Documentos de Académico
Documentos de Profesional
Documentos de Cultura
LOPD
Documentos Varios
Adolfo Manuel Pachn Rodrguez
LOPD
Pgina 1 de 60
Creado el 11/12/06
ndice de Contenido
1. LA PROTECCIN DE DATOS DE CARCTER PERSONAL, UNA NUEVA OBLIGACIN PARA LAS EMPRESAS Y PROFESIONALES.........................................................................................................3 2. IMPLICACIONES Y RESPONSABILIDADES DE LA PROTECCIN DE DATOS DE CARCTER PERSONAL.....................................................................................................................................................6 3. LA IMPORTANCIA DE LA PROTECCIN DE LA INFORMACIN CORPORATIVA.LOS ACUERDOS O PACTOS DE CONFIDENCIALIDAD...................................................................................8 4. BIEN JURDICO PROTEGIDO POR LA NORMATIVA SOBRE PROTECCIN DE DATOS DE CARCTER PERSONAL. EVOLUCIN.....................................................................................................12 5. MBITO DE APLICACIN DE LA LOPD QU DATOS/FICHEROS SE REGULAN POR LA LOPD Y CULES NO?............................................................................................................................................14 6. INSCRIPCIN DE FICHEROS LOCALIZACIN Y DETERMINACIN DE LOS FICHEROS A INSCRIBIR....................................................................................................................................................17 7. INSCRIPCIN NOTIFICACIN DE FICHEROS EN LA AGENCIA ESPAOLA DE PROTECCIN DE DATOS. PROCEDIMIENTO..................................................................................................................21 8. INSCRIPCIN DE LOS FICHEROS TEMPORALES..............................................................................25 9. OBTENCIN DEL CONSENTIMIENTO DE LOS TITULARES DE LOS DATOS Y OTROS PRINCIPIOS BSICOS DE LA LOPD.........................................................................................................28 10. CALIDAD DE LOS DATOS (ART.4 LOPD)..........................................................................................30 11. CONSENTIMIENTO DEL AFECTADO (ART.6)..................................................................................33 12. LEGITIMACIN: DEBER DE SECRETO (ART.10).............................................................................36 13. LAS MEDIDAS DE SEGURIDAD EN LA PROTECCIN DE DATOS DE CARCTER PERSONAL.. 38
LOPD
Pgina 2 de 60
Creado el 11/12/06
Introduccin: Empiece a Conocer la Ley 1. La Proteccin de Datos de Carcter Personal, una nueva Obligacin para las Empresas y Profesionales.
La Proteccin de Datos de Carcter Personal es una materia que ha tomado importancia en los ltimos aos, fundamentalmente a raz de la aprobacin de la LO 15/1999 de Proteccin de Datos de Carcter Personal, convirtindose en una obligacin a cumplir por las empresas si no quieren estar expuestas a duras sanciones por la Agencia Espaola de Proteccin de Datos.
Por: Mara Gonzlez Moreno de Manaca Consulting, S.L.
Muchas veces las trampas surgen en el camino, por el propio devenir del La Ley Orgnica de Proteccin de Datos, en adelante LOPD, ha adquirido una gran importancia debido a que equipara y convierte el derecho a la proteccin de los datos personales en un derecho fundamental de las personas. El derecho fundamental al que hacemos referencia tiene una estrecha relacin con el derecho a la intimidad y al honor, encuadrndose todos ellos dentro del art. 18 de la Constitucin. Este nuevo derecho fundamental adopta la denominacin de libertad informativa o autodeterminacin informtica, protegiendo el control que a cada una de las personas le corresponde sobre la informacin que les concierne personalmente, sea intima o no, para preservar el libre desarrollo de la personalidad. La LOPD establece una serie de obligaciones en aras a la proteccin de los datos personales contenidos en ficheros automatizados que poseen empresas y administraciones pblicas, y que son tratadas por stas con diferentes finalidades; gestin de personal, proveedores, clientes, campaas de marketing, etc. OBLIGACIONES BSICAS IMPUESTAS POR LA LOPD Las obligaciones bsicas impuestas por la LOPD se pueden resumir en: 1. LEGALIZAR. Todos los ficheros de datos de carcter personal debern estar inscritos y legalizados ante la Agencia Espaola de Proteccin de Datos. 2. LEGITIMAR. Todos los datos de carcter personal recogidos por la empresa, deben contar con el consentimiento del afectado, as como cumplir una serie de principios bsicos como son: A. Principio del consentimiento del afectado. B. Principio de informacin C. Principio de calidad de los datos
LOPD
Pgina 3 de 60
Creado el 11/12/06
A) Por principio del consentimiento entiende la Ley que es la manifestacin de voluntad, libre, inequvoca, especfica e informada, mediante la cual el interesado consiente el tratamiento de los datos personales que le son recabados. Cuando una empresa decide recabar datos de carcter personal debe, para poder utilizarlos, recabar el consentimiento de la persona que los cede. Ese consentimiento no se basa en que demos los datos, sino en qu nosotros seamos conscientes de que los damos. Por ello, se exige casi siempre (existen excepciones) que la persona que da sus datos personales lo manifieste conscientemente, y que ese consentimiento sea informado. Ello supone que el consentimiento del afectado deber ser precedido por una declaracin del Responsable del Fichero (la empresa que los recaba) en la que se indiquen, de forma clara y fcilmente comprensible, los datos que van a ser objeto de tratamiento y las finalidades a que van a ser destinados, para que los interesados indiquen, sin ningn gnero de dudas, su conformidad con su tratamiento o su oposicin al mismo. Actualmente, se recaban ms datos a travs de formularios en pginas web que de manera tradicional y encontramos, en ellos, una serie de casillas de verificacin en las que aparece que, adems de ceder los datos, damos nuestro consentimiento para recibir cualquier tipo de publicidad o comunicacin a travs de correo electrnico. Estas casillas, segn lo dispuesto en la normativa Comunitaria sobre Comunicaciones Comerciales y en lo que dispone la Ley de Servicios de la Sociedad de la Informacin, deben estar en blanco para que sea el propio afectado el que las marque si desea recibir tal informacin y porque tal acto supone el consentimiento expreso. En cuanto a las excepciones sobre que el consentimiento sea expreso e inequvoco, encontramos las siguientes: 1.- No es necesario recabar el consentimiento del afectado cuando los datos de carcter personal se recojan para el ejercicio propio de las Administraciones Pblicas. 2.- Tampoco es necesario el consentimiento cuando los datos se refieran a las partes de un contrato o precontrato en una relacin negocial, laboral o administrativa y sean necesarios para el cumplimiento o el mantenimiento de las obligaciones nacidas del mismo. 3.- No ser necesario el consentimiento del afectado si los datos son recabados de fuentes accesibles al pblico. Pero, en el caso de que sean utilizados estos datos, en cada comunicacin que se realice, se informar al interesado que sus datos proceden de estas fuentes, con lo que puede entenderse que es un consentimiento a posteriori. B) El principio del deber de informacin es la obligacin que tienen las empresas de informarnos, de forma previa a la recogida, de modo expreso, inequvoco y preciso de lo siguiente: 1.- De la existencia de un "fichero" al que sern incorporados los datos que nos solicitan. 2.- Del carcter obligatorio o facultativo de consignar determinados datos. 3.- De las consecuencias de la obtencin de los datos. 4.- De la posibilidad del ejercicio de los derechos de acceso, rectificacin, cancelacin u oposicin al tratamiento de los datos. 5.- De la identidad y direccin del responsable del tratamiento o, en su caso, de su representante.
LOPD
Pgina 4 de 60
Creado el 11/12/06
C) Esta informacin previa que se nos debe entregar a la recogida responde tambin al principio de calidad y contenido de los datos que nos son solicitados. La calidad hace referencia a que los datos son recogidos para una concreta finalidad, y no podrn ser destinados por el Responsable del Fichero a otras finalidades. La finalidad tambin nos permite reconocer qu fichero es al que deben dirigirse los interesados para ejercitar los derechos reconocidos por la Ley: los derechos de acceso, modificacin, oposicin y cancelacin. Si la empresa que almacena y trata datos de carcter personal cumple con los tres principios bsicos, facilita al interesado el ejercicio de estos derechos en los plazos y en los extremos sealados por la ley (derecho a solicitar y obtener gratuitamente informacin de sus datos sometidos a tratamiento, la modificacin, cancelacin u oposicin a su tratamiento o cesin, el origen de dichos datos, as como las comunicaciones realizadas y las que se prevn realizar) y legaliza el fichero ante el Registro de la Agencia de Proteccin de Datos, estableciendo unas medidas de seguridad para la proteccin del mismo, estar totalmente segura de no incurrir en las infracciones previstas. Adems, hay que tener en cuenta las precauciones a adoptar en el caso de que los datos de carcter personal vayan a ser cedidos a otras empresas, o bien cuando el tratamiento de estos datos se va a efectuar por cuenta de tercero, ya que debern realizarse contratos especficos. 3. PROTECCIN. La LOPD y el Reglamento de Medidas de Seguridad (RD 994/1999), establecen la obligacin de establecer una serie de medidas de carcter tcnico y organizativo que garanticen la seguridad de los datos de carcter personal, medidas que habrn de adoptarse / implementarse por la empresa o profesional que almacene estos datos. Entre estas medidas se incluye la elaboracin de un Documento de Seguridad en el que se detallarn los datos almacenados, las medidas de seguridad adoptadas, as como las personas que tienen acceso a esos datos. El cumplimiento de cada una de estas obligaciones tan slo exige un pequeo esfuerzo de las empresas y profesionales, que junto al asesoramiento adecuado, evitar disgustos y la imposicin de duras sanciones econmicas.
LOPD
Pgina 5 de 60
Creado el 11/12/06
Le recomendamos completar la informacin con: La Proteccin de Datos de Carcter Personal, una nueva Obligacin para las Empresas y Profesionales. Pero, el deber de las empresas en esta materia no slo debe consistir en la adaptacin a la normativa vigente, sino tambin en la aplicacin prctica de los principios de proteccin de datos en el seno de la empresa, dentro de cada uno de los departamentos, involucrando a todo el personal... Las consecuencias del incumplimiento de la normativa no se quedan slo en las sanciones de la Agencia, sino que van ms all y afectan a todos. El cumplimiento de lo establecido en la LOPD (LO 15/1999 de Proteccin de Datos de Carcter Personal) y su normativa de desarrollo (RD 994/1999, Reglamento de Medidas de Seguridad de los Ficheros Automatizados que contengan datos de carcter personal) pasa no slo por la legalizacin, legitimacin y proteccin de los ficheros de datos de carcter personal, sino tambin por su aplicacin prctica en el seno de las organizaciones, es decir, la incorporacin a la dinmica de la empresa de los principios rectores de la Proteccin de Datos de Carcter Personal. La incorporacin a la dinmica de la empresa de los principios rectores de la Proteccin de Datos de Carcter Personal, adquiere una gran importancia desde el momento en que las consecuencias de su incumplimiento conllevan grandes responsabilidades tanto para la Organizacin como para el personal que trata o accede a los datos de carcter personal, es decir, las sanciones ya no slo son administrativas y dirigidas a la Organizacin en s, sino que adems de ellas se pueden derivar responsabilidades civiles, penales y laborales. a) Administrativas: Sanciones contempladas en la LOPD y que son impuestas por la Agencia Espaola de Proteccin de Datos en el ejercicio de sus funciones, ya sea por inspeccin de oficio o abierta a instancia de parte. Estas sanciones son de carcter econmico y su cuanta est entre 601,01 y 601.012,10 Euros. b) Civiles: Artculos del Cdigo Civil relativos a la Responsabilidad Contractual y Extracontractual (arts. 1902 y 1903 CC). As cuando determinado servicio es contratado a un tercero ajeno a la propia organizacin e implique un acceso a los ficheros de datos de carcter personal, deber estar precedido del correspondiente contrato de acceso a datos en el que se limiten las facultades del tercero en cuanto al tratamiento de los datos de carcter personal, se especifiquen las medidas de seguridad que debern ser implantadas o cumplidas por el tercero para la proteccin del fichero, y se determinen las responsabilidades derivadas del incumplimiento de la LOPD o de lo establecido en el contrato.
