590 likes | 704 Views
Introducción a la Ley Orgánica de Protección de Datos (LOPD). www. cumpla con la ley .com. Santander Agosto 2008. Miguel Ángel Quirós miguel@quiros.com. Índice. ANTECEDENTES NORMATIVOS CONCEPTOS BÁSICOS OBLIGACIONES DEL RESPONSABLE DEL FICHERO INFRACCIONES Y SANCIONES
E N D
Introducción a la Ley Orgánica de Protección de Datos (LOPD) www.cumplaconlaley.com Santander Agosto 2008 Miguel Ángel Quirós miguel@quiros.com
Índice ANTECEDENTES NORMATIVOS CONCEPTOS BÁSICOS OBLIGACIONES DEL RESPONSABLE DEL FICHERO INFRACCIONES Y SANCIONES DERECHOS “ARCO” DE LOS CIUDADANOS OTROS DERECHOS DE LOS CIUDADANOS Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Antecedentes CONSTITUCIÓN ESPAÑOLA TÍTULO I. De los derechos y deberes fundamentales Artículo 10 Se reconoce el derecho a la dignidad de la persona … Artículo 18 1. Se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen. 2. El domicilio es inviolable. Ninguna entrada o registro podrá hacerse en él sin consentimiento del titular o resolución judicial, salvo en caso de flagrante delito. 3. Se garantiza el secreto de las comunicaciones y, en especial, de las postales, telegráficas y telefónicas, salvo resolución judicial. 4. La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos. Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Antecedentes • LEY ORGÁNICA 5/1992, de 29 de octubre, de regulación del tratamiento automatizado de los datos de carácter personal (LORTAD). • REAL DECRETO 994/1999, de 11 de junio, por el que se aprueba el reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal. • LEY ORGÁNICA 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD). • REAL DECRETO 195/2000, de 11 de febrero, por el que se establece el plazo para implantar las medidas de seguridad de los ficheros automatizados previstas por el Reglamento aprobado por el Real Decreto 994/1999, de 11 de junio. • REAL DECRETO 1720/2007, de 21 de diciembre, por el que se aprueba el reglamento de desarrollo de la ley Orgánica 15/1999 de la Ley Orgánica 15/1999 de 13 de diciembre, de protección de datos de carácter personal. Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Conceptos • Protección de datos • Datos de carácter personal • Fichero • Tratamiento de datos • Sujetos del tratamiento • Afectado o interesado • Responsable del fichero o tratamiento • Encargado del tratamiento • Responsable del seguridad • Usuario del fichero Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Conceptos ¿EN QUE CONSISTE LA PROTECCIÓN DE DATOS? Se trata de un derecho fundamental y, como tal, ha de ser respetado por todos. Salvaguarda del derecho al honor, la intimidad, y la propia imagen de las personas físicas ante el uso ilegítimo de sus datos de carácter personal. Garantizar al titular de los datos que los terceros, ya se trate de sector público o privado, tratarán sus datos personales con el respeto debido, de forma que aquél pueda tener un control sobre los mismos, y en todo momento sepa qué va a hacer quien trata sus datos, para qué los recaba, cómo los trata y para qué los utiliza o a quién se los cede o comunica. Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Conceptos • DATO DE CARÁCTER PERSONAL • Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables. • Si se recogen y tratan datos como el nombre, dirección postal, e-mail, teléfono, matrícula del coche, fotografía, huella digital, etc…, se están usando datos que identifican a una persona y por tanto se han de cumplir las prescripciones recogidas en la normativa referida anteriormente. • Excluidos del amparo otorgado por la normativa en cuestión: • Los datos concernientes a personas jurídicas • Los datos de personas físicas que presenten sus servicios a personas jurídicas (nombre y apellidos, las funciones o puestos desempeñados, la dirección postal o electrónica, el teléfono y el número de fax profesionales) • Los datos relativos a empresarios individuales, cuando hagan referencia a ellos en su calidad de comerciantes, industriales o navieros • Los datos referidos a personas fallecidas Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Conceptos • FICHERO • Todo conjunto organizado de datos de carácter personal, que permita el acceso a los datos con arreglo a los criterios determinados, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso. • No se consideran ficheros a estos efectos, los que poseen las personas físicas en el ejercicio de sus actividades exclusivamente personales o domesticas (por ejemplo, los datos de una agenda electrónica de uso doméstico) • TRATAMIENTO DE DATOS: • Cualquier operación o procedimiento técnico, sea o no