LEY DE PROTECCIÓN DE DATOS Septiembre 2008
LA NORMATIVA QUE REGULA LA PROTECCIÓN DE DATOS ES LA LEY ORGÁNICA 15/1999 Y EL REGLAMENTO QUE DESARROLLA LA LEY ES EL REAL DECRETO 1720/2007 DISPOSICIONES GENERALES: Ley que garantiza y protege los datos de carácter personal de las personas físicas, recogidos tanto en soporte manual como automatizado para su posterior uso por los sectores públicos y privados. LEY DE PROTECCIÓN DE DATOS
NIVELES DE PROTECCIÓN DE DATOS Todos los ficheros o tratamiento de datos de carácter personal (nombre, apellidos, dirección, teléfono, datos bancarios, ) deberán adoptar las medidas de seguridad calificadas de NIVEL BÁSICO. Los ficheros que recojan datos sobre infracciones penales, administrativas, hacienda, financieros estarán tipificados como NIVEL MEDIO. En el caso de que la organización disponga de datos relativos a ideología, religión, origen racial, salud, creencias y afiliación sindical, deberemos de adoptar las medidas de seguridad correspondientes a datos con un NIVEL ALTO. LEY DE PROTECCIÓN DE DATOS
OBLIGACIONES: Las empresas o entes que tengan ficheros automatizados o no automatizados, deberán inscribirlos en la AEPD. El responsable del fichero o tratamiento elaborará un documento de seguridad, que recoja las medidas de índole técnicas y organizativas, acorde con el nivel de protección que exijan sus datos. A partir del nivel medio, los sistemas de información se someterán, al menos cada dos años, a una auditoria interna o externa para verificar el cumplimiento de las medidas de seguridad recogidas en el documento de seguridad de la Empresa.
DERECHOS DE LOS USUARIOS Todo usuario tiene derecho a: Acceso y consulta al Registro General de Protección de Datos. Impugnar, rectificar y cancelar sus datos. Posibilidad de reclamación e indemnización ante la Agencia de Protección de Datos. LEY DE PROTECCIÓN DE DATOS
INFRACCIONES Y SANCIONES Las Infracciones se calificarán como Leves, Graves y Muy Graves. Tipos de Sanciones: Leves: Con multa de 601,01 hasta 60.101,21. Graves: Con multa de 60.101,22 hasta 300.506,05. Muy Graves: Con multa de 300.506,06 hasta 601.012,10.
AGENCIA DE PROTECCIÓN DE DATOS Ente de derecho público con personalidad jurídica propia. Su Dirección será nombrada por quienes compongan el Consejo Consultivo. Salvaguarda única y exclusivamente la protección de datos de carácter personal, con potestad de inspección y sanción. Competencia exclusiva en el tratamiento de ficheros por parte de las CCAA y entidades locales en su ámbito territorial. LEY DE PROTECCIÓN DE DATOS
SERVICIOS OFRECIDOS POR EXTERNAL: A.- FASE DE IMPLANTACIÓN B.- FASE DE MANTENIMIENTO C.- FASE DE AUDITORIA
A.-Fase de Implantación: PASO 1: IDENTIFICACIÓN DE FICHEROS QUE CONTENGAN DATOS DE CARÁCTER PERSONAL. PUEDEN SER: FICHEROS AUTOMATIZADOS: Tratados por programas de ordenador. FICHEROS NO AUTOMATIZADOS: Recogidos en Soporte Papel.
PASO 2: Qué es necesario para cumplir la Ley 15/1999 y el RD 1720/2007? REALIZACIÓN DEL DOCUMENTO DE SEGURIDAD DE FICHEROS: Con la adaptación de las medidas técnicas y organizativas necesarias para garantizar el nivel de seguridad al que pertenecen. DAR DE ALTA LOS FICHEROS EN LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS: Notificación a la A.E.P.D IMPLANTAR LAS MEDIDAS TÉCNICAS Y ORGANIZATIVAS NECESARIAS QUE GARANTIZEN LA SEGURIDAD DE LOS DATOS EN CASO QUE SE CAREZCA DE ELLAS
B.-Fase de Mantenimiento: External ofrece a sus clientes: Consulta sobre protección de datos. Notificación y alta en el registro de la AEPD, modificación y supresión de los mismos. Notificaciones mensuales de la AEPD Informes periódicos para el cliente de la AEPD Modificación del Documento de Seguridad para los siguientes casos: 1. Alta/Baja/Modificación de ficheros. 2. Cambio de responsables. 3. Cambio en el Hardware-Software. 4. Cambios originados por la legislación vigente. 5. Cambios en los datos significativos del cliente. Revisión semestral de lo detallado en el punto anterior.
C.-Fase de Auditoria: Se llevará a cabo cada dos años, para comprobar el cumplimiento de las medidas descritas en el Documento de Seguridad. Se redactará el informe de resultados, el cual puede ser requerido en una inspección de protección de datos. Dicha auditoria tendrá carácter obligatorio, conforme a los requerimientos legales, para las empresas con ficheros de datos de nivel medio y/o alto.