EVALUA. Informe de autoevaluación sobre cumplimiento de la LOPD OPD. 4/02/13 0:08 Código de recuperación 33593b f32-a38d-42a9ef2aa2f2

Transcripción

1 4/02/13 0:08 Código de recuperación 33593b f32-a38d-42a9ef2aa2f2 Informe de autoevaluación sobre cumplimiento de la LOPD EVALUA OPD L Agencia Española de Protección de Datos

2 Informe basado en las contestaciones proporcionadas a las preguntas del Test de Autoevaluación EVALUA Agencia Española de Protección de Datos. El resultado del test es meramente orientativo. Es una herramienta de ayuda cuyos resultados dependen de las respuestas facilitadas. Por lo tanto, su realización no exime del cumplimiento de la LOPD ni podrá exhibirse con la finalidad de justificar o eximir la responsabilidad ante una eventual infracción. 1

3 INFORME DE AUTOEVALUACIÓN DEL CUMPLIMIENTO DE LA LEY ORGÁNICA 15/1999, DE 13 DE DICIEMBRE, DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL. Tras haber finalizado el cuestionario la herramienta de autoevaluación del cumplimiento de la LOPD le ofrece este informe con indicaciones y recursos que le orientarán. El informe se genera automáticamente y depende de sus respuestas, su resultado es meramente orientativo. El resultado que le ofrece el programa en ningún caso acredita su nivel real de cumplimiento de la Ley y no podrá exhibirse con la finalidad de justificar o eximir la responsabilidad ante una eventual infracción. El informe se estructura en distintos capítulos que abarcan distintos aspectos de la Ley. I - IDENTIFICACION DE FICHEROS Y TRATAMIENTOS La Ley Orgánica de Protección de Datos tiene por objeto garantizar y proteger los derechos de las personas en lo que concierne al tratamiento de los datos personales. Por ello, por tratar datos personales deben cumplirse con las previsiones y principios de la Ley. Si además los datos se incorporan a ficheros en la legislación española debe cumplirse con el deber de inscripción de los ficheros ante el Registro General de Protección de datos de la Agencia Española de Protección de Datos. Si se trata de una administración distinta de la Administración General del Estado, con sede en el País Vasco, Cataluña o la Comunidad de Madrid la inscripción se realizará en el Registro de las autoridades autonómicas de protección de datos. De acuerdo con la información facilitada en el cuestionario debe tener en cuenta las siguientes recomendaciones: Trata datos personales y dispone de ficheros y/o sistemas de información y debe proceder a su inscripción ante el Registro General de Protección de Datos o el registro competente conforme a lo dispuesto en el artículo 26 LOPD. La Agencia Española de Protección de Datos le facilita para ello un sistema de notificación telemática "NOTA". En él podrá encontrar los impresos de notificación y presentarlos con online. II - INFORMACION Y CONSENTIMIENTO El consentimiento constituye el principal elemento de legitimación que permite a los responsables de un fichero o tratamiento tratar datos de carácter personal. Sólo en los casos en los que la Ley o una norma comunitaria de aplicación directa, exima del mismo pueden tratarse datos sin consentimiento. El consentimiento debe ser previo, libre, específico e informado. Por ello, es esencial informar siempre que se recaban datos personales. La información previa no sólo es relevante para conocer para que tipo de tratamiento se consiente sino también quién va a tratar los datos, a quién se comunicarán o ante quién ejercer los derechos de acceso, rectificación, cancelación u oposición al tratamiento. 2

4 Por otra parte, hay que tener en cuenta que respecto de determinadas tipologías de datos relativos a la ideología, la afiliación sindical, la religión o creencias, la salud, el origen racial o la vida sexual, el consentimiento de prestarse de modo expreso y en determinados casos además escrito. De acuerdo con la información facilitada en el cuestionario debe tener en cuenta las siguientes recomendaciones: La recogida de datos sobre ideología, afiliación sindical, religión o creencias se realiza de modo incorrecto. Es requisito imprescindible en este caso la constancia escrita del consentimiento manifestado por el afectado o interesado. La recogida de datos sobre origen racial, salud o vida sexual se realiza de modo incorrecto. Es requisito imprescindible que el interesado manifieste de modo expreso su consentimiento. En la recogida de datos personales distintos de los especialmente protegidos se cumple con el deber de información previa. recuerde que la prueba de la adecuada obtención de los datos incumbe al responsable y por ello debe diseñar un procedimiento que le permita obtenerla. Recoge correctamente los datos personales de menores de 14 años o mayores de 14 cuando se requiere el consentimiento de sus padres. No olvide que resulta muy recomendable diseñar procedimientos que garanticen que ha verificado la edad y que el padre, madre o tutor legal que ha autorizado el tratamiento goza de una representación suficiente. En tal sentido debería disponer de copia de un documento oficial que lo identifique así como copia del Libro de Familia o documento que acredite que capacidad para autorizar el tratamiento de los datos personales del menor. El consentimiento debe ser siempre informado. Al no informar se priva al interesado de una de las garantías básicas del derecho fundamental a la protección de datos. En este caso no basta con cumplir de modo literal con el artículo 5 LOPD. El Reglamento de desarrollo de la Ley Orgánica de Protección de Datos de Carácter Personal obliga a no usar expresiones que resulten poco comprensibles para los menores. Es muy importante asegurarse de que los menores comprenden la información relativa a quién trata sus datos, para que los va a usar, el domicilio del responsable y la posibilidad de ejercitar los derechos de acceso, rectificación y cancelación. Por ello, es recomendable que ofrezca a los menores algún método que les permita aclarar las dudas que les plantee la información. Por ello, es recomendable que ofrezca a los menores algún método que les permita aclarar las dudas que les plantee la información. Por ejemplo, en Internet puede incluir una página explicativa con preguntas frecuentes y ejemplos. Debe establecer un procedimiento que le permita obtener un comprobante del consentimiento prestado por el interesado. No olvide que como responsable del fichero la prueba de la obtención del consentimiento le corresponde a Vd. No cumple con el deber de información en la recogida de los datos. Éste es necesario y constituye una garantía del derecho fundamental a la protección de datos. Además es un deber previo al momento de la recogida. Por ello, debe diseñar un procedimiento de información previa. La información en la recogida de datos constituye un deber inexcusable salvo que exista una excepción fundamentada en una norma legal o constitucional. Debe establecer un procedimiento de información en la recogida de datos personales que permita acreditar que se informa al interesado. No olvide documentar este procedimiento ya que la prueba de haber informado incumbe al responsable del 3