automatizado, que permita la recogida, grabación, conservación, elaboración, modificación, consulta, utilización, modificación, cancelación, bloqueo o supresión, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias. • Es habitual que prácticamente para cualquier actividad sea necesario que los datos personales se recojan y utilicen en la vida cotidiana. • A modo de ejemplo: • Cuando se abre una cuenta en un banco • Cuando se matricula en un curso de idiomas • Cuando se reserva un vuelo o un hotel • Cuando se busca trabajo • Cuando se pide hora en una consulta médica Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Conceptos: Sujetos del tratamiento • RESPONSABLE DEL FICHERO • Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo que sólo o conjuntamente decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase materialmente. • Sobre el Responsable del fichero recaen las principales obligaciones establecidas por la LOPD y le corresponde velar por el cumplimiento de la Ley en su organización. • Así, el Responsable del fichero deberá: • Notificar los ficheros ante el Registro General de Protección de datos para que proceda a su inscripción • Asegurarse de que los datos sean adecuados y veraces, obtenidos lícita y legítimamente y tratados de modo proporcional a la finalidad para la que fueron recabados. • Garantizar el cumplimiento de los deberes de secreto y seguridad • Informar a los titulares personales en la recogida de éstos • Facilitar y garantizar el ejercicio de los derechos de acceso, rectificación, cancelación y oposición • Velar por el cumplimiento de las medidas de seguridad aplicables en función del tipo de datos que trate. Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Conceptos: Sujetos del tratamiento • Afectado o interesado: persona física titular de los datos que sean objeto del tratamiento. • Encargado del tratamiento: persona física o jurídica, pública o privada que, solo o conjuntamente con otros, trate datos de carácter personal por cuenta del responsable del fichero, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio. • Responsable del seguridad: Persona o personas a las que el Responsable del Fichero ha asignado formalmente la función de coordinar y controlar las medidas de seguridad aplicables. • Usuario del fichero: Sujeto autorizado para acceder a datos o recursos. Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Obligaciones del Responsable del Fichero Legalización Todos aquellos ficheros que contengan datos de carácter personal, objeto de tratamiento por una Organización, habrán de ser inscritos ante el Registro General de la Agencia Española de Protección de Datos. Legitimación El tratamiento de datos de carácter personal, en cualquier Organización, debe llevarse a cabo conforme a una serie de principios básicos recogidos en la normativa. Seguridad y Protección La normativa en materia de protección de datos de carácter personal, concretamente el RDLOPD, recoge la obligación de implantar una serie de medidas de carácter técnico y organizativo que garanticen la seguridad de los datos de carácter personal, medidas que habrán de ser adoptadas por la Organización que lleve a cabo un tratamiento de los datos. Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
LEGALIZACIÓN Obligación de registrar los ficheros ante la AEPD: Quién: el Responsable del Fichero debe notificar la creación de ficheros para su inscripción en el Registro General de Protección de Datos de la AEPD. Cuándo: con anterioridad al uso de los ficheros, cuando se produzcan cambios respecto a la inscripción inicial, o cuando cesa el uso del fichero. Para qué: permite que los titulares de los datos puedan conocer quienes son los responsables de los ficheros ante los que ejercitar directamente los derechos de acceso, rectificación, cancelación y oposición. Incumplimiento:supondría un a infracción leve o grave, quedando sujeto al régimen sancionador. Obligaciones del Responsable del Fichero: LEGALIZACIÓN Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