LOPD
Pgina 6 de 60
Creado el 11/12/06
c) Penales: El Cdigo Penal tipifica los delitos contra la intimidad y concretamente el descubrimiento y revelacin de secretos en los artculos 197 y siguientes. En este sentido, ha sido condenado recientemente un funcionario de la Seguridad Social, a cinco aos y tres meses de prisin, una multa de 330.556 Euros y la inhabilitacin especial de 11 aos para empleo o cargo pblico, por vender datos personales de cotizantes a una empresa privada. d) Laborales: La fuga de datos, un tratamiento inadecuado de los ficheros de datos de carcter personal, un acceso no autorizado a los datos del fichero, una proteccin inadecuada de los ficheros, pueden venir derivadas de cualquier puesto laboral dentro del seno de la Organizacin. Cuando una cadena de fallos deriva en la imposicin de una sancin a la Organizacin, es frecuente que adems se deriven responsabilidades laborales. En consecuencia, se hace absolutamente necesario el establecimiento de una serie de medidas adicionales para la correcta aplicacin de la Ley de Proteccin de Datos en las empresas, tendentes principalmente a informar y formar al personal que trata los datos, independientemente de su cargo o funcin. Como principales acciones adicionales encaminadas a informar y formar al personal sobre los principios del tratamiento de datos de carcter personal encontramos las siguientes: 1. Establecimiento de una Poltica de Tratamiento de Datos en la Organizacin. Esta Poltica de Tratamiento de Datos deber entregarse a cada uno de los empleados que entre sus funciones est el tratamiento de datos de carcter personal, quin deber firmarla tras su conocimiento. En esta Poltica se suele informar sobre el carcter y finalidad de la LOPD y su normativa de desarrollo, las obligaciones bsicas impuestas, as como los diferentes principios, acciones y procedimientos a adoptar en la gestin diaria de la empresa. Igualmente, se puede informar al empleado sobre otras medidas o polticas de seguridad de los sistemas de informacin implementados por la Organizacin, as como de las responsabilidades que se pueden derivar de su incumplimiento. 2. Formacin en materia de Proteccin de Datos. El establecimiento de seminarios, conferencias o jornadas de formacin en materia de proteccin de datos en el seno de las Organizaciones es otra de las medidas que se pueden adoptar. Como principales ventajas de la formacin encontramos: Informacin y Formacin para el empleado. Formacin personalizada para cada empresa. Se analizaran los casos concretos de cada organizacin y su problemtica particular. Mayor participacin de los empleados. Podrn consultar y comentar las particularidades de cada puesto.
LOPD
Pgina 7 de 60
Creado el 11/12/06
Resumen La Informacin Corporativa Confidencial es uno de los principales activos de las empresas y como tal, debe estar protegida con medios tcnicos y legales de accesos no autorizados. El establecimiento de Pactos de Confidencialidad con trabajadores y terceras empresas nos permitir proteger la Informacin Corporativa Confidencial, estableciendo expresamente las obligaciones y limites que se han de tener en cuenta en su tratamiento. El incumplimiento de los Pactos de Confidencialidad puede suponer el inicio de acciones legales, y la reclamacin de indemnizaciones por daos y perjuicios. La Informacin Corporativa (informacin relativa a los productos, servicios, clientes, proveedores, personal, mtodo de trabajo, organizacin, estrategias empresariales, informacin econmica y financiera, etc...) se considera como uno de los principales activos de negocio de cualquier empresa, y como tal, debe ser protegida adecuadamente con medios tcnicos y legales, de forma que se evite, en la medida de lo posible, que cualquier persona fsica o jurdica pueda acceder/obtener/tratar/difundir la misma fraudulenta o ilcitamente, causando perjuicios ms o menos graves a su titular. En este artculo abordamos determinados medios legales a tener en cuenta por cualquier empresa para la proteccin de su Informacin Corporativa Confidencial, tanto a nivel interno (con respecto al personal que accede/trata esa informacin con motivo de su relacin laboral), como a nivel externo (cuando es una tercera empresa o persona la que accede y trata la informacin); as como las acciones legales que permiten la defensa y reparacin de los derechos e intereses del titular.
LOPD
Pgina 8 de 60
Creado el 11/12/06
Limitar el acceso a la informacin confidencial. Es decir, permitir el acceso a dicha informacin slo al personal que por razn de su cargo o funciones es necesario que acceda a dicha informacin, no permitiendo tal acceso al resto del personal.
LOPD
Pgina 9 de 60
Creado el 11/12/06
Establecer medidas tcnicas que permitan la visualizacin o tratamiento de informacin confidencial (por ejemplo: uso de contraseas para el acceso a los documentos, criptografa, etc...). Mantener/Almacenar los documentos confidenciales en soporte papel, en armarios que se encuentren cerrados bajo llave o cajas fuertes, a las que slo tengan acceso las personas autorizadas. Realizar de copias de seguridad que eviten la perdida de informacin confidencial o sensible en caso de catstrofe, guardando una copia fuera de las instalaciones principales de la empresa (recordemos lo sucedido en el edificio Windsor de Madrid para comprender la importancia de esta medida).
Por ltimo, y en relacin a la proteccin de la informacin confidencial dentro del mbito interno de la empresa, hay que sealar que en la prestacin de determinados servicios se accede a informacin confidencial de terceros, existiendo de este modo, una obligacin especifica de confidencialidad con respecto a esa tercera empresa, obligacin de confidencialidad que se extiende a los trabajadores que tratan dicha informacin, y que por tanto, debe quedar expresamente regulada a nivel interno, a fin de evitar posibles responsabilidades derivadas de la negligencia de algn trabajador de la empresa.
3.d)Proteccin de la Informacin Confidencial de la empresa cuando es tratada por terceros. Los contratos de outsourcing.
Cuando una empresa vaya a encargar la prestacin de un determinado servicio, que implique el tratamiento o acceso a informacin confidencial por parte de terceras empresas, es recomendable incluir en el Contrato de Prestacin de Servicios, una clusula especifica de confidencialidad, o bien, firmar directamente con cada una de las personas que accedan a dicha Informacin, Pactos o Acuerdos de Confidencialidad especficos. Igualmente, y cuando la prestacin del servicio implique el tratamiento de bases de datos titularidad de un tercero, es necesario tener en cuenta los aspectos recogidos en el artculo 12 de la LOPD, Acceso a Datos por Cuenta de Terceros, que ya fueron desarrollados en el artculo 5 pautas para proteger la informacin confidencial de mi empresa cuando es tratada por terceros.
LOPD
Pgina 10 de 60
Creado el 11/12/06
Es conveniente, igualmente, informar de las consecuencias que pueden derivarse del incumplimiento de dicha obligacin de confidencialidad y secreto. As puede establecerse que la sustraccin o revelacin de dicha informacin puede ser constitutivo de un ilcito de naturaleza penal (art. 197 CP del descubrimiento y revelacin de secretos), puede ser objeto de acciones disciplinarias (despido disciplinario en caso de que el incumplimiento venga por parte de un trabajador), reclamacin de indemnizaciones por daos y perjuicios, etc... Por ltimo, en los Acuerdos o Pactos de Confidencialidad pueden establecerse todas las especialidades, que por razn de la relacin contractual que se establece, sean establecidas por las partes.
En estos casos, se informar a la otra parte de inmediato sobre el requerimiento recibido, siempre que no exista obligacin de guardar secreto sobre el mismo por mandato legal, administrativo o judicial.
LOPD
Pgina 11 de 60
Creado el 11/12/06
Objeto y mbito de aplicacin de la LOPD: Qu entra y qu no en la LOPD 4. Bien jurdico protegido por la normativa sobre proteccin de datos de carcter personal. Evolucin.
Para profundizar en el por qu de la importancia de la normativa sobre Proteccin de Datos de Carcter Personal y conocer su objeto y finalidad principal, es preciso conocer la finalidad de la Ley y los antecedentes de la misma. As, hemos de remontarnos hasta el ao 1992, en el que se aprob la denominada LORTAD, precedente de la actual LOPD.
Por: Mara Gonzlez Moreno de Manaca Consulting, S.L.
A) LOS ANTECEDENTES. La LORTAD o Ley Orgnica 5/1992, de 29 de Octubre, de Regulacin del Tratamiento Automatizado de Datos de Carcter Personal, desarrollaba en su Exposicin de Motivos 1 el art. 18 de la Constitucin Espaola de 1978, asimilando, de este modo, el derecho a la proteccin de datos de carcter personal con el Derecho Fundamental al Honor, la Intimidad personal y familiar, y la propia imagen, estableciendo:
...hasta el presente, las fronteras de la privacidad estaban defendidas por el tiempo y el espacio. El primero procuraba, con su transcurso, que se desvanecieran los recuerdos de las actividades ajenas, impidiendo, as, la configuracin de una historia lineal e ininterrumpida de la persona; el segundo, con la distancia que impona, hasta hace poco difcilmente superable, impeda que tuvisemos conocimiento de los hechos que, protagonizados por los dems, hubieran tenido lugar lejos de donde nos hallbamos. El tiempo y el espacio operaban, as, como salvaguarda de la privacidad de la persona. Uno y otro lmite han desaparecido hoy: las modernas tcnicas de comunicacin permiten salvar sin dificultades el espacio, y la informtica posibilita almacenar todos los datos que se obtienen a travs de las comunicaciones y acceder a ellos en apenas segundos, por distante que fuera el lugar donde transcurrieron los hechos, o remotos que fueran stos. Los ms diversos datos relativos a las personas podran ser, as, compilados y obtenidos sin dificultad. Ello permitira a quien dispusiese de ellos acceder a un conocimiento cabal de actitudes, hechos o pautas de comportamiento que, sin duda, pertenecen a la esfera privada de las personas; a aqulla a la que slo deben tener acceso el individuo y, quizs, quienes le son ms prximos, o aquellos a los que l autorice. An ms: el conocimiento ordenado de esos datos puede dibujar un determinado perfil de la persona, o configurar una determinada reputacin o fama que es, en definitiva, expresin del honor; y este perfil, sin duda, puede resultar luego valorado, favorable o desfavorablemente, para las ms diversas actividades pblicas o privadas, como pueden ser la obtencin de un empleo, la concesin de un prstamo o la admisin en determinados colectivos....
As el art. 1 de la LORTAD, pretenda limitar el uso de la informtica y otros medios de tratamiento automatizados, en aras de la proteccin del derecho al honor, la intimidad y la propia imagen, siendo de aplicacin la norma sobre los Ficheros automatizados o bases de datos tratadas por medios informticos, dejando fuera los Ficheros en cualquier otro soporte o medio de tratamiento.
