Proteccion de datos Valencia

¿Qué es la ley orgánica de protección de datos (LOPD 15/1.999)?

 

Esta Ley tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente su honor e intimidad personal y familiar. La LOPD establece las obligaciones que los responsables de los ficheros y los encargados de los tratamientos, tanto de organismos públicos como privados, han de cumplir para garantizar la observancia del derecho a la protección de los datos de carácter personal.
En desarrollo del artículo 18.4 CE, que dispone que la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos, y como transposición al ordenamiento jurídico español de la Directiva 95/46/CE (Directiva sobre protección de datos), fue aprobada la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD).

 

¿Quién debe cumplir con la LOPD?

 

La LOPD impone una serie de obligaciones al responsable de fichero, entendiendo por tal “la persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decide sobre la finalidad, contenido y uso del tratamiento”.Esto significa que cualquier autónomo o empresa (independientemente de cual sea su forma jurídica), en la medida que trate datos de carácter personal p.ej. de clientes, empleados, huéspedes, socios, alumnos, etc. queda sometido a las disposiciones de la LOPD.Y estaremos tratando datos personales siempre que una persona nos facilite sus datos personales cuando se matricula en un curso en una academia, cuando se apunta al gimnasio, cuando solicita participar en un concurso, cuando reserva un vuelo o un hotel, cuando pide hora para una consulta médica, cuando busca trabajo, cada vez que efectúa un pago con su tarjeta de crédito, cuando navega por Internet…
La LOPD será de aplicación independientemente de la forma en que tengamos organizados esos datos, ya sean ficheros automatizados o no automatizados (en papel).

Desde la perspectiva del sector al que nos dirigimos, de manera esquemática, la LOPD impone al empresario, en su condición de responsable de fichero, una serie de obligaciones:

  • Asegurarse de que los datos sean adecuados y veraces, obtenidos lícita y legítimamente y tratados de modo proporcional a la finalidad para la que fueron recabados.
  • Garantizar el cumplimiento de los deberes de secreto y seguridad.
  • Informar a los titulares de los datos personales en la recogida de éstos.
  • Obtener previamente el consentimiento para el tratamiento de los datos personales, incluido las cesiones de datos a terceros.
  • Facilitar y garantizar el ejercicio de los derechos de oposición al tratamiento, acceso, rectificación y cancelación.
  • Asegurar que en sus relaciones con terceros que le presten servicios, que comporten el acceso a datos personales, se cumpla lo dispuesto en la LOPD.
  • Cumplir, cuando proceda, con lo dispuesto en la legislación sectorial que le sea de aplicación.

 

Medidas de seguridad

 

El Responsable de ficheros debe adoptar unas medidas de índole técnica que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado.

Estas medidas varían en función del nivel de seguridad asignado a los ficheros.

Lo habitual en el caso de PYMEs es tener una administración de empleados, cuya nómina, contrato o partes de accidentes pueden incluir datos de carácter personal de nivel alto.

Tipos de ficheros:

  • Nivel básico: es cualquier conjunto de datos que se refieren a una persona identificada o identificable. : nombre, apellidos, teléfono,…
  • Nivel medio: incluye datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros y los servicios de solvencia y crédito.
  • Nivel alto: incluye datos de ideología, religión, creencias, origen racial, salud o vida sexual, así como los recabados para fines policiales sin consentimiento de las personas afectadas.

 

Obligación de formar y controlar al personal

 

El Responsable de ficheros, en su Documento de Seguridad, debe definir las funciones y obligaciones de las personas con acceso a los datos de carácter personal y a los sistemas de información.
Asegurarse de que el personal conozca las normas de seguridad que les afectan y las consecuencias de incumplirlas, así como de que conozcan el deber de guardar secreto profesional.

 

Infracciones y sanciones

 

Son ejemplos de infracciones leves:

  • No atender, por motivos formales, la solicitud del interesado de rectificación o cancelación de los datos personales objeto de tratamiento cuando legalmente proceda.
  • No solicitar la inscripción del fichero de datos de carácter personal en el Registro General de Protección de Datos, cuando no sea constitutivo de infracción grave.
  • Proceder a la recogida de datos de carácter personal de los propios afectados sin proporcionarles la información que señala el artículo 5 de la presente Ley.

Son ejemplos de infracciones graves:

  • Proceder a la recogida de datos de carácter personal sin recabar el consentimiento expreso de las personas afectadas, en los casos en que éste sea exigible.
  • El impedimento o la obstaculización del ejercicio de los derechos de acceso y oposición y la negativa a facilitar la información que sea solicitada.
  • Mantener datos de carácter personal inexactos o no efectuar las rectificaciones o cancelaciones de los mismos que legalmente procedan cuando resulten afectados los derechos de las personas que la presente Ley ampara.
  • La vulneración del deber de guardar secreto sobre los datos de carácter personal incorporados a ficheros que contengan datos relativos a la 27.Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen.

Son ejemplos de infracciones muy graves:

  • La recogida de datos en forma engañosa y fraudulenta.
  • La comunicación o cesión de los datos de carácter personal, fuera de los casos en que estén permitidas.
  • No cesar en el uso ilegítimo de los tratamientos de datos de carácter personal cuando sea requerido para ello por el Director de la Agencia de Protección de Datos o por las personas titulares del derecho de acceso.
  • No atender, u obstaculizar de forma sistemática el ejercicio de los derechos de acceso, rectificación, cancelación u oposición.
  • No atender de forma sistemática el deber legal de notificación de la inclusión de datos de carácter personal en un fichero.

