la normativa al respecto, su problemtica y riesgos, as como las medidas a aplicar o implantar para evitar los riesgos.
8.b)a) Qu se entiende por Fichero Temporal?

La normativa sobre Proteccin de Datos de Carcter Personal no establece una definicin concreta de Fichero Temporal, encontrando la nica referencia a los mismos en el RD 994/1999 de Medidas de Seguridad que establece las medidas que debern ser adoptadas para la proteccin de este tipo de ficheros. No obstante, y a pesar de esta falta de definicin, podemos entender por Fichero Temporal aquellos ficheros cuyo objetivo es realizar un tratamiento de datos concreto durante un perodo de tiempo limitado. As, hemos de entender que aquellos Ficheros o bases de datos que sean creados con la finalidad de realizar un tratamiento concreto y determinado, y que vayan a dejar de ser necesarios en un corto espacio de tiempo, deben ser considerados FICHEROS TEMPORALES, y en consecuencia, tendrn que tener en cuenta las disposiciones que sobre los mismos establece el RD 994/1999 que veremos ms adelante.
8.c)b) Algunos supuestos de Ficheros Temporales.

En una empresa se generan habitualmente multitud de ficheros temporales que responden a tratamientos concretos y determinados, y que dejan de ser necesarios en un corto plazo de tiempo. As podemos sealar algunos supuestos: Aquellos ficheros que se crean con una fecha determinada de extincin (por ejemplo: los ficheros generados por la realizacin de determinadas acciones de marketing y promocin concursos - que tienen una concreta fecha de finalizacin, tras la cual los datos son destruidos o almacenados en una base de datos general). Aquellos ficheros creados tras la extraccin de determinados datos de bases de datos ms amplias (por ejemplo: cuando una empresa desea realizar una determinada promocin entre un determinado rango de clientes, la prctica habitual es la extraccin de los datos de los clientes que se encuentran en ese rango a una base de datos creada al efecto generalmente ofimtica con la finalidad de facilitar la realizacin de la promocin mailing, envo de invitaciones, etc...- Este tipo de ficheros suele ser destruido una vez ha finalizado la accin para la que fue creado). Aquellos ficheros cuya funcin es tratar o almacenar los datos como puente momentneo hasta su almacenamiento en el fichero corporativo (por ejemplo: datos de potenciales clientes a los que se les realiza una determinada accin de captacin, finalizada la cual y evaluados los resultados, son incorporados los datos de los clientes captados a la base de datos corporativa).
LOPD
Pgina 25 de 60
Creado el 11/12/06
8.d)c) Qu establece la normativa con respecto a los Ficheros Temporales?

Como hemos comentado anteriormente, la normativa de proteccin de datos de carcter personal no establece una definicin de Ficheros Temporales, aunque el RD 994/1999, que aprueba el Reglamento de Medidas de Seguridad de los Ficheros Automatizados que contengan datos de carcter personal s hace una referencia expresa a este tipo de ficheros. As el art. 7 RD 994/1999 establece: 1. Los ficheros temporales debern cumplir el nivel de seguridad que les corresponda con arreglo a los criterios establecidos en el presente Reglamento. Esto es, los ficheros temporales (independientemente del plazo de vigencia que tengan y su finalidad) debern tener implantadas las medidas de seguridad que son requeridas para ese tipo de ficheros... esto es, si slo contiene datos de identificacin deber cumplir las medidas de nivel bsico, si contiene datos financieros o suficientes para tener un perfil del usuario las medidas de nivel medio, y si contiene datos de salud, ideologa, afiliacin sindical, etc... los de nivel alto. 7.2. Todo fichero temporal ser borrado una vez que hayan dejado de ser necesaria para los fines que motivaron su creacin. Una vez el fichero temporal haya dejado de ser necesario para la finalidad o usos para los que fue creado, la normativa es clara, el fichero ha de ser destruido, teniendo en cuenta, en todo caso, las disposiciones que sobre la destruccin establece el RD 994/1999. Para la destruccin de los ficheros temporales, habrn de ser aplicadas las medidas que permitan una destruccin segura de los mismos, de forma que se impida el acceso o tratamiento no autorizado, es decir, debern implantarse medidas que garanticen esta destruccin segura (por ejemplo: si el fichero esta en papel habr que proceder a destruir el mismo de forma segura, esto es, utilizacin de destructoras de papel, subcontratacin de empresas especializadas, etc... Si el fichero est en soporte informtico, se deber garantizar que una vez el mismo haya sido borrado, no sea posible recuperar el mismo del sistema por ningn medio).
8.e)d) Es necesario inscribir los ficheros temporales en la Agencia Espaola de Proteccin de Datos?
Respecto a si es necesaria la inscripcin de los ficheros temporales en la Agencia Espaola de Proteccin de Datos, hay que sealar que la LOPD no establece en ninguna de sus disposiciones una referencia expresa a los ficheros temporales, ni en sentido positivo (obligatoriedad de inscribir dichos ficheros), ni en sentido negativo (excepcin a la obligacin de inscribir dichos ficheros). De este modo, podemos entender que a pesar de la temporalidad de esta clase de ficheros es necesaria su inscripcin en la Agencia Espaola de Proteccin de Datos cuando vaya a crearse el mismo y su supresin cuando ste sea eliminado. Lgicamente, la necesidad de cumplir con la obligacin de inscribir dichos ficheros, puede entenderse exceptuada en aquellos casos en que la creacin de ficheros temporales hagan referencia a acciones muy concretas que vayan a realizarse en plazos muy cortos de tiempo (por ejemplo: extraccin de datos de la base de datos corporativas a travs de la impresin de listados, con el fin de realizar un mailing y facilitar la labor de las personas encargadas de preparar el mismo).
LOPD
Pgina 26 de 60
Creado el 11/12/06
8.f)e) Problemtica de los Ficheros Temporales de las empresas.

Uno de los principales problemas de las empresas en relacin con los Ficheros Temporales se encuentra en la dificultad para controlar la creacin por parte de los empleados de pequeos ficheros que albergan datos del fichero corporativo con el fin de realizar determinadas labores. Esta dificultad implica, a su vez, una serie de problemas en materia de proteccin de datos y proteccin de la informacin corporativa, as como en la organizacin interna de la empresa. Problemas que pueden suponer a las empresas graves perjuicios, tanto por incumplimientos de la normativa aplicable, como por perdidas de informacin, etc... As:
Dispersin de Ficheros en los sistemas informticos (podemos encontrar ficheros en los servidores centrales de la compaa, as como en los discos duros de los empleados de la empresa). Este hecho implica que los ficheros temporales albergados en los discos duros de los empleados no estn cubiertos por las medidas de seguridad que se encuentran implantadas en el servidor central de la empresa, impidindose, por ejemplo, la realizacin de copias de seguridad, con el riesgo de sufrir prdidas o fugas de informacin.
Falta de actualizacin de los datos personales albergados (la existencia de diversos ficheros corporativos o temporales que alberguen los mismos datos, pueden provocar la falta de actualizacin de otros ficheros, y por lo tanto el incumplimiento del principio de calidad de los datos de la LOPD). Para evitar en la medida de lo posible los problemas sealados, es fundamental la CONCIENCIACIN Y FORMACIN del personal de la empresa.
A travs de una Poltica de Seguridad Informtica, una Poltica de Tratamiento de Datos de Carcter Personal o formacin especifica, se ha de concienciar a los empleados de la necesidad de seguir las pautas y procedimientos establecidos por la empresa para la proteccin de los datos y la informacin corporativa, como por ejemplo: crear los ficheros temporales dentro de una carpeta albergada en el servidor de la empresa, de forma que se encuentre protegido por las medidas de seguridad y procedimientos establecidos por la empresa. Igualmente, y para evitar la no actualizacin de los datos albergados en distintos ficheros, es posible la implantacin de medidas o soluciones informticas que permitan la vinculacin y relacin entre ficheros y la actualizacin simultanea de todos los ficheros que contengan los mismos datos.
LOPD
Pgina 27 de 60
Creado el 11/12/06
Legitimacin: Obtencin del Consentimiento de los Titulares de los Datos y otros principios bsicos de la LOPD. 9. Obtencin del consentimiento de los titulares de los datos y otros principios bsicos de la LOPD
Todas las empresas tratan datos personales en su funcionamiento diario. En la gran mayora de los casos, los datos que se tratan son indispensables para el desarrollo y ejecucin de la actividad negocial, administrativa, fiscal, contable y/o laboral de la empresa. No nos podemos imaginar a una empresa, por grande o pequea que sea, que no realice un tratamiento de, por ejemplo, los datos de su personal laboral o los datos de sus clientes y/o proveedores.
Por: Andrs Veyrat Marqus de Manaca Consulting, S.L.
La LOPD establece una serie de limitaciones al tratamiento de los datos; limitaciones fijadas para garantizar un uso adecuado, lcito, no excesivo y con las debidas medidas de seguridad que impidan la alteracin, prdida o tratamiento no autorizado de los datos. Por tratamiento entiende la Ley cualquier operacin y procedimiento tcnico de carcter automatizado o no, que permita la recogida, grabacin, conservacin, elaboracin, modificacin, bloqueo y cancelacin, as como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias-. Al entender la Ley la necesidad del tratamiento, informatizado o no, de datos de carcter personal por parte de las empresas para poder desarrollar sus actividades propias, fija como contrapeso la necesidad de observar la voluntad del interesado. En la mayora de los supuestos, la voluntad se manifiesta a travs del consentimiento y, en los casos en los que operan excepciones legales al consentimiento, el afectado manifiesta su voluntad a travs de su derecho de oposicin al tratamiento de los datos (como, por ejemplo, en el caso de datos procedentes de fuentes accesibles al pblico, donde no es necesario recabar el consentimiento previo del afectado para su tratamiento). Adems, fija para el tratamiento de los datos otras obligaciones bsicas como son los principios de calidad de los datos, el derecho de informacin, las medidas especficas de los datos especialmente protegidos, las medidas de seguridad aplicables a los ficheros, el bloqueo y cancelacin de los datos, la cesin de datos y el acceso a datos por cuenta de terceros. Por ltimo, la Ley utiliza un concepto amplio de tratamiento, englobando dos momentos importantes y que deben entenderse de forma separada: la recogida y el tratamiento en s mismo de los datos. a) La recogida de los datos. La recogida de los datos es una operacin previa al tratamiento; por ello, la recogida de datos no suele plantear problemas en referencia al consentimiento del afectado puesto que si ste nos proporciona los datos, se entiende que existe un consentimiento implcito (un acto consciente de voluntad). Pero, lo que si es importante en la recogida es proporcionar al afectado una serie de informaciones o elementos fijados por la ley en el derecho de informacin (art.5 de la Ley), para que el afectado pueda suministrar o no sus datos con el pleno conocimiento del alcance del tratamiento que se va a realizar. La informacin que habr de proporcionarse es:
LOPD
Pgina 28 de 60
Creado el 11/12/06
El titular del Fichero. Las finalidades del tratamiento. El carcter obligatorio/facultativo de las respuestas. De los derechos que le asisten y su posibilidad de ejercicio. De la direccin y, en su caso, las condiciones para ejercitar tales derechos.
Adems, hemos de tener en cuenta que se regulan por la Ley una serie de casos en los que ser necesario adems, a la hora de la recogida de los datos, recabar el consentimiento expreso del afectado; estos supuestos son: Para el tratamiento de datos de salud, origen racial y vida sexual, y Para el tratamiento de datos de ideologa, afiliacin sindical, religin y creencias, adems el consentimiento expreso ser por escrito.
b) El tratamiento en s mismo de los datos. El tratamiento en si consiste en las operaciones de grabacin de datos, conservacin, elaboracin, modificacin, bloqueo y cancelacin, as como las cesiones y acceso a los datos. As y para la mayora de estas operaciones entra en juego como principio bsico el consentimiento. El afectado siempre podr ejercer los derechos que le concede la Ley (impugnacin de valoraciones, acceso, rectificacin, cancelacin y oposicin) y podr revocar el consentimiento dado al tratamiento de sus datos o manifestar su oposicin parcial a dicho tratamiento (como en el supuesto de que los datos sean necesarios para el mantenimiento de una relacin contractual laboral o administrativa, el afectado puede oponerse a que dichos datos sean utilizados para fines comerciales o promocionales). Adems, la Ley establece una serie de principios especficos para el tratamiento de los datos por parte del Responsable del Fichero; principios y obligaciones impuestas para garantizar su correcto tratamiento, conservacin, acceso y destruccin.
LOPD
Pgina 29 de 60
Creado el 11/12/06
10. Calidad de los datos (art.4 lopd)

