Bien, resulta que me he "independizado", nada ostentoso, un espacio en casa (solución práctica y económica). Y antes de empezar, uno ha de ponerse en serio con la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD). Y tan en serio, porque las sanciones en caso de incumplimiento son terribles (todos nos acordamos de "las funciones de la pena" y la disuasoria es en este caso la que más efecto tiene).
Bien, soy Licenciada en Derecho y ejerzo como abogada, así que una ley no me asusta, sólo faltaba que tuviera que contratar a una empresa para hacer algo para lo que podrían contratarme a mí... ¡Ajá! ¡ERROR!
Sí, te sientes como el protagonista del anuncio del buscador de seguros# de coche, vamos como si te hubieran golpeado y empotrado contra una estantería. He encontrado el infierno en la tierra y se llama LOPD. Creo que es la primera vez que una Ley me hace llorar y eso que estoy estudiando Urbanismo :P
Como soy todo generosidad y altruismo, voy a compartir con todos vosotros cómo cumplir -sin ayuda- con la LOPD, eso sí, en varias "ediciones". Para empezar, unas explicaciones básicas para que os familiaricéis con algunos conceptos.
Como soy todo generosidad y altruismo, voy a compartir con todos vosotros cómo cumplir -sin ayuda- con la LOPD, eso sí, en varias "ediciones". Para empezar, unas explicaciones básicas para que os familiaricéis con algunos conceptos.
1.
Se trata de una ley corta (49
artículos), pero densa (el desarrollo reglamentario es peor todavía y lo
realiza el Real Decreto 1720/2007, de 21 de diciembre), que tiene por objeto "garantizar y proteger, en lo
que concierne al tratamiento de los datos personales, las libertades públicas y
los derechos fundamentales de las personas físicas, y especialmente de su honor
e intimidad personal y familia" y que se aplica a "los datos de
carácter personal registrados en soporte físico, que los haga susceptibles de
tratamiento, y a toda modalidad de uso posterior de estos datos por los
sectores público y privado".
2.
Principales
derechos (ARCO):
a. Derecho de información en la recogida de datos
sobre la existencia de un fichero, del responsable del mismo y de sus derechos.
Ha de hacerse de forma previa, expresa, precisa e inequívoca.
b. Derecho de Acceso (a conocer y obtener
gratuitamente información sobre sus datos de carácter personal sometidos a
tratamiento).
c. Derecho de Rectificación (a corregir errores,
modificar los datos que resulten ser inexactos o incompletos y garantizar la
certeza de la información de tratamiento).
d. Derecho de Cancelación (a que se supriman los datos
que resulten ser inadecuados o excesivos).
e. Derecho de Oposición (a que no se lleve a cabo el
tratamiento de sus datos o se cese en el mismo).
Existen unas condiciones
generales para todos ellos:
- Condiciones de ejercicio: los derechos de acceso,
rectificación, cancelación y oposición son derechos independientes, de tal
forma que no puede entenderse que el ejercicio de ninguno de ellos sea
requisito previo para el ejercicio de otro;
- Procedimiento: deberá concederse al
interesado un medio sencillo y gratuito para el ejercicio de los derechos ARCO.
La comunicación debe contener: nombre y apellidos; fotocopia de su documento
nacional de identidad; solicitud; dirección a efectos de notificaciones, fecha
y firma.
3. Consentimiento: para el tratamiento de los datos de carácter personal se requiere el
consentimiento expreso e inequívoco del afectado. El consentimiento puede ser
revocado y a tal solicitud el responsable del fichero ha de responder
expresamente y cesar en el tratamiento de los datos en el plazo de 10 días.
4. Cesión de datos sin consentimiento expreso: cuando responda a la libre y legítima aceptación de una relación
jurídica cuyo desarrollo, cumplimiento y control comporte la comunicación de
los datos (sólo será legítima en cuanto se limite a la finalidad que la justifique).
5. Responsable del fichero: persona
que decide sobre la finalidad, contenido y uso del tratamiento.
6. Encargado del tratamiento: la
persona que trate datos personales por cuenta del responsable del tratamiento.
Importante: no se considera encargado del tratamiento a la persona física que
tenga acceso a los datos personales en su condición de empleado dentro de la
relación laboral que mantiene con el responsable del fichero.
* Se
consideraría encargado una empresa que se dedicase a la destrucción de archivos
o al contable o asesor fiscal o laboral, si ese servicio estuviera
subcontratado, por ejemplo. La casuística es amplia y variada.
7.
Medidas de
seguridad: existen tres niveles, según
los tipos de datos a los que deba aplicarse. La propia AEPD ofrece un cuadro
resumen con las medidasde seguridad a adoptar.
1) Básico: se aplica a todos los
datos.
Consisten en:
a) Registro de incidencias: procedimiento y gestión de
incidencias que afecten a los datos de carácter personal y registro en el que
se haga constar el tipo de incidencia, el momento en que se ha producido, o en
su caso, detectado, la persona que realiza la notificación, a quién se le
comunica, los efectos que se hubieran derivado de la misma y las medidas
correctoras aplicadas.
b) Los dispositivos de
almacenamiento de los documentos deberán disponer de mecanismos que
obstaculicen su apertura.
c) Control de acceso a los datos
automatizados: el responsable del fichero establecerá los mecanismos para evitar que un
usuario pueda acceder a recursos con derechos distintos de los autorizados.
d) Gestión de soportes y
documentos:
1) Los soportes y documentos que
contengan datos de carácter personal deberán permitir identificar el tipo de
información que contienen, ser inventariados y sólo deberán ser accesibles por
el personal autorizado para ello en el documento de seguridad (excepto cuando
las características físicas del soporte lo imposibiliten, debiendo dejar
constancia motivada en el documento de seguridad).
2) La salida de soportes y
documentos fuera de los locales bajo el control del responsable del fichero o
tratamiento deberá ser autorizada por el responsable del fichero o encontrarse
autorizada en el documento de seguridad.
3) En el traslado de la
documentación se adoptarán las medidas dirigidas a evitar la sustracción,
pérdida o acceso indebido a la información durante su transporte.
4) Para desechar cualquier
documento o soporte deberá procederse a su destrucción o borrado, mediante la
adopción de medidas dirigidas a evitar el acceso a la información o su recuperación.
e) Identificación y
autenticación: el responsable del fichero/tratamiento deberá adoptar las medidas que
garanticen la correcta identificación y autenticación de los usuarios, de forma
inequívoca y personalizada. Cuando el mecanismo de autenticación se base en la
existencia de contraseñas, existirá un procedimiento de asignación,
distribución y almacenamiento que garantice su confidencialidad e integridad.
El documento de seguridad establecerá la periodicidad –nunca superior a un año–
con la que tienen que ser cambiadas.
f) Copias de respaldo y
recuperación:
1) Realización como mínimo
semanal de copias de respaldo, salvo que no se produzca ninguna actualización
de los datos.
2) Procedimiento para la
recuperación de los datos.
3) El responsable del fichero se encargará de verificar cada seis meses la
correcta definición, funcionamiento y aplicación de los procedimientos de
copias de respaldo y de recuperación de los datos.
2) Medio: se aplica a los datos
relativos a :
- la comisión de infracciones
administrativas o penales;
- solvencia patrimonial y
crédito;
- aquellos de los que sean
responsables las Administraciones tributarias;
- aquellos de los que sean
responsables las entidades financieras;
- aquellos de los que sean
responsables las Entidades Gestoras de la Seguridad Social o Mutuas de
Accidentes y Enfermedades;
- aquellos que contengan un
conjunto de datos de carácter personal que ofrezcan una definición de las
características o de la personalidad de los ciudadanos y que permitan evaluar
determinados aspectos de la personalidad o del comportamiento de los mismos.
Consisten en:
a) Registro de incidencias en el que habrán de
consignarse, además, los procedimientos realizados de recuperación de datos,
indicando la persona que ejecutó el proceso, los datos restaurados y qué datos
ha sido necesario grabar manualmente, en su caso,
b) Designación en el documento de
seguridad de uno o varios responsables de seguridad encargados de
coordinar y controlar las medidas definidas en el mismo.
c) Auditoría bianual –interna o externa– que
verifique el cumplimiento de las medidas de seguridad. Deberá realizarse cuando
se realicen modificaciones en el sistema de información que puedan repercutir
en el cumplimiento de las medidas de seguridad –por ejemplo, si cambias de
programa de gestión–. La auditoría debe concluir con un informe que dictamine
sobre la adecuación de las medidas y controles a la Ley y Reglamento,
identificar sus deficiencias y proponer medidas correctoras o complementarias.
Los informes serán analizados por el responsable de seguridad competente, que
elevará las conclusiones al responsable del fichero/tratamiento y quedarán a
disposición de la AEPD
d) Registro de entrada/salida de documento/soporte que permita conocer el tipo de documento o soporte, la fecha y hora, el emisor, el número de documentos o soportes, el tipo de información que contienen, la forma de envío y la persona responsable de la recepción.
d) Registro de entrada/salida de documento/soporte que permita conocer el tipo de documento o soporte, la fecha y hora, el emisor, el número de documentos o soportes, el tipo de información que contienen, la forma de envío y la persona responsable de la recepción.
e) Limitación de acceso no
autorizado al sistema de información (poner número máximo de intento de accesos).
f) Control de acceso físico a los lugares donde se
hallen instalados los equipos físicos que den soporte a los sistemas de
información –vamos, llave o código de seguridad para entrar al despacho–.
3) Alto: aplicable a los
ficheros o tratamientos de datos de carácter personal que contengan o se
refieran a:
- ideología, afiliación
sindical, religión, creencias, origen racial, salud o vida sexual (excepto
cuando los datos se utilicen con la finalidad de realizar una transferencia
dineraria a las entidades de las que los afectados sean asociados o miembros o
se trate de ficheros en los que de forma incidental o accesoria se contengan
aquellos datos sin guardar relación con su finalidad);
- datos recabados para fines
policiales sin consentimiento de las personas afectadas;
- datos derivados de actos de
violencia de género.