LEGITIMACIÓN El Responsable del Fichero ha de cumplir, y tener presentes, una serie de principios y preceptos; como son: Calidad Deber de información Consentimiento Datos especialmente protegidos Datos de salud Seguridad Deber de secreto Comunicación o cesión de datos Acceso por terceros Obligaciones del Responsable del Fichero: LEGITIMACIÓN Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Obligaciones del Responsable del Fichero CALIDAD DE LOS DATOS • Los datos de carácter personal: • Deben ser adecuados, pertinentes y no excesivos según ámbito y finalidades • No podrán ser usados para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos • Deben ser exactos y puestos al día • De ser inexactos o incompletos rectificación o cancelación de oficio (10 días hábiles) por RF • Deben ser tratados de forma leal y lícita. Se prohíbe la recogida de datos por medios fraudulentos, desleales o ilícitos. • Se procederá a su cancelación si no necesario o pertinente según finalidad • Excepción: Conservación para el cumplimiento de obligaciones legales o contractuales Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Obligaciones del Responsable del Fichero DEBER DE INFORMACIÓN Datos recabados del interesado directamente Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco de : • La existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de datos y de los destinatarios de la información • El carácter obligatorio o facultativo de su respuesta a las preguntas que le sean planteadas • Las consecuencias de la obtención de los datos o la negativa a suministrarlos • La posibilidad de ejercitar los derechos acceso, cancelación, rectificación y oposición • La identidad y dirección del responsable del fichero o de su representante Cuando se utilicen cuestionarios u otros documentos para la recogida, deben figurar de forma clara y legible los puntos anteriores. El deber de información deberá llevarse a través de un medio que permita acreditar su cumplimiento, debiendo conservarse mientras persista el tratamiento. Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Obligaciones del Responsable del Fichero DEBER DE INFORMACIÓN • Datos NO obtenidos directamente del interesado • El Responsable del Fichero debe informar al interesado de forma expresa, precisa e inequívoca, dentro de los 3 meses siguientes al registro de los datos, de los siguientes aspectos: • del contenido del tratamiento • de la procedencia de los datos • existencia fichero, finalidad recogida, destinatarios información • derechos acceso, cancelación, rectificación, oposición • identidad y dirección responsable o representante Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Obligaciones del Responsable del Fichero CONSENTIMIENTO • Como regla general, el CONSENTIMIENTO del interesado es IMPRESCINDIBLE • Los datos de carácter personal únicamente podrán ser objeto de tratamiento o cesión si el interesado hubiera prestado previamente su consentimiento para ello. • La solicitud del consentimiento debe ir referida a un tratamiento o serie de tratamientos concretos, con delimitación de la finalidad para los que se recaba, así como de las restantes condiciones que concurran en el tratamiento o serie de tratamientos • Corresponde al responsable del fichero la prueba de la existencia del consentimiento del afectado por cualquier medio de prueba admisible en derecho • En el caso de tratamiento de datos de menores de catorce años se requerirá el consentimiento de los padres o tutores. Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Obligaciones del Responsable del Fichero CONSENTIMIENTO • Forma de recabar el consentimiento • Expresa: Mediante la suscripción del correspondiente documento en el que se plasme la autorización o consentimiento de sus datos de carácter personal. • Tácita: El responsable podrá dirigirse al afectado informándole de los extremos del art. 5 LOPD, concediéndole un plazo de treinta días para manifestar su negativa al tratamiento, advirtiéndole que en el caso de no producirse, se entenderá que consiente el tratamiento. Debe facilitarse al interesado un medio sencillo y gratuito para manifestar su disconformidad con el tratamiento (p.ej. Teléfono o correo ordinario) • No se admite el consentimiento presunto. Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Obligaciones del Responsable del Fichero CONSENTIMIENTO • Existen diferentes tipos admisibles de consentimiento, en función del nivel de seguridad de los datos: • Consentimiento tácito: datos de nivel básico y medio (nombre y apellidos, DNI, fotografía, etc.) • Consentimiento expreso: datos de nivel alto, en cuanto a origen racial, salud y vida sexual. • Consentimiento expreso y por escrito: datos de nivel alto: Ideología, afiliación sindical, religión y creencias. Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Obligaciones del Responsable del Fichero CONSENTIMIENTO: Revocación • El afectado puede revocar el consentimiento para el tratamiento o cesión de sus datos • El RF deberá habilitar medios sencillos, gratuitos y que no impliquen ingreso alguno. (envío prefranqueado, número tel. gratuito u otros servicios de atención al publico) • No se consideran conformes el envío de cartas certificadas o envíos semejantes, la utilización de servicios de telecomunicaciones que impliquen tarificación adicional al afectado u otros medios que impliquen coste adicional al interesado. • Cese del tratamiento en diez días, si el interesado hubiera solicitado la confirmación del cese, se deberá responder expresamente a la solicitud. • Si los datos han sido cedidos, una vez revocado el consentimiento se deberá comunicar a los cesionarios en el plazo de diez días, para que estos cesen en el tratamiento de los datos. Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Obligaciones del Responsable del Fichero EXCEPCIONES A LA SOLICITUD PREVIA DE CONSENTIMIENTO • Existen una serie de supuestos en los que no es necesario el consentimiento del interesado para el tratamiento de sus datos; como son: • Cuando esté autorizado por una norma con rango de ley o una norma comunitaria • Cuando los datos se recojan para el ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de sus competencias • Cuando los datos se refieran a las partes contrato o precontrato de relación negocial, laboral o administrativa y necesarios para mantenimiento o cumplimiento • Cuando el tratamiento tenga por objeto proteger interés vital según art. 7.6 LOPD • Cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para satisfacción interés legítimo del Responsable del Fichero o Tercero al que se comuniquen los datos • Sin perjuicio del deber informativo !! Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Obligaciones del Responsable del Fichero DEBER DE SECRETO El Responsable del Fichero, así como quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal, están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo. Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Obligaciones del Responsable del Fichero COMUNICACIÓN DE DATOS • Es cualquier tratamiento de datos que suponga la revelación de los mismos a un Tercero, persona distinta del interesado. En este sentido, conviene tener presente que se considera cesión la simple consulta que un tercero realice a los datos aunque sea a distancia y sin creación de un fichero o tratamiento nuevo. • Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de los fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo CONSENTIMIENTO del interesado Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Obligaciones del Responsable del Fichero COMUNICACIÓN DE DATOS • EXCEPCIONES al consentimiento para la cesión de los datos del interesado a Terceros • Cesión autorizada por ley • Fuentes accesibles al público • la cesión responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control comporte la comunicación de los datos. • Destinatarios: Defensor del Pueblo, MF o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tienen atribuidas, así como a instituciones autonómicas análogas al Defensor del Pueblo o al Tribunal de Cuentas • Datos relativos a la salud necesarios para solucionar una urgencia • Entre administraciones públicas en determinados supuestos • Sin perjuicio del deber de información !!!!! El deber de información en supuestos de cesión es específico: • La finalidad a la que se destinarán los datos objeto de comunicación • El tipo de actividad desarrollada por el cesionario Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Obligaciones del Responsable del Fichero ACCESO A DATOS POR CUENTA DE TERCEROS • No es comunicación cuando el acceso a los datos es necesario para la prestación de un servicio al responsable del fichero. • Este tipo de tratamiento debe formalizarse a través de un contrato regulado por Ley, es el denominado Contrato de Acceso a Datos por cuenta de tercero; cuyo contenido mínimo es: • La obligación asumida por el encargado del tratamiento conforme: • sólo tratará los datos según las instrucciones del responsable • no los aplicará o utilizará con fin distinto al que figura en el contrato • y no los comunicará ni siquiera para su conservación a otras personas (SUBCONTRATACIÓN) • las medidas de seguridad que el encargado está obligado a cumplir Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Obligaciones del Responsable del Fichero ACCESO A DATOS POR CUENTA DE TERCEROS • Cumplida la prestación contractual: • los datos de carácter personal, así como cualquier soporte o documento en el que consten, deberán ser destruidos o devueltos al RF • No procederá la destrucción de los datos cuando exista una previsión legal que exija su conservación, en cuyo caso se procederá a la devolución, garantizando el RF dicha conservación • El encargado conservará debidamente bloqueados, los datos en tanto pudieran derivarse responsabilidades de su relación con el responsable del fichero. • El Encargado será considerado responsable y responderá de las infracciones en que incurra personalmente si destina los datos a otra finalidad, los comunica o los utiliza incumpliendo las estipulaciones del contrato. Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
