Beruflich Dokumente
Kultur Dokumente
DE PROTECCIÓN DE
DATOS.
INDICE
2
2.3. EXCEPCIONES AL CONSENTIMIENTO. .................................................. 34
3. RESUMEN. ............................................................................................................ 34
7. PRINCIPIOS FUNDAMENTALES. PRINCIPIO DE CALIDAD ........................... 35
1. OBJETIVOS. .......................................................................................................... 35
2. CONTENIDO. ........................................................................................................ 35
3. RESUMEN. ............................................................................................................ 37
8. LA CESIÓN DE DATOS. REQUISITOS ................................................................. 38
1. OBJETIVOS ........................................................................................................... 38
2. CONTENIDO. ........................................................................................................ 38
2.1. LA CESIÓN DE DATOS PERSONALES. .................................................... 38
3. RESUMEN. ............................................................................................................ 42
9. LA TRANSFERENCIA INTERNACIONAL DE DATOS ....................................... 43
1. OBJETIVOS. .......................................................................................................... 43
2. CONTENIDO. ........................................................................................................ 43
2.1. LA TRANSFERENCIA INTERNACIONAL DE DATOS. ........................... 43
3. RESUMEN. ............................................................................................................ 47
10. DERECHOS DE LOS INTERESADOS. DERECHO DE ACCESO ...................... 48
1. OBJETIVOS. .......................................................................................................... 48
2. CONTENIDO. ........................................................................................................ 48
2.1. EL DERECHO DE ACCESO. ........................................................................ 48
2.2. CONTENIDO. ................................................................................................. 49
2.3. REQUISITOS PARA SU EJERCICIO. .......................................................... 49
2.4. OBLIGACIONES DEL RESPONSABLE DEL FICHERO. .......................... 49
2.4.1. Denegación del derecho................................................................................ 50
2.4.2. Información que debe aportar el responsable. .............................................. 50
3. RESUMEN. ............................................................................................................ 51
11. DERECHOS DE LOS INTERESADOS. RECTIFICACIÓN Y CANCELACIÓN 52
1. OBJETIVOS. .......................................................................................................... 52
2. CONTENIDO ......................................................................................................... 52
2.1. DERECHOS DE RECTIFICACIÓN Y CANCELACIÓN. ............................ 52
2.2. CONCEPTO. ................................................................................................... 53
2.3. REQUISITOS. ................................................................................................. 54
2.4. OBLIGACIONES DEL RESPONSABLE DEL FICHERO. .......................... 54
2.5. SUPUESTOS DE DENEGACIÓN. ................................................................ 55
2.6. EL BLOQUEO DE DATOS............................................................................ 55
3. RESUMEN. ............................................................................................................ 56
12. DERECHOS DE LOS INTERESADOS. OTROS DERECHOS............................. 57
1. OBJETIVOS ........................................................................................................... 57
2. CONTENIDO. ........................................................................................................ 57
2.1. DERECHO DE IMPUGNACIÓN................................................................... 57
2.2. DERECHO DE CONSULTA AL REGISTRO GENERAL DE PROTECCIÓN
DE DATOS. ........................................................................................................... 58
2.3. DERECHO DE INDEMNIZACIÓN............................................................... 59
3. RESUMEN ............................................................................................................. 60
13. LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS. FUNCIONES ...... 60
1. OBJETIVOS ........................................................................................................... 61
2. CONTENIDO. ........................................................................................................ 61
2.1. NATURALEZA Y REGIMEN JURIDICO. ................................................... 61
2.2. FUNCIONES. .................................................................................................. 61
3
2.3. CAPACIDAD NORMATIVA DE LA AGENCIA ESPAÑOLA DE
PROTECCIÓN DE DATOS. ................................................................................. 62
2.4. OTRAS FUNCIONES DE LA AGENCIA ESPAÑOLA DE PROTECCION
DE DATOS. ........................................................................................................... 62
2.5. ORGANIGRAMA DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE
DATOS LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS
FUNCIONES .......................................................................................................... 62
3. RESUMEN. ............................................................................................................ 63
14. LAS AGENCIAS AUTONÓMICAS DE PROTECCIÓN DE DATOS .................. 64
1. OBJETIVOS ........................................................................................................... 64
2. CONTENIDO. ........................................................................................................ 64
2.1. LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS. ORIGEN. .... 64
2.2. LAS AGENCIAS AUTONOMICAS DE PROTECCIÓN DE DATOS. ........ 64
2.3. DISTINCIÓN DE FUNCIONES ENTRE LA AGENCIA ESPAÑOLA Y LAS
AGENCIAS DE LAS COMUNIDADES AUTÓNOMAS DE PROTECCIÓN DE
DATOS. .................................................................................................................. 66
3. RESUMEN. ............................................................................................................ 66
15. LA INSCRIPCIÓN DE FICHEROS ........................................................................ 68
1. OBJETIVOS ........................................................................................................... 68
2. CONTENIDO ......................................................................................................... 68
2.1. REGISTRO GENERAL DE PROTECCIÓN DE DATOS. ............................ 68
2.2. LA INSCRIPCION DE FICHEROS. .............................................................. 68
2.3. LOS FICHEROS PÚBLICOS. ........................................................................ 70
2.4. CONCEPTO DE FICHERO A EFECTOS DE INSCRIPCIÓN. .................... 70
3. RESUMEN ............................................................................................................. 71
16. LOS FICHEROS DEL ARTÍCULO 29 DE LA LOPD ........................................... 71
1. OBJETIVOS ........................................................................................................... 72
2. CONTENIDO. ........................................................................................................ 72
2.1. PRESTACIÓN DE SERVICIOS DE INFORMACION SOBRE SOLVENCIA
PATRIMONIAL Y CREDITO. ............................................................................. 72
3. RESUMEN ............................................................................................................. 74
17. LAS MEDIDAS DE SEGURIDAD DETERMINACIÓN DEL NIVEL DE
SEGURIDAD ................................................................................................................. 76
1. OBJETIVOS. .......................................................................................................... 76
2. CONTENIDO. ........................................................................................................ 76
2.1. REGULACIÓN LEGAL DE LAS MEDIDAS DE SEGURIDAD. ............... 76
2.2. LOS NIVELES DE SEGURIDAD. ................................................................ 76
2.3. FICHEROS NO AUTOMATIZADOS (SOPORTE PAPEL) ......................... 79
3 RESUMEN .............................................................................................................. 80
18. LAS MEDIDAS DE SEGURIDAD DE NIVEL BÁSICO ...................................... 81
1. OBJETIVOS. .......................................................................................................... 81
2. CONTENIDO. ........................................................................................................ 82
2.1. MEDIDAS DE SEGURIDAD DE NIVEL BÁSICO. .................................... 82
3. RESUMEN. ............................................................................................................ 88
19. LAS MEDIDAS DE SEGURIDAD DE NIVEL MEDIO ....................................... 89
1. OBJETIVOS. .......................................................................................................... 89
2. CONTENIDO. ........................................................................................................ 89
2.1. MEDIDAS DE SEGURIDAD DE NIVEL MEDIO. ...................................... 89
3. RESUMEN. ............................................................................................................ 94
20. LAS MEDIDAS DE SEGURIDAD DE NIVEL ALTO .......................................... 94
4
1. OBJETIVOS. .......................................................................................................... 94
2. CONTENIDO ......................................................................................................... 94
2.1. MEDIDAS DE SEGURIDAD DE NIVEL ALTO.......................................... 94
2.2. MEDIDAS DE SEGURIDAD PARA TODOS LOS NIVELES. ................... 97
3. RESUMEN. ............................................................................................................ 99
5
1. INTRODUCCIÓN: EL ORIGEN Y NORMATIVA
APLICABLE
1. OBJETIVOS.
Comprender el origen y causas fundamentales que han motivado la
creación de una normativa de protección de datos de carácter personal.
Conocer los principales desarrollos normativos de aplicación a esta
materia tanto a nivel nacional como internacional.
Conocer las principales definiciones en esta materia.
6
2. CONTENIDO.
7
Ante esta nueva realidad de la que desafortunadamente no hay una gran
conciencia social, la protección otorgada por el tradicional derecho a la intimidad
es totalmente insuficiente.
En este contexto, surge en España un nuevo derecho fundamental, “la libertad
informática” que va más allá de proteger la esfera íntima del individuo. Es de
destacar en este punto, la relevancia que ha tenido para la interpretación de este
nuevo derecho la Sentencia del Tribunal constitucional 292/2000, de 20 de
noviembre. El derecho a la “privacidad” de las personas viene a recoger una
realidad más amplia que el derecho a la “intimidad”; ésta deriva de la dignidad
de la persona e implica la existencia de un ámbito propio y reservado frente a la
acción y el conocimiento de los demás (pensamientos, ideología, deseos,
relaciones íntimas, creencias, etc), sin embargo, la “privacidad” abarca además,
aspectos de la vida cotidiana que, no siendo íntimos, pueden considerarse
privados (el número de teléfono, la lista de la compra, el domicilio, la talla del pié,
una fotografía, lugares frecuentados, etc). Todo lo íntimo es privado, pero no
todo lo privado es íntimo.
La normativa de protección de datos personales protege la información
concerniente a personas físicas sea íntima o no (privada). El derecho a la
intimidad como tal, está protegido por la Ley Orgánica 1/1982, de 5 de mayo, de
Protección Civil del Derecho al Honor, a la Intimidad Personal y Familiar y a la
Propia Imagen, sin embargo, es insuficiente para preservar al individuo frente a
los nuevos peligros del tratamiento informatizado de datos.
8
Directiva 2002/58/CE relativa al tratamiento de los datos personales ya la
protección de la intimidad en el sector de las comunicaciones electrónicas
(Directiva sobre la privacidad y las comunicaciones electrónicas)
A nivel estatal, la normativa en materia de protección de datos se encuentra
recogida en los siguientes textos legales:
La Constitución de 1978 que establece en su artículo 18.4, que la Ley
deberá limitar el uso de la informática para garantizar el honor, la intimidad
personal y familiar de los ciudadanos y el legítimo ejercicio de sus
derechos.
La Ley Orgánica 15/1999, de 13 de Diciembre, de Protección de datos de
carácter Personal (conocida como LOPD), que es el eje fundamental en
torno al cual gira el régimen jurídico de la protección de datos de carácter
personal en España. Tal y como se verá más adelante en este curso, uno
de los aspectos fundamentales de esta normativa, es la obligación de
implantar las medidas de seguridad tanto técnicas como organizativas
que garanticen la seguridad y confidencialidad de los datos personales
objeto de tratamiento (artículo 9 de la LOPD).
El Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el
Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de
diciembre, de Protección de Datos de Carácter Personal (en adelante
RDLOPD), que entrará en vigor el 19 de abril de 2008 y nace con la
vocación no de reiterar los contenidos de la norma superior (LOPD), sino
de completar aquellos puntos que precisan de mayor desarrollo
normativo. Precisamente en este RD es donde vienen reguladas las
medidas de seguridad aplicables para los ficheros automatizados y no
automatizados con datos de carácter personal, a las que hacíamos
mención anteriormente vienen recogidas en este RDLOD.
Con la entrada en vigor del mencionado RD 1720/2007, de 21 de
Diciembre (RDLOPD), quedan derogadas algunas normas que hasta
ahora regulaban también la materia concerniente a los datos de carácter
personal y que son las siguientes:
Real Decreto 195/2000, de 11 de Febrero, por el que se establece el plazo
para implantar las medidas de seguridad de los ficheros automatizados
que contengan datos de carácter personal.
9
Real Decreto 994/1999, de 11 de Junio, por el que se aprueba el
Reglamento de medidas de seguridad de los ficheros automatizados.
Real Decreto 1332/1993, de 20 de Junio, por le que se desarrollan
algunos preceptos de de la Ley Orgánica.
Real Decreto 428/1993, de 26 de Marzo, por el que se aprueba el Estatuto
de la Agencia Española de Protección de Datos.
Junto a la normativa antes descrita, existen otras Normas de carácter
Reglamentario en materia de Protección de datos de carácter personal, que
también deben ser tenidas en cuenta:
o Resolución de 8 de septiembre de 2006, de la Agencia Española de
Protección de Datos, por la que se corrigen errores en las Resoluciones
de 12 de julio de 2006, por las que se crea el Registro Telemático y se
aprueban los formularios electrónicos para inscribir los ficheros en el
Registro General de Protección de Datos.
o Resolución de 1 de septiembre de 2006, de la Agencia Española de
Protección de Datos, por la que se determina la información que contiene
el Catálogo de ficheros inscritos en el Registro General de Protección de
Datos.
o Resolución de 12 de julio de 2006, de la Agencia Española de Protección
de Datos, por la que se crea el Registro Telemático de la Agencia
Española de Protección de Datos.
o Resolución de 12 de julio de 2006, de la Agencia Española de Protección
de Datos, por la que se aprueban los formularios electrónicos a través de
los que deberán efectuarse las solicitudes de inscripción de ficheros en el
Registro General de Protección de Datos, así como los formatos y
requerimientos a los que deben ajustarse las notificaciones remitidas en
soporte informático o telemático.
o Resolución de 22 de junio de 2001, de la Subsecretaría de Justicia, que
concreta el plazo para la implantación de medidas de seguridad de nivel
alto.
o Resolución de 30 de mayo de 2000, de la APD, por la que se aprueban
los modelos normalizados en soporte papel, magnético y telemático, para
la inscripción de los ficheros.
10
Por último, también haremos mención de las Instrucciones emitidas por la AEPD,
y que se aplicarán en materias específicas sobre datos de carácter personal:
Instrucción 1/2006, de 12 de diciembre, de la Agencia Española de
Protección de Datos sobre el tratamiento de datos personales con fines
de vigilancia a través de sistemas de cámaras o videocámaras. Descarga
de Modelos.
Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de
Protección de Datos sobre publicación de sus Resoluciones. Instrucción
1/2000, de 1 de diciembre, de la APD, relativa a las normas por las que
se rigen los movimientos internacionales de datos.
