GUÍA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL PARA PYMES Y PROFESIONALES

Transcripción

1 GUÍA ROTECCIÓN DE DATOS DE CARÁCTER ERSONAL ARA YMES Y ROFESIONALES

2 Indice 1 INTRODUCCIÓN 5 2 REGULACIÓN LEGAL 6 3 DERECHOS DE LOS CIUDADANOS 8 DGUÍA 4 RINCIIOS DE LA ROTECCIÓN DE DATOS 9 5 AMBITO DE ALICACIÓN 13 6 DATOS ESECIALMENTE ROTEGIDOS DATOS QUE REVELEN LA IDEOLOGÍA, AFILIACIÓN SINDICAL, RELIGIÓN Y CREENCIAS DATOS QUE HAGAN REFERENCIA AL ORIGEN RACIAL, A LA SALUD Y A LA VIDA SEXUAL DATOS RELATIVOS A LA COMISIÓN DE INFRACCIONES ENALES O ADMINISTRATIVAS 17 7 QUÉ DEBE HACER LA EMRESA ARA ADECUARSE A LA LOD? 18 8 LAS MEDIDAS DE SEGURIDAD 20 9 LA OBTENCION DE DATOS DE CARÁCTER ERSONAL 9.1 CUESTIONARIOS IMRESOS CORREO ELECTRÓNICO ( ) OBTENCIÓN DE DATOS OR TELÉFONO ÁGINAS WEB GLOSARIO DE TERMINOS (A-Z) 28 DE ROTECCIÓN DE DATOS 3

3 1 Introducción Esta guía describe los conceptos básicos de la protección de datos de carácter personal, con objeto de darlos a conocer dentro del ámbito de las pequeñas y medianas empresas. Se entiende la protección D como el derecho de las personas en lo concerniente al tratamiento de sus datos personales: protección contra la posible utilización por terceros de forma no autorizada por el titular de los datos, e impedir elaborar información que afecte a su entorno personal, social o profesional. La importancia de la rotección de datos esta hoy en día fuera de duda, ya que no existe actividad económica alguna que no le afecte. Afecta a todas las empresas y profesionales, que por ejemplo manejen ó usen un fichero de los clientes, proveedores o la mera relación de trabajadores de la empresa. I N T R O D U C C I Ó N GUÍA DE ROTECCIÓN DE DATOS 5

4 R E G U L A C I Ó N L E G A L 2 Regulación legal LOD: Ley Orgánica 15/1 999, de 13 de diciembre, de protección de datos de carácter personal. D Esta ley garantiza y protege todo lo relativo a los datos personales y establece una serie de obligaciones relativas a la recogida de los datos, consentimiento, conservación, uso, datos especialmente protegidos, etc. RMS: Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal. En el Reglamento se establecen las medidas que se han de adoptar obligatoriamente para garantizar la seguridad respecto de los ficheros automatizados, los centros de tratamiento, locales, equipos, etc. LSSI: Ley 34/2002, de 11 de julio de servicios de la sociedad de la información y de comercio electrónico. LGT: Ley 32/2003, de 3 de noviembre General de Telecomunicaciones. 6 GUÍA DE ROTECCIÓN DE DATOS

5 INSTRUCCIONES DE LA AGENCIA ESAÑOLA DE ROTECCION DE DATOS: Instrucción 1/2000, de 1 de diciembre, de la AD, relativa a las normas por las que se rigen los movimientos internacionales de datos. Instrucción 1/1998, de 19 de enero, de la AD, relativa al ejercicio de los derechos de acceso rectificación y cancelación. DGUÍA Instrucción 1/1996, de 1 de marzo, de la AD, sobre ficheros automatizados establecidos con la finalidad de controlar el acceso a los edificios. Instrucción 2/1996, de 1 de marzo, de la AD, sobre ficheros automatizados establecidos con la finalidad de controlar el acceso a los casinos y salas de bingo. Instrucción 2/1995, de 4 de mayo, de la AD, sobre garantía de los datos personales recabados en la contratación de seguro de vida de forma conjunta con un préstamo hipotecario o personal. Instrucción 1/1995 de 1 de marzo de la AD relativa a prestación de servicios de información sobre solvencia patrimonial y crédito. DE ROTECCIÓN DE DATOS 7