El Responsable del Fichero deberá adoptar las medidas de índole técnica y organizativa necesarias para garantizar la seguridad de los datos de carácter personal: NIVELES DE SEGURIDAD MEDIDAS DE SEGURIDAD Obligaciones del Responsable del Fichero SEGURIDAD Y PROTECCIÓN Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
SEGURIDAD Y PROTECCIÓN Obligaciones del Responsable del Fichero TIPOS DE DATOS. NIVELES DE SEGURIDAD • Niveles de seguridad aplicables en atención al tipo de datos objeto de tratamiento: • NIVEL BÁSICO: Aplicable a todos los ficheros con datos de carácter personal, nombre, dirección, teléfono, correo electrónico... • NIVEL MEDIO: • Datos relativos a la comisión de infracciones administrativas o penales • Aquellos de los que sean responsables las administraciones tributarias, las entidades financieras y las Entidades Gestoras y Servicios Comunes de la Seguridad Social. • Ficheros sobre solvencia patrimonial o de crédito • Ficheros con datos suficientes para poder evaluar la personalidad del individuo. (Currículum, cuestionarios de evaluación del personal, etc...) • Ficheros de los que sean responsables los operadores que presten servicios de comunicaciones electrónicas. • NIVEL ALTO: • Datos de salud, ideología, afiliación sindical, religión, creencias, origen racial o étnico y vida sexual. • Datos recabados para fines policiales sin consentimiento de las personas afectadas • Datos de derivados de actos de violencia de género Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Obligaciones del Responsable del Fichero TIPOS DE DATOS. NIVELES DE SEGURIDAD • Podrán adoptarse las medidas de NIVEL BÁSICO: • Ficheros o tratamientos automatizados que: • Contengan datos relativos a ideología, afiliación sindical, religión o creencias, así como a salud • Transferencia dineraria a las entidades de las que los afectados sean miembros o asociados. • Contengan datos relativos a la salud: • Cumplimiento de deberes públicos • Datos que no incluyan ninguna referencia a una enfermedad concreta o al historial clínico. • Porcentaje de discapacidad o la simple declaración de la condición de discapacidad o invalidez del titular de los datos • Ficheros o tratamientos no automatizados que: de forma incidental o accesoria contengan datos especialmente protegidos (ideología, afiliación sindical, religión, creencias, origen racial, salud y vida sexual), sin guardar relación con la finalidad del fichero. Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
MEDIDAS DE SEGURIDAD FICHEROS AUTOMATIZADOS FICHEROS NO AUTOMATIZADOS Medidas de Seguridad Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Medidas de Seguridad FICHEROS AUTOMATIZADOS. NIVEL BÁSICO (1) • DOCUMENTO DE SEGURIDAD • Elaboración de un documento, de obligado cumplimiento para el personal de la empresa, que contenga las medidas de seguridad requeridas en función del tipo de datos tratados por el Responsable del fichero. • Contenido mínimo recogido en el RDLOPD 1720/2007 • FUNCIONES Y OBLIGACIONES DEL PERSONAL • Definición de las funciones y obligaciones del personal con acceso a DCP y SI • Difusión entre el personal, de las normas que les afecten y de las consecuencias de su incumplimiento. • REGISTRO DE INCIDENCIAS • Registro: tipo de incidencia, momento en que se ha producido, persona que la notifica, persona a la que se comunica, efectos derivados y medidas correctoras. • Procedimiento definido para la notificación y gestión de incidencias que afecten a DCP. • CONTROL DE ACCESO • Cada usuario accederá únicamente a los datos y recursos necesarios para el desarrollo de sus funciones. • Relación actualizada de usuarios y perfiles de usuarios, y accesos autorizados a los mismos • Mecanismos que eviten el acceso a datos o recursos con derechos distintos de los autorizados • Concesión, alteración o anulación de permisos de acceso sólo por personal autorizado según el Documento de Seguridad Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Medidas de Seguridad FICHEROS AUTOMATIZADOS. NIVEL BÁSICO (2) • GESTIÓN DE SOPORTES Y DOCUMENTOS • Medidas que eviten el acceso indebido o recuperación de la información contenida en soportes desechados (borrado/destrucción) • Acceso restringido al personal autorizado en el Documento de Seguridad • Salida de soportes autorizada por el Responsable de Seguridad • Identificar el tipo de información que contienen • Inventario • IDENTIFICACIÓN Y AUTENTICACIÓN • Identificación inequívoca y personalizada de usuarios que intenten acceder a los Sistemas de Información • Mecanismos de identificación y autenticación de usuarios: • Procedimiento de asignación, distribución y almacenamiento de contraseñas que garantice la confidencialidad e integridad de las mismas • Caducidad de las contraseñas (Máximo: 1 año) • Almacenamiento inteligible de contraseñas activas • COPIAS DE RESPALDO • Verificar la definición, funcionamiento y aplicación de los procedimientos de copias y recuperación (mínimo: 6 meses) • Copias de respaldo (mínimo: semanal) Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Medidas de Seguridad FICHEROS AUTOMATIZADOS. NIVEL MEDIO • DOCUMENTO DE SEGURIDAD • Identificación del responsable/s de seguridad • Controles periódicos para verificar su cumplimiento • GESTIÓN DE SOPORTES Y DOCUMENTOS • Registro de entrada y salida de soportes • IDENTIFICACIÓN Y AUTENTICACIÓN • Mecanismo que limite número de intentos reiterados de acceso no autorizado al Sistema de Información • RESPONSABLE DE SEGURIDAD • Designación de uno o varios Responsables de Seguridad • Encargados de coordinar y controlar las medidas del DS • No supone delegación de responsabilidad del RF • AUDITORIA • Auditoria ordinaria (interna o externa): Bienal • Extraordinaria: modificaciones sustanciales en los Sistemas Información • Elaboración de un informe de auditoria • CONTROL DE ACCESO FÍSICO • Control de acceso físico a los locales donde se ubican los Sistemas de Información. Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Medidas de Seguridad FICHEROS AUTOMATIZADOS. NIVEL MEDIO • GESTIÓN Y DISTRIBUCIÓN DE SOPORTES • Identificación mediante etiquetado comprensible y significativo para usuarios autorizados, que permita identificar su contenido. • Cifrado de datos en la distribución de soportes • Cifrado de dispositivos portátiles fuera de las instalaciones del responsable del fichero. • COPIAS DE RESPALDO Y RECUPERACIÓN • Conservarse una copia en un lugar diferente de aquel en que se encuentren los equipos informáticos • REGISTRO DE ACCESOS • De cada acceso se registrará, el usuario, hora fichero accedido, tipo de acceso autorizado/denegado y registro accedido. • Control del registro de accesos por responsable de seguridad. Informe mensual. • Conservación datos registrados: 2 años. • TELECOMUNICACIONES • La transmisión a través de redes pública o redes inalámbricas de comunicaciones electrónicas debe realizarse cifrando los datos Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Medidas de Seguridad: Ficheros Automatizados OBLIGACIONES TECNICAS Y ORGANIZATIVAS RD1720/2007: Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Medidas de Seguridad FICHEROS NO AUTOMATIZADOS. Criterios Generales • Se aplicarán igualmente a los ficheros no automatizados, las siguientes medidas descritas para ficheros automatizados, teniendo en cuenta los niveles de seguridad: • DOCUMENTO DE SEGURIDAD • FUNCIONES Y OBLIGACIONES DEL PERSONAL • REGISTRO DE INCIDENCIAS • CONTROL DE ACCESO • GESTIÓN DE SOPORTES Y DOCUMENTOS • RESPONSABLE DE SEGURIDAD • AUDITORIA Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Obligaciones del Responsable del Fichero FICHEROS NO AUTOMATIZADOS. NIVEL BÁSICO • CRITERIOS DE ARCHIVO • Correcta conservación, localización, consulta y ejercicio de los derechos ARCO • Criterios y procedimientos de archivo • DISPOSITIVOS DE ALMACENAMIENTO • Mecanismos que dificulten su apertura e impidan el acceso a personas no autorizadas • CUSTODIA DE SOPORTES • Usuario autorizado de la documentación no archivada, encargado de custodiarla e impedir el acceso por persona no autorizada Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Medidas de Seguridad FICHEROS NO AUTOMATIZADOS. NIVEL ALTO • ALMACENAMIENTO DE LA INFORMACIÓN • Armarios o archivadores ubicados en áreas de acceso con sistemas de apertura mediante llave o dispositivo equiparable • ACCESO A LA DOCUMENTACIÓN • Mecanismo de identificación de accesos a documento con múltiples usuarios • Registro de accesos de usuarios no autorizados • Solo personal autorizado • TRASLADO DE LA DOCUMENTACIÓN • Medidas que impidan el acceso o manipulación de la documentación durante el transporte Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Medidas de Seguridad: Ficheros No Automatizados OBLIGACIONES TECNICAS Y ORGANIZATIVAS RD1720/2007: Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Infracciones y Sanciones ... es un Ente de Derecho Público,cuya finalidad principal es velar por el cumplimiento de la normativa sobre protección de datos personales, actuando para ello con plena independencia de las administraciones Públicas. • FUNCIONES Y POTESTADES • Velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación, en especial en lo relativo a los derechos de información, acceso, rectificación, oposición y cancelación de los datos • Atender las peticiones y reclamaciones formuladas por las personas afectadas • Potestad sancionadora • Potestad de inspección • Potestad de inmovilización de ficheros Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Infracciones y Sanciones Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Derechos ARCO de los Ciudadanos AccesoRectificaciónCancelación Oposición DERECHOS Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Derechos ARCO de los Ciudadanos • Naturaleza • Requisitos • Procedimiento • Ejercicio de derechos ante un Encargado de Tratamiento. Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Derechos ARCO de los Ciudadanos NATURALEZA • Personalísimo • Se ejercitarán : • Por el afectado, acreditando su identidad • Por representante legal, acreditando tal condición • supuestos de incapacidad o minoría de edad que imposibilite el ejercicio de estos derechos • A través de representante voluntario, acreditando la identidad del representado • mediante aportación del DNI del representado y la representación conferida por éste. • Denegación de solicitud: • Cuando sea formulada por persona distinta del afectado y no se acredite que la misma actúa en representación del afectado. Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Derechos ARCO de los Ciudadanos REQUISITOS • Derechos independientes: • No es necesario el ejercicio de uno para poder llevar a cabo el ejercicio de otro • Otorgamiento de un medio sencillo y gratuito para el ejercicio de los derechos ARCO, • Medios NO conformes a la ley: • envíos de cartas certificadas o semejantes, • utilización de servicios de telecomunicaciones de tarificación adicional • cualesquiera otros medios que impliquen un coste excesivo • Utilización de un medio distinto al establecido al efecto: • El responsable del fichero deberá atender igualmente a la solicitud, siempre que el medio elegido permita acreditar el envío y la recepción de la solicitud Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Derechos ARCO de los Ciudadanos PROCEDIMIENTO • Comunicación dirigida al Responsable del Fichero: • Nombre y apellidos del interesado y fotocopia del DNI / Persona que lo Representa y documento acreditativo • Petición en que se concreta la solicitud • Dirección a efectos de notificaciones, fecha y firma del solicitante • Documentos acreditativos de la petición que formula, • Corresponde al Responsable del Fichero: • Deber de contestación figuren o no datos personales del afectado • Solicitar la subsanación de los errores en la solicitud, en caso de que las hubiere • Deber de cumplir con los requisitos para la contestación • La prueba del cumplimiento del deber de respuesta • Garantizar que las personas con acceso a datos dentro de su organización puedan informar del procedimiento para el ejercicio de sus derechos, al interesado Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Derechos ARCO de los Ciudadanos DERECHOS ANTE ENCARGADO DE TRATAMIENTO • Supuesto concreto: • ejercicio de derechos ARCO ante un encargado de tratamiento • Regla general: • El Encargado de Tratamiento deberá trasladar la solicitud al Responsable del fichero, para que éste la resuelva • Excepción: • Salvo que en la relación existente entre ET y RF, se prevea la atención a dichos derechos por parte del ET. Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Derechos ARCO de los Ciudadanos • Derecho de acceso • Derechos de rectificación • Derecho de cancelación • Derechos de oposición Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Derechos ARCO de los Ciudadanos DERECHO DE ACCESO Derecho del afectado a obtener información sobre: • si sus propios datos están siendo objeto de tratamiento • la finalidad del tratamiento que se esté realizando • el origen de dichos datos • las comunicaciones realizadas o que se prevean realizar. Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603
Derechos ARCO de los Ciudadanos DERECHO DE RECTIFICACIÓN Y CANCELACIÓN Derecho de rectificación • derecho del afectado a que se modifiquenlos datos que resulten ser inexactos o incompletos Derecho de cancelación • derecho a que se supriman los datos que resulten ser inadecuados o excesivos, sin perjuicio del deber del bloqueo Quirós Informática, S.L. – www.cumplaconlaley.com – 902 170 603