Instrucción 1/1998, de 19 de enero, de la APD, relativa al ejercicio de los
derechos de acceso rectificación y cancelación.
Instrucción 2/1996, de 1 de marzo, de la APD, sobre ficheros
automatizados establecidos con la finalidad de controlar el acceso a los
casinos y salas de bingo.
Instrucción 1/1996, de 1 de marzo, de la APD, sobre ficheros
automatizados establecidos con la finalidad de controlar el acceso a los
edificios.
Instrucción 2/1995, de 4 de mayo, de la APD, sobre garantía de los datos
personales recabados en la contratación de seguro de vida de forma
conjunta con un préstamo hipotecario o personal.
Instrucción 1/1995 de 1 de marzo de la APD relativa a prestación de
servicios de información sobre solvencia patrimonial y crédito.
2.3 DEFINICIONES.
- Dato de carácter personal: Cualquier información concerniente a personas
físicas identificadas o identificables.
- Fichero: Todo conjunto organizado de datos de carácter personal, cualquiera
que fuere la forma o modalidad de su creación, almacenamiento, organización y
acceso.
- Tratamiento de datos: Operaciones y procedimientos técnicos de carácter
automatizado o no, que permitan la recogida, grabación, conservación,
elaboración, modificación, bloqueo y cancelación, así como las cesiones de
11
datos que resulten de comunicaciones, consultas, interconexiones y
transferencias.
- Responsable del fichero o tratamiento: Persona física o jurídica, de naturaleza
pública o privada, u órgano administrativo, que decida sobre la finalidad,
contenido y uso del tratamiento.
- Afectado o interesado: Persona física titular de los datos que sean objeto del
tratamiento.
- Procedimiento de disociación: Todo tratamiento de datos personales de modo
que la información que se obtenga no pueda asociarse a persona identificada o
identificable.
- Encargado del tratamiento: La persona física o jurídica, autoridad pública,
servicio o cualquier organismo que, solo o conjuntamente con otros, trate datos
personales por cuenta del responsable del tratamiento.
- Consentimiento del interesado: Toda manifestación de voluntad, libre,
inequívoca, específica e informada, mediante la que el interesado consienta el
tratamiento de datos personales que le conciernen.
- Cesión o comunicación de datos: Toda revelación de datos realizada a una
persona distinta del interesado.
- Fuentes accesibles al público: Aquellos ficheros cuya consulta puede ser
realizada por cualquier persona, no impedida por una norma limitativa, o sin más
exigencia que, en su caso, el abono de una contraprestación. Tienen
consideración de fuentes de acceso público, exclusivamente, el censo
promocional, los repertorios telefónicos en los términos previstos por su
normativa específica y las listas de personas pertenecientes a grupos de
profesionales que contengan únicamente los datos de nombre, título, profesión,
actividad, grado académico, dirección e indicación de pertenencia al grupo.
Asimismo, tienen el carácter de fuentes de acceso público, los Diarios y Boletines
oficiales y los medios de comunicación.
- Sistemas de información: Conjunto de ficheros automatizados, programas,
soportes y equipos empleados para el almacenamiento y tratamiento de datos
de carácter personal.
- Usuario: Sujeto o proceso autorizado para acceder a datos o recursos.
- Recurso: Cualquier parte componente de un sistema de información.
12
- Accesos autorizados: Autorizaciones concedidas a un usuario para la utilización
de los diversos recursos.
- Identificación: Procedimiento de comprobación de la identidad de un usuario.
- Autenticación: Procedimiento de comprobación de la identidad de un usuario.
- Control de acceso: Mecanismo que en función de la identificación ya
autenticada permite el acceso a datos o recursos.
- Contraseña: Información confidencial frecuentemente constituida por una
cadena de caracteres, que puede ser usada en la autenticación de un usuario.
- Incidencia: Cualquier anomalía que afecte o pudiera afectar a la seguridad de
los datos.
- Soporte: Objeto físico susceptible de ser tratado en un sistema de información
y sobre el cual se pueden gravar o recuperar datos.
- Responsable de seguridad: Persona o personas a las que el responsable del
fichero ha asignado formalmente la función de coordinar y controlar las medidas
de seguridad aplicables.
- Copia de respaldo: Copia de los datos de un fichero automatizado en un soporte
que posibilite su recuperación.
3. RESUMEN.
La normativa de protección de datos no se limita a proteger el derecho a la
intimidad de las personas, va más allá, protege cualquier información
concerniente a personas físicas, sea íntima o no, puesto que esta información
aparentemente irrelevante, puede ser almacenada y tratada informáticamente
con fines indebidos, poniéndose en juego la libertad y dignidad del individuo.
La normativa fundamental de aplicación es:
Directiva 95/46/CE, de 24 de octubre, relativa a la protección de las
personas físicas en lo que respecta al tratamiento de datos personales y
a la libre circulación de estos datos.
Directiva 2002/58/CE relativa al tratamiento de los datos personales y a la
protección de la intimidad en el sector de las comunicaciones electrónicas
(Directiva sobre la privacidad y las comunicaciones electrónicas).
Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de
Carácter Personal.
13
El Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el
Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de
diciembre, de Protección de Datos de Carácter Personal.
R.D. 428/1993, de 26 de marzo, que aprueba el Estatuto de la Agencia
Española de Protección de Datos (AEPD); como se verá más adelante es
la entidad pública de control, encargada de velar por el cumplimiento de
la normativa de protección de datos en España.
Formativa Reglamentaria.
Instrucciones de la AEPD.
14
2. CONTENIDO.
2.1. ÁMBITO DE APLICACIÓN TEMPORAL.
Tal y como establece la Disposición Final Tercera, la LOPD entró en vigor el 14
de Enero de 2000. Para la adecuación de los ficheros con datos personales,
preexistentes a dicha fecha, la LOPD ha establecido un régimen transitorio en
su Disposición Adicional Primera, quedando de la siguiente manera el ámbito
temporal de aplicación de la LOPD:
o Los ficheros automatizados preexistentes al 14 de Enero de 2000: Se
establece que “los ficheros y tratamientos automatizados inscritos o no en
el Registro de Protección de Datos deben adecuarse a la LOPD dentro
del plazo de tres años a contar desde su entrada en vigor...”. Este plazo
adicional para la adecuación a la LOPD finalizó el 14 deenero de 2003.
o Los Ficheros no automatizados preexistentes a la entrada en vigor de la
LOPD: Su adecuación a la LOPD deberá cumplimentarse en el plazo de
doce años a contar desde el 24 de Octubre de 1995, sin perjuicio del
ejercicio de los derechos de acceso, rectificación y cancelación por parte
de los afectados.
De este modo, los ficheros no automatizados preexistentes a la entrada en vigor
de la LOPD no se encuentran incluidos en el ámbito de aplicación de la LOPD
hasta el 24 de Octubre de 2007, pero si les son de aplicación las obligaciones
existentes para el ejercicio de los derechos de los usuarios (derechos de acceso,
rectificación, cancelación y oposición) que se estudiarán en la Unidades
Temáticas 2.4.1 y 2.4.2. del presente Curso.
15
o A los datos de los empresarios individuales - personas físicas (por
ejemplo, autónomos).
o A la grabación de datos de voz e imágenes, siempre que las mismas
permitan la identificación de las personas que aparecen en dichas voces
o imágenes y se hallen incorporadas a ficheros informáticos.
o A los ficheros de empresas que tengan una relación de personas físicas
de contacto, como Administradores, Gerentes, Directores Generales,
Comerciales, etc.
16
sus características generales y su finalidad a la Agencia Española de
Protección de Datos.
17
La finalidad de este RDLOPD es acrecentar la seguridad jurídica, resolviendo
aquellas lagunas que pudieran existir en la actualidad en relación a la protección
de datos de carácter personal.
El nuevo Real Decreto hace especial hincapié en las medidas de seguridad
informáticas que deben aplicarse para la protección de los ficheros
automatizados, así como también determina las medidas a adoptar en relación
a los datos recogidos en ficheros no automatizados (es decir, en soporte papel).
Estas medidas de seguridad serán objeto de estudio en la unidad temática 3.1.1
de este curso.
4. RESUMEN
Respecto al ámbito temporal, para los ficheros automatizados
preexistentes al 14 de Enero de 2000 el plazo máximo para su adecuación
fue el 14 de enero de 2003, mientras que para Los Ficheros no
automatizados preexistentes a la entrada en vigor de la LOPD su plazo
es hasta el 24 de Octubre de 2007.
Respecto al ámbito territorial, en principio se regirán por la LOPD los
tratamientos de datos personales realizados en territorio español salvo
aquellos que sean de mero transito.
Respecto al ámbito subjetivo la LOPD, no es de aplicación a los datos de
personas jurídicas ni a los datos de las personas fallecidas.
Existen tratamientos de datos excluidos de la LOPD y tratamientos que se
regulan por normativas específicas.
El RDLOPD es la norma subsidiaria a la LOPD, a la que complementa,
desarrollando también aquellas materias que no vienen desarrolladas en
la Ley Orgánica.
18
2. CONTENIDO.
19
ya que este consentimiento en principio se sobreentiende. Pero será
necesario para la cesión de los mismos a terceros.
o Afiliación sindical: el dato de afiliación sindical ha pasado a
considerarse como especialmente protegido por la vigente normativa
de protección de datos.
o Origen racial: después de lo que ha supuesto la creación de los
conocidos listados en la Segunda Guerra Mundial, en los que el criterio
de inclusión de personas estaba basado exclusivamente en su origen
racial, el tratamiento de estos datos debe estar amparado en una Ley
o debe requerir el consentimiento expreso del interesado.
o Salud: datos que puedan revelar dolencias o enfermedades que ha
padecido, padece o padecerá o tendrá tendencia a padecer en el
futuro una persona.
o Orientación sexual.
El tratamiento de este tipo de datos requiere el consentimiento expreso del
interesado. El consentimiento expreso frente al consentimiento tácito (válido
para las demás categorías de datos), supone que se debe contar con una
manifestación expresa del interesado para el tratamiento de sus datos
personales (por ejemplo una firma).
Tal y como se verá en las unidades temáticas referidas a las medidas de
seguridad para el tratamiento de los datos personales, existen tres niveles de
seguridad que se aplicarán en función de la sensibilidad de los
20
búsqueda de un individuo en el mismo pueda suponer esfuerzos
desproporcionados, no se trataría de un fichero.
Hay que destacar de la definición de fichero, que se refiere a “cualquier forma
de almacenamiento”, por tanto, a los ficheros en soporte papel también les
será de aplicación la LOPD.
Así mismo existen ficheros públicos (no confundir con fuente accesible al
público) y ficheros privados. La consideración de un fichero como público o
privado vendrá determinada por el responsable del fichero, es decir, en el
supuesto de que el responsable sea una entidad pública (por ejemplo un
Ayuntamiento) el fichero será público y en el supuesto de que el responsable
sea una entidad privada (por ejemplo una sociedad anónima privada) el
fichero será privado.
Los ficheros de titularidad pública vienen recogidos en el Título IV de la
LOPD. Para su creación, modificación o supresión (a diferencia de los
ficheros privados) es necesaria una disposición de carácter general publicada
en el Boletín Oficial del Estado o Diario Oficial correspondiente.
Los derechos de los interesados (como por ejemplo el acceso o cancelación
de sus datos) pueden verse limitados ante estos ficheros cuando entra en
juego la Defensa Nacional o la persecución de infracciones penales o
administrativas.
Los ficheros de los Cuerpos y Fuerzas de Seguridad merecen un tratamiento
específico en el artículo 22 de la LOPD. Los ficheros de estos Cuerpos con
finalidades administrativas, estarán sujetos al régimen general de la LOPD,
sin embargo los ficheros creados con fines policiales podrán crearse sin el
consentimiento de los afectados siempre que sean necesarios para la
prevención de un peligro real para la seguridad pública o para la represión de
infracciones penales, debiendo ser clasificados en función de su fiabilidad.
21
4. SUJETOS INTERVINIENTES
1. OBJETIVOS.
Estudiar los sujetos principales que intervienen en el tratamiento de
datos de carácter personal y aprender las obligaciones y
responsabilidades que impone la Ley para cada uno de ellos.
22
2. CONTENIDO.
2.1. EL INTERESADO.
La LOPD en su artículo 3.e) define al afectado o interesado como:
“Persona física titular de los datos que sean objeto del tratamiento a que se
refiere el apartado c) del presente artículo”.
Por tanto, la condición de interesado siempre recaerá en una persona física.
El interesado debe ser informado por el responsable del fichero del
tratamiento de sus datos, debe consentirlo, y ostenta los derechos de acceso,
rectificación, cancelación y oposición que se estudiarán en las unidades
temáticas correspondientes.
23
El encargado de tratamiento recibe el cometido de tratar unos datos
personales por parte del responsable del fichero. Un habitual ejemplo de
encargado de tratamiento, puede ser una asesoría laboral que confecciona
nóminas para sus clientes (generalmente empresas). La asesoría está
haciendo un tratamiento de datos sobre un fichero (fichero de gestión de
personal) del que el responsable es su cliente. El responsable del fichero es
la empresa que contrata los servicios de la asesoría laboral siendo ésta
encargada de tratamiento.
Esta situación debe quedar reflejada en un contrato por escrito (artículo 12
de la LOPD) en el que se establezca que el encargado de tratamiento
(asesoría) no podrá ceder los datos a terceros ni siquiera para su
conservación mientras dure el trabajo encomendado, deberá adoptar las
medidas de seguridad que sean necesarias y, una vez terminados los
servicios (la confección de las nóminas) deberá devolver los datos o
destruirlos a elección del responsable del fichero. En el supuesto de que el
encargado del tratamiento incumpla las estipulaciones del contrato será
considerado responsable del fichero con todas sus consecuencias.