5 fichero. III - PRINCIPIOS QUE RIGEN EL TRATAMIENTO DE LOS DATOS PERSONALES Además de la información y el consentimiento existen en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal un conjunto de principios que definen como deben tratarse los datos, para que finalidades, durante cuanto tiempo y de qué modo. Se trata del principio de calidad de los datos y del deber de secreto y confidencialidad. El responsable del fichero debe adecuar su actuación de modo que trate los datos adecuada, leal y lícitamente, procurar que se encuentren actualizados y utilizarlos exclusivamente para las finalidades para las que se recogieron. De acuerdo con la información facilitada en el cuestionario debe tener en cuenta las siguientes recomendaciones: Se recogen y tratan los datos estrictamente necesarios para las finalidades propias de su organización de las que informó al interesado en la recogida. Esta práctica es adecuada pero no olvide que en caso de que dichas finalidades cambien o requiera tratar los datos personales para una nueva finalidad debería modificar la inscripción de su fichero, e informar y obtener el consentimiento de los interesados en los casos en los que proceda. La satisfacción de la finalidad define el momento a partir del cual el responsable debe cesar en el tratamiento. Por ello no cabe conservar los datos y, salvo que una norma lo autorice, los datos deben cancelarse. La cancelación dará lugar al bloqueo de los datos, conservándose únicamente a disposición de las Administraciones públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de éstas. Cumplido el citado plazo deberá procederse a la supresión. Tenga en cuenta que el periodo de bloqueo previo a la supresión depende de la naturaleza del dato y de la Ley aplicable. Sin necesidad de que lo solicite el interesado, el principio de calidad de los datos obliga al responsable a corregir errores cuando se constatan y a cancelar los datos cuando dejan de ser necesarios. Debe establecer un procedimiento para ello, no olvide definir adecuadamente en su caso el periodo de bloqueo. El deber del responsable de cancelar o rectificar de oficio obliga al responsable a notificar al cesionario estas acciones a fin de garantizar que éste pueda proceder a actualizar los datos personales que le fueron cedidos. Debe establecer algún procedimiento para notificar la rectificación o cancelación producida al cesionario. Es recomendable disponer confirmación de la recepción de la notificación por éste. El deber de secreto afecta al responsable y a todas y cada una de las personas de la organización relacionadas con el tratamiento de datos personales. Es fundamental notificar este deber y formar adecuadamente a todos los usuarios de los sistemas de información y a cualquier persona de la organización que eventualmente pueda acceder a datos. 4

6 IV - DERECHOS DE ACCESO, RECTIFICACIÓN, CANCELACIÓN Y OPOSICIÓN Los llamados derechos ARCO forman parte del contenido esencial del derecho fundamental a la protección de datos. Mediante su ejercicio el interesado, la persona cuyos datos se tratan, puede ejercer control sobre los tratamientos efectivamente realizados por el responsable. Se trata de derechos cuyo ejercicio es personalísimo, de carácter gratuito y sujetos a plazo. Por tanto es necesario establecer procedimientos para su satisfacción. Deben tenerse como mínimo en cuenta los criterios que se indican a continuación: DERECHO DE ACCESO Resolución : Debe responderse en un mes. Su denegación debe motivarse y procede indicar que cabe invocar la tutela de la Agencia Española de Protección de Datos. Justificación : No, salvo si se ha ejercitado el derecho en los últimos 12 meses. Plazo : 10 días hábiles. DERECHO DE RECTIFICACIÓN Resolución : Su denegación debe motivarse y procede indicar que cabe invocar la tutela de la Agencia Española de Protección de Datos. Justificación : Debe indicarse el dato a rectificar y la causa que lo justifica, aportando documentación. Plazo : 10 días hábiles. DERECHO DE CANCELACIÓN Resolución : Su denegación debe motivarse y procede indicar que cabe invocar la tutela de la Agencia Española de Protección de Datos. Justificación : Debe indicarse el dato a cancelar y la causa que lo justifica, aportando documentación. Plazo : 10 días hábiles. DERECHO DE OPOSICIÓN Resolución : Su denegación debe motivarse y procede indicar que cabe invocar la tutela de la Agencia Española de Protección de Datos. Justificación : Concurrencia de un motivo legítimo y fundado, referido a su concreta situación personal,que lo justifique, siempre que una Ley no disponga lo contrario. 5

