Manual de usuario. Ed. Junio de Para la gestión de la seguridad y regularización de ficheros con datos de carácter personal con la AEPD

Transcripción

1 Ed. Junio de 2011 Para la gestión de la seguridad y regularización de ficheros con datos de carácter personal con la AEPD

2 1 INTRODUCCIÓN NAVEGACIÓN OTROS USOS O INFORMACIONES GENERALES REQUISITOS DE CONFIGURACIÓN DEL NAVEGADOR INTRODUCCIÓN CONFIGURACIÓN DEL NAVEGADOR INTERNET EXPLORER - VERSIÓN 6, 7 Y CONFIGURACIÓN DEL NAVEGADOR MOZILLA FIREFOX ADMINISTRACIÓN - DATOS EMPRESA INTRODUCCIÓN DATOS ACCIONES ADMINISTRACIÓN - USUARIOS PÁGINA INICIAL INTRODUCCIÓN LISTA DE USUARIOS ACCIONES ADMINISTRACIÓN - USUARIOS ALTA/MODIFICACIÓN INTRODUCCIÓN DATOS DE REGISTRO DATOS PERSONALES DATOS DE CONTACTO ACCIONES ADMINISTRACIÓN - ESTRUCTURA EMPRESA CONSULTA INTRODUCCIÓN ACCIONES ADMINISTRACIÓN - ESTRUCTURA EMPRESA ALTA / MODIFICACIÓN / ELIMINACIÓN INTRODUCCIÓN DATOS ACCIONES ADMINISTRACIÓN CAMBIO DE CLAVE INTRODUCCIÓN DATOS ACCIONES INVENTARIO DE FICHEROS - CONSULTA INTRODUCCIÓN DATOS ACCIONES INVENTARIO DE FICHEROS CREAR FICHERO NUEVO DATOS IDENTIFICATIVOS INTRODUCCIÓN DATOS ACCIONES INVENTARIO DE FICHEROS CREAR FICHERO NUEVO ESTRUCTURA BÁSICA INTRODUCCIÓN DATOS ACCIONES INVENTARIO DE FICHEROS LISTADO DE PLANTILLAS DE FICHEROS INTRODUCCIÓN DATOS... 41

3 13.3 ACCIONES INVENTARIO DE FICHEROS CREAR FICHERO CON PLANTILLA INTRODUCCIÓN ACCIONES INVENTARIO DE FICHEROS LISTADO DE FICHEROS EXISTENTES INTRODUCCIÓN DATOS ACCIONES INVENTARIO DE FICHEROS CREAR FICHERO DE UNO EXISTENTE INTRODUCCIÓN ACCIONES NOTIFICACIONES AEPD EDICIÓN DE FORMULARIOS CONSULTA INTRODUCCIÓN DATOS ACCIONES NOTIFICACIONES AEPD EDICIÓN DE FORMULARIOS IDENTIFICACIÓN / FINALIDAD INTRODUCCIÓN DATOS ACCIONES NOTIFICACIONES AEPD EDICIÓN DE FORMULARIOS RESPONSABLE FICHERO INTRODUCCIÓN DATOS ACCIONES NOTIFICACIONES AEPD EDICIÓN DE FORMULARIOS ESTRUCTURA BÁSICA INTRODUCCIÓN DATOS ACCIONES NOTIFICACIONES AEPD EDICIÓN DE FORMULARIOS ORIGEN Y PROCEDENCIA INTRODUCCIÓN DATOS ACCIONES NOTIFICACIONES AEPD EDICIÓN DE FORMULARIOS TRANSFERENCIAS INTERNACIONALES INTRODUCCIÓN DATOS ACCIONES NOTIFICACIONES AEPD EDICIÓN DE FORMULARIOS CESIONES DE DATOS INTRODUCCIÓN DATOS ACCIONES NOTIFICACIONES AEPD EDICIÓN DE FORMULARIOS DERECHOS ARCO INTRODUCCIÓN DATOS ACCIONES NOTIFICACIONES AEPD EDICIÓN DE FORMULARIOS ENCARGADO DE TRATAMIENTO INTRODUCCIÓN DATOS... 80

4 25.3 ACCIONES NOTIFICACIONES AEPD EDICIÓN DE FORMULARIOS HOJA DE SOLICITUD INTRODUCCIÓN DATOS ACCIONES NOTIFICACIONES AEPD EDICIÓN DE FORMULARIOS MODIFICACIÓN INTRODUCCIÓN ACCIONES NOTIFICACIONES AEPD EDICIÓN DE FORMULARIOS SUPRESIÓN INTRODUCCIÓN DATOS ACCIONES NOTIFICACIONES AEPD ENVÍOS PENDIENTES INTRODUCCIÓN DATOS ACCIONES NOTIFICACIONES AEPD PROCESO DE ENVÍO A LA AEPD INTRODUCCIÓN ACCIONES NOTIFICACIONES AEPD ENVÍOS REALIZADOS INTRODUCCIÓN DATOS ACCIONES NOTIFICACIONES AEPD RESPUESTA AEPD INTRODUCCIÓN DATOS ACCIONES NOTIFICACIONES AEPD ESTADO NOTIFICACIONES INTRODUCCIÓN DATOS ACCIONES NOTIFICACIONES AEPD COMUNICACIONES AEPD INTRODUCCIÓN DATOS TIPO DE ACCIÓN: CREACIÓN DATOS TIPO DE ACCIÓN: MODIFICACIÓN DATOS TIPO DE ACCIÓN: SUPRESIÓN ACCIONES DOCUMENTOS LOPD DOCUMENTO DE SEGURIDAD Y OTROS DOCUMENTOS LOPD INTRODUCCIÓN DATOS Los datos por los que se identifica cada uno de los documentos censados son los siguientes: ACCIONES Permite dar de baja en el sistema un documento concreto INTRODUCCIÓN Todas las organizaciones, independientemente de su tamaño y actividad, deben cumplir la LOPD al objeto de garantizar y proteger las libertades públicas y los derechos fundamentales

5 de las personas físicas, y especialmente de su honor e intimidad personal y familiar, en lo que concierne al tratamiento de los datos personales. Su incumplimiento puede acarrear sanciones de hasta euros. La LOPD obliga a notificar los ficheros con datos de carácter personal en la Agencia Española de Protección de Datos o en las Agencias de Protección de Datos de las Comunidades Autónomas. También es preceptivo elaborar el Documento de Seguridad donde se establecen las medidas organizativas y técnicas de seguridad, así como dotar a los Sistemas de Información, redes de comunicaciones y a los centros de tratamiento de datos, de las medidas de seguridad necesarias según el nivel de información que manejan. Otros deberes marcados por la Ley son atender el ejercicio de los derechos de oposición, acceso, rectificación y cancelación y la realización de auditorias internas o externas para verificar el cumplimiento de la LOPD, al menos cada dos años. El presente documento es el manual de usuario de la Aplicación de Gestión de la Seguridad y Regularización de Ficheros con Datos de Carácter Personal con la AEPD (Agencia Española de Protección de Datos), que permite a las empresas realizar notificaciones e inscripciones telemáticas de ficheros en el Registro General de Protección de Datos (RGPD) a través del Sistema NOTA. Además de facilitar las inscripciones telemáticas de ficheros con datos de carácter personal en el RGPD, las empresas pueden obtener: un modelo de documento de seguridad parametrizable para su personalización, disponer de un repositorio de información de documentos relacionados con la seguridad y con los procedimientos de seguridad, partir para la regularización de sus ficheros de un repertorio de modelos tipo de ficheros con datos de carácter personal más habituales en una organización, gestionar un registro del ejercicio de los derechos de acceso, rectificación, cancelación y oposición de los ciudadanos. El documento se desarrolla siguiendo la estructura de la propia aplicación. Inicialmente se informa de cómo se navega a través de ella, siguiendo con la explicación de cada una de sus secciones según se muestran en el menú de navegación, finalizando con otras funciones que completan la aplicación.

6 2 NAVEGACIÓN Navegar por la aplicación se puede realizar a través del menú de la aplicación, configurado a dos niveles de estructura y situado a la parte superior de la página. El menú permite el acceso a las diferentes páginas que posibilitan la gestión telemática de cada uno de los módulos que configuran el sistema de gestión de la seguridad y regularización de ficheros con datos de carácter personal con la AEPD. El menú de la aplicación se configura en cinco grandes módulos que conforman todos los pasos a seguir en la gestión de la seguridad en la protección de datos. Los pasos que se deben seguir se resumen de una forma básica y esquemática en la página de inicio de la aplicación, pulsando sobre el literal de cada uno de ellos se podrá obtener la siguiente información:

7

8

9

10

11 2.1 Otros usos o informaciones generales Permite cerrar la sesión. Permite ir al inicio de la página Web. Permite el acceso al manual de usuario de la aplicación. Permite la impresión de la página completa visualizada. Información en cabecera de la página relativa al usuario conectado, del tipo de licencia contratada (Premium o Básico), y de la denominación de la Empresa. Relación de direcciones de páginas webs y de documentos relacionados con la protección de datos de carácter personal. Podrá enlazar directamente con las páginas o bien, pulsado sobre podrá visualizar y enlazar con las direcciones propuestas. Esta información podrá ser consultada a lo largo de toda la navegación por mi LOPD a través de un enlace existente en el pie de todas sus páginas. Toda novedad que se introduzca en la aplicación será informada en esta sección, pulsando sobre se podrá consultar a texto completo todas las novedades. Esta información podrá ser consultada a lo largo de toda la navegación por mi LOPD a través de un enlace existente en el pie de todas sus páginas. Proporciona información y respuesta a las preguntas más frecuentes sobre temas básicos en relación a la protección de datos de carácter personal. El documento al que se accede está estructurado temáticamente, pulsando sobre un tema concreto podrá consultar la información relacionada

12 con el mismo. Esta información podrá ser consultada a lo largo de toda la navegación por mi LOPD a través de un enlace existente en el pie de todas sus páginas. Enlace a documento descriptivo de la configuración básica que debe tener el navegador para tener todas las funcionalidades y servicios que proporciona la aplicación. Esta información podrá ser consultada a lo largo de toda la navegación por mi LOPD a través de un enlace existente en el pie de todas sus páginas. (Puede consultar los diferentes requisitos de configuración del navegador en el apartado siguiente de este manual de usuario). aplicación. aplicación. Breve texto informativo y de contexto de las diferentes páginas de la Acceso a la ayuda on-line y de contexto de las diferentes páginas de la

13 3 Requisitos de Configuración del Navegador 3.1 Introducción Es necesario tener una configuración básica del navegador por el que se va a acceder a la aplicación para disponer de todas las funcionalidades y servicios que proporciona la aplicación. Esta información podrá ser consultada a lo largo de toda la navegación por mi LOPD a través de un enlace existente en el pie de todas sus páginas. 3.2 Configuración del Navegador Internet Explorer - Versión 6, 7 y 8 Se debe acceder al menú Herramientas/Opciones de Internet. En la pestaña Seguridad hacer click sobre la zona Sitios de confianza y después pulsar sobre el botón para cambiar la configuración de seguridad del navegador y determinar la página Web de milopd como sitio de confianza, que no va a perjudicar a su equipo o sus archivos. Para ello se debe desmarcar la opción Requerir comprobación del Servidor ( para todos los sitios de esta zona y la dirección Web donde se encuentra la aplicación mi LOPD. Una vez agregada se pulsará en botón.

14 Al pulsar sobre el botón se muestra la pantalla anterior Opciones de Internet, en esta se ha de pulsar sobre el botón que mostrará la pantalla siguiente relativa a Configuración de seguridad: zona de sitios de confianza.

15 En el nodo Descargas se habilitará la opción Pedir intervención del usuario automática para descargas de archivo. A continuación se pulsará tanto en la pantalla relativa a la Configuración de seguridad: zona de sitios de confianza como en la pantalla primera Opciones de Internet. Una vez aceptados los cambios se debe reiniciar el navegador, una vez reiniciado se recomienda comprobar que la configuración se ha guardado correctamente. Si con esta configuración no se permite abrir los documentos de la aplicación mi LOPD se debe poner un nivel más bajo en los sitios de confianza. Para ello se pulsará sobre el botón que mostrará la pantalla relativa a Configuración de seguridad: zona de sitios de confianza. En la sección Restablecer configuración personal, seleccionar un nivel más bajo para los sitios de confianza. A continuación se pulsará tanto en la pantalla relativa a la Configuración de seguridad: zona de sitios de confianza como en la pantalla primera Opciones de Internet. Una vez aceptados los cambios se debe reiniciar el navegador, una vez reiniciado se recomienda comprobar que la configuración se ha guardado correctamente.

16 3.3 Configuración del Navegador Mozilla FireFox El navegador Mozilla FireFox, detectará si permite la apertura de ventanas emergentes con el siguiente aviso Pulsando en el botón se desplegará un menú de opciones posibles y en la opción de menú Permitir ventanas emergentes para milopd. añadiremos nuestro enlace automáticamente a la lista de sitios web permitidos. Otra forma de configurar el navegador es a través del menú Herramientas- Opciones, en la sección. Se debe pulsar sobre el primer botón a la altura de la marca Bloquear ventanas emergentes. En la caja establecida para Dirección del sitio web se escribirá la dirección web de la aplicación milopd y a continuación se pulsará sobre el botón.

17 Una vez permitido que este sitio Web pueda abrir ventanas emergentes, la dirección se mostrará en la caja de sus sitios permitidos, a continuación se debe pulsar sobre el botón para salir de Sitios permitidos Ventanas emergentes y pulsar para salir de Opciones.

18 4 ADMINISTRACIÓN - Datos Empresa 4.1 Introducción Es requisito necesario introducir los datos solicitados de la empresa o autónomo, ya que la información insertada en este formulario es utilizada para cumplimentar de forma automática diferentes secciones de los formularios de notificación de ficheros a la Agencia Española de Protección de Datos. Las secciones que heredan esta información son: Responsable del fichero; que es la persona física o jurídica sobre la que recaen los principales deberes establecidos en la LOPD y le corresponde velar por el cumplimiento de la Ley en su organización. Derechos ARCO; recogiendo la dirección dónde se prevea atender al ciudadano que desee ejercitar sus derechos de acceso, rectificación, cancelación y oposición (ARCO). 4.2 Datos Los datos solicitados de la empresa o autónomo son los siguientes: Denominación social de la empresa: Nombre social de la empresa según consta inscrita en el Registro Mercantil, o bien, en el caso de autónomo, el nombre y los dos apellidos del mismo. Dato de inserción obligatoria (*). La primera vez que se accede a la aplicación la denominación de la empresa se muestra cumplimentada por defecto, la cual ha de modificarla, en su caso, para insertar el nombre social de la misma según consta en el Registro Mercantil. Actividad principal: Se debe seleccionar de la lista desplegable el tipo de actividad económica de la empresa o autónomo. Dato de inserción obligatoria (*). CIF/NIF: Se debe de insertar el Código de Identificación Fiscal en caso de empresa y el Número de Identificación Fiscal en el caso de autónomo. Dato de inserción obligatoria (*). Dirección: Dirección postal de la empresa o autónomo. Dato de inserción obligatoria (*). Código Postal: Código postal de la empresa o autónomo. Dato de inserción obligatoria (*). País: Este dato se muestra preestablecido por la aplicación, al ser ésta sólo de ámbito nacional. Provincia: Se debe seleccionar de la lista desplegable la provincia relativa a la dirección postal de la empresa o autónomo. Dato de inserción obligatoria (*). Localidad: Localidad donde se ubica la empresa o autónomo. Dato de inserción obligatoria (*). Dirección de correo electrónico a efectos de notificaciones que se realizan por el sistema, por ejemplo, avisos de próximo vencimiento de plazos para resolver peticiones de derechos de acceso, rectificación, cancelación u oposición interpuestas por los interesados ante la empresa o autónomo. La modificación de este dato no conlleva notificar la modificación del fichero inscrito en la Agencia Española de Protección de datos. Dato de inserción obligatoria (*). Web: Dirección web de la empresa o autónomo. Teléfono: de contacto de la empresa o autónomo.

19 Fax: de contacto de la empresa o autónomo. Los datos de la empresa podrán ser modificados en cualquier momento, sólo debiendo seguir el siguiente procedimiento cuando existan ficheros notificados a la Agencia Española de Protección de Datos. Toda modificación que se realice en los datos de la empresa o autónomo que son de inserción obligatoria (*), salvo el correo electrónico, afecta a los ficheros con datos de carácter personal notificados a la Agencia Española de Protección de Datos (AEPD), ya que implica modificación en las secciones que heredan esta información (Responsable del fichero y Derechos ARCO), siendo necesario notificar estas modificaciones del fichero a la AEPD. Por ello, al acceder a los ficheros (sólo los notificados) afectados por la modificación, se mostrará, de forma previa al resto de información de los mismos, el apartado (pestaña) relativo a la modificación del fichero, siempre y cuando exista el código y fecha de inscripción del mismo, si no es así, se solicitará en ese mismo momento. Para determinar la fecha se recomienda utilizar el calendario a fin de que ésta se cumplimente con el formato requerido por la aplicación (dd/mm/aaaa).

20 En el apartado de modificación se deben marcar las secciones que se han modificado (responsable del fichero o tratamiento y derechos de oposición, acceso, rectificación y cancelación) y después pulsar el botón. El formulario modificado, con código y fecha de inscripción, y validado por la aplicación, se mostrará en la página o módulo de la aplicación denominada Envíos Pendientes, para proceder a su notificación a la AEPD. Cuando se realice una modificación en la denominación social de la empresa y existan ficheros notificados a la Agencia Española de Protección de Datos con la denominación anterior, dicha modificación deberá notificarse a la Agencia, la aplicación avisará de dicha circunstancia, mostrando el siguiente mensaje en el que se informa de los pasos a seguir.

21 Cuando se realice una modificación en los datos de empresa de obligatoria inserción y existan ficheros notificados a la Agencia Española de Protección de Datos con la denominación anterior, dicha modificación deberá notificarse a la Agencia, la aplicación avisará de dicha circunstancia, mostrando el siguiente mensaje en el que se informa de los pasos a seguir. 4.3 Acciones Las acciones que se pueden realizar son: permite dar de alta los datos de la empresa o autónomo en el sistema o bien, en su caso, guardar la modificación de sus datos. Permite acceder a la estructura departamental de la empresa.

22 5 ADMINISTRACIÓN - Usuarios Página inicial 5.1 Introducción Es la página de partida para que las empresas puedan dar de alta y gestionar de forma telemática a otros usuarios (perfil Gestor) para que puedan realizar diversas tareas en la aplicación. A esta página sólo tendrán acceso los usuarios dados de alta en el sistema con el perfil administrador y para el tipo de licencia contratada Premium. El perfil administrador es uno por empresa (se identifica en la lista en color naranja) y que accede a la aplicación con la contraseña que le asigna la Tienda Online de las Aplicaciones Profesionales en Red de Movistar (). Sólo se podrán introducir como máximo cuatro usuarios del sistema con el perfil gestor. 5.2 Lista de usuarios Muestra todos los usuarios establecidos en el sistema para la empresa concreta. Los usuarios mostrados en la lista se identifican por los siguientes datos: Nombre: del usuario de la aplicación. 1er Apellido: del usuario de la aplicación. 2do Apellido: del usuario de la aplicación. Activado: Permite bloquear el acceso de un usuario gestor de la aplicación, el usuario administrador no se podrá bloquear desde este sistema, la acción para él se muestra desactivada. El usuario activo en el sistema se mostrará con la acción marcada y el usuario bloqueado (que no podrá acceder a la aplicación) con la acción desmarcada. 5.3 Acciones Las acciones que se pueden realizar son: Permite acceder a los diferentes datos que identifican al usuario. El usuario administrador identificado en el sistema no podrá modificar sus datos, para el resto de usuarios (gestores) podrá modificar todos los datos.

23 Permite dar de baja en el sistema a un usuario concreto. El usuario con perfil administrador no podrá eliminarse, se mostrará el siguiente mensaje. Se accede al módulo de alta de un nuevo usuario. Al pulsar sobre el literal Nombre, o bien 1er Apellido o 2do Apellido, la lista de usuarios se ordena alfabéticamente, bien en orden ascendente o descendente. Al pulsar sobre Activado la lista se ordena por los usuarios activos o no activos en la aplicación.

24 6 ADMINISTRACIÓN - Usuarios Alta/Modificación 6.1 Introducción Muestra la información necesaria para crear un nuevo usuario existente al pulsar la acción. Si alguno de los datos no se ha cumplimentado o no es correcto, no se permitirá el alta del nuevo usuario o en su caso la modificación, la aplicación avisará de la incidencia detectada para que pueda ser solventada. o bien modificar uno 6.2 Datos de Registro Todos los datos de registro son de inserción obligatoria. Los datos son los siguientes: Usuario: Identificación del nuevo usuario para el acceso individual en el sistema. Clave: del nuevo usuario del sistema. Para crear claves seguras es recomendable que tenga al menos 8 caracteres de longitud, que contenga y mezcle caracteres alfanuméricos, mayúsculas, minúsculas y símbolos ortográficos. El sistema avisará del requerimiento mínimo de seguridad, la longitud de la clave. Confirmar Clave: Permite ratificar o reafirmar la clave insertada, si no coinciden el sistema avisará de la incidencia. 6.3 Datos Personales DNI: del nuevo usuario del sistema. Es un dato de inserción obligatoria (*). Una vez insertado el DNI al pulsar, el sistema verificará el DNI, si no es correcto lo comunicará y no permitirá dar del alta al usuario hasta que su DNI no tenga una verificación correcta. Nombre: del nuevo usuario del sistema. Es un dato de inserción obligatoria (*). Primer apellido: del nuevo usuario del sistema. Es un dato de inserción obligatoria (*). Segundo apellido: del nuevo usuario del sistema. 6.4 Datos de Contacto Teléfono: de contacto del nuevo usuario del sistema. de contacto del nuevo usuario del sistema.

25 6.5 Acciones Las acciones que se pueden realizar son: permite dar de alta a un usuario del sistema o bien, en su caso, guardar la modificación de sus datos. Permite acceder al listado de todos los usuarios dados de alta en la aplicación.

26 7 ADMINISTRACIÓN - Estructura Empresa Consulta 7.1 Introducción Es la página que permite la consulta, alta, modificación o baja de la estructura orgánica o departamental de la empresa. Es aconsejable introducir la estructura departamental de la empresa de forma previa al registro en la aplicación de los ficheros con datos de carácter personal, a fin de poder identificar o encuadrar los ficheros en el departamento concreto que trata los datos. Este dato no se declara a la Agencia Española de Protección de Datos, su finalidad es permitir que a nivel interno de la empresa se pueda identificar el fichero por el departamento concreto que trata los datos. El organigrama tiene como límite dos niveles de estructura. Si la empresa no tiene establecida una estructura departamental, los ficheros se encuadrarán de forma automática y a nivel general en la empresa. 7.2 Acciones Las acciones que se pueden realizar son: permite acceder a la página de alta de departamentos de la empresa. Pulsando sobre el literal del departamento se podrá modificar o en su caso, eliminar sus datos. Pulsando sobre la denominación social de la empresa se podrán modificar sus datos.

27 8 ADMINISTRACIÓN - Estructura Empresa Alta / Modificación / Eliminación 8.1 Introducción Es la página que permite el alta de un nuevo departamento de la empresa. Para dar de alta los distintos departamentos de la empresa, se debe introducir de forma obligatoria el nombre del departamento concreto. Se recomienda introducir primero los de nivel 1 de la estructura departamental y así, y sólo para los de nivel 2 seleccionar el departamento del que depende, creándose de esta forma el organigrama de la empresa. 8.2 Datos Departamento: Se mostrarán en la lista desplegable los departamentos de primer nivel de la estructura de la empresa, que hayan sido dados de alta previamente. Para dar de alta un departamento de primer nivel sólo es necesario introducir el dato Denominación. Para dar de alta un departamento de segundo nivel, se seleccionará de la lista de Departamentos, el departamento al que pertenece y se introducirá la denominación del departamento de segundo nivel a dar de alta. Denominación: Nombre del departamento concreto, ya sea de primer nivel o de segundo nivel. Se permite una extensión máxima de 50 caracteres. 8.3 Acciones Las acciones que se pueden realizar son: Graba en el sistema los datos introducidos, ya sea en el alta de un departamento, como en la modificación de sus datos. Permite acceder a la página en la que se visualiza la estructura departamental de la empresa. Elimina en el sistema el departamento. Un departamento con ficheros de carácter personal asociados al mismo o bien, un departamento de primer nivel con departamentos de segundo nivel asociados a él no se podrán eliminar. La aplicación avisará de la incidencia detectada para que pueda ser solventada. En el primer caso, se deberán modificar previamente los ficheros asociados al departamento, identificándolos en otro.

28 En el segundo caso, se deberán eliminar previamente sus departamentos asociados.

29 9 ADMINISTRACIÓN Cambio de Clave 9.1 Introducción Una clave se vuelve más insegura cuanto mayor sea el tiempo que ha estado en uso. Por eso es importante que se renueven con suficiente regularidad, aunque hayan sido generadas con la mayor aleatoriedad posible. 9.2 Datos Clave Actual: Se debe insertar la clave por la que se accede actualmente al sistema. Nueva Clave: Se insertará la nueva clave deseada por el usuario. Para crear claves seguras es recomendable que tenga al menos 8 caracteres de longitud, que contenga y mezcle caracteres alfanuméricos, mayúsculas, minúsculas y símbolos ortográficos. El sistema avisará del requerimiento mínimo de seguridad, la longitud de la clave. Repetir Nueva Clave: Permite confirmar la clave insertada, si no coinciden el sistema avisará de la incidencia. 9.3 Acciones Las acciones que se pueden realizar son: Graba en el sistema los datos introducidos, actualizando la clave.

30 10 INVENTARIO DE FICHEROS - Consulta 10.1 Introducción Es el catálogo de todos los ficheros con datos de carácter personal de la organización censados en la aplicación, tanto aquellos que estén actualmente vigentes, como los que hayan sido modificados. Un fichero es todo conjunto organizado de datos de carácter personal, cualquiera que sea la forma o modalidad de su creación, almacenamiento, organización y acceso. El usuario de la aplicación con tipo de licencia de contrato Básico, podrá dar hasta el máximo de 6 ficheros con datos de carácter personal. El usuario de la aplicación con tipo de licencia de contrato Premium, podrá dar hasta el máximo de 15 ficheros con datos de carácter personal Datos Los datos por los que se identifica cada uno de los ficheros censados son los siguientes: Direc./Dpto.: Identifica la Dirección o Departamento que trata los datos. Por defecto y el supuesto que la organización no tenga una estructura departamental se identificará a la empresa o autónomo como responsable interno de los ficheros. Este dato no se declara a la Agencia Española de Protección de Datos, su finalidad es permitir que a nivel interno de la empresa se pueda identificar el fichero por el departamento concreto que trata los datos. Fichero: Nombre o denominación dada al fichero y que lo identifica. Si la denominación del fichero no se muestra en su totalidad, sobrevolando el cursor sobre el literal podrá visualizar el texto completo. Finalidad y Usos: Descripción de la finalidad y usos previstos del fichero. Si la descripción de la finalidad no se muestra en su totalidad, sobrevolando el cursor sobre el literal podrá visualizar el texto completo. N. Seguridad: En este apartado se indica el nivel de seguridad exigible al fichero. Las medidas de seguridad exigibles se clasifican en tres niveles: básico, medio y alto. o Nivel básico: Para cualquier fichero de datos de carácter personal, excepto aquellos que estén incluidos en alguno de los niveles siguientes. o Nivel medio: Si se trata de un fichero que contenga datos relativos a servicios económico-financieros y seguros, o se trata de un fichero para la prestación de servicios de información sobre solvencia patrimonial y crédito o tiene la

31 finalidad realizar tratamientos sobre cumplimiento/incumplimiento de obligaciones dinerarias. o Nivel alto: Cuando el fichero contenga datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual. Sist. Trat.: El sistema de tratamiento es el modo en que se organiza o utiliza un sistema de información. Atendiendo al sistema de tratamiento, los sistemas de información podrán ser automatizados, no automatizados (Manual papel) o parcialmente automatizados (Mixtos). Tipo: Señala el tipo de notificación del fichero realizada a la Agencia Española de Protección de Datos (AEPD). Notificar una nueva inscripción, creación, una modificación de un fichero que ya figura inscrito en el Registro General de Protección de Datos (RGPD) o una supresión de un fichero que, igualmente, ya figura inscrito en el RGPD. Los ficheros suprimidos no forman parte del inventario, éstos se pueden consultar en NOTIFICACIONES AEPD según su estado. Estado: Los estados en que se puede encontrar un fichero son los siguientes: o Creado: Fichero registrado en la aplicación, con toda o parte de la información requerida en los distintos apartados (pestañas) de creación de ficheros. o Validado: Fichero que tiene toda la información requerida en los distintos apartados (pestañas) de creación, que ha sido comprobada y aceptada por la aplicación y por tanto, el fichero está preparado para notificarlo a la Agencia Española de Protección de Datos. o Enviado AEPD: Fichero notificado a la Agencia Española de Protección de Datos. Confirmado AEPD: Fichero inscrito en el Registro General de Protección de Datos. En la aplicación ya consta que se ha insertado por el usuario el código de inscripción que comunica la Agencia Española de Protección de Datos (AEPD) vía correo ordinario en el plazo máximo de 1 mes. Transcurrido 1 mes desde la presentación de la solicitud de inscripción sin que la AEPD hubiera resuelto sobre la misma, se entenderá inscrito el fichero a todos los efectos Acciones Las acciones que se pueden realizar son: Permite acceder a los diferentes datos que identifican al Fichero. A través de esta acción se podrán realizar las modificaciones que se requieran en la información de las dos pestañas que se muestran y, una vez realizada la modificación, si es que atañe a estos apartados (pestañas), se determinará si se quieren también realizar modificaciones en el resto de información (formulario). Si el fichero que se procede a modificar ya estaba inscrito en el Registro General de Protección de Datos, la modificación del mismo ha de notificarse a la Agencia Española de Protección de Datos, para ello, es

32 preciso el código y fecha de inscripción del fichero. Si esta información no consta, se solicitará por la aplicación. Para determinar la fecha se recomienda utilizar el calendario a fin de que ésta se cumplimente con el formato requerido por la aplicación (dd/mm/aaaa). En el apartado (pestaña) de modificación se deben marcar las secciones que se han modificado y después pulsar el botón. El formulario modificado, con código y fecha de inscripción, y validado por la aplicación, se mostrará en la página o módulo de la aplicación denominada Envíos Pendientes, para proceder a su notificación a la AEPD. Permite dar de baja en el sistema un fichero concreto. Si el fichero que se procede a suprimir ya estaba inscrito en el Registro General de Protección de Datos, la supresión del mismo ha de notificarse a la Agencia Española de Protección de Datos, para ello, es preciso el código y la fecha de inscripción del fichero. Si esta información no consta, se solicitará por la aplicación, así como, el motivo de la supresión del fichero y el destino de la información o previsiones adoptadas para su destrucción, debiendo pulsar a continuación el botón. El fichero suprimido, con código y fecha de inscripción, y validado por la aplicación, se mostrará en la página o módulo de la aplicación denominada "Envíos Pendientes", para proceder a su notificación a la AEPD.

33 Al pulsar sobre el literal Dirección/Dpto., Fichero o bien Finalidad y usos, la lista de ficheros se ordena alfabéticamente, bien en orden ascendente o descendente. Al pulsar sobre N. Seguridad, Sist. Trat., Tipo, o Estado la lista se ordena por los distintos valores.

34 11 INVENTARIO DE FICHEROS Crear Fichero Nuevo Datos Identificativos 11.1 Introducción Toda la información relativa a los ficheros, se divide en dos módulos de la aplicación "Inventario de Ficheros" y "Notificaciones AEPD". Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido. Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos. En esta página se insertará la información que se requiere en las dos apartados (pestañas) que se muestran y, una vez cumplimentados los datos, se deberá pulsar el botón, el sistema guardará la información insertada hasta el momento y mostrará los apartados (pestañas) del formulario de notificación de ficheros a la Agencia Española de Protección de Datos, por si se quiere seguir cumplimentando el resto de información, si no es así se deberá pulsar el botón.

35 11.2 Datos Los datos que se requieren cumplimentar en la pestaña inserción obligatoria. son de Datos identificativos - Nombre: Denominación dada al fichero o tratamiento y que lo identifica. (70 caracteres máximo). Finalidad y Usos: Descripción detallada de la finalidad y usos previstos del fichero. (350 caracteres máximo). Responsable interno del fichero - Dirección/Departamento: Identifica la Dirección o Departamento de la empresa que trata los datos. Este dato no se declara a la Agencia Española de Protección de Datos, su finalidad es permitir que a nivel interno de la empresa se pueda identificar el fichero por el departamento concreto que trata los datos. Para ello, se ha de pulsar la acción, la aplicación mostrará la estructura departamental de la empresa, que de forma previa al registro de los ficheros con datos de carácter personal ha debido ser introducida por el usuario del sistema en el módulo denominado Estructura Empresa. Para establecer la Dirección o Departamento que trata los datos se deberá pulsar sobre el deseado, la aplicación de forma automática lo introducirá. Si la empresa no tiene establecida una estructura departamental, los ficheros se encuadrarán de forma automática y a nivel general en la empresa, que es el valor que se muestra por defecto en la aplicación Acciones Las acciones que se pueden realizar son: Permite acceder al listado de todos los ficheros con datos de carácter personal de la organización censados en la aplicación. No guarda los datos introducidos. Guarda y valida los datos introducidos, y en el supuesto que la validación sea correcta se accede de forma automática al módulo relativo a los datos del formulario a fin de completar, si se desea, la información que requiere la Agencia Española de Protección de Datos para la inscripción de un fichero en el Registro General de Protección de Datos. En el supuesto que la información dada del fichero no haya podido ser validada en su totalidad, por falta de un dato de inserción obligatoria, la aplicación mostrará un resultado de la validación, en el que se comunica la información pendiente de validar. El fichero con información pendiente de validar continuará en estado de creado, siendo un fichero validado en

36 su totalidad el que será susceptible de notificar vía electrónica a la Agencia Española de Protección de Datos, mostrándose en este caso en el módulo Envíos Pendientes. Permite seleccionar un departamento concreto de la estructura orgánica de la empresa.

37 12 INVENTARIO DE FICHEROS Crear Fichero Nuevo Estructura básica 12.1 Introducción Toda la información relativa a los ficheros, se divide en dos módulos de la aplicación "Inventario de Ficheros" y "Notificaciones AEPD". Cualquier fichero de datos de carácter personal debe contener al menos algún dato de carácter identificativo. El tratamiento de datos especialmente protegidos de ideología, afiliación sindical, religión o creencias, sólo puede realizarse si se ha recabado el consentimiento expreso y por escrito del afectado. No obstante, la LOPD exceptúa de esta norma general a los ficheros mantenidos por los partidos políticos, sindicatos, iglesias, confesiones o comunidades religiosas y asociaciones, fundaciones y otras entidades sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, en cuanto a los datos relativos a sus asociados o miembros, sin perjuicio de que la cesión de dichos datos precisará siempre el previo consentimiento del afectado. Para tratar datos especialmente protegidos de origen racial, salud o vida sexual, será obligatorio recabar el consentimiento expreso del afectado o que, por razones de interés general, así lo disponga una Ley. En esta página se insertará la información que se requiere en las dos apartados (pestañas) que se muestran y, una vez cumplimentados los datos, se deberá pulsar el botón, el sistema guardará la información insertada hasta el momento y mostrará los apartados (pestañas) del formulario de notificación de ficheros a la Agencia Española de Protección de Datos, por si se quiere seguir cumplimentando el resto de información, si no es así se deberá pulsar el botón.

38

39 12.2 Datos Los datos que se requieren cumplimentar en la pestaña siguientes: son los Estructura básica: Se debe marcar el tipo de datos que contenga el fichero, teniendo en cuenta siempre que cualquier fichero de datos de carácter personal debe contener al menos algún dato de carácter identificativo, siendo por tanto una información de obligatoria inserción. En el apartado Datos excluidos de la especial protección (nivel básico), se refiere a datos que, en principio, deben tener una especial protección con un nivel alto en sus medidas de seguridad, pero que por el tratamiento y finalidad para lo que son recabados, son excluidos de la especial protección y por tanto basta con la implantación de medidas de seguridad de nivel básico, son los siguientes: o En caso de ficheros o tratamientos de datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual bastará la implantación de las medidas de seguridad de nivel básico cuando: Los datos se utilicen con la única finalidad de realizar una transferencia dineraria a las entidades de las que los afectados sean asociados o miembros, por ejemplo, descuento de la cuota sindical en nómina. Se trate de ficheros o tratamientos no automatizados (papel) en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad. o También podrán implantarse las medidas de seguridad de nivel básico en los ficheros o tratamientos que contengan datos relativos a la salud, referentes exclusivamente al grado de discapacidad o la simple declaración de la condición de discapacidad o invalidez del afectado, con motivo del cumplimiento de deberes públicos, por ejemplo, el grado de discapacidad para el cálculo de la retención a practicar en el Impuesto sobre la Renta de las Personas Físicas (IRPF). AVISO IMPORTANTE Si los datos de especial protección (salud, afiliación sindical, etc ) son recogidos en el fichero sólo para los tratamientos excluidos de la especial protección, sólo se marcará la opción Datos excluidos de la especial protección, nunca la opción Especialmente protegidos, ya que esta opción elevará las medidas de seguridad a nivel alto, cuando en realidad sus medidas de seguridad son de nivel básico. Descripción del tipo de dato: Permite al usuario describir detalladamente el o los datos de carácter personal que tiene el fichero, es una información adicional que puede servir al usuario para identificar el fichero y por tanto, no es obligatorio insertar. Nivel de seguridad de datos: Se refiere al nivel de medidas de seguridad exigible al fichero se determina automáticamente por la aplicación en función de los datos establecidos en el presente apartado (pestaña). Sistema de tratamiento: Es el modo en que se organiza la información o utiliza un sistema de información. Atendiendo al sistema de tratamiento, los sistemas de información podrían ser automatizados, no automatizados (manual-papel) o parcialmente automatizados (mixto).

40 12.3 Acciones Las acciones que se pueden realizar son: Manual de usuario Permite acceder al listado de todos los ficheros con datos de carácter personal de la organización censados en la aplicación. Guarda y valida los datos introducidos, y en el supuesto que la validación sea correcta se accede de forma automática al módulo relativo a los datos del formulario a fin de completar, si se desea, la información que requiere la Agencia Española de Protección de Datos para la inscripción de un fichero en el Registro General de Protección de Datos. En el supuesto que la información dada del fichero no haya podido ser validada en su totalidad, por falta de un dato de inserción obligatoria, la aplicación mostrará un resultado de la validación, en el que se comunica la información pendiente de validar. El fichero con información pendiente de validar continuará en estado de creado, siendo un fichero validado en su totalidad el que será susceptible de notificar vía electrónica a la Agencia Española de Protección de Datos, mostrándose en este caso en el módulo Envíos Pendientes.

41 13 INVENTARIO DE FICHEROS Listado de plantillas de ficheros 13.1 Introducción Es el catálogo de plantillas (modelos tipo) de ficheros con datos de carácter personal más habituales en una organización. Estas plantillas que se proponen sirven de apoyo y facilitan la creación de ficheros de una empresa o autónomo a partir de la información que proporcionan. Debe seleccionar la plantilla deseada y pulsar sobre la acción "Copiar fichero, la aplicación mostrará el fichero para que pueda consultarlo antes de proceder a su copia. Una vez copiada la plantilla formará parte del inventario de ficheros y formularios de su organización Datos Los datos por los que se identifica cada una de las plantillas de ficheros propuestas son: Fichero: Nombre o denominación dada al fichero y que lo identifica. Finalidad y Usos: Descripción de la finalidad y usos previstos del fichero. N. Seguridad: En este apartado se indica el nivel de seguridad exigible al fichero. Las medidas de seguridad exigibles se clasifican en tres niveles: básico, medio y alto. o Nivel básico: Para cualquier fichero de datos de carácter personal, excepto aquellos que estén incluidos en alguno de los niveles siguientes. o Nivel medio: Si se trata de un fichero que contenga datos relativos a servicios económico-financieros y seguros, o se trata de un fichero para la prestación de servicios de información sobre solvencia patrimonial y crédito o tiene la finalidad realizar tratamientos sobre cumplimiento/incumplimiento de obligaciones dinerarias. o Nivel alto: Cuando el fichero contenga datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual. Sist. Trat.: El sistema de tratamiento es el modo en que se organiza o utiliza un sistema de información. Atendiendo al sistema de tratamiento, los sistemas de información podrán ser automatizados, no automatizados (manual-papel) o parcialmente automatizados (Mixtos) Acciones Las acciones que se pueden realizar son: La aplicación mostrará el fichero-plantilla para que pueda consultarlo antes de proceder a su copia.

42 Al pulsar sobre el literal Fichero o bien Finalidad y usos, la lista de Plantillas de ficheros se ordena alfabéticamente, bien en orden ascendente o descendente. Al pulsar sobre N. Seguridad, Sist. Trat., la lista se ordena por los distintos valores.

43 14 INVENTARIO DE FICHEROS Crear Fichero con Plantilla 14.1 Introducción Se muestran los y del fichero-plantilla para su consulta y posible modificación para adaptarlo a la realidad de su empresa. Se debe modificar siempre el nombre del fichero ya que se muestra con el literal (Copia). También se podrá consultar los datos del formulario de notificación antes de decidir si quiere o no copiarlo, pulsando el botón. Al pulsar sobre el botón se mostrará el formulario de notificación a la Agencia Española de Protección de Datos (AEPD), en el que podrá realizar las modificaciones que desee, guardarlas y validarlas pulsando el botón, o bien si no se quiere realizar ningún cambio. Una vez copiado el fichero-plantilla, éste formará parte del inventario de ficheros y formularios de su organización Acciones Las acciones que se pueden realizar son: Copia el fichero-plantilla pasando este a formar del inventario de ficheros y formularios de su organización.

44 Accede a los datos del formulario de notificación de ficheros a la Agencia Española de Protección de Datos (AEPD), permitiendo consultar sus datos antes de decidir si quiere o no copiarlo, para que pase a formar parte del inventario de ficheros y formularios de su organización. Permite acceder al listado de ficheros-plantilla propuestos en la aplicación. Cuando ya se ha procedido a copiar el fichero-plantilla la acción remite al inventario de ficheros de su organización, del que el fichero copiado ya forma parte. Guarda y valida los datos modificados o introducidos en la plantillafichero. En el supuesto que la información dada no haya podido ser validada en su totalidad, bien por inconsistencia de los datos introducidos o por falta de un dato de inserción obligatoria, la aplicación mostrará un resultado de la validación, en el que se comunica la información pendiente de validar. El fichero con información pendiente de validar continuará en estado de creado, siendo un fichero validado en su totalidad el que será susceptible de notificar vía electrónica a la Agencia Española de Protección de datos, mostrándose en este caso en el módulo Envíos Pendientes. Permite volver a mostrar los datos del fichero-plantilla, una vez consultados los datos del formulario de notificación de ficheros a la Agencia Española de Protección de Datos (AEPD), para bien proceder o no a su copia.

45 15 INVENTARIO DE FICHEROS Listado de Ficheros Existentes 15.1 Introducción Es el catálogo de ficheros creados por la empresa para que a partir de ellos se puedan crear nuevos ficheros con datos de carácter personal similares a los ya existentes y facilitar la creación de nuevos ficheros. Debe seleccionar el fichero deseado y pulsar sobre la acción "Copiar fichero, la aplicación mostrará el fichero para que pueda consultarlo antes de proceder a su copia. Una vez copiado el fichero formará parte del inventario de ficheros y formularios de su organización Datos Los datos por los que se identifica cada uno de los ficheros existentes son: Fichero: Nombre o denominación dada al fichero y que lo identifica. Finalidad y Usos: Descripción de la finalidad y usos previstos del fichero. N. Seguridad: En este apartado se indica el nivel de seguridad exigible al fichero. Las medidas de seguridad exigibles se clasifican en tres niveles: básico, medio y alto. o Nivel básico: Para cualquier fichero de datos de carácter personal, excepto aquellos que estén incluidos en alguno de los niveles siguientes. o Nivel medio: Si se trata de un fichero que contenga datos relativos a servicios económico-financieros y seguros, o se trata de un fichero para la prestación de servicios de información sobre solvencia patrimonial y crédito o tiene la finalidad realizar tratamientos sobre cumplimiento/incumplimiento de obligaciones dinerarias. o Nivel alto: Cuando el fichero contenga datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual. Sist. Trat.: El sistema de tratamiento es el modo en que se organiza o utiliza un sistema de información. Atendiendo al sistema de tratamiento, los sistemas de información podrán ser automatizados, no automatizados (manual-papel) o parcialmente automatizados (Mixtos) Acciones Las acciones que se pueden realizar son: La aplicación mostrará el fichero para que pueda consultarlo antes de proceder a su copia.

46 Al pulsar sobre el literal Fichero o bien Finalidad y usos, la lista de ficheros se ordena alfabéticamente, bien en orden ascendente o descendente. Al pulsar sobre N. Seguridad, Sist. Trat., la lista se ordena por los distintos valores.

47 16 INVENTARIO DE FICHEROS Crear Fichero de Uno Existente 16.1 Introducción Se muestran los y del fichero ya existente para su consulta y posible modificación para adaptarlo a la realidad de su empresa. Se debe modificar siempre el nombre del fichero ya que se muestra con el literal (Copia). También se podrá consultar los datos del formulario de notificación antes de decidir si quiere o no copiarlo, pulsando el botón. Al pulsar sobre el botón se mostrará el formulario de notificación a la Agencia Española de Protección de Datos (AEPD), en el que podrá realizar las modificaciones que desee, guardarlas y validarlas pulsando el botón, o bien si no se quiere realizar ningún cambio. Una vez copiado el fichero, éste formará parte del inventario de ficheros y formularios de su organización Acciones Las acciones que se pueden realizar son: Copia el fichero existente pasando este a formar un nuevo fichero del inventario de ficheros y formularios de su organización.

48 Accede a los datos del formulario de notificación de ficheros a la Agencia Española de Protección de Datos (AEPD), permitiendo consultar sus datos antes de decidir si quiere o no copiarlo, para que pase a formar parte del inventario de ficheros y formularios de su organización. Permite acceder al listado ficheros creados por la empresa para que a partir de ellos se puedan crear nuevos ficheros con datos de carácter personal similares a los ya existentes y facilitar la creación de nuevos ficheros. Cuando ya se ha procedido a copiar el fichero la acción remite al inventario de ficheros de su organización, del que el fichero copiado ya forma parte. Guarda y valida los datos modificados o introducidos en el fichero. En el supuesto que la información dada no haya podido ser validada en su totalidad, bien por inconsistencia de los datos introducidos o por falta de un dato de inserción obligatoria, la aplicación mostrará un resultado de la validación, en el que se comunica la información pendiente de validar. El fichero con información pendiente de validar continuará en estado de creado, siendo un fichero validado en su totalidad el que será susceptible de notificar vía electrónica a la Agencia Española de Protección de datos, mostrándose en este caso en el módulo Envíos Pendientes. Permite volver a mostrar los datos del fichero, una vez consultados los datos del formulario de notificación de ficheros a la Agencia Española de Protección de Datos (AEPD), para bien proceder o no a su copia.

49 17 NOTIFICACIONES AEPD Edición de Formularios Consulta 17.1 Introducción Es el catálogo de los ficheros con datos de carácter personal de la organización censados en la aplicación y que se encuentran en Estado de Creado en el Inventario de Ficheros (Creado: Fichero registrado en la aplicación, con toda o parte de la información requerida en los distintos formularios de creación de ficheros). Desde esta página se permite acceder al modelo de declaración electrónico de notificación de ficheros con datos de carácter personal de titularidad privada. Se deberán cumplimentar los apartados (Pestañas) del formulario que describen el fichero que va a ser notificado a la Agencia Española de Protección de Datos. Toda persona o entidad que proceda a la creación de ficheros de datos de carácter personal lo debe notificar previamente a la Agencia Española de Protección de Datos. Podrán crearse ficheros de titularidad privada que contengan datos de carácter personal cuando resulte necesario para el logro de la actividad u objeto legítimos de la persona, empresa o entidad titular y se respeten las garantías establecidas en la Ley Orgánica de Protección de Datos. Cualquier modificación posterior en el contenido de la inscripción de un fichero en el Registro General de Protección de Datos, deberá comunicarse a la Agencia Española de Protección de Datos, mediante una solicitud de modificación o de supresión de la inscripción, según corresponda. La no notificación de la existencia de un fichero supondría una infracción leve o grave, tal y como señala el art. 44 de la LOPD, quedando sujeto al régimen sancionador previsto en esta Ley Datos Los datos por los que se identifica cada uno de los ficheros censados son los siguientes: Direc./Dpto.: Identifica la Dirección o Departamento que trata los datos. Por defecto y el supuesto que la organización no tenga una estructura departamental se identificará a la empresa o autónomo como responsable interno de los ficheros. Este dato no se declara a la Agencia Española de Protección de Datos, su finalidad es permitir que a nivel interno de la empresa se pueda identificar el fichero por el departamento concreto que trata los datos. Fichero: Nombre o denominación dada al fichero y que lo identifica. Si la denominación no se muestra en su totalidad, sobrevolando el cursor sobre el literal podrá visualizar el texto completo.

50 Finalidad y Usos: Descripción de la finalidad y usos previstos del fichero. Si la descripción de la finalidad no se muestra en su totalidad, sobrevolando el cursor sobre el literal podrá visualizar el texto completo. Nivel Seg.: En este apartado se indica el nivel de seguridad exigible al fichero. Las medidas de seguridad exigibles se clasifican en tres niveles: básico, medio y alto. o Nivel básico: Para cualquier fichero de datos de carácter personal, excepto aquellos que estén incluidos en alguno de los niveles siguientes. o Nivel medio: Si se trata de un fichero que contenga datos relativos a servicios económico-financieros y seguros, o se trata de un fichero para la prestación de servicios de información sobre solvencia patrimonial y crédito o tiene la finalidad realizar tratamientos sobre cumplimiento/incumplimiento de obligaciones dinerarias. o Nivel alto: Cuando el fichero contenga datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual. Sist. Trat.: El sistema de tratamiento es el modo en que se organiza o utiliza un sistema de información. Atendiendo al sistema de tratamiento, los sistemas de información podrán ser automatizados, no automatizados (manual-papel) o parcialmente automatizados (Mixtos). Tipo: Señala el tipo de notificación del fichero realizada a la Agencia Española de Protección de Datos (AEPD). Notificar una nueva inscripción, creación, una modificación de un fichero que ya figura inscrito en el Registro General de Protección de Datos (RGPD) o una supresión de un fichero que, igualmente, ya figura inscrito en el RGPD Acciones Las acciones que se pueden realizar son: Permite acceder a los diferentes datos que identifican al formulario de notificación. A través de esta acción se podrán realizar las modificaciones o inserciones que se requieran en la información de las ocho pestañas que se muestran además de la correspondiente hoja de solicitud y de modificación. Si el fichero que se procede a modificar ya estaba inscrito en el Registro General de Protección de Datos, la modificación del mismo ha de notificarse a la Agencia Española de Protección de Datos, para ello, es preciso el código y fecha de inscripción del fichero. Si esta información no consta, se solicitará por la aplicación. Para determinar la fecha se recomienda utilizar el calendario a fin de que ésta se cumplimente con el formato requerido por la aplicación (dd/mm/aaaa).

51 En el apartado (pestaña) de modificación se deben marcar las secciones que se han modificado y después pulsar el botón. El formulario modificado, con código y fecha de inscripción, y validado por la aplicación, se mostrará en la página o módulo de la aplicación denominada Envíos Pendientes, para proceder a su notificación a la AEPD. Permite la consulta del formulario sin posibilidad de modificación. Al pulsar sobre el literal Direc./Dpto., Fichero o bien Finalidad y usos, la lista de ficheros se ordena alfabéticamente, bien en orden ascendente o descendente. Al pulsar sobre Nivel Seguridad o Sistema de Tratamiento la lista se ordena por los distintos valores.

52 18 NOTIFICACIONES AEPD Edición de Formularios Identificación / Finalidad 18.1 Introducción Toda la información relativa a los ficheros, se divide en dos módulos de la aplicación "Inventario de Ficheros" y "Notificaciones AEPD". En este submódulo Edición de Formularios, se deberán cumplimentar los apartados (Pestañas) del formulario que describen el fichero con toda la información que requiere la Agencia Española de Protección de Datos para la inscripción de un fichero en el Registro General de Protección de Datos, permitiéndose así, la notificación electrónica de dichos ficheros con datos de carácter personal de titularidad privada. Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido. Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos.

53 18.2 Datos Los datos que se requieren cumplimentar en la pestaña inserción obligatoria. son de Nombre o tratamiento de datos: Esta información se hereda de la denominación dada al fichero o tratamiento en el módulo Inventario de Ficheros y se muestra bloqueada, si se desea modificar se debe realizar desde ese módulo. (70 caracteres máximo). Finalidad y Usos: Esta información se hereda de la descripción detallada de la finalidad y usos previstos del fichero dada en el módulo Inventario de Ficheros y se muestra bloqueada, si se desea modificar se debe realizar desde ese módulo. (350 caracteres máximo). Tipificación correspondiente a la finalidad y usos previstos: Debe seleccionar la/s tipificación/es que se corresponda con la descripción dada al fichero. La selección en la lista del formulario se podrá realizar una a una a través de la acción, para deshacer todos los valores seleccionados a través de la acción y una a una con la acción. Se aconseja consultar toda la lista de finalidades con el fin de poder seleccionar aquellos valores definidos que mejor determinen la finalidad y usos del fichero. Para visualizar la descripción completa de la tipificación debe situar el cursor sobre la descripción. En caso de que ningún valor refleje las finalidades y usos previstos, seleccione el valor «Otras finalidades», situado al final de la lista. Algunas finalidades conllevan la necesidad de que el fichero contenga unos datos específicos, un sistema de tratamiento y un nivel de seguridad concreto. El sistema avisará si no se cumplen estas correspondencias. Tabla de correspondencias Tipificación Finalidad Estructura Sistema Nivel (Datos) Tratamiento Seguridad PRESTACIÓN DE SERVICIOS DE Automatizado, Medio o Alto SOLVENCIA PATRIMONIAL Y no automatizado CRÉDITO o mixto CUMPLIMIENTO/INCUMPLIMIENTO Automatizado, Medio o Alto DE OBLIGACIONES DINERARIAS no automatizado o mixto SERVICIOS ECONÓMICOS- Automatizado, Medio o Alto FINANCIEROS Y SEGUROS no automatizado

54 HISTORIAL CLÍNICO INVESTIGACIÓN EPIDEMIOLÓGICA Y ACTIVIDADES ANÁLOGAS GESTIÓN Y CONTROL SANITARIO RECURSOS HUMANOS GESTIÓN DE NÓMINAS Al menos se debe marcar un campo del apartado de Otros datos especialmente protegidos : Origen racial o étnico, Salud, Vida Sexual. Al menos se debe marcar un campo del apartado de Otros datos especialmente protegidos : Origen racial o étnico, Salud, Vida Sexual. Al menos se debe marcar un campo del apartado de Otros datos especialmente protegidos : Origen racial o étnico, Salud, Vida Sexual. Al menos debe marcar un campo del apartado de Datos especialmente protegidos : Ideología, Religión, Afiliación sindical, Creencias u Otros datos especialmente protegidos : Origen racial o étnico, Salud, Vida Sexual. Al menos debe marcar un campo del apartado de Datos o mixto Automatizado, no automatizado o mixto Automatizado, no automatizado o mixto Automatizado, no automatizado o mixto Automatizado, no automatizado o mixto Automatizado, no automatizado o mixto Alto Alto Alto Básico, Medio o Alto. Básico cuando se esté ante ficheros con datos excluidos de la especial protección (*) Básico, Medio o Alto. Básico

55 especialmente protegidos : Ideología, Religión, Afiliación sindical, Creencias u Otros datos especialmente protegidos : Origen racial o étnico, Salud, cuando se esté ante ficheros con datos excluidos de la especial protección Vida Sexual. (*) Datos que, en principio, deben tener una especial protección con un nivel alto en sus medidas de seguridad, pero que por el tratamiento y finalidad para lo que son recabados, son excluidos de la especial protección y por tanto basta con la implantación de medidas de seguridad de nivel básico, son los siguientes: En caso de ficheros o tratamientos de datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual bastará la implantación de las medidas de seguridad de nivel básico cuando: o Los datos se utilicen con la única finalidad de realizar una transferencia dineraria a las entidades de las que los afectados sean asociados o miembros, por ejemplo, descuento de la cuota sindical en nómina, en este caso se deberá marcar el dato de afiliación sindical. o Se trate de ficheros o tratamientos no automatizados (papel) en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad. También podrán implantarse las medidas de seguridad de nivel básico en los ficheros o tratamientos que contengan datos relativos a la salud, referentes exclusivamente al grado de discapacidad o la simple declaración de la condición de discapacidad o invalidez del afectado, con motivo del cumplimiento de deberes públicos, por ejemplo, el grado de discapacidad para el cálculo de la retención a practicar en el Impuesto sobre la Renta de las Personas Físicas (IRPF), en este caso se deberá marcar el dato de salud Acciones Las acciones que se pueden realizar son: (*) Permite acceder al listado de todos los ficheros con datos de carácter personal de la organización censados en la aplicación y que se encuentran en Estado de Creado. Guarda y valida los

56 datos introducidos. En el supuesto que la información dada del fichero no haya podido ser validada en su totalidad, bien por inconsistencia de los datos introducidos o por falta de un dato de inserción obligatoria, la aplicación mostrará un resultado de la validación, en el que se comunica la información pendiente de validar. El fichero con información pendiente de validar continuará en estado de creado, siendo un fichero validado en su totalidad el que será susceptible de notificar vía electrónica a la Agencia Española de Protección de datos, mostrándose en este caso en el módulo Envíos Pendientes.

57 19 NOTIFICACIONES AEPD Edición de Formularios Responsable Fichero 19.1 Introducción Toda la información relativa a los ficheros, se divide en dos módulos de la aplicación "Inventario de Ficheros" y "Notificaciones AEPD". En este submódulo Edición de Formularios, se deberán cumplimentar los apartados (Pestañas) del formulario que describen el fichero con toda la información que requiere la Agencia Española de Protección de Datos para la inscripción de un fichero en el Registro General de Protección de Datos, permitiéndose así, la notificación electrónica de dichos ficheros con datos de carácter personal de titularidad privada. Sobre el responsable del fichero recaen los principales deberes establecidos por la Ley Orgánica de Protección de Datos y le corresponde velar por el cumplimiento de la Ley en su organización. Entre otros debe: Notificar los ficheros ante el Registro General de Protección de Datos, para que se proceda a su inscripción. Asegurarse de que los datos sean adecuados y veraces, obtenidos lícita y legítimamente y tratados de modo proporcional a la finalidad para la que fueron recabados. Garantizar el cumplimiento de los deberes de secreto y seguridad. Informar a los titulares de los datos personales en la recogida de éstos. Obtener el consentimiento para el tratamiento de los datos personales. Facilitar y garantizar el ejercicio de los derechos de oposición al tratamiento, acceso, rectificación y cancelación. Asegurar que en sus relaciones con terceros que le presten servicios, que comporten el acceso a datos personales, se cumpla lo dispuesto en la LOPD. Cumplir, cuando proceda, con lo dispuesto en la legislación sectorial que le sea de aplicación.

58 19.2 Datos La información de este apartado aparece cumplimentada por defecto con los datos previamente introducidos de la Empresa, en el módulo Datos de Empresa y se muestra bloqueada, si se desea modificar se debe realizar desde ese módulo. Actividad principal a la que pertenece: Esta información se hereda de los datos de la empresa y se muestra bloqueada, si se desea modificar se debe realizar desde ese módulo. Indica la actividad económica principal de la empresa o autónomo Nombre o razón social del responsable del fichero: Esta información se hereda de los datos de la empresa y se muestra bloqueada. Indica la persona física o jurídica responsable del fichero que decida sobre la finalidad, contenido y uso del mismo. (Una persona que trabaja bajo la dependencia o autoridad directa del responsable del fichero, debido a una relación contractual dentro del ámbito del derecho laboral, no tiene la consideración de responsable del fichero a los efectos de la Ley Orgánica de Protección de Datos). CIF: Código de Identificación Fiscal de la empresa. Esta información se hereda de los datos de la empresa y se muestra bloqueada, si se desea modificar se debe realizar desde ese módulo. Domicilio social / Apartado de correos: Esta información se hereda de los datos de la empresa y se muestra bloqueada, si se desea modificar se debe realizar desde ese módulo.

59 Localidad: Esta información se hereda de los datos de la empresa y se muestra bloqueada, si se desea modificar se debe realizar desde ese módulo. CP: Código Postal. Esta información se hereda de los datos de la empresa y se muestra bloqueada, si se desea modificar se debe realizar desde ese módulo. Provincia: Esta información se hereda de los datos de la empresa y se muestra bloqueada, si se desea modificar se debe realizar desde ese módulo. País: Esta información se hereda de los datos de la empresa y se muestra bloqueada, si se desea modificar se debe realizar desde ese módulo. Cuando el responsable del fichero no esté establecido en el territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, deberá designar, salvo que tales medios se utilicen con fines de tránsito, un representante en España, sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable del tratamiento. En este caso, deberá cumplimentar obligatoriamente los datos de su representante en España para facilitar y garantizar los derechos de oposición, acceso, rectificación y cancelación. Teléfono: Esta información se hereda de los datos de la empresa y se muestra bloqueada, si se desea modificar se debe realizar desde ese módulo. Fax: Esta información se hereda de los datos de la empresa y se muestra bloqueada, si se desea modificar se debe realizar desde ese módulo. Correo electrónico: Esta información se hereda de los datos de la empresa y se muestra bloqueada, si se desea modificar se debe realizar desde ese módulo Acciones Las acciones que se pueden realizar son: Permite acceder al listado de todos los ficheros con datos de carácter personal de la organización censados en la aplicación y que se encuentran en Estado de Creado. Guarda y valida los datos introducidos. En el supuesto que la información dada del fichero no haya podido ser validada en su totalidad, bien por inconsistencia de los datos introducidos o por falta de un dato de inserción obligatoria, la aplicación mostrará un resultado de la validación, en el que se comunica la información pendiente de validar. El fichero con información pendiente de validar continuará en estado de creado, siendo un fichero validado en su totalidad el que será susceptible de notificar vía electrónica a la Agencia Española de Protección de datos, mostrándose en este caso en el módulo Envíos Pendientes.

60 20 NOTIFICACIONES AEPD Edición de Formularios Estructura básica 20.1 Introducción Toda la información relativa a los ficheros, se divide en dos módulos de la aplicación "Inventario de Ficheros" y "Notificaciones AEPD". En este submódulo Edición de Formularios, se deberán cumplimentar los apartados (Pestañas) del formulario que describen el fichero con toda la información que requiere la Agencia Española de Protección de Datos para la inscripción de un fichero en el Registro General de Protección de Datos, permitiéndose así, la notificación electrónica de dichos ficheros con datos de carácter personal de titularidad privada. Cualquier fichero de datos de carácter personal debe contener al menos algún dato de carácter identificativo. El tratamiento de datos especialmente protegidos de ideología, afiliación sindical, religión o creencias, sólo puede realizarse si se ha recabado el consentimiento expreso y por escrito del afectado. No obstante, la LOPD exceptúa de esta norma general a los ficheros mantenidos por los partidos políticos, sindicatos, iglesias, confesiones o comunidades religiosas y asociaciones, fundaciones y otras entidades sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, en cuanto a los datos relativos a sus asociados o miembros, sin perjuicio de que la cesión de dichos datos precisará siempre el previo consentimiento del afectado. Para tratar datos especialmente protegidos de origen racial, salud o vida sexual, será obligatorio recabar el consentimiento expreso del afectado o que, por razones de interés general, así lo disponga una Ley.

61

62 20.2 Datos Los datos que se requieren cumplimentar en la pestaña siguientes: son los Medidas de Seguridad: Es la medida de seguridad exigible al fichero en función de los datos que contiene. Esta información se muestra cumplimentada por defecto en base a la información insertada en el módulo de esta aplicación denominado "Inventario de Ficheros", para cambiar el nivel de seguridad se tendrá que modificar en dicho módulo. Datos especialmente protegidos: El tratamiento de datos especialmente protegidos de ideología, afiliación sindical, religión o creencias, sólo puede realizarse si se ha recabado el consentimiento expreso y por escrito del afectado. No obstante, la LOPD exceptúa de esta norma general a los ficheros mantenidos por los partidos políticos, sindicatos, iglesias, confesiones o comunidades religiosas y asociaciones, fundaciones y otras entidades sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, en cuanto a los datos relativos a sus asociados o miembros, sin perjuicio de que la cesión de dichos datos precisará siempre el previo consentimiento del afectado. Se debe marcar siempre el tipo de datos que contenga el fichero, aún cuando se esté ante ficheros con datos excluidos de la especial protección, es decir, datos que, en principio, deben tener una especial protección con un nivel alto en sus medidas de seguridad, pero que por el tratamiento y finalidad para lo que son recabados, son excluidos de la especial protección y por tanto basta con la implantación de medidas de seguridad de nivel básico, son los siguientes: o En caso de ficheros o tratamientos de datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual bastará la implantación de las medidas de seguridad de nivel básico cuando: Los datos se utilicen con la única finalidad de realizar una transferencia dineraria a las entidades de las que los afectados sean asociados o miembros, por ejemplo, descuento de la cuota sindical en nómina, en este caso se deberá marcar el dato de afiliación sindical. Se trate de ficheros o tratamientos no automatizados (papel) en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad. o También podrán implantarse las medidas de seguridad de nivel básico en los ficheros o tratamientos que contengan datos relativos a la salud, referentes exclusivamente al grado de discapacidad o la simple declaración de la condición de discapacidad o invalidez del afectado, con motivo del cumplimiento de deberes públicos, por ejemplo, el grado de discapacidad para el cálculo de la retención a practicar en el Impuesto sobre la Renta de las Personas Físicas (IRPF), en este caso se deberá marcar el dato de salud. Otros datos especialmente protegidos: Para tratar datos especialmente protegidos de origen racial, salud o vida sexual, será obligatorio recabar el consentimiento expreso del afectado o que, por razones de interés general, así lo disponga una Ley.

63 Se debe marcar siempre el tipo de datos que contenga el fichero, aún cuando se esté ante ficheros con datos excluidos de la especial protección. (Ver datos especialmente protegidos ). Datos de carácter identificativo: Se debe marcar todos y cada uno de los tipos de datos contenidos o tratados en el fichero. Cualquier fichero de datos de carácter personal debe contener al menos algún dato de carácter identificativo. Otros datos de carácter identificativo: En caso de tratarse de datos no descritos expresamente en los tipos indicados en el presente formulario, deben especificarse de forma resumida en esta sección. (100 caracteres máximo). Otros tipos de datos: Se debe seleccionar los tipos de datos de carácter personal incluidos en el fichero de la lista disponible en el formulario. La selección en la lista se podrá realizar una a una a través de la acción deshacer todos los valores seleccionados a través de la acción la acción., para y una a una con Indique otro tipo de dato si no aparece en la lista: En el caso de que los datos incluidos en el fichero no se encuentren identificados en la lista, se deben especificar de forma resumida en esta sección. (100 caracteres máximo). Sistema de tratamiento: Es el modo en que se organiza la información o utiliza un sistema de información. Atendiendo al sistema de tratamiento, los sistemas de información podrían ser automatizados, no automatizados (manual-papel) o parcialmente automatizados (mixto). Esta información se muestra cumplimentada por defecto en base a la información insertada en el módulo de esta aplicación denominado "Inventario de Ficheros", para cambiar el nivel de seguridad se tendrá que modificar en dicho módulo Acciones Las acciones que se pueden realizar son: Permite acceder al listado de todos los ficheros con datos de carácter personal de la organización censados en la aplicación. Guarda y valida los datos introducidos. En el supuesto que la información dada del fichero no haya podido ser validada en su totalidad, bien por inconsistencia de los datos introducidos o por falta de un dato de inserción obligatoria, la aplicación mostrará un resultado de la validación, en el que se comunica la información pendiente de validar. El fichero con información pendiente de validar continuará en estado de creado, siendo un fichero validado en su totalidad el que será susceptible de notificar vía electrónica a la Agencia Española de Protección de datos, mostrándose en este caso en el módulo Envíos Pendientes.

64 21 NOTIFICACIONES AEPD Edición de Formularios Origen y procedencia 21.1 Introducción Toda la información relativa a los ficheros, se divide en dos módulos de la aplicación "Inventario de Ficheros" y "Notificaciones AEPD". En este submódulo Edición de Formularios, se deberán cumplimentar los apartados (Pestañas) del formulario que describen el fichero con toda la información que requiere la Agencia Española de Protección de Datos para la inscripción de un fichero en el Registro General de Protección de Datos, permitiéndose así, la notificación electrónica de dichos ficheros con datos de carácter personal de titularidad privada. Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco: De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información. Del carácter obligatorio o facultativo de la respuesta. De las consecuencias de la obtención de los datos o de la negativa a suministrarlos. De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición. De la identidad y dirección del responsable del tratamiento, o en su caso, del representante. Si los datos no se obtienen directamente del interesado, éste deberá ser informado de forma expresa, precisa e inequívoca, por el responsable del fichero o su representante, dentro de los tres meses siguientes al momento del registro de los datos.

65 21.2 Datos Los datos que se requieren cumplimentar en la pestaña siguientes: son los Procedencia de los datos: Se marcará al menos una de las casillas correspondientes al origen de los datos de carácter personal del fichero. Es de inserción obligatoria. Fuentes accesibles al público: Son aquellos ficheros que pueden ser consultados por cualquier persona sin más limitación que, en su caso, el abono de una contraprestación. Tienen la consideración de fuentes de acceso público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público, los diarios y boletines oficiales y los medios de comunicación. Colectivos o categorías de interesados: Debe seleccionar de la lista al menos un colectivo o persona origen de la información del fichero, tanto si el colectivo o grupo de

66 personas está recogido explícita o implícitamente en el fichero. Se podrán seleccionar 6 categorías de interesados como máximo. La selección en la lista se podrá realizar una a una a través de la acción deshacer todos los valores seleccionados a través de la acción la acción., para y una a una con Otros colectivos: En el caso de que el colectivo no se encuentre identificado en la lista, debe especificarse de forma resumida en esta sección. (100 caracteres máximo) Acciones Las acciones que se pueden realizar son: Permite acceder al listado de todos los ficheros con datos de carácter personal de la organización censados en la aplicación y que se encuentran en Estado de Creado. Guarda y valida los datos introducidos. En el supuesto que la información dada del fichero no haya podido ser validada en su totalidad, bien por inconsistencia de los datos introducidos o por falta de un dato de inserción obligatoria, la aplicación mostrará un resultado de la validación, en el que se comunica la información pendiente de validar. El fichero con información pendiente de validar continuará en estado de creado, siendo un fichero validado en su totalidad el que será susceptible de notificar vía electrónica a la Agencia Española de Protección de datos, mostrándose en este caso en el módulo Envíos Pendientes.

67 22 NOTIFICACIONES AEPD Edición de Formularios Transferencias internacionales 22.1 Introducción Toda la información relativa a los ficheros, se divide en dos módulos de la aplicación "Inventario de Ficheros" y "Notificaciones AEPD". En este submódulo Edición de Formularios, se deberán cumplimentar los apartados (Pestañas) del formulario que describen el fichero con toda la información que requiere la Agencia Española de Protección de Datos para la inscripción de un fichero en el Registro General de Protección de Datos, permitiéndose así, la notificación electrónica de dichos ficheros con datos de carácter personal de titularidad privada. Este apartado (pestaña) únicamente ha de cumplimentarse en el caso de que se realice o esté previsto realizar un tratamiento de datos fuera del territorio del Espacio Económico Europeo. Austria Bélgica Bulgaria Chipre República Checa Dinamarca Estonia Finlandia Francia Alemania Grecia Hungría Islandia Irlanda Italia Liechtenstein Letonia Lituania Luxemburgo Malta Países Bajos Noruega Polonia Portugal Rumanía Rep. Eslovaca Eslovenia España Suecia Reino Unido Este movimiento de datos dentro del Espacio Económico Europeo, a los efectos de aplicación de la LOPD se considera, bien una cesión de datos o una prestación de servicios en los artículos 11, 12 y 21. y está sujeta por lo tanto al cumplimiento de lo dispuesto

68 Países con un nivel adecuado de protección (Esta relación es periódicamente actualizada por la Agencia Española de protección de Datos y que debe ser consultada a través de su página: Países Resolución SUIZA Decisión de la Comisión 2000/518/ CE, de 26 de julio de Entidades Estadounidenses adheridas a los principios de Puerto Seguro CANADÁ Decisión 2000/520/CE de la Comisión de 26 de julio de 2000 Respecto de las entidades sujetas al ámbito de aplicación de la ley canadiense de protección de datos, de acuerdo con la Decisión 2002/2/CE de la Comisión de 20 de diciembre de ARGENTINA Decisión 2003/490/CE, de la Comisión de 30 de junio de GUERNSEY Decisión 2003/821/CE de la Comisión, de 21 de noviembre de ISLA DE MAN Decisión 2004/411/CE de la Comisión, de 28 de abril de JERSEY Decisión 2008/393/CE de la Comisión, de 8 de mayo ISLAS FEROE Decisión 2010/146/UE de la Comisión de 5 de marzo de ANDORRA ISRAEL Decisión 2010/625/UE, de la Comisión de 19 de octubre de Decisión de la Comisión de 31 de enero de 2011 de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo. En el caso de que la transferencia tenga como destino un país que no proporcione un nivel de protección adecuado al que presta la LOPD, dicha transferencia deberá ampararse en alguna de las excepciones previstas en el art. 34 de la LOPD. En caso contrario, deberá solicitar la preceptiva autorización del Director de la Agencia Española de Protección de Datos.

69 Excepciones previstas (ART. 34 LOPD) Cuando la transferencia internacional de datos de carácter personal resulte de la aplicación de tratados o convenios en los que sea parte España. Cuando la transferencia se haga a efectos de prestar o solicitar auxilio judicial internacional. Cuando la transferencia sea necesaria para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamiento médicos o la gestión de servicios sanitarios. Cuando se refiera a transferencias dinerarias conforme a su legislación específica. Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista, para que dicho consentimiento tenga la consideración de inequívoco, será obligatorio que en la solicitud del mismo conste, además del destinatario de la transferencia, el país de destino, así como, la finalidad específica y determinada para la que se transfieren los datos de carácter personal. Cuando la transferencia sea necesaria para la ejecución de un contrato entre el afectado y el responsable del fichero o para la adopción de medidas precontractuales adoptadas a petición del afectado. Cuando la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar, en interés del afectado, por el responsable del fichero y un tercero. Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público. Tendrá esta consideración la transferencia solicitada por una Administración fiscal o aduanera para el cumplimiento de sus competencias. Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial. Cuando la transferencia se efectúe, a petición de persona con interés legítimo, desde un Registro Público y aquélla sea acorde con la finalidad del mismo.

70 22.2 Datos Los datos que se requieren cumplimentar en la pestaña siguientes: son los Países: Se debe seleccionar de la lista el país donde se tiene previsto realizar la transferencia. Categorías de destinatarios: Se debe seleccionar de la lista la categoría de destinatarios de la transferencia de datos personales. Para visualizar la descripción completa de los destinatarios debe situar el cursor sobre la descripción. País - Otras categorías: En el caso de que la categoría de destinatarios no se encuentre identificada en la lista, debe seleccionar el país e indicar la categoría de destinatarios Acciones Las acciones que se pueden realizar son: Permite acceder al listado de todos los ficheros con datos de carácter personal de la organización censados en la aplicación y que se encuentran en Estado de Creado.

71 Guarda y valida los datos introducidos. En el supuesto que la información dada del fichero no haya podido ser validada en su totalidad, bien por inconsistencia de los datos introducidos o por falta de un dato de inserción obligatoria, la aplicación mostrará un resultado de la validación, en el que se comunica la información pendiente de validar. El fichero con información pendiente de validar continuará en estado de creado, siendo un fichero validado en su totalidad el que será susceptible de notificar vía electrónica a la Agencia Española de Protección de datos, mostrándose en este caso en el módulo Envíos Pendientes.

72 23 NOTIFICACIONES AEPD Edición de Formularios Cesiones de datos 23.1 Introducción Toda la información relativa a los ficheros, se divide en dos módulos de la aplicación "Inventario de Ficheros" y "Notificaciones AEPD". En este submódulo Edición de Formularios, se deberán cumplimentar los apartados (Pestañas) del formulario que describen el fichero con toda la información que requiere la Agencia Española de Protección de Datos para la inscripción de un fichero en el Registro General de Protección de Datos, permitiéndose así, la notificación electrónica de dichos ficheros con datos de carácter personal de titularidad privada. Este apartado (pestaña) sólo deberá cumplimentarse en el caso de que se prevea realizar cesiones o comunicaciones de datos del fichero. No se considerará cesión de datos la prestación de un servicio al responsable del fichero por parte del encargado del tratamiento. El encargado de tratamiento es un tercero que realiza un tratamiento de datos personales por cuenta del Responsable del fichero. La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato por escrito o en alguna otra forma que permita acreditar su celebración y contenido. La comunicación de los datos ha de ampararse en alguno de los supuestos legales establecidos en la LOPD, que son los siguientes: Para realizar cesiones o comunicaciones de datos se deberá contar con el consentimiento de los afectados, salvo cuando; o Hayan sido recogidos de fuentes accesibles al público. Fuentes accesibles al público: Son aquellos ficheros que pueden ser consultados por cualquier persona sin más limitación que, en su caso, el abono de una contraprestación. Tienen la consideración de fuentes de acceso público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público, los diarios y boletines oficiales y los medios de comunicación. o El tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la comunicación. o Que exista una Ley que autoriza la comunicación o cesión. o La comunicación tenga por destinatario el Defensor del Pueblo, el Ministerio Fiscal, Jueces o Tribunales. o Cesiones entre Administraciones Públicas con fines históricos, estadísticos o científicos. o La cesión de datos de salud cuando sean necesarios para solucionar una urgencia o para realizar estudios epidemiológicos. Los datos sólo podrán ser comunicados para el cumplimiento de fines relacionados con las funciones del cedente y cesionario.

73 23.2 Datos Los datos que se requieren cumplimentar en la pestaña siguientes: son los Categoría de destinatarios de cesiones: Debe seleccionar de la lista los destinatarios o categorías de destinatarios de las cesiones. Se aconseja consultar toda la lista de destinatarios con el fin de poder seleccionar aquellos que mejor determinen al cesionario. Para visualizar la descripción completa de los destinatarios debe situar el cursor sobre la descripción. Se podrán seleccionar 6 categorías de destinatarios como máximo. La selección en la lista se podrá realizar una a una a través de la acción deshacer todos los valores seleccionados a través de la acción con la acción., para y una a una Otros destinatarios: En el caso de que los destinatarios no se encuentren identificados en la lista, debe especificarse de forma resumida en esta sección. (100 caracteres máximo) Acciones Las acciones que se pueden realizar son: Permite acceder al listado de todos los ficheros con datos de carácter personal de la organización censados en la aplicación y que se encuentran en Estado de Creado.

74 Guarda y valida los datos introducidos. En el supuesto que la información dada del fichero no haya podido ser validada en su totalidad, bien por inconsistencia de los datos introducidos o por falta de un dato de inserción obligatoria, la aplicación mostrará un resultado de la validación, en el que se comunica la información pendiente de validar. El fichero con información pendiente de validar continuará en estado de creado, siendo un fichero validado en su totalidad el que será susceptible de notificar vía electrónica a la Agencia Española de Protección de datos, mostrándose en este caso en el módulo Envíos Pendientes.

75 24 NOTIFICACIONES AEPD Edición de Formularios Derechos ARCO 24.1 Introducción Toda la información relativa a los ficheros, se divide en dos módulos de la aplicación "Inventario de Ficheros" y "Notificaciones AEPD". En este submódulo Edición de Formularios, se deberán cumplimentar los apartados (Pestañas) del formulario que describen el fichero con toda la información que requiere la Agencia Española de Protección de Datos para la inscripción de un fichero en el Registro General de Protección de Datos, permitiéndose así, la notificación electrónica de dichos ficheros con datos de carácter personal de titularidad privada. La pestaña es la información relativa a la dirección donde se prevea atender al ciudadano que desee ejercitar sus derechos de acceso, rectificación, cancelación y oposición (ARCO). Esta información aparece cumplimentada por defecto con los datos previamente introducidos de la Empresa, pudiendo modificarse si así se desea.

76 Derecho de Acceso: Toda persona tiene derecho a solicitar y obtener gratuitamente información de sus datos de carácter personal, el origen de dichos datos y las comunicaciones realizadas o que se prevén hacer de los mismos. El acceso a los datos podrá realizarse: Facilitando su visualización, Indicando los datos por escrito, copia, fax, fotocopia o correo electrónico. No se podrán utilizar claves o códigos que lo hagan inteligible. La persona sólo podrá ejercitar su derecho de acceso a sus datos a intervalos no inferiores a 12 meses, salvo que acredite interés legítimo. Derecho de Rectificación: Toda persona tiene derecho a solicitar que se modifiquen sus datos de carácter personal inexactos o incompletos. La solicitud de rectificación deberá indicar: A qué datos se refiere, La corrección que haya que realizarse, E ir acompañada de la documentación justificativa de lo solicitado. Derecho de Cancelación: Toda persona tiene derecho a solicitar que se eliminen sus datos de carácter personal que sean inadecuados o excesivos. Antes de proceder a la eliminación de los datos se podrán bloquear, para tenerlos a disposición de las Administraciones Públicas, Jueces y Tribunales, para atender las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de éstas, cumplido este plazo deberán eliminarse los datos. Derecho de Oposición: Toda persona tiene derecho a solicitar que no se lleve a cabo el tratamiento de sus datos de carácter personal o se cese en el mismo cuando: No sea necesario el su consentimiento para el tratamiento. Tengan por finalidad la realización de actividades de publicidad y prospección comercial. Tengan por finalidad la adopción de una decisión referida al interesado y basada en un tratamiento automatizado de sus datos.

77 Pautas generales del procedimiento del derecho de acceso. El responsable del fichero resolverá sobre la solicitud en el plazo máximo de 1 mes desde la recepción de la solicitud. Deberá resolver tenga o no tenga datos del interesado. Si el responsable del fichero no acompañase a su comunicación la información, el acceso a los datos se hará durante los 10 días hábiles siguientes a dicha comunicación. Pautas generales del procedimiento del derecho de rectificación y cancelación. El responsable del fichero resolverá sobre la solicitud en el plazo máximo de 10 días hábiles desde la recepción de la solicitud. Deberá comunicar la rectificación o cancelación efectuada al cesionario (si ha cedido los datos a un tercero) en 10 días hábiles, para que éste, también en el plazo de 10 días hábiles proceda a rectificar o cancelar los datos Datos Pautas generales del procedimiento del derecho de oposición. El responsable del fichero resolverá sobre la solicitud en el plazo máximo de 10 días hábiles desde la recepción de la solicitud. En este plazo deberá excluir del tratamiento los datos relativos al afectado o bien denegar motivadamente la solicitud. La información de este apartado aparece cumplimentada por defecto con los datos previamente introducidos de la Empresa, en el módulo Datos de Empresa y se muestra bloqueada, pudiendo modificarse si así se desea. Nombre de la oficina o dependencia: Esta información se hereda de los datos de la empresa pudiendo modificarse si así se desea. Se debe indicar la oficina principal o dependencia a la que se dirigirá el afectado para el ejercicio de sus derechos. Es un dato de cumplimentación obligatoria. CIF/NIF: Código de Identificación Fiscal de la empresa o Número de Identificación Fiscal del autónomo. Esta información se hereda de los datos de la empresa pudiendo modificarse si así se desea. Dirección postal / Apartado de correos: A la que se dirigirá el afectado para el ejercicio de sus derechos. Es un dato de cumplimentación obligatoria. Esta información se hereda de los datos de la empresa pudiendo modificarse si así se desea. Localidad: Esta información se hereda de los datos de la empresa pudiendo modificarse si así se desea. Es un dato de cumplimentación obligatoria. CP: Código Postal. Esta información se hereda de los datos de la empresa pudiendo modificarse si así se desea. Es un dato de cumplimentación obligatoria.

78 Provincia: Esta información se hereda de los datos de la empresa pudiendo modificarse si así se desea. Es un dato de cumplimentación obligatoria. País: Esta información se hereda de los datos de la empresa pudiendo modificarse si así se desea. Es un dato de cumplimentación obligatoria. Cuando el responsable del fichero no esté establecido en el territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, deberá designar, salvo que tales medios se utilicen con fines de tránsito, un representante en España, sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable del tratamiento. En este caso, deberá cumplimentar obligatoriamente los datos de su representante en España para facilitar y garantizar los derechos de oposición, acceso, rectificación y cancelación. Teléfono: Esta información se hereda de los datos de la empresa pudiendo modificarse si así se desea. Fax: Esta información se hereda de los datos de la empresa pudiendo modificarse si así se desea. Correo electrónico: Esta información se hereda de los datos de la empresa pudiendo modificarse si así se desea Acciones Las acciones que se pueden realizar son: Permite acceder al listado de todos los ficheros con datos de carácter personal de la organización censados en la aplicación y que se encuentran en Estado de Creado. Guarda y valida los datos introducidos. En el supuesto que la información dada del fichero no haya podido ser validada en su totalidad, bien por inconsistencia de los datos introducidos o por falta de un dato de inserción obligatoria, la aplicación mostrará un resultado de la validación, en el que se comunica la información pendiente de validar. El fichero con información pendiente de validar continuará en estado de creado, siendo un fichero validado en su totalidad el que será susceptible de notificar vía electrónica a la Agencia Española de Protección de datos, mostrándose en este caso en el módulo Envíos Pendientes.

79 25 NOTIFICACIONES AEPD Edición de Formularios Encargado de Tratamiento 25.1 Introducción Toda la información relativa a los ficheros, se divide en dos módulos de la aplicación "Inventario de Ficheros" y "Notificaciones AEPD". En este submódulo Edición de Formularios, se deberán cumplimentar los apartados (Pestañas) del formulario que describen el fichero con toda la información que requiere la Agencia Española de Protección de Datos para la inscripción de un fichero en el Registro General de Protección de Datos, permitiéndose así, la notificación electrónica de dichos ficheros con datos de carácter personal de titularidad privada. Este apartado únicamente habrá de cumplimentarse cuando un tercero realiza el tratamiento de los datos de carácter personal por cuenta del responsable, e implique una ubicación del fichero distinta a la indicada en el apartado. Si existen varios encargados del tratamiento se recomienda que se haga constar la denominación del encargado que realice el tratamiento de datos que pueda implicar una mayor duración en el tiempo, o riesgos mayores según el tipo y la cantidad de datos tratados. La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas. Una persona que trabaja bajo la dependencia o autoridad directa del responsable del fichero, debido a una relación contractual dentro del ámbito del derecho laboral, no tiene la consideración de encargado del tratamiento a los efectos de la LOPD.

80 25.2 Datos Los datos que se requieren cumplimentar en la pestaña siguientes: son los Denominación social del encargado del tratamiento: Se debe indicar la persona física o jurídica encargada del tratamiento de datos de carácter personal. Es un dato de cumplimentación obligatoria. CIF/NIF: Código de Identificación Fiscal de la empresa o Número de Identificación Fiscal del autónomo. Dirección postal: del encargado de tratamiento. Es un dato de cumplimentación obligatoria. Localidad: del encargado de tratamiento. Es un dato de cumplimentación obligatoria. CP: Código Postal. del encargado de tratamiento. Es un dato de cumplimentación obligatoria. Provincia: del encargado de tratamiento. Es un dato de cumplimentación obligatoria.

81 País: del encargado de tratamiento. Es un dato de cumplimentación obligatoria. Si se encuentra fuera del Espacio Económico Europeo deberá cumplimentar obligatoriamente el apartado. Austria Bélgica Bulgaria Chipre República Checa Dinamarca Estonia Finlandia Francia Alemania Países del Espacio Económico Europeo: Grecia Hungría Islandia Irlanda Italia Liechtenstein Letonia Lituania Luxemburgo Malta Teléfono: del encargado de tratamiento. Fax: del encargado de tratamiento. Correo electrónico: del encargado de tratamiento Acciones Las acciones que se pueden realizar son: Países Bajos Noruega Polonia Portugal Rumanía Rep. Eslovaca Eslovenia España Suecia Reino Unido Permite acceder al listado de todos los ficheros con datos de carácter personal de la organización censados en la aplicación y que se encuentran en Estado de Creado. Guarda y valida los datos introducidos. En el supuesto que la información dada del fichero no haya podido ser validada en su totalidad, bien por inconsistencia de los datos introducidos o por falta de un dato de inserción obligatoria, la aplicación mostrará un resultado de la validación, en el que se comunica la información pendiente de validar. El fichero con información pendiente de validar continuará en estado de creado, siendo un fichero validado en su totalidad el que será susceptible de notificar vía electrónica a la Agencia Española de Protección de datos, mostrándose en este caso en el módulo Envíos Pendientes.

82 26 NOTIFICACIONES AEPD Edición de Formularios Hoja de Solicitud 26.1 Introducción Es la solicitud de inscripción en el Registro General de Protección de Datos del fichero con datos de carácter personal al que hace referencia el formulario de notificación a la Agencia Española de Protección de Datos. El Registro inscribirá el fichero si la notificación se ajusta a los requisitos exigibles y siempre y cuando en el plazo máximo de 15 días se remita por FAX ( ó ) o correo postal (Agencia Española de Protección de Datos. C/ Jorge Juan, Madrid) la hoja de solicitud firmada por el declarante del fichero y que se proporciona en la sección Envíos Realizados al pulsar el icono (Ver hoja de solicitud). Si se remite varios ficheros en un mismo envío, bastará con que firme y envíe una sola hoja de solicitud de inscripción de todos ellos. Transcurrido 1 mes desde la presentación de la solicitud de inscripción sin que la AEPD hubiera resuelto sobre la misma, se entenderá inscrito el fichero a todos los efectos. Antes de realizar el envío de la notificación deberá leer y aceptar la información relativa a los deberes que conlleva la firma de la Hoja de solicitud: De conformidad con lo establecido en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, solicito la inscripción en el Registro General de Protección de Datos del fichero de datos de carácter personal al que hace referencia el presente formulario de notificación. Asimismo, bajo mi responsabilidad manifiesto que dispongo de representación suficiente para solicitar la inscripción de este fichero en nombre del responsable del fichero y que éste está informado del resto de obligaciones que se derivan de la LOPD. Igualmente, declaro que todos los datos consignados son ciertos y que el responsable del fichero ha sido informado de los supuestos legales que habilitan el tratamiento de datos especialmente protegidos, así como la cesión y la transferencia internacional de datos. La Agencia Española de Protección de Datos podrá requerir que se acredite la representación de la persona que formula la presente notificación.

83 Los datos del Responsable del fichero y la dirección a efectos de notificación aparecen cumplimentados por defecto con los datos previamente introducidos de la Empresa en la sección "Datos Empresa. Los datos relativos al declarante deben ser introducidos en la primera solicitud de inscripción de fichero que se realice, en las sucesivas solicitudes se mostrarán los datos

84 del primer declarante de un fichero de la empresa, permitiendo su modificación en el caso de que el declarante no sea el mismo Datos Los datos que se requieren cumplimentar en la pestaña siguientes: Datos del responsable del fichero son los Los datos del Responsable del fichero aparecen cumplimentados por defecto con los datos previamente introducidos de la Empresa, en el módulo Datos de Empresa y se muestra bloqueada, si se desea modificar se debe realizar desde ese módulo. Razón social o nombre y apellidos: Esta información se hereda de los datos de la empresa y se muestra bloqueada. Indica la persona física o jurídica responsable del

85 fichero que decida sobre la finalidad, contenido y uso del mismo. (Una persona que trabaja bajo la dependencia o autoridad directa del responsable del fichero, debido a una relación contractual dentro del ámbito del derecho laboral, no tiene la consideración de responsable del fichero a los efectos de la Ley Orgánica de Protección de Datos). CIF/NIF: Código de Identificación Fiscal de la empresa o Número de Identificación Fiscal del autónomo. Esta información se hereda de los datos de la empresa y se muestra bloqueada, si se desea modificar se debe realizar desde ese módulo. Declarante: Persona física que representa al responsable de fichero ante la AEPD Los datos relativos al declarante deben ser introducidos en la primera solicitud de inscripción de fichero que se realice, en las sucesivas solicitudes se mostrarán los datos del primer declarante de un fichero de la empresa, permitiendo su modificación en el caso de que el declarante no sea el mismo. Nombre: del declarante del fichero. Es un dato de inserción obligatoria. Primer apellido: del declarante del fichero. Es un dato de inserción obligatoria. Segundo apellido: del declarante del fichero. NIF: Número de Identificación Fiscal del declarante del fichero. Cargo o condición del firmante en relación con el responsable del fichero: Cargo del declarante del fichero en relación con el responsable de mismo. Es un dato de inserción obligatoria. Dirección a efectos de notificación La dirección a efectos de notificación aparece cumplimentada por defecto con los datos previamente introducidos de la Empresa, en el módulo Datos de Empresa y se muestra bloqueada, si se desea modificar se debe realizar desde ese módulo. Razón social o nombre y apellidos: Esta información se hereda de los datos de la empresa y se muestra bloqueada, si se desea modificar se debe realizar desde ese módulo. Dirección postal: Esta información se hereda de los datos de la empresa y se muestra bloqueada, si se desea modificar se debe realizar desde ese módulo. Localidad: Esta información se hereda de los datos de la empresa y se muestra bloqueada, si se desea modificar se debe realizar desde ese módulo. CP: Código Postal. Esta información se hereda de los datos de la empresa y se muestra bloqueada, si se desea modificar se debe realizar desde ese módulo. Provincia: Esta información se hereda de los datos de la empresa y se muestra bloqueada, si se desea modificar se debe realizar desde ese módulo. País: Esta información se hereda de los datos de la empresa y se muestra bloqueada, si se desea modificar se debe realizar desde ese módulo. Teléfono: Esta información se hereda de los datos de la empresa y se muestra bloqueada, si se desea modificar se debe realizar desde ese módulo. Fax: Esta información se hereda de los datos de la empresa y se muestra bloqueada, si se desea modificar se debe realizar desde ese módulo. Correo electrónico: Esta información se hereda de los datos de la empresa y se muestra bloqueada, si se desea modificar se debe realizar desde ese módulo. Medio de notificación: Siempre se mostrará por defecto sin posibilidad de modificación Correo Postal Certificado.

86 Dirección electrónica servicio notificaciones: No cumplimentar. Conocimiento deberes del declarante: Aparecerá marcado siempre por defecto, sin posibilidad de desmarcar, ya que si no el sistema no validará la hoja de solicitud y no se podrá remitir el fichero a la AEPD Acciones Las acciones que se pueden realizar son: Permite modificar los datos del declarante. Los datos relativos al declarante deben ser introducidos en la primera solicitud de inscripción de fichero que se realice, en las sucesivas solicitudes se mostrarán los datos del primer declarante de un fichero de la empresa, permitiendo su modificación en el caso de que el declarante no sea el mismo. Una vez modificados los datos se deberá pulsar la acción. Permite borrar los datos del declarante del fichero, para su modificación en el caso de que no sean los mismos. Permite cancelar la acción de modificar los datos del declarante y vuelve al formulario de hoja de solicitud. Permite acceder al listado de todos los ficheros con datos de carácter personal de la organización censados en la aplicación y que se encuentran en Estado de Creado. Guarda y valida los datos introducidos. En el supuesto que la información dada del fichero no haya podido ser validada en su totalidad, bien por inconsistencia de los datos introducidos o por falta de un dato de inserción obligatoria, la aplicación mostrará un resultado de la validación, en el que se comunica la información pendiente de validar. El fichero con información pendiente de validar continuará en estado de creado, siendo un fichero validado en su totalidad el que será susceptible de notificar vía electrónica a la Agencia Española de Protección de datos, mostrándose en este caso en el módulo Envíos Pendientes.

87 27 NOTIFICACIONES AEPD Edición de Formularios Modificación 27.1 Introducción Si el fichero que se procede a modificar ya estaba inscrito en el Registro General de Protección de Datos, la modificación del mismo ha de notificarse a la Agencia Española de Protección de Datos, para ello, es preciso el código y fecha de inscripción del fichero. Si esta información no consta insertada en la aplicación en el módulo Estado Notificaciones se solicitará por la aplicación al proceder a modificar los datos de un formulario ya inscrito en el Registro. Para determinar la fecha se recomienda utilizar el calendario a fin de que ésta se cumplimente con el formato requerido por la aplicación (dd/mm/aaaa). En el apartado (pestaña) de modificación se deben marcar los apartados que se van a modificar respecto a la notificación anterior, posteriormente realizar las modificaciones en el formulario y después pulsar el botón. El formulario modificado, con código y fecha de inscripción, y validado por la aplicación, se mostrará en la página o módulo de la aplicación denominada Envíos Pendientes, para proceder a su notificación a la AEPD. Se debe de tener en cuenta que para modificar la denominación social del responsable del fichero, deberá acompañar documentación que justifique el cambio con la hoja de solicitud.

88 27.2 Acciones Las acciones que se pueden realizar son: Permite acceder al listado de los ficheros con datos de carácter personal de la organización censados en la aplicación. Guarda y valida los datos introducidos. En el supuesto que la información dada del fichero no haya podido ser validada en su totalidad, bien por inconsistencia de los datos introducidos o por falta de un dato de inserción obligatoria, la aplicación mostrará un resultado de la validación, en el que se comunica la información pendiente de validar. El fichero con información pendiente de validar continuará en estado de creado, siendo un fichero validado en su totalidad el que será susceptible de notificar vía electrónica a la Agencia Española de Protección de datos, mostrándose en este caso en el módulo Envíos Pendientes.

89 28 NOTIFICACIONES AEPD Edición de Formularios Supresión 28.1 Introducción Si el fichero que se procede a eliminar Protección de Datos, la supresión del mismo ha de notificarse a la Agencia Española de Protección de Datos, para ello, es preciso el código y fecha de inscripción del fichero. Si esta información no consta insertada en la aplicación en el módulo Estado Notificaciones se solicitará por la aplicación al proceder a suprimir el fichero ya inscrito en el Registro. ya estaba inscrito en el Registro General de Para determinar la fecha se recomienda utilizar el calendario a fin de que ésta se cumplimente con el formato requerido por la aplicación (dd/mm/aaaa). Cuando se notifique la supresión de un fichero por responsable distinto del que figura inscrito en el Registro General de Protección de Datos deberá acompañar con la hoja de solicitud la documentación fehaciente que justifique el cambio del titular.

90 28.2 Datos Los datos que se requieren cumplimentar en la pestaña son los siguientes: Código de Inscripción asignado por la Agencia Española: El código de inscripción se mostrará siempre cumplimentado en el formulario de supresión, si a la aplicación no le constaba, lo solicitará antes de mostrar el formulario. Dato de inserción obligatoria (*). Motivos de la supresión: Se deberá indicar brevemente (140 caracteres máximo) la razón por la que se desea proceder a la supresión de inscripción del fichero con datos de carácter personal en el Registro General de Protección de Datos. Dato de inserción obligatoria (*). Destino de la información o previsiones adoptadas para su destrucción: Se deberá indicar brevemente (210 caracteres máximo) el destino de la información o si se va a proceder a destruir el fichero, indicar las previsiones adoptadas para ello. Dato de inserción obligatoria (*) Acciones Las acciones que se pueden realizar son: Antes de proceder a eliminar el fichero se muestran en modo consulta (sin posibilidad de modificar) los datos identificativos del fichero y su estructura básica, a fin de que se compruebe que efectivamente es el fichero que se desea eliminar, si es así, se pulsará el botón, solicitando la aplicación confirmación de dicha acción. Permite acceder al listado de los ficheros con datos de carácter personal de la organización censados en la aplicación. Guarda y valida los datos introducidos. En el supuesto que la información dada del fichero no haya podido ser validada en su totalidad, bien por inconsistencia de los datos introducidos o por falta de un dato de inserción obligatoria, la aplicación mostrará un resultado de la validación, en el que se comunica la información pendiente de validar. El fichero con información pendiente de validar continuará en estado de creado, siendo un fichero validado en su totalidad el que será susceptible de notificar vía electrónica a la Agencia Española de Protección de datos, mostrándose en este caso en el módulo Envíos Pendientes.

91 29 NOTIFICACIONES AEPD Envíos Pendientes 29.1 Introducción Muestra todos los ficheros con datos de carácter personal validados por la aplicación y por tanto susceptibles de remitir vía electrónica al Registro General de Protección de Datos. Toda persona o entidad que proceda a la creación de ficheros de datos de carácter personal debe notificarlo previamente a la AEPD. El Registro inscribirá el fichero si la notificación se ajusta a los requisitos exigibles y siempre y cuando en el plazo máximo de 15 días se remita por FAX ( ó ) o correo postal (Agencia Española de Protección de Datos. C/ Jorge Juan, Madrid) la hoja de solicitud firmada por el declarante del fichero y que se proporciona en la sección "Envíos realizados" al pulsar el icono (Ver hoja de solicitud). Transcurrido 1 mes desde la presentación de la solicitud de inscripción sin que la AEPD hubiera resuelto sobre la misma, se entenderá inscrito el fichero a todos los efectos. Las notificaciones de ficheros de datos de carácter personal se podrán realizar de forma unitaria, uno a uno, o múltiple, seleccionando varios ficheros para enviar. Si se remite varios ficheros en un mismo envío, bastará con que firme y envíe una sola hoja de solicitud de inscripción de todos ellos Datos Los datos por los que se identifica cada uno de los ficheros censados son los siguientes: Direc./Dpto.: Identifica la Dirección o Departamento que trata los datos. Por defecto y el supuesto que la organización no tenga una estructura departamental se identificará a la empresa o autónomo como responsable interno de los ficheros. Este dato no se declara a la Agencia Española de Protección de Datos, su finalidad es permitir que a nivel interno de la empresa se pueda identificar el fichero por el departamento concreto que trata los datos. Fichero: Nombre o denominación dada al fichero y que lo identifica. Si la denominación no se muestra en su totalidad, sobrevolando el cursor sobre el literal podrá visualizar el texto completo. Tipo: Señala el tipo de notificación del fichero realizada a la Agencia Española de Protección de Datos (AEPD). Notificar una nueva inscripción, creación, una modificación de un fichero que ya figura inscrito en el Registro General de Protección de Datos (RGPD) o una supresión de un fichero que, igualmente, ya figura inscrito en el RGPD. Estado: Los estados en que se puede encontrar un fichero son los siguientes:

92 o Creado: Fichero registrado en la aplicación, con toda o parte de la información requerida en los distintos apartados (pestañas) de creación de ficheros. o Validado: Fichero que tiene toda la información requerida en los distintos apartados (pestañas) de creación, que ha sido comprobada y aceptada por la aplicación y por tanto, el fichero está preparado para notificarlo a la Agencia Española de Protección de Datos. o Enviado AEPD: Fichero notificado a la Agencia Española de Protección de Datos. o Confirmado AEPD: Fichero inscrito en el Registro General de Protección de Datos. En la aplicación ya consta que se ha insertado por el usuario el código de inscripción que comunica la Agencia Española de Protección de Datos (AEPD) vía correo postal en el plazo máximo de 1 mes. Transcurrido 1 mes desde la presentación de la solicitud de inscripción sin que la AEPD hubiera resuelto sobre la misma, se entenderá inscrito el fichero a todos los efectos. Enviar: Permite seleccionar los ficheros que se desean enviar (notificar) telemáticamente a la Agencia Española de Protección de Datos ficheros con datos de carácter personal. La notificación se podrá realizar de forma unitaria, uno a uno, o múltiple. Antes de pulsar la acción se han de seleccionar los ficheros a enviar Acciones Las acciones que se pueden realizar son: Permite acceder a los diferentes datos que identifican al formulario de notificación. A través de esta acción se podrán realizar las modificaciones o inserciones que se requieran en la información de las ocho pestañas que se muestran además de la correspondiente hoja de solicitud y de modificación. Si el fichero que se procede a modificar ya estaba inscrito en el Registro General de Protección de Datos, la modificación del mismo ha de notificarse a la Agencia Española de Protección de Datos, para ello, es preciso el código y fecha de inscripción del fichero. Si esta información no consta, se solicitará por la aplicación. Para determinar la fecha se recomienda utilizar el calendario a fin de que ésta se cumplimente con el formato requerido por la aplicación (dd/mm/aaaa).

93 En el apartado (pestaña) de modificación se deben marcar las secciones que se han modificado y después pulsar el botón. El formulario modificado, con código y fecha de inscripción, y validado por la aplicación, se mostrará en la página o módulo de la aplicación denominada Envíos Pendientes, para proceder a su notificación a la AEPD. Permite la consulta del formulario sin posibilidad de modificación. Permite enviar (notificar) telemáticamente a la Agencia Española de Protección de Datos ficheros con datos de carácter personal. Antes de pulsar la acción se han de seleccionar los ficheros a enviar ya que la notificación se podrá realizar de forma unitaria, uno a uno, o múltiple. Al pulsar sobre el literal Direc./Dpto. o Fichero, la lista de ficheros se ordena alfabéticamente, bien en orden ascendente o descendente. Al pulsar sobre Tipo y Estado la lista se ordena por los distintos valores.

94 30 NOTIFICACIONES AEPD Proceso de Envío a la AEPD 30.1 Introducción Informa sobre el proceso telemático de envío y notificación de ficheros a la Agencia Española de Protección de Datos. En la parte superior de la página se informa de los ficheros seleccionados para el envío y el tipo de notificación que se va a realizar de cada uno de ellos: creación de una nueva inscripción. Modificación de un fichero ya inscrito. supresión de un fichero ya inscrito. A continuación la aplicación muestra un resumen de la transmisión, informando si la conexión con la AEPD es correcta o no. Si la conexión es correcta se informará: o del número de ficheros enviados, o del organismo responsable de los ficheros, o de los formulario/s enviado/s, o si el envío ha sido aceptado por la AEPD o si el XML (formulario de envío) ha sido tratado correctamente por la AEPD, o y el fin de la transmisión. Si la conexión no ha sido correcta informará: o La conexión con la AEPD ha fallado o no se encuentra disponible en este momento. En el caso de que la conexión no haya sido posible deberá intentar el envío en otro momento.

95 El Registro inscribirá el fichero si la notificación se ajusta a los requisitos exigibles y siempre y cuando en el plazo máximo de 15 días se remita por FAX ( ó ) o correo postal (Agencia Española de Protección de Datos. C/ Jorge Juan, Madrid) la hoja de solicitud firmada por el declarante del fichero y que se proporciona en la sección "Envíos realizados" al pulsar el icono (Ver hoja de solicitud). Transcurrido 1 mes desde la presentación de la solicitud de inscripción sin que la AEPD hubiera resuelto sobre la misma, se entenderá inscrito el fichero a todos los efectos Acciones Las acciones que se pueden realizar son: Permite acceder al listado de los ficheros con datos de carácter personal validados por la aplicación y por tanto susceptibles de remitir vía electrónica al Registro General de Protección de Datos.

96 31 NOTIFICACIONES AEPD Envíos Realizados 31.1 Introducción Muestra todos los ficheros con datos de carácter personal enviados (notificados) vía electrónica a la Agencia Española de protección de Datos. Se distinguen dos tipos de estado del fichero notificado a la AEPD: Enviado AEPD: relativo al fichero notificado a la Agencia, pero aún no inscrito en el Registro General de Protección de Datos. Confirmado AEPD: fichero inscrito en el Registro General de Protección de Datos. El Registro inscribirá el fichero si la notificación se ajusta a los requisitos exigibles y siempre y cuando en el plazo máximo de 15 días se remita por FAX ( ó ) o correo postal (Agencia Española de Protección de Datos. C/ Jorge Juan, Madrid) la hoja de solicitud firmada por el declarante del fichero y que se proporciona en la sección "Envíos realizados" al pulsar el icono (Ver hoja de solicitud). Transcurrido 1 mes desde la presentación de la solicitud de inscripción sin que la AEPD hubiera resuelto sobre la misma, se entenderá inscrito el fichero a todos los efectos Datos Los datos por los que se identifica cada uno de los ficheros censados son los siguientes: Direc./Dpto.: Identifica la Dirección o Departamento que trata los datos. Por defecto y el supuesto que la organización no tenga una estructura departamental se identificará a la empresa o autónomo como responsable interno de los ficheros. Este dato no se declara a la Agencia Española de Protección de Datos, su finalidad es permitir que a nivel interno de la empresa se pueda identificar el fichero por el departamento concreto que trata los datos.

97 Fichero: Nombre o denominación dada al fichero y que lo identifica. Si la denominación no se muestra en su totalidad, sobrevolando el cursor sobre el literal podrá visualizar el texto completo. Tipo: Señala el tipo de notificación del fichero realizada a la Agencia Española de Protección de Datos (AEPD). Notificar una nueva inscripción, creación, una modificación de un fichero que ya figura inscrito en el Registro General de Protección de Datos (RGPD) o una supresión de un fichero que, igualmente, ya figura inscrito en el RGPD. Estado: Los estados en que se puede encontrar un fichero son los siguientes: Creado: Fichero registrado en la aplicación, con toda o parte de la información requerida en los distintos apartados (pestañas) de creación de ficheros. Validado: Fichero que tiene toda la información requerida en los distintos apartados (pestañas) de creación, que ha sido comprobada y aceptada por la aplicación y por tanto, el fichero está preparado para notificarlo a la Agencia Española de Protección de Datos. Enviado AEPD: Fichero notificado a la Agencia Española de Protección de Datos. Confirmado AEPD: Fichero inscrito en el Registro General de Protección de Datos. En la aplicación ya consta que se ha insertado por el usuario el código de inscripción que comunica la Agencia Española de Protección de Datos (AEPD) vía correo postal en el plazo máximo de 1 mes. Transcurrido 1 mes desde la presentación de la solicitud de inscripción sin que la AEPD hubiera resuelto sobre la misma, se entenderá inscrito el fichero a todos los efectos. Fecha AEPD: Muestra la fecha en la que se ha inscrito el fichero en la Agencia Española de Protección de Datos, ya sea de una creación, modificación o supresión del fichero. Código: Código de inscripción del fichero dado por el Registro General de Protección de Datos. Cuando se muestre en este campo el literal se podrá pulsar sobre él, para insertar el código de inscripción que comunica la Agencia Española de Protección de Datos (AEPD) vía correo postal en el plazo máximo de 1 mes desde la fecha de comunicación (envío) a la Agencia Española de Protección de Datos. Pasando el fichero al estado de Confirmado AEPD.

98 Si se pulsa sobre un código de inscripción concreto la aplicación mostrará la página relativa a las diferentes comunicaciones realizadas a la Agencia Española de Protección de Datos del fichero con ese código de inscripción. Denegar: La AEPD puede denegar la inscripción de un fichero e informará del motivo, se debe marcar el fichero que ha sido denegado y pulsar, el fichero pasará al estado de Denegado y se mostrará en el "Inventario de ficheros - Consulta" y también en "Envíos Pendientes", desde donde se deberá adaptar a lo especificado por la AEPD para poder volver a realizar el envío de notificación Acciones Las acciones que se pueden realizar son: Permite la consulta del formulario sin posibilidad de modificación. Permite la visualización para su impresión y envío de la hoja de solicitud de inscripción en el Registro General de Protección de Datos. El Registro inscribirá el fichero si la notificación se ajusta a los requisitos exigibles y siempre y cuando en el plazo máximo de 15 días se remita por FAX ( ó ) o correo postal (Agencia Española de Protección de Datos. C/ Jorge Juan, Madrid) la hoja de solicitud firmada por el declarante del fichero.

99 Si se remiten varios ficheros en un mismo envío, bastará con que firme y envíe una sola hoja de solicitud de inscripción de todos ellos. Transcurrido 1 mes desde la presentación de la solicitud de inscripción sin que la AEPD hubiera resuelto sobre la misma, se entenderá inscrito el fichero a todos los efectos. Antes de realizar el envío de la notificación deberá leer y aceptar la información relativa a los deberes que conlleva la firma de la Hoja de solicitud: De conformidad con lo establecido en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, solicito la inscripción en el Registro General de Protección de Datos del fichero de datos de carácter personal al que hace referencia el presente formulario de notificación. Asimismo, bajo mi responsabilidad manifiesto que dispongo de representación suficiente para solicitar la inscripción de este fichero en nombre del responsable del fichero y que éste está informado del resto de obligaciones que se derivan de la LOPD. Igualmente, declaro que todos los datos consignados son ciertos y que el responsable del fichero ha sido informado de los supuestos legales que habilitan el tratamiento de datos especialmente protegidos, así como la cesión y la transferencia internacional de datos. La Agencia Española de Protección de Datos podrá requerir que se acredite la representación de la persona que formula la presente notificación. Cuando se muestre este literal en el campo Código, se podrá pulsar sobre él para insertar el código de inscripción que comunica la Agencia Española de Protección de Datos (AEPD) vía correo postal en el plazo máximo de 1 mes desde la fecha de comunicación (envío) a la Agencia Española de Protección de Datos. Pasando el fichero al estado de Confirmado AEPD. Si se pulsa sobre un código de inscripción concreto, la aplicación mostrará la página relativa a las diferentes comunicaciones realizadas a la Agencia Española de Protección de Datos del fichero con ese código de inscripción. La AEPD puede denegar la inscripción de un fichero e informará del motivo, se debe marcar el fichero que ha sido denegado y pulsar, el fichero pasará al estado de Denegado y se mostrará en el "Inventario de ficheros - Consulta" y también en "Envíos Pendientes", desde donde se deberá adaptar a lo especificado por la AEPD para poder volver a realizar el envío de notificación. Al pulsar sobre el literal Direc./Dpto. o Fichero, la lista de ficheros se ordena alfabéticamente, bien en orden ascendente o descendente. Al pulsar sobre Tipo, Estado, Fecha AEPD o Código, la lista se ordena por los distintos valores.

100

101 32 NOTIFICACIONES AEPD Respuesta AEPD 32.1 Introducción Listado de todas las respuestas, recibidas vía electrónica por la aplicación, de la Agencia Española de Protección de Datos, en relación a los ficheros notificados a la misma (acuse de recibo). Si al enviar un fichero y la conexión con la Agencia Española de Protección de Datos ha sido posible, la aplicación recibe de forma inmediata acuse de la recepción Datos Los datos por los que se identifica cada uno de los ficheros censados son los siguientes: Direc./Dpto.: Identifica la Dirección o Departamento que trata los datos. Por defecto y el supuesto que la organización no tenga una estructura departamental se identificará a la empresa o autónomo como responsable interno de los ficheros. Este dato no se declara a la Agencia Española de Protección de Datos, su finalidad es permitir que a nivel interno de la empresa se pueda identificar el fichero por el departamento concreto que trata los datos. Fichero: Nombre o denominación dada al fichero y que lo identifica. Si la denominación no se muestra en su totalidad, sobrevolando el cursor sobre el literal podrá visualizar el texto completo. Tipo: Señala el tipo de notificación del fichero realizada a la Agencia Española de Protección de Datos (AEPD). Notificar una nueva inscripción, creación, una modificación de un fichero que ya figura inscrito en el Registro General de Protección de Datos (RGPD) o una supresión de un fichero que, igualmente, ya figura inscrito en el RGPD. F. Solicitud: Fecha y hora en la que se realizó el envío telemático del fichero a la Agencia Española de Protección de Datos. Respuesta: Información que remite la Agencia Española de Protección de Datos relativa al fichero notificado (XML). A continuación se identifican cada una de las respuestas que se pueden recibir y la acción/es a realizar por el usuario del sistema:

102 Respuesta Acción/es a realizar El XML ha sido tratado correctamente Envío duplicado: La notificación enviada ya consta como recibida en la Agencia Española de Protección de Datos. Error en formato XML: El formato de la notificación enviada no cumple con la definición publicada por la Agencia Española de Protección de Datos del formato XML de notificación de ficheros al Registro General de Protección de Datos. Faltan datos obligatorios en la solicitud: La notificación enviada no contiene todos los datos obligatorios necesarios para realizar la inscripción en el Registro General de Protección de Datos. No hay manifestación del conocimiento de los deberes del declarante. En la solicitud no se ha manifestado que el declarante disponga de representación suficiente para solicitar la inscripción en nombre del responsable del fichero, que este esté informado del resto de obligaciones que se derivan de la LOPD, que todos los datos consignados son ciertos y que el responsable del fichero ha sido informado de los supuestos legales que habilitan el tratamiento de datos especialmente protegidos, la cesión y la transferencia internacional de datos. No volver a realizar el envío. Llame Atención al Cliente. Llame Atención al Cliente. Llame Atención al Cliente. Error interno del sistema, la solicitud no puede ser procesada. Vuelva a intentar el envío, si falla llame Atención al Cliente. Credenciales incorrectas. El formulario que ha utilizado para generar la notificación corresponde a una versión anterior a la última publicada. Llame Atención al Cliente. Llame Atención al Cliente. Nº Registro: Es el número de registro de entrada del fichero dado por la Agencia Española de protección de datos. No hay que confundirlo con el código de inscripción que lo comunica la Agencia Española de Protección de Datos (AEPD) vía correo postal en el plazo máximo de 1 mes desde la fecha de entrada (envío) a la AEPD.

103 Orden: Indica el orden en el que se ha comunicado el fichero, cuando se ha realizado un envío múltiple de ficheros a la Agencia Española de Protección de de Datos Acciones Las acciones que se pueden realizar son: Permite la consulta del formulario sin posibilidad de modificación. Al pulsar sobre el literal Direc./Dpto., Fichero o Respuesta, la lista de ficheros se ordena alfabéticamente, bien en orden ascendente o descendente. Al pulsar sobre Tipo, F. Solicitud, Nº Registro y Orden la lista se ordena por los distintos valores.

104 33 NOTIFICACIONES AEPD Estado Notificaciones 33.1 Introducción Muestra todos los ficheros con datos de carácter personal notificados vía electrónica a la Agencia Española de Protección de Datos. Se distinguen dos tipos de estado del fichero notificado a la Agencia: Enviado AEPD: Relativo al fichero notificado a la Agencia pero aún no inscrito en el Registro General. Confirmado AEPD: Fichero inscrito en el Registro General de Protección de Datos. En la aplicación ya consta que se ha insertado por el usuario el código de inscripción que comunica la Agencia Española de Protección de Datos (AEPD) vía correo ordinario en el plazo máximo de 1 mes. El estado que se muestra es en relación a la última notificación realizada del fichero Datos Los datos por los que se identifica cada uno de los ficheros censados son los siguientes: Direc./Dpto.: Identifica la Dirección o Departamento que trata los datos. Por defecto y el supuesto que la organización no tenga una estructura departamental se identificará a la empresa o autónomo como responsable interno de los ficheros. Este dato no se declara a la Agencia Española de Protección de Datos, su finalidad es permitir que a nivel interno de la empresa se pueda identificar el fichero por el departamento concreto que trata los datos. Fichero: Nombre o denominación dada al fichero y que lo identifica. Si la denominación no se muestra en su totalidad, sobrevolando el cursor sobre el literal podrá visualizar el texto completo. Tipo: Señala el tipo de notificación del fichero realizada a la Agencia Española de Protección de Datos (AEPD). Notificar una nueva inscripción, creación, una modificación de un fichero que ya figura inscrito en el Registro General de Protección de Datos (RGPD) o una supresión de un fichero que, igualmente, ya figura inscrito en el RGPD. Último Estado: El estado que se muestra es en relación a la última notificación realizada del fichero. Se distinguen dos tipos de estado del fichero notificado a la Agencia: o Enviado AEPD: Relativo al fichero notificado a la Agencia pero aún no inscrito en el Registro General.

105 o Confirmado AEPD: Fichero inscrito en el Registro General de Protección de Datos. En la aplicación ya consta que se ha insertado por el usuario el código de inscripción que comunica la Agencia Española de Protección de Datos (AEPD) vía correo ordinario en el plazo máximo de 1 mes Acciones Las acciones que se pueden realizar son: Permite enlazar con la página relativa a las diferentes comunicaciones realizadas a la Agencia Española de Protección de Datos de un fichero concreto, en el se deben cumplimentar los datos requeridos sobre las distintas notificaciones realizadas a la AEPD. Al pulsar sobre el literal Direc./Dpto. o Fichero, la lista de ficheros se ordena alfabéticamente, bien en orden ascendente o descendente. Al pulsar sobre Tipo o Último Estado la lista se ordena por los distintos valores.

106 34 NOTIFICACIONES AEPD Comunicaciones AEPD 34.1 Introducción Refleja las distintas notificaciones, histórico de notificaciones, realizadas a la Agencia Española de Protección de Datos de un fichero concreto: Su notificación de creación. Las diferentes notificaciones de modificación del fichero ya inscrito La notificación de supresión del fichero. Tanto para notificar una modificación como una supresión del fichero ya inscrito, el sistema requiere que se haya insertado, en este formulario, el código de inscripción con el que el fichero figura inscrito en el Registro General de Protección de Datos y que comunica la Agencia Española de Protección de Datos (AEPD) vía correo ordinario en el plazo máximo de 1 mes. Si el código de inscripción no figura en este formulario, la aplicación lo solicitará mediante el siguiente mensaje, tanto para notificar una modificación como una supresión del fichero ya inscrito el Registro General de Protección de Datos.

107 34.2 Datos Tipo de acción: Creación Los datos que se requieren cumplimentar son los siguientes: Fecha: Indica la fecha y hora en la que se realizó el envío. Se inserta de forma automática por el sistema. Usuario: Indica el usuario que realizó en envío. Se inserta de forma automática por el sistema. Estado: El estado de la notificación de creación (inscripción) del fichero. Se distinguen dos tipos de estado del fichero notificado a la Agencia:

108 o Enviado AEPD: Relativo al fichero notificado a la Agencia pero aún no inscrito en el Registro General. o Confirmado AEPD: Fichero inscrito en el Registro General de Protección de Datos. En la aplicación ya consta que se ha insertado por el usuario el código de inscripción que comunica la Agencia Española de Protección de Datos (AEPD) vía correo ordinario en el plazo máximo de 1 mes. Fecha comunicación a la AEPD: Indica la fecha y hora en el que se recibió el fichero en la Agencia Española de Protección de Datos. Se inserta de forma automática por el sistema. Fecha de inscripción en AEPD: Se debe indicar la fecha de inscripción del fichero en la Agencia Española de Protección de Datos, que comunica la Agencia vía correo ordinario en el plazo máximo de 1 mes. Código de Inscripción AEPD: Se debe indicar el código de inscripción del fichero que comunica la Agencia Española de Protección de Datos vía correo ordinario en el plazo máximo de 1 mes. Para determinar la fecha se recomienda utilizar el calendario a fin de que ésta se cumplimente con el formato requerido por la aplicación (dd/mm/aaaa) Datos Tipo de acción: Modificación Esta sección del formulario se mostrará tantas veces como modificaciones del fichero se hayan notificado a la Agencia Española de Protección de Datos. Los datos que se requieren cumplimentar son los siguientes: Fecha: Indica la fecha y hora en la que se realizó el envío. Se inserta de forma automática por el sistema. Usuario: Indica el usuario que realizó en envío. Se inserta de forma automática por el sistema. Estado: El estado de la notificación de modificación del fichero. Se distinguen dos tipos de estado del fichero notificado a la Agencia: o Enviado AEPD: Relativo al fichero notificado a la Agencia pero aún no inscrito en el Registro General. o Confirmado AEPD: Fichero inscrito en el Registro General de Protección de Datos. En la aplicación ya consta que se ha insertado por el usuario el código de inscripción que comunica la Agencia Española de Protección de Datos (AEPD) vía correo ordinario en el plazo máximo de 1 mes. Motivo: Se deberá indicar brevemente (140 caracteres máximo) la información que se ha modificado del fichero respecto a la notificación anterior. Fecha comunicación a la AEPD: Indica la fecha y hora en el que se recibió el fichero en la Agencia Española de Protección de Datos. Se inserta de forma automática por el sistema. Fecha de inscripción en AEPD: Se debe indicar la fecha de inscripción del fichero modificado en la Agencia Española de Protección de Datos, que

109 comunica la Agencia vía correo ordinario en el plazo máximo de 1 mes. Para determinar la fecha se recomienda utilizar el calendario a fin de que ésta se cumplimente con el formato requerido por la aplicación (dd/mm/aaaa) Datos Tipo de acción: Supresión Los datos que se requieren cumplimentar son los siguientes: Fecha: Indica la fecha y hora en la que se realizó el envío. Se inserta de forma automática por el sistema. Usuario: Indica el usuario que realizó en envío. Se inserta de forma automática por el sistema. Estado: El estado de la notificación de supresión del fichero. Se distinguen dos tipos de estado del fichero notificado a la Agencia: o Enviado AEPD: Relativo al fichero notificado a la Agencia pero aún no inscrito en el Registro General. o Confirmado AEPD: Fichero inscrito en el Registro General de Protección de Datos. En la aplicación ya consta que se ha insertado por el usuario el código de inscripción que comunica la Agencia Española de Protección de Datos (AEPD) vía correo ordinario en el plazo máximo de 1 mes. Motivo: Se deberá indicar brevemente (140 caracteres máximo) la razón por la que se desea proceder a la supresión de inscripción del fichero. Fecha comunicación a la AEPD: Indica la fecha y hora en el que se recibió la supresión del fichero en la Agencia Española de Protección de Datos. Se inserta de forma automática por el sistema. Fecha de inscripción en AEPD: Se debe indicar la fecha de la supresión del fichero en la Agencia Española de Protección de Datos, que comunica la Agencia vía correo ordinario en el plazo máximo de 1 mes. Para determinar la fecha se recomienda utilizar el calendario a fin de que ésta se cumplimente con el formato requerido por la aplicación (dd/mm/aaaa) Acciones Las acciones que se pueden realizar son: Permite acceder al listado de todos los ficheros con datos de carácter personal notificados vía electrónica a la Agencia Española de Protección de Datos. Guarda los datos introducidos en la presente página.

110 35 DOCUMENTOS LOPD Documento de Seguridad y otros documentos LOPD 35.1 Introducción Es una sección en la que se pueden dar de alta, modificar y consultar toda la documentación en relación con la seguridad de los datos de carácter personal que exista en la organización. Permite la gestión del documento de seguridad (alta, modificación y consulta) en el que se deben recoger las medidas técnicas y organizativas acordes con la normativa de seguridad vigente y que deben ser de obligado cumplimiento para el personal de la organización. También permite la gestión de forma independiente al documento de seguridad de otros documentos relacionados con la protección de datos personales, en la sección, dentro de esta página, denominada Otros documentos LOPD. El documento de seguridad puede ser único y relativo a todos los ficheros o tratamientos, o bien individualizado para cada fichero o tratamiento. También podrán elaborarse distintos documentos de seguridad agrupando ficheros o tratamientos según el sistema de tratamiento (automatizado, no automatizado (manual o papel) o mixto) utilizado para su organización, o bien atendiendo a criterios organizativos del responsable. En todo caso, tendrá el carácter de documento interno de la organización. El documento de seguridad deberá mantenerse en todo momento actualizado y será revisado siempre que se produzcan cambios relevantes en el sistema de información, en el sistema de tratamiento empleado, en su organización, en el contenido de la información incluida en los ficheros o tratamientos o, en su caso, como consecuencia de los controles periódicos realizados. En todo caso, se entenderá que un cambio es relevante cuando pueda repercutir en el cumplimiento de las medidas de seguridad implantadas. El contenido del documento de seguridad deberá adecuarse, en todo momento, a las disposiciones vigentes en materia de seguridad de los datos de carácter personal.

111 El documento de seguridad deberá contener, como mínimo, los siguientes aspectos: Ámbito de aplicación del documento con especificación detallada de los recursos protegidos. Medidas, normas, procedimientos de actuación, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en la normativa. Funciones y obligaciones del personal en relación con el tratamiento de los datos de carácter personal incluidos en los ficheros. Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan. Procedimiento de notificación, gestión y respuesta ante las incidencias. Los procedimientos de realización de copias de respaldo y de recuperación de los datos en los ficheros o tratamientos automatizados. Las medidas que sea necesario adoptar para el transporte de soportes y documentos, así como para la destrucción de los documentos y soportes, o en su caso, la reutilización de estos últimos. El documento de seguridad deberá contener además, para los ficheros nivel medio o de nivel alto, lo siguiente: La identificación del responsable o responsables de seguridad. Los controles periódicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento de seguridad. Cuando exista un tratamiento de datos por cuenta de terceros, el documento de seguridad deberá contener la identificación de los ficheros o tratamientos que se traten por un tercero con referencia expresa al contrato o documento que regule las condiciones del encargo, así como de la identificación del responsable y del período de vigencia del encargo. En aquellos casos en los que datos personales de un fichero o tratamiento se incorporen y traten de modo exclusivo en los sistemas del encargado, el responsable deberá anotarlo en su documento de seguridad. Cuando tal circunstancia afectase a parte o a la totalidad de los ficheros o tratamientos del responsable, podrá delegarse en el encargado la llevanza del documento de seguridad, salvo en lo relativo a aquellos datos contenidos en recursos propios. Este hecho se indicará de modo expreso en el contrato que regule el encargo, con especificación de los ficheros o tratamientos afectados.

112 35.2 Datos Los datos por los que se identifica cada uno de los documentos censados son los siguientes: Nombre Documento: Nombre o denominación dada al documento y que lo identifica (70 caracteres máximo). Descripción: Descripción breve (350 caracteres máximo) dada al documento y que permite reconocer su contenido. Si la descripción del documento no se muestra en su totalidad, sobrevolando el cursor sobre el literal se podrá visualizar el texto completo.