1Exposicin de Motivos: parte inicial de cualquier regulacin en el que se establecen los motivos de aprobacin de las normas por los rganos pblicos
LOPD
Pgina 12 de 60
Creado el 11/12/06
B) LA LEY ORGNICA DE PROTECCIN DE DATOS (LOPD) En 1999 se aprueba la actual Ley Orgnica 15/1999, de 13 de Diciembre, de Proteccin de Datos de Carcter Personal (LOPD), norma que deroga a la LORTAD y que tiene como finalidad principal, transponer a la normativa nacional la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de Octubre de 1995, relativa a la proteccin de las personas fsicas en lo que respecta al tratamiento de datos personales y a la libre circulacin de esos datos. Como principal novedad, la LOPD introduce en su mbito de aplicacin los Ficheros no automatizados o ficheros en papel, centrando toda su proteccin en el tratamiento de datos de carcter personal sea cual sea el soporte o medio de su tratamiento, con el fin de proteger los derechos fundamentales y libertades pblicas de los ciudadanos. C) OBJETO DE LA LEY: BIEN JURDICO PROTEGIDO. Se establece como objeto de la Ley ...garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades pblicas y los derechos fundamentales de las personas fsicas, y especialmente, de su honor e intimidad personal y familiar. El Objeto de la Normativa, o lo que es lo mismo, el Bien Jurdico Protegido, es el denominado Habeas Data, o el control que a cada uno de nosotros nos corresponde sobre la informacin que nos concierne personalmente, sea ntima o no, para preservar, en ltimo extremo, el libre desarrollo de nuestra personalidad, tambin denominada Autodeterminacin Informativa o Libertad Informtica. Posteriormente a la aprobacin de la LOPD, y al objeto de dotar de mayor importancia y proteccin a los datos de carcter personal, la Sentencia 292/2000 del Tribunal Constitucional viene a reconocer el Derecho a la Proteccin de Datos o Habeas Data, como un derecho fundamental independiente del derecho al honor, intimidad e imagen, dotando a la Proteccin de Datos de Carcter Personal, de este modo, de identidad propia e independiente de cualquier otro derecho fundamental. Igualmente, y siguiendo esta reconocimiento de derecho independiente, la Constitucin Europea incorpora en su articulado, como un derecho fundamental de cualquier ciudadano de la Unin, el Derecho a la Proteccin de Datos.
LOPD
Pgina 13 de 60
Creado el 11/12/06
A) mbito de Aplicacin Material, Qu datos se encuentran incluidos en la LOPD? La LOPD establece su mbito de aplicacin en el artculo 2, al establecer que la presente Ley Orgnica ser de aplicacin a los datos de carcter personal registrados en soporte fsico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores pblico y privado As, para la determinacin de qu concretos Ficheros o Datos de carcter personal entran dentro del mbito de aplicacin de la LOPD debemos tener en cuenta tres conceptos: dato personal, fichero y tratamiento.
Dato de carcter personal, entendido como cualquier informacin concerniente a personas fsicas, identificadas o identificables; es decir, toda informacin numrica, grfica, fotogrfica, acstica o de cualquier otro tipo susceptible de recogida, tratamiento o transmisin concerniente a una persona fsica identificada o identificable.
As, de cara a la ley, dato de carcter personal es cualquier elemento que permite determinar, de manera directa o indirecta, la identidad fsica, fisiolgica, psquica, econmica, cultural o social de una persona fsica. Fichero, entendido como conjunto organizado de datos de carcter personal, cualquiera que sea la forma o modalidad de su creacin, almacenamiento, organizacin y acceso. Es, por tanto, el soporte fsico, sea automatizado o no, en el que se recoge y almacena, de manera organizada, el conjunto de datos que integra la informacin. Tratamiento, entendido como las operaciones y procedimientos tcnicos de carcter automatizado o no, que permitan la recogida, grabacin, conservacin, elaboracin, modificacin, bloqueo y cancelacin, as como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias. Si bien entendemos que los ficheros de datos de carcter personal que se mantengan en soporte informtico o telemtico no presentan grandes dudas para su determinacin, puesto que para su creacin se exige, con carcter previo, la grabacin, depuracin y estructuracin de una forma determinada, no sucede lo mismo para los ficheros en soporte papel (o ficheros no automatizados). Para poder determinar cuando los datos registrados en soporte papel son susceptibles de tratamiento, y en consecuencia, se encuentren incluidos en el mbito de aplicacin de la LOPD, hay que atender a los siguientes requisitos:
LOPD
Pgina 14 de 60
Creado el 11/12/06
Y, que dichos datos se encuentren organizados estructurados u ordenados por criterios especficos. no considerndose, en consecuencia Fichero, la existencia de carpetas no estructuradas, aunque ests contengan datos de carcter personal (por ejemplo: en una consulta mdica las carpetas o fichas de pacientes ordenadas alfabticamente por el nombre de los mismos, se considerara un fichero susceptible de tratamiento, sindole por tanto de aplicacin la LOPD).
De este modo, la Ley concibe los Ficheros protegidos desde una perspectiva dinmica; es decir, no los entiende como un mero depsito de datos, sino, como una globalidad de procesos o aplicaciones que se llevan a cabo con los datos almacenados (por ejemplo: en la consulta mdica en la que los datos de los pacientes estn recogidos en fichas, las mismas no suponen un mero deposito de datos, sino que permiten al mdico efectuar un anlisis de las distintas visitas que ha efectuado el paciente, revisar la historia clnica del paciente, y ofrecer un tratamiento o diagnstico que se adapte a las circunstancias concretas de cada paciente). B) mbito de Aplicacin Temporal. Qu plazo existe para la adaptacin de los Ficheros a la LOPD? Todos los ficheros de datos de carcter personal, automatizados o no, creados despus de la entrada en vigor de la Ley debern adecuarse a la normativa. Segn la Disposicin Final Tercera, la LOPD entr en vigor el 14 de Enero de 2000. El principal problema reside en la adecuacin de los ficheros de datos preexistentes a dicha fecha. La Ley vino a establecer un rgimen transitorio para los mismos en su Disposicin Adicional Primera: Para ficheros automatizados preexistentes al 14 de Enero de 2000, se establece que -los ficheros y tratamientos automatizados inscritos o no en el Registro de Proteccin de Datos deben adecuarse a la LOPD dentro del plazo de tres (3) aos a contar desde su entrada en vigor.... Este plazo adicional para la adecuacin a la LOPD finaliz el pasado 14 de Enero de 2003. En relacin a los Ficheros no automatizados preexistentes a la entrada en vigor de la LOPD su adecuacin a la LOPD deber cumplimentarse en el plazo de doce (12) aos a contar desde el 24 de Octubre de 1995, sin perjuicio del ejercicio de los derechos de acceso, rectificacin y cancelacin por parte de los afectados. De este modo, los ficheros no automatizados preexistentes a la entrada en vigor de la LOPD no se encuentran incluidos en el mbito de aplicacin de la LOPD hasta el 24 de Octubre de 2007, pero si les son de aplicacin las obligaciones descritas para el ejercicio de los derechos de los usuarios (derechos de acceso, rectificacin, cancelacin y oposicin).
C) Ficheros excluidos del mbito de aplicacin de la LOPD. El rgimen de proteccin de los datos de carcter personal establecido por la LOPD no ser de aplicacin a: A los ficheros mantenidos por personas fsicas en el ejercicio de actividades exclusivamente personales o domesticas. A los ficheros sometidos a la normativa sobre proteccin de materias clasificadas. A los ficheros establecidos para la investigacin del terrorismo y de formas graves de delincuencia organizada. No obstante, en estos supuestos el responsable del fichero comunicar previamente la existencia del mismo, sus caractersticas generales y su finalidad a la Agencia Espaola de Proteccin de Datos.
LOPD
Pgina 15 de 60
Creado el 11/12/06
D) Ficheros regulados por normas especficas. El artculo 2.3. de la LOPD establece que se regirn por sus disposiciones especficas, y por lo especialmente previsto, en su caso, por la LOPD, los siguientes tratamientos de datos personales:
Los ficheros regulados por la legislacin de rgimen electoral. Los que sirvan a fines exclusivamente estadsticos, y estn amparados por la legislacin estatal o autonmica sobre la funcin estadstica pblica. Los que tengan por objeto el almacenamiento de los datos contenidos en los informes personales de calificacin a que se refiere la legislacin del rgimen del personal de las fuerzas armadas. Los derivados del Registro Civil y del Registro Central de Penados y Rebeldes. Los procedentes de imgenes y sonidos obtenidos mediante la utilizacin de videocmaras por las Fuerzas y Cuerpos de Seguridad, de conformidad con la legislacin sobre la materia.
LOPD
Pgina 16 de 60
Creado el 11/12/06
De este modo, y previamente a la inscripcin de Ficheros es necesario localizar los ficheros existentes en la empresa o entidad, analizando la finalidad para la que son tratados los datos, el origen de los datos, y el sistema de almacenamiento de los mismos, y con esta informacin realizar un inventario de ficheros preexistentes. Posteriormente, se realizar una sistematizacin de los Ficheros detectados, realizando un anlisis de los ficheros fsicos y lgicos, que dar como conclusin el listado de ficheros que habrn de ser inscritos en la Agencia Espaola de Proteccin de Datos. Por ltimo, debern ser determinados aquellos nuevos ficheros que vayan a ser creados, y en consecuencia, inscritos en la Agencia Espaola de Proteccin de Datos.
Departamentos afectados, que por su actividad traten datos de carcter personal (por ejemplo: Recursos Humanos, Marketing, Financiero, Asesora Jurdica, etc...). Origen de los datos que son tratados por la entidad. Finalidad del tratamiento. Datos recabados para cada finalidad. Tratamientos realizados.
Una vez han sido localizados los ficheros preexistentes y los tratamientos que son realizados en la empresa, es necesario sistematizar de una manera lgica y coherente toda la informacin recabada. As, una vez analizada toda esta informacin, se proceder a la elaboracin de un inventario de ficheros fsicos y lgicos, que permitir la sistematizacin de los ficheros a inscribir en la Agencia Espaola de Proteccin de Datos.
LOPD
Pgina 17 de 60
Creado el 11/12/06
Las finalidades para las que se destinen los datos han de ser similares, y en todo caso, compatibles. Habr de ser determinado el nivel de seguridad del fichero lgico, en funcin del fichero fsico que tenga el nivel ms alto. Determinacin de las aplicaciones que tratan los ficheros. Determinacin de los Accesos a Datos por Cuenta de Terceros y cesiones de datos. Transferencias Internacionales de Datos. Etc.
LOPD
Pgina 18 de 60
Creado el 11/12/06
Ejemplo: En una determinada empresa o entidad existen multitud de ficheros fsicos que contienen datos de clientes:
Fichero de datos bancarios. Fichero impagados. Fichero gestin relacin comercial/contractual. Fichero marketing clientes (fidelizacin) Etc...
Todos estos ficheros tienen en comn que contienen y tratan datos de clientes, cuya finalidad es la gestin de las relaciones con los mismos, pero que se encuentran almacenados en diferentes tablas o aplicaciones. En este caso, podrn ser agrupados todos estos ficheros fsicos en un solo fichero lgico, denominado, por ejemplo, clientes, cuya finalidad ser la gestin de la relacin comercial o contractual con los clientes, abarcando dentro de la misma los siguientes tratamientos: gestin administrativa, contable y fiscal de los datos de los clientes, gestin de cobros y pagos, elaboracin de acciones tendentes a la fidelizacin de clientes, etc... En cuanto a la determinacin del nivel de seguridad del fichero lgico que ser inscrito en la Agencia Espaola de Proteccin de Datos, habr que tener en cuenta los distintos niveles de seguridad que corresponden a los diferentes ficheros fsicos que se agrupan en el fichero lgico, y aplicar el ms alto de ellos. En el ejemplo expuesto, al fichero de datos bancarios le correspondera un nivel medio, al de impagados nivel medio, al de gestin de la relacin comercial/contractual nivel medio, y al de marketing nivel bsico. Siendo el nivel ms alto el medio, est ser el nivel que habr de ser aplicado al fichero lgico de clientes que ser inscrito.