7 Basta con ejercer el derecho cuando se trate de datos utilizados con fines de publicidad o prospección comercial. Cabe oposición a las decisiones basadas únicamente en un tratamiento automatizado de datos, aunque el tratamiento es posible si existe una relación contractual que lo justifique. Plazo : 10 días hábiles. De acuerdo con la información facilitada en el cuestionario debe tener en cuenta las siguientes recomendaciones: Recuerde que no basta solamente con conocer los derechos ARCO sino que hay que hacer posible su ejercicio. No basta solamente con conocer los derechos que tienen los ciudadanos, sino que hay que hacer posible su ejercicio, para lo cual las personas de su organización dedicadas al tratamiento de datos personales deben conocer los derechos ARCO y saber cómo actuar ante una petición. Cuando se ejercita un derecho de acceso se debe contestar siempre a los ciudadanos dentro de los plazos previstos, con independencia de que se tengan datos personales o no en los ficheros. Por tanto debe responder en el plazo de un mes y facilitar el acceso en diez días hábiles desde la notificación. Si no se responde en el plazo previsto el afectado podrá invocar la tutela de la Agencia Española de ProtecciÓn de Datos. Actúa correctamente ante el ejercicio de un derecho de rectificación o cancelación. No olvide que debe contestar siempre a los ciudadanos cuando ejerciten sus derechos con independencia de que se tengan datos personales o no en los ficheros, dentro del plazo previsto de 10 días hábiles. Si se deniega la petición deberá motivarlo, indicar la razón de la denegación, e informar al afectado que podrá invocar la tutela de la Agencia Española de Protección de Datos. Su organización atiende las peticiones relativas al derecho de de oposición en el plazo previsto. Recuerde el plazo se mide en días hábiles. Si el derecho se denegase deberá motivarlo, indicar la razón de la denegación, e informar al afectado que podrá invocar la tutela de la Agencia Española de Protección de Datos. Se atienden correctamente las peticiones de revocación del consentimiento para el tratamiento de los datos. Recuerde que el consentimiento para el tratamiento de los datos podrá ser revocado cuando exista causa justificada para ello y no se le atribuyan efectos retroactivos. Los derechos ARCO son personalísimos, lo que significa que, salvo incapacidad o minoría de edad, solamente pueden ejercitarlos los propios titulares de los datos. También se admite, con algunas condiciones, el ejercicio a través de representante. El Reglamento de desarrollo de la Ley Orgánica de Protección de Datos de Carácter Personal habilita la posibilidad de ejercer los derechos ARCO a través de los servicios de atención al cliente. Recuerde que es esencial que se acredite la identidad del afectado en idénticas condiciones a las previstas para prestarle servicios o contratar por este medio.no olvide que para Vd. será obligatorio disponer de un canal telemático para atender los derechos ARCO si debe cumplir lo dispuesto en el art. 2 de la Ley 56/2007, de 28 de diciembre, de Medidas de Impulso de la Sociedad de la Información. 6

8 Es perfectamente viable fijar reglas de actuación del encargado del tratamiento ante el ejercicio de derechos ARCO e incluso la satisfacción de los derechos. No obstante, debe hacerse constar esta circunstancia por escrito en el contrato previsto por el artículo 12 LOPD. V - RELACIONES CON TERCEROS. TRANSFERENCIA INTERNACIONAL DE DATOS. ENCARGADO DEL TRATAMIENTO Las relaciones con terceros abarcan un conjunto de supuestos en las que una persona física o jurídica distinta de la organización del responsable, y distinta del interesado cuyos datos tratamos, usa, trata, accede o simplemente consulta los datos. Estos supuestos pueden ser de naturaleza muy distinta. Una comunicación de datos es un tratamiento que supone su revelación a una persona distinta del interesado. Debe tenerse en cuenta que no es necesario apropiarse físicamente de un dato basta con que sea posible su consulta. Debe existir el consentimiento previo o habilitación en una ley que exima del mismo. Además el consentimiento deberá ser informado de forma que se conozca inequívocamente la finalidad a la que se destinarán los datos respecto de cuya comunicación se solicita el consentimiento y el tipo de actividad desarrollada por el cesionario. En segundo lugar, existirá un encargado del tratamiento cuando se contrate una prestación externa de servicios que requiera acceder al sistema de información. Se define el encargado como persona física o jurídica, pública o privada, u órgano administrativo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento o del responsable del fichero, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio. En este caso, el Reglamento de desarrollo de la Ley Orgánica de Protección de Datos de Carácter Personal y el artículo 12 LOPD establecen la necesidad de formalizar un contrato por escrito cuyo contenido establezca: Las instrucciones a las que se someterá el encargado del tratamiento. La prohibición de uso para fin distinto al que figure en dicho contrato. La prohibición de comunicar los datos a otras personas. Las medidas de seguridad. Las condiciones de subcontratación de los servicios por el encargado. Eventualmente, cuando resulte necesario podrá incluir las condiciones de conservación por el encargado, cuando exista obligación legal o resulte necesario por razones de responsabilidad, y las formas de destrucción o devolución de los datos como la entrega a un nuevo encargado. Es fundamental ser diligente en la elección del encargado. Por tanto, éste deberá acreditar de algún modo que se encuentra en condiciones de cumplir con los principios y requisitos que la LOPD establece para los tratamientos. Por último en las transferencias internacionales de datos personales en la práctica existe una cesión o un encargo del tratamiento a una persona física o jurídica que se encuentra en un país distinto de los Estados Miembros de la Unión Europea o del Espacio Económico Europeo. Las transferencias en virtud de lo 7

