Proteccion de datos Valencia
¿Qué es la ley orgánica de protección de datos (LOPD 15/1.999)?
¿Quién debe cumplir con la LOPD?
La LOPD será de aplicación independientemente de la forma en que tengamos organizados esos datos, ya sean ficheros automatizados o no automatizados (en papel).
Desde la perspectiva del sector al que nos dirigimos, de manera esquemática, la LOPD impone al empresario, en su condición de responsable de fichero, una serie de obligaciones:
- Asegurarse de que los datos sean adecuados y veraces, obtenidos lícita y legítimamente y tratados de modo proporcional a la finalidad para la que fueron recabados.
- Garantizar el cumplimiento de los deberes de secreto y seguridad.
- Informar a los titulares de los datos personales en la recogida de éstos.
- Obtener previamente el consentimiento para el tratamiento de los datos personales, incluido las cesiones de datos a terceros.
- Facilitar y garantizar el ejercicio de los derechos de oposición al tratamiento, acceso, rectificación y cancelación.
- Asegurar que en sus relaciones con terceros que le presten servicios, que comporten el acceso a datos personales, se cumpla lo dispuesto en la LOPD.
- Cumplir, cuando proceda, con lo dispuesto en la legislación sectorial que le sea de aplicación.
Medidas de seguridad
El Responsable de ficheros debe adoptar unas medidas de índole técnica que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado.
Estas medidas varían en función del nivel de seguridad asignado a los ficheros.
Lo habitual en el caso de PYMEs es tener una administración de empleados, cuya nómina, contrato o partes de accidentes pueden incluir datos de carácter personal de nivel alto.
Tipos de ficheros:
- Nivel básico: es cualquier conjunto de datos que se refieren a una persona identificada o identificable. : nombre, apellidos, teléfono,…
- Nivel medio: incluye datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros y los servicios de solvencia y crédito.
- Nivel alto: incluye datos de ideología, religión, creencias, origen racial, salud o vida sexual, así como los recabados para fines policiales sin consentimiento de las personas afectadas.
Obligación de formar y controlar al personal
Infracciones y sanciones
Son ejemplos de infracciones leves:
- No atender, por motivos formales, la solicitud del interesado de rectificación o cancelación de los datos personales objeto de tratamiento cuando legalmente proceda.
- No solicitar la inscripción del fichero de datos de carácter personal en el Registro General de Protección de Datos, cuando no sea constitutivo de infracción grave.
- Proceder a la recogida de datos de carácter personal de los propios afectados sin proporcionarles la información que señala el artículo 5 de la presente Ley.
Son ejemplos de infracciones graves:
- Proceder a la recogida de datos de carácter personal sin recabar el consentimiento expreso de las personas afectadas, en los casos en que éste sea exigible.
- El impedimento o la obstaculización del ejercicio de los derechos de acceso y oposición y la negativa a facilitar la información que sea solicitada.
- Mantener datos de carácter personal inexactos o no efectuar las rectificaciones o cancelaciones de los mismos que legalmente procedan cuando resulten afectados los derechos de las personas que la presente Ley ampara.
- La vulneración del deber de guardar secreto sobre los datos de carácter personal incorporados a ficheros que contengan datos relativos a la 27.Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen.
Son ejemplos de infracciones muy graves:
- La recogida de datos en forma engañosa y fraudulenta.
- La comunicación o cesión de los datos de carácter personal, fuera de los casos en que estén permitidas.
- No cesar en el uso ilegítimo de los tratamientos de datos de carácter personal cuando sea requerido para ello por el Director de la Agencia de Protección de Datos o por las personas titulares del derecho de acceso.
- No atender, u obstaculizar de forma sistemática el ejercicio de los derechos de acceso, rectificación, cancelación u oposición.
- No atender de forma sistemática el deber legal de notificación de la inclusión de datos de carácter personal en un fichero.
Incumplir la Ley se sanciona:
- De 601,01 a 60.101,21 euros para infracciones leves
- De 60.101,21 a 300.506,05 euros para infracciones graves
- De 300.506,05 a 601.012,10 euros para infracciones muy graves
Enlaces de interés
Protección de datos:
Sociedad de la información y comercio electrónico:
Firma digital:
Términos LOPD, algunas definiciones
Datos de carácter personal
Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables. (Nombre, apellidos y dirección, DNI, correo electrónico personalizado, etc).
Tratamiento de datos
Operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.
Responsable de seguridad
Persona o personas a las que el responsable del fichero ha asignado formalmente la función de coordinar y controlar las medidas de seguridad aplicables.
Consentimiento del interesado
Toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernan.
Fuentes accesibles al público
Aquellos ficheros cuya consulta puede ser realizada, por cualquier persona, no impedida por una norma limitativa o sin más exigencia que, en su caso, el abono de una contraprestación. Tienen la consideración de fuentes de acceso público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público los diarios y boletines oficiales y los medios de comunicación.
Fichero
Todo conjunto organizado de datos de carácter personal, cualquiera que fuera la forma o modalidad de su creación, almacenamiento, organización y acceso
Responsable del fichero o tratamiento
Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento de datos.
Afectado o interesado
Persona física titular de los datos que sean objeto del tratamiento.
Encargado del tratamiento
La persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento.
Cesión o comunicación de datos
Toda revelación de datos realizada a una persona distinta del interesado.
Datos accesibles al público
Datos que se encuentran a disposición del público en general, no impedida por cualquier norma limitativa, y están recogidos en medios tales como censos, anuarios, bases de datos públicas, repertorios de jurisprudencia, archivos de prensa, repertorios telefónicos o análogos, así como los datos publicados en forma de listas de personas pertenecientes a grupos profesionales que contengan únicamente los nombres, títulos, profesión, actividad, grados académicos, dirección e indicación de su pertenencia al grupo.
Incidencia
Cualquier anomalía que afecte o pudiera afectar a la seguridad de los datos.
Responsables de la seguridad de los datos
Responsable de Seguridad
El responsable de seguridad es la persona encargada de coordinar y controlar las medidas de seguridad aplicables.
Obligaciones del responsable de seguridad
- Coordinar y controlar las medidas de seguridad establecidas en el documento de seguridad.
- Verificar que los accesos a los sistemas de información a través de redes de comunicaciones garantizan un nivel de seguridad equivalente al correspondiente a los accesos en modo local.
- Verificar que se aplican las medidas de seguridad oportunas sobre los ficheros temporales que contengan datos personales y que éstos se borran una vez terminada su utilización.
- Comprobar, al menos trimestralmente, conjuntamente con el administrador del sistema, la validez de la lista de usuarios y las autorizaciones correspondientes.
- Controlar la existencia y el cumplimiento de los procedimientos de control de acceso.
- Habilitar y gestionar el registro de incidencias a disposición de todos los usuarios.
- Habilitar y gestionar el registro de soportes para identificar, registrar y almacenar todos los soportes que contengan datos personales en los lugares habilitados para tal fin.
- Gestionar ante el responsable del fichero las autorizaciones de salida de soportes que contengan datos de carácter personal.
- Realizar las copias de respaldo y recuperación de los datos de carácter personal. Comprobar trimestralmente los procedimientos aplicados para realizar las copias de seguridad.
Administrador
Persona a la que el responsable del fichero ha asignado la función de garantizar la seguridad de los datos que se procesan.
Obligaciones del administrador
- Colaborar con el responsable de seguridad en la implantación y puesta en marcha de las medidas de seguridad establecidas en el documento de seguridad.
- Proponer y desarrollar estándares y procedimientos relacionados con la seguridad de los sistemas de información y los datos personales.
- Gestionar los perfiles de usuarios de los sistemas informáticos y los accesos de cada uno a los sistemas de información.
- Dar soporte a los usuarios en materia de seguridad. Implantar equipos, dispositivos y paquetes relacionados con la seguridad física y lógica de los sistemas informáticos.
- Controlar y realizar el seguimiento de la seguridad física y lógica de los sistemas informáticos.
Obligaciones de los usuarios
- Confirmar por escrito el conocimiento y el compromiso de cumplimiento de las normas y procedimientos establecidos en la política de seguridad.
- Utilizar los datos personales a los que tenga acceso, en virtud de sus funciones, únicamente para el desempeño de la actividad laboral.
- Guardar el secreto y la confidencialidad de toda la información a la que tenga acceso.
- Cualquier trabajador que reciba un escrito, fotocopia remitida por correo, tele copia o cualquier otro procedimiento de notificación, en el que una persona física comunique su intención de ejercitar los derechos de acceso, rectificación o cancelación, deberá comunicarlo en el plazo de tiempo más breve posible, máximo de 24 horas, al responsable de seguridad o, en su defecto, al responsable del fichero.
- Abstenerse de borrar, destruir, dañar, alterar o modificar cualquier información relacionada con datos personales contenidos en los sistemas de información sin la autorización expresa del responsable del fichero, salvo que le haya sido asignada dicha función.
- Abstenerse de realizar copias, transmisiones, comunicaciones o cesiones de cualquier información relacionada con datos de carácter personal contenidos en los sistemas de información sin la autorización expresa del responsable del fichero, salvo que le haya sido asignada dicha función.
- Los usuarios están obligados a informar sobre cualquier anomalía, error, imprecisión o fallo que detecten en los datos contenidos en los sistemas de información, comunicando rápidamente la incidencia correspondiente.
- Los usuarios tienen prohibido el acceso a los sistemas de información desde fuera de los locales de la misma, sin la autorización expresa del responsable del fichero.