LOPD
Pgina 19 de 60
Creado el 11/12/06
Entidades Privadas: El artculo 25 de la LOPD establece: Podrn crearse ficheros de titularidad privada que contengan datos de carcter personal cuando resulte necesario para el logro de la actividad u objeto legtimo de la persona, empresa o entidad titular y se respeten las garantas que esta Ley establece para la proteccin de las personas. Adems, el artculo 26.1. de la LOPD establece: Toda persona o entidad que proceda a la creacin de ficheros de datos de carcter personal lo notificar previamente a la Agencia Espaola de Proteccin de Datos. Es, por tanto, requisito imprescindible para la creacin de nuevos ficheros de datos de carcter personal, la previa inscripcin en el Registro de la Agencia Espaola de Proteccin de Datos.
LOPD
Pgina 20 de 60
Creado el 11/12/06
Evitar la imposicin de sanciones. En concreto la falta de notificacin e inscripcin de ficheros es calificada como infraccin leve o grave (dependiendo de la magnitud del incumplimiento), sancionadas con multas de entre 601 y 300.506 . No obstante, hay que sealar que la notificacin e inscripcin de ficheros es meramente declarativa, no prejuzgando el cumplimiento del resto de la normativa de proteccin de datos de carcter personal.
Buena imagen exterior. El cumplimiento de la normativa sobre proteccin de datos de carcter personal nos crear una buena imagen de cara a nuestros clientes y potenciales clientes, aportndoles seguridad y confianza con respecto a nuestra empresa. Igualmente, el incumplimiento de esta normativa y la imposicin de sanciones por su incumplimiento, generarn en nuestros clientes y potenciales clientes una imagen negativa, pues las personas son da a da ms conscientes de la importancia de la proteccin de su intimidad mediante el tratamiento diligente de sus datos.
LOPD
Pgina 21 de 60
Creado el 11/12/06
Facilita las labores de control interno de la empresa. Puesto que el cumplimiento de la normativa sobre proteccin de datos de carcter personal implica la adopcin de medidas de seguridad de carcter tcnico (que pueden ser aprovechadas para la proteccin del resto de informacin corporativa de la empresa), as como la implantacin de procedimientos organizacionales, las labores de control interno se ven agilizadas y facilitadas.
LOPD
Pgina 22 de 60
Creado el 11/12/06
Servicio o Unidad concreto ante el que pueden ejercitarse los derechos de los usuarios, en su caso. Nombre y descripcin del fichero o tratamiento de datos. Ubicacin principal del Fichero, en su caso. Encargado del Tratamiento, en su caso. Sistema de Tratamiento o de Informacin. Medidas de Seguridad. Estructura bsica del Fichero (tipos de datos que se contienen en el Fichero). Finalidad del Fichero y usos previstos. Procedencia de los datos, y procedimiento de recogida de los datos. Cesin o Comunicaciones de Datos, en su caso. Transferencias Internacionales de Datos, en su caso.
Una vez ha sido completada la informacin requerida, puede enviarse la notificacin a la Agencia Espaola de Proteccin de Datos, directamente por Internet a travs de la opcin Enviar por Internet. As, y a travs de un protocolo de seguridad de 128 bits, es enviada la informacin del fichero de datos de carcter personal directamente al servidor de la Agencia Espaola de Proteccin de Datos. Igualmente, cabe la posibilidad de notificar la creacin de Ficheros a travs de soporte magntico, as slo tendremos que pulsar sobre la opcin Generar Soporte Magntico, seleccionar las notificaciones a incluir en el mismo, e identificar al Responsable del Fichero o persona que efecta la notificacin, y guardar las mismas en el soporte magntico seleccionado. Hay que sealar que para que la notificacin tenga efecto, ha de ser remitida a la Agencia Espaola de Proteccin de Datos, la Hoja de Solicitud de Inscripcin que puede ser impresa directamente desde la aplicacin en el momento de efectuar la notificacin por Internet, o bien con posterioridad a travs de la opcin Imprimir Hoja de Solicitud de Inscripcin. Una vez ha sido recibida la notificacin del fichero y la solicitud de inscripcin en la Agencia Espaola de Proteccin de Datos, los tcnicos de la misma evalan la informacin y si todos los extremos son correctos proceden a la inscripcin del Fichero, o en caso de detectar errores solicitan al Responsable del Fichero la subsanacin de los mismos. As el art. 26.4 establece: El Registro General de Proteccin de Datos inscribir el Fichero si la notificacin se ajusta a los requisitos exigibles. En caso contrario podr pedir que se completen los datos que falten o se proceda a su subsanacin. Una vez ha sido inscrito el Fichero en el Registro, la Agencia Espaola de Proteccin de Datos, nos comunicar la misma indicando el cdigo de inscripcin que se le ha asignado al Fichero. Este cdigo de inscripcin ha de ser correctamente archivado por el Responsable del Fichero, pues el mismo nos permitir la posterior modificacin o supresin del Fichero. En este sentido, el art. 26.5 establece: Transcurrido un mes desde la presentacin de la solicitud de inscripcin sin que la Agencia Espaola de Proteccin de Datos hubiera resuelto sobre la misma, se entender inscrito el fichero automatizado a todos los efectos.
LOPD
Pgina 23 de 60
Creado el 11/12/06
LOPD
Pgina 24 de 60
Creado el 11/12/06
De este modo, en el presente artculo analizamos el concepto de fichero temporal, algunos supuestos habituales, lo que establece la normativa al respecto, su problemtica y riesgos, as como las medidas a aplicar o implantar para evitar los riesgos.
LOPD
Pgina 25 de 60
Creado el 11/12/06
8.e)d) Es necesario inscribir los ficheros temporales en la Agencia Espaola de Proteccin de Datos?
Respecto a si es necesaria la inscripcin de los ficheros temporales en la Agencia Espaola de Proteccin de Datos, hay que sealar que la LOPD no establece en ninguna de sus disposiciones una referencia expresa a los ficheros temporales, ni en sentido positivo (obligatoriedad de inscribir dichos ficheros), ni en sentido negativo (excepcin a la obligacin de inscribir dichos ficheros). De este modo, podemos entender que a pesar de la temporalidad de esta clase de ficheros es necesaria su inscripcin en la Agencia Espaola de Proteccin de Datos cuando vaya a crearse el mismo y su supresin cuando ste sea eliminado. Lgicamente, la necesidad de cumplir con la obligacin de inscribir dichos ficheros, puede entenderse exceptuada en aquellos casos en que la creacin de ficheros temporales hagan referencia a acciones muy concretas que vayan a realizarse en plazos muy cortos de tiempo (por ejemplo: extraccin de datos de la base de datos corporativas a travs de la impresin de listados, con el fin de realizar un mailing y facilitar la labor de las personas encargadas de preparar el mismo).
LOPD
Pgina 26 de 60
Creado el 11/12/06
Dispersin de Ficheros en los sistemas informticos (podemos encontrar ficheros en los servidores centrales de la compaa, as como en los discos duros de los empleados de la empresa). Este hecho implica que los ficheros temporales albergados en los discos duros de los empleados no estn cubiertos por las medidas de seguridad que se encuentran implantadas en el servidor central de la empresa, impidindose, por ejemplo, la realizacin de copias de seguridad, con el riesgo de sufrir prdidas o fugas de informacin.
Falta de actualizacin de los datos personales albergados (la existencia de diversos ficheros corporativos o temporales que alberguen los mismos datos, pueden provocar la falta de actualizacin de otros ficheros, y por lo tanto el incumplimiento del principio de calidad de los datos de la LOPD). Para evitar en la medida de lo posible los problemas sealados, es fundamental la CONCIENCIACIN Y FORMACIN del personal de la empresa.
A travs de una Poltica de Seguridad Informtica, una Poltica de Tratamiento de Datos de Carcter Personal o formacin especifica, se ha de concienciar a los empleados de la necesidad de seguir las pautas y procedimientos establecidos por la empresa para la proteccin de los datos y la informacin corporativa, como por ejemplo: crear los ficheros temporales dentro de una carpeta albergada en el servidor de la empresa, de forma que se encuentre protegido por las medidas de seguridad y procedimientos establecidos por la empresa. Igualmente, y para evitar la no actualizacin de los datos albergados en distintos ficheros, es posible la implantacin de medidas o soluciones informticas que permitan la vinculacin y relacin entre ficheros y la actualizacin simultanea de todos los ficheros que contengan los mismos datos.
LOPD
Pgina 27 de 60
Creado el 11/12/06
Legitimacin: Obtencin del Consentimiento de los Titulares de los Datos y otros principios bsicos de la LOPD. 9. Obtencin del consentimiento de los titulares de los datos y otros principios bsicos de la LOPD
Todas las empresas tratan datos personales en su funcionamiento diario. En la gran mayora de los casos, los datos que se tratan son indispensables para el desarrollo y ejecucin de la actividad negocial, administrativa, fiscal, contable y/o laboral de la empresa. No nos podemos imaginar a una empresa, por grande o pequea que sea, que no realice un tratamiento de, por ejemplo, los datos de su personal laboral o los datos de sus clientes y/o proveedores.
Por: Andrs Veyrat Marqus de Manaca Consulting, S.L.
La LOPD establece una serie de limitaciones al tratamiento de los datos; limitaciones fijadas para garantizar un uso adecuado, lcito, no excesivo y con las debidas medidas de seguridad que impidan la alteracin, prdida o tratamiento no autorizado de los datos. Por tratamiento entiende la Ley cualquier operacin y procedimiento tcnico de carcter automatizado o no, que permita la recogida, grabacin, conservacin, elaboracin, modificacin, bloqueo y cancelacin, as como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias-. Al entender la Ley la necesidad del tratamiento, informatizado o no, de datos de carcter personal por parte de las empresas para poder desarrollar sus actividades propias, fija como contrapeso la necesidad de observar la voluntad del interesado. En la mayora de los supuestos, la voluntad se manifiesta a travs del consentimiento y, en los casos en los que operan excepciones legales al consentimiento, el afectado manifiesta su voluntad a travs de su derecho de oposicin al tratamiento de los datos (como, por ejemplo, en el caso de datos procedentes de fuentes accesibles al pblico, donde no es necesario recabar el consentimiento previo del afectado para su tratamiento). Adems, fija para el tratamiento de los datos otras obligaciones bsicas como son los principios de calidad de los datos, el derecho de informacin, las medidas especficas de los datos especialmente protegidos, las medidas de seguridad aplicables a los ficheros, el bloqueo y cancelacin de los datos, la cesin de datos y el acceso a datos por cuenta de terceros. Por ltimo, la Ley utiliza un concepto amplio de tratamiento, englobando dos momentos importantes y que deben entenderse de forma separada: la recogida y el tratamiento en s mismo de los datos. a) La recogida de los datos. La recogida de los datos es una operacin previa al tratamiento; por ello, la recogida de datos no suele plantear problemas en referencia al consentimiento del afectado puesto que si ste nos proporciona los datos, se entiende que existe un consentimiento implcito (un acto consciente de voluntad). Pero, lo que si es importante en la recogida es proporcionar al afectado una serie de informaciones o elementos fijados por la ley en el derecho de informacin (art.5 de la Ley), para que el afectado pueda suministrar o no sus datos con el pleno conocimiento del alcance del tratamiento que se va a realizar. La informacin que habr de proporcionarse es:
LOPD
Pgina 28 de 60
Creado el 11/12/06
El titular del Fichero. Las finalidades del tratamiento. El carcter obligatorio/facultativo de las respuestas. De los derechos que le asisten y su posibilidad de ejercicio. De la direccin y, en su caso, las condiciones para ejercitar tales derechos.
