La LEY ORGANICA 15/1999, DE 13 DE DICIEMBRE DE 1999, DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL, LOPD

Transcripción

1 ARTICULO SOBRE LOPD La LEY ORGANICA 15/1999, DE 13 DE DICIEMBRE DE 1999, DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL, LOPD La finalidad de Ley Orgánica para la protección de Datos, LOPD es la de limitar el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos. El objetio es limitar el grado de intrusión a nuestra intimidad que pueden generar las nueas tecnologías. Esto sigue lasa directrices marcadas tanto por nuestra Constitución como por la Unión Europea. En esta ley se definen todas las disposiciones relacionadas con el tratamiento de datos de carácter personal, desarrollando obligaciones aplicables a todas las empresas que posean ficheros que contengan información relatia a personas identificadas o identificables (Datos característicos de su identidad física, fisiológica, psíquica, económica, cultural o social). La LOPD tiene por objeto garantizar y proteger en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas y especialmente su honor e intimidad personal y familiar. Por tanto se regirá por la normatia sobre protección de datos todo tratamiento de datos de carácter personal registrados en soporte físico (soporte papel o informático). El derecho fundamental a la protección de datos personales deria directamente de la Constitución y reconoce a los ciudadanos la facultad de controlar sus datos personales y la capacidad para disponer y decidir sobre los mismos. CONCEPTOS BÁSICOS a) El Fichero: Se entiende por fichero a todo conjunto de datos de carácter personal, cualquiera que fuese su forma o modalidad de su creación, almacenamiento, organización y acceso. No son ficheros a estos efectos, los que poseen las personas físicas en el ejercicio de sus actiidades exclusiamente personales o domesticas (por ejemplo, los datos de una agenda electrónica de uso doméstico). Hay Obligación de registrar nuestros ficheros ante la AEPD (Agencia Española de Protección de Datos). Los ficheros tiene distintos nieles. No es lo mismo tratar datos meramente identificatios (nombre, teléfono, etc) que datos que pueden comprometer a la persona (enfermedades, deudas, orientación sexual). La clasificación de los ficheros establece el niel de medidas de seguridad que se deberá aplicar a los mismos. Según esta clasificación distinguiremos los siguientes nieles:

2 NIVEL BÁSICO: Aplicable a todos los ficheros con datos personales, nombre, dirección, teléfono, correo electrónico... NIVEL MEDIO: Hacienda Pública, sericios financieros, infracciones administratias o penales, prestación de sericios de información sobre solencia patrimonial y crédito, ficheros con datos suficientes para poder ealuar la personalidad del indiiduo. (Currículum, cuestionarios de ealuación del personal, etc...) NIVEL ALTO: Datos de salud, datos policiales, datos especialmente protegidos (ideología, afiliación sindical, religión, creencias, origen racial o étnico y ida sexual). b) Obligaciones empresariales: Hay que distinguir tres momentos en el procesos de datos: 1º MOMENTO: El momento en el que se recaban los datos, bien directamente del interesado o de un tercero 2º MOMENTO: El momento del tratamiento automatizado de los datos, que pueden ser cruzados y relacionados en forma automática con otros datos, buscando definir un perfil del afectado, perfil que incluso el mismo puede desconocer 3º MOMENTO: El momento de la utilización y, en su caso, comunicación a terceros de los resultados del tratamiento, conocido esta última como cesión o comunicación de datos Principios que deben seguirse al trabajar con datos: Principio de Calidad de Datos Los datos han de ser: - Adecuados: Los datos de carácter personal sólo podrán recogerse para su tratamiento cuando sean adecuados, - Pertinentes y no excesios para el cumplimiento de las finalidades del fichero - Exactos y puestos al día para que respondan con eracidad a la situación actual del afectado Los datos serán cancelados cuando hayan dejado de ser necesarios y pertinentes para la finalidad para la cual hubieran sido recabados o registrados. No podrán ser utilizados para finalidades incompatibles con las que motiaron su recogida. No se considerará incompatible el tratamiento posterior de estos con fines históricos, estadísticos o científicos. Principio de Información en la recogida de datos Los datos cuando se recogen deben - Informar a las personas de sus derechos como titulares de datos - Los titulares de los mismos deben tener acceso a su información, Cancelación, rectificación y oposición

