PROTECCIÓN DE DATOS FORMACIÓN PARA EL PERSONAL DE SEGURIDAD DE LOS REGISTROS

Transcripción

1 PROTECCIÓN DE DATOS FORMACIÓN PARA EL PERSONAL DE SEGURIDAD DE LOS REGISTROS Ener 2010

2 Frmación respnsable seguridad 2-20 Centr de Frmación

3 INDICE 1.- INTRODUCCIÓN A LA LOPD Ls dats de carácter persnal Ámbit de aplicación Qué se entiende pr ficher? Principis de Prtección de Dats Calidad de ls Dats: Cnsentimient para el tratamient de ls Dats: Deber de Infrmación al Interesad Cóm afecta la LOPD al Registr? Infraccines y Sancines REGLAMENTO DE MEDIDAS DE SEGURIDAD DOCUMENTO DE SEGURIDAD PROCEDIMIENTOS DE GESTIÓN Frmación respnsable seguridad 3-20 Centr de Frmación

4 Frmación respnsable seguridad 4-20 Centr de Frmación

5 1.- INTRODUCCIÓN A LA LOPD. Qué es la LOPD y a quién afecta? La Cnstitución Españla en su art.10 recnce el derech a la dignidad de la persna. Pr su parte el art.18.4 dispne que la ley limitará el us de la infrmática para garantizar el hnr y la intimidad persnal y familiar de ls ciudadans y el plen ejercici de sus derechs. En desarrll del art.18.4 de la C.E. y cm transpsición al derech españl de la Directiva 95/46/CE (Directiva sbre Prtección de Dats) fue aprbada la Ley Orgánica de Prtección de Dats de carácter Persnal (LOPD) de 13 de Diciembre de 1999, siend desarrllada pr el RD1720/2007 de 21 de Diciembre (BOE 19/1/2009) que aprueba su Reglament de desarrll. La LOPD entró en vigr el 15 de ener de 2000, mment en el que quedó dergada la anterir LORTAD, desarrllada pr el RD 994/1999. La diferencia fundamental entre ambas es que el ámbit de la LORTAD únicamente abarcaba ls fichers que cntuviesen dats de carácter persnal que se almacenasen en sprte electrónic. La LOPD amplia este ámbit a cualquier tip de sprte, es decir, ls fichers en frmat papel también están sujets a esta reglamentación. La Ley Orgánica de Prtección de dats de Carácter Persnal (LOPD) establece una serie de bligacines para las empresas, ls prfesinales autónms y las administracines públicas que sean titulares de dats de carácter persnal. La LOPD tiene pr bjet garantizar y prteger, en l que cncierne al tratamient de ls dats persnales, las libertades públicas y ls derechs fundamentales de las persnas físicas, y especialmente de su hnr e intimidad persnal y familiar. LA LOPD establece las bligacines que ls respnsables de ls fichers y ls encargads de ls tratamients, tant de rganisms públics cm privads, han de cumplir para garantizar la bservancia del derech a la prtección de ls dats de carácter persnal. Quedan excluids, pr tant, cualquier tip de dats relativs a persnas jurídicas. 1.1 Ls dats de carácter persnal. Sn dats de carácter persnal cualquier infrmación cncerniente a persnas físicas identificadas identificables, es decir, tda infrmación que aprte dats sbre una persna física cncreta bien que a través de dicha infrmación se puede llegar a identificar. Ests pueden ser nmbres y apellids, númers de teléfn, ftgrafías, DNI, etc que identifiquen hagan identificable a una persna y trs dats cm infrmes médics, estad civil, nacinalidad, sex, edad, númers bancaris..., siempre y cuand ests dats estén asciads a una persna 1.2 Ámbit de aplicación. La LOPD es de aplicación a ls dats de carácter persnal registrads en sprte físic, que ls haga susceptibles de tratamient, y a tda mdalidad de us psterir de ests dats pr ls sectres públic y privad. (art.2 de la LOPD y art.2-1 de su Reglament) El régimen de prtección de ls dats de carácter persnal que se establece en la Ley Orgánica NO será aplicable a ls tratamients de dats referids a persnas jurídicas, ni a ls fichers que se limiten a incrprar ls dats de las persnas físicas que presten sus servicis en aquellas, cnsistentes únicamente en su nmbre u apellids, las funcines puests Frmación respnsable seguridad 5-20 Centr de Frmación

6 desempeñads, así cm la dirección pstal electrónica, teléfn y númer de fax prfesinales. Tampc ls dats de empresaris individuales, cuand se haga referencia a ells en su calidad de cmerciantes, industriales naviers. Tampc aplicará a ls dats de persnas fallecidas. ( art.2-2, 2-3 y 2-4 de su Reglament) Quedan excluids, pr tant ls siguientes fichers tratamients: - Ls realizads mantenids pr persnas físicas en el ejercici de actividades exclusivamente persnales dmésticas (las que se inscriben en el marc de la vida privada familiar de ls particulares; - Ls smetids a la nrmativa sbre prtección de materias clasificadas; - Ls establecids para la investigación del terrrism y de frmas graves de delincuencia rganizada. - ( Art. 2-2 de la LOPD y art.4 de su Reglament) Se regirán pr sus dispsicines específicas, y pr l especialmente previst pr la LOPD ls siguientes tratamients de dats persnales: - Ls fichers regulads pr la legislación de régimen electral - Ls que sirvan a fines exclusivamente estadístics - Ls que tengan pr bjet el almacenamient de ls dats cntenids en ls infrmes persnales de calificación a que se refiere la legislación de régimen del persnal de las Fuerzas Armadas. - Ls derivads del Registr Civil y del Registr Central de Penads y Rebeldes - Ls prcedentes de imágenes y snids btenids mediante la utilización de videcámaras pr la Fuerzas y Cuerps de Seguridad ( art. 2-3 de la LOPD). RESUMEN.- Existen tres tips de fichers: 1.-FICHEROS SOMETIDOS A LA LEGISLACIÓN SOBRE PROTECCIÓN DE DATOS (LOPD Y SU REGLAMENTO) 2.- FICHEROS EXCLUIDOS DE LA LEGISLACIÓN DE PROTECCIÓN DE DATOS 3.- FICHEROS SOMETIDOS A LEGISLACIÓN ESPECIAL Y DISPOSIONES ESPECIALES DE LA PROPIA LOPD Y SU REGLAMENTO 1.3 Qué se entiende pr ficher?. A efects de la LOPD, el términ ficher se define cm td cnjunt rganizad de dats de carácter persnal, que permite el acces a ls dats cn arregl a criteris determinads, cualquiera que fuere la frma mdalidad de su creación, almacenamient, rganización y acces. Pr l tant, bastará cn que exista un cnjunt de dats de carácter persnal rganizad de alguna manera que permita acceder a ls dats utilizand algún criteri determinad para que se cnsidere que estams ante un ficher. Fichers de titularidad pública y Fichers de titularidad privada En función de quien sea el respnsable del ficher y la finalidad para la que se creó, ls fichers se pueden agrupar en titularidad pública titularidad privada. Frmación respnsable seguridad 6-20 Centr de Frmación

7 FICHEROS DE TITULARIDAD PÚBLICA: Ls fichers de ls que sean respnsables ls órgans cnstitucinales cn relevancia cnstitucinal del Estad las institucines autnómicas cn funcines análgas a ls misms, las Administracines públicas territriales, así cm las entidades u rganisms vinculads dependientes de las mismas y las Crpracines de derech públic siempre que su finalidad sea el ejercici de ptestades de derech públic. (art.5-1-m Rgl de la LOPD) FICHEROS DE TITULARIDAD PRIVADA: Ls fichers de ls que sean respnsables las persnas, empresas entidades de derech privad, cn independencia de quien stente la titularidad de su capital de la prcedencia de sus recurss ecnómics, así cm ls fichers de ls que sean respnsables las Crpracines de derech públic, en cuant dichs fichers n se encuentren estrictamente vinculads al ejercici de ptestades de derech públic que a las mismas atribuye su nrmativa específica (art.5-1-l Rgl. LOPD). Fichers autmatizads y n autmatizads En función de cuál sea el prcedimient de almacenamient, rganización y acces de ls dats de carácter persnal, la nrmativa sbre prtección de dats diferencia entre ds tips de fichers, ls fichers autmatizads y ls fichers n autmatizads. FICHEROS AUTOMATIZADOS: Cn el términ ficher autmatizad la nrmativa sbre prtección de dats se refiere a td cnjunt rganizad de dats de carácter persnal que permita acceder a la infrmación relativa a una persna física determinada utilizand prcedimients de búsqueda autmatizads. Están claramente incluids dentr de este cncept ls fichers de dats persnales que almacenan la infrmación en sprtes infrmátics (bases de dats, archivs, etc.) y que se encuentran rganizads de manera que se puede acceder a ls dats persnales utilizand cualquier tip de aplicación prcedimient infrmatizad. FICHEROS NO AUTOMATIZADOS: Ls fichers n autmatizads están definids legalmente cm td cnjunt de dats de carácter persnal rganizad de frma n autmatizada y estructurad cnfrme a criteris específics relativs a persnas físicas, que permiten acceder sin esfuerzs desprprcinads a sus dats persnales, ya sea aquél centralizad, descentralizad repartid de frma funcinal gegráfica.(art.5-1-n Rgl de la LOPD) Un ejempl de un ficher n autmatizad l tenems en ls archivadres existentes en la mayría de las rganizacines, y en un Registr de la Prpiedad, Mercantil y de Bienes Muebles serían ls Tms, Librs, Legajs Agrupación de fichers pr su finalidad y respnsable Aunque físicamente ls dats de carácter persnal se encuentren almacenads en distints tips de fichers e, inclus, aunque gegráficamente se encuentren ubicads en distintas instalacines, tds ls fichers físics existentes en una rganización determinada (autmatizads y n autmatizads) que hayan sid creads cn la misma finalidad y dependan del mism respnsable, se agrupan en un sl ficher jurídic que es el que hay que ntificar a la Agencia Españla de Prtección de Dats para su inscripción en el Registr General de Prtección de dats. EJEMPLO.- Frmación respnsable seguridad 7-20 Centr de Frmación

8 Para cmprender mejr esta idea, vams a analizar cóm suelen tratar las empresas ls dats persnales de sus clientes. Generalmente, estas utilizan un sftware de facturación que almacena ls dats de ls clientes baj archivs infrmátics, además de utilizar también carpetas y archivadres que cntienen la dcumentación de ls clientes en frmat papel (presupuests, facturas, etc.). Pues bien, aunque físicamente existe un ficher autmatizad (frmad pr tds ls archivs y aplicacines infrmáticas) y un ficher n autmatizad (frmad pr tdas las carpetas y archivadres) jurídicamente se trata de un sl ficher de carácter mixt (autmatizad y n autmatizad) que ha sid cread cn la finalidad de gestinar las relacines cmerciales entre la empresa y sus clientes. El ficher de nuestr ejempl será ntificad a la Agencia Españla de Prtección de Dats cm un ficher mixt, al que vams a identificar cm ficher de clientes y cuya finalidad, tal y cm está tipificada en el frmulari de ntificación de fichers, será la de Gestión de Clientes, cntable, fiscal y administrativa. Niveles de Seguridad de ls fichers. Dependiend de la naturaleza de ls dats, requieren diferentes niveles de prtección. N da igual la relevancia que puede tener un registr de nmbres y teléfns, que un registr en el que se incluyan cuestines de raza, idelgía sexualidad, pr ejempl. Así se establecen ls siguientes niveles: Nivel básic: Dats de carácter identificativ: nmbre, teléfn, DNI, edad, dmicili Es el nivel pr defect, pr tant tds ls dats de carácter persnal deberán estar sujets, cm mínim, a las medidas establecidas para ls dats de nivel básic. Asimism, tendrán nivel básic ls fichers de dats de idelgía, afiliación sindical, religión, creencias, rigen racial, salud vida sexual cuand : Ls dats se utilicen cn la única finalidad de realizar una transferencia dineraria a las entidades de las que ls afectads sean asciads miembrs Se trate de fichers tratamients n autmatizads en ls que de frma incidental accesria se cntengan aquells dats sin guardar relación cn su finalidad. Se trate de fichers tratamients que cntengan dats relativs a la salud, referentes exclusivamente al grad de discapacidad la simple declaración de la cndición de discapacidad invalidez del afectad, cn mtiv del cumplimient de deberes públics. Frmación respnsable seguridad 8-20 Centr de Frmación

9 Nivel medi: Fichers que cntengan dats relativs a la cmisión de infraccines administrativas penales Aquells cuy funcinamient se rija pr el art.29 de la L.O.P.D. (Prestación de servicis de infrmación sbre slvencia patrimnial y crédit.) Aquells de ls que sean respnsables Administracines tributarias y se relacinen cn el ejercici de sus ptestades tributarias, Aquells de ls que sean respnsables las entidades financieras para finalidades relacinadas cn la prestación de servicis financiers, Aquells de ls que sean respnsables las Entidades Gestras y Servicis Cmunes de la Seguridad Scial y se relacinen cn el ejercici de sus cmpetencias, así cm aquells de ls que sean respnsables las mutuas de accidentes de trabaj y enfermedades prfesinales de la Seguridad Scial, Aquells que cntengan un cnjunt de dats de carácter persnal que frezcan una definición de las características de la persnalidad de ls ciudadans y que permitan evaluar determinads aspects de la persnalidad del cmprtamient de ls misms, deberán reunir, además de las medidas de nivel básic, las calificadas cm de nivel medi. Aquells de ls que sean respnsables ls peradres que presten servicis de cmunicacines electrónicas dispnibles al públic explten redes públicas de cmunicacines electrónicas respect a ls dats de tráfic ls de lcalización. Ests fichers aplicaran además l previst en el art.103 RDLOPD respect del Registr de Acces. Nivel alt: Fichers que cntengan dats de idelgía, religión, creencias, rigen racial, salud vida sexual Así cm ls que cntengan dats recabads para fines pliciales sin cnsentimient de las persnas afectadas, Aquells que cntengan dats derivads de acts de vilencia de géner, Ls niveles de seguridad sn acumulativs de md que un ficher de nivel alt deberá aplicar también las medidas previstas en ls niveles básic y medi. Titulares de ls de fichers 1. Respnsable del ficher/tratamient: Cada ficher tendrá asignad un respnsable, es decir, una persna física jurídica, de naturaleza pública privada, u órgan administrativ, que decide sbre la finalidad, cntenid y us del ficher. Así mism decidirá sbre el cntenid y el us del tratamient de ls dats persnales 2. Encargad tratamient: persna física jurídica, pública privada, u órgan administrativ, que trata dats persnales pr cuenta del Respnsable, cm Frmación respnsable seguridad 9-20 Centr de Frmación

10 cnsecuencia de la existencia de una relación jurídica que le vincula cn el mism y delimita el ámbit de su actuación para la prestación de un servici. El Encargad del tratamient n pdrá subcntratar cn un tercer la realización de ningún tratamient de dats sin autrización del respnsable del ficher/tratamient. Pdrán ser también encargads del tratamient entes sin persnalidad jurídica que actúen en el tráfic cm sujets diferenciads. 1.4 Principis de Prtección de Dats Calidad de ls Dats ( art.4 de la LOPD) Ls dats de carácter persnal deberán ser tratads de frma leal y lícita, prhibiéndse la recgida de dats pr medis fraudulents, desleales ilícits. Ls dats deben recgerse cn fines determinads, explícits y legítims: NO USARLOS PARA OTROS FINES N bstante, n se cnsiderará incmpatible el tratamient de ls dats cn fines histórics, estadístics científics, para ell se estará a la legislación que en cada cas resulte aplicable. Ls dats deben ser exacts y respnder cn veracidad a la situación del titular: MANTENERLOS ACTUALIZADOS. Ls dats SOLO DEBEN CONSERVARSE DURANTE EL TIEMPO NECESARIO PARA LAS FINALIDADES DEL TRATAMIENTO PARA LAS QUE HAN SIDO RECOGIDOS Serán cancelads cuand hayan dejad de ser necesaris pertinentes para la finalidad para la cual hubieran sid recabads registrads, aunque deberán cnservarse durante el tiemp en que pueda exigirse algún tip de respnsabilidad derivada de una relación u bligación jurídica de la aplicación de un cntrat de la aplicación de medidas precntractuales slicitadas pr el interesad (prces de blque de ls dats y psterir disciación de ls misms cumplid el tiemp de cnservación). Ls dats de carácter persnal serán tratads de frma que permitan el ejercici del derech de acces, en tant n prceda su cancelación Cnsentimient para el tratamient de ls Dats: (Títul I Capitul II Sección Primera del RDLOPD) El respnsable del tratamient debe btener el cnsentimient del interesad para el tratamient de ls dats. La slicitud del cnsentimient debe ir referida a un tratamient cncret, cn delimitación de la finalidad para el que se recaba, así cm del rest de cndicines que cncurran en el tratamient. Será al respnsable del tratamient a quien crrespnda la prueba de la existencia del cnsentimient del afectad pr cualquier medi de prueba admisible en derech. Será psible el tratamient la cesión de ls dats de carácter persnal SIN necesidad de cnsentimient cuand ( Art.10-3 y 4 del RDLOPD): Frmación respnsable seguridad Centr de Frmación

11 - l autrice una nrma cn rang de ley una nrma de derech cmunitari; - ls dats bjet de tratamient cesión figuren en fuentes accesibles al públic y el respnsable del ficher el tercer al que se cmuniquen ls dats tenga un interés legítim para su tratamient cncimient siempre que n se vulneren ls derechs libertades fundamentales del interesad; - ls dats que se recjan para el ejercici de las funcines prpias de las Administracines públicas en el ámbit de las cmpetencias que les atribuya una nrma cn rang de ley de derech cmunitari; - ls dats que se recaben pr el respnsable del tratamient cn casión de la celebración de un cntrat precntrat de la existencia de una relación negcial, labral administrativa de la que sea parte el afectad y sean necesaris para su mantenimient cumplimient; - el tratamient de ls dats tenga pr finalidad prteger un interés vital del interesad; - la cesión de dats respnda a la libre y legítima aceptación de una relación jurídica cuy desarrll, cumplimient y cntrl cmprte la cmunicación de ls dats (sl será legítima en cuant se limite a la finalidad que la justifique); - la cmunicación que deba efectuarse tenga pr destinatari el Defensr del Puebl, el Ministeri Fiscal ls Jueces Tribunales el Tribunal de Cuentas a las institucines autnómicas cn funcines análgas al Defensr del Puebl al Tribunal de Cuentas y se realice en el ámbit de las funcines que la ley les atribuya expresamente; - la cesión entre Administracines Públicas cuand cncurra algun de ests supuests: Tratamient de ls dats cn fines histórics, estadístics científics. Ls dats hayan sid recgids elabrads pr una Administración pública cn destin a tra. La cmunicación se realice para el ejercici de cmpetencias idénticas que versen sbre las mismas materias. El afectad pdrá revcar su cnsentimient a través de un medi sencill, gratuit y que n implique ingres algun para el respnsable del ficher/tratamient. Crrespnderá al respnsable del tratamient la prueba de la existencia del cnsentimient del afectad pr cualquier medi de prueba admisible en derech Deber de Infrmación al Interesad.- Cuand se slicite el cnsentimient del afectad para la cesión de sus dats, éste deberá ser infrmad de frma que cnzca inequívcamente la finalidad a la que se destinarán sus dats y el tip de actividad desarrllada pr el cesinari. En cas cntrari, el cnsentimient será nul. Frmación respnsable seguridad Centr de Frmación

12 El deber de infrmación deberá realizarse a través de un medi que permita acreditar su cumplimient, debiend cnservarse mientras persista el tratamient de ls dats del afectad. La cnclusión práctica en cuant a la frma de recabar ls dats de carácter persnal es que si el md de hacerl es ilegítim, cualquier tra medida en la aplicación de la LOPD n tendrá valr algun. N se pueden recger dats persnales pr caprich, tienen que tener unas determinadas justificacines y una naturaleza adecuada al fin que se persigue al recabarls. El afectad interesad, la persna física sbre la que se almacenan dats de carácter persnal, ha de ser infrmad de frma explicita y precisa de que sus dats van a ser incluids en un ficher, la finalidad del mism y el destinatari de esta infrmación. Es bligatri también infrmar a ls afectads de su derech de acces, rectificación, cancelación y psición, así cm del Respnsable del Tratamient (ARCO). Dats prvenientes de fuentes accesibles al públic. Est genera bastante cnfusión. Cuand se recaban dats prvenientes de fuentes accesibles al públic, n será necesari el cnsentimient de ls afectads, per cuidad, a efects de la LOPD se cnsideran fuentes accesibles al públic las siguientes: Cens prmcinal, Listines telefónics, Listas de persnas que pertenezcan a grups prfesinales, que cntengan únicamente ls dats de nmbre, títul, prfesión, actividad, grad académic, dirección prfesinal (dmicili pstal cmplet, teléfn, fax y dirección electrónica) e indicación de su pertenencia al grup (si pertenece a un Clegi Prfesinal, su númer de clegiad, fecha de incrpración y situación de ejercici prfesinal), Diaris y Bletines ficiales, y Medis de cmunicación scial. Es imprtante hacer bservar en este punt que entre ls dats mencinads anterirmente n se encuentre al NIF de las persnas, pr l que este dats n es susceptible de incrprar a las guías clegiales. Es necesari que para que ests supuests sean cnsiderads fuentes accesibles al públic, la cnsulta ha de pder ser realizada pr cualquier persna, n impedida pr una nrma limitativa, sin más exigencia que, en su cas, el abn de una cntraprestación. Quién está bligad a ntificar ls fichers? DEBER DE NOTIFICAR Tda persna entidad que prceda a la creación de fichers de dats de carácter persnal l ntificará previamente a la Agencia Españla de Prtección de Dats (AEPD). QUIEN LO HACE El Registradr, cm respnsable del ficher, está bligad a ntificar la creación de fichers para su inscripción en el Registr General de Prtección de Dats (RGPD). El Registr General de Prtección de Dats es un órgan de la Agencia Españla de Prtección de Dats encargad de recger la existencia de ls fichers de dats Frmación respnsable seguridad Centr de Frmación

13 persnales, y de publicar esta existencia. Este registr es públic, y pdems cnsultar, pr ejempl, ls fichers que tiene registrads una determinada empresa a través del buscadr de su página Web: De cnfrmidad cn el art.39 de la LOPD serán bjet de inscripción en el Registr: - Ls fichers de que sean titulares las administracines publicas - Ls fichers de titularidad privada - Las autrizacines de transferencias internacinales - Ls Códigs tip - Ls dats relativs a ls fichers que sean necesaris para el ejercici de ls derechs A.R.C.O. CUANDO SE HACE La creación, mdificación supresión de fichers de titularidad pública pertenecientes a las Administracines Públicas sól pdrán hacerse pr medi de dispsición general publicada en el BOE (fichers de titularidad pública). Pdrán crearse fichers de titularidad privada que cntengan dats de carácter persnal cuand resulte necesari para el lgr de la actividad u bjet legítims de la persna, empresa entidad titular y se respeten las garantías establecidas en la LOPD. Cualquier mdificación psterir en el cntenid de la inscripción de un ficher en el RGPD deberá cmunicarse a la AEPD, mediante una slicitud de mdificación de supresión de la inscripción para ls fichers de titularidad privada, y mediante publicación en el BOE para ls fichers de titularidad pública. En el supuest de fichers y tratamients n autmatizads, creads cn psteriridad a la fecha de entrada en vigr de la LOPD deberán ser ntificads para su inscripción en el RGPD. EN RESUMEN: - La Ntificación debe hacerse cn anteriridad al us de ls fichers - Cuand se prducen cambis cn respect a la declaración inicial - Cuand cesa el us del ficher PARA QUE SE DECLARAN LOS FICHEROS: Permite que ls titulares de ls dats puedan cncer quienes sn ls respnsables de ls fichers ante ls que ejercitar directamente ls derechs de acces, rectificación, cancelación y psición. La NO NOTIFICACIÓN a la AEPD de la existencia de un ficher supndría una infracción, tal y cm señala el art.44 de la LOPD, quedand sujet al régimen sancinadr previst en dicha ley. Frmación respnsable seguridad Centr de Frmación

14 DERECHO DE ACCESO, RECTIFICACIÓN, CANCELACIÓN Y OPOSICIÓN (Derechs ARCO): Ls derechs de acces, rectificación, cancelación y psición sn persnalísims y serán ejercids pr el afectad. El ejercici de ests derechs será gratuit. Se deberá cnceder al interesad un medi sencill y gratuit para el ejercici de ls derechs Ls derechs de acces, rectificación, cancelación y psición se ejercitarán: - Pr el afectad, acreditand su identidad; - Si se trata de un incapaz un menr de edad, pr su representante legal, que deberá acreditar tal cndición; - A través de representante vluntari, expresamente designad para el ejercici del derech, y acreditand su identidad; Derech de Acces: Es el derech del afectad a btener infrmación gratuita sbre si sus dats persnales están siend bjet de tratamient, la finalidad del mism, así cm la infrmación dispnible sbre el rigen de ls misms y las cmunicacines que se hayan hech se vayan a hacer. El plaz máxim para reslver sbre una slicitud de acces pr parte del respnsable del ficher es de 1 mes y satisfacerse en ls siguientes diez días a la ntificación de la reslución. Pdrá ejercitarse a intervals de 12 meses sin necesidad de que el titular de ls dats persnales alegue justificación alguna. Pdrá ejercitarse en perids inferires cuand se alegue un interés legítim. Derech de Rectificación: El afectad puede instar al Respnsable del ficher a cumplir cn su bligación de mantener la exactitud y adecuación de ls dats, teniend el Respnsable que rectificarls en su cas. Este derech exige al titular indicar el dat que es erróne y la crrección que debe hacerse y deberá ir acmpañada de la dcumentación justificativa de la rectificación slicitada, salv que la misma dependa exclusivamente del cnsentimient del interesad. El Respnsable reslverá sbre la slicitud de rectificación en el plaz máxim de 10 días desde la recepción de la slicitud. Derech de Cancelación: El afectad tiene el derech a que se supriman ls dats persnales que resulten ser inadecuads excesivs, sin perjuici del deber de blque. DERECHO DE BLOQUEO.- La cancelación dará lugar al blque de ls dats, cuand sea precis cnservar ésts únicamente a dispsición de la Administracines Públicas, Jueces y Tribunales, para la atención de las psibles respnsabilidades nacidas del tratamient, durante el plaz de prescripción de estas. Cumplid el citad plaz deberá prcederse a la supresión. Frmación respnsable seguridad Centr de Frmación

15 El Respnsable reslverá sbre la slicitud de cancelación en el plaz máxim de 10 días desde la recepción de la slicitud. Derech de Opsición: Es el derech del afectad a que n se lleve a cab el tratamient de sus dats persnales se cese en el mism cuand n sea necesari el cnsentimient expres del afectad, cm cnsecuencia de un mtiv legítim y fundad, referid a su cncreta situación persnal, que l justifique, siempre que n haya una Ley en cntrari; cuand se trate de fichers que tengan pr finalidad la realización de actividades de publicidad y prspección cmercial, en ls términs prevists en el artícul 51 del Reglament, cualquiera que sea su la empresa respnsable de su creación; cuand el tratamient tenga pr finalidad la adpción de una decisión referida al afectad y basada únicamente en un tratamient autmatizad de sus dats, en ls términs prevists en el artícul 36 del Reglament. El Respnsable reslverá sbre la slicitud de psición en el plaz máxim de 10 días desde la recepción de la slicitud. Ls derechs de acces, psición, rectificación y cancelación n sn absluts. El Respnsable del Ficher tratamient pdrá denegarls cuand cncurra causa legal para ell. EJEMPLO.- Cuand se haya ejercitad el derech de acces en ls últims dce meses y n se alegue interés legítim cuand exista un deber lugar de cnservación en cas de la cancelación Si ls dats a rectificar cancelar hubieran sid cedids previamente a un tercer, el respnsable del ficher ntificará al cesinari la rectificación cancelación efectuada. AL RECIBIR/REALIZAR UN SERVICIO EN EL QUE SE ACCEDE A LOS DATOS La realización de ese tratamient pr tercers, a ls que denminarems encargads del tratamient, deberá estar regulada pr un cntrat escrit cualquier tra frma que permita acreditar su celebración y cntenid que expresamente indique las bligacines del encargad del tratamient. Ls dats sól se tratarán cnfrme a las instruccines del respnsable del ficher. Ls dats n se utilizarán cn fin distint al establecid en el cntrat. Ls dats n se cmunicarán, ni para cnservación, a tras persnas. Las medidas de seguridad a implementar. La destrucción devlución de ls dats una vez cumplid el cntrat. El artícul 12 de la LOPD regula el acces a ls dats pr cuenta de tercers. El respnsable del ficher tratamient debe ser diligente en la elección del encargad asegurándse de que cumplirá adecuadamente las cndicines del encarg respetand escrupulsamente tdas las previsines en materia de prtección de dats. El cntenid del cntrat n deberá limitarse a una simple reprducción de l dispuest pr el artícul 12 LOPD y deberá establecer de md específic las bligacines del encargad. Si fuese necesaria una subcntratación deben cumplirse ls siguientes requisits establecids en el RDLOPD: Que se especifiquen en el cntrat ls servicis que puedan ser bjet de subcntratación y, si ell fuera psible, la empresa cn la que se vaya a subcntratar. Cuand n se identificase en el cntrat la empresa cn la que se vaya a subcntratar, será precis que el encargad del tratamient cmunique al respnsable ls dats que la identifiquen antes de prceder a la subcntratación. Frmación respnsable seguridad Centr de Frmación

16 Que el tratamient de dats de carácter persnal pr parte del subcntratista se ajuste a las instruccines del respnsable del ficher. Que el encargad del tratamient y la empresa subcntratista frmalicen el cntrat previst pr el artícul 12 LOPD. En el cas de que el encargad del tratamient destine ls dats a tra finalidad, ls cmunique ls utilice incumpliend las estipulacines del cntrat, respnderá de las infraccines en que hubiera incurrid persnalmente. 1.5 Cóm afecta la LOPD al Registr?. El Registr es una Institución cuys archivs, tant autmatizads (sistemas infrmátics y sprtes) cm n autmatizads (tms, librs auxiliares y legajs del Registr) se hallan smetids a la LOPD, así cm a su Reglament pr cntener dats de carácter persnal y n hallarse dentr de la relación de fuentes accesibles al públics definidas en la LOPD. 1.6 Infraccines y Sancines. Las sancines pueden ser de tres tips, dependiend de su gravedad: LEVES: Multa de 601,01 a ,21 eurs. N atender la slicitud de rectificación cancelación. N facilitar a la Agencia de Prtección de Dats la infrmación que ésta slicite. N inscribir un ficher cn dats persnales en el Registr. Recger dats persnales cntraviniend el derech de infrmación en la recgida de dats. (art. 5 LOPD). Incumplir el deber de secret recgid en el artícul 10 de la LOPD GRAVES: Multa de ,21 a ,05 eurs. Crear un ficher de titularidad pública prceder a la recgida de dats persnales sin autrización de dispsición general publicada en un Bletín Oficial. Crear un ficher de titularidad privada prceder a la recgida de dats cn una finalidad distinta al bjet legítim de la entidad que ls recaba. Recger dats sin el cnsentimient expres de ls afectads (siempre y cuand este sea exigible). Tratar ls dats persnales en cntra de ls principis y las garantías recgids en la LOPD. El impediment del ejercici de ls derechs de acces de psición y la negativa a facilitar la infrmación requerida. Mantener ls dats de frma inexacta n efectuar las rectificacines cancelacines de ls dats cuand legalmente haya que realizarlas. Infringir del deber de secret sbre dats de nivel medi atenuad de nivel medi (según el Reglament de Seguridad). N implantar las medidas que se crrespndan según el Reglament de Seguridad. N remitir a la Agencia de Prtección de Dats las ntificacines que sean slicitadas n prprcinadas en el plaz requerid. La bstrucción del ejercici de la función inspectra de la Agencia de Prtección de Dats. Frmación respnsable seguridad Centr de Frmación

17 N inscribir el ficher en el Registr General de Prtección de Dats, cuand sea requerid pr el directr de la Agencia de Prtección de Dats. Incumplir el deber de infrmación cuand ls dats hayan sid recabads de persna distinta del afectad. MUY GRAVES: Multa de ,05 a ,10 eurs. Recger dats persnales de frma engañsa y fraudulenta. Ceder dats persnales fuera de ls cass en ls que está permitid. Recabar y tratar dats especialmente prtegids sin el cnsentimient expres del afectad, cuand n l dispnga una ley cuand se recaben cn la única finalidad de pseer este tip de dats. N cesar en el us ilegítim de un tratamient de dats persnal cuand así sea requerid pr el directr de la Agencia de Prtección de Dats para realizar una transferencia internacinal de dats cuand aquella sea necesaria. Tratar ls dats persnales de manera ilegítima cntra ls principis y las garantías aplicables, siempre que ell impida vaya en cntra de ls derechs fundamentales. Vulnerar el deber de secret (artícul 10 de la LOPD) de ls dats especialmente prtegids. N atender u bstaculizar sistemáticamente el ejercici de ls derechs de acces, rectificación, cancelación u psición. N atender sistemáticamente el derech de infrmación en la recgida de dats persnales. 2.- REGLAMENTO DE MEDIDAS DE SEGURIDAD. De acuerd a l anterirmente expuest, pr el simple hech de crear un ficher de dats persnales, hay que regirse pr una serie de nrmas; y una vez claras las reglas para recabar ls dats, la finalidad, el cnsentimient de ls interesads, etc vams a ceñirns a l que el Reglament de desarrll (RD 1720/2007) de la LOPD establece en cuant a la prtección de ests fichers. Las medidas que el Reglament de desarrll de la LOPD establece para garantizar la seguridad de ls dats persnales se centra en: ls prpis fichers; ls lugares físics dnde se almacenan se tratan ls fichers; ls equips, sistemas y prgramas; las persnas que intervengan en ls tratamients de dats persnales; Cóm adaptarns a la nrmativa de Prtección de Dats? Las medidas establecidas pr la Ley y su Reglament n sn iguales para tds ls fichers, sin que sn más estrictas cuant más alt es el nivel seguridad a aplicar a cada un de ls fichers, siend acumulables las medidas de un nivel a tr. Frmación respnsable seguridad Centr de Frmación

18 Medidas para fichers de nivel básic: 1. Cmunicar a la Agencia de Prtección de Dats la creación del ficher y prceder al registr del mism. 2. Elabración del Dcument de Seguridad pr parte del Respnsable del ficher, que cntendrá la nrmativa de seguridad de bligad cumplimient para td el persnal de la empresa cn acces a ls fichers, su tratamient ls sistemas de infrmación. Aunque psterirmente cmentarems más en detalle las características que tiene que cntener el Dcument de Seguridad, vams a citar ls camps mínims que ha de cntener para el nivel básic: a. Ámbit de aplicación y especificación de ls fichers prtegids. b. Plíticas para garantizar el nivel de seguridad exigid. c. Funcines y deberes del persnal. d. Plan de seguridad, dnde se describirá la estructura de ls fichers y ls sistemas que ls tratan. e. Prcedimients ante incidencias. f. Prcedimients de realización de cpias de respald y de recuperación de ls dats en ls fichers tratamients autmatizads. 3. Deben establecerse medidas para restringir el acces únicamente a ls usuaris autrizads. Es decir, servirían simplemente las cntraseñas de inici de sesión de usuaris en un dmini, pr ejempl. 4. Definir de frma clara y precisa las funcines y bligacines que recaerán sbre cada usuari cn acces a ls dats y sistemas de infrmación. Este listad de permiss de acces (así cm el tip de privilegis de ls usuaris sbre ls fichers, es decir, lectura, lectura y mdificación, etc.) ha de ser actualizad cnstantemente cnfrme vaya cambiand. El Respnsable del ficher será el encargad de dar a cncer las nrmas al persnal. 5. Creación de un registr de incidencias respect a ls fichers, en el que cnste: el tip de incidencia, mment en que se prduj, persna que l ntifica, persna a la que se le cmunica y efects derivads de dicha incidencia. 6. Gestión de sprtes. Ls sprtes físics que cntengan dats de carácter persnal (llaves USB, disquetes, cintas, etc.) deben estar inventariads y almacenads en un lugar restringid sól a persnal autrizad. Sól el Respnsable de ls fichers pdrá autrizar la salida de ess sprtes de su ubicación (se trata de establecer medidas de seguridad física a ls misms). 7. Cpias de seguridad. Se establece cm bligatri el realizar cpias de seguridad de ls fichers al mens una vez pr semana, salv que ests fichers n hayan sufrid mdificacines. Medidas para fichers de nivel medi: Las medidas para ls fichers de nivel medi incluyen tdas las citadas para nivel básic, y además las siguientes: 1. Dcument de Seguridad. Además de ls camps requerids en el nivel básic, el Dcument de Seguridad deberá incluir: a. Identificación del respnsable de seguridad. b. Plan de auditria interna. c. Medidas a adptar ante la eliminación reutilización de sprtes. Frmación respnsable seguridad Centr de Frmación

19 2. Identificar al Respnsable de seguridad. Designad pr el respnsable del ficher y encargad de velar pr el cumpliment de las medidas definidas en el dcument de seguridad. 3. Realizar una auditría cada 2 añs, interna externa, que verifique que se cumple el reglament. 4. Identificación de ls usuaris que intentan acceder a ls Sistemas de Infrmación, limitación de intents fallids y limitación de la psibilidad de acces n autrizad. 5. Cntrl de acces FÍSICO a ls lcales dnde se encuentran ls fichers. Pr ejempl, puerta cerrada cn llave en la sala de servidres. 6. Registr de entrada/salida de sprtes infrmátics. Medidas para fichers de nivel alt: Las medidas para ls fichers de nivel alt incluyen tdas las citadas para ls niveles básic y medi, y además las siguientes: 1. Cifrad de ls sprtes que cntengan dats persnales y que sean distribuids. 2. Registr de ls access a ls fichers, que deberá cnservarse al mens 2 añs. 3. Transmisión cifrada de ls dats pr la red. 4. Almacenar las cpias de seguridad en tr lugar físic distint a dnde se encuentran ls prpis fichers (pr ejempl, fuera de la empresa); 3.- DOCUMENTO DE SEGURIDAD. El Dcument de Seguridad se pdría definir cm las medidas de índle técnica y rganizativas necesarias para garantizar la prtección, cnfidencialidad e integridad que exige la LOPD. El Dcument de Seguridad es un dcument elabrad pr el Respnsable se Seguridad y de bligad cumplimient para td el persnal cn acces a dats. El cntenid principal queda estructurad cm sigue: Funcines y bligacines del persnal. Medidas, nrmas, prcedimients, reglas y estándares encaminads a garantizar ls niveles de seguridad exigids pr este dcument. Cncretamente: Medidas cmunes a fichers autmatizads y n autmatizads. Medidas específicas a fichers autmatizads. Medidas específicas a fichers n autmatizads. Frmación respnsable seguridad Centr de Frmación

20 4.- PROCEDIMIENTOS DE GESTIÓN. Dentr del Prcedimient de Gestión analizarems especialmente: Prcedimient de Gestión de Incidencias. Gestión de Sprte. Una incidencia es un hech que repercute directamente a la cnfidencialidad, integridad dispnibilidad de ls dats, pniend en peligr la seguridad de ésts y prvcand su psible pérdida, destrucción mdificación. Cuand se prduce una incidencia en el registr que afecta a Prtección de Dats deberems registrar dicha incidencia mediante un Prcedimient de Gestión de Incidencias detalland las accines a seguir cuand se prduce una, cncretamente, reflejará su grabación en el registr de incidencias así cm el fluj de trabaj para su reslución y psterir análisis. Un sprte es aquel ficher físic electrónic que cntiene dats de carácter persnal. La Gestión de Sprtes de aquells que cntengan dats de carácter persnal, tant de ficher autmatizads cm n autmatizads, deben de ser etiquetads para su identificación, inventariad y almacenads en un lugar cn acces restringid, al que sól pdrán acceder las persnas cn autrización. La SALIDA de ls sprtes y dcuments de cualquier tip DEBEN SER AUTORIZADOS POR EL RESPONSABLE DEL FICHERO y aparecer dicha autrización en el dcument de Seguridad. Idéntica AUTORIZACIÓN se necesita para el almacenamient de dats persnales en dispsitivs prtátiles tratamient de ls misms fuera del registr. Si dichs dats de carácter persnal van a ser bjet de traslad fuera del registr se adptarán las medidas necesarias para evitar la sustracción, pérdida acces indebid a la infrmación durante su transprte. Frmación respnsable seguridad Centr de Frmación