Adems, hemos de tener en cuenta que se regulan por la Ley una serie de casos en los que ser necesario adems, a la hora de la recogida de los datos, recabar el consentimiento expreso del afectado; estos supuestos son: Para el tratamiento de datos de salud, origen racial y vida sexual, y Para el tratamiento de datos de ideologa, afiliacin sindical, religin y creencias, adems el consentimiento expreso ser por escrito.
b) El tratamiento en s mismo de los datos. El tratamiento en si consiste en las operaciones de grabacin de datos, conservacin, elaboracin, modificacin, bloqueo y cancelacin, as como las cesiones y acceso a los datos. As y para la mayora de estas operaciones entra en juego como principio bsico el consentimiento. El afectado siempre podr ejercer los derechos que le concede la Ley (impugnacin de valoraciones, acceso, rectificacin, cancelacin y oposicin) y podr revocar el consentimiento dado al tratamiento de sus datos o manifestar su oposicin parcial a dicho tratamiento (como en el supuesto de que los datos sean necesarios para el mantenimiento de una relacin contractual laboral o administrativa, el afectado puede oponerse a que dichos datos sean utilizados para fines comerciales o promocionales). Adems, la Ley establece una serie de principios especficos para el tratamiento de los datos por parte del Responsable del Fichero; principios y obligaciones impuestas para garantizar su correcto tratamiento, conservacin, acceso y destruccin.
LOPD
Pgina 29 de 60
Creado el 11/12/06
La Ley tiende a establecer unos principios generales de Calidad tendentes a garantizar un uso adecuado de los datos, fijando que: 1.- Los datos personales deben de adecuarse a la finalidad para la que fueron recabados, 2.- Deben ser exactos y actualizados, 3.- No deben mantenerse indefinidamente sin justificacin, y 4.- Deben haber sido recogidos de forma lcita. El incumplimiento de estas obligaciones supone una infraccin grave, tipificada en el art.44.3 d), que lleva aparejada sanciones econmicas de entre 60.101 a 180.303 . a) Finalidad. Significa que los datos slo se podrn recoger para su tratamiento, as como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relacin con el mbito y las finalidades determinadas, explcitas y legtimas para los que se hayan obtenido. Estos criterios de adecuacin se relacionan expresamente con las finalidades para las que se han recabado los datos; en el caso que las finalidades del tratamiento cambien, los datos debern ser cancelados. Por ejemplo, si recogemos datos para la participacin en un concurso, dichos datos no los podremos destinar luego a finalidades distintas, diferentes o incompatibles. Por ello, es importante a la hora de recoger los datos determinar en las clusulas de informacin todas las finalidades a las que se van a destinar los datos. b) Utilizacin no abusiva. La utilizacin no abusiva de los datos impide que los datos se usen para finalidades incompatibles o distintas con aquellas para las que hubiesen sido recogidos, si bien no se considera incompatible el tratamiento posterior de stos datos con fines histricos, estadsticos o cientficos.
LOPD
Pgina 30 de 60
Creado el 11/12/06
c) Exactitud. Significa que los datos tienen que ser exactos y puestos al da de forma que respondan con veracidad a la situacin actual del afectado. Ello no significa que las empresas deban mantener exactos los datos cuando no tengan medios para conocer la exactitud/veracidad de los datos; pero, si tienen conocimiento de la inexactitud de un dato, deben proceder a actualizarlo. As, la correccin/actualizacin de los datos tratados puede realizarse: De oficio por el Responsable del Fichero, cuando conozca dicha inexactitud. A travs del ejercicio del derecho de rectificacin de los datos por el propio interesado.
En cuanto a datos recabados de fuentes accesibles al pblico (repertorios telefnicos, boletines oficiales, publicaciones) se mantiene esta obligacin de exactitud y veracidad; pero, hay que decir que no es responsabilidad del Responsable del Fichero comprobar si los datos publicados en dichas fuentes son exactos o inexactos, aunque si se conociese la inexactitud debe procederse a actualizarlo. d) Cancelacin en caso de no necesidad. El art.4.5 dispone que Los datos de carcter personal sern cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieren sido recabados o registrados-. As, la conexin entre los datos y la finalidad que motiv su recogida se mantiene en todo momento. La cancelacin se producir directamente por el Responsable del Fichero en el momento en que el dato no sea necesario, sin perjuicio de la posibilidad que tiene el afectado de solicitar la cancelacin del dato. En el caso de que alguna obligacin legal establezca la necesidad de conservar los datos una vez concluida la finalidad que motiv su recogida, el Responsable del Fichero podr conservar los datos a travs del boqueo del dato o previo proceso de disociacin. En cuanto al bloqueo de los datos, la LOPD establece, en el art. 16.3, que -La cancelacin dar lugar al bloqueo de los datos, conservndose nicamente a disposicin de las Administraciones Pblicas, Jueces y Tribunales, para la atencin de las posibles responsabilidades nacidas del tratamiento, durante la prescripcin de stas. Cumplido el citado plazo deber procederse a su supresin-. El art. 16.5 establece que -Los datos de carcter personal debern ser conservados durante los plazos previstos en las disposiciones aplicables o, en su caso, en las relaciones contractuales entre la persona o entidad responsable del tratamiento y el interesado-. En cuanto al procedimiento de disociacin, podemos definirlo como todo tratamiento de datos personales de modo que la informacin que se obtenga no pueda asociarse a persona identificada o identificable; en la prctica se traduce en la disociacin de las tablas y campos que conforman el fichero, de manera que no son relacionables los datos o informaciones obtenidas con una persona identificada o identificable.
LOPD
Pgina 31 de 60
Creado el 11/12/06
e) Almacenamiento. Los datos sern conservados de manera que peritan el ejercicio de los derechos de acceso, salvo que sean legalmente cancelados. El derecho de acceso consiste en la facultad que tiene el afectado de solicitar y obtener, de manera gratuita y en un plazo determinado, la informacin sobre sus datos sometidos a tratamiento, las comunicaciones que se han realizado y las cesiones realizadas, principalmente. Este derecho ser desarrollado con ms profundidad en un apartado especfico de esta Gua. f) Lealtad. Se impone la prohibicin de recoger los datos por medios fraudulentos, desleales o ilcitos. g) Incumplimiento de los principios de Calidad de los Datos. La ley establece que la vulneracin de los principios y garantas desarrollados en el art.4 tendrn la consideracin de infracciones graves o muy graves. As, encontramos: 1.- Infracciones graves: Art.44.3.b: -Proceder a la creacin de ficheros de titularidad privada o iniciar la recogida de datos para los mismos con finalidades distintas de las que constituyen el objeto legtimo de la empresa o entidad-. Art.44.3.d: -Tratar los datos de carcter personal o usarlos posteriormente con conculcacin de los principios y garantas establecidos en la Ley o con incumplimiento de los preceptos que impongan las disposiciones reglamentarias de desarrollo, cuando no constituyan infraccin muy grave-. Art.44.3.e: -El impedimento o la obstaculizacin del ejercicio de los derechos de acceso y oposicin y la negativa a facilitar la informacin que sea solicitada-. Art.44.3.f: -Mantener los datos de carcter personal inexactos o no efectuar las rectificaciones o cancelaciones de los mismos que legalmente procedan cuando resulten afectados los derechos de las personas que la presente ley ampara-.
LOPD
Pgina 32 de 60
Creado el 11/12/06
El consentimiento no es ms que la manifestacin de voluntad, libre, inequvoca, especfica e informada, mediante la que el interesado consiente el tratamiento de sus datos personales. La ley fija como tipo general el consentimiento libre, especfico, informado e inequvoco, salvo que la propia ley disponga tipos especiales. As, podemos decir que el consentimiento ser: a) Libre: deber haber sido obtenido sin la intervencin de vicio alguno del consentimiento. b) Especfico: referido a una determinada operacin de tratamiento y para una finalidad determinada, explcita y legtima del Responsable del Fichero. c) Informado: el usuario debe conocer, con anterioridad al tratamiento, la existencia y las finalidades para las que se recogen los datos. d) Inequvoco: es preciso que exista expresamente una accin u omisin que implique la existencia del consentimiento (no resulta admisible el consentimiento presunto). En principio, el consentimiento dado abarca todas y cada una de las operaciones que engloban el tratamiento; encontrando slo una excepcin, que es en el caso de la cesin de datos, donde el consentimiento para la cesin ser previo e informado. Hay que sealar que el consentimiento general exigido por la ley va ntimamente ligado a la obligacin de informar, a la hora de la recogida de los datos, de los extremos sealados en el art.5 (derecho de informacin en la recogida), puesto que entiende la Ley que a partir de dicha informacin el afectado es consciente y toma conocimiento de la existencia del tratamiento que se va a realizar, las finalidades y los derechos que le asisten. a) Tipos especiales de consentimiento. La ley dispone para determinadas categoras de datos un tipo elevado de consentimiento. As, encontramos que: El art.7.2 indica que Slo con el consentimiento expreso y por escrito del afectado podrn ser objeto de tratamiento los datos de carcter personal que revelen la ideologa, afiliacin sindical, religin y creencias. Se exceptan los ficheros mantenidos por partidos polticos, sindicatos, iglesias, confesiones o comunidades religiosas y asociaciones, fundaciones y otras entidades sin nimo de lucro, cuya finalidad sea poltica, filosfica, religiosa o sindical, en cuanto a los datos relativos a sus asociados o miembros, sin perjuicio de que la cesin de dichos datos precisar siempre el previo consentimiento del afectado-. Art.7.3. indica que Los datos de carcter personal que hagan referencia al origen racial, a la salud y a la vida sexual slo podrn ser recabados, tratados y cedidos cuando, por razones de inters general, as lo disponga una ley o el afectado consienta expresamente-.
LOPD
Pgina 33 de 60
Creado el 11/12/06
Por ello, podemos sealar que el consentimiento solo ser expreso en los supuestos sealados especficamente por la Ley, y en concreto: a) Consentimiento expreso, para el tratamiento de los datos de salud. b) Consentimiento expreso y por escrito, para el tratamiento de datos de ideologa, afiliacin sindical, religin y creencias. En caso de tratamiento de esta tipologa de datos, ser necesario que el Responsable del Fichero acredite que ha obtenido el consentimiento con todas las garantas establecidas por la ley; es decir, que adems de que el consentimiento sea libre, inequvoco, especfico, informado, sea prestado por escrito y de forma expresa. b) Excepciones al consentimiento. Se fijan en el art.6.2 una serie de excepciones al consentimiento. As, -No ser preciso el consentimiento cuando los datos de carcter personal se recojan para el ejercicio de las funciones propias de las Administraciones Pblicas en el mbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relacin negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un inters vital del interesado en los trminos del art.7.6 de la presente Ley, o cuando los datos figuren en fuentes accesibles al pblico y su tratamiento sea necesario para la satisfaccin del inters legtimo perseguido por el responsable del fichero o por el tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado-. De acuerdo con este artculo, no ser necesario el previo consentimiento del afectado para el tratamiento de sus datos personales en caso de: Tratamiento realizados por Administraciones Pblicas en el ejercicio de sus competencias propias. Tratamientos realizados dentro del mantenimiento de una relacin precontractual, contractual, laboral o administrativa. Es difcil entender una relacin negocial o laboral que no exija, en si misma, el tratamiento de los datos personal (ya sea para la facturacin, contabilidad, gestin, realizacin de nminas, etc). Pero, en estos casos, es recomendable que al inicio de la relacin (firma de contratos), se incorporen clusulas de informacin en las que se informe y recabe el consentimiento para el tratamiento de dichos datos. Proteccin de un inters vital del interesado, como en caso de que el afectado se encuentre fsica o jurdicamente incapacitado para dar su consentimiento. Cuando procedan de fuentes accesibles al pblico. No ser necesario el consentimiento del afectado cuando, recogidos los datos de fuentes accesibles al pblico, el tratamiento sea necesario para la satisfaccin de un inters legtimo perseguido por el responsable del fichero (casos de publicidad y prospeccin comercial, principalmente).
c) Revocacin del consentimiento. El art.6.3 establece que El consentimiento a que se refiere el artculo podr ser revocado cuando exista causa justificada para ello y no se le atribuyan efectos retroactivos-.