6 D E R E C H O S d e l o s C I U D A D A N O S 3 Derechos de los ciudadanos Los derechos que vamos a enumerar nacen para garantizar a los ciudadanos las posibles intromisiones en la intimidad u honor como consecuencia del uso de la informática: Derecho a impugnar D valoraciones de su comportamiento basadas en el tratamiento de datos personales. Derecho de consulta al Registro General de rotección de Datos. Cualquier persona puede conocer la existencia de tratamientos de datos personales, sus finalidades y la identidad del responsable del mismo. Derecho de acceso. El interesado tendrá derecho a solicitar y obtener gratuitamente información de sus datos de carácter personal sometidos a tratamiento, el origen de dichos datos, así como las comunicaciones realizadas. Derecho de rectificación y cancelación. El responsable del tratamiento tiene la obligación de rectificar o cancelar aquellos datos de carácter personal que resulten inexactos, incompletos o que no se ajusten a lo dispuesto en la Ley 15/1999, en el plazo de diez días a contar desde que el interesado ejerce el derecho. Derecho a indemnización. 8 GUÍA DE ROTECCIÓN DE DATOS

7 4 DGUÍA de la rincipios protección de datos Estos principios han de regir todas las operaciones de tratamiento y cesión de datos de carácter personal. Calidad de los datos:. Los datos de carácter personal sólo se podrán recoger para su tratamiento cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades para las que se hayan obtenido.. No podrán usarse para finalidades distintas para las que se hubieran obtenido.. Los datos serán cancelados cuando resulten inexactos, incompletos, o cuando hayan dejado de ser necesarios para la finalidad para la cual hayan sido recabados.. Los datos de carácter personal serán exactos y puesto al día. DE ROTECCIÓN DE DATOS 9 R I N C I I O S d e l a R O T E C C I Ó N

8 Las personas a las que se les solicita los datos personales deberán ser informados de modo expreso, preciso e inequívoco:. De la existencia del fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.. Del carácter obligatorio o facultativo de las respuestas a las preguntas formuladas.. De las consecuencias de la obtención de datos o de la negativa a suministrarlos. D. De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.. De la identidad y dirección del responsable del tratamiento. El tratamiento de los datos de carácter personal requerirá el consentimiento del afectado. El responsable del fichero habrá de adoptar las medidas necesarias para garantizar la seguridad de los datos y evitar su alteración, pérdida, tratamiento o acceso no autorizado. El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos están obligados a guardar secreto profesional. Sólo podrán comunicarse los datos de carácter personal a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado. 10 GUÍA DE ROTECCIÓN DE DATOS

9 5 DGUÍA Ámbito de aplicación La protección de datos de carácter personal se refiere a los siguientes datos: De carácter identificativos: nombre, apellidos, dirección, NIF/CIF, teléfono, dirección electrónica, etc. De carácter personal: estado civil, fecha de nacimiento, edad, lugar de nacimiento, nacionalidad, sexo, etc. De circunstancias sociales: servicio militar, propiedades, aficiones, estilo de vida, pertenencia a clubes o asociaciones. Académicos o profesionales: formación, titulación, historial de estudiante, experiencia profesional, etc. Á M B I T O d e A L I C A C I Ó N Detalles de empleo: profesión, puesto de trabajo, historial del trabajador, etc. DE ROTECCIÓN DE DATOS 11