Otro ejemplo habitual de encargado de tratamiento puede ser una empresa
de mantenimiento de hardware, ya que prestando este tipo de servicios
accede y trata los ficheros del responsable del fichero, por tanto debe
garantizar contractualmente la confidencialidad de los datos tratados
mientras preste el servicio. En definitiva, cualquier profesional o empresa
externa al responsable del fichero que prestándole sus servicios acceda o
trate los ficheros de éste, en principio tendrá la consideración de encargado
de tratamiento debiendo reflejarse así en un contrato.
Algunos ejemplos más de encargados de tratamiento pueden ser: empresas
de servicios de hosting de la web del responsable (acceden a ficheros del
responsable obtenidos vía web), empresas de marketing mailing (acceden a
ficheros de clientes para organizar campañas publicitarias), empresas de
servicios de control horario y de presencia (acceden al listado de trabajadores
del responsable del fichero), empresas de prevención de riesgos laborales
(acceden a datos de trabajadores) etc.
24
2.4. LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS.
Tal y como se verá en la unidad temática correspondiente, es el Organismo
Público o Autoridad de Control que tiene asignada la función de velar por el
cumplimiento de la normativa de protección de datos en España. Entre sus
distintas competencias está la inspectora y sancionadora.
3. RESUMEN
El interesado es la persona física titular de los datos tratados.
El responsable del fichero es la persona física o jurídica que decide
sobre la finalidad, contenido y uso del tratamiento.
El encargado del tratamiento es la persona física o jurídica, autoridad
pública, servicio o cualquier otro organismo que, sólo o conjuntamente
con otros, trata datos personales por cuenta del responsable del
fichero.
La Agencia Española de Protección de Datos, es la Autoridad de
Control con capacidad inspectora y sancionadora.
El responsable de seguridad es aquella persona física que dentro de
una organización tiene asignadas una serie de funciones que van
dirigidas a preservar la seguridad de los datos personales tratados.
25
5. PRINCIPIOS FUNDAMENTALES. PRINCIPIO DE
INFORMACIÓN
1. OBJETIVOS.
Conocer el principio de información al afectado para el tratamiento de
sus datos personales y el alcance del mismo.
26
Aprender las implicaciones prácticas que tiene el respeto de este
principio para el tratamiento de datos personales.
2. CONTENIDO.
2.1. EL PRINCIPIO DE INFORMACIÓN.
Este principio viene recogido en el artículo 5 de la LOPD:
“Artículo 5. Derecho de información en la recogida de datos.
1. Los interesados a los que se soliciten datos personales deberán ser
previamente informados de modo expreso, preciso e inequívoco:
a) De la existencia de un fichero o tratamiento de datos de carácter personal,
de la finalidad de la recogida de éstos y de los destinatarios de la información.
b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que
les sean planteadas.
c) De las consecuencias de la obtención de los datos o de la negativa a
suministrarlos.
d) De la posibilidad de ejercitar los derechos de acceso, rectificación,
cancelación y oposición.
e) De la identidad y dirección del responsable del tratamiento o, en su caso,
de su representante.
Cuando el responsable del tratamiento no esté establecido en el territorio de
la Unión Europea y utilice en el tratamiento de datos medios situados en
territorio español, deberá designar, salvo que tales medios se utilicen con
fines de tránsito, un representante en España, sin perjuicio de las acciones
que pudieran emprenderse contra el propio responsable del tratamiento.
2. Cuando se utilicen cuestionarios u otros impresos para la recogida,
figurarán en los mismos, en forma claramente legible, las advertencias a que
se refiere el apartado anterior.
3. No será necesaria la información a que se refieren las letras b), c) y d) del
apartado 1 si el contenido de ella se deduce claramente de la naturaleza de
los datos personales que se solicitan o de las circunstancias en que se
recaban.
4. Cuando los datos de carácter personal no hayan sido recabados del
interesado, éste deberá ser informado de forma expresa, precisa e
inequívoca, por el responsable del fichero o su representante, dentro de los
27
tres meses siguientes al momento del registro de los datos, salvo que ya
hubiera sido informado con anterioridad, del contenido del tratamiento, de la
procedencia de los datos, así como de lo previsto en las letras a), d) y e) del
apartado 1 del presente artículo.
5. No será de aplicación lo dispuesto en el apartado anterior cuando
expresamente una Ley lo prevea, cuando el tratamiento tenga fines
históricos, estadísticos o científicos, o cuando la información al interesado
resulte imposible o exija esfuerzos desproporcionados, a criterio de la
Agencia de Protección de Datos o del organismo autonómico equivalente, en
consideración al número de interesados, a la antigüedad de los datos y a las
posibles medidas compensatorias.
Asimismo, tampoco regirá lo dispuesto en el apartado anterior cuando los
datos procedan de fuentes accesibles al público y se destinen a la actividad
de publicidad o prospección comercial, en cuyo caso, en cada comunicación
que se dirija al interesado se le informará del origen de los datos y de la
identidad del responsable del tratamiento así como de los derechos que le
asisten.”
Cuando una organización recabe datos personales para incluirlos en un
fichero, deberá con carácter previo a su inclusión, informarle al interesado de
los siguientes extremos:
a) La existencia del fichero o tratamiento de datos, la finalidad de la recogida
y los destinatarios de la información.
b) El carácter optativo u obligatorio de las preguntas.
c) Las consecuencias sobre la obtención de los datos, así como la negativa
a suministrarlos.
d) La posibilidad de ejercer los derechos de acceso, rectificación, cancelación
y oposición.
e) La identidad y dirección del responsable del tratamiento o su
representante.
El interesado, salvo algunas excepciones, tiene el derecho a ser informado
de que sus datos serán incluidos en un fichero, de la finalidad del mismo, de
la identidad y dirección de su responsable.
Esto implica que los formularios que utilice la organización para la captación
de datos personales deberán incluir una advertencia legal que recoja los
28
extremos indicados. En muchas ocasiones la organización no cuenta con
estos formularios, por tanto es necesario estudiar la forma en la que los datos
son captados, para incluir en el proceso la advertencia legal de referencia.
Por ejemplo, se puede solucionar el problema incluyendo la advertencia legal
en el presupuesto, contrato de servicios o cualquier documento que pueda
firmar el interesado. Pero se recuerda que únicamente se podrán tratar los
datos de aquella persona que haya sido informada de los extremos recogidos
en el artículo 5 de la LOPD. Es habitual el envío de cartas informativas a los
afectados, dando plazos para rechazar el tratamiento de sus datos
personales. El problema de estos envíos es de carácter probatorio para el
responsable; salvo que las cartas sean enviadas con acuse de recibo no
quedará constancia del cumplimiento del deber de información al interesado.
Asimismo, cuando los datos son obtenidos desde la página web de la
organización, se deberá incluir en la misma, una política de privacidad donde
se informe al interesado de lo establecido en el mencionado artículo 5 LOPD.
Es conveniente que en el proceso de captación de datos por este medio, el
interesado acepte la política de privacidad mencionada.
Respecto a los datos de trabajadores de la organización (que también deben
ser informados del tratamiento que recibirán sus datos personales) la
solución puede estar en la firma de un anexo al contrato de trabajo, donde se
le informe de lo recogido en el artículo 5 de la LOPD. En este anexo se suele
aprovechar para recabar un compromiso de confidencialidad del trabajador
respecto a la información de la organización a la que tenga acceso en el
desarrollo de su trabajo.
El objetivo consiste en poder probar, que el interesado ha leído la advertencia
legal donde se le informa del tratamiento de sus datos en los términos del
artículo 5 LOPD.
Cuando los datos no han sido obtenidos del propio interesado (lo cual puede
ser en muchas ocasiones ilegal como se verá), en principio, éste deberá ser
informado en los tres meses siguientes a su obtención salvo que suponga un
esfuerzo desproporcionado a criterio de la AEPD.
¿Cuándo es un esfuerzo desproporcionado?, es un concepto jurídico
indeterminado que deberá ser interpretado en cada caso por la AEPD y la
Audiencia Nacional (artículo 5.4 de la LOPD).
29
Si los datos han sido obtenidos de fuentes accesibles al público (que dada su
importancia serán objeto de estudio detallado en este curso), con fines de
prospección comercial, en cada envío publicitario se debe informar del origen
de los datos, de la identidad responsable del fichero y de los derechos que
asisten al interesado.
2.2. EXCEPCIONES.
No habrá que informar:
o Cuando una Ley lo disponga.
o Cuando el tratamiento tenga una finalidad histórica, científica o
estadística.
o Cuando haya sido informado con anterioridad a la cesión de sus datos.
o Cuando suponga un esfuerzo desproporcionado a criterio de la AEPD.
o Cuando se obtienen de una fuente accesible al público y se destinen
a prospección comercial, pero en cada envío se deberá informar de la
fuente de obtención de datos, la identidad y dirección del responsable
así como de los derechos que le asisten al interesado.
3. RESUMEN.
En esta Unidad Temática se ha estudiado el principio de Información recogido
en el artículo 5 de la LOPD. El tratamiento de datos personales requiere que
el interesado haya sido informado previamente de:
a) La existencia del fichero o tratamiento de datos, la finalidad de la recogida
y los destinatarios de la información.
b) El carácter optativo u obligatorio de las preguntas.
c) Las consecuencias sobre la obtención de los datos, así como la negativa
a suministrarlos.
d) La posibilidad de ejercer los derechos de acceso, rectificación, cancelación
y oposición.
e) La identidad y dirección del responsable del tratamiento o su
representante.
Este principio no es absoluto y tiene ciertas excepciones.
30
6. PRINCIPIOS FUNDAMENTALES. PRINCIPIO DE
CONSENTIMIENTO
1. OBJETIVOS.
Estudiar el principio del consentimiento recogido en el artículo 6 de la
LOPD así como su alcance.
2. CONTENIDO.
2.1. EL PRINCIPIO DE CONSENTIMIENTO.
Este principio viene recogido en el artículo 6 de la LOPD:
“Artículo 6. Consentimiento del afectado.
31
1. El tratamiento de los datos de carácter personal requerirá el consentimiento
inequívoco del afectado, salvo que la Ley disponga otra cosa.
2. No será preciso el consentimiento cuando los datos de carácter personal
se recojan para el ejercicio de las funciones propias de las Administraciones
Públicas en el ámbito de sus competencias; cuando se refieran a las partes
de un contrato o precontrato de una relación negocial, laboral o administrativa
y sean necesarios para su mantenimiento o cumplimiento; cuando el
tratamiento de los datos tenga por finalidad proteger un interés vital del
interesado en los términos del artículo 7 apartado 6 de la presente
Ley, o cuando los datos figuren en fuentes accesibles al público y su
tratamiento sea necesario para la satisfacción del interés legítimo perseguido
por el responsable del fichero o por el del tercero a quien se comuniquen los
datos, siempre que no se vulneren los derechos y libertades fundamentales
del interesado.
3. El consentimiento a que se refiere el artículo podrá ser revocado cuando
exista causa justificada para ello y no se le atribuyan efectos retroactivos.
4. En los casos en los que no sea necesario el consentimiento del afectado
para el tratamiento de los datos de carácter personal, y siempre que una Ley
no disponga lo contrario, éste podrá oponerse a su tratamiento cuando
existan motivos fundados y legítimos relativos a una concreta situación
personal. En tal supuesto, el responsable del fichero excluirá del tratamiento
los datos relativos al afectado.”
Este consentimiento se define en el artículo 3.h) LOPD como:
“Toda manifestación de voluntad, libre, inequívoca, específica e informada,
mediante la que el interesado consienta el tratamiento de datos personales
que le conciernen”.
El tratamiento de datos de carácter personal requerirá el consentimiento
inequívoco del afectado, salvo que la Ley disponga otra cosa (artículo 6
LOPD).
El consentimiento debe ser:
o Libre, lo que supone que el mismo deberá haber sido obtenido sin la
intervención de vicio alguno del consentimiento en los términos
regulados por el Código Civil.
32
o Específico, es decir, referido a una determinada operación de
tratamiento y para una finalidad determinada, explícita y legítima del
responsable del tratamiento, tal y como impone el artículo 4.2 de la
LOPD.
o Informado, es decir que el afectado conozca con anterioridad al
tratamiento, la existencia del mismo y las finalidades para las que el
mismo se produce. Precisamente por ello el artículo 5.1 de la LOPD
impone el deber de informar a los interesados de una serie de
extremos que en el mismo se contienen.
o Inequívoco, lo que implica que no resulta admisible deducir el
consentimiento de los meros actos realizados por el afectado
(consentimiento presunto), siendo preciso que exista expresamente
una acción u omisión que implique la existencia del consentimiento.
El consentimiento del afectado será necesario para:
o El tratamiento de sus datos personales.
o Para tratar datos especialmente protegidos debe ser expreso.
o Para la cesión de los datos personales.
Todo tratamiento de datos personales requiere el consentimiento del
afectado salvo en las excepciones marcadas por la LOPD. Cuando se trate
de datos especialmente protegidos (Unidad Temática 2.1.1 de este Curso)
este consentimiento deberá ser expreso (se recomienda que siempre sea por
escrito). Asimismo es necesario el consentimiento para cualquier cesión de
datos personales a terceros.
2.2. CLASES DE CONSENTIMIENTO.
En principio la LOPD establece dos tipos de consentimiento:
a) Consentimiento expreso: Para datos especialmente protegidos.
Aunque la Ley hace una distinción entre consentimiento expreso por escrito
y consentimiento expreso, se recomienda para el tratamiento de este tipo de
datos contar con la firma del interesado.
b) Consentimiento tácito: Supone que una falta de actividad del interesado
ante el conocimiento del tratamiento de sus datos personales se interpreta
como una aceptación del mismo. El problema de este tipo de consentimiento
es el de la prueba del mismo (cuya carga corresponderá al responsable de
los ficheros).
33
Por tanto, siempre que sea posible, se recomienda obtener y conservar la
firma del interesado consintiendo el tratamiento de sus datos personales.
El consentimiento es siempre revocable aunque sin efectos retroactivos.
