Principales definiciones LOPD y resto legislación
Datos de carácter personal: Cualquier información concerniente a personas físicas identificadas o identificables. Así la Agencia de Protección de Datos (APD) ha aclarado dudas sobre los ficheros de personas jurídicas que contienen datos de personas físicas.
Datos de contactos de empresa: se consideran protegidos bajo el ámbito de la LOPD, porque normalmente contienen datos de personas físicas.
Datos de correo electrónico: El dato está protegido si en la configuración de la dirección se ha utilizado el nombre y apellidos del usuario, no en el caso en que el usuario no sea identificable.
Datos de imagen y sonido: siempre que identifiquen o puedan identificar a una persona física entran en el ámbito de protección especial de la LOPD
Fichero: Todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso. Es indiferente que sea en papel o soporte informático o el tipo de programa que se use, bases de datos, hoja excel o archivadores.
Tratamiento de datos: Cualquier utilización que se haga del “dato”, desde su recogida hasta su cancelación o bloqueo.
Responsable del fichero: Cualquier persona física o jurídica que decida sobre la finalidad, contenido y uso del mismo.
Afectado o interesado: Cualquier persona física cuyos datos son tratados.
Procedimiento de disociación: Cualquier tratamiento que separe el dato de su titular, de forma que no sea identificado o identificable.
Encargado del tratamiento: Cualquier persona física o jurídica que trate los datos por cuenta del responsable del fichero.
Consentimiento del interesado: Cualquier manifestación, libre, inequívoca, específica e informada prestada por el titulas de los datos.
Cesión o comunicación de los datos: Toda comunicación de datos a persona distinta del interesado.
Fuentes accesibles al público: Aquellas a las que puede acceder cualquier persona, en particular, el censo promocional, los repertorios telefónicos, listas de personas pertenecientes a grupos profesionales, los diarios, boletines oficiales y medios de comunicación. Internet no tiene la consideración de medio de comunicación.
Bloqueo de datos: Identificación y reserva de datos con el fin de impedir su tratamiento.
Identificación del afectado: Cualquier elemento que permita determinar directa o indirectamente la identidad física, fisiológica, económica, cultural o social de la persona física afectada.
Contenido y aplicación de la LOPD
El objeto de la LOPD es garantizar y proteger, las libertades públicas y los derechos fundamentales de las personas físicas, en particular el derecho al honor e intimidad personal y familiar. Por tanto es aplicable solo a las personas físicas y no a las jurídicas que carecen de dicho derecho a la intimidad.
La duda se plantea con respecto a los datos personales de profesionales liberales, autónomos o comerciantes. En la medida en que se traten en el ámbito de su actividad comercial, no están cubiertos, por tanto a contrario, fuera de dicho ámbito quedan plenamente protegidos. También quedan excluidos del ámbito de aplicación de la LOPD, los ficheros de carácter personal o doméstico (agendas), los ficheros sometidos a normas sobre protección de materias clasificadas, los relativos a terrorismo y delincuencia.
Ideas básicas de la LOPD
Calidad de los datos (art.4 LOP): Los datos deben adecuarse a la finalidad para los que fueron conseguidos, ser exactos, no mantenerse más allá de su uso normal y ser recogidos de forma lícita. La exactitud de los datos no se extiende a los cambios que no pudieron ser conocidos por el responsable del fichero, por ejemplo cambio de dirección, pero si deberán ser corregidos una vez notificado por el titular.
Derecho de información (art.5 LOP): Cuando se recaben datos de un interesado, este deberá saber de la existencia del fichero, de su finalidad y de los destinatarios. De la obligatoriedad o no de facilitarlos, así como de su derecho de acceso, rectificación, cancelación y oposición. Por último deberá conocer la identidad y dirección del responsable del tratamiento o de su representante.
Cuando los datos sean recabados de terceros, el responsable tendrá tres meses para informar al interesado. Si proceden de fuentes públicas, se deberá entonces informar del origen de los mismos y del responsable del fichero.
Consentimiento inequívoco del afectado (art. 6 LOPD): Las exclusiones vienen tasadas en el art 6.2, indicando que no será necesario, cuando se recojan los datos para funciones propias de las administraciones públicas, cuando se refieran a las partes de un contrato o precontrato, de una relación laboral o administrativa y sean necesarias para su mantenimiento y cumplimiento. Esto no impide que el consentimiento sea revocado por su titular.
Datos especialmente protegidos (art. 7 LOP): Es preciso el consentimiento expreso y por escrito para recabar los datos relativos ideología, afiliación política y sindical, religión, salud, vida sexual y origen racial, salvo que se trate de un partido político, sindicato, asociación o fundación, o en el caso de la salud sea para prestar asistencia sanitaria.
Seguridad de los datos (art. 9 LOPD): El responsable del fichero y en su caso el encargado del tratamiento adoptarán las medidas físicas y tecnológicas apropiadas (o reglamentariamente establecidas) para garantizar la seguridad de los mismos en función de su importancia y sensibilidad.
Obligación de secreto (art.10 LOPD): El responsable del fichero y cualquier persona que tenga acceso a su tratamiento tienen una obligación de secreto profesional con respecto a los datos.
Comunicación de los datos a terceros (art.11 LOPD): Solo podrán cederse datos en cumplimiento de los fines directamente relacionados con las funciones legitimas del cedente y del cesionario, con el previo consentimiento informado del interesado. Las principales excepciones son cuando se trate de cesión de datos públicos o ligados a una relación contractual, entre administraciones públicas y afines.
La cesión entre empresas de un mismo grupo, se consideran cesión a terceros y por tanto sujetas a las normas de la LOPD.
Cesión de datos para la prestación de un servicio (art. 12 LOP): No se considera cesión de datos, cuando mediante contrato, el responsable del tratamiento de datos los cede a un encargado para la realización de un servicio. En el contrato se deberá especificar, la finalidad del servicio, prohibición de cederlo a terceros, obligación de cumplir con las instrucciones del responsable, las medidas de seguridad a adoptar y la obligación de devolver o destruir los datos y soportes.
Derechos de los interesados (art.13 a 19 LOPD):
Derecho de impugnación de valoraciones: De especial relevancia para las operaciones de aceptación o denegación de créditos, el titular podrá obtener información sobre los criterios de valoración y el programa utilizado en el tratamiento de datos realizado para adoptar la decisión e impugnar los actos administrativos o decisiones privadas que se basen en una valoración de sus datos privados.
Derecho de consulta al Registro General de Protección de Datos.
Derecho de acceso: Cualquier titular tiene derecho de forma gratuita a acceder a sus datos.
Derecho de rectificación y cancelación: En caso de ejercitarse el derecho de rectificación, este deberá ejecutarse en 10 días. En caso de cancelación, los datos quedarán bloqueados de forma que no puedan ser usados, durante el tiempo mínimo que las legislaciones específicas así lo indiquen, 15 años para datos de clientes, 6 años para datos de proveedores y suministradores y 5 años para datos de empleados.
Derecho de oposición: Es un derecho que asiste a cualquier titular salvo que alguna ley establezca lo contrario.
Inscripción de los ficheros: Todo fichero conteniendo datos de personas físicas, organizado de forma lógica, ya sea en soporte informático o en papel (a partir del 24 de Octubre de 2007), así como sus modificaciones y supresiones deben ser inscritos en el Registro General de Protección de Datos. Con ello se persigue un conocimiento público de los mismos, facilitar los derechos de los titulares y ejercitar la labor supervisora de la APD.
Infracciones y sanciones de ficheros de titularidad privada (art. 44 y 45 LOP)
Infracciones leves, multas de 600 € a 60.000€
-
No atender, por motivos formales, la solicitud del interesado de rectificación o cancelación de los datos personales objeto de tratamiento cuando legalmente proceda.
-
No proporcionar la información que solicite la Agencia Española de Protección de Datos en el ejercicio de las competencias que tiene legalmente atribuidas, en relación con aspectos no sustantivos de la protección de datos.
-
No solicitar la inscripción del fichero de datos de carácter personal en el Registro General de Protección de Datos, cuando no sea constitutivo de infracción grave. d. Proceder a la recogida de datos de carácter personal de los propios afectados sin proporcionarles la información que señala el artículo 5 de la presente Ley.
-
Incumplir el deber de secreto establecido en el artículo 10 de esta Ley, salvo que constituya infracción grave.
Infracciones graves, multas de 60.000 € a 300.000 €
-
Proceder a la creación de ficheros de titularidad pública o iniciar la recogida de datos de carácter personal para los mismos, sin autorización de disposición general, publicada en el Boletín Oficial del Estado o Diario oficial correspondiente.
-
Proceder a la creación de ficheros de titularidad privada o iniciar la recogida de datos de carácter personal para los mismos con finalidades distintas de las que constituyen el objeto legítimo de la empresa o entidad.
-
Proceder a la recogida de datos de carácter personal sin recabar el consentimiento expreso de las personas afectadas, en los casos en que éste sea exigible.
-
Tratar los datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en la presente Ley o con incumplimiento de los preceptos de protección que impongan las disposiciones reglamentarias de desarrollo, cuando no constituya infracción muy grave.
-
El impedimento o la obstaculización del ejercicio de los derechos de acceso y oposición y la negativa a facilitar la información que sea solicitada.
-
Mantener datos de carácter personal inexactos o no efectuar las rectificaciones o cancelaciones de los mismos que legalmente procedan cuando resulten afectados los derechos de las personas que la presente Ley ampara.
-
La vulneración del deber de guardar secreto sobre los datos de carácter personal incorporados a ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros, prestación de servicios de solvencia patrimonial y crédito, así como aquellos otros ficheros que contengan un conjunto de datos de carácter personal suficientes para obtener una evaluación de la personalidad del individuo.
-
Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen.
-
No remitir a la Agencia Española de Protección de Datos las notificaciones previstas en esta Ley o en sus disposiciones de desarrollo, así como no proporcionar en plazo a la misma cuantos documentos e informaciones deba recibir o sean requeridos por aquel a tales efectos.
-
La obstrucción al ejercicio de la función inspectora.
-
No inscribir el fichero de datos de carácter personal en el Registro General de Protección Datos, cuando haya sido requerido para ello por el Director de la Agencia Española de Protección de Datos.
-
Incumplir el deber de información que se establece en los artículos 5, 28 y 29 de esta Ley, cuando los datos hayan sido recabados de persona distinta del afectado.
Infracciones muy graves, con multas de 300.000 € a 600.000 €
-
La recogida de datos en forma engañosa y fraudulenta.
-
La comunicación o cesión de los datos de carácter personal, fuera de los casos en que estén permitidas.
-
Recabar y tratar los datos de carácter personal a los que se refiere el apartado 2 del artículo 7 cuando no medie el consentimiento expreso del afectado; recabar y tratar los datos referidos en el apartado 3 del artículo 7 cuando no lo disponga una ley o el afectado no haya consentido expresamente, o violentar la prohibición contenida en el apartado 4 del artículo 7.
-
No cesar en el uso ilegítimo de los tratamientos de datos de carácter personal cuando sea requerido para ello por el Director de la Agencia Española de Protección de Datos o por las personas titulares del derecho de acceso.
-
La transferencia temporal o definitiva de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento, con destino a países que no proporcionen un nivel de protección equiparable sin autorización del Director de la Agencia Española de Protección de Datos.
-
Tratar los datos de carácter personal de forma ilegítima o con menosprecio de los principios y garantías que les sean de aplicación, cuando con ello se impida o se atente contra el ejercicio de los derechos fundamentales.
-
La vulneración del deber de guardar secreto sobre los datos de carácter personal a que hacen referencia los apartados 2 y 3 del artículo 7, así como los que hayan sido recabados para fines policiales sin consentimiento de las personas afectadas.
-
No atender, u obstaculizar de forma sistemática el ejercicio de los derechos de acceso, rectificación, cancelación u oposición.
-
No atender de forma sistemática el deber legal de notificación de la inclusión de datos de carácter personal en un fichero.
Medidas de seguridad exigidas (art.9 LOPD y RD 994/1999)
El responsable del fichero y en su caso el encargado del tratamiento deberán adoptar las medidas de protección necesarias tanto a nivel local como informático para asegurar la confidencialidad, integridad y disponibilidad de los datos.
El Real Decreto 994/1999 es el que establece las reglas al respecto, en principio solo para los ficheros automatizados, pero no hay que olvidar que la Disposición Adicional Primera de la LOPD establece que dicha legislación entra en vigor para los ficheros en papel a los 12 años de la publicación de la Ley, es decir el 24 de Octubre de 2007.
El mencionado RD establece tres niveles de seguridad, que se van superponiendo en función del tipo de datos que se encuentran en los ficheros:
Nivel básico, cualquier fichero que contenga datos personales.
Nivel medio, los que además contengan datos relativos a infracciones administrativas o penales, Hacienda Pública, servicios financieros y solvencia patrimonial y crédito.
Nivel alto, los que además contengan datos sobre ideología, religión, creencias, origen racial, salud, vida sexual y datos con fines policiales sin el consentimiento de las personas afectadas.
Medidas de seguridad de nivel básico
El responsable del fichero elaborará e implantará la normativa de seguridad mediante un documento de obligado cumplimiento para el personal. El documento deberá contener, como mínimo, los siguientes aspectos:
- Ámbito de aplicación del documento con especificación detallada de los recursos protegidos.
- Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar el nivel de seguridad exigido.
- Funciones y obligaciones del personal.
- Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan.
- Procedimiento de notificación, gestión y respuesta ante las incidencias.
- Los procedimientos de realización de copias de respaldo y de recuperación de los datos.
El documento deberá mantenerse en todo momento actualizado. Además deberá tenerse en cuenta:
Existencia de un Registro de incidencias. en el que se haga constar el tipo de incidencia, el momento en que se ha producido, la persona que realiza la notificación, a quién se le comunica y los efectos que se hubieran derivado de la misma.
Que exista una relación actualizada de usuarios que tengan acceso autorizado al sistema de información y de establecer procedimientos de identificación y autenticación para dicho acceso. Cuando el mecanismo de autenticación se base en la existencia de contraseñas existirá un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad. Las contraseñas se cambiarán con la periodicidad que se determine en el documento de seguridad.
Los usuarios tendrán acceso autorizado únicamente a aquellos datos y recursos que precisen para el desarrollo de sus funciones. Exclusivamente el personal autorizado para ello en el documento de seguridad podrá conceder, alterar o anular el acceso autorizado sobre los datos y recursos, conforme a los criterios establecidos por el responsable del fichero.
Los soportes informáticos que contengan datos de carácter personal deberán permitir identificar el tipo de información que contienen, ser inventariados y almacenarse en un lugar con acceso restringido al personal autorizado para ello en el documento de seguridad. La salida de soportes informáticos que contengan datos de carácter personal, fuera de los locales en los que esté ubicado el fichero, únicamente podrá ser autorizada por el responsable del fichero.
Copias de respaldo y recuperación al menos semanalmente, salvo que en dicho período no se hubiera producido ninguna actualización de los datos. El responsable de fichero se encargará de verificar la definición y correcta aplicación de los procedimientos de realización de copias de respaldo y de recuperación de los datos.
Medidas de seguridad de nivel medio
Además de las de nivel básico, el documento de seguridad deberá identificar al responsable de seguridad, los controles periódicos del sistema y las medidas a adoptar con los soportes desechados o reutilizados.
También se establece la obligación de someterse a una auditoria al menos bianual.
Además deberá tenerse en cuenta:
Se establecerá un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado.
Exclusivamente el personal autorizado en el documento de seguridad podrá tener acceso a los locales donde se encuentren ubicados los sistemas de información con datos de carácter personal.
En el Registro de incidencias deberán consignarse, además, los procedimientos realizados de recuperación de los datos, indicando la persona que ejecutó el proceso, los datos restaurados y, en su caso, qué datos ha sido necesario grabar manualmente en el proceso de recuperación. Será necesaria la autorización por escrito del responsable del fichero para la ejecución de los procedimientos de recuperación de los datos.
Medidas de seguridad de nivel alto
Además de lo establecido en los apartados anteriores, se establecen las siguientes exigencias:
Distribución de soportes. La distribución de los soportes que contengan datos de carácter personal se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que dicha información no sea inteligible ni manipulada durante su transporte.
Registro de accesos:
-
De cada acceso se guardarán, como mínimo, la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado.
-
En el caso de que el acceso haya sido autorizado, será preciso guardar la información que permita identificar el registro accedido.
-
Los mecanismos que permiten el registro de los datos detallados en los párrafos anteriores estarán bajo el control directo del responsable de seguridad competente sin que se deba permitir, en ningún caso, la desactivación de los mismos.
-
El período mínimo de conservación de los datos registrados será de dos años.
-
El responsable de seguridad competente se encargará de revisar periódicamente la información de control registrada y elaborará un informe de las revisiones realizadas y los problemas detectados al menos una vez al mes.
Copias de respaldo y recuperación. Deberá conservarse una copia de respaldo y de los procedimientos de recuperación de los datos en un lugar diferente de aquel en que se encuentren los equipos informáticos que los tratan cumpliendo en todo caso, las medidas de seguridad exigidas en este Reglamento.
Telecomunicaciones. La transmisión de datos de carácter personal a través de redes de telecomunicaciones se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros.
Archivos de papel
LA DISPOSICIÓN ADICIONAL PRIMERA de la LOPD. Ficheros preexistentes, establece:
Los ficheros y tratamientos automatizados inscritos o no en el Registro General de Protección de Datos deberán adecuarse a la presente Ley Orgánica dentro del plazo de tres años (estos plazos fueron ampliados en algunos casos), a contar desde su entrada en vigor (24 de octubre de 1995).
En dicho plazo, los ficheros de titularidad privada deberán ser comunicados a la Agencia Española de Protección de Datos y las Administraciones públicas, responsables de ficheros de titularidad pública, deberán aprobar la pertinente disposición de regulación del fichero o adaptar la existente. En el supuesto de ficheros y tratamientos no automatizados (PAPEL), su adecuación a la presente Ley Orgánica, y la obligación prevista en el párrafo anterior deberán cumplimentarse en el plazo de doce años a contar desde el 24 de octubre de 1995, (es decir, el 24 de octubre de 2007) sin perjuicio del ejercicio de los derechos de acceso, rectificación y cancelación por parte de los afectados.
Siendo cierto que no existe normativa reglamentaria que determine cuales son las medidas de protección específica en función del tipo de ficheros que se tengan, nivel de protección básico, medio o alto, debemos entender por analogía con la reglamentación establecida para los ficheros automatizados, que deberán adoptarse medidas de distinta índole en función de su naturaleza.
No será lo mismo que una empresa tenga ficheros con datos básicos de sus clientes, nombre, dirección, cuenta bancaria, en donde probablemente sea suficiente con medidas lógicas de protección de un local y que los datos estén guardados en un archivador con llave, que el hecho de que una empresa tenga por ejemplo declaraciones de salud o historiales médicos de sus empleados o clientes, en cuyo caso el acceso a la información deberá estar especialmente restringido y protegido.
Por todo ello, y a falta de un reglamento específico, entendemos recomendable adoptar las medidas de protección análogas establecidas para ficheros automatizados (ver Medidas de seguridad exigidas art. 9 LOPD y RD 994/1999).
Fuente: www.seguroslopd.es en su sección Resumen LOPD.