10 De información comercial: actividades y negocios, licencias comerciales, suscripciones a publicaciones o medios de comunicación, etc. Económico-financieros y de seguros: ingresos, rentas, inversiones, préstamos, avales, datos bancarios, planes de jubilación, etc. De transacciones: transacciones financieras, indemnizaciones, etc. Especialmente protegidos: ideología, afiliación sindical, religión, creencias, salud, vida sexual, etc. El régimen de protección de datos de carácter personal no será de aplicación a los siguientes ficheros: Los mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas. Los sometidos a la normativa sobre protección de materias clasificadas. Los establecidos para la investigación del terrorismo y de formas graves de delincuencia organizada. 12 GUÍA DE ROTECCIÓN DE DATOS

11 6 DGUÍA Datos especialmente protegidos Son datos que se refieren a aspectos personales e íntimos de la vida privada de las personas, por lo que merecen una mayor protección. Se pueden agrupar dichos datos en tres grupos en función de las especiales garantías que prevé la LOD para su tratamiento. 1. Datos que revelen la ideología, afiliación sindical, religión y creencias: son aquellos datos que puedan dar indicios sobre la ideología, la afiliación sindical, la religión y las creencias en general del individuo. Abarcará datos como la pertenencia a asociaciones, partidos políticos, la cuota sindical en la nómina, o la casilla correspondiente a la donación a la Iglesia Católica en la declaración del IRF. 2. Datos que hagan referencia al origen racial, a la salud y a la vida sexual, son aquellos datos que describen la raza del individuo, que describen la situación de la salud, como dolencias, enfermedades, altas y bajas en la empresa por enfermedad, historiales clínicos, datos de minusvalía en la nómina, etc., y los descriptivos de las prácticas sexuales asimiladas por el afectado. DE ROTECCIÓN DE DATOS 13 D A T O S E S E C I A L M E N T E R O T E G I D O S

12 3. Datos relativos a la comisión de infracciones penales o administrativas: Son aquellos datos que se refieran a cualquier infracción penal o administrativa de la que haya sido declarado culpable el interesado. 6.1 Datos que revelen la ideología, afiliación sindical, religión y creencias Cuando se pretenda recabar datos de este tipo, en todo caso habrá que informar del contenido del artículo 16.2 de la Constitución que dispone que nadie podrá ser obligado a declarar sobre su ideología, religión o creencias. Como consecuencia de este precepto, el Responsable del fichero tendrá que advertir al interesado de su derecho a no prestar su consentimiento. Al estar ante el ejercicio de derechos fundamentales, la carga de la prueba recaerá sobre el responsable del tratamiento, por lo que se recomienda que tal información conste por escrito, por ejemplo, en el formulario de recogida junto con la cláusula de protección de datos. D Tratamiento de los datos Además, el tratamiento de dichos datos requiere haber recabado previamente el consentimiento expreso y por escrito del afectado. Este requisito se aplicará de la misma forma y con más fuerza cuando se quieran ceder los datos del interesado a un tercero. Queda prohibido crear un fichero con la finalidad exclusiva de tratar datos de carácter personal que revelen la ideología, afiliación sindical, religión o creencias. Eso significa que si bien se admite la posibilidad de tratar dichos datos, la finalidad tendrá que responder a un interés legítimo 14 GUÍA DE ROTECCIÓN DE DATOS

13 del responsable del fichero que en ningún caso podrá consistir en la creación de un fichero con esta finalidad exclusiva. Excepciones Ficheros mantenidos por los partidos políticos, sindicatos, iglesias, confesiones o comunidades religiosas y asociaciones, fundaciones y otras entidades sin ánimo de lucro. Los ficheros de dichas entidades que tengan una finalidad política, filosófica, religiosa o sindical y que se refieran exclusivamente a datos relativos a sus miembros o asociados, están exentas de la obligación de recabar el consentimiento expreso y por escrito, previamente al tratamiento. DGUÍA 6.2 Datos que hagan referencia al origen racial, a la salud y a la vida sexual. Solo podrán ser recabados, tratados y cedidos estos datos cuando, por razones de interés general, así lo disponga una Ley o el afectado consienta expresamente. Tratamiento de los datos Quedan prohibidos los ficheros creados con la finalidad exclusiva de almacenar datos de carácter personal que revelen la ideología, afiliación sindical, religión, creencias, origen racial o étnico, o vida sexual. or lo tanto siempre debe haber una razón legítima para el tratamiento de estos datos personales. Las instituciones y los centros sanitarios públicos y privados y los profesionales correspondientes podrán proceder al tratamiento de los datos de carácter personal relativos a la salud de las personas que a ellos acudan o hayan de ser tratados en los mismos, de acuerdo con lo dispuesto en la legislación estatal o autonómica sobre DE ROTECCIÓN DE DATOS 15

14 sanidad. or lo tanto, los centros como las clínicas privadas, que poseen el historial clínico de sus clientes, deberán ajustarse a este supuesto. Hay que tener en cuenta para el tratamiento de datos de salud, la Ley del aciente, y las normas emitidas a este respecto por Comunidad Autónoma de Madrid Los datos de origen racial y de la vida sexual deben ser tratados con alguna finalidad legítima, pues de lo contrario estaríamos contraviniendo la ley. Así pues pueden tratarse para realizar estudios estadísticos sobre aficiones de salud de determinada población, o para determinar ayudas o subvenciones por pertenencia a una etnia diferente, etc. Excepciones D Tratamiento necesario para la prevención o para el diagnóstico médico, la prestación de asistencia sanitaria o tratamiento médicos, gestión de servicios médicos. La LOD prevé la posibilidad de tratar dichos datos cuando el tratamiento resulte necesario para la prevención o para le diagnóstico médico, la prestación de asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios, con la condición que dicho tratamiento sea realizado bien por un profesional sanitario sujeto al secreto profesional. Asimismo, se prevé la posibilidad de tratar dichos datos en caso de que fueran necesarios para salvaguardar el interés vital del interesado o de otra persona, cuando el interesado se halle incapacitado física o jurídicamente para dar su consentimiento. 16 GUÍA DE ROTECCIÓN DE DATOS

15 La noción de interés vital debe entenderse de manera restrictiva refiriéndose a una "cuestión de vida o muerte" y no a cualquier interés esencial, de primera importancia para el afectado. El término abarca situaciones como el tratamiento de datos con el fin de identificar a víctimas de contaminaciones virales por transfusión sanguínea, o a los ficheros de las organizaciones humanitarias relativos a personas detenidas o desaparecidas, y a las situaciones de emergencia, cuando el consentimiento del individuo no puede ser obtenido, y que su supervivencia o la de otra persona esté en peligro. DGUÍA 6.3 Datos relativos a la comisión de infracciones penales o administrativas El tratamiento de datos relativos a la comisión de infracciones penales o administrativas queda absolutamente prohibido para entidades privadas y queda reservado exclusivamente a las Administraciones úblicas competentes. DE ROTECCIÓN DE DATOS 17

16 7 Qué debe hacer la empresa para adecuarse a la LOD 1. Identificar los ficheros de datos personales que se manejan y determinar el nivel D de seguridad que les corresponde. 2. Redactar el documento de seguridad en el que se recojan las medidas adoptadas en función del nivel correspondiente (el documento de seguridad ha de estar a disposición de la Agencia Española de rotección de Datos). 3. Redactar contratos para que los afectados den su consentimiento para el acceso a los datos de carácter personal a terceros, como asesores o colaboradores de la empresa. 4. Redactar contratos para suscribir con colaboradores, asesores, etc. que accedan a los datos de carácter personal de la empresa. 5. Inscribir los ficheros en la Agencia Española de rotección de Datos. 18 GUÍA DE ROTECCIÓN DE DATOS

17 La inscripción de los ficheros se puede realizar mediante los programas o formularios que se encuentran en la página web de la Agencia Española de rotección de Datos - -, y deberá indicar: 1. La finalidad del fichero y los usos previstos para el mismo. 2. Las personas o colectivos sobre los que se pretenda obtener datos de carácter personal 3. El procedimiento de recogida de los datos de carácter personal. DGUÍA 4. La estructura básica del fichero y la descripción de los tipos de datos de carácter personal incluidos en el mismo. 5. Las cesiones de datos de carácter personal y, en su caso, las transferencias de datos que se prevean a países terceros. 6. Los servicios o unidades ante los que pudiesen ejercitarse los derechos de acceso, rectificación, cancelación y oposición. 7. Las medidas de seguridad con indicación del nivel básico, medio o alto exigible. DE ROTECCIÓN DE DATOS 19

18 8 Las medidas de seguridad El Reglamento de Medidas de Seguridad determina tres niveles de seguridad aplicables a los ficheros de datos de carácter personal, según el tipo de datos que contemplan. ALTO MEDIO BÁSICO NIVEL ALTO: Datos de salud, datos policiales, datos especialmente protegidos (ideología, afiliación sindical, religión, creencias, origen racial o étnico y vida sexual). NIVEL MEDIO: Hacienda ública, servicios financieros, infracciones administrativas o penales, prestación de servicios de información sobre solvencia patrimonial y crédito, ficheros con datos suficientes para poder evaluar la personalidad del individuo. (Currículum, cuestionarios de evaluación del personal, etc...) NIVEL BÁSICO: Aplicable a todos los ficheros con datos personales, nombre, dirección, teléfono, correo electrónico GUÍA DE ROTECCIÓN DE DATOS

19 Nivel básico Se entiende por ficheros de nivel básico todos los ficheros que, por defecto, no se pueden calificar de nivel medio o alto. A estos efectos, establece que todos los ficheros que contengan datos de carácter personal han de adoptar las medidas de seguridad calificadas como de nivel básico. Las medidas de seguridad del nivel básico son las medidas que obligatoriamente deberán adoptarse para proteger la confidencialidad e integridad de cualquier fichero que contenga datos de carácter personal. DGUÍA Nivel medio Son considerados como ficheros de nivel medio, los ficheros que contengan datos relativos a: Comisión de infracciones administrativas o penales: sólo las Administraciones úblicas pueden tratar datos relativos a la comisión de infracciones administrativas o penales. Hacienda ública: hace referencia a los ficheros cuya titularidad corresponda a la Hacienda ública, debiendo entenderse como aplicable a aquellos ficheros cuyo responsable sea una Administración ública que ostente potestades en materia tributaria. Servicios financieros: Los datos sobre transacciones económicofinancieras cuando constituyan un" servicio financiero" conforme a la definición dada por la Agencia de rotección de Datos y que se refiere a las actividades de las entidades de crédito, de las compañías de seguros y de las empresas de inversiones. DE ROTECCIÓN DE DATOS 21

20 Ficheros de solvencia patrimonial: aquellos ficheros cuyo funcionamiento se rige por el artículo 29 de la LOD referido a la "prestación de servicios de información sobre solvencia patrimonial". Ficheros que contengan un conjunto de datos de carácter personal suficientes para obtener una evaluación de la personalidad del individuo: no se deben implantar, además de las medidas de seguridad de nivel básico, todas las medidas de nivel medio, sino únicamente la obligación de someter los sistemas de información a una auditoría al menos cada dos años, la implantación de un mecanismo de identificación de forma inequívoca y personalizada y la limitación de intentos de acceso fallidos, el control de acceso físico y el sistema de registro entrada y salida de soportes, de destrucción de soportes y protección de los datos contra cualquier recuperación indebida cuando salen de los locales. Nivel alto D Los ficheros considerados como de nivel medio requieren la aplicación de las medidas de seguridad de nivel básico, además de las nivel medio. Son considerados como ficheros de nivel alto, es decir, requieren la aplicación tanto de las medidas de seguridad de nivel básico como las de nivel medio y las de nivel alto, los ficheros que contengan datos relativos a: Ideología Creencias Origen racial. Salud 22 GUÍA DE ROTECCIÓN DE DATOS