3. RESUMEN.
El tratamiento de datos de carácter personal requerirá el
consentimiento inequívoco del afectado, salvo que la Ley disponga
otra cosa (artículo 6 de la LOPD).
El consentimiento puede ser expreso o tácito, siendo necesario para
el tratamiento de datos especialmente protegidos recabar el
consentimiento expreso y por escrito (recomendable en todos los
casos).
El consentimiento es siempre revocable aunque sin efectos
retroactivos.
34
El principio de consentimiento no es absoluto, tiene excepciones
recogidas por el artículo 6.2 de la LOPD.
Es necesario distinguir entre el principio de información y el principio
de consentimiento. El hecho de que en determinadas ocasiones no
sea necesario recabar el consentimiento del interesado no significa
que no haya que informar del tratamiento que recibirán los datos
personales.
1. OBJETIVOS.
Conocer el principio de calidad de los datos y sus implicaciones prácticas.
2. CONTENIDO.
Este principio viene recogido en el artículo 4 de la LOPD:
“Artículo 4. Calidad de los datos
1. Los datos de carácter personal sólo se podrán recoger para su tratamiento,
así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes
y no excesivos en relación con el ámbito y las finalidades determinadas,
explícitas y legítimas para las que se hayan obtenido.
35
2. Los datos de carácter personal objeto de tratamiento no podrán usarse para
finalidades incompatibles con aquellas para las que los datos hubieran sido
recogidos. No se considerará incompatible el tratamiento posterior de éstos con
fines históricos, estadísticos o científicos.
3. Los datos de carácter personal serán exactos y puestos al día de forma que
respondan con veracidad a la situación actual del afectado.
4. Si los datos de carácter personal registrados resultaran ser inexactos, en todo
o en parte, o incompletos, serán cancelados y sustituidos de oficio por los
correspondientes datos rectificados o completados, sin perjuicio de las
facultades que a los afectados reconoce el artículo 16.
5. Los datos de carácter personal serán cancelados cuando hayan dejado de ser
necesarios o pertinentes para la finalidad para la cual hubieran sido recabados
o registrados. No serán conservados en forma que permita la identificación del
interesado durante un período superior al necesario para los fines en base a los
cuales hubieran sido recabados o registrados. Reglamentariamente se
determinará el procedimiento por el que, por excepción, atendidos los valores
históricos, estadísticos o científicos de acuerdo con la legislación específica, se
decida el mantenimiento íntegro de determinados datos.
6. Los datos de carácter personal serán almacenados de forma que permitan el
ejercicio del derecho de acceso, salvo que sean legalmente cancelados.
7. Se prohíbe la recogida de datos por medios fraudulentos, desleales o ilícitos.”
El principio de calidad de los datos implica las siguientes obligaciones:
El consentimiento del afectado para el tratamiento de sus datos personales tiene
que referirse a una finalidad determinada, explícita y legítima. El tratamiento de
datos para una finalidad distinta o incompatible de la consentida por el afectado
constituye una infracción grave. Por esta razón, la advertencia legal, a la que
hemos hecho referencia en la Unidad Temática 2.2.1 del presente Curso, deberá
recoger todos lo usos y tratamientos (finalidades) que recibirán los datos
personales, puesto que serán las finalidades consentidas por el interesado las
que deberán determinar el tratamiento de sus datos.
Otro aspecto fundamental es que los datos deben ser adecuados pertinentes y
no excesivos, es decir proporcionales a la finalidad para la que han sido
obtenidos. Es relativamente frecuente, que en los cuestionarios utilizados por
distintas organizaciones, se pidan datos que no son estrictamente necesarios
36
para la prestación del servicio. Estos datos son posteriormente utilizados para
finalidades de prospección comercial, elaboración de perfiles de usuarios etc. Tal
y como se ha visto al estudiar el principio de información, el interesado debe ser
informado del contenido obligatorio o facultativo de las preguntas, por tanto, si
se piden datos que no sean estrictamente necesarios para la prestación del
servicio, se deberá informar al interesado de su derecho a no suministrarlos (es
frecuente la utilización de asteriscos en los campos obligatorios indicándolo así
en el cuestionario utilizado)
Asimismo este principio obliga a que los datos personales tratados deben ser
exactos y puestos al día. Es decir, deben ser actualizados respondiendo a la
situación real del afectado. El mantenimiento de ficheros con datos personales
inexactos es motivo de infracción.
Los datos personales deben ser cancelados cuando hayan dejado de ser
pertinentes a la finalidad para la que fueron obtenidos.
Para la cesión de datos a terceros, además de ser necesario como hemos visto
el consentimiento del interesado, la finalidad de ésta cesión debe ser legítima.
En el supuesto de que el interesado no conozca la finalidad de la cesión de sus
datos, la cesión será nula.
3. RESUMEN.
El consentimiento del afectado para el tratamiento de sus datos
personales tiene que referirse a una finalidad determinada, explícita y
legítima.
Los datos deben ser adecuados pertinentes y no excesivos, es decir
proporcionales a la finalidad para la que han sido obtenidos.
Los datos personales tratados deben ser exactos y puestos al día.
Los datos personales deben ser cancelados cuando hayan dejado de ser
pertinentes a la finalidad para la que fueron obtenidos.
37
8. LA CESIÓN DE DATOS. REQUISITOS
1. OBJETIVOS
Comprender los requisitos necesarios para proceder a una cesión legal
de datos personales a terceros.
2. CONTENIDO.
2.1. LA CESIÓN DE DATOS PERSONALES.
2.1.1. Definición.
La cesión de datos personales es definida en el artículo 3, i) de la LOPD, como:
"toda revelación de datos realizada a persona distinta del interesado".
2.1.2. Requisitos
Toda cesión de datos en principio requiere el consentimiento informado del
afectado (artículo 11 de la LOPD). Además, la finalidad de la misma debe ser
legítima conforme a los intereses de cedente y cesionario. Las excepciones a
este consentimiento son las siguientes:
38
o Cuando la cesión está autorizada en una Ley. Por ejemplo la cesión de
los datos de los trabajadores por parte de la empresa a la Tesorería
General de la Seguridad Social, está no solo amparada sino obligada por
Ley.
o Cuando se trate de datos recogidos de fuentes accesibles al público
(estudiadas en la Unidad Temática 2.2.4 de este Curso).
o Cuando el tratamiento responda a la libre y legítima aceptación de una
relación jurídica cuyo desarrollo, cumplimiento y control implique
necesariamente la conexión de dicho tratamiento con ficheros de terceros.
En este caso la comunicación sólo será legítima en cuanto se limite a la
finalidad que la justifique.
Por ejemplo la cesión de los datos del interesado por una agencia de viajes a un
hotel con el objeto de realizar la reserva. Nos encontramos ante una relación
jurídica (contratación de un viaje) que para materializarse, requiere
necesariamente la cesión. Si no hay cesión no se puede cumplir el contrato. El
elemento de absoluta necesidad de cesión para el cumplimiento de la relación
jurídica, será determinante para aplicar esta excepción.
o Cuando la comunicación que deba efectuarse tenga por destinatario al
Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el
Tribunal de Cuentas, en el ejercicio de las funciones que tienen atribuidas.
Tampoco será preciso el consentimiento cuando la comunicación tenga
como destinatario a instituciones autonómicas con funciones análogas al
Defensor del Pueblo o al Tribunal de Cuentas.
o Cuando la cesión se produzca entre Administraciones Públicas y tenga
por objeto el tratamiento posterior de los datos con fines históricos,
estadísticos o científicos.
o Cuando la cesión de datos de carácter personal relativos a la salud sea
necesaria para solucionar una urgencia que requiera acceder a un fichero
o para realizar los estudios epidemiológicos en los términos establecidos
en la legislación sobre sanidad estatal o autonómica.
Asimismo, será nulo el consentimiento para la comunicación de los datos de
carácter personal a un tercero, cuando la información que se facilite al interesado
no le permita conocer la finalidad a la que destinarán los datos cuya
39
comunicación se autoriza o el tipo de actividad de aquél a quien se pretenden
comunicar.
El consentimiento para la comunicación de los datos de carácter personal tiene
también un carácter de revocable.
Aquél a quien se comuniquen los datos de carácter personal se obliga, por el
solo hecho de la comunicación, a la observancia de las disposiciones de la
LOPD.
Si la comunicación se efectúa previo procedimiento de disociación, no será
aplicable lo establecido en los apartados anteriores puesto que el afectado deja
de ser persona identificada o identificable y por tanto la información cedida no
contendrá datos personales.
A tenor del artículo 44,4,b). de la LOPD se considera infracción muy grave la
cesión de datos de carácter personal sin consentimiento del interesado fuera de
los casos en que estén permitidas.
Asimismo, el artículo 27 de la LOPD obliga al responsable del fichero a informar
al afectado, en el momento de realizar la primera cesión, del destinatario y
finalidad de la misma salvo las excepciones recogidas en este artículo. Esta es
una de las polémicas obligaciones impuestas por la LOPD, de muy difícil puesta
en práctica.
Conviene reseñar que las cesiones de datos entre empresas del mismo, grupo,
a efectos de la LOPD, son consideradas como cesión de datos, debiendo cumplir
con todos los requisitos estudiados anteriormente.
Siempre que la cesión se produzca entre entidades que tengan distinta
personalidad jurídica se considerará cesión de datos. Por ejemplo, la cesión de
datos personales entre empresas filiales (cada filial tiene su propia personalidad
jurídica y su propio C.I.F.), se considerará cesión de datos, mientras que la
cesión de datos personales entre sucursales (que no tienen personalidad jurídica
propia), no se considerará cesión de datos.
Asimismo, conviene no confundir la figura de la cesión de datos con la del
encargado de tratamiento del artículo 12 de la LOPD En la cesión de datos,
surgen dos responsables de fichero, el cedente y el cesionario. Tanto el uno
como el otro deberán inscribir el fichero cedido en el Registro General de
Protección de Datos y serán responsables del cumplimiento de todas las
obligaciones recogidas en la LOPD para los responsables de los ficheros.
40
Por el contrario, el encargado del tratamiento, como la propia palabra lo dice, es
un encargado no un responsable, al que se le ha encomendado un tratamiento
de datos sobre un fichero del que no es titular. Además, y esta es una diferencia
fundamental con la cesión, deberá devolver los datos tratados o destruirlos, a
elección del responsable que le ha encomendado el tratamiento, una vez
terminado el encargo.
41
se recoge un esquema de las fuentes de obtención de datos, las cesiones y los
accesos por terceros más comunes en cualquier organización.
3. RESUMEN.
La cesión de datos se define como "toda revelación de datos realizada a
persona distinta del interesado".
Para que la cesión sea conforme a la LOPD, debe estar consentida por el
afectado y debe responder a una finalidad legítima entre cedente y
cesionario. Por tanto el afectado debe ser informado de la cesión de sus
datos, la finalidad de la misma y de la identidad del cesionario.
Existen excepciones al consentimiento para la cesión de datos
personales.
El consentimiento para la comunicación de los datos de carácter personal
tiene carácter de revocable.
42
La cesión de datos entre Administraciones Públicas debe hacerse entre
Administraciones con competencias similares o idénticas, de lo contrario,
deberá haber una Ley que ampare esa cesión.
1. OBJETIVOS.
Conocer el concepto de transferencia internacional y los requisitos
legalmente establecidos para su realización.
2. CONTENIDO.
2.1. LA TRANSFERENCIA INTERNACIONAL DE DATOS.
2.1.1. Definición.
En las transferencias internacionales de datos suelen distinguirse dos supuestos:
aquellos en que se está en presencia de transferencias internacionales que
implican auténticas cesiones de datos, de aquellos otros, en que la transferencia
se efectúa para el tratamiento de los datos por cuenta de terceros, aunque en
ambos supuestos, conforme a la LOPD se trataría de transferencias
internacionales.
Dichas transferencias internacionales se regulan en los artículos 33 y 34 de la
LOPD, y se definen por la Norma Primera de la instrucción 1/2000 de 1 de
diciembre, de la Agencia Española de Protección de Datos, relativa a las normas
por las que se rigen los Movimientos Internacionales de Datos como: "Toda
transmisión de los mismos fuera del territorio español. En particular, se
consideran como tales las que constituyan una cesión o comunicación de datos
y las que tengan por objeto la realización de un tratamiento de datos por cuenta
del responsable de fichero".
Debe señalarse que dicha Instrucción ha fijado los criterios orientativos seguidos
por la Agencia Española de Protección de Datos en la materia, aclarando a los
interesados el procedimiento a seguir para dar cumplimiento a las previsiones
contenidas en la normativa reguladora de la materia.
2.1.2. Normativa aplicable.
43
El Movimiento Internacional de datos es regulado por La LOPD en su Título V.
artículos 33 y 34.
“Artículo 33. Norma general.
1. No podrán realizarse transferencias temporales ni definitivas de datos de
carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos
para someterlos a dicho tratamiento con destino a países que no proporcionen
un nivel de protección equiparable al que presta la presente Ley, salvo que,
además de haberse observado lo dispuesto en ésta, se obtenga autorización
previa del Director de la Agencia de Protección de Datos, que sólo podrá
otorgarla si se obtienen garantías adecuadas.
2. El carácter adecuado del nivel de protección que ofrece el país de destino se
evaluará por la Agencia de Protección de Datos atendiendo a todas las
circunstancias que concurran en la transferencia o categoría de transferencia de
datos. En particular, se tomará en consideración la naturaleza de los datos de
finalidad y la duración del tratamiento o de los tratamientos previstos, el país de
origen y el país de destino final, las normas de Derecho, generales o sectoriales,
vigentes en el país tercero de que se trate, el contenido de los informes de la
Comisión de la Unión Europea, así como las normas profesionales y las medidas
de seguridad en vigor en dichos países.”
“Artículo 34. Excepciones.