LOPD
Pgina 34 de 60
Creado el 11/12/06
Aunque la ley establece que el consentimiento podr ser revocado cuando exista causa justificada, hemos de entender que no sera necesario que el afectado manifestase una causa para revocar su consentimiento, debido a que el consentimiento no es ms que una declaracin de voluntad propia del afectado y su revocacin sera otra declaracin de voluntad. As y en este sentido lo entiende la propia Ley para los casos de cesin de datos o cuando los datos se destinen a fines promocionales y/o publicitarios. Pero, en aquellos casos en los que el tratamiento de los datos viene derivado del mantenimiento de una relacin negocial, administrativa, fiscal o laboral, el consentimiento al tratamiento de los datos no podr ser revocado sin que se alegue por afectado una razn justa que fundamente esta revocacin. d) Derecho de oposicin del afectado. Se establece por la Ley que en aquellos casos en que no sea necesario el consentimiento del afectado para el tratamiento de los datos y siempre que no se disponga por ley lo contrario, el afectado podr oponerse al tratamiento de sus datos cuando existan motivos fundados y legtimos relativos a una concreta situacin personal-. Este derecho de oposicin al tratamiento de los datos debe entenderse slo para aquellos casos concretos en los que operan las excepciones al consentimiento. Aunque se tratar con ms profundidad este aspecto al desarrollar los derechos de los usuarios, hemos de adelantar que: -El derecho de oposicin podr ser total en el caso de datos obtenidos de fuentes accesibles al pblico y cuyo tratamiento sea para fines promocionales y publicitarios. -El derecho de oposicin ser parcial en aquellos casos en los que el tratamiento venga del mantenimiento de una relacin contractual o negocial, administrativa, laboral, etc As, el afectado podr oponerse a un tratamiento comercial o promocial de sus datos, pero no a los tratamientos que se realicen para el mantenimiento o cumplimiento de la relacin negocial, administrativa o laboral. e) Incumplimiento. En los casos en los que es necesario recabar el consentimiento del afectado y se incumpla con esta obligacin, la Ley establece que: Infraccin grave (art.44.3.c): -Proceder a la recogida de datos de carcter personal sin recabar el consentimiento expreso de las personas afectadas, en los casos en que ste sea exigible-. Infraccin muy grave (art.44.4.c): -Recabar y tratar los datos de carcter personal a los que se refiere el art.7.2 cuando no medie el consentimiento expreso del afectado; recabar y tratar los datos a los que se refiere el art.7.3 cuando no lo disponga una ley o el afectado no haya consentido expresamente
LOPD
Pgina 35 de 60
Creado el 11/12/06
Este deber de secreto debe ser adoptado por todo el personal laboral que accede a los Ficheros de datos; adems en las empresas, este deber fijado por la Ley se ve complementado por la obligacin profesional de confidencialidad y secreto descrita en el art.5.a) del Estatuto de los Trabajadores, que se mantiene vigente hasta la finalizacin de la relacin laboral. Por ello, las obligaciones de Secreto, Confidencialidad y Custodia incumben a todo el personal; y, de manera particular, a aquellos que en el desarrollo de sus funciones accedan a Ficheros que contienen datos personales. En cumplimiento de estas obligaciones, el personal laboral de las empresas que trate o acceda a los ficheros de datos de carcter personal no deber ni podr divulgar o comunicar a terceras personas la informacin o los datos que maneja o a los que tenga conocimiento en el desempeo de su cargo o funciones. Adems, para garantizar la Confidencialidad de la Informacin dentro de las empresas y dada la importancia que la Informacin y documentacin tiene para la actividad empresarial, el personal que acceda a los Ficheros de datos es recomendable que cumpla siempre con las siguientes medidas: a) Deber actuar siempre conforme a sus obligaciones profesionales de confidencialidad y secreto, as como de acuerdo a lo dispuesto por la Ley Orgnica 15/1999 de Proteccin de Datos de Carcter Personal y su normativa de desarrollo. b) El acceso a los datos personales contenidos en ficheros nicamente se llevar a cabo por personal autorizado, limitado a las funciones y actividades a desempear. c) No revelar informacin a personas ajenas que no deban tener acceso a dicha informacin.
LOPD
Pgina 36 de 60
Creado el 11/12/06
LOPD
Pgina 37 de 60
Creado el 11/12/06
Los casos de incidentes informticos que en el pasado causaron daos y perjuicios econmicos importantes, han ido abriendo los ojos a muchas empresas a la necesidad de implantar mecanismos para proteger su informacin almacenada y tratada en los equipos informticos de incidencias externas (intencionadas y/o accidentales); pero tambin, de la importancia de la proteccin de la informacin desde una rbita interna de la empresa: el acceso restringido a cierta documentacin por determinados empleados, la firma de clusulas de confidencialidad por parte del personal, el establecimiento de polticas y procedimientos de respaldo y recuperacin de datos o el almacenamiento externo de informacin. Desde el punto de vista de la Ley Orgnica de Proteccin de Datos, las medidas de seguridad van destinadas a todas las organizaciones, empresas e instituciones que almacenan y tratan datos de carcter personal en sus sistemas de informacin, siendo su finalidad principal proteger los datos de carcter personal tratados de posibles incidencias que puedan provocar su prdida, alteracin u acceso no autorizado (tanto interno como externo). Por ello, la adopcin de medidas tcnicas y organizativas tendentes a garantizar la seguridad de los datos de carcter personal es una obligacin bsica que debe ser cumplida por todas las empresas que traten, almacenen y accedan a datos de carcter personal; medidas que debern adoptarse en funcin del nivel de los datos almacenados/tratados, de la estructura y organizacin de la Empresa y del estado de la tecnologa. Es importante sealar que tanto la Ley Orgnica como el Real Decreto 994/1999 que desarrolla el Reglamento de Medidas de Seguridad ligan el concepto de seguridad de los datos a los conceptos de: a) Confidencialidad: entendido como el acceso autorizado a los datos. b) Exactitud: la informacin no debe sufrir alteraciones no deseadas, en cuanto a su contenido. c) Disponibilidad: slo las personas autorizadas pueden tener acceso a la informacin. As podemos observar que la normativa, fijada para ofrecer unos mnimos de seguridad en el tratamiento de los datos de carcter personal, busca el ofrecer unas directrices de seguridad informtica que pueden ser adoptadas e implantadas en todas las empresas, independientemente de su tamao y organizacin: un concepto de proteccin de la informacin como activo empresarial, considerando a la informacin como elemento relevante para mejorar la competitividad, la rentabilidad y el cumplimiento de los fines empresariales conjugada con la proteccin del derecho a la intimidad de las personas.
LOPD
Pgina 38 de 60
Creado el 11/12/06
LOPD
Pgina 39 de 60
Creado el 11/12/06
b) mbito de aplicacin. Las medidas tcnicas y organizativas establecidas por el Reglamento deben aplicarse sobre:
Los ficheros automatizados, entendidos como todo conjunto organizado de datos de carcter personal, cualquiera que fuere su forma o modalidad de creacin, almacenamiento, organizacin y acceso. Los centros de tratamiento, entendidos como los lugares habilitados donde se encuentran los ordenadores, equipos y servidores que almacenan la informacin. Los locales, entendidos como aquellos lugares donde se encuentran fsicamente ubicados los equipos y el personal que trata datos. Los equipos: todo material en soporte fsico que sirva para tratar y almacenar electrnicamente datos personales. Los sistemas y programas informticos que tratan los datos de carcter personal. Las personas que acceden a los datos: personal laboral que, de acuerdo con sus funciones y obligaciones, interviene en cualquiera de las fases del tratamiento de los datos (recogida, grabacin, conservacin, elaboracin, modificacin, bloqueo, cancelacin, consulta, etc...).
c) mbito de Exclusin. Quedan excluidos de la adopcin de dichas medidas de seguridad: Los ficheros en soporte papel cuya creacin sea anterior a la entrada en vigor de la Ley Orgnica 15/1999. Los ficheros automatizados que no contengan datos personales. Los ficheros automatizados personales para el ejercicio de actividades personales y/o domsticas (como por ejemplo, la agenda telefnica o la libreta de direcciones de los programas de correo electrnico).
d) Los niveles de seguridad en el Reglamento. Cada uno de los niveles de seguridad establecidos en el Reglamento tienen la consideracin de mnimos legales exigibles, por lo que cada Empresa podr incrementarlas de acuerdo a otros criterios de Seguridad Informtica, ofreciendo de esta forma mayores garantas, tanto para el tratamiento de sus ficheros como para el resto de la informacin corporativa. El Reglamento establece los niveles de seguridad de forma acumulativa; as, en caso de tratamiento de ficheros de nivel medio, debern implantarse todas y cada una de las medidas de seguridad descritas para el nivel bsico y las del medio. Igualmente suceder con los ficheros de nivel alto, que debern implantar las medidas descritas para el nivel bsico, el medio y el alto. En resumen:
Nivel Bsico: Para todos los ficheros de datos de carcter personal. Nivel Medio: Sern adoptadas para: a) Ficheros que contengan datos relativos a la comisin de infracciones administrativas o penales. b) Ficheros que contengan datos sobre Hacienda Pblica.
LOPD
Pgina 40 de 60
Creado el 11/12/06
c) Ficheros que contengan datos sobre Servicios Financieros. d) Ficheros que contengan datos sobre solvencia patrimonial y crdito. e) Ficheros que contengan un conjunto de datos suficientes que permitan elaborar un perfil del afectado (se les aplican las medidas descritas en los art.17 a 20).
Nivel Alto: Aquellos que contengan datos de ideologa, religin, creencias, origen racial, salud, vida sexual.