21 Vida sexual. Datos recabados para fines policiales sin consentimiento de las personas afectadas. Datos de afiliación sindical.. Religión Resumen de las Medidas de Seguridad NIVEL TIO DE DATOS MEDIDAS DE SEGURIDAD OBLIGATORIAS BÁSICO MEDIO Afecta a todos los ficheros que contengan datos personales: * Nombre * Apellidos * Direcciones de contacto (tanto físicas como electrónicas) * Teléfono (tanto fijo como móvil) * Otros * Comisión infracciones penales * Comisión infracciones administrativas * Hacienda ública * Servicios financieros * Información sobre solvencia patrimonial y crédito * Documento de seguridad * Régimen de funciones y obligaciones del personal * Registro de incidencias * Identificación y autentificación de usuarios * Control de acceso * Gestión de soportes * Copias de respaldo y recuperación * Medidas de seguridad de nivel básico * Responsable de Seguridad * Auditoría bienal * Medidas adicionales de Identificación y autentificación de usuarios * Control de acceso físico * Medidas adicionales de gestión de soportes * Registro de incidencias * ruebas sin datos reales ALTO * Ideología * Religión o Creencias * Origen racial * Salud o Vida sexual * Datos recabados sin consentimiento de las personas afectadas * Medidas de seguridad de nivel básico * Seguridad en la distribución de soportes * Registro de accesos * Medidas adicionales de copias de respaldo * Cifrado de telecomunicaciones GUÍA DE ROTECCIÓN DE DATOS 23

22 1 Título DGUÍA DE ROTECCIÓN DE DATOS 24

23 9 La obtención de datos de carácter personal Además de observar determinados procedimientos a la hora de tratar los datos, también es necesario cumplir con unos requisitos a la hora de su obtención, según el tipo de medio donde se realice. 9.1 Cuestionarios D Impresos: Cuando se utilicen cuestionarios u otros tipos de impresos, figurarán en los mismos, en forma clara y legible, los siguientes avisos.. De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.. Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.. De las consecuencias de la obtención de los datos o de la negativa a suministrarlos. 25 GUÍA DE ROTECCIÓN DE DATOS

24 . De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.. De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante 9.2 Correo electrónico ( ). Se recomienda incluir un aviso legal al final de la firma del emisor del correo para que todas las personas que accedan a él o respondan con sus datos, conozcan que sus datos van a ser incluidos en un fichero y de dónde pueden ejercer sus derechos de acceso rectificación, oposición y cancelación de sus datos personales. DGUÍA 9.3 Obtención de datos por Teléfono ara la inclusión de datos personales enviados por medios telefónicos habrá que tomarse las mismas precauciones que en cualquier otro formato. Si los datos se recaban desde este medio se cumplirá con el deber de recabar un consentimiento y para ello se debe informar al afectado:. De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.. Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.. De las consecuencias de la obtención de los datos o de la negativa a suministrarlos. DE ROTECCIÓN DE DATOS 26

25 . De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.. De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante. Estos deberes deberán estar documentados, en procedimientos ó en el documento de seguridad, para que la persona que capte los datos mediante el teléfono pueda informar debidamente al afectado. Si lo que se recoge es el consentimiento del afectado para tratar sus datos con nivel de protección alto, se deberá grabar dicha aceptación específica y explícita del afectado y guardarse, ya que tendrá el mismo nivel probatorio que si se hubiera recogido por escrito. 9.4 áginas web D En las páginas web se deberá incluir un aviso legal que informe adecuadamente al usuario de la política de protección de datos del responsable del fichero y del ejercicio de sus derechos. Cuando se recaben datos personales a través de una página web, se informará previamente al usuario, de forma clara e inequívoca, de los siguientes extremos:. La existencia de un fichero o tratamiento de datos de carácter personal, finalidad de la recogida y destinatarios de la información.. Inscripción del fichero en el Registro de la Agencia de rotección de Datos. 27 GUÍA DE ROTECCIÓN DE DATOS