Lo dispuesto en el artículo anterior no será de aplicación:
a) Cuando la transferencia internacional de datos de carácter personal resulte de
la aplicación de tratados o convenios en los que sea parte España.
b) Cuando la transferencia se haga a efectos de prestar o solicitar auxilio judicial
internacional.
c) Cuando la transferencia sea necesaria para la prevención o para el diagnóstico
médico, la prestación de asistencia sanitaria o tratamiento médicos o la gestión
de servicios sanitarios.
d) Cuando se refiera a transferencias dinerarias conforme a su legislación
específica.
e) Cuando el afectado haya dado su consentimiento inequívoco a la transferencia
prevista.
44
f) Cuando la transferencia sea necesaria para la ejecución de un contrato entre
el afectado y el responsable del fichero o para la adopción de medidas
precontractuales adoptadas a petición del afectado.
g) Cuando la transferencia sea necesaria para la celebración o ejecución de un
contrato celebrado o por celebrar, en interés del afectado, por el responsable del
fichero y un tercero.
h) Cuando la transferencia sea necesaria o legalmente exigida para la
salvaguarda de un interés público. Tendrá esta consideración la transferencia
solicitada por una Administración fiscal o aduanera para el cumplimiento de sus
competencias.
i) Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa
de un derecho en un proceso judicial.
j) Cuando la transferencia se efectúe, a petición de persona con interés legítimo,
desde un Registro Público y aquélla sea acorde con la finalidad del mismo.
k) Cuando la transferencia tenga como destino un Estado miembro de la Unión
Europea, o un Estado respecto del cual la Comisión de las Comunidades
Europeas, en el ejercicio de sus competencias, haya declarado que garantiza un
nivel de protección adecuado.”
2.1.3. Requisitos.
En esta materia es necesario, también analizar la Instrucción número 1/2000, de
1 de diciembre, de la AEPD, relativa a las normas por las que se rigen los
movimientos internacionales de datos.
Toda transferencia de datos personales a terceros países deberá respetar en
principio todo lo contenido en la Ley de origen (en nuestro caso la
LOPD).
Existen una serie de países declarados como “seguros” por la Comisión Europea
tras el análisis de su legislación interna sobre protección de datos personales.
Fundamentalmente son los países incluidos en el Espacio Económico Europeo.
La transferencia de datos a estos países, en principio requiere únicamente el
respeto a la Ley de origen.
Asimismo existen países con los que la Unión Europea ha suscrito convenios
bilaterales que regulan la transferencia de datos con estos Estados (por ejemplo
el “acuerdo del puerto seguro” con los Estados Unidos).
45
Pero la transferencia de datos a países no declarados como seguros, requiere la
autorización de la AEPD, que la concederá cuando cedente y cesionario
garanticen contractualmente el respeto a los mínimos exigibles marcados tanto
por la AEPD como por la Comisión. (Decisión 2001/497/CE de la Comisión, de
15 de junio de 2001 relativa a las cláusulas tipo para la transferencia
internacional de los datos personales a un tercer país previstas en la Directiva
95/46/CE y Decisión 2002/16/CE de la Comisión, de 27 de diciembre de 2001
relativa a las cláusulas tipo para la transferencia internacional de los datos
personales a los encargados de tratamiento establecidos en terceros países).
La no aplicación del régimen de autorización previa del artículo 33 de la LOPD
en modo alguno exime del cumplimiento de los requisitos y obligaciones legales
propias de las cesiones o comunicaciones de datos, es decir, que la misma se
efectúe a un tercero para el cumplimiento de fines directamente relacionados con
las funciones legítimas del cedente y cesionario y, que la misma cuente con el
previo consentimiento del interesado, otorgado con carácter previo a la cesión y
suficientemente informado de la finalidad a que se destinarán los datos cuya
comunicación se autoriza o el tipo de actividad de aquél a quien se pretenden
comunicar (artículo 11.3 de la LOPD), salvo que se trate de alguno de los
supuestos en que legalmente esta excepcionado dicho consentimiento (artículo
11.2 de la LOPD).
A lo anterior no afecta que la transferencia se efectúe entre sociedades
integradas en un mismo grupo. Se recuerda que toda cesión o transferencia de
datos entre distintas personas jurídicas sean o no pertenecientes al mismo
grupo, será considerada cesión (o transferencia en su caso) por la LOPD por
tanto deberá respetar los requisitos establecidos para la misma.
Asimismo, será preciso que se comunique (aunque no esté sujeta a autorización)
la transferencia a la Agencia Española de Protección de Datos, conforme a lo
previsto en el artículo 6 del Real Decreto 1332/94, de 20 de junio, por el que se
desarrollan algunos preceptos de la Ley Orgánica, en el que se establece en
cuanto a la notificación de ficheros de titularidad privada a la Agencia Española
de Protección de Datos, que la misma deberá especificar "Las transferencias
temporales o definitivas que se prevean realizar a otros países, con expresión
de los mismos".
46
Como hemos visto, el respeto a la Ley de origen para cualquier transferencia
internacional de datos es pieza clave para su legitimidad.
Cuando la transferencia sea para que el cesionario de los datos realice un
tratamiento sobre los datos transferidos sería de aplicación la figura del
encargado del tratamiento (estudiada en la Unidad Temática 2.1.2 de este
Curso). Por tanto, en cumplimiento del artículo 12 de la LOPD, en estos casos
se deberá suscribir un contrato de tratamiento de datos por cuenta de terceros
en el que el encargado de tratamiento deberá asumir las obligaciones
establecidas en el mencionado artículo de la LOPD.
3. RESUMEN.
Se define transferencia internacional de datos como toda transmisión de
los mismos fuera del territorio español. En particular, se consideran como
tales las que constituyan una cesión o comunicación de datos y las que
tengan por objeto la realización de un tratamiento de datos por cuenta del
responsable de fichero.
La transferencia puede consistir en una cesión de datos como tal o el
encargo de un tratamiento sobre un fichero.
Toda transferencia internacional de datos requiere el cumplimiento de la
Ley de origen, en nuestro caso la LOPD.
Existen países declarados como seguros por la Comisión que no están
sujetos a autorización previa de la AEPD para la transferencia de datos a
los mismos. Para la transferencia de datos a países no declarados como
seguros es necesaria la autorización previa de la AEPD.
Toda transferencia de datos requiere ser notificada a la AEPD.
47
10. DERECHOS DE LOS INTERESADOS. DERECHO DE
ACCESO
1. OBJETIVOS.
Conocer el contenido y alcance del derecho de acceso.
2. CONTENIDO.
2.1. EL DERECHO DE ACCESO.
Este derecho viene recogido en el artículo 15 y 17 de la LOPD:
“Artículo 15. Derecho de acceso.
1. El interesado tendrá derecho a solicitar y obtener gratuitamente información
de sus datos de carácter personal sometidos a tratamiento, el origen de dichos
datos así como las comunicaciones realizadas o que se prevén hacer de los
mismos.
2. La información podrá obtenerse mediante la mera consulta de los datos por
medio de su visualización, o la indicación de los datos que son objeto de
tratamiento mediante escrito, copia, telecopia o fotocopia, certificada o no, en
forma legible e inteligible, sin utilizar claves o códigos que requieran el uso de
dispositivos mecánicos específicos.
3. El derecho de acceso a que se refiere este artículo sólo podrá ser ejercitado
a intervalos no inferiores a doce meses, salvo que el interesado acredite un
interés legítimo al efecto, en cuyo caso podrá ejercitarlo antes.”
“Artículo 17. Procedimiento de oposición, acceso, rectificación o cancelación.
1. Los procedimientos para ejercitar el derecho de oposición, acceso, así como
los de rectificación y cancelación serán establecidos reglamentariamente.
2. No se exigirá contraprestación alguna por el ejercicio de los derechos de
oposición, acceso, rectificación o cancelación.”
El Derecho de Acceso es la facultad o capacidad que se reconoce al afectado
de recabar información de sus datos de carácter personal sometidos a
48
tratamiento, el origen de los mismos y las cesiones o comunicaciones realizadas
o que se prevean realizar. Este derecho se ejercerá en intervalos no inferiores a
doce meses ante el mismo responsable, salvo que el interesado acredite un
interés legítimo (artículo
15 de la Ley Orgánica 15/1999, artículo 30 del RD 1720/2007, de 21 de diciembre
(RDLOPD) y las normas 1ª y 2ª de la Instrucción 1/1998 de la Agencia).
2.2. CONTENIDO.
El acceso podrá consistir en la mera consulta de los ficheros por medio de la
visualización, o en la indicación de los datos objeto de tratamiento por escrito,
copia, telecopia, o fotocopia, certificada o no. La información deberá ser legible
e inteligible sin utilizar claves o códigos cualquiera que sea el medio utilizado.
49
En el caso de los ficheros de titularidad privada sólo podrá denegarse el acceso
cuando la solicitud sea llevada a cabo por persona distinta del afectado.
50
Si el responsable del fichero incumple algunas de estas obligaciones, el afectado
podrá interponer la reclamación oportuna, o, en su caso, la denuncia ante la
Agencia de Protección de Datos.
3. RESUMEN.
El derecho de acceso es la facultad o capacidad que se reconoce al
afectado de recabar información de sus datos de carácter personal
sometidos a tratamiento, el origen de los mismos y las cesiones o
comunicaciones realizadas o que se prevean realizar.
No es un derecho absoluto ya que existen determinadas excepciones
vinculadas generalmente a los poderes públicos.
Su ejercicio está sometido a unos requisitos de forma.
La contestación a un derecho de acceso debe hacerse en los treinta días
siguientes a la solicitud.
Este derecho se ejercerá en intervalos no inferiores a doce meses ante el
mismo responsable, salvo que el interesado acredite un interés legítimo.
51
11. DERECHOS DE LOS INTERESADOS.
RECTIFICACIÓN Y CANCELACIÓN
1. OBJETIVOS.
Conocer el contenido y alcance los derechos de rectificación y
cancelación.
2. CONTENIDO
2.1. DERECHOS DE RECTIFICACIÓN Y CANCELACIÓN.
Estos derechos vienen reconocidos en el artículo 16 de la Ley Orgánica 15/1999
y en las normas 1ª y 3ª de la Instrucción 1/98 de la Agencia.
“Artículo 16. Derecho de rectificación y cancelación.
1. El responsable del tratamiento tendrá la obligación de hacer efectivo el
derecho de rectificación o cancelación del interesado en el plazo de diez días.
2. Serán rectificados o cancelados, en su caso, los datos de carácter personal
cuyo tratamiento no se ajuste a lo dispuesto en la presente Ley y, en particular,
cuando tales datos resulten inexactos o incompletos.
3. La cancelación dará lugar al bloqueo de los datos, conservándose únicamente
a disposición de las Administraciones Públicas, Jueces y Tribunales, para la
atención de las posibles responsabilidades nacidas del tratamiento, durante el
plazo de prescripción de éstas.
Cumplido el citado plazo deberá procederse a la supresión.
4. Si los datos rectificados o cancelados hubieran sido comunicados
previamente, el responsable del tratamiento deberá notificar la rectificación o
cancelación efectuada a quien se hayan comunicado, en el caso de que se
mantenga el tratamiento por este último, que deberá también proceder a la
cancelación.
5. Los datos de carácter personal deberán ser conservados durante los plazos
previstos en las disposiciones aplicables o, en su caso, en las relaciones
contractuales entre la persona o entidad responsable del tratamiento y el
interesado”.
“Artículo 32 del RD 1720/2007, de 21 de Diciembre, Derecho de rectificación o
cancelación.
52
1. La solicitud de rectificación deberá indicar a qué datos se refiere y la corrección
que haya de realizarse y deberá ir acompañada de la documentación justificativa
de lo solicitado.
En la solicitud de cancelación, el interesado deberá indicar a qué datos se refiere,
aportando al efecto la documentación que lo justifique, en su caso.
2. El responsable del fichero resolverá sobre la solicitud de rectificación o
cancelación en el plazo máximo de diez días a contar desde la recepción de la
solicitud. Transcurrido el plazo sin que de forma expresa se responda a la
petición, el interesado podrá interponer la reclamación prevista en el artículo 18
de la Ley Orgánica 15/1999, de 13 de diciembre.
En el caso de que no disponga de datos de carácter personal del afectado deberá
igualmente comunicárselo en el mismo plazo.
3. Si los datos rectificados o cancelados hubieran sido cedidos previamente, el
responsable del fichero deberá comunicar la rectificación o cancelación
efectuada al cesionario, en idéntico plazo, para que éste, también en el plazo de
diez días contados desde la recepción de dicha comunicación, proceda,
asimismo, a rectificar o cancelar los datos.
La rectificación o cancelación efectuada por el cesionario no requerirá
comunicación alguna al interesado, sin perjuicio del ejercicio de los derechos por
parte de los interesados reconocidos en la Ley Orgánica 15/1999, de 13 de
diciembre.
2.2. CONCEPTO.
El responsable del fichero tiene la obligación de mantener la exactitud de los
datos tal y como se ha visto al estudiar el principio de calidad de los datos.
Asimismo, en virtud de este principio, los datos personales deben ser cancelados
cuando termina la finalidad con la que han sido obtenidos.
Estos derechos consisten en la facultad o capacidad del afectado por la que
puede instar al responsable del fichero a cumplir con la obligación de mantener
la exactitud de los datos, rectificando o cancelando los datos de carácter
personal cuando resulten incompletos o inexactos, o bien sean inadecuados o
excesivos, en su caso, o cuyo tratamiento no se ajuste a la Ley.
53
Cuando los datos rectificados o cancelados hubieran sido cedidos previamente,
el responsable del fichero deberá notificar la rectificación y cancelación
efectuada al cesionario.
No obstante los datos de carácter personal deberán ser conservados durante los
plazos previstos en las disposiciones aplicables o, en su caso, en las relaciones
contractuales entre la persona o entidad responsable del tratamiento y el
interesado.
2.3. REQUISITOS.
Se ejercen de forma gratuita mediante solicitud o petición dirigida al responsable
del fichero, formulada mediante cualquier medio que garantice la identificación
del afectado (D.N.I. u otro medio análogo) y en la que consten los datos que hay
que cancelar o rectificar y el fichero o ficheros en que se encuentran.