3 La información que se debe facilitar a los titulares de datos ha de ser: expresa, precisa e inequíoca. La información que se debe facilitar al titular, en la recogida de los datos es la siguiente: La existencia de un fichero de datos, de la finalidad de la recogida y de los destinatarios de la información. Si es obligatoria o no su respuesta a las preguntas que les sean planteadas. La consecuencia de la obtención de los datos o de su negatia a suministrarlos La posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición. La identidad y dirección del responsable del fichero. Hay que prestar especial atención a los plazos establecidos en la LOPD para la correcta respuesta e información del ejercicio de los derechos del titular. (Efectio en 10 días) Principio de consentimiento Exige una manifestación de la oluntad, libre, inequíoca, específica, informada y determinada. La Ley Orgánica 15/1999, exige la prestación del consentimiento preio e inequíoco del afectado para el tratamiento de sus datos, pero establece una serie de excepciones: No se requiere consentimiento: Cuando una ley así lo disponga Cuando se recojan para el ejercicio de las funciones propias de las administraciones públicas en el ámbito de sus competencias. Cuando se refieren a las partes de un contrato o precontrato de una relación laboral o administratia y sean necesarios para su mantenimiento o cumplimiento. Cuando el tratamiento de los datos tenga por finalidad un interés ital del interesado. Cuando los datos figuren en fuentes accesibles al publico (censo promocional, repertorios telefónicos y listas de personas pertenecientes a grupos profesionales). Datos Especialmente protegidos: La Ley preé la necesidad de proteger especialmente los datos, que por la información a la que se refieren, pueden generar con mayor facilidad lesiones en otros derechos fundamentales, además del propio derecho a la protección de datos, de manera que: - Prohíbe expresamente la creación de ficheros con la finalidad exclusia de almacenar datos de carácter personal que reelen ideología, afiliación sindical, religión, creencia, origen racial o étnico, o ida sexual.

4 - Los datos de ideología, afiliación sindical, religión o creencias únicamente podrán ser objeto de tratamiento con el consentimiento expreso y por escrito del afectado. - Necesitaremos consentimiento expreso del titular, cuando los datos se refieran al origen racial, la salud o la ida sexual. - En el caso de comisión de infracciones penales o administratias sólo podrán ser incluidos en ficheros de las Administraciones Públicas competentes. Seguridad y Secreto El responsable del fichero y quienes interengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo. Principio de seguridad de los datos. Se deben establecer las medidas de índole técnica y organizatias necesarias para garantizar la seguridad que deben reunir los ficheros, los centros de tratamiento, locales, equipos, sistemas, programas y las personas que interengan en el tratamiento automatizado de los datos de carácter personal sujetos al régimen de la LOPD. El responsable del fichero elaborará e implantará la normatia de seguridad mediante un documento, llamado documento de seguridad, de obligado cumplimiento para el personal con acceso a los datos automatizados de carácter personal y a los sistemas de información. Principio de Comunicación de Datos Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de los fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el preio consentimiento del interesado. El consentimiento no será preciso: Cuando la cesión está autorizada en una Ley Cuando se trate de datos recogidos de fuentes accesibles al público Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica. Cuando la comunicación tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces. Cuando la cesión se produzca entre Administraciones Públicas, para fines históricos, estadísticos y científicos Cuando la cesión de datos relatios a la salud sea necesaria para solucionar una urgencia.

5 Principio de Acceso a Datos por Cuenta de Terceros El acceso de un tercero a los datos cuando sea necesario para la prestación de un sericio al responsable del tratamiento, no se considerará comunicación de datos (ejemplos: gestorías, asesorías, entidades bancarias, etc.). La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma acreditatia de su celebración y contenido, estableciéndose expresamente la finalidad, obligaciones y medidas con las que ha de cumplir el Encargado de Tratamiento. c) Obligaciones empresariales organizatias y técnicas. El Real Decreto distingue las siguientes medidas y obligaciones. MEDIDAS NIVEL MEDIO: OBLIGACIONES ORGANIZATIVAS Documento de Seguridad Funciones y Obligaciones del personal Registro de incidencias y proceso de recuperación Inentario de los soportes y control de la entrada / salida de dichos soportes (desechado y destrucción) Responsable de Seguridad Auditoria Bienal Control de acceso físico OBLIGACIONES TÉCNICAS Listado de usuarios con acceso autorizado Mecanismos de identificación y autentificación con limitación de intentos Control de acceso lógico Copias de seguridad al menos semanalmente y procedimiento de recuperación MEDIDAS NIVEL ALTO: OBLIGACIONES ORGANIZATIVAS Documento de Seguridad Funciones y Obligaciones del personal Registro de incidencias y proceso de recuperación Inentario de los soportes y control de la entrada / salida de dichos soportes (desechado y destrucción) Responsable de Seguridad Auditoria Bienal Control de acceso físico OBLIGACIONES TÉCNICAS Listado de usuarios con acceso autorizado Mecanismos de identificación y autentificación con limitación de intentos