9 dispuesto en los artículos 33 y 34 LOPD se encuentran sujetas a autorización del Director de la Agencia Española de Protección de Datos cuando no se trate de un país seguro en materia de protección de datos o no se den las excepciones del artículo 34 LOPD. De acuerdo con la información facilitada en el cuestionario debe tener en cuenta las siguientes recomendaciones: En aquellos casos en los que conforme a la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal el consentimiento no es necesario es necesario y preceptivo cumplir con el deber de información salvo que una Ley lo prohíba. Recuerde que en los casos en los que el consentimiento resulte necesario debe ser previo, libre, específico e informado y que en el caso de las comunicaciones de datos debe informarse sobre la finalidad y el tipo de actividad desarrollada por el cesionario Recuerde que en caso de que las transferencias internacionales de datos no tengan como destino un país adecuado debe obtenerse la autorización del Director de la Agencia Española de Protección de Datos salvo que se den las excepciones previstas por el art. 34 LOPD. Puede serle de gran utilidad consultar las cláusulas contractuales tipo elaboradas por la Comisión Europea que le permitirán concertar con el importador de los datos las condiciones adecuadas para un correcto tratamiento y las garantías para los derechos de los afectados o interesados. Para la contratación de encargados en países que no proporcionen un nivel de protección equiparable puede serle de gran utilidad consultar las cláusulas contractuales tipo elaboradas por la Comisión Europea. Estas le permitirán concertar con el importador de los datos las condiciones adecuadas para un correcto tratamiento y las garantías para los derechos de los afectados o interesados. Recuerde que en este caso debe obtenerse la autorización del Director de la Agencia Española de Protección de Datos salvo que se trate de una de las excepciones del art. 34 LOPD. VI - SEGURIDAD Las medidas de seguridad constituyen uno de los objetivos esenciales para garantizar el derecho a la protección de datos. El objetivo de la seguridad es garantizar la confidencialidad, -que nadie no autorizado pueda acceder a los datos-, la integridad, -que se impida alterar la información de modo que los datos sólo puedan ser modificados por usuarios autorizados y para las finalidades previstas-, y disponibilidad, -que la organización sea capaz de restaurar los datos y mantener los sistemas de información en funcionamiento ante cualquier evento inesperado-. Estos objetivos se consiguen mediante la adopción de medidas técnicas y organizativas que deben lograr los objetivos dispuestos por el Título VIII del Reglamento de desarrollo de la Ley Orgánica de Protección de Datos de Carácter Personal. Éste establece distintas medidas que se estructuran en tres niveles básico, medio y alto que son acumulativos de modo que quienes deban aplicar el alto incluirán las medidas previstas en los dos niveles anteriores. De acuerdo con la información facilitada en el cuestionario debe tener en cuenta las siguientes recomendaciones: Adoptar medidas de seguridad es esencial, las resoluciones de la Agencia Española de Protección de Datos y la jurisprudencia indican con claridad que forman parte de la garantía del derecho a la 8

10 protección de datos. Deben adaptarse las medidas descritas a continuación para el caso de ficheros o tratamientos de nivel básico : MEDIDAS COMUNES A TODOS LOS NIVELES Acceso a datos a través de redes de comunicaciones Las medidas de seguridad exigibles a los accesos a datos de carácter personal a través de redes de comunicaciones, sean o no públicas, deberán garantizar un nivel de seguridad equivalente al correspondiente a los accesos en modo local. Trabajo fuera de los locales o uso de dispositivos portátiles Autorización previa del responsable del fichero o tratamiento: a) b) c) tendrá que constar en el documento de seguridad podrá establecerse para un usuario o para un perfil de usuarios se determinará un periodo de validez para las mismas. Deberá garantizarse el nivel de seguridad correspondiente al tipo de fichero tratado. Ficheros temporales o copias de trabajo de documentos creados exclusivamente para la realización de trabajos temporales o auxiliares. Deberán cumplir el nivel de seguridad que les corresponda. Será borrados o destruidos una vez que haya dejado de ser necesarios para los fines que motivaron su creación. Delegación de autorizaciones. Cabe la delegación de las autorizaciones que se atribuyen al responsable del fichero. En el documento de seguridad deberán constar las personas habilitadas para otorgar estas autorizaciones así como aquellas en las que recae dicha delegación. Esta designación no supone una delegación de la responsabilidad que corresponde al responsable del fichero Prestaciones de servicios sin acceso a datos personales Adoptar las medidas adecuadas para limitar el acceso del personal a datos personales, a los soportes que los contengan o a los recursos del sistema de información, para la realización de trabajos que no impliquen el tratamiento de datos personales. Cuando se trate de personal ajeno, el contrato de prestación de servicios recogerá expresamente la prohibición de acceder a los datos personales y la obligación de secreto respecto a los datos que el personal hubiera podido conocer con motivo de la prestación del servicio. 9