La petición en que se concreta la solicitud deberá contener el domicilio a efectos
de notificaciones, fecha y firma del solicitante y acompañar fotocopia del DNI.
La solicitud de rectificación deberá indicar el dato que es erróneo y la corrección
que debe realizarse y deberá ir acompañada de la documentación justificativa de
la rectificación solicitada, salvo que la misma dependa exclusivamente del
consentimiento del interesado.
En la solicitud de cancelación, el interesado deberá indicar si revoca el
consentimiento otorgado, en los casos en que la revocación proceda, o si, por el
contrario, se trata de un dato erróneo o inexacto, en cuyo caso deberá
acompañar la documentación justificativa.
El interesado deberá utilizar cualquier medio que permita acreditar el envío y la
recepción de la solicitud.
54
Si los datos rectificados o cancelados hubieran sido cedidos previamente, el
responsable del fichero deberá notificar la rectificación o cancelación efectuada
al cesionario.
Si el responsable del fichero considera que no procede acceder a lo solicitado
se lo comunicará motivadamente en el plazo de diez días.
La cancelación dará lugar al bloqueo de los datos, conservándose únicamente a
disposición de las Administraciones Públicas, Jueces y Tribunales, para la
atención de las posibles responsabilidades nacidas del tratamiento, durante el
plazo de prescripción de éstas. Cumplido el citado plazo deberá procederse a la
supresión.
Si el responsable del fichero incumple algunas de estas obligaciones, el afectado
podrá interponer la oportuna reclamación, o, en su caso, denuncia ante la
Agencia de Protección de Datos.
55
Asimismo se permite la conservación de los datos de clientes durante 15 años
(este es el plazo establecido en el artículo 1964 del Código Civil para la
prescripción de las acciones personales), de proveedores durante 6 años
(artículo 30 del Código de Comercio) y 5 años para los datos de los empelados
(Ley sobre Infracciones y Sanciones en el orden social, Ley General de
Seguridad Social y la Ley de Prevención de Riesgos Laborales).
Estos datos se deberán conservar bloqueados únicamente a disposición de las
Administraciones Públicas, Jueces y Tribunales, para la atención de posibles
responsabilidades derivadas del tratamiento, durante el plazo de prescripción de
éstas. El bloqueo de datos consiste en su conservación, de una forma separada
de los demás datos personales con los que cuente la organización y con acceso
restringido únicamente a personas debidamente autorizadas. Una vez cumplidos
los plazos de prescripción se deberá proceder al borrado físico de los mismos.
El bloqueo también procederá cuando, siendo pertinente la cancelación, no sea
posible llevarla a cabo por razones físicas o técnicas.
3. RESUMEN.
Estos derechos consisten en la facultad o capacidad del afectado por la
que puede instar al responsable del fichero a cumplir con la obligación de
mantener la exactitud de los datos, rectificando o cancelando los datos de
carácter personal cuando resulten incompletos o inexactos, o bien sean
inadecuados o excesivos, en su caso, o cuyo tratamiento no se ajuste a
la Ley.
Su ejercicio está sujeto a requisitos de forma.
Asimismo, no es absoluto ya que tiene excepciones fundamentalmente en
el ámbito público.
Los datos personales se pueden conservar de forma bloqueada incluso
habiendo culminado la finalidad que motivó su obtención hasta que
prescriban las eventuales acciones civiles, mercantiles, laborales, penales
o administrativas o de cualquier otra índole que pudieran derivarse del
tratamiento efectuado. Una vez pasados estos plazos de prescripción los
datos deberán destruirse físicamente.
56
12. DERECHOS DE LOS INTERESADOS. OTROS
DERECHOS
1. OBJETIVOS
Conocer los derechos que asisten al interesado. Concretamente el
derecho a impugnación, el derecho a consulta en el Registro General de
Protección de datos y el derecho a indemnización.
2. CONTENIDO.
Los derechos a que se hace referencia a continuación tienen carácter
personalísimo, por lo que sólo pueden ejercerse por parte del afectado.
Podrá, no obstante, actuar su representante legal cuando el afectado se
encuentre en situación de minoría de edad o este declarado incapaz para el
ejercicio de sus derechos.
57
individuos partiendo de información aparentemente irrelevante. Estos perfiles
pueden corresponderse con la realidad o no, es decir, existe un margen de error.
Son simplemente los resultados de cruzar información a través de un software
especializado, pero con los grandes avances que se están dando en todas las
disciplinas, estos perfiles son cada vez más acertados o ajustados. El problema
reside en que pueden condicionar la vida de los afectados si no existiera una
norma que lo impidiese, en nuestro caso la LOPD.
El afectado puede impugnar los actos administrativos o decisiones privadas que
impliquen una valoración de su comportamiento cuyo único fundamento sea un
tratamiento de datos de carácter personal que ofrezca una definición de sus
características o personalidad (artículo 13 de la LOPD). La LOPD no admite que
una persona pueda verse sometida a una decisión con trascendencia jurídica,
basada únicamente en el resultado que ha dado el tratamiento informatizado de
la información concerniente a su persona.
58
La principal información que facilita la Agencia es la dirección de la oficina o
dependencia del responsable del fichero o tratamiento ante la que se ejercen los
derechos de acceso, rectificación, cancelación y oposición. Es el responsable
del fichero el que dispone de los datos y el que puede rectificarlos o cancelarlos,
o dar acceso al afectado sobre mismos.
La función de la Agencia es informar al afectado para que pueda ejercer los
derechos que la Ley Orgánica le reconoce. Para el caso de que el responsable
del fichero desatienda la solicitud del afectado está previsto el Procedimiento de
Tutela de Derechos que consiste básicamente en que será la Agencia la que se
dirigirá en nombre del interesado, al responsable que le ha denegado sus
derechos. En el supuesto que el responsable tampoco cumpla con sus
obligaciones, la Agencia puede abrir el correspondiente procedimiento
sancionador.
59
Justicia y demostrar dicho perjuicio solicitando la indemnización por daños y
perjuicios que corresponda.
3. RESUMEN
La impugnación de valoraciones consiste en que nadie puede verse
sometido a una decisión con trascendencia jurídica, basada
exclusivamente en un tratamiento informático de la información
concerniente a su persona.
El Registro General de Protección de Datos en la Agencia de Protección
de Datos tiene asignada la misión de dar a conocer la existencia de los
ficheros o tratamientos de datos de carácter personal, para hacer posible
el ejercicio de los derechos de acceso, rectificación, cancelación y
oposición. Es el responsable del fichero, no la AEPD, el que dispone de
los datos y el que puede rectificarlos o cancelarlos, o dar acceso al
afectado sobre mismos.
Las multas de la AEPD, son sanciones administrativas que no van a parar
a manos del interesado. Si el interesado quiere resarcirse por el perjuicio
causado por el tratamiento ilegítimo de sus datos deberá acudir a los
Jueces y Tribunales.
60
1. OBJETIVOS
Conocer la naturaleza, regulación normativa, régimen jurídico y estructura
de la Agencia Española de protección de Datos de Carácter Personal.
Conocer las funciones de la Agencia Española de Protección de Datos de
Carácter Personal, su capacidad inspectora y de instrucción de
procedimientos tanto de tutela de derechos como de procedimientos
sancionadores.
2. CONTENIDO.
2.1. NATURALEZA Y REGIMEN JURIDICO.
La Agencia Española de Protección de Datos es un ente de derecho público, con
personalidad jurídica propia y plena capacidad pública y privada. Actúa con plena
independencia de las Administraciones Públicas en el ejercicio de sus funciones.
2.2. FUNCIONES.
o Su finalidad principal es velar por el cumplimiento de la legislación sobre
protección de datos personales y controlar su aplicación, en especial en
lo relativo a los derechos de información, acceso, oposición, rectificación
y cancelación de datos.
o La Agencia Española de Protección de Datos atenderá a las peticiones y
reclamaciones de los afectados, les informará de sus derechos
reconocidos en la Ley y promoverá campañas de difusión a través de los
medios.
o En relación a aquellos responsables del tratamiento de datos la Agencia
Española de Protección de Datos será la competente para emitir aquellas
autorizaciones previstas en la Ley como la dispuesta en el artículo 33 de
la LOPD para el movimiento internacional de datos a países que no
proporcionen un nivel de protección equiparable al que presta la
normativa española sobre protección de datos.
o La Agencia podrá exigir a los responsables de los ficheros o a aquellos
que traten datos de carácter personal las medidas de corrección que
considere oportunas, podrá incluso ordenar, en caso de ilegalidad, el cese
en el tratamiento y la cancelación de los datos.
61
o La Agencia Española tiene atribuida la potestad sancionadora por lo que
podrá abrir expedientes sancionadores a los responsables de los ficheros,
tanto de oficio como por denuncia. Para ello podrá recabar la ayuda e
información que precise para el desarrollo de sus funciones.
62
3. RESUMEN.
La Agencia Española de Protección de Datos es el ente público encargado de
velar por el cumplimiento de la LOPD, y tiene atribuidas funciones normativas,
inspectoras y sancionadoras.
La Agencia Española de Protección de Datos es un ente de derecho público, con
personalidad jurídica propia y plena capacidad pública y privada. Actúa con plena
independencia de las Administraciones Públicas en el ejercicio de sus funciones.
Asimismo tiene asignada la misión de realizar acciones conducentes a la difusión
y conocimiento de la normativa de protección de datos.
Algunos de las obligaciones impuestas por la vigente normativa de comercio
electrónico son fiscalizadas por la AEPD, teniendo especial relevancia su labor
en la lucha contra el spam o correo electrónico no solicitado.
63
14. LAS AGENCIAS AUTONÓMICAS DE PROTECCIÓN
DE DATOS
1. OBJETIVOS
Conocer el origen de la Agencia Española de Protección de Datos.
Conocer y diferenciar la Agencia Española de Protección de Datos de las
Agencias Autonómicas de Protección de Datos.
2. CONTENIDO.
2.1. LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS. ORIGEN.
64
La Agencia de Protección de Datos de la Comunidad de Madrid tiene como
finalidad garantizar y proteger los derechos fundamentales de las personas
físicas respecto al honor e intimidad familiar y personal, en lo relativo al
tratamiento de sus datos personales. Sus competencias versan sobre los
ficheros de titularidad pública creados o gestionados por la Comunidad
Autónoma de Madrid, Entes que integran la Administración Local de su ámbito
territorial, Universidades públicas y Corporaciones de derecho público
representativas de intereses económicos y profesionales de la misma.
65
Velar por el cumplimiento de la legislación vigente sobre protección de datos de
carácter personal y controlar su aplicación, velar por el cumplimiento de las
disposiciones que la Ley de estadística de Cataluña dispone respecto a la
recogida de datos estadísticos y al secreto estadístico, dictar, si procede y sin
perjuicio de competencias de otros órganos, las instrucciones necesarias, entre
otras.
3. RESUMEN.
La Ley Orgánica de Protección de Datos prevé la creación de Autoridades de
Control de protección de datos en las Comunidades Autónomas, Autoridades
que tendrán funciones muy similares a la Agencia Española de Protección de
Datos pero solo tendrán autoridad sobre aquellos ficheros con datos de carácter
personal creados o gestionados por las mismas Comunidades Autónomas y por
las Administraciones Locales de su ámbito territorial, es decir, tendrán control
sobre aquellos ficheros públicos creados por estas Administraciones y no sobre
66
aquellos ficheros de titularidad privada cuyo control seguirá correspondiendo a
la Agencia Española de Protección de Datos.
67
15. LA INSCRIPCIÓN DE FICHEROS
1. OBJETIVOS
Conocer la existencia y objetivo del Registro General de Protección de
Datos.
Saber qué, cómo y quién debe inscribir los ficheros en el Registro General
de Protección de Datos.
Aprender a inscribir los ficheros en el Registro General de Protección de
Datos.
2. CONTENIDO
2.1. REGISTRO GENERAL DE PROTECCIÓN DE DATOS.
Es el órgano de la AEPD al que corresponde velar por la publicidad de la
existencia de los ficheros y tratamientos de datos de carácter personal, con miras
a hacer posible el ejercicio de los derechos de información, acceso, rectificación
y cancelación de datos regulados en los artículos 14 a 17 de la LODP. Según el
artículo 14 de la Ley Orgánica 15/1999, cualquier persona podrá conocer,
recabando a tal fin la información oportuna del RGPD, la existencia de
tratamientos de datos de carácter personal, sus finalidades y la identidad del
responsable del fichero o tratamiento. El RGPD será de consulta pública y
gratuita.
68
o Los datos relativos a los ficheros que sean necesarios para el ejercicio de
los derechos de información, acceso, rectificación, cancelación y
oposición.
2.2.2. Obligados a notificar la creación de ficheros para su inscripción en
el RGPD.
Toda persona o entidad, de naturaleza pública o privada que proceda a la
creación de ficheros de datos de carácter personal lo notificará previamente a la
Agencia Española de Protección de Datos. La inscripción del fichero en el RGPD
debe ser previa a su creación.
Cualquier modificación posterior en el contenido de la inscripción de un fichero
en el RGPD, deberá comunicarse a la Agencia Española de Protección de Datos,
mediante una solicitud de modificación o de supresión de la inscripción, según
corresponda. En ambos casos será necesario citar el Código de Inscripción
asignado por el RGPD al fichero.
2.2.3. La Inscripción.
Dependiendo de la titularidad del fichero, pública o privada, se cumplimentará y
presentará en la Agencia Española de Protección de Datos el correspondiente
modelo de notificación, utilizando para ello, utilizando para ello, cualquiera de los
medios siguientes:
_ Formas de presentación de la Notificación:
o A través de Internet con certificado de firma electrónica reconocido.
o A través de Internet sin certificado de firma electrónica reconocido.
o En soporte papel impreso con código de barras bidimensional PDF 417.