Para todas las empresas, que los datos que tratan y almacenan se encuentren actualizados es realmente importante; la no actualizacin de los datos puede suponer costes econmicos importantes ya que disminuye la eficacia en la toma de decisiones, acciones comerciales, nuevos productos o, simplemente, para el seguimiento o mantenimiento de relaciones contractuales.
La Ley tiende a establecer unos principios generales de Calidad tendentes a garantizar un uso adecuado de los datos, fijando que: 1.- Los datos personales deben de adecuarse a la finalidad para la que fueron recabados, 2.- Deben ser exactos y actualizados, 3.- No deben mantenerse indefinidamente sin justificacin, y 4.- Deben haber sido recogidos de forma lcita. El incumplimiento de estas obligaciones supone una infraccin grave, tipificada en el art.44.3 d), que lleva aparejada sanciones econmicas de entre 60.101 a 180.303 . a) Finalidad. Significa que los datos slo se podrn recoger para su tratamiento, as como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relacin con el mbito y las finalidades determinadas, explcitas y legtimas para los que se hayan obtenido. Estos criterios de adecuacin se relacionan expresamente con las finalidades para las que se han recabado los datos; en el caso que las finalidades del tratamiento cambien, los datos debern ser cancelados. Por ejemplo, si recogemos datos para la participacin en un concurso, dichos datos no los podremos destinar luego a finalidades distintas, diferentes o incompatibles. Por ello, es importante a la hora de recoger los datos determinar en las clusulas de informacin todas las finalidades a las que se van a destinar los datos. b) Utilizacin no abusiva. La utilizacin no abusiva de los datos impide que los datos se usen para finalidades incompatibles o distintas con aquellas para las que hubiesen sido recogidos, si bien no se considera incompatible el tratamiento posterior de stos datos con fines histricos, estadsticos o cientficos.
LOPD
Pgina 30 de 60
Creado el 11/12/06
c) Exactitud. Significa que los datos tienen que ser exactos y puestos al da de forma que respondan con veracidad a la situacin actual del afectado. Ello no significa que las empresas deban mantener exactos los datos cuando no tengan medios para conocer la exactitud/veracidad de los datos; pero, si tienen conocimiento de la inexactitud de un dato, deben proceder a actualizarlo. As, la correccin/actualizacin de los datos tratados puede realizarse: De oficio por el Responsable del Fichero, cuando conozca dicha inexactitud. A travs del ejercicio del derecho de rectificacin de los datos por el propio interesado.
En cuanto a datos recabados de fuentes accesibles al pblico (repertorios telefnicos, boletines oficiales, publicaciones) se mantiene esta obligacin de exactitud y veracidad; pero, hay que decir que no es responsabilidad del Responsable del Fichero comprobar si los datos publicados en dichas fuentes son exactos o inexactos, aunque si se conociese la inexactitud debe procederse a actualizarlo. d) Cancelacin en caso de no necesidad. El art.4.5 dispone que Los datos de carcter personal sern cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieren sido recabados o registrados-. As, la conexin entre los datos y la finalidad que motiv su recogida se mantiene en todo momento. La cancelacin se producir directamente por el Responsable del Fichero en el momento en que el dato no sea necesario, sin perjuicio de la posibilidad que tiene el afectado de solicitar la cancelacin del dato. En el caso de que alguna obligacin legal establezca la necesidad de conservar los datos una vez concluida la finalidad que motiv su recogida, el Responsable del Fichero podr conservar los datos a travs del boqueo del dato o previo proceso de disociacin. En cuanto al bloqueo de los datos, la LOPD establece, en el art. 16.3, que -La cancelacin dar lugar al bloqueo de los datos, conservndose nicamente a disposicin de las Administraciones Pblicas, Jueces y Tribunales, para la atencin de las posibles responsabilidades nacidas del tratamiento, durante la prescripcin de stas. Cumplido el citado plazo deber procederse a su supresin-. El art. 16.5 establece que -Los datos de carcter personal debern ser conservados durante los plazos previstos en las disposiciones aplicables o, en su caso, en las relaciones contractuales entre la persona o entidad responsable del tratamiento y el interesado-. En cuanto al procedimiento de disociacin, podemos definirlo como todo tratamiento de datos personales de modo que la informacin que se obtenga no pueda asociarse a persona identificada o identificable; en la prctica se traduce en la disociacin de las tablas y campos que conforman el fichero, de manera que no son relacionables los datos o informaciones obtenidas con una persona identificada o identificable.
LOPD
Pgina 31 de 60
Creado el 11/12/06
e) Almacenamiento. Los datos sern conservados de manera que peritan el ejercicio de los derechos de acceso, salvo que sean legalmente cancelados. El derecho de acceso consiste en la facultad que tiene el afectado de solicitar y obtener, de manera gratuita y en un plazo determinado, la informacin sobre sus datos sometidos a tratamiento, las comunicaciones que se han realizado y las cesiones realizadas, principalmente. Este derecho ser desarrollado con ms profundidad en un apartado especfico de esta Gua. f) Lealtad. Se impone la prohibicin de recoger los datos por medios fraudulentos, desleales o ilcitos. g) Incumplimiento de los principios de Calidad de los Datos. La ley establece que la vulneracin de los principios y garantas desarrollados en el art.4 tendrn la consideracin de infracciones graves o muy graves. As, encontramos: 1.- Infracciones graves: Art.44.3.b: -Proceder a la creacin de ficheros de titularidad privada o iniciar la recogida de datos para los mismos con finalidades distintas de las que constituyen el objeto legtimo de la empresa o entidad-. Art.44.3.d: -Tratar los datos de carcter personal o usarlos posteriormente con conculcacin de los principios y garantas establecidos en la Ley o con incumplimiento de los preceptos que impongan las disposiciones reglamentarias de desarrollo, cuando no constituyan infraccin muy grave-. Art.44.3.e: -El impedimento o la obstaculizacin del ejercicio de los derechos de acceso y oposicin y la negativa a facilitar la informacin que sea solicitada-. Art.44.3.f: -Mantener los datos de carcter personal inexactos o no efectuar las rectificaciones o cancelaciones de los mismos que legalmente procedan cuando resulten afectados los derechos de las personas que la presente ley ampara-.
2.- Infracciones muy graves:
Art.44.4.a: -La recogida de datos de forma engaosa y fraudulenta
LOPD
Pgina 32 de 60
Creado el 11/12/06
11. Consentimiento del afectado (art.6)