26 . Carácter obligatorio o facultativo de la respuesta a las preguntas que en su caso les sean planteadas, así como de las consecuencias de la obtención de los datos o la negativa a suministrarlos.. osibilidad de ejercer los derechos de acceso, rectificación, cancelación y oposición.. Identidad y dirección del responsable del tratamiento de los datos.. El usuario será el único responsable de cumplimentar los formularios con datos falsos, inexactos, incompletos o no actualizados.. Cualquier cesión a terceros de los datos personales de los usuarios de este portal, será comunicada debidamente a los afectados especificando la identidad de los cesionarios y la finalidad con que se van a tratar los datos que se cedan. DGUÍA DE ROTECCIÓN DE DATOS 28

27 10 Glosario de términos A.E..D.: Agencia Española de rotección de Datos. D Accesos autorizados: autorizaciones concedidas a un usuario para la utilización de los diversos recursos. Afectado o interesado: ersona física titular de los datos que sean objeto del tratamiento. Autenticación: procedimiento de comprobación de la identidad de un usuario. Bloqueo de datos: la identificación y reserva de datos para impedir su tratamiento Cesión o comunicación de datos: Toda revelación de datos realizada a una persona distinta del interesado. Consentimiento del interesado: Toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen. 29 GUÍA DE ROTECCIÓN DE DATOS

28 Contraseña: información confidencial, frecuentemente constituida por una cadena de caracteres, que puede ser usada en la autenticación de un usuario. Control de acceso: mecanismo que en función de la identificación ya autenticada permite acceder a datos o recursos. Copia del respaldo: copia de los datos de un fichero automatizado en un soporte que posibilite su recuperación. Datos de carácter personal: Cualquier información concerniente a personas físicas identificadas o identificables. DGUÍA Encargado del tratamiento: La persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento. Fichero: Todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso. Fuentes accesibles al público: Aquellos ficheros cuya consulta puede ser realizada por cualquier persona, no impedida por una norma limitativa, o sin más exigencia que, en su caso, el abono de una contraprestación. Tienen la consideración, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público, los Diarios y Boletines oficiales y los medios de comunicación. DE ROTECCIÓN DE DATOS 30

29 Identificación: procedimiento de reconocimiento de la identidad de un usuario. Incidencia: cualquier anomalía que afecte o pudiera afectar a la seguridad de los datos. L.O..D.: Ley Orgánica 15/1999, de 13 de diciembre, de rotección de Datos de Carácter ersonal. rocedimiento de disociación: todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable. R.G..D.: Registro General de rotección de Datos, perteneciente a la Agencia Española de D rotección de Datos,,en donde se registran los ficheros inscritos. R.M.S. : Real Decreto 994/99 de 11 de Junio, por el que se aprueba el Reglamento de Medidas de Seguridad Recurso: cualquier parte componente de un sistema de información. Responsable de seguridad: persona o personas a las que el responsable del fichero ha asignado formalmente la función de coordinar y controlar las medidas de seguridad aplicables. Responsable del fichero o tratamiento: persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento. 31 GUÍA DE ROTECCIÓN DE DATOS

30 Sistemas de información: conjunto de ficheros automatizados, programas, soportes y equipos empleados para el almacenamiento y tratamiento de datos de carácter personal. Soporte: objeto físico susceptible de ser tratado en un sistema de información y sobre el cual se pueden grabar o recuperar datos. Tratamiento de datos: operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias. DGUÍA Usuario: sujeto o proceso autorizado para acceder a datos o recursos. DE ROTECCIÓN DE DATOS 32