11 Encargado del tratamiento. Locales del Responsable Deberá hacerse constar esta circunstancia en el documento de seguridad de dicho responsable, comprometiéndose el personal del encargado al cumplimiento de las medidas de seguridad previstas en el citado documento. Acceso remoto con prohibición de copiar datos Deberá hacer constar esta circunstancia en el documento de seguridad del responsable, comprometiéndose el personal del encargado al cumplimiento de las medidas de seguridad previstas en el citado documento. Locales del encargado Deberá elaborar un documento de seguridad o completar el que ya hubiera elaborado, en su caso, identificando el fichero o tratamiento y el responsable del mismo e incorporando las medidas de seguridad a implantar en relación con dicho tratamiento. General El encargado del tratamiento estará sometido a las medidas de seguridad contempladas en el Reglamento. DOCUMENTO DE SEGURIDAD Contenido: Medidas de índole técnica y organizativa acordes a la normativa de seguridad vigente que será de obligado cumplimiento para el personal con acceso a los sistemas de información. Tipos de documento: - Único y comprensivo de todos los ficheros o tratamientos. - Individualizado para cada fichero o tratamiento. - Agrupando ficheros o tratamientos según el sistema de tratamiento utilizado para su organización, o bien atendiendo a criterios organizativos del responsable. Contenido mínimo: a) b) c) d) Ámbito de aplicación del documento con especificación detallada de los recursos protegidos. Medidas, normas, procedimientos de actuación, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en este Reglamento. Funciones y obligaciones del personal en relación con el tratamiento de los datos de carácter personal incluidos en los ficheros. Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan. 10

12 e) Procedimiento de notificación, gestión y respuesta ante las incidencias. f) g) Actualización: Procedimientos de realización de copias de respaldo y de recuperación de los datos en los ficheros o tratamientos automatizados. Medidas que sea necesario adoptar para el transporte de soportes y documentos, así como para la destrucción de los documentos y soportes, o en su caso, la reutilización de estos últimos. Mantenimiento: Deberá mantenerse en todo momento actualizado. Revisión: Será revisado siempre que se produzcan cambios relevantes en el sistema de información, en el sistema de tratamiento empleado, en su organización, en el contenido de la información incluida en los ficheros o tratamientos o, en su caso, como consecuencia de los controles periódicos realizados. S se entenderá que un cambio es relevante cuando pueda repercutir en el cumplimiento de las medidas de seguridad implantadas. Documento del encargado Contenido: - Identificación de ficheros o tratamientos que se traten en concepto de encargado. - Referencia al contrato o documento que regule las condiciones del encargo. - Identificación del responsable. - Período de vigencia del encargo. Datos ubicados de modo exclusivo en soportes del encargado: - El responsable deberá anotarlo en su documento de seguridad. - Si afecta a parte o a la totalidad de los ficheros o tratamientos del responsable, podrá delegarse en el encargado la llevanza del documento de seguridad, salvo en lo relativo a aquellos datos contenidos en recursos propios. - La delegación se indicará de modo expreso en el contrato celebrado al amparo del artículo 12 LOPD, con especificación de los ficheros o tratamientos afectados. FICHEROS AUTOMATIZADOS Nivel básico Funciones y obligaciones del personal 11

13 - Definir funciones de los usuarios o perfiles de usuarios con acceso a los datos de carácter personal y a los sistemas de información y documentarlas en el documento de seguridad. - Definir las funciones de control o autorizaciones delegadas por el responsable del fichero o tratamiento. - Formación e información del personal para que conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento Usuarios y control de accesos - Acceso limitado a los recursos que el usuario precise para el desarrollo de sus funciones. - Confección de una relación actualizada de usuarios y perfiles de usuarios, y los accesos autorizados para cada uno de ellos. - Deben establecerse mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados. - Sólo podrá conceder, alterar o anular el acceso autorizado sobre los recursos el personal autorizado para ello en el documento de seguridad, conforme a los criterios establecidos por el responsable del fichero. - El personal ajeno que tenga acceso a los recursos deberá estar sometido a las mismas condiciones y obligaciones de seguridad que el personal propio. Identificación y autenticación - Adoptar las medidas que garanticen la correcta identificación y autenticación de los usuarios. - Establecer mecanismos para la identificación inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado. - Si se usan contraseñas existirá un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad. - El documento de seguridad establecerá la un cambio periódico de contraseñas nunca superior a un año. Mientras estén vigentes, se almacenarán de forma ininteligible. Registro de incidencias - Establecer un procedimiento de notificación y gestión de las incidencias - Establecer un registro en el que se haga constar el tipo de incidencia, el momento en que se ha producido, o en su caso, detectado, la persona que realiza la notificación, a quién se le comunica, los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas Gestión de soportes y documentos. 12