_ Como presentar la notificación:
La inscripción de ficheros en la AEPD se realizará a través del sistema de
Notificaciones Telemáticas a la AEPD (NOTA), que permite a los responsables
de ficheros con datos de carácter personal de titularidad pública y de titularidad
privada cumplir con esa obligación.
Las notificaciones realizadas a través de Internet con certificado de firma
electrónica se remiten al Registro Telemático de la AEPD, una vez
cumplimentada la Notificación y la Hoja de solicitud de forma correcta, se indicará
en el formulario que no se realizarán más cambios mediante el botón «Finalizar
formulario» antes de proceder a la firma de la notificación. En este momento
69
aparecerá un icono en el lugar previsto para la firma de la persona que efectúa
la notificación.
Una vez firmada, se enviará la notificación mediante el formulario electrónico al
Registro Telemático de la AEPD mediante el botón
Una vez recibida la notificación en el Registro Telemático de la AEPD, se emitirá
por el mismo medio un mensaje de confirmación de la solicitud, en el que
constarán los datos proporcionados por el interesado, junto con la acreditación
de la fecha y hora en que produjo la recepción y una clave de identificación de
la transmisión. El mensaje de confirmación se configurará de forma que pueda
ser impreso o archivado informáticamente por el interesado y que garantizará la
identidad del registro y tendrá el valor de recibo de presentación.
Las notificaciones realizadas a través de Internet sin firma electrónica, una vez
cumplimentada la notificación y la Hoja de solicitud de forma correcta, deberán
ser enviadas mediante el formulario electrónico pulsando el botón
«Generar/Enviar» que se encuentra en la Hoja de solicitud. El formulario le
indicará que se está conectando con el servidor de la AEPD y, acto seguido, el
sistema le enviará la Hoja de solicitud (en formato PDF) que confirma que la
notificación ha sido enviada correctamente. Dicha Hoja de solicitud, firmada por
la persona que efectúa la notificación, es la que deberá remitir a la AEPD.
Las notificaciones en soporte papel y en soporte informático (disquete, CDROM)
deben enviarse a la dirección de la AEPD.
70
distintos ficheros físicos repartidos en distintas aplicaciones (Access, Excel,
bases de datos de aplicaciones específicas, etc) pero que sean todos utilizados
con la misma finalidad (p. e. la gestión de clientes).
En este caso, aunque físicamente existan diferentes ficheros, jurídicamente
existe un único fichero de clientes que tendrá que ser objeto de inscripción, es
decir, no hay que inscribir cada tabla o cada base de datos existente sino que
hay que inscribir el conjunto de ficheros que responda a una única finalidad como
único fichero. De la misma manera, en el supuesto de que un único fichero físico
sea utilizado para finalidades distintas, habrá que hacer tantas inscripciones
como finalidades tenga este fichero.
3. RESUMEN
El objetivo del Registro General de Protección de datos es velar por la publicidad
de los ficheros sin que la inscripción implique por si misma el cumplimiento del
resto de obligaciones de la normativa de protección de datos. La no inscripción
de los ficheros en el Registro es sancionable por la AEPD.
El concepto de fichero para su inscripción es un concepto lógico de fichero, no
un concepto físico puesto que la existencia de un fichero viene determinada por
su finalidad. Un fichero físico que sea utilizado con diferentes finalidades implica
jurídicamente la existencia de tantos ficheros como finalidades tenga el fichero.
71
1. OBJETIVOS
Distinguir aquellos ficheros sobre solvencia patrimonial y crédito de los
ficheros relativos a cumplimientos o incumplimientos de obligaciones
dinerarias.
Comprender el significado y relevancia del artículo 29 de la Ley Orgánica
de Protección de Datos: “Prestación de servicios de información sobre
solvencia patrimonial y crédito”.
2. CONTENIDO.
2.1. PRESTACIÓN DE SERVICIOS DE INFORMACION SOBRE
SOLVENCIA PATRIMONIAL Y CREDITO.
72
de morosos. El acreedor es la persona, física o jurídica, que ostenta un crédito
contra el afectado; el afectado es la persona física que resulta obligada al pago
del crédito; y la empresa que gestiona el fichero de morosos es aquella que
recibe, por parte del acreedor, una solicitud de inclusión en su registro de
morosidad de los datos del afectado por el incumplimiento de pago de una
deuda.
El artículo 29.2 de la LOPD establece lo siguiente:
“Podrán tratarse también datos de carácter personal relativos a cumplimiento o
incumplimiento de obligaciones dinerarias facilitados por el acreedor o por quien
actúe por su cuenta o interés. En estos casos se notificará a los interesados
respecto de los que hayan registrado datos de carácter personal en ficheros, en
el plazo máximo de treinta días desde dicho registro, una referencia de los que
hubiesen sido incluidos y se les informará de su derecho a recabar información
de la totalidad de ellos, en los términos establecidos por la presente Ley”
Estos ficheros hacen referencia a cumplimientos o incumplimientos de
obligaciones dinerarias, por tanto, los datos que forman parte de estos ficheros,
tal y como establece el artículo 29.2 de la LOPD, deben ser obtenidos del
acreedor o por quien actúe por su cuenta o interés siempre que:
o Exista una deuda previa, cierta, vencida y exigible, que haya resultado
impagada.
o Haya habido un requerimiento previo de pago a quien corresponda, en su
caso, el cumplimiento de la obligación.
No podrán incluirse en los ficheros de esta naturaleza datos personales sobre
los que exista un principio de prueba documental que aparentemente contradiga
alguno de los requisitos anteriores. Tal circunstancia determinará igualmente la
desaparición cautelar del dato personal desfavorable en los supuestos en que
ya se hubiera efectuado su inclusión en el fichero de morosidad. En este caso,
será el acreedor el responsable de notificar en el menor tiempo posible, la
modificación o cancelación del dato a la empresa responsable del registro de
morosos.
Cuando una persona es incluida en un fichero de morosidad, será la empresa
responsable del registro de morosos la encargada de notificar al interesado,
respecto de los datos de carácter personal que hayan registrado en sus ficheros,
en el plazo de treinta días desde dicho registro, una referencia de los datos que
73
hubiesen sido incluidos y se le informará de su derecho a recabar información
de la totalidad de ellos.
No es necesario el consentimiento del afectado para la inclusión de sus datos en
ese tipo de ficheros, no obstante, éste podrá solicitar la cancelación de sus datos
presentando la documentación que acredite que no resulta obligado al pago del
crédito.
Hasta la entrada en vigor de la LOPD cuando una persona era incluida en un
fichero de morosos se le mantenía indefinidamente registrada en el mismo.
Aunque hubiera pagado su deuda continuaba en el fichero de morosidad con
saldo cero. Esto se hacía así, porque a las entidades de crédito les interesaba
tener la información de aquellas personas que alguna vez en su vida habían
resultado morosas.
Con la entrada en vigor de la LOPD, el pago de la deuda por parte del afectado
implica automáticamente la cancelación de sus datos en el fichero de morosos
quedando absolutamente prohibido mantener sus datos en el referido fichero con
saldo cero. Asimismo, la LOPD ha establecido un límite temporal máximo de
permanencia de seis años en estos ficheros.
2.1.3. Características comunes.
En los supuestos a que se refieren los dos apartados anteriores, cuando el
interesado lo solicite, el responsable del tratamiento le comunicará los datos, así
como las evaluaciones y apreciaciones que sobre el mismo hayan sido
comunicadas durante los últimos seis meses y el nombre y dirección de la
persona o entidad a quien se hayan revelado los datos.
Sólo se podrán registrar y ceder los datos de carácter personal que sean
determinantes para enjuiciar la solvencia económica de los interesados y que no
se refieran, cuando sean adversos, a más de seis años, siempre que respondan
con veracidad a la situación actual de aquéllos.
3. RESUMEN
El artículo 29 de la LOPD recoge dos tipos de ficheros:
Ficheros de solvencia patrimonial y crédito: revelan la solvencia positiva
o negativa de los afectados y los datos contenidos en los mismos solo
pueden obtenerse del propio interesado o de una fuente accesible al
público destinada al efecto.
74
Ficheros de cumplimiento o incumplimiento de obligaciones dinerarias:
revelan el incumplimiento de obligaciones dinerarias y los datos
contenidos en los mismos son suministrados por el acreedor que ostenta
el crédito contra el afectado no siendo necesario el consentimiento de
éste. El interesado tiene derecho a ser informado de la inclusión de sus
datos en estos ficheros en el plazo de un mes desde su inclusión y existe
un plazo máximo de permanencia de seis años.
75
17. LAS MEDIDAS DE SEGURIDAD DETERMINACIÓN
DEL NIVEL DE SEGURIDAD
1. OBJETIVOS.
Aprender a asignar el nivel de seguridad aplicable en función de la
sensibilidad de los datos tratados en una organización.
2. CONTENIDO.
2.1. REGULACIÓN LEGAL DE LAS MEDIDAS DE SEGURIDAD.
El artículo 9 de la LOPD, establece que el responsable del fichero y, en su caso,
el encargado del tratamiento, deberán adoptar las medidas técnicas y
organizativas que garanticen la seguridad de los datos de carácter personal y
eviten su alteración, pérdida, tratamiento o acceso no autorizado.
Este artículo ha sido desarrollado por el Real Decreto 1720/2007, de 21 de
Diciembre por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica
15/1999, de 13 de Diciembre, de protección de datos de carácter personal para
ficheros que contengan datos de carácter personal (RDLOPD).
El RDLOPD, será la norma de referencia a la hora de establecer tanto el nivel de
seguridad a cumplir, como las medidas de seguridad a implantar. Este
Reglamento establece tres niveles de seguridad, básico, medio y alto, que
dependen de la sensibilidad de los datos tratados. Por tanto, el primer paso a
seguir, es la determinación del nivel de seguridad necesario, para seguidamente
analizar las medidas de seguridad que corresponden a cada nivel.
76
2.2.1.1. Datos de Ideología, religión, creencias y afiliación sindical: la pertenencia
a una confesión religiosa, sindicato, partido político etc., son considerados datos
de nivel alto. Por ejemplo, la retención de la cuota sindical por el departamento
de recursos humanos, es un dato de nivel alto al revelar la afiliación sindical.
La asignación tributaria a la Iglesia Católica en la declaración del IRPF, también
es considerado un dato de nivel alto por la AEPD.
2.2.1.2. Datos de salud: En principio son aquellos datos que revelan el estado de
salud presente, pasado o futuro, físico o mental del interesado. Por ejemplo, el
porcentaje de minusvalía de un trabajador en el fichero de nómina es
considerado un dato de salud. Asimismo las altas y bajas, asociadas a accidente
laboral, enfermedad profesional o enfermedad común son datos de nivel alto.
2.2.1.3. Datos de origen racial: tras la experiencia de la II Guerra Mundial, el
almacenamiento de este tipo de datos está ciertamente restringido a casos
excepcionales.
2.2.1.4. Datos de vida sexual: son aquellos datos que pueden revelar las
tendencias o inclinaciones sexuales del interesado.
2.2.1.5. Datos recabados para fines policiales sin el consentimiento del
interesado: Son aquellos datos que los cuerpos y fuerzas de seguridad pueden
recabar en una investigación, siempre que esté en juego la seguridad ciudadana
o la persecución de un delito.
Sin embargo, se producirá una disminución del nivel de seguridad, de alto a bajo,
en lo relativo a ficheros o tratamientos de datos de ideología, afiliación sindical,
religión, creencias, origen racial, salud o vida sexual cuando:
o Los datos se utilicen con la única finalidad de realizar una transferencia
dineraria a las entidades de las que los afectados sean asociados o
miembros (por ejemplo el pago de la cuota sindical a través de la nómina).
o Se trate de ficheros o tratamientos no automatizados en los que de forma
incidental o accesoria se contengan aquellos datos sin guardar relación
con su finalidad.
o Los ficheros o tratamientos que contengan datos relativos a la salud,
referentes exclusivamente al grado de discapacidad o la simple
declaración de la condición de discapacidad o invalidez del afectado, con
motivo del cumplimiento de deberes públicos.
2.2.2. Datos de nivel medio.
77
2.2.2.1. Datos relativos a la comisión de infracciones penales o administrativas:
son los datos relativos a las sanciones administrativas y penales impuestas por
la Administración Pública y los Tribunales de Justicia.
2.2.2.2. Datos de Hacienda Pública: Son aquellos datos cuyo responsable sea la
Hacienda Pública Estatal, la de una Comunidad Autónoma, o la Local. Por
ejemplo, los datos fiscales de clientes, que sean objeto de tratamiento por una
asesoría (que no tiene la condición de Administración Pública) no son datos de
Hacienda Pública. Los datos de recaudación de un Ayuntamiento, sí son datos
de Hacienda Pública.
2.2.2.3. Datos de servicios financieros: el RDLOPD no especifica lo que se debe
entender por servicio financiero, pero en principio son aquellos datos de carácter
financiero tratados por entidades financieras. Por ejemplo, un tipo de datos que
suelen generar dudas interpretativas, son los referentes al número de la cuenta
bancaria o tarjeta de crédito. Estos datos son de nivel básico, puesto que es
distinto conocer un número de cuenta bancaria, que prestar el servicio bancario
como tal. La entidad financiera que preste el servicio financiero correspondiente,
tendrá que adoptar el nivel medio de seguridad. La Agencia Española de
Protección de Datos para clasificar este tipo de datos recurre a la Clasificación
Nacional de Actividades Económicas aprobada por el Real Decreto 1560/1992
(en concreto los epígrafes 65 y 67.1).
En cuanto al mercado de seguros y planes de pensiones la AEPD es proclive a
considerar estas actividades como servicios financieros.
2.2.2.4. Datos de solvencia patrimonial y crédito: son los relativos al
cumplimiento o incumplimiento de obligaciones dinerarias conocidos como
ficheros de “morosos” así como los ficheros de información sobre solvencia
patrimonial. Pero no hay que confundirlos con los ficheros internos de impagados
que una empresa pueda tener. Se refiere a los ficheros de consulta pública
establecidos en el artículo 29 de la LOPD.