En el siguiente cuadro se muestran las diferentes medidas aplicables a cada uno de los niveles:
MEDIDAS DE SEGURIDAD Documento de Seguridad Identificacin y Autenticacin: 1.- Existencia de una lista actualizada de usuarios autorizados que tengan acceso autorizado al sistema de informacin (art.11.1 y 12.3). 2.- Procedimientos de identificacin y autenticacin informticos: a) Contraseas: procedimiento de creacin, asignacin, conservacin y cambio peridico (art.11.2 y 11.3). b) Identificacin de usuario, de manera inequvoca y personalizada (art.18.1). c) Limitacin de acceso incorrecto reiterado (art.18.2). Control de Acceso: 1.- Los usuarios tendrn nicamente acceso a los datos/recursos de acuerdo a su puesto laboral y tareas definidas en el documento (art.12.1). 2.- Debern implantarse mecanismos que eviten el acceso no autorizado a otros recursos: establecimiento de perfiles de usuario (art.12.2). 3.- Control de acceso fsico a servidores y CPD (art.19). 4.- De cada acceso se guardarn: identificacin usuario, fecha y hora, fichero accedido, tipo de acceso y su autorizacin o denegacin, guardando la informacin que permita identificar registro accedido (art.24.2). 5.- Los mecanismos de acceso estarn bajo el control directo del Responsable de Seguridad, sin que pueda permitirse la desactivacin (art.24.3). 6.- Registro y conservacin de accesos lgicos al fichero por un plazo no inferior a 2 aos (art.24.4). 7.- Para accesos a travs de redes de telecomunicaciones, debern tener las mismas medidas que para accesos en modo local (art.5). Funciones y obligaciones del personal: 1.- Definicin en el Documento de Seguridad de las funciones y obligaciones de grupos de usuarios y/o perfiles (art.9.1). 2.- Conocimiento por parte del personal de las normas y medidas de seguridad que les son aplicables (art.9.2). 3.- Identificacin y funciones del/los Responsables de Seguridad (art.15 y 16). 4.- Trabajo fuera de ubicacin principal debe ser expresamente autorizado (art.6). 5.- Listado de personal con acceso a Servidores y/o CPD (art.19). 6.- Listado de personal con privilegios administrativos informticos sobre aplicaciones y ficheros (art.12.4). Estructura de los Ficheros y del Sistema Informtico: 1.- Descripcin y estructura informtica del Fichero (campos ID) 2.- Descripcin y estructura del Sistema Informtico (enumeracin de equipos, redes, programas, etc...) Gestin de Soportes: 1.- Identificacin, inventariado y almacenamiento (art.13.1). 2.- Autorizacin necesaria para salida de soportes (art.13.2). 3.- Cifrado de soportes en caso de operaciones externas de mantenimiento (art.20.4). 4.- Medidas y procedimientos para la destruccin de soportes (art.20.3). 5.- Registro de Entrada de Soportes (art.20.1). 6.- Registro de Salida de Soportes (art.20.2). 7.- Distribucin de soportes con mecanismos de cifrado de datos (art.26). Ficheros Temporales: Aplicacin de mismo nivel de seguridad que fichero origen (art.7). Registro de Incidencias: 1.- Contenido mnimo: tipo de incidencia, momento en que se produce, efectos producidos, persona que comunica, medidas adoptadas (art.10). BSICO MEDIO ALTO
LOPD
Pgina 41 de 60
Creado el 11/12/06
MEDIDAS DE SEGURIDAD 2.- Contenido adicional: Procedimiento de restauracin de datos, datos restaurados y datos grabados manualmente (art.21.1) Procedimientos de Copias de Respaldo y Recuperacin datos: 1.- Debern garantizar la restauracin de los datos al momento anterior a producirse la prdida (art.14.2). 2.- Realizacin de copias de backup al menos con una frecuencia semanal (art.14.3). 3.- Necesaria autorizacin para la ejecucin de procedimientos de restauracin de datos (art.21.2). 4.- Almacenamiento externo de copias y procedimientos de restauracin de datos (art.25). Pruebas con datos reales: Aplicacin de mismas medidas segn nivel de seguridad de los datos (art.22). Actualizacin y Auditoria: 1.- Revisin y actualizacin del Documento de Seguridad en funcin de cambios relevantes en la Organizacin (art.8.3). 2.- Auditoria cada 2 aos. Conservacin de Informe a disposicin AEPD (art.17). 3.- Revisin peridica de la informacin de control de los accesos informticos a ficheros y aplicaciones (art.24.5). Medidas especficas para datos en soporte papel: 1.- Control de acceso a la documentacin. 2.- Medidas de conservacin y almacenamiento. 3.- Procedimientos y mecanismos de destruccin que impidan posterior recuperacin de la informacin que contienen.
BSICO
MEDIO
ALTO
e) Definiciones: El Reglamento 994/1999 incorpora una serie de definiciones sobre los conceptos en los que se basan las medidas de seguridad:
Sistemas de informacin: Son el conjunto de equipos, programas, ficheros automatizados y soportes empleados para el almacenamiento y tratamiento de datos. Usuario: Sujeto o proceso autorizado para acceder a los datos o recursos. Toda persona autorizada que accede a los datos en funcin funciones laborales. Recurso: Cualquier componente del sistema de informacin, materiales (equipos) o inmateriales (carpetas de red). Accesos autorizados: Autorizaciones concedidas a un usuario para la utilizacin de los diversos recursos. Comprenden tanto los accesos lgicos (equipos/red) y accesos fsicos. Identificacin: procedimiento de reconocimiento de la identidad de un usuario. Puede ser fsica (a travs de datos biomtricos) como lgica (nombre de usuario). Autenticacin: procedimiento de comprobacin de la identidad de un usuario. El uso de contraseas asociadas a nombres de usuario se considera jurdicamente vlido a los efectos de cumplir con los requisitos de identificacin y autenticacin. Control de acceso: mecanismo que, en funcin de la identificacin ya autenticada, permite acceder a datos y/o recursos. Contrasea: Informacin confidencial, constituida por una cadena de caracteres, que puede ser usada en la autenticacin del usuario. Incidencia: Cualquier anomala que afecte o pueda afectar a la seguridad de los datos (lgica y fsica). Soporte: objeto fsico susceptible de ser tratado en un sistema de informacin y sobre el cual se pueden grabar o recuperar datos. Responsable de seguridad: Persona o personas a las que el Responsable del Fichero ha asignado formalmente la funcin de coordinar y controlar las medidas de seguridad aplicables. Copia de respaldo: Copia de los datos de un fichero automatizado en un soporte que posibilite su recuperacin.
LOPD
Pgina 42 de 60
Creado el 11/12/06
Adems, se estableca un plazo de 3 aos para la adecuacin de los sistemas de informacin que no permitan tecnolgicamente implantar concretas medidas de seguridad. Este plazo tambin ha quedado vencido. Actualmente, cualquier empresa puede poner en marcha las medidas de seguridad para ficheros de nivel bsico y ciertas medidas del nivel medio, sin que ello suponga realizar fuertes inversiones econmicas, puesto que: 1. Los equipos informticos incorporan unidades/hardware que permiten la generacin de copias de seguridad (por ejemplo, unidades CDRW o DVDRW). 2. Pueden adoptarse normas y procedimientos de calidad para la utilizacin de sistemas informticos, gestin de incidencias y registros de entrada y salida de soportes informticos, etc... 3. Los sistemas operativos y aplicaciones informticas nos permiten la configuracin de herramientas de control de accesos, controles de seguridad, implantacin de perfiles y sistemas de autenticacin de usuarios. En la pgina Web de Microsoft TechNet se encuentran recursos tcnicos y documentos que proporcionan informacin tcnica para la configuracin de las herramientas del panel de control en entornos operativos Windows; as como una gua para la Aplicacin de la ley de Proteccin de Datos en entornos Windows.
LOPD
Pgina 43 de 60
Creado el 11/12/06
b) Rgimen de trabajo fuera de los locales de la ubicacin del fichero (art.6). Establece el Reglamento que deber estar expresamente autorizado por el responsable del fichero la ejecucin de tratamientos de los datos fuera de la ubicacin principal, garantizndose en todo momento el mismo nivel de seguridad. c) Ficheros Temporales (art.7). Se establece que los ficheros temporales debern cumplir el mismo nivel de seguridad que el fichero del tienen origen, procedindose a su destruccin o borrado seguro cuando haya dejado de ser necesario para la finalidad que motiv su creacin. Para la LOPD, tendrn la consideracin de ficheros temporales las extracciones puntuales de datos que se realicen de los ficheros de datos de carcter personal para atender o dar cumplimiento a determinadas finalidades concretas y comunes de gestin y administracin autorizadas por el responsable del fichero.
LOPD
Pgina 44 de 60
Creado el 11/12/06
LOPD
Pgina 45 de 60
Creado el 11/12/06
- Los procedimientos y normas de acceso fsico a las ubicaciones y locales: se relacionan los controles de acceso fsico del personal a locales y oficinas, los elementos de seguridad fsica que se disponen, las medidas de seguridad industrial, etc No es necesario realizar una descripcin exhaustiva de dichas normas, procedimientos y medidas. - Los procedimientos y normas de acceso al sistema informtico: asignacin, distribucin, almacenamiento y cambio de contraseas de acceso al sistema y red. - Los procedimientos, normas y medidas de seguridad lgica adoptados para la defensa ante ataques externos (antivirus, firewalls, cifrado de redes, control de puertos, etc). - Los procedimientos de acceso y normas de utilizacin de aplicaciones informticas concretas. - Los procedimientos, normas y medidas de acceso a travs de Redes de Telecomunicaciones. - Los procedimientos, autorizaciones y normas de trabajo en ubicaciones distintas a la principal. - Las directrices de seguridad para la utilizacin de determinados programas de correo electrnico, protectores de pantalla, conservacin de documentos, generacin de contraseas, etc c) Funciones y obligaciones del personal. El Documento de Seguridad debe recoger las principales funciones y obligaciones del personal que accede a los datos de los ficheros; debern definirse y recogerse los tipos de acceso y permisos, pudiendo relacionarse por grupos de usuarios, por perfiles de usuarios, por funciones laborales, etc... Adems, deber recogerse una lista actualizada de los usuarios que acceden a los sistemas de informacin, as como aquellos usuarios autorizados a acceder a cada uno de los ficheros de datos. Es recomendable que estos listados sean incorporados como Anexos al Documento de Seguridad. d) Estructura de los ficheros con datos de carcter personal y descripcin de los sistemas de informacin que los tratan. En este apartado, debern relacionarse los diferentes Ficheros de Datos regulados por el Documento y las aplicaciones informticas utilizadas para su tratamiento. En muchos casos, se realiza una parte expositiva en el Documento y se incorporan como Anexos al mismo dos apartados concretos: 1.- Estructura del fichero de datos: Se incorpora la tabla de campos ID que conforman los campos del fichero. 2.- Se especifica el nombre de la aplicacin informtica (programa) que se utiliza para el tratamiento de los datos; adems, suelen incorporarse datos referentes al equipo-servidor en el que se encuentra almacenado el fichero. e) Procedimiento de notificacin, gestin y respuesta ante incidencias. Este es uno de los aspectos principales, determinar cmo responder la empresa y el personal que accede a los ficheros ante las incidencias que puedan surgir en los datos, en los sistemas informticos y en los locales donde se realiza el tratamiento de los ficheros.
LOPD
Pgina 46 de 60
Creado el 11/12/06
Cada empresa puede definir, en funcin del tratamiento que realiza y segn sus criterios de seguridad informtica, cuales son las incidencias/vulnerabilidades que pueden afectar a su organizacin y establecer las normas y procedimientos de notificacin y actuacin. En muchos casos, la notificacin de incidencias no queda recogida en formularios/impresos de notificacin; simplemente, cuando un usuario detecta una incidencia se pone en contacto con el departamento de informtica por la va ms rpida (telfono); tambin, encontramos los casos de empresas que no cuentan con personal especfico que controle, verifique y supervise el correcto funcionamiento de los sistemas informticos y contrata empresas especializadas el mantenimiento y soporte de sus sistemas informticos. f) Los procedimientos de realizacin de copias de respaldo y recuperacin de datos. Debe establecerse y definirse en el Documento de Seguridad cundo, cmo y qu se incorpora a las copias de seguridad; y, en caso de que sea necesaria la restauracin de los datos, cul es el procedimiento de actuacin a seguir. Es recomendable que las copias de seguridad se realicen con una frecuencia semanal. Por ltimo, el Documento de Seguridad deber en todo momento mantenerse actualizado y deber ser revisado siempre que se produzcan cambios relevantes en el sistema de informacin y en la organizacin de la empresa. 2.- Forma del Documento de Seguridad. Como normativa de obligado cumplimiento para todo el personal de la empresa que accede a los ficheros de datos de carcter personal al establecer y recoger las directivas de seguridad, normas y procedimientos, el Documento de Seguridad deber quedar recogido por escrito y deber ser distribuido, en todo o parte, para su conocimiento a todo el personal. El Documento de Seguridad deber estar a disposicin de la Agencia Espaola de Proteccin de Datos en caso que la misma lo solicite; en ese caso, la Agencia comprobar que lo establecido y recogido en el Documento de Seguridad responde con veracidad a las medidas efectivamente adoptadas. Encontramos disponibles modelos para la confeccin del Documento de Seguridad en la pgina Web de la Agencia Espaola de Proteccin de Datos as como en la pgina de la Agencia de Proteccin de Datos de la Comunidad de Madrid.
LOPD
Pgina 47 de 60
Creado el 11/12/06
Para conseguir que los usuarios conozcan sus funciones y las consecuencias de su incumplimiento, muchas empresas ponen a disposicin de los empleados que acceden a los ficheros todo o parte del Documento de Seguridad; en otros casos, entregan un Manual de Tratamiento de Datos de carcter Personal.
Creado el 11/12/06
Establece el Reglamento que, cuando el mecanismo de autenticacin se base en la existencia de contraseas existir un procedimiento de asignacin, distribucin y almacenamiento que garantice su confidencialidad e integridad. Adems, las contraseas se cambiarn con la periodicidad que se determine en el Documento de Seguridad y mientras estn vigentes se almacenarn de forma ininteligible. La contrasea es uno de los medios existentes para validar la identidad de un usuario en su acceso al sistema, aunque la tecnologa nos permite actualmente que la identificacin y autenticacin se produzca por otros datos biomtricos. Pero al ser las contraseas de acceso el mecanismo ms utilizado, debemos adoptar e implantar procedimientos para una adecuada gestin, fijando directrices como las siguientes: -Si la contrasea es generada por el Administrador del Sistema y luego es cambiada, en el primer acceso al sistema, por una contrasea personal por parte del usuario, o por el contrario no podr ser modificada por el usuario. -Si la contrasea debe tener una longitud mnima o debe contener requisitos de complejidad (letras y nmeros). -Si se establecen lmites de frecuencia en la utilizacin de contraseas; es decir, si no podemos repetir las ltimas contraseas que hemos utilizado. -Fijar la duracin mnima/mxima de vigencia de la contrasea. -Establecer los procedimientos para el cambio de contrasea y los casos en los que deber procederse a su cambio por haberse visto comprometida. -Establecer los procedimientos de bloqueo y desbloqueo de cuenta por utilizacin reiterada de contraseas incorrectas. -Establecer los procedimientos de generacin, conservacin y almacenamiento seguro de contraseas.
Creado el 11/12/06
- Nos permiten identificar y auditar los accesos realizados, estableciendo controles de seguridad internos. - Documentar los procedimientos de acceso a las diferentes aplicaciones que tratan datos personales. - En definitiva, controlar los accesos desde diferentes vertientes: red, sistemas y aplicaciones. Adems, establece el Reglamento que la relacin de usuarios a la que se refiere el art.11.1 contendr el acceso autorizado para cada uno de ellos; y que exclusivamente el personal autorizado para ello en el Documento de Seguridad podr conceder, alterar o anular el acceso autorizado sobre los datos y recursos, conforme a los criterios establecidos por el responsable del fichero.
Creado el 11/12/06
a) Verificar la definicin y correcta aplicacin de los procedimientos de ejecucin de copias de respaldo y recuperacin de los datos. b) Los procedimientos de backup debern garantizar la reconstruccin de los datos al estado en que se encontraban al momento anterior de producirse la prdida o destruccin. c) Debern realizarse copias de respaldo al menos semanalmente. Casi todas las empresas, independientemente de su tamao y estructura informtica, cuentan actualmente con los medios necesarios para poder realizar copias de seguridad de sus documentos y archivos informticos (CDRW, DVDRW, dispositivos de almacenamiento USB, etc...); por ello, lo que se ha de destacar obligacin fijada por el Reglamento es: 1.- Por una lado, la necesidad de realizar las copias de seguridad con al menos una frecuencia semanal; aunque esta frecuencia deber variar en funcin principalmente del tipo de actividad y del volumen de datos y documentos informticos generados entre copias de seguridad. 2.- Por otro lado, la necesidad de contar con un procedimiento de restauracin de datos, que garantice: La reconstruccin del Sistema Operativo y su configuracin (particiones, usuarios, file systems, etc...). La reinstalacin de software base y programas necesarios para la ejecucin de aplicaciones (entre ellos el software de backup). La reinstalacin de aplicaciones informticas necesarias para el tratamiento de los datos. Los archivos, documentos y bases de datos. 3.- Y, por ltimo, es muy recomendable proceder al almacenamiento y conservacin, en una ubicacin de acceso restringido, de las copias de seguridad junto a una copia del procedimiento de restauracin de datos y los programas, aplicaciones informticas, datos de configuracin y sistema operativo utilizados.
LOPD
Pgina 51 de 60
Creado el 11/12/06
LOPD
Pgina 52 de 60
Creado el 11/12/06
Establecer y comprobar la aplicacin del procedimiento de identificacin y autenticacin de usuarios, as como la asignacin, distribucin y almacenamiento de las contraseas de acceso. Establecer y comprobar la aplicacin del procedimiento de cambio peridico de las contraseas de los usuarios del sistema. Establecer y comprobar la aplicacin de un sistema que limite el acceso de los usuarios nicamente a aquellos datos y recursos que precisen para el desarrollo de sus funciones. Establecer y comprobar la aplicacin de los mecanismos necesarios para evitar que un usuario pueda acceder a datos o recursos con derechos distintos a los autorizados. Conceder, alterar, anular el acceso autorizado a los datos y recursos, de acuerdo con los criterios establecidos por el Responsable del Fichero. Velar por el cumplimiento de las normas de seguridad, comunicando al Responsable del Fichero las infracciones cometidas. Establecer los controles peridicos y auditorias necesarias para comprobar el nivel de cumplimiento del documento. Tambin establece expresamente el Reglamento, en el art.16, que en ningn caso el Responsable de Seguridad ser responsable de las infracciones cometidas por el incumplimiento de la normativa vigente en materia de proteccin de datos, puesto que la responsabilidad corresponde nicamente al responsable del fichero.
Creado el 11/12/06
-El control y registro de accesos, con determinacin de perfiles de usuarios y privilegios. -Los procedimientos de acceso y transmisin de datos a travs de redes de telecomunicaciones. -Los procedimiento de creacin, conservacin y borrado de ficheros temporales. -Los procedimientos de Gestin y Notificacin de Incidencias. -Los procedimientos de realizacin de copias de respaldo y recuperacin. -Los procedimientos de Gestin y Distribucin de soportes. -Los procedimientos de cifrado de informacin sensible. -Los procedimientos de borrado y destruccin de soportes. -Los procedimientos de pruebas de nuevas aplicaciones/herramientas con datos reales. -Los procedimientos de acceso, almacenamiento, conservacin y destruccin de datos en formato papel. Por ltimo, establece el Reglamento que los Informes de auditora sern analizados por el responsable de seguridad, quien elevar las conclusiones al responsable del fichero para que adopte las medidas correctoras adecuadas, quedando dichos Informes a disposicin de la Agencia de Proteccin de Datos.
LOPD
Pgina 54 de 60
Creado el 11/12/06
E) Control de acceso fsico (art.19). Establece el Reglamento que exclusivamente el personal autorizado en el Documento de Seguridad podr tener acceso a los locales en donde se encuentren ubicados los sistemas de informacin con datos de carcter personal. Este control de acceso fsico deber ser activado para los denominados Centros de Procesamiento de Datos o aquellas salas en las que se ubiquen los Servidores Centrales. Aunque el Reglamento no establece que tipo de medidas de seguridad debern ser implantadas para controlar el acceso fsico, como mnimo, sern las siguientes: - Acceso restringido a personal autorizado, mediante claves, llaves o tarjetas electrnicas. -Sistemas redundantes de alimentacin. -Sistemas de refrigeracin. -Sistemas contra-incendios especficos para equipos electrnicos. -Armarios ignfugos. Adems, deber incorporarse al documento de Seguridad un listado, debidamente actualizado, de las personas autorizadas para acceder a este tipo de ubicaciones. F) Gestin de Soportes (art.20). Establece el Reglamento que deber de establecerse un sistema de registro de entrada de soportes informticos que permita, directa e indirectamente, conocer el tipo de soporte, la fecha y hora, el emisor, el nmero de soportes, el tipo de informacin que contienen, la forma de envo y la persona responsable de la recepcin que deber estar debidamente autorizada. Igualmente, se dispondr de un sistema de registro de salida de soportes informticos que permita, directa o indirectamente, conocer el tipo de soporte, la fecha y hora, el destinatario, el nmero de soportes, el tipo de informacin que contienen, la forma de envo y la persona responsable de la entrega que deber estar debidamente autorizada. As, incorporando estas medidas a las indicadas en el art.13 para los ficheros de Nivel Bsico encontramos que debern establecerse dos tipos de Registros para los soportes informticos; uno de entrada y otro de salida. Esta medida supone la implantacin por el responsable del fichero de nuevos procedimientos y normas de gestin y calidad, estableciendo un canal de autorizaciones para la entrada/salida de soportes informticos que contengan datos de carcter personal de nivel medio. El Registro de Entrada de soporte informticos deber permitir conocer: a) Tipo de soporte. b) Fecha y hora. c) Emisor.
LOPD
Pgina 55 de 60
Creado el 11/12/06
d) Nmero de soportes. e) Tipo de informacin que contienen. f) Forma de envo. g) Persona responsable de la recepcin que deber estar autorizada. El Registro de Salida de soportes Informticos deber permitir conocer: a) Tipo de soporte. b) Fecha y hora. c) Destinatario. d) Nmero de soportes. e) Tipo de informacin que contienen. f) Forma de envo. g) Persona responsable de la entrega que deber estar autorizada. Estos Registros y el procedimiento de gestin y autorizacin de entrada/salida debern quedar definidos en el Documento de Seguridad, incorporndose un modelo de autorizacin de entrada y salida de soportes como anexos, siendo las autorizaciones emitidas conservadas junto con toda la documentacin relativa a los ficheros. Adems, el Reglamento establece en el apartado 3 del art.20 que cuando un soporte vaya a ser desechado o reutilizado, se adoptarn las medidas necesarias para impedir cualquier recuperacin posterior de la informacin almacenada en l, previamente a que se proceda a su baja en el inventario. Cuando los soportes vayan a salir fuera de los locales en que se encuentren ubicados los ficheros como consecuencia de operaciones de mantenimiento, se adoptarn las medidas necesarias para impedir cualquier recuperacin indebida de la informacin almacenada en ellos; principalmente a travs de mecanismos de cifrado de los datos.
LOPD
Pgina 56 de 60
Creado el 11/12/06
LOPD
Pgina 57 de 60
Creado el 11/12/06
Para el tratamiento de datos de carcter personal de nivel alto se establecen medidas de seguridad especficas dada la especial relevancia de esta tipologa de datos (salud, creencias, filiacin sindical, religin y sexo, principalmente). Estas medidas podemos resumirlas en: La utilizacin de mecanismos de encriptacin y cifrado de los datos. El registro, control y almacenamiento de logs de accesos a los ficheros. El almacenamiento de copia de seguridad en ubicacin distinta.
LOPD
Pgina 58 de 60
Creado el 11/12/06
e) Y en el caso que el acceso haya sido autorizado, ser preciso guardar la informacin que permita identificar el registro accedido. Los mecanismos que permiten el registro de los datos detallados anteriormente estarn bajo el control directo del responsable de seguridad competente sin que se deba permitir, en ningn caso, la desactivacin de los mismos. El perodo mnimo de conservacin de los datos registrados ser de dos aos. Dado que el volumen de los datos a conservar puede ser muy alto, muchas empresas utilizan para cumplir con esta medida copias de seguridad especficas donde almacenan estos registros. Adems, el Reglamento establece que el responsable de seguridad competente se encargar de revisar peridicamente la informacin de control registrada y elaborar un informe de las revisiones realizadas y los problemas detectados al menos una vez al mes. Estos informes debern ser conservados junto con el Documento de Seguridad.
LOPD
Pgina 59 de 60
Creado el 11/12/06
LOPD
Pgina 60 de 60