6 Control de acceso lógico Copias de seguridad en una ubicación diferente Cifrado en los soportes y en las telecomunicaciones Registro de accesos RESUMEN DE OBLIGACIONES TECNICAS Y ORGANIZATIVAS: OBLIGACIONES A DESARROLLAR BÁSICO MEDIO ALTO Documento de Seguridad Funciones y Obligaciones del personal Registro de incidencias Gestión de Soportes Identificación y autenticación de usuarios Control de acceso lógico Copias de Respaldo y Recuperación Responsable de Seguridad Control de acceso físico Auditoria Bianual Pruebas sin datos reales Distribución de soportes Cifrado de telecomunicaciones Registro de accesos d) Pasos en la adaptación de las empresas a la ley. Los pasos a realizar por las empresas para adaptar sus datos a la ley son los siguientes: 1. REALIZAR ELREGISTRO DEL FICHERO 2. CONSTRUIR EL DOCUMENTO DE SEGURIDAD, Y GENERAR LA DOCUMENTACIÓN LEGAL QUE PROCEDA. 3. ESTABLECER UNA GUÍA DE RECOMENDACIONES TÉCNICAS E IMPLANTACIÓN DE LAS MEDIDAS ORGANIZATIVAS QUE PROCEDA 4. ESTABLECER UN PROTOCOLO DE MANTENIMIENTO Y ACTUALIZACIÓN DE LOS FICHEROS e) La AEPD, (Agencia Española para la Protección de Datos) La AEPD (Agencia Española para la Protección de Datos) es un Ente de Derecho Público, cuya finalidad principal es elar por el cumplimiento de la

7 legislación sobre protección de datos personales y controlar su aplicación, cualquier actuación que sea contraria a las exigencias contenidas en la LOPD puede ser objeto de denuncia ante la Agencia Las sanciones impuestas tras la inspección en caso de incumplimiento, son eleadas, las mas altas de la Unión Europea, conlleando sanciones que en la mayoría de los casos oscilan entre los y (10 y 50 Millones de Ptas) Resumen de infracciones y sanciones preistas: Niel de la infracción LEVE GRAVE MUY GRAVE Descripción de la infracción 1. No atender la solicitud de rectificación o cancelación por motios formales. 2. No proporcionar información a APD. 3. No solicitar inscripción de fichero en el RGPD (puede ser infracción grae). 4. Recoger datos personales sin proporcionar información a los afectados. 5. Incumplir el deber de secreto (puede ser infracción grae). Algunas infracciones son: 1. Recoger datos personales sin consentimiento expreso de los afectados. 2. Tratar o usar datos de carácter personal incumpliendo la legislación (puede se infracción muy grae). 3. Mantener datos inexactos, sin rectificar o cancelar 4. Mantener ficheros, locales, programas o equipos con datos personales sin las debidas condiciones de seguridad 5. Vulnerar el deber de secreto en ficheros de niel medio. Entre otras: 1. Recoger datos de forma engañosa o fraudulenta. 2. Comunicar o ceder los datos de carácter personal, fuera de los casos en que esté permitido. 3. Transferencia de datos a países sin niel equiparable de protección y sin autorización de la APD. 4. No atender sistemáticamente los derechos de acceso, rectificación, cancelación u oposición. 5. No atender sistemáticamente el deber notificación de la inclusión de datos personales. Sanción preista 601, ,21 ( millones Ptas.) , ,05 (10-50 millones Ptas.) , ,10 ( millones Ptas.) Conclusiones El desconocimiento de la ley no exime de su cumplimiento La aplicación de la LOPD nos permitirá eitar las eleadísimas sanciones, pero no debemos olidar que al cumplir la ley, mejoramos la seguridad y procedimientos de nuestra organización y la imagen frente a nuestros clientes, proeedores y empleados, respetando la priacidad y el derecho a su intimidad. El titular o propietario de los datos no es quien los posee en un fichero (papel o informático), si no el indiiduo al que se refieren los datos.