2.2.2.5. Datos que permitan obtener la permiten elaborar la personalidad de un
individuo: un ejemplo clásico de este tipo de datos, pueden ser aquellos
obtenidos de un test psicotécnico en un proceso de selección.
2.2.3. Datos de nivel básico
2.2.3.1. Son todos los demás datos relativos a personas físicas identificadas o
identificables.
78
A continuación le presentamos un cuadro resumen de las diferentes categorías
de datos clasificadas por niveles de seguridad:
79
políticas de seguridad específicas para los tratamientos de datos en soporte
papel.
En resumen, algunas de las medidas a adoptar con este tipo de ficheros serán
las siguientes:
o El acceso a los documentos se realizará sólo por persona autorizada.
o Las empresas establecerán políticas adecuadas para facilitar la
conservación, localización y consulta de la información.
o Los archivadores donde se encuentre la documentación deberán
establecer las medidas adecuadas para evitar el acceso por personas
autorizadas.
o El responsable de seguridad designado coordina y controla la aplicación
de las medidas de seguridad en ficheros en soporte papel.
o Se realizará una auditoría bienal de los ficheros en soporte papel.
o La sala en la que se encuentran los armarios o archivadores que
almacenen datos de carácter personal de nivel alto permanecerá cerrada
mediante llave u otro dispositivo equivalente mientras no sea necesario el
acceso a documentos.
o La copia o reproducción de los documentos sólo podrá realizarse bajo el
control del personal autorizado.
o Se registrará el acceso por personal autorizado a la documentación que
pueda ser utilizada por múltiples usuarios.
o En el trabajo de la información se adoptarán medidas para evitar su
manipulación.
3 RESUMEN
La implantación de medidas de seguridad tanto técnicas como
organizativas que garanticen la confidencialidad e integridad de los datos
personales es una obligación para el tratamiento de estos datos.
Existen tres niveles de seguridad, básico, medio y alto que se implantarán
en función de la sensibilidad de los datos tratados.
80
18. LAS MEDIDAS DE SEGURIDAD DE NIVEL BÁSICO
1. OBJETIVOS.
Conocer las medidas de seguridad, tanto técnicas como organizativas de
nivel básico.
81
2. CONTENIDO.
2.1. MEDIDAS DE SEGURIDAD DE NIVEL BÁSICO.
El Real Decreto 1720/2007, de 21 de Diciembre por el que se aprueba el
Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de Diciembre, de
protección de datos de carácter personal para ficheros que contengan datos de
carácter personal. Tal y como se ha estudiado en la Unidad Temática 3.1.1 del
presente Curso, existen tres niveles de seguridad, básico, medio y alto que se
aplicarán en función de la sensibilidad de los datos tratados. En esta unidad
estudiaremos las medidas correspondientes a un nivel básico que son las que a
continuación se relacionan:
2.1.1. Documento de seguridad.
“Artículo 88. Documento de seguridad.
1. El responsable del fichero o tratamiento elaborará un documento de seguridad
que recogerá las medidas de índole técnica y organizativa acordes a la normativa
de seguridad vigente que será de obligado cumplimiento para el personal con
acceso a los sistemas de información.
2. El documento de seguridad podrá ser único y comprensivo de todos los
ficheros o tratamientos, o bien individualizado para cada fichero o tratamiento.
También podrán elaborarse distintos documentos de seguridad agrupando
ficheros o tratamientos según el sistema de tratamiento utilizado para su
organización, o bien atendiendo a criterios organizativos del responsable. En
todo caso, tendrá el carácter de documento interno de la organización.
3. El documento deberá contener, como mínimo, los siguientes aspectos:
a) Ámbito de aplicación del documento con especificación detallada de los
recursos protegidos.
b) Medidas, normas, procedimientos de actuación, reglas y estándares
encaminados a garantizar el nivel de seguridad exigido en este reglamento.
c) Funciones y obligaciones del personal en relación con el tratamiento de los
datos de carácter personal incluidos en los ficheros.
d) Estructura de los ficheros con datos de carácter personal y descripción de los
sistemas de información que los tratan.
e) Procedimiento de notificación, gestión y respuesta ante las incidencias.
82
f) Los procedimientos de realización de copias de respaldo y de recuperación de
los datos en los ficheros o tratamientos automatizados.
g) Las medidas que sea necesario adoptar para el transporte de soportes y
documentos, así como para la destrucción de los documentos y soportes, o en
su caso, la reutilización de estos últimos.
4. En caso de que fueran de aplicación a los ficheros las medidas de seguridad
de nivel medio o las medidas de seguridad de nivel alto, previstas en este título,
el documento de seguridad deberá contener además:
a) La identificación del responsable o responsables de seguridad.
b) Los controles periódicos que se deban realizar para verificar el cumplimiento
de lo dispuesto en el propio documento.
5. Cuando exista un tratamiento de datos por cuenta de terceros, el documento
de seguridad deberá contener la identificación de los ficheros o tratamientos que
se traten en concepto de encargado con referencia expresa al contrato o
documento que regule las condiciones del encargo, así como de la identificación
del responsable y del período de vigencia del encargo.
6. En aquellos casos en los que datos personales de un fichero o tratamiento se
incorporen y traten de modo exclusivo en los sistemas del encargado, el
responsable deberá anotarlo en su documento de seguridad. Cuando tal
circunstancia afectase a parte o a la totalidad de los ficheros o tratamientos del
responsable, podrá delegarse en el encargado la llevanza del documento de
seguridad, salvo en lo relativo a aquellos datos contenidos en recursos propios.
Este hecho se indicará de modo expreso en el contrato celebrado al amparo del
artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, con especificación
de los ficheros o tratamientos afectados.
En tal caso, se atenderá al documento de seguridad del encargado al efecto del
cumplimiento de lo dispuesto por este reglamento.
7. El documento de seguridad deberá mantenerse en todo momento actualizado
y será revisado siempre que se produzcan cambios relevantes en el sistema de
información, en el sistema de tratamiento empleado, en su organización, en el
contenido de la información incluida en los ficheros o tratamientos o, en su caso,
como consecuencia de los controles periódicos realizados. En todo caso, se
entenderá que un cambio es relevante cuando pueda repercutir en el
cumplimiento de las medidas de seguridad implantadas.
83
8. El contenido del documento de seguridad deberá adecuarse, en todo
momento, a las disposiciones vigentes en materia de seguridad de los datos de
carácter personal”
El documento de seguridad es el documento principal de obligado cumplimiento
para todo el personal que tenga acceso a datos personales de la organización y
debe recoger las medidas de seguridad tanto técnicas como organizativas
implantadas. Corresponde al responsable del fichero su elaboración y
aprobación. Es un documento que únicamente habrá que exhibirlo en caso de
inspección de la AEPD, es decir, no está sujeto a ningún procedimiento de
registro o presentación para su aprobación ante la Administración Pública.
Deberá contener como mínimo:
Ámbito de aplicación.
Medidas, normas, procedimientos, reglas y estándares que garanticen el
nivel de seguridad.
Funciones y obligaciones del personal.
Estructura de los ficheros y descripción de los sistemas de información
(Inventario de hardware y software así como de ficheros con datos
personales, estableciendo los recursos que los tratan)
Procedimiento de notificación, gestión y respuesta de las incidencias de
seguridad.
Procedimientos de realización de copias de respaldo y de recuperación
de los datos.
2.1.2. Las funciones del personal.
“Artículo 89. Funciones y obligaciones del personal.
1. Las funciones y obligaciones de cada uno de los usuarios o perfiles de
usuarios con acceso a los datos de carácter personal y a los sistemas de
información estarán claramente definidas y documentadas en el documento de
seguridad.
También se definirán las funciones de control o autorizaciones delegadas por el
responsable del fichero o tratamiento.
2. El responsable del fichero o tratamiento adoptará las medidas necesarias para
que el personal conozca de una forma comprensible las normas de seguridad
que afecten al desarrollo de sus funciones así como las consecuencias en que
pudiera incurrir en caso de incumplimiento”..
84
Deben estar claramente definidas y documentadas. Es decir, el documento de
seguridad deberá recoger una relación del personal con acceso a datos
personales, estableciendo las funciones y accesos autorizados para cada uno
de ellos. El objetivo consiste, en que cada usuario únicamente pueda acceder a
aquellos datos y recursos que necesite para desarrollar su trabajo.
85
usuario que intente acceder al sistema de información y la verificación de que
está autorizado.
3. Cuando el mecanismo de autenticación se base en la existencia de
contraseñas existirá un procedimiento de asignación, distribución y
almacenamiento que garantice su confidencialidad e integridad.
4. El documento de seguridad establecerá la periodicidad, que en ningún caso
será superior a un año, con la que tienen que ser cambiadas las contraseñas
que, mientras estén vigentes, se almacenarán de forma ininteligible.
Todo usuario con acceso a datos personales debe tener un usuario
(identificación) y contraseña (autenticación), que le permitirán el acceso
únicamente a aquellos datos que sean precisos para el desarrollo de sus
funciones. Estas contraseñas deben ser seguras (p.e. número mínimo de
caracteres, alternar mayúsculas y minúsculas, no introducir información
directamente relacionada con el usuario etc) y debe haber un procedimiento de
asignación y anulación de las mismas. La concesión, alteración o anulación de
accesos debe ser realizada exclusivamente por personal autorizado.
Asimismo deben ser cambiadas periódicamente (recomendable mínimo cada 6
meses). Es importante resaltar que la contraseña únicamente la debe conocer el
usuario no pudiendo compartirse.
86
3. En el traslado de la documentación se adoptarán las medidas dirigidas a evitar
la sustracción, pérdida o acceso indebido a la información durante su transporte.
4. Siempre que vaya a desecharse cualquier documento o soporte que contenga
datos de carácter personal deberá procederse a su destrucción o borrado,
mediante la adopción de medidas dirigidas a evitar el acceso a la información
contenida en el mismo o su recuperación posterior.
5. La identificación de los soportes que contengan datos de carácter personal
que la organización considerase especialmente sensibles se podrá realizar
utilizando sistemas de etiquetado comprensibles y con significado que permitan
a los usuarios con acceso autorizado a los citados soportes y documentos
identificar su contenido, y que dificulten la identificación para el resto de
personas.
Cualquier soporte de la organización (cintas, DVD´s, CD´s, memorias extraíbles
etc) que contenga datos personales debe estar inventariado, etiquetado y
almacenado en un lugar con acceso restringido. La salida de soportes fuera de
los locales de la organización debe de estar autorizada por el responsable del
fichero. Asimismo es fundamental la destrucción física de cualquier soporte que
sea desechado incluido el papel (por ejemplo es frecuente que en casos de
renovación de equipos informáticos no se tomen medidas respecto al formateo
de los discos duros antiguos previamente a su retirada).
2.1.7. Copias de seguridad
“Artículo 94. Copias de respaldo y recuperación.
1. Deberán establecerse procedimientos de actuación para la realización como
mínimo semanal de copias de respaldo, salvo que en dicho período no se hubiera
producido ninguna actualización de los datos.
2. Asimismo, se establecerán procedimientos para la recuperación de los datos
que garanticen en todo momento su reconstrucción en el estado en que se
encontraban al tiempo de producirse la pérdida o destrucción.
Únicamente, en el caso de que la pérdida o destrucción afectase a ficheros o
tratamientos parcialmente automatizados, y siempre que la existencia de
documentación permita alcanzar el objetivo al que se refiere el párrafo anterior,
se deberá proceder a grabar manualmente los datos quedando constancia
motivada de este hecho en el documento de seguridad.
87
3. El responsable del fichero se encargará de verificar cada seis meses la
correcta definición, funcionamiento y aplicación de los procedimientos de
realización de copias de respaldo y de recuperación de los datos.
4. Las pruebas anteriores a la implantación o modificación de los sistemas de
información que traten ficheros con datos de carácter personal no se realizarán
con datos reales, salvo que se asegure el nivel de seguridad correspondiente al
tratamiento realizado y se anote su realización en el documento de seguridad.
Si está previsto realizar pruebas con datos reales, previamente deberá haberse
realizado una copia de seguridad”.
Se deben hacer al menos semanalmente (salvo que los datos no hayan
cambiado durante la semana). El sistema utilizado debe garantizar la
reconstrucción de los datos en el estado en el que se encontraban antes de su
pérdida. Debe existir un plan de contingencia o procedimiento documentado para
la recuperación de desastres. Asimismo debe designarse a una persona que
asumirá esta obligación y, un sustituto para garantizar la copia en situaciones de
baja laboral o vacaciones del responsable. El soporte utilizado para realizar la
copia deberá estar etiquetado inventariado y almacenado en un lugar seguro.
Cuando la organización realice pruebas por ejemplo, para el cambio de
equipamientos informáticos o de software, no debe realizarlas con datos reales
de personas físicas, deberá utilizar datos ficticios.
3. RESUMEN.
Las medidas de seguridad correspondientes a un nivel básico son las siguientes:
Contar con un Documento de Seguridad.
Las funciones del personal con acceso a datos personales deben estar
documentadas. El personal sólo debe acceder a los datos y recursos
necesarios para el desarrollo de sus funciones.
El responsable del fichero debe tomar las medidas necesarias para que
el personal conozca sus obligaciones en materia de seguridad.
Debe existir un registro de incidencias de seguridad.
Todo el personal con acceso a datos debe tener un usuario y contraseña.
Los soportes con datos personales deben estar etiquetados,
inventariados y almacenados en un lugar seguro. En el caso de que vayan
a ser desechados se procederá a su destrucción previa.
88
Copias de seguridad semanales salvo que los datos no se hayan
modificado en este tiempo.
1. OBJETIVOS.
Conocer las medidas de seguridad, tanto técnicas como organizativas de
nivel medio.
2. CONTENIDO.
2.1. MEDIDAS DE SEGURIDAD DE NIVEL MEDIO.
El RD 1720/2007, de 21 de diciembre (en adelante RDLOPD) es la norