Diputación de Albacete. Paseo Libertad, Albacete. Tel Fax Guía

Transcripción

1 Diputación de Albacete. Paseo Libertad, Albacete. Tel Fax Guía

2

3 12 Obligaciones del responsable de seguridad exigibles por la LOPD Cesión de datos Es cesión o comunicación de datos toda revelación de los mismos realizada a una persona distinta del interesado. Los datos de carácter personal sólo pueden ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado. El responsable del fichero en el momento en que se efectúe la primera cesión de datos debe informar de ello a los afectados, indicando, asimismo, la finalidad del fichero, la naturaleza de los datos que han sido cedidos y el nombre y dirección del cesionario. (Art, 11, 12) Acceso de terceros a los datos Los datos son para el responsable del fichero, no para terceros. Por tanto, los terceros no pueden tener acceso legítimo a los datos, si no median las circunstancias que prevé la Ley. Por eso, la realización de tratamientos por cuenta de terceros debe consignarse en un contrato por escrito, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas. Deben recogerse asimismo las medidas de seguridad que el encargado del tratamiento está obligado a implementar.(art 18) Una vez cumplida la prestación contractual, los datos de carácter personal que obtenga el tercero deben ser destruidos o devueltos. Índice QUE ES EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE DATOS? PRINCIPIOS DE LA LEY ORGÁNICA DE PROTECCIÓN DE DATOS DERECHOS DE LOS CIUDADANOS QUE PROBLEMAS PUEDE ACARREAR EL INCUMPLIMIENTO DE LA LOPD? ADAPTACIONES TÉCNICAS EXIGIBLES POR LA LOPD ADAPTACIONES LEGALES EXIGIBLES POR LA LOPD

4 2 11 Qué es el derecho fundamental a la protección de datos? Obligaciones del responsable de seguridad exigibles por la LOPD El derecho fundamental a la protección de datos reconoce al ciudadano la facultad de controlar sus datos personales y la capacidad para disponer y decidir sobre los mismos. PRINCIPIOS DE PROTECCIÓN DE DATOS El tratamiento de datos de carácter personal ha de realizarse de acuerdo con los principios de información, calidad, finalidad, consentimiento y seguridad. Dichos principios se plasman en diversos preceptos de la Ley Orgánica de Protección de Datos. El responsable de un fichero o tratamiento es la entidad, la persona o el órgano administrativo que decide sobre la finalidad, el contenido y el uso del tratamiento de los datos personales. Deber de conservación y puesta al día de los datos Los datos de carácter personal deben ser conservados durante los plazos previstos en las disposiciones aplicables o, en su caso, en las relaciones contractuales entre la persona o entidad responsable del tratamiento y el interesado. El responsable del fichero no sólo está obligado a conservarlos sino también a que éstos sean exactos y estén puestos al día de forma que respondan con veracidad a la situación actual del afectado. (Art. 4) Utilización de comercio con los datos de carácter personal Aunque, como hemos visto, los datos de carácter personal objeto de tratamiento no pueden usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos, sí pueden usarse para muchas actividades compatibles. Surge así la figura de la cesión de los datos y la figura del acceso de terceros a los datos. (Art, 11, 12) Todo responsable de un fichero o tratamiento de datos personales está obligado a cumplir los citados principios recogidos en la Ley Orgánica de Protección de Datos.

5 10 Obligaciones del responsable de seguridad exigibles por la LOPD PRINCIPIOS DE LA LEY ORGÁNICA DE PROTECCIÓN DE DATOS Principios de la ley orgánica de protección de datos 3 Obligación de seguridad El responsable del fichero y, en su caso, el encargado del tratamiento,(14) tienen que velar por la seguridad de los datos. Para ello deben adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural. (Art 9) Deber de secreto y de utilización legítima El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos. Estas obligaciones no terminan con el borrado del fichero, sino que subsisten aún después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo. Además, los datos de carácter personal objeto de tratamiento no pueden usarse para fines incompatibles con aquéllos para los que los datos hubieran sido recogidos. ( Art. 4, 5, 6, 10) Permitir el derecho de acceso de los interesados a sus datos y a su rectificación Una vez creado el fichero y obtenidos los datos, incluso si ha mediado consentimiento del interesado para el tratamiento, los interesados tienen derecho a acceder a sus propios datos. Por eso, los datos de carácter personal deben almacenarse de forma que permitan el ejercicio del derecho de acceso, salvo que sean legalmente cancelados. Los interesados tienen derecho a solicitar y obtener gratuitamente información de sus datos de carácter personal sometidos a tratamiento; sobre cuál sea el origen de dichos datos y sobre las comunicaciones realizadas o que se prevén hacer de los mismos. (Art. 15, 16, 17) Los datos deben tratarse de manera leal y lícita. Los datos deben recogerse con fines determinados, explícitos y legítimos. Los datos deben ser adecuados, pertinentes y no excesivos en relación con el ámbito y los fines para los que se han recogido. Los datos deben ser exactos y mantenerse actualizados de manera que respondan con veracidad a la situación actual de su titular. Los responsables deben atender a los interesados que soliciten el acceso a sus datos personales. Los datos personales sólo deben conservarse durante el tiempo necesario para las finalidades del tratamiento para el que han sido recogidos. Deben ser cancelados cuando hayan dejado de ser necesarios o pertinentes para el fin con que se obtuvieron. Todo responsable o encargado de un tratamiento tiene que adoptar todas las medidas necesarias para garantizar la seguridad de los datos personales e impedir cualquier alteración, pérdida, tratamiento o acceso no autorizado. El responsable tiene que notificar al Registro General de Protección de Datos la creación, modificación o supresión de cualquier fichero o tratamiento de datos personales.

6 4 Derechos de los ciudadanos Adaptaciones legales exigibles por la LOPD 9 La Ley Orgánica de Protección de Datos reconoce específicamente a los ciudadanos los siguientes derechos en materia de protección de datos: Redacción de contratos de tratamiento de datos por cuenta de terceros, formularios y cláusulas para la recogida y tratamiento de datos Derecho de información en la recogida de datos. Derecho de consulta al registro general de protección de datos. Derecho de acceso. El reglamento establece que se deben redactar contratos de confidencialidad con todas aquellas personas que tengas acceso a los datos de carácter personal, es decir se deben realizar : Contratos de tratamiento de datos por cuenta de terceros (asesorías, gestorías, empresas de riesgos laborales, mantenimiento informático etc.) Formularios y cláusulas para la recogida de datos de clientes, proveedores y personal de la empresa., para su tratamiento de datos. Contratos de Confidencialidad para el personal de la empresa. Derecho de rectificación. Derecho de cancelación. Derecho de oposición. Auditoría de Seguridad bienal El Reglamento establece que los sistemas de información e instalaciones de tratamiento de datos se someterán a una auditoría interna o externa, que verifique el cumplimiento del Reglamento, de los procedimientos e instrucciones vigentes en materia de seguridad de datos, al menos, cada dos años.(art 17).

7 8 Adaptaciones legales exigibles por la LOPD Qué problemas puede acarrear el incumplimiento de la LOPD? 5 Inscripción de ficheros de datos en la AGPD Es obligatoria la inscripción en la Agencia Española de Protección de Datos de todos los ficheros que contengan datos de carácter personal (Art 25, 26) Redacción de la Documentación de Seguridad Se trata de un documento privado pero de acceso público en el que se señalan las políticas de seguridad que se seguirán por quienes traten datos personales. La Ley Orgánica de Protección de Datos 15/1999 (LOPD) obliga a todas las empresas y organizaciones a cumplir con una serie de requisitos, cuyo incumplimiento puede Denuncias por parte de los afectados: Las personas o entidades que aparecen en sus ficheros de carácter personal tienen una serie de derechos sobre ellos, como son: el derecho de acceso, rectificación, exclusión, oposición y cancelación. Este documento debe mantenerse en todo momento actualizado y ha de revisarse siempre que se produzcan cambios relevantes en el sistema de información o en la organización del mismo. Su contenido debe adecuarse en todo momento a los cambios normativos en materia de seguridad de los datos de carácter personal. Oponerse a estos derechos incumple los artículos 15 y 16 del capítulo III de la Ley Orgánica 15/1999 y puede ocasionar sanciones de carácter grave. Pérdida de datos: No adoptar unas medidas de seguridad puede implicar la pérdida parcial o total de los datos, lo cual puede provocar la pérdida de información vital para la Organización. La Ley Orgánica de Protección de Datos obliga al cumplimiento de una serie de medidas de seguridad las cuales se establecen en el Documento de Seguridad.

8 6 Qué problemas puede acarrear el incumplimiento de la LOPD? Adaptaciones Técnicas exigibles por la LOPD 7 Filtrado de Datos al exterior: La Ley Orgánica de Protección de datos establece la obligatoriedad de la creación de contratos de confidencialidad tanto con el personal interno de la organización como con el personal externo, la falta de contratos de confidencialidad puede provocar el filtrado de datos al exterior y con ello denuncias por parte de los afectados. Sentencias por parte de la Agencia Española de Protección de Datos: El incumplimiento de todo lo estipulado en la Ley Orgánica 15/1999, puede provocar sanciones por parte de la agencia: Estas sanciones están catalogadas como: Leves (multas de 600 a ,21 ) Graves (multa de ,21 a ,05 Muy graves (multa de ,21 a ,05 ). Identificación y Autenticación de usuarios Establecimiento de mecanismos de identificación y autentificación que garanticen el acceso controlado a los datos de carácter personal. (Art. 11.2, 11.3, 18.2) Control de Acceso Establecer mecanismos para el controlar el accesos interno/externo, de tal manera que los usuarios solo tengas acceso a los datos que sean necesarios para el desempeño de sus funciones.así como un mecanismo que guarde constancia de los accesos realizados en cada momento. (Art. 24.2, 11.1, 12.3, 12.1, 24.4, 5) Gestión de soportes Establecimiento de procedimientos para la identificación de los soportes que contengan datos de carácter personal y su destrucción en caso de no ser necesarios. Así como registros de los movimientos de dichos soportes. (Art.13.1, 20.1, 20.2, 26). Copias de Respaldo y recuperación Procedimientos periódicos para la realización de copias de seguridad y recuperación de datos. (Art.14.3,14.2,25,21.2) Registro de Incidencias Registro de incidencias que contenga las incidencias que se puedan producir en el manejo de ficheros que contengan datos de carácter personal. (Art.10). Actualización y Auditorías La ley establece que los ficheros de nivel medio o alto están obligados a realizar una auditoria bianual del sistema de información que lo gestiona. Así como una actualización periódica de toda la documentación. (Art. 8.3, 17, 24.5) Redes de Comunicación Se deben establecer mecanismo de control de acceso a las redes de comunicación que contengan datos de carácter personal, de tal manera que no puedan realizarse accesos no deseados desde el exterior. Medidas para Datos en Soporte Papel Los datos de carácter personal que se encuentran en soporte papel deben cumplir los mismos requisitos de seguridad que los ficheros que se encuentren en soporte automatizado.