Incumplir la Ley se sanciona:

  • De 601,01 a 60.101,21 euros para infracciones leves
  • De 60.101,21 a 300.506,05 euros para infracciones graves
  • De 300.506,05 a 601.012,10 euros para infracciones muy graves

 

 

 

 

 

 

Enlaces de interés

 

Términos LOPD, algunas definiciones

Datos de carácter personal
Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables. (Nombre, apellidos y dirección, DNI, correo electrónico personalizado, etc).

Tratamiento de datos

Operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.

Responsable de seguridad

Persona o personas a las que el responsable del fichero ha asignado formalmente la función de coordinar y controlar las medidas de seguridad aplicables.

Consentimiento del interesado

Toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernan.

Fuentes accesibles al público

Aquellos ficheros cuya consulta puede ser realizada, por cualquier persona, no impedida por una norma limitativa o sin más exigencia que, en su caso, el abono de una contraprestación. Tienen la consideración de fuentes de acceso público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público los diarios y boletines oficiales y los medios de comunicación.

Fichero

Todo conjunto organizado de datos de carácter personal, cualquiera que fuera la forma o modalidad de su creación, almacenamiento, organización y acceso

Responsable del fichero o tratamiento

Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento de datos.

Afectado o interesado

Persona física titular de los datos que sean objeto del tratamiento.

Encargado del tratamiento

La persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento.

Cesión o comunicación de datos

Toda revelación de datos realizada a una persona distinta del interesado.

Datos accesibles al público

Datos que se encuentran a disposición del público en general, no impedida por cualquier norma limitativa, y están recogidos en medios tales como censos, anuarios, bases de datos públicas, repertorios de jurisprudencia, archivos de prensa, repertorios telefónicos o análogos, así como los datos publicados en forma de listas de personas pertenecientes a grupos profesionales que contengan únicamente los nombres, títulos, profesión, actividad, grados académicos, dirección e indicación de su pertenencia al grupo.

Incidencia

Cualquier anomalía que afecte o pudiera afectar a la seguridad de los datos.

Responsables de la seguridad de los datos

Responsable de Seguridad

El responsable de seguridad es la persona encargada de coordinar y controlar las medidas de seguridad aplicables.

Obligaciones del responsable de seguridad

  • Coordinar y controlar las medidas de seguridad establecidas en el documento de seguridad.
  • Verificar que los accesos a los sistemas de información a través de redes de comunicaciones garantizan un nivel de seguridad equivalente al correspondiente a los accesos en modo local.
  • Verificar que se aplican las medidas de seguridad oportunas sobre los ficheros temporales que contengan datos personales y que éstos se borran una vez terminada su utilización.
  • Comprobar, al menos trimestralmente, conjuntamente con el administrador del sistema, la validez de la lista de usuarios y las autorizaciones correspondientes.
  • Controlar la existencia y el cumplimiento de los procedimientos de control de acceso.
  • Habilitar y gestionar el registro de incidencias a disposición de todos los usuarios.
  • Habilitar y gestionar el registro de soportes para identificar, registrar y almacenar todos los soportes que contengan datos personales en los lugares habilitados para tal fin.
  • Gestionar ante el responsable del fichero las autorizaciones de salida de soportes que contengan datos de carácter personal.
  • Realizar las copias de respaldo y recuperación de los datos de carácter personal. Comprobar trimestralmente los procedimientos aplicados para realizar las copias de seguridad.

Administrador
Persona a la que el responsable del fichero ha asignado la función de garantizar la seguridad de los datos que se procesan.

Obligaciones del administrador

  • Colaborar con el responsable de seguridad en la implantación y puesta en marcha de las medidas de seguridad establecidas en el documento de seguridad.
  • Proponer y desarrollar estándares y procedimientos relacionados con la seguridad de los sistemas de información y los datos personales.
  • Gestionar los perfiles de usuarios de los sistemas informáticos y los accesos de cada uno a los sistemas de información.
  • Dar soporte a los usuarios en materia de seguridad. Implantar equipos, dispositivos y paquetes relacionados con la seguridad física y lógica de los sistemas informáticos.
  • Controlar y realizar el seguimiento de la seguridad física y lógica de los sistemas informáticos.
UsuariosPersonas que participan en alguna fase del tratamiento de los datos personales que se encuentran accesibles en los sistemas de información.

Obligaciones de los usuarios

  • Confirmar por escrito el conocimiento y el compromiso de cumplimiento de las normas y procedimientos establecidos en la política de seguridad.
  • Utilizar los datos personales a los que tenga acceso, en virtud de sus funciones, únicamente para el desempeño de la actividad laboral.
  • Guardar el secreto y la confidencialidad de toda la información a la que tenga acceso.
  • Cualquier trabajador que reciba un escrito, fotocopia remitida por correo, tele copia o cualquier otro procedimiento de notificación, en el que una persona física comunique su intención de ejercitar los derechos de acceso, rectificación o cancelación, deberá comunicarlo en el plazo de tiempo más breve posible, máximo de 24 horas, al responsable de seguridad o, en su defecto, al responsable del fichero.
  • Abstenerse de borrar, destruir, dañar, alterar o modificar cualquier información relacionada con datos personales contenidos en los sistemas de información sin la autorización expresa del responsable del fichero, salvo que le haya sido asignada dicha función.
  • Abstenerse de realizar copias, transmisiones, comunicaciones o cesiones de cualquier información relacionada con datos de carácter personal contenidos en los sistemas de información sin la autorización expresa del responsable del fichero, salvo que le haya sido asignada dicha función.
  • Los usuarios están obligados a informar sobre cualquier anomalía, error, imprecisión o fallo que detecten en los datos contenidos en los sistemas de información, comunicando rápidamente la incidencia correspondiente.
  • Los usuarios tienen prohibido el acceso a los sistemas de información desde fuera de los locales de la misma, sin la autorización expresa del responsable del fichero.