Consisten en, además de las medidas de seguridad básicas y medias:
a) Identificación de los
soportes mediante sistema de etiquetado comprensible para los usuarios pero
que dificulten la identificación para el resto de personas.
b) Cifrado de los datos que contengan los
dispositivos portátiles cuando éstos se encuentren fuera de las instalaciones
que están bajo el control del responsable del fichero.
c) Copia de seguridad de los
datos en lugar diferente de aquel en que se encuentren los equipos informáticos que los tratan.
d) Registro de acceso: se guardarán durante dos
años la identificación del usuario, la fecha y la hora en que se realizó, el
fichero accedido, el tipo de acceso y si ha sido autorizado o denegado. El
responsable de seguridad revisará al menos
una vez al mes la información de control registrada y elaborará un informe de
las revisiones realizadas y los problemas detectados. Se exceptúa esta
obligación cuando el responsable del fichero/tratamiento sea una persona física
o se garantice únicamente el acceso y tratamiento de los datos personales
únicamente por el responsable, circunstancias que deberán hacerse constar
expresamente en el documento de seguridad.
e) Transmisión de los datos
mediante cifrado u otro mecanismo que garantice que no sea inteligible ni manipulada por
terceros.
f) Los armarios, archivadores u
otros elementos en los que se almacenen los ficheros no automatizados deberán
encontrarse en áreas en las que el acceso esté protegido con puertas de acceso
dotadas de sistemas de apertura mediante llave u otro dispositivo equivalente.
Dichas áreas deberán permanecer cerradas cuando no sea preciso el acceso a los
documentos incluidos en el fichero. Si, atendidas las características de los
locales de que dispusiera el responsable del fichero o tratamiento, no fuera
posible cumplir lo establecido en el apartado anterior, el responsable adoptará
medidas alternativas que, debidamente motivadas, se incluirán en el documento
de seguridad.
8. Documento de seguridad: es
aquel documento que recoge las medidas de índole técnica y organizativa acordes
a la normativa de seguridad vigente que será de obligado cumplimiento para el
personal con acceso a los sistemas de información. Debe contener una
serie de aspectos mínimos, de conformidad con el nivel de seguridad aplicable.
* En la
página web de la AEPD podéis encontrar un modelo de documento de seguridad, que deberéis
personalizar.
9. Notificación e inscripción de ficheros: los ficheros de carácter personal de titularidad
privada serán notificados a la AEPD con carácter previo a su creación. La
notificación deberá indicar la identificación del responsable del fichero, la
identificación del fichero, sus finalidades y los usos previstos, el sistema de
tratamiento empleado en su organización, el colectivo de personas sobre el que
se obtienen los datos, el procedimiento y procedencia de los datos, las
categorías de datos, el servicio o unidad de acceso, la indicación de medidas
de seguridad básico, medio o alto exigible, y en su caso, la identificación del
encargado del tratamiento en donde se encuentre ubicado el fichero y los
destinatarios de cesiones y transferencias internacionales de datos. La
notificación se deberá efectuar cumplimentando los modelos o formularios
electrónicos publicados al efecto por la AEPD, bien en soporte electrónico,
informático o en soporte papel, debiendo designar un domicilio a efectos de
notificaciones en el procedimiento. El plazo máximo para dictar y notificar la
resolución acerca de la inscripción será de un mes, teniendo el silencio
carácter positivo. La notificación de un fichero de datos de carácter personal
es independiente del sistema de tratamiento empleado en su organización y del
soporte o soportes empleados para el tratamiento de los datos. Cuando los datos
de carácter personal objeto de un tratamiento estén almacenados en diferentes
soportes, automatizados y no automatizados o exista una copia en soporte no
automatizado de un fichero automatizados, sólo será precisa una notificación.
No obstante, cuando se cree un fichero del que resulten responsables varias
personas o entidades simultáneamente, cada una de ellas deberá notificar, a fin
de proceder a su inscripción, la creación del correspondiente fichero.
* La inscripción de los ficheros de forma telemática se realiza a través de la propia página
web.
10. Notificación de la modificación o supresión de ficheros: la inscripción del fichero
deberá encontrarse actualizada en todo momento. Cualquier modificación que
afecte al contenido de la inscripción de un fichero deberá ser previamente
notificada a la AEPD mediante el procedimiento de inscripción. En el mismo
sentido deberá ser notificada la cancelación cuando se proceda a la supresión
del fichero.
Ya tienes los conceptos. Sí, es un rollo, pero necesario. Sigue en:
- Cumplir con la LOPD y no morir en el intento (II).
- Cumplir con la LOPD y no morir en el intento (III).
- Cumplir con la LOPD y no morir en el intento (IV).
# La imagen se corresponde con el anuncio de televisión del comparador de seguros acierto.com.
No hay comentarios:
Publicar un comentario