El principio del consentimiento es el eje fundamental de la Proteccin de Datos establecindose como exigencia. As lo indica al establecer, en el art.6.1 que El tratamiento de los datos de carcter personal requerir el consentimiento inequvoco del afectado, salvo que la ley disponga otra cosa-.
El consentimiento no es ms que la manifestacin de voluntad, libre, inequvoca, especfica e informada, mediante la que el interesado consiente el tratamiento de sus datos personales. La ley fija como tipo general el consentimiento libre, especfico, informado e inequvoco, salvo que la propia ley disponga tipos especiales. As, podemos decir que el consentimiento ser: a) Libre: deber haber sido obtenido sin la intervencin de vicio alguno del consentimiento. b) Especfico: referido a una determinada operacin de tratamiento y para una finalidad determinada, explcita y legtima del Responsable del Fichero. c) Informado: el usuario debe conocer, con anterioridad al tratamiento, la existencia y las finalidades para las que se recogen los datos. d) Inequvoco: es preciso que exista expresamente una accin u omisin que implique la existencia del consentimiento (no resulta admisible el consentimiento presunto). En principio, el consentimiento dado abarca todas y cada una de las operaciones que engloban el tratamiento; encontrando slo una excepcin, que es en el caso de la cesin de datos, donde el consentimiento para la cesin ser previo e informado. Hay que sealar que el consentimiento general exigido por la ley va ntimamente ligado a la obligacin de informar, a la hora de la recogida de los datos, de los extremos sealados en el art.5 (derecho de informacin en la recogida), puesto que entiende la Ley que a partir de dicha informacin el afectado es consciente y toma conocimiento de la existencia del tratamiento que se va a realizar, las finalidades y los derechos que le asisten. a) Tipos especiales de consentimiento. La ley dispone para determinadas categoras de datos un tipo elevado de consentimiento. As, encontramos que: El art.7.2 indica que Slo con el consentimiento expreso y por escrito del afectado podrn ser objeto de tratamiento los datos de carcter personal que revelen la ideologa, afiliacin sindical, religin y creencias. Se exceptan los ficheros mantenidos por partidos polticos, sindicatos, iglesias, confesiones o comunidades religiosas y asociaciones, fundaciones y otras entidades sin nimo de lucro, cuya finalidad sea poltica, filosfica, religiosa o sindical, en cuanto a los datos relativos a sus asociados o miembros, sin perjuicio de que la cesin de dichos datos precisar siempre el previo consentimiento del afectado-. Art.7.3. indica que Los datos de carcter personal que hagan referencia al origen racial, a la salud y a la vida sexual slo podrn ser recabados, tratados y cedidos cuando, por razones de inters general, as lo disponga una ley o el afectado consienta expresamente-.
LOPD
Pgina 33 de 60
Creado el 11/12/06
Por ello, podemos sealar que el consentimiento solo ser expreso en los supuestos sealados especficamente por la Ley, y en concreto: a) Consentimiento expreso, para el tratamiento de los datos de salud. b) Consentimiento expreso y por escrito, para el tratamiento de datos de ideologa, afiliacin sindical, religin y creencias. En caso de tratamiento de esta tipologa de datos, ser necesario que el Responsable del Fichero acredite que ha obtenido el consentimiento con todas las garantas establecidas por la ley; es decir, que adems de que el consentimiento sea libre, inequvoco, especfico, informado, sea prestado por escrito y de forma expresa. b) Excepciones al consentimiento. Se fijan en el art.6.2 una serie de excepciones al consentimiento. As, -No ser preciso el consentimiento cuando los datos de carcter personal se recojan para el ejercicio de las funciones propias de las Administraciones Pblicas en el mbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relacin negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un inters vital del interesado en los trminos del art.7.6 de la presente Ley, o cuando los datos figuren en fuentes accesibles al pblico y su tratamiento sea necesario para la satisfaccin del inters legtimo perseguido por el responsable del fichero o por el tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado-. De acuerdo con este artculo, no ser necesario el previo consentimiento del afectado para el tratamiento de sus datos personales en caso de: Tratamiento realizados por Administraciones Pblicas en el ejercicio de sus competencias propias. Tratamientos realizados dentro del mantenimiento de una relacin precontractual, contractual, laboral o administrativa. Es difcil entender una relacin negocial o laboral que no exija, en si misma, el tratamiento de los datos personal (ya sea para la facturacin, contabilidad, gestin, realizacin de nminas, etc). Pero, en estos casos, es recomendable que al inicio de la relacin (firma de contratos), se incorporen clusulas de informacin en las que se informe y recabe el consentimiento para el tratamiento de dichos datos. Proteccin de un inters vital del interesado, como en caso de que el afectado se encuentre fsica o jurdicamente incapacitado para dar su consentimiento. Cuando procedan de fuentes accesibles al pblico. No ser necesario el consentimiento del afectado cuando, recogidos los datos de fuentes accesibles al pblico, el tratamiento sea necesario para la satisfaccin de un inters legtimo perseguido por el responsable del fichero (casos de publicidad y prospeccin comercial, principalmente).
c) Revocacin del consentimiento. El art.6.3 establece que El consentimiento a que se refiere el artculo podr ser revocado cuando exista causa justificada para ello y no se le atribuyan efectos retroactivos-.
LOPD
Pgina 34 de 60
Creado el 11/12/06
Aunque la ley establece que el consentimiento podr ser revocado cuando exista causa justificada, hemos de entender que no sera necesario que el afectado manifestase una causa para revocar su consentimiento, debido a que el consentimiento no es ms que una declaracin de voluntad propia del afectado y su revocacin sera otra declaracin de voluntad. As y en este sentido lo entiende la propia Ley para los casos de cesin de datos o cuando los datos se destinen a fines promocionales y/o publicitarios. Pero, en aquellos casos en los que el tratamiento de los datos viene derivado del mantenimiento de una relacin negocial, administrativa, fiscal o laboral, el consentimiento al tratamiento de los datos no podr ser revocado sin que se alegue por afectado una razn justa que fundamente esta revocacin. d) Derecho de oposicin del afectado. Se establece por la Ley que en aquellos casos en que no sea necesario el consentimiento del afectado para el tratamiento de los datos y siempre que no se disponga por ley lo contrario, el afectado podr oponerse al tratamiento de sus datos cuando existan motivos fundados y legtimos relativos a una concreta situacin personal-. Este derecho de oposicin al tratamiento de los datos debe entenderse slo para aquellos casos concretos en los que operan las excepciones al consentimiento. Aunque se tratar con ms profundidad este aspecto al desarrollar los derechos de los usuarios, hemos de adelantar que: -El derecho de oposicin podr ser total en el caso de datos obtenidos de fuentes accesibles al pblico y cuyo tratamiento sea para fines promocionales y publicitarios. -El derecho de oposicin ser parcial en aquellos casos en los que el tratamiento venga del mantenimiento de una relacin contractual o negocial, administrativa, laboral, etc As, el afectado podr oponerse a un tratamiento comercial o promocial de sus datos, pero no a los tratamientos que se realicen para el mantenimiento o cumplimiento de la relacin negocial, administrativa o laboral. e) Incumplimiento. En los casos en los que es necesario recabar el consentimiento del afectado y se incumpla con esta obligacin, la Ley establece que: Infraccin grave (art.44.3.c): -Proceder a la recogida de datos de carcter personal sin recabar el consentimiento expreso de las personas afectadas, en los casos en que ste sea exigible-. Infraccin muy grave (art.44.4.c): -Recabar y tratar los datos de carcter personal a los que se refiere el art.7.2 cuando no medie el consentimiento expreso del afectado; recabar y tratar los datos a los que se refiere el art.7.3 cuando no lo disponga una ley o el afectado no haya consentido expresamente
LOPD
Pgina 35 de 60
Creado el 11/12/06
12. Legitimacin: deber de secreto (art.10)

Se establece un deber de secreto y de custodia al que se ven sujetos las personas que participan en el proceso de tratamiento de los datos de carcter personal; deberes que subsistirn una vez finalizado el tratamiento de los datos. As, se establece que El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carcter personal estn obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirn aun despus de finalizar sus respectivas relaciones con el titular del fichero o, en su caso, con el responsable del mismo-.
Este deber de secreto debe ser adoptado por todo el personal laboral que accede a los Ficheros de datos; adems en las empresas, este deber fijado por la Ley se ve complementado por la obligacin profesional de confidencialidad y secreto descrita en el art.5.a) del Estatuto de los Trabajadores, que se mantiene vigente hasta la finalizacin de la relacin laboral. Por ello, las obligaciones de Secreto, Confidencialidad y Custodia incumben a todo el personal; y, de manera particular, a aquellos que en el desarrollo de sus funciones accedan a Ficheros que contienen datos personales. En cumplimiento de estas obligaciones, el personal laboral de las empresas que trate o acceda a los ficheros de datos de carcter personal no deber ni podr divulgar o comunicar a terceras personas la informacin o los datos que maneja o a los que tenga conocimiento en el desempeo de su cargo o funciones. Adems, para garantizar la Confidencialidad de la Informacin dentro de las empresas y dada la importancia que la Informacin y documentacin tiene para la actividad empresarial, el personal que acceda a los Ficheros de datos es recomendable que cumpla siempre con las siguientes medidas: a) Deber actuar siempre conforme a sus obligaciones profesionales de confidencialidad y secreto, as como de acuerdo a lo dispuesto por la Ley Orgnica 15/1999 de Proteccin de Datos de Carcter Personal y su normativa de desarrollo. b) El acceso a los datos personales contenidos en ficheros nicamente se llevar a cabo por personal autorizado, limitado a las funciones y actividades a desempear. c) No revelar informacin a personas ajenas que no deban tener acceso a dicha informacin.
LOPD
Pgina 36 de 60
Creado el 11/12/06
Proteccin Establecimiento de medidas de seguridad
LOPD
Pgina 37 de 60
Creado el 11/12/06
13. Las medidas de seguridad en la proteccin de datos de carcter personal.

Todas las empresas, independientemente de su tamao, organizacin y volumen de negocio, son conscientes de la importancia de tener implantadas una serie de polticas de Seguridad tendentes a garantizar la continuidad de su negocio en el caso de que se produzcan incidencias, fallos, actuaciones malintencionadas por parte de terceros, prdidas accidentales o desastres que afecten a los datos e informaciones que son almacenados y tratados, ya sea a travs de sistemas informticos como en otro tipo de soportes, como el papel.
Por:Andrs Veyrat Marqus de Manaca Consulting, S.L.
Los casos de incidentes informticos que en el pasado causaron daos y perjuicios econmicos importantes, han ido abriendo los ojos a muchas empresas a la necesidad de implantar mecanismos para proteger su informacin almacenada y tratada en los equipos informticos de incidencias externas (intencionadas y/o accidentales); pero tambin, de la importancia de la proteccin de la informacin desde una rbita interna de la empresa: el acceso restringido a cierta documentacin por determinados empleados, la firma de clusulas de confidencialidad por parte del personal, el establecimiento de polticas y procedimientos de respaldo y recuperacin de datos o el almacenamiento externo de informacin. Desde el punto de vista de la Ley Orgnica de Proteccin de Datos, las medidas de seguridad van destinadas a todas las organizaciones, empresas e instituciones que almacenan y tratan datos de carcter personal en sus sistemas de informacin, siendo su finalidad principal proteger los datos de carcter personal tratados de posibles incidencias que puedan provocar su prdida, alteracin u acceso no autorizado (tanto interno como externo). Por ello, la adopcin de medidas tcnicas y organizativas tendentes a garantizar la seguridad de los datos de carcter personal es una obligacin bsica que debe ser cumplida por todas las empresas que traten, almacenen y accedan a datos de carcter personal; medidas que debern adoptarse en funcin del nivel de los datos almacenados/tratados, de la estructura y organizacin de la Empresa y del estado de la tecnologa. Es importante sealar que tanto la Ley Orgnica como el Real Decreto 994/1999 que desarrolla el Reglamento de Medidas de Seguridad ligan el concepto de seguridad de los datos a los conceptos de: a) Confidencialidad: entendido como el acceso autorizado a los datos. b) Exactitud: la informacin no debe sufrir alteraciones no deseadas, en cuanto a su contenido. c) Disponibilidad: slo las personas autorizadas pueden tener acceso a la informacin. As podemos observar que la normativa, fijada para ofrecer unos mnimos de seguridad en el tratamiento de los datos de carcter personal, busca el ofrecer unas directrices de seguridad informtica que pueden ser adoptadas e implantadas en todas las empresas, independientemente de su tamao y organizacin: un concepto de proteccin de la informacin como activo empresarial, considerando a la informacin como elemento relevante para mejorar la competitividad, la rentabilidad y el cumplimiento de los fines empresariales conjugada con la proteccin del derecho a la intimidad de las personas.
LOPD
Pgina 38 de 60
Creado el 11/12/06
13.1.El Reglamento de Medidas de Seguridad.