14 Etiquetado: - Los soportes y documentos que contengan datos de carácter personal deberán permitir identificar el tipo de información que contienen, ser inventariados y solo deberán ser accesibles por el personal autorizado para ello en el documento de seguridad. - No se etiquetarán cuando las características físicas del soporte imposibiliten su cumplimiento, quedando constancia motivada de ello en el documento de seguridad. - Podrán etiquetarse crípticamente (sólo comprensibles para los usuarios con acceso autorizado) cuando contengan datos de carácter personal que la organización considerase especialmente sensibles. Registro de salida: La salida de soportes y documentos que contengan datos de carácter personal, incluidos los comprendidos y/o anejos a un correo electrónico, fuera de los locales bajo el control del responsable del fichero o tratamiento deberá ser autorizada por el responsable del fichero o encontrarse debidamente autorizada en el documento de seguridad. Traslado: En el traslado de la documentación se adoptarán las medidas dirigidas a evitar la sustracción, pérdida o acceso indebido a la información durante su transporte. Destrucción: Siempre que vaya a desecharse cualquier documento o soporte que contenga datos de carácter personal deberá procederse a su destrucción o borrado, mediante la adopción de medidas dirigidas a evitar el acceso a la información contenida en el mismo o su recuperación posterior. Copias de respaldo y recuperación. Copia de respaldo: - Copia como mínimo semanal de copias de respaldo, salvo que en dicho período no se hubiera producido ninguna actualización de los datos. - Fijar procedimientos para la recuperación de los datos que garanticen su reconstrucción en el estado en que se encontraban al tiempo de producirse la pérdida o destrucción. - En ficheros parcialmente automatizados si existe documentación que permite la reconstrucción se deberá proceder a grabar manualmente los datos quedando constancia motivada de este hecho en el documento de seguridad. Control periódico: Control periódico semestral de la definición, funcionamiento y aplicación de los procedimientos de realización de copias de respaldo y de recuperación de los datos. Pruebas con datos reales: 13

15 Prohibición de pruebas con datos reales anteriores a la implantación o modificación de los sistemas de información salvo que se asegure el nivel de seguridad correspondiente al tratamiento realizado y se anote su realización en el documento de seguridad. Deberá haberse realizado una copia de seguridad. FICHEROS NO AUTOMATIZADOS Nivel Básico Funciones y obligaciones del personal - Definir funciones de los usuarios o perfiles de usuarios con acceso a los datos de carácter personal y a los sistemas de información y documentarlas en el documento de seguridad. - Definir las funciones de control o autorizaciones delegadas por el responsable del fichero o tratamiento. - Formación e información del personal para que conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento Usuarios y control de accesos - Acceso limitado a los recursos que el usuario precise para el desarrollo de sus funciones. - Confección de una relación actualizada de usuarios y perfiles de usuarios, y los accesos autorizados para cada uno de ellos. - Deben establecerse mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados. - Sólo podrá conceder, alterar o anular el acceso autorizado sobre los recursos el personal autorizado para ello en el documento de seguridad, conforme a los criterios establecidos por el responsable del fichero. - El personal ajeno que tenga acceso a los recursos deberá estar sometido a las mismas condiciones y obligaciones de seguridad que el personal propio. Registro de incidencias - Establecer un procedimiento de notificación y gestión de las incidencias - Establecer un registro en el que se haga constar el tipo de incidencia, el momento en que se ha producido, o en su caso, detectado, la persona que realiza la notificación, a quién se le comunica, los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas Gestión de soportes y documentos. Etiquetado: 14

16 - Los soportes y documentos que contengan datos de carácter personal deberán permitir identificar el tipo de información que contienen, ser inventariados y solo deberán ser accesibles por el personal autorizado para ello en el documento de seguridad. - No se etiquetarán cuando las características físicas del soporte imposibiliten su cumplimiento, quedando constancia motivada de ello en el documento de seguridad. - Podrán etiquetarse crípticamente (sólo comprensibles para los usuarios con acceso autorizado) cuando contengan datos de carácter personal que la organización considerase especialmente sensibles. Registro de salida: La salida de soportes y documentos que contengan datos de carácter personal, incluidos los comprendidos y/o anejos a un correo electrónico, fuera de los locales bajo el control del responsable del fichero o tratamiento deberá ser autorizada por el responsable del fichero o encontrarse debidamente autorizada en el documento de seguridad. Traslado: En el traslado de la documentación se adoptarán las medidas dirigidas a evitar la sustracción, pérdida o acceso indebido a la información durante su transporte. Destrucción: Siempre que vaya a desecharse cualquier documento o soporte que contenga datos de carácter personal deberá procederse a su destrucción o borrado, mediante la adopción de medidas dirigidas a evitar el acceso a la información contenida en el mismo o su recuperación posterior. Custodia de los soportes: Los dispositivos de almacenamiento de los documentos que contengan datos de carácter personal deberán disponer de mecanismos que obstaculicen su apertura. Cuando las características físicas de aquéllos no permitan adoptar esta medida, el responsable del fichero o tratamiento adoptará medidas que impidan el acceso de personas no autorizadas Dispositivos de almacenamiento: Mientras la documentación con datos de carácter personal no se encuentre archivada en los dispositivos de almacenamiento establecido en el artículo anterior, por estar en proceso de revisión o tramitación, ya sea previo o posterior a su archivo, la persona que se encuentre al cargo de la misma deberá custodiarla e impedir en todo momento que pueda ser accedida por persona no autorizada. Criterios de archivo. El archivo de los soportes o documentos se realizará de acuerdo con los criterios previstos en su respectiva legislación. Estos criterios deberán garantizar la correcta conservación de los documentos, la localización y consulta de la información y posibilitar el ejercicio de los derechos de oposición al tratamiento, acceso, rectificación y cancelación. 15

17 En aquellos casos en los que no exista norma aplicable, el responsable del fichero deberá establecer los criterios y procedimientos de actuación que deban seguirse para el archivo. Debe elaborar un documento de seguridad. Este documento no sólo acredita las medidas efectivamente adoptadas constituye un instrumento que a través de los controles periódicos, la gestión de incidencias o los informes de auditoria le permitirá evaluar la seguridad, verificar su funcionamiento efectivo e introducir cambios o correcciones en sus políticas de seguridad. Para todas las organizaciones formar en seguridad es estratégico. Debe asegurarse de que los usuarios conozcan y entiendan cuales son las políticas de seguridad de la organización. El Reglamento de desarrollo de la Ley Orgánica de Protección de Datos de Carácter Personal ha establecido por primera vez medidas de seguridad para ficheros y tratamientos no automatizados. Debe aplicar las que correspondan de acuerdo con la descripción situada más arriba. 16

18 Anexo A.- Recursos de la AEPD Ha realizado Vd. nuestro test sobre cumplimiento EVALUA. La Agencia Española de Protección de Datos dispone de un conjunto de Guías y recursos que le permitirán profundizar en esta materia y le ayudarán a aplicar adecuadamente la normativa vigente El sistema de NOtificaciones Telemáticas a la AEPD (NOTA), permite a los responsables de ficheros con datos de carácter personal de titularidad pública y de titularidad privada cumplir con la obligación que la LOPD establece de notificar sus ficheros a la Agencia Española de Protección de Datos a través de una herramienta que le informa y asesora acerca de los requerimientos de la notificación. Se trata de una herramienta gratuita que permite notificar de forma simplificada una serie de ficheros relacionados con la gestión de comunidades de propietarios, clientes, libro recetario de las oficinas de farmacia, pacientes, gestión escolar, videovigilancia, nóminas y recursos humanos de titularidad privada. La Guía del Responsable de Ficheros contiene indicaciones sobre los principios básicos que deben ser tenidos en cuenta para cumplir adecuadamente con la legislación sobre protección de datos. La Guía de Seguridad de Datos le ayudará a implementar, revisar y aplicar las medidas de seguridad contenidas en el Reglamento de desarrollo de la Ley Orgánica de Protección de Datos de Carácter Personal. La Guía sobre Protección de Datos en las relaciones laborales tiene por objeto examinar aspectos de la protección de datos que o bien resultan fundamentales desde el punto de vista de la aplicación y el cumplimiento normativo o bien han planteado dificultades de interpretación o aplicación práctica. Por ello, a diferencia de publicaciones anteriores se plantea como objetivo considerar un conjunto de aspectos prácticos a los que las empresas deben enfrentarse habitualmente. La Guía de Videovigilancia describe todas las cuestiones relacionadas con el tratamiento de imágenes y en particular las relativas a la seguridad y al uso con fines de control laboral. Todos estos recursos están disponibles en la página WEB de la Agencia ( 17

19 Anexo B.- Definiciones 1 - Afectado o interesado: Persona física titular de los datos que sean objeto del tratamiento. - Cancelación: Procedimiento en virtud del cual el responsable cesa en el uso de los datos. La cancelación implicará el bloqueo de los datos, consistente en la identificación y reserva de los mismos con el fin de impedir su tratamiento excepto para su puesta a disposición de las Administraciones Públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento y sólo durante el plazo de prescripción de dichas responsabilidades. Transcurrido ese plazo deberá procederse a la supresión de los datos. - Cesión o comunicación de datos: Tratamiento de datos que supone su revelación a una persona distinta del interesado. - Consentimiento del interesado: Toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen. - Dato disociado: aquél que no permite la identificación de un afectado o interesado. - Datos de carácter personal: Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables. - Datos de carácter personal relacionados con la salud: las informaciones concernientes a la salud pasada, presente y futura, física o mental, de un individuo. En particular, se consideran datos relacionados con la salud de las personas los referidos a su porcentaje de discapacidad y a su información genética. - Destinatario o cesionario: la persona física o jurídica, pública o privada u órgano administrativo, al que se revelen los datos. Podrán ser también destinatarios los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados. - Encargado del tratamiento: La persona física o jurídica, pública o privada, u órgano administrativo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento o del responsable del fichero, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio. Podrán ser también encargados del tratamiento los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados. - Exportador de datos personales: la persona física o jurídica, pública o privada, u órgano administrativo situado en territorio español que realice, conforme a lo dispuesto en el presente Reglamento, una transferencia de datos de carácter personal a un país tercero. - Fichero: Todo conjunto organizado de datos de carácter personal, que permita el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso. 1 Las definiciones incluidas en este apartado han sido tomadas del Reglamento de desarrollo de la LOPD (art. 5), excepto las definiciones de seguridad de la información, confidencialidad, integridad y disponibilidad que han sido tomadas de la norma UNE- ISO/IEC Tecnología de la información. Técnicas de seguridad. Sistemas de Gestión de la Seguridad de la Información (SGSI) 18

20 - Ficheros de titularidad privada: los ficheros de los que sean responsables las personas, empresas o entidades de derecho privado, con independencia de quien ostente la titularidad de su capital o de la procedencia de sus recursos económicos, así como los ficheros de los que sean responsables las Corporaciones de derecho público, en cuanto dichos ficheros no se encuentren estrictamente vinculados al ejercicio de potestades de derecho público que a las mismas atribuye su normativa específica. - Ficheros de titularidad pública: los ficheros de los que sean responsables los Órganos constitucionales o con relevancia constitucional del Estado o las Instituciones Autonómicas con funciones análogas a los mismos, las Administraciones Públicas Territoriales, así como las entidades u organismos vinculados o dependientes de las mismas y las Corporaciones de derecho público siempre que su finalidad sea el ejercicio de potestades de derecho público. - Fichero no automatizado: todo conjunto de datos de carácter personal organizado de forma no automatizada y estructurado conforme a criterios específicos relativos a personas físicas, que permitan acceder sin esfuerzos desproporcionados a sus datos personales, ya sea aquél centralizado, descentralizado o repartido de forma funcional o geográfica. - Importador de datos personales: la persona física o jurídica, pública o privada, u órgano administrativo receptor de los datos en caso de transferencia internacional de los mismos a un tercer país, ya sea responsable del tratamiento, encargada del tratamiento o tercero. - Persona identificable: toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier información referida a su identidad física, fisiológica, psíquica, económica, cultural o social. Una persona física no se considerará identificable si dicha identificación requiere plazos o actividades desproporcionados. - Procedimiento de disociación: Todo tratamiento de datos personales que permita la obtención de datos disociados. - Responsable del fichero o del tratamiento: Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que sólo o conjuntamente con otros decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase materialmente. Podrán ser también responsables del fichero o del tratamiento los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados. - Tercero: la persona física o jurídica, pública o privada u órgano administrativo distinta del afectado o interesado, del responsable del tratamiento, del responsable del fichero, del encargado del tratamiento y de las personas autorizadas para tratar los datos bajo la autoridad directa del responsable del tratamiento o del encargado del tratamiento. Podrán ser también terceros los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados. - Transferencia internacional de datos: Tratamiento de datos que supone una transmisión de los mismos fuera del territorio del Espacio Económico Europeo, bien constituya una cesión o comunicación de datos, bien tenga por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero establecido en territorio español. - Tratamiento de datos: cualquier operación o procedimiento técnico, sea o no automatizado, que permita la recogida, grabación, conservación, elaboración, modificación, consulta, utilización, modificación, cancelación, bloqueo o supresión, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias. 19

21 En relación con lo dispuesto en el Título VIII del Reglamento de desarrollo de la LOPD se entenderá por: - Accesos autorizados: autorizaciones concedidas a un usuario para la utilización de los diversos recursos. En su caso, incluirán las autorizaciones o funciones que tenga atribuidas un usuario por delegación del responsable del fichero o tratamiento o del responsable de seguridad. - Autenticación: procedimiento de comprobación de la identidad de un usuario. - Contraseña: información confidencial, frecuentemente constituida por una cadena de caracteres, que puede ser usada en la autenticación de un usuario o en el acceso a un recurso. - Control de acceso: mecanismo que en función de la identificación ya autenticada permite acceder a datos o recursos. - Copia de respaldo: copia de los datos de un fichero automatizado en un soporte que posibilite su recuperación. - Documento: todo escrito, gráfico, sonido, imagen o cualquier otra clase de información que puede ser tratada en un sistema de información como una unidad diferenciada. - Ficheros temporales: ficheros de trabajo creados por usuarios o procesos que son necesarios para un tratamiento ocasional o como paso intermedio durante la realización de un tratamiento. - Identificación: procedimiento de reconocimiento de la identidad de un usuario. - Incidencia: cualquier anomalía que afecte o pudiera afectar a la seguridad de los datos. - Perfil de usuario: accesos autorizados a un grupo de usuarios. - Recurso: cualquier parte componente de un sistema de información. - Responsable de seguridad: persona o personas a las que el responsable del fichero ha asignado formalmente la función de coordinar y controlar las medidas de seguridad aplicables. - Sistema de información: conjunto de ficheros, tratamientos, programas, soportes y en su caso, equipos empleados para el tratamiento de datos de carácter personal. - Sistema de tratamiento: modo en que se organiza o utiliza un sistema de información. Atendiendo al sistema de tratamiento, los sistemas de información podrán ser automatizados, no automatizados o parcialmente automatizados. - Soporte: objeto físico que almacena o contiene datos o documentos, u objeto susceptible de ser tratado en un sistema de información y sobre el cual se pueden grabar y recuperar datos. - Transmisión de documentos: cualquier traslado, comunicación, envío, entrega o divulgación de la información contenida en el mismo. - Usuario: sujeto o proceso autorizado para acceder a datos o recursos. Tendrán la consideración de usuarios los procesos que permitan acceder a datos o recursos sin identificación de un usuario físico. 20