El Real Decreto 994/1999, de 11 de junio, que aprueba el Reglamento de Medidas de Seguridad para los Ficheros automatizados de Datos de Carcter Personal establece las medidas de carcter tcnico y organizativo que deben ser adoptadas por todas las Empresas, Organizaciones, Asociaciones e Instituciones, tanto Pblicas como Privadas, que almacenen, traten y accedan a ficheros de datos de carcter personal. Es una norma de mnimos, que siempre estar en funcin de tres extremos: a) La tipologa de los datos y el tratamiento concreto que se realiza de los mismos. b) La dimensin y estructura de los sistemas de informacin. c) El estado de la tecnologa. La obligacin de seguridad que regula el art.9 de la Ley Orgnica, desarrollada por este Reglamento, es una obligacin de medios; es decir, nos obliga a adoptar las medidas necesarias para proteger los datos, pero reconoce que ninguna empresa puede garantizar al 100% que, con la adopcin de dichas medidas, no vayan a producirse o existir incidencias. Por ello, siempre que el Responsable del Fichero pueda acreditar que estableci y sigui las medidas de seguridad exigibles en cada caso, evitar una posible sancin por parte de la Agencia Espaola de Proteccin de Datos. Su comportamiento siempre ser valorado en funcin de las circunstancias y exigencias de cada tratamiento, pesando sobre l la carga de la prueba de que adopt todas las medidas necesarias para evitar o reducir el posible dao. a) Objeto del Reglamento. El Reglamento tiene por objeto determinar las medidas tcnicas y organizativas que garanticen la confidencialidad, integridad y disponibilidad de la informacin que contenga datos personales con la finalidad de preservarlos frente a su alteracin, prdida, tratamiento o acceso no autorizado. Las medidas que debern ser adoptadas e implantadas por el Responsable del Fichero, y en su caso por el Encargado del Tratamiento, en los Sistemas de Informacin (equipos informticos, programas, redes), en los Locales (oficinas, departamentos, etc..) donde se realiza el tratamiento y sobre las personas (personal laboral) que acceden a dicha informacin son: a) Medidas Organizativas: aquellas medidas destinadas a establecer procedimientos, normas, reglas y estndares de seguridad, cuyos destinatarios son los usuarios que tratan los datos de los ficheros. Estas medidas deben tender a garantizar la confidencialidad, integridad y seguridad de los datos almacenados en programas y sistemas informticos, que se encuentran situados fsicamente en un determinado local o centro. b) Medidas Tcnicas: medidas destinadas principalmente a la conservar la integridad de la informacin (su no alteracin, prdida o robo) y en menor medida a la confidencialidad de los datos personales. Se encuentran delimitadas en funcin del nivel de seguridad de los datos tratados: bsico, medio y alto. Los destinatarios de estas medidas son los sistemas de informacin, ficheros, locales, equipos y dems elementos materiales que tratan los datos.
LOPD
Pgina 39 de 60
Creado el 11/12/06
b) mbito de aplicacin. Las medidas tcnicas y organizativas establecidas por el Reglamento deben aplicarse sobre:
Los ficheros automatizados, entendidos como todo conjunto organizado de datos de carcter personal, cualquiera que fuere su forma o modalidad de creacin, almacenamiento, organizacin y acceso. Los centros de tratamiento, entendidos como los lugares habilitados donde se encuentran los ordenadores, equipos y servidores que almacenan la informacin. Los locales, entendidos como aquellos lugares donde se encuentran fsicamente ubicados los equipos y el personal que trata datos. Los equipos: todo material en soporte fsico que sirva para tratar y almacenar electrnicamente datos personales. Los sistemas y programas informticos que tratan los datos de carcter personal. Las personas que acceden a los datos: personal laboral que, de acuerdo con sus funciones y obligaciones, interviene en cualquiera de las fases del tratamiento de los datos (recogida, grabacin, conservacin, elaboracin, modificacin, bloqueo, cancelacin, consulta, etc...).
c) mbito de Exclusin. Quedan excluidos de la adopcin de dichas medidas de seguridad: Los ficheros en soporte papel cuya creacin sea anterior a la entrada en vigor de la Ley Orgnica 15/1999. Los ficheros automatizados que no contengan datos personales. Los ficheros automatizados personales para el ejercicio de actividades personales y/o domsticas (como por ejemplo, la agenda telefnica o la libreta de direcciones de los programas de correo electrnico).
d) Los niveles de seguridad en el Reglamento. Cada uno de los niveles de seguridad establecidos en el Reglamento tienen la consideracin de mnimos legales exigibles, por lo que cada Empresa podr incrementarlas de acuerdo a otros criterios de Seguridad Informtica, ofreciendo de esta forma mayores garantas, tanto para el tratamiento de sus ficheros como para el resto de la informacin corporativa. El Reglamento establece los niveles de seguridad de forma acumulativa; as, en caso de tratamiento de ficheros de nivel medio, debern implantarse todas y cada una de las medidas de seguridad descritas para el nivel bsico y las del medio. Igualmente suceder con los ficheros de nivel alto, que debern implantar las medidas descritas para el nivel bsico, el medio y el alto. En resumen:

Nivel Bsico: Para todos los ficheros de datos de carcter personal. Nivel Medio: Sern adoptadas para: a) Ficheros que contengan datos relativos a la comisin de infracciones administrativas o penales. b) Ficheros que contengan datos sobre Hacienda Pblica.
LOPD
Pgina 40 de 60
Creado el 11/12/06
c) Ficheros que contengan datos sobre Servicios Financieros. d) Ficheros que contengan datos sobre solvencia patrimonial y crdito. e) Ficheros que contengan un conjunto de datos suficientes que permitan elaborar un perfil del afectado (se les aplican las medidas descritas en los art.17 a 20).
Nivel Alto: Aquellos que contengan datos de ideologa, religin, creencias, origen racial, salud, vida sexual.
En el siguiente cuadro se muestran las diferentes medidas aplicables a cada uno de los niveles:
MEDIDAS DE SEGURIDAD Documento de Seguridad Identificacin y Autenticacin: 1.- Existencia de una lista actualizada de usuarios autorizados que tengan acceso autorizado al sistema de informacin (art.11.1 y 12.3). 2.- Procedimientos de identificacin y autenticacin informticos: a) Contraseas: procedimiento de creacin, asignacin, conservacin y cambio peridico (art.11.2 y 11.3). b) Identificacin de usuario, de manera inequvoca y personalizada (art.18.1). c) Limitacin de acceso incorrecto reiterado (art.18.2). Control de Acceso: 1.- Los usuarios tendrn nicamente acceso a los datos/recursos de acuerdo a su puesto laboral y tareas definidas en el documento (art.12.1). 2.- Debern implantarse mecanismos que eviten el acceso no autorizado a otros recursos: establecimiento de perfiles de usuario (art.12.2). 3.- Control de acceso fsico a servidores y CPD (art.19). 4.- De cada acceso se guardarn: identificacin usuario, fecha y hora, fichero accedido, tipo de acceso y su autorizacin o denegacin, guardando la informacin que permita identificar registro accedido (art.24.2). 5.- Los mecanismos de acceso estarn bajo el control directo del Responsable de Seguridad, sin que pueda permitirse la desactivacin (art.24.3). 6.- Registro y conservacin de accesos lgicos al fichero por un plazo no inferior a 2 aos (art.24.4). 7.- Para accesos a travs de redes de telecomunicaciones, debern tener las mismas medidas que para accesos en modo local (art.5). Funciones y obligaciones del personal: 1.- Definicin en el Documento de Seguridad de las funciones y obligaciones de grupos de usuarios y/o perfiles (art.9.1). 2.- Conocimiento por parte del personal de las normas y medidas de seguridad que les son aplicables (art.9.2). 3.- Identificacin y funciones del/los Responsables de Seguridad (art.15 y 16). 4.- Trabajo fuera de ubicacin principal debe ser expresamente autorizado (art.6). 5.- Listado de personal con acceso a Servidores y/o CPD (art.19). 6.- Listado de personal con privilegios administrativos informticos sobre aplicaciones y ficheros (art.12.4). Estructura de los Ficheros y del Sistema Informtico: 1.- Descripcin y estructura informtica del Fichero (campos ID) 2.- Descripcin y estructura del Sistema Informtico (enumeracin de equipos, redes, programas, etc...) Gestin de Soportes: 1.- Identificacin, inventariado y almacenamiento (art.13.1). 2.- Autorizacin necesaria para salida de soportes (art.13.2). 3.- Cifrado de soportes en caso de operaciones externas de mantenimiento (art.20.4). 4.- Medidas y procedimientos para la destruccin de soportes (art.20.3). 5.- Registro de Entrada de Soportes (art.20.1). 6.- Registro de Salida de Soportes (art.20.2). 7.- Distribucin de soportes con mecanismos de cifrado de datos (art.26). Ficheros Temporales: Aplicacin de mismo nivel de seguridad que fichero origen (art.7). Registro de Incidencias: 1.- Contenido mnimo: tipo de incidencia, momento en que se produce, efectos producidos, persona que comunica, medidas adoptadas (art.10). BSICO MEDIO ALTO
LOPD
Pgina 41 de 60
Creado el 11/12/06
MEDIDAS DE SEGURIDAD 2.- Contenido adicional: Procedimiento de restauracin de datos, datos restaurados y datos grabados manualmente (art.21.1) Procedimientos de Copias de Respaldo y Recuperacin datos: 1.- Debern garantizar la restauracin de los datos al momento anterior a producirse la prdida (art.14.2). 2.- Realizacin de copias de backup al menos con una frecuencia semanal (art.14.3). 3.- Necesaria autorizacin para la ejecucin de procedimientos de restauracin de datos (art.21.2). 4.- Almacenamiento externo de copias y procedimientos de restauracin de datos (art.25). Pruebas con datos reales: Aplicacin de mismas medidas segn nivel de seguridad de los datos (art.22). Actualizacin y Auditoria: 1.- Revisin y actualizacin del Documento de Seguridad en funcin de cambios relevantes en la Organizacin (art.8.3). 2.- Auditoria cada 2 aos. Conservacin de Informe a disposicin AEPD (art.17). 3.- Revisin peridica de la informacin de control de los accesos informticos a ficheros y aplicaciones (art.24.5). Medidas especficas para datos en soporte papel: 1.- Control de acceso a la documentacin. 2.- Medidas de conservacin y almacenamiento. 3.- Procedimientos y mecanismos de destruccin que impidan posterior recuperacin de la informacin que contienen.
BSICO
MEDIO
ALTO
e) Definiciones: El Reglamento 994/1999 incorpora una serie de definiciones sobre los conceptos en los que se basan las medidas de seguridad:

Sistemas de informacin: Son el conjunto de equipos, programas, ficheros automatizados y soportes empleados para el almacenamiento y tratamiento de datos. Usuario: Sujeto o proceso autorizado para acceder a los datos o recursos. Toda persona autorizada que accede a los datos en funcin funciones laborales. Recurso: Cualquier componente del sistema de informacin, materiales (equipos) o inmateriales (carpetas de red). Accesos autorizados: Autorizaciones concedidas a un usuario para la utilizacin de los diversos recursos. Comprenden tanto los accesos lgicos (equipos/red) y accesos fsicos. Identificacin: procedimiento de reconocimiento de la identidad de un usuario. Puede ser fsica (a travs de datos biomtricos) como lgica (nombre de usuario). Autenticacin: procedimiento de comprobacin de la identidad de un usuario. El uso de contraseas asociadas a nombres de usuario se considera jurdicamente vlido a los efectos de cumplir con los requisitos de identificacin y autenticacin. Control de acceso: mecanismo que, en funcin de la identificacin ya autenticada, permite acceder a datos y/o recursos. Contrasea: Informacin confidencial, constituida por una cadena de caracteres, que puede ser usada en la autenticacin del usuario. Incidencia: Cualquier anomala que afecte o pueda afectar a la seguridad de los datos (lgica y fsica). Soporte: objeto fsico susceptible de ser tratado en un sistema de informacin y sobre el cual se pueden grabar o recuperar datos. Responsable de seguridad: Persona o personas a las que el Responsable del Fichero ha asignado formalmente la funcin de coordinar y controlar las medidas de seguridad aplicables. Copia de respaldo: Copia de los datos de un fichero automatizado en un soporte que posibilite su recuperacin.
LOPD
Pgina 42 de 60
Creado el 11/12/06
13.2.Plazos de implantacin de las Medidas de Seguridad.

El Reglamento establece, en su Disposicin Transitoria nica, los plazos para la implantacin de estas medidas de seguridad, fijando como lmite mximo para su adecuacin en funcin del nivel de seguridad de los ficheros de datos; as: Nivel Bsico: 26 de marzo de 2000. Nivel Medio: 26 de junio de 2000. Nivel Alto: 26 de junio de 2002.
Adems, se estableca un plazo de 3 aos para la adecuacin de los sistemas de informacin que no permitan tecnolgicamente implantar concretas medidas de seguridad. Este plazo tambin ha quedado vencido. Actualmente, cualquier empresa puede poner en marcha las medidas de seguridad para ficheros de nivel bsico y ciertas medidas del nivel medio, sin que ello suponga realizar fuertes inversiones econmicas, puesto que: 1. Los equipos informticos incorporan unidades/hardware que permiten la generacin de copias de seguridad (por ejemplo, unidades CDRW o DVDRW). 2. Pueden adoptarse normas y procedimientos de calidad para la utilizacin de sistemas informticos, gestin de incidencias y registros de entrada y salida de soportes informticos, etc... 3. Los sistemas operativos y aplicaciones informticas nos permiten la configuracin de herramientas de control de accesos, controles de seguridad, implantacin de perfiles y sistemas de autenticacin de usuarios. En la pgina Web de Microsoft TechNet se encuentran recursos tcnicos y documentos que proporcionan informacin tcnica para la configuracin de las herramientas del panel de control en entornos operativos Windows; as como una gua para la Aplicacin de la ley de Proteccin de Datos en entornos Windows.
13.3.Medidas aplicables a los diferentes Niveles de Seguridad.

El Reglamento establece en los arts.5, 6 y 7 medidas de seguridad que se aplican independientemente del nivel de seguridad de los ficheros tratados. Estas medidas son las siguientes: a) Acceso a travs de redes de telecomunicaciones (art.5). El Reglamento establece que las medidas de seguridad exigibles para el acceso a travs de redes de telecomunicaciones deber garantizar un nivel equivalente al correspondiente a los accesos en modo local. As, en funcin del nivel de seguridad, debern adoptarse medidas de seguridad que garanticen la disponibilidad de la informacin (cifrado de informacin) as como medidas de identificacin y autenticacin inequvoca y personalizada para los accesos que realicen los usuarios a travs de redes de telecomunicaciones.
LOPD
Pgina 43 de 60
Creado el 11/12/06
b) Rgimen de trabajo fuera de los locales de la ubicacin del fichero (art.6). Establece el Reglamento que deber estar expresamente autorizado por el responsable del fichero la ejecucin de tratamientos de los datos fuera de la ubicacin principal, garantizndose en todo momento el mismo nivel de seguridad. c) Ficheros Temporales (art.7). Se establece que los ficheros temporales debern cumplir el mismo nivel de seguridad que el fichero del tienen origen, procedindose a su destruccin o borrado seguro cuando haya dejado de ser necesario para la finalidad que motiv su creacin. Para la LOPD, tendrn la consideracin de ficheros temporales las extracciones puntuales de datos que se realicen de los ficheros de datos de carcter personal para atender o dar cumplimiento a determinadas finalidades concretas y comunes de gestin y administracin autorizadas por el responsable del fichero.
LOPD
Pgina 44 de 60
Creado el 11/12/06
14. Las medidas de seguridad de nivel bsico.

Son las medidas aplicables a todos los ficheros automatizados de datos de carcter personal. Se encuentran recogidas en los arts. 8 a 14 del Real Decreto 994/1999.
14.1.El Documento de Seguridad.

Desde el punto de vista de la Seguridad Informtica, el Documento de Seguridad no es sino una parte ms de las llamadas Polticas de Seguridad, que recogen y establecen toda una serie de procedimientos, controles, auditorias y actuaciones frente a contingencias e incidencias que pueden acaecer sobre un sistema informtico. Desde la rbita de la LOPD, el Documento de Seguridad es un documento de carcter privado y de obligado cumplimiento para todo el personal de la Empresa que acceda a los Ficheros de datos de carcter personal y a los Sistemas de Informacin, en el que deben quedar plasmadas y recogidas todas las polticas, reglas, medidas y procedimientos de seguridad establecidos por el Responsable del Fichero. 1.- Contenido del Documento de Seguridad (art.8). El Documento de Seguridad deber describir las medidas de seguridad efectivamente adoptadas por la Empresa para el tratamiento de sus ficheros de datos de carcter personal. Este dato es muy importante, puesto que cada empresa tiene una organizacin distinta, y una de las funciones principales del documento es dar a conocer a los usuarios de los ficheros las medidas de seguridad implantadas, as como las recomendaciones, normas y procedimientos establecidos en la misma para el tratamiento de sus ficheros. El contenido mnimo del Documento de Seguridad deber recoger los siguientes aspectos: a) mbito de aplicacin del Documento con especificacin detallada de los recursos protegidos. Los recursos que debern relacionarse en este apartado del Documento son: 1.- Ficheros de datos de carcter personal protegidos por la normativa. 2.- Descripcin de los equipos informticos utilizados para su tratamiento (servidores, terminales, ordenadores). 3.- Aplicaciones informticas utilizadas para el tratamiento de los ficheros de datos (como, por ejemplo, Bases de datos SQL, Programas de gestin, hojas de calculo, etc). 4.- Descripcin de la red de comunicaciones. 5.- Locales e ubicaciones donde ser de aplicacin la normativa. b) Medidas, normas, procedimientos y estndares encaminados a garantizar el nivel de seguridad exigido. En este apartado se recogen, principalmente, las directrices y procedimientos de seguridad de acceso, tanto fsico como lgico; as, deben de indicarse:
LOPD
Pgina 45 de 60
Creado el 11/12/06
- Los procedimientos y normas de acceso fsico a las ubicaciones y locales: se relacionan los controles de acceso fsico del personal a locales y oficinas, los elementos de seguridad fsica que se disponen, las medidas de seguridad industrial, etc No es necesario realizar una descripcin exhaustiva de dichas normas, procedimientos y medidas. - Los procedimientos y normas de acceso al sistema informtico: asignacin, distribucin, almacenamiento y cambio de contraseas de acceso al sistema y red. - Los procedimientos, normas y medidas de seguridad lgica adoptados para la defensa ante ataques externos (antivirus, firewalls, cifrado de redes, control de puertos, etc). - Los procedimientos de acceso y normas de utilizacin de aplicaciones informticas concretas. - Los procedimientos, normas y medidas de acceso a travs de Redes de Telecomunicaciones. - Los procedimientos, autorizaciones y normas de trabajo en ubicaciones distintas a la principal. - Las directrices de seguridad para la utilizacin de determinados programas de correo electrnico, protectores de pantalla, conservacin de documentos, generacin de contraseas, etc c) Funciones y obligaciones del personal. El Documento de Seguridad debe recoger las principales funciones y obligaciones del personal que accede a los datos de los ficheros; debern definirse y recogerse los tipos de acceso y permisos, pudiendo relacionarse por grupos de usuarios, por perfiles de usuarios, por funciones laborales, etc... Adems, deber recogerse una lista actualizada de los usuarios que acceden a los sistemas de informacin, as como aquellos usuarios autorizados a acceder a cada uno de los ficheros de datos. Es recomendable que estos listados sean incorporados como Anexos al Documento de Seguridad. d) Estructura de los ficheros con datos de carcter personal y descripcin de los sistemas de informacin que los tratan. En este apartado, debern relacionarse los diferentes Ficheros de Datos regulados por el Documento y las aplicaciones informticas utilizadas para su tratamiento. En muchos casos, se realiza una parte expositiva en el Documento y se incorporan como Anexos al mismo dos apartados concretos: 1.- Estructura del fichero de datos: Se incorpora la tabla de campos ID que conforman los campos del fichero. 2.- Se especifica el nombre de la aplicacin informtica (programa) que se utiliza para el tratamiento de los datos; adems, suelen incorporarse datos referentes al equipo-servidor en el que se encuentra almacenado el fichero. e) Procedimiento de notificacin, gestin y respuesta ante incidencias. Este es uno de los aspectos principales, determinar cmo responder la empresa y el personal que accede a los ficheros ante las incidencias que puedan surgir en los datos, en los sistemas informticos y en los locales donde se realiza el tratamiento de los ficheros.
LOPD
Pgina 46 de 60
Creado el 11/12/06
Cada empresa puede definir, en funcin del tratamiento que realiza y segn sus criterios de seguridad informtica, cuales son las incidencias/vulnerabilidades que pueden afectar a su organizacin y establecer las normas y procedimientos de notificacin y actuacin. En muchos casos, la notificacin de incidencias no queda recogida en formularios/impresos de notificacin; simplemente, cuando un usuario detecta una incidencia se pone en contacto con el departamento de informtica por la va ms rpida (telfono); tambin, encontramos los casos de empresas que no cuentan con personal especfico que controle, verifique y supervise el correcto funcionamiento de los sistemas informticos y contrata empresas especializadas el mantenimiento y soporte de sus sistemas informticos. f) Los procedimientos de realizacin de copias de respaldo y recuperacin de datos. Debe establecerse y definirse en el Documento de Seguridad cundo, cmo y qu se incorpora a las copias de seguridad; y, en caso de que sea necesaria la restauracin de los datos, cul es el procedimiento de actuacin a seguir. Es recomendable que las copias de seguridad se realicen con una frecuencia semanal. Por ltimo, el Documento de Seguridad deber en todo momento mantenerse actualizado y deber ser revisado siempre que se produzcan cambios relevantes en el sistema de informacin y en la organizacin de la empresa. 2.- Forma del Documento de Seguridad. Como normativa de obligado cumplimiento para todo el personal de la empresa que accede a los ficheros de datos de carcter personal al establecer y recoger las directivas de seguridad, normas y procedimientos, el Documento de Seguridad deber quedar recogido por escrito y deber ser distribuido, en todo o parte, para su conocimiento a todo el personal. El Documento de Seguridad deber estar a disposicin de la Agencia Espaola de Proteccin de Datos en caso que la misma lo solicite; en ese caso, la Agencia comprobar que lo establecido y recogido en el Documento de Seguridad responde con veracidad a las medidas efectivamente adoptadas. Encontramos disponibles modelos para la confeccin del Documento de Seguridad en la pgina Web de la Agencia Espaola de Proteccin de Datos as como en la pgina de la Agencia de Proteccin de Datos de la Comunidad de Madrid.
14.2.B) Funciones y obligaciones del personal (art.9).

El Reglamento establece que las funciones y obligaciones de cada una de las personas con acceso a los datos de carcter personal y a los sistemas de informacin estarn claramente definidas y documentadas; adems, el personal deber conocer las normas de seguridad establecidas y las consecuencias de su incumplimiento. En la prctica, esta medida se consigue a travs del establecimiento de privilegios informticos. A travs de los mismos, podemos establecer qu usuarios pueden acceder o no a partes del sistema informtico y a los ficheros; y dentro de los que tienen permitido el acceso, cules podrn actualizar, modificar, agregar o suprimir datos de carcter personal, as como quienes podrn autorizar el tratamiento, grabacin, consulta y exportacin de los ficheros.
LOPD
Pgina 47 de 60
Creado el 11/12/06
Para conseguir que los usuarios conozcan sus funciones y las consecuencias de su incumplimiento, muchas empresas ponen a disposicin de los empleados que acceden a los ficheros todo o parte del Documento de Seguridad; en otros casos, entregan un Manual de Tratamiento de Datos de carcter Personal.
14.3.C) Registro de Incidencias (art.10).

El procedimiento de notificacin y gestin de incidencias contendr necesariamente un registro en el que se haga constar: - Tipo de incidencia, el -Momento en que se ha producido, -Persona que realiza la notificacin, -Persona a quien se le comunica, y -Efectos que se hubieran derivado de la incidencia. La finalidad de esta medida es, por un lado, establecer un procedimiento de notificacin de incidencias: que los usuarios sepan a quin recurrir cuando se produce una incidencia y cmo deben actuar (en muchas ocasiones los usuarios de equipos informticos tienden a buscar soluciones propias que, ms que solucionar el problema, produce una prdida de datos). Y, por otro lado, a travs del Registro de las incidencias acaecidas se persigue aprender a actuar frente a las mismas, proporcionndonos una respuesta rpida y segura al problema. Conocer cmo se actu y que incidencias se producen en nuestra empresa nos permite adoptar mejores medidas para evitarlas o, por lo menos, saber cmo actuar para que el dao sea menor. En la prctica, los Departamentos de Informtica disponen de herramientas administrativas en los sistemas operativos que permiten establecer auditoras de seguridad y registros de actuaciones realizadas frente a sucesos o incidencias informticas.
14.4.D) Identificacin y autenticacin (art.11).

El Reglamento establece que el responsable del fichero se encargar de que exista una relacin actualizada de usuarios que tengan acceso autorizado al sistema de informacin y de establecer procedimientos de identificacin y autenticacin para dicho acceso. La identificacin es el procedimiento de reconocimiento de la identidad de un usuario (su nombre de usuario en el sistema) y la autenticacin como el procedimiento de comprobacin de la identidad del usuario (la contrasea de acceso asociada al nombre de usuario). En la prctica esta medida de seguridad est adoptada por la mayora de las empresas, principalmente debido a que los sistemas operativos permiten la creacin de cuentas de usuario personalizadas; aunque en ciertos casos las empresas optan por implantar una identificacin y autenticacin por grupos de usuarios (una nica cuenta que es utilizada por varios usuarios) en vez de utilizar una identificacin y autenticacin de forma inequvoca y personalizada que es ms recomendable a efectos de seguridad, tanto para la empresa como para los usuarios.
LOPD Pgina 48 de 60
Creado el 11/12/06
Establece el Reglamento que, cuando el mecanismo de autenticacin se base en la existencia de contraseas existir un procedimiento de asignacin, distribucin y almacenamiento que garantice su confidencialidad e integridad. Adems, las contraseas se cambiarn con la periodicidad que se determine en el Documento de Seguridad y mientras estn vigentes se almacenarn de forma ininteligible. La contrasea es uno de los medios existentes para validar la identidad de un usuario en su acceso al sistema, aunque la tecnologa nos permite actualmente que la identificacin y autenticacin se produzca por otros datos biomtricos. Pero al ser las contraseas de acceso el mecanismo ms utilizado, debemos adoptar e implantar procedimientos para una adecuada gestin, fijando directrices como las siguientes: -Si la contrasea es generada por el Administrador del Sistema y luego es cambiada, en el primer acceso al sistema, por una contrasea personal por parte del usuario, o por el contrario no podr ser modificada por el usuario. -Si la contrasea debe tener una longitud mnima o debe contener requisitos de complejidad (letras y nmeros). -Si se establecen lmites de frecuencia en la utilizacin de contraseas; es decir, si no podemos repetir las ltimas contraseas que hemos utilizado. -Fijar la duracin mnima/mxima de vigencia de la contrasea. -Establecer los procedimientos para el cambio de contrasea y los casos en los que deber procederse a su cambio por haberse visto comprometida. -Establecer los procedimientos de bloqueo y desbloqueo de cuenta por utilizacin reiterada de contraseas incorrectas. -Establecer los procedimientos de generacin, conservacin y almacenamiento seguro de contraseas.
14.5.E) Control de Acceso (art.12).

Fija el Reglamento que los usuarios tendrn acceso autorizado nicamente a aquellos datos y recursos que precisen para el desarrollo de sus funciones; que el responsable del fichero establecer mecanismos para evitar que un usuario pueda acceder a datos o recursos con derechos distintos de los autorizados. Aunque el Reglamento no fija o determina cules sern los mecanismos ha implantar, los sistemas operativos permiten el establecimiento de privilegios de acceso asociados a usuarios/grupos de usuarios, permitindonos controlar que tipo de acciones podrn ser realizadas por el usuario: desde el acceso a recursos, aplicaciones, carpetas y/o documentos, como la posibilidad de instalar y/o desinstalar programas, eliminar archivos, etc... As, al establecer privilegios de acceso a los usuarios podemos asegurar la confidencialidad y disponibilidad de la informacin; pero, adems, podemos: - Que slo las personas autorizadas podrn acceder a ciertos recursos (sistemas, equipos, programas, aplicaciones, bases de datos, redes, etc) por sus funciones laborales.
LOPD Pgina 49 de 60
Creado el 11/12/06
- Nos permiten identificar y auditar los accesos realizados, estableciendo controles de seguridad internos. - Documentar los procedimientos de acceso a las diferentes aplicaciones que tratan datos personales. - En definitiva, controlar los accesos desde diferentes vertientes: red, sistemas y aplicaciones. Adems, establece el Reglamento que la relacin de usuarios a la que se refiere el art.11.1 contendr el acceso autorizado para cada uno de ellos; y que exclusivamente el personal autorizado para ello en el Documento de Seguridad podr conceder, alterar o anular el acceso autorizado sobre los datos y recursos, conforme a los criterios establecidos por el responsable del fichero.
14.6.F) Gestin de Soportes (art.13).

El Reglamento establece que los soportes informticos que contengan datos de carcter personal debern permitir identificar el tipo de informacin que contienen, ser inventariados y almacenarse en un lugar con acceso restringido al personal autorizado para ello en el Documento de Seguridad. Adems, la salida de soportes informticos que contengan datos de carcter personal, fuera de los locales en los que est ubicado el fichero, nicamente podr ser autorizada, por el responsable del fichero. Para todas las empresas es lgico que los soportes que contienen datos de carcter personal o cualquier otro tipo de documentacin est claramente identificada y almacenada, por razones obvias; pero, es sta es una de las medidas de seguridad sobre la que menos diligencia se pone por parte de los usuarios de los ficheros. Cada ao la Agencia Espaola de Proteccin de Datos abre expedientes sancionadores por encontrar soportes (principalmente, disketes, discos duros y papel) que aparecen en lugares donde no deberan encontrarse. Para evitar este tipo de casos, debe establecerse por las empresas procedimientos de gestin de soportes y normas de utilizacin para todos los usuarios, en los que se establezcan directrices mnimas bsicas como las siguientes: Inventariado y almacenamiento de todos los soportes informticos. Modelo de autorizacin y registro de salida de soportes informticos. Conservacin y almacenamiento de soportes papel /documentacin en armarios/archivadores. Cada vez que un usuario accede a documentos y/o soportes (informticos y/o en papel) que contengan datos de carcter personal, una vez finalizado su uso deber devolverlo a su armario/archivador. Inventariado y almacenamiento con acceso restringido a documentos y soportes calificados como confidenciales.
14.7.G) Copias de Respaldo y Recuperacin (art.14).

El Reglamento establece en cuanto a la realizacin de copias de seguridad de los datos que el responsable del fichero deber:
LOPD Pgina 50 de 60
Creado el 11/12/06
a) Verificar la definicin y correcta aplicacin de los procedimientos de ejecucin de copias de respaldo y recuperacin de los datos. b) Los procedimientos de backup debern garantizar la reconstruccin de los datos al estado en que se encontraban al momento anterior de producirse la prdida o destruccin. c) Debern realizarse copias de respaldo al menos semanalmente. Casi todas las empresas, independientemente de su tamao y estructura informtica, cuentan actualmente con los medios necesarios para poder realizar copias de seguridad de sus documentos y archivos informticos (CDRW, DVDRW, dispositivos de almacenamiento USB, etc...); por ello, lo que se ha de destacar obligacin fijada por el Reglamento es: 1.- Por una lado, la necesidad de realizar las copias de seguridad con al menos una frecuencia semanal; aunque esta frecuencia deber variar en funcin principalmente del tipo de actividad y del volumen de datos y documentos informticos generados entre copias de seguridad. 2.- Por otro lado, la necesidad de contar con un procedimiento de restauracin de datos, que garantice: La reconstruccin del Sistema Operativo y su configuracin (particiones, usuarios, file systems, etc...). La reinstalacin de software base y programas necesarios para la ejecucin de aplicaciones (entre ellos el software de backup). La reinstalacin de aplicaciones informticas necesarias para el tratamiento de los datos. Los archivos, documentos y bases de datos. 3.- Y, por ltimo, es muy recomendable proceder al almacenamiento y conservacin, en una ubicacin de acceso restringido, de las copias de seguridad junto a una copia del procedimiento de restauracin de datos y los programas, aplicaciones informticas, datos de configuracin y sistema operativo utilizados.
LOPD
Pgina 51 de 60
Creado el 11/12/06
15. Las medidas de seguridad de nivel medio.

Como hemos indicado anteriormente, el Reglamento ha establecido los niveles de seguridad de forma acumulativa; es decir, que al Nivel de seguridad Medio se aplicarn las medidas de seguridad del Nivel Bsico y aquellas que se establecen en los arts.15 a 22 del Reglamento 994/1999.
15.1.A) Documento de Seguridad (art.15).

Establece el Reglamento que al contenido descrito por el art.8, deber contener adems el Documento de Seguridad lo siguiente: -La identificacin del/los responsables de seguridad. -Los controles peridicos para verificar el cumplimiento de lo dispuesto en el Documento de Seguridad. -Las medidas de seguridad para la reutilizacin/destruccin segura de soportes.
15.2.B) Responsable de Seguridad (art.15).

Fija el Reglamento que el Responsable del Fichero designar uno o varios responsables de seguridad encargados de coordinar y controlar las medidas de seguridad definidas en el Documento de Seguridad. Podemos decir que el Responsable de Seguridad es la persona encargada de velar por el cumplimiento de las medidas, reglas y normas de seguridad establecidas por el Responsable del Fichero; en la mayora de los casos, se trata del personal de los departamentos de sistemas/informtica, por contar con conocimientos tcnicos que debern complementados con un conocimiento especfico en materia de Proteccin de Datos de Carcter Personal. En otros casos, suele establecer varios responsables de seguridad que trabajan de forma coordinada en tres mbitos dentro de la empresa: jurdico, informtico y gestin de calidad. Adems de definirse al/los responsables de seguridad, deber establecerse en el Documento de Seguridad las funciones y obligaciones del Responsable de Seguridad, entre las que podemos fijar las siguientes: Velar por el cumplimiento de las normas de seguridad contenidas en el Documento de Seguridad. Determinar y describir los recursos informticos a los que se aplicar el Documento de Seguridad. Establecer y comprobar la aplicacin del procedimiento de notificacin, tratamiento y registro de incidencias. Establecer y comprobar la aplicacin del procedimiento de realizacin de copias de respaldo y recuperacin de datos y su periodicidad. Elaborar y mantener actualizada la lista de usuarios que tengan acceso autorizado al Sistema Informtico, con especificacin del nivel de acceso que tiene cada usuario.
LOPD
Pgina 52 de 60
Creado el 11/12/06
Establecer y comprobar la aplicacin del procedimiento de identificacin y autenticacin de usuarios, as como la asignacin, distribucin y almacenamiento de las contraseas de acceso. Establecer y comprobar la aplicacin del procedimiento de cambio peridico de las contraseas de los usuarios del sistema. Establecer y comprobar la aplicacin de un sistema que limite el acceso de los usuarios nicamente a aquellos datos y recursos que precisen para el desarrollo de sus funciones. Establecer y comprobar la aplicacin de los mecanismos necesarios para evitar que un usuario pueda acceder a datos o recursos con derechos distintos a los autorizados. Conceder, alterar, anular el acceso autorizado a los datos y recursos, de acuerdo con los criterios establecidos por el Responsable del Fichero. Velar por el cumplimiento de las normas de seguridad, comunicando al Responsable del Fichero las infracciones cometidas. Establecer los controles peridicos y auditorias necesarias para comprobar el nivel de cumplimiento del documento. Tambin establece expresamente el Reglamento, en el art.16, que en ningn caso el Responsable de Seguridad ser responsable de las infracciones cometidas por el incumplimiento de la normativa vigente en materia de proteccin de datos, puesto que la responsabilidad corresponde nicamente al responsable del fichero.
15.3.C) Auditora (art.17).

El Reglamento establece que los sistemas de informacin e instalaciones de tratamiento de datos se sometern a una auditora interna o externa, que verifique el cumplimiento del Reglamento, de los procedimientos e instrucciones vigentes en materia de seguridad de datos, al menos, cada dos aos. Adems, se establece que el Informe de Auditora deber dictaminar sobre el grado de adecuacin y cumplimiento de las medidas de seguridad, identificar sus deficiencias y proponer las medidas correctoras necesarias. As, se establece la obligacin de realizar una Auditora cada 2 aos, por personal propio o externo a la entidad debidamente cualificado, que deber centrarse en la revisin de las Medidas de Seguridad implantadas y que deben reunir los ficheros automatizados, los equipos, los locales, centros de tratamiento y aplicaciones informticas que tratan datos de carcter personal, as como en la revisin de los procedimientos, reglas y estndares organizativos y de seguridad, elaborados e implantados; elaborndose un Informe de Auditora con el resultado de las deficiencias encontradas y las medidas correctoras propuestas, adems de recogerse en el mismo todos los datos, hechos y observaciones en que se basen los dictmenes y recomendaciones propuestos. En la realizacin de una Auditora de Medidas de Seguridad para Ficheros automatizados de datos de nivel medio se analizarn, como mnimo: -Los medios y procedimientos de identificacin y autenticacin.
LOPD Pgina 53 de 60
Creado el 11/12/06
-El control y registro de accesos, con determinacin de perfiles de usuarios y privilegios. -Los procedimientos de acceso y transmisin de datos a travs de redes de telecomunicaciones. -Los procedimiento de creacin, conservacin y borrado de ficheros temporales. -Los procedimientos de Gestin y Notificacin de Incidencias. -Los procedimientos de realizacin de copias de respaldo y recuperacin. -Los procedimientos de Gestin y Distribucin de soportes. -Los procedimientos de cifrado de informacin sensible. -Los procedimientos de borrado y destruccin de soportes. -Los procedimientos de pruebas de nuevas aplicaciones/herramientas con datos reales. -Los procedimientos de acceso, almacenamiento, conservacin y destruccin de datos en formato papel. Por ltimo, establece el Reglamento que los Informes de auditora sern analizados por el responsable de seguridad, quien elevar las conclusiones al responsable del fichero para que adopte las medidas correctoras adecuadas, quedando dichos Informes a disposicin de la Agencia de Proteccin de Datos.
15.4.D) Identificacin y autenticacin (art.18).

El Reglamento establece para el Nivel Medio: 1.- El responsable del fichero establecer un mecanismo que permita la identificacin de forma inequvoca y personalizada de todo usuario que intente acceder al sistema de informacin y la verificacin de que est autorizado. 2.- Se limitar la posibilidad de intentar reiteradamente el acceso no autorizado al sistema. As, la medida descrita en el art.11 para el Nivel Bsico se ve aumentada; es necesaria la identificacin y autenticacin de forma inequvoca y personalizada de todos los usuarios del sistema. Ello supone que cada usuario del sistema tendr un nombre de usuario especfico y una contrasea asociada al mismo, de uso personal e intransferible, siendo verificada su autorizacin cada vez que acceda al sistema. Adems, se establece por el Reglamento la obligacin de adoptar medidas que impidan el intento reiterado de acceso no autorizado al sistema. Este bloqueo, que deber operar tanto para accesos en modo local como en red, permite al responsable de seguridad evitar vulnerabilidades, estableciendo controles de seguridad para que usuarios no autorizados utilicen/averigen contraseas de acceso. Estos procedimientos de identificacin y autenticacin, as como el de bloqueo y desbloqueo de cuentas de usuario, debern recogerse en el Documento de Seguridad.
LOPD
Pgina 54 de 60
Creado el 11/12/06
E) Control de acceso fsico (art.19). Establece el Reglamento que exclusivamente el personal autorizado en el Documento de Seguridad podr tener acceso a los locales en donde se encuentren ubicados los sistemas de informacin con datos de carcter personal. Este control de acceso fsico deber ser activado para los denominados Centros de Procesamiento de Datos o aquellas salas en las que se ubiquen los Servidores Centrales. Aunque el Reglamento no establece que tipo de medidas de seguridad debern ser implantadas para controlar el acceso fsico, como mnimo, sern las siguientes: - Acceso restringido a personal autorizado, mediante claves, llaves o tarjetas electrnicas. -Sistemas redundantes de alimentacin. -Sistemas de refrigeracin. -Sistemas contra-incendios especficos para equipos electrnicos. -Armarios ignfugos. Adems, deber incorporarse al documento de Seguridad un listado, debidamente actualizado, de las personas autorizadas para acceder a este tipo de ubicaciones. F) Gestin de Soportes (art.20). Establece el Reglamento que deber de establecerse un sistema de registro de entrada de soportes informticos que permita, directa e indirectamente, conocer el tipo de soporte, la fecha y hora, el emisor, el nmero de soportes, el tipo de informacin que contienen, la forma de envo y la persona responsable de la recepcin que deber estar debidamente autorizada. Igualmente, se dispondr de un sistema de registro de salida de soportes informticos que permita, directa o indirectamente, conocer el tipo de soporte, la fecha y hora, el destinatario, el nmero de soportes, el tipo de informacin que contienen, la forma de envo y la persona responsable de la entrega que deber estar debidamente autorizada. As, incorporando estas medidas a las indicadas en el art.13 para los ficheros de Nivel Bsico encontramos que debern establecerse dos tipos de Registros para los soportes informticos; uno de entrada y otro de salida. Esta medida supone la implantacin por el responsable del fichero de nuevos procedimientos y normas de gestin y calidad, estableciendo un canal de autorizaciones para la entrada/salida de soportes informticos que contengan datos de carcter personal de nivel medio. El Registro de Entrada de soporte informticos deber permitir conocer: a) Tipo de soporte. b) Fecha y hora. c) Emisor.
LOPD
Pgina 55 de 60
Creado el 11/12/06
d) Nmero de soportes. e) Tipo de informacin que contienen. f) Forma de envo. g) Persona responsable de la recepcin que deber estar autorizada. El Registro de Salida de soportes Informticos deber permitir conocer: a) Tipo de soporte. b) Fecha y hora. c) Destinatario. d) Nmero de soportes. e) Tipo de informacin que contienen. f) Forma de envo. g) Persona responsable de la entrega que deber estar autorizada. Estos Registros y el procedimiento de gestin y autorizacin de entrada/salida debern quedar definidos en el Documento de Seguridad, incorporndose un modelo de autorizacin de entrada y salida de soportes como anexos, siendo las autorizaciones emitidas conservadas junto con toda la documentacin relativa a los ficheros. Adems, el Reglamento establece en el apartado 3 del art.20 que cuando un soporte vaya a ser desechado o reutilizado, se adoptarn las medidas necesarias para impedir cualquier recuperacin posterior de la informacin almacenada en l, previamente a que se proceda a su baja en el inventario. Cuando los soportes vayan a salir fuera de los locales en que se encuentren ubicados los ficheros como consecuencia de operaciones de mantenimiento, se adoptarn las medidas necesarias para impedir cualquier recuperacin indebida de la informacin almacenada en ellos; principalmente a travs de mecanismos de cifrado de los datos.
15.5.G) Registro de Incidencias (art.21).

Establece el Reglamento que en el registro regulado en el art.10 debern consignarse, adems, los procedimientos realizados de recuperacin de los datos, indicando la persona que ejecut el proceso, los datos restaurados y, en su caso, qu datos han sido necesarios grabar manualmente en el proceso de su recuperacin. Ser necesaria la autorizacin por escrito del responsable del fichero para la ejecucin de los procedimientos de recuperacin de datos.
LOPD
Pgina 56 de 60
Creado el 11/12/06
15.6.H) Pruebas con datos reales (art.22).

Establece el Reglamento que las pruebas anteriores a la implantacin o modificacin de los sistemas de informacin que traten ficheros con datos de carcter personal no se realizarn con datos reales, salvo que se asegure el nivel de seguridad correspondiente al tipo de fichero tratado. Antes de proceder a la migracin de los datos tratados por una aplicacin informtica a otra nueva, se suelen realizar perodos de pruebas de la nueva aplicacin con la finalidad de verificar, por un lado, su correcto funcionamiento y, por otro, que los usuarios tomen conocimiento de las nuevas funcionalidades que presenta. Durante la ejecucin de estas pruebas, por regla general, no suelen utilizarse datos reales; pero, en caso de que se utilicen, debern adoptarse e implantarse las medidas aplicables de acuerdo al nivel de los datos.
LOPD
Pgina 57 de 60
Creado el 11/12/06
16. Las medidas de seguridad de nivel alto.

Para el tratamiento de datos de carcter personal de nivel alto se establecen medidas de seguridad especficas dada la especial relevancia de esta tipologa de datos (salud, creencias, filiacin sindical, religin y sexo, principalmente). Estas medidas podemos resumirlas en: La utilizacin de mecanismos de encriptacin y cifrado de los datos. El registro, control y almacenamiento de logs de accesos a los ficheros. El almacenamiento de copia de seguridad en ubicacin distinta.
16.1.A) Distribucin de soportes (art.23).

La distribucin de los soportes que contengan datos de carcter personal se realizar cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que dicha informacin no sea inteligible ni manipulada durante su transporte. La finalidad perseguida por esta medida es evitar que, ante cualquier incidencia que pueda producirse en la distribucin de los datos (o en el soporte que los contiene), terceros no autorizados puedan acceder a la datos; recomendndose la utilizacin de mecanismos de encriptacin. Para la encriptacin de los datos pueden utilizarse mecanismos de cifrado de 40, 56, 128 bits o ms, siendo el ms recomendable para esta tipologa de datos el cifrado de 128 bits. El cifrado de los datos se realiza a travs de algoritmos matemticos. Actualmente, se estn utilizando para la distribucin de esta tipologa de datos mecanismos de firma digital avanzada (claves pblicas y claves privadas), que garantizan la autenticidad y confidencialidad de la informacin.
16.2.B) Registro de Accesos (art.24).

Esta medida impuesta por el Reglamento es la que conlleva ms problemas tcnicos y econmicos para su implantacin en las empresas, dado que han de configurarse las aplicaciones destinadas al tratamiento de los datos para que guarden y almacenen un gran volumen de datos. Establece el Reglamento que, de cada acceso, se guardarn como mnimo: a) La identificacin del usuario, b) Fecha y la hora en que se realiz el acceso, c) Fichero accedido, d) Tipo de acceso: autorizado o denegado,
LOPD
Pgina 58 de 60
Creado el 11/12/06
e) Y en el caso que el acceso haya sido autorizado, ser preciso guardar la informacin que permita identificar el registro accedido. Los mecanismos que permiten el registro de los datos detallados anteriormente estarn bajo el control directo del responsable de seguridad competente sin que se deba permitir, en ningn caso, la desactivacin de los mismos. El perodo mnimo de conservacin de los datos registrados ser de dos aos. Dado que el volumen de los datos a conservar puede ser muy alto, muchas empresas utilizan para cumplir con esta medida copias de seguridad especficas donde almacenan estos registros. Adems, el Reglamento establece que el responsable de seguridad competente se encargar de revisar peridicamente la informacin de control registrada y elaborar un informe de las revisiones realizadas y los problemas detectados al menos una vez al mes. Estos informes debern ser conservados junto con el Documento de Seguridad.
16.3.C) Copias de respaldo y recuperacin (art.25).

El Reglamento establece para los ficheros de datos de nivel alto que deber conservarse una copia de respaldo y de los procedimientos de recuperacin de los datos en un lugar diferente a aqul en que se encuentran los equipos informticos que los tratan cumpliendo, en todo caso, las medidas de seguridad exigidas. El almacenamiento y conservacin de juegos de copias de seguridad y de los procedimientos de restauracin de datos fuera de la ubicacin principal (por ejemplo, en cmaras de seguridad de bancos, que nos ofrecen altas medidas de seguridad) nos garantiza la continuidad de la actividad y la disponibilidad de la informacin ante cualquier incidencia grave o muy grave, sea fsica o lgica, que afecte a los equipos y servidores centrales (incendios, inundaciones, etc...).
16.4.D) Transmisin de datos por redes de telecomunicaciones (art.26).

El reglamento, finalmente, establece que la transmisin de datos de carcter personal a travs de redes de telecomunicaciones se realizar cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la informacin no sea inteligible ni manipulada por terceros. Habitualmente utilizamos para transmitir archivos redes de telecomunicaciones que son abiertas, es decir, que no cifran los datos mientras se transmiten entre dos puntos, permitiendo que puedan ser interceptados por terceras personas. Con la finalidad de evitar que en la transmisin de datos de nivel alto a travs de redes puedan producirse intercepciones/manipulaciones de los datos, deben utilizarse mecanismos de cifrado de los datos o su transmisin a travs de redes privadas, que garantizan que la comunicacin entre los dos puntos es segura y no podr ser interceptada/manipulada.
LOPD
Pgina 59 de 60
Creado el 11/12/06
LOPD
Pgina 60 de 60

Lopd Varios

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Lopd Varios

Cargado por

Copyright:

Formatos disponibles

Creado el 11/12/06

Origen: Destino: Tipo Documento: Lectura:

INFORMTICA INFORMTICA INFORMACIN DISPONIBLE

2. Implicaciones y Responsabilidades de la Proteccin de Datos de Carcter Personal.

3. La importancia de la Proteccin de la Informacin Corporativa.Los Acuerdos o Pactos de Confidencialidad.

3.b)Qu entendemos por Informacin Confidencial?

3.c)Proteccin interna de la Informacin Confidencial de la empresa.

3.e)Contenido bsico de un Acuerdo o Pacto de Confidencialidad.

3.f)Limites de la Obligacin de Confidencialidad y Secreto.

5. mbito de aplicacin de la lopd Qu datos/ficheros se regulan por la lopd y cules no?

Que el tratamiento no automatizado se refiera a datos comprendidos en un Fichero en soporte papel.

6. Inscripcin de ficheros localizacin y determinacin de los ficheros a inscribir

6.b)a) Localizacin de Ficheros preexistentes.

6.c)b) Sistematizacin. Inventario de Ficheros fsicos y lgicos.

6.d)c) Creacin de nuevos Ficheros de Datos de Carcter Personal.

7. Inscripcin notificacin de ficheros en la agencia espaola de proteccin de datos. Procedimiento

7.b)a) Objetivos de la Notificacin / Inscripcin de Ficheros.

7.c)2.- Para las Entidades Privadas:

7.d)b) Principios que rigen la notificacin e inscripcin de Ficheros:

7.e)c) Procedimiento para la notificacin de Ficheros de Titularidad Privada. Creacin:

Identidad del Responsable del Fichero.

7.f)d) Modificacin y/o Supresin de Ficheros.

8. Inscripcin de los ficheros temporales

8.b)a) Qu se entiende por Fichero Temporal?

8.c)b) Algunos supuestos de Ficheros Temporales.

8.d)c) Qu establece la normativa con respecto a los Ficheros Temporales?

8.f)e) Problemtica de los Ficheros Temporales de las empresas.

10. Calidad de los datos (art.4 lopd)

2.- Infracciones muy graves:

Art.44.4.a: -La recogida de datos de forma engaosa y fraudulenta

11. Consentimiento del afectado (art.6)

12. Legitimacin: deber de secreto (art.10)

Proteccin Establecimiento de medidas de seguridad

13. Las medidas de seguridad en la proteccin de datos de carcter personal.

13.1.El Reglamento de Medidas de Seguridad.

13.2.Plazos de implantacin de las Medidas de Seguridad.

13.3.Medidas aplicables a los diferentes Niveles de Seguridad.

14. Las medidas de seguridad de nivel bsico.

14.1.El Documento de Seguridad.

14.2.B) Funciones y obligaciones del personal (art.9).

14.3.C) Registro de Incidencias (art.10).

14.4.D) Identificacin y autenticacin (art.11).

14.5.E) Control de Acceso (art.12).

14.6.F) Gestin de Soportes (art.13).

14.7.G) Copias de Respaldo y Recuperacin (art.14).

15. Las medidas de seguridad de nivel medio.

15.1.A) Documento de Seguridad (art.15).

15.2.B) Responsable de Seguridad (art.15).

15.3.C) Auditora (art.17).

15.4.D) Identificacin y autenticacin (art.18).

15.5.G) Registro de Incidencias (art.21).

15.6.H) Pruebas con datos reales (art.22).

16. Las medidas de seguridad de nivel alto.

16.1.A) Distribucin de soportes (art.23).

16.2.B) Registro de Accesos (art.24).

16.3.C) Copias de respaldo y recuperacin (art.25).

16.4.D) Transmisin de datos por redes de telecomunicaciones (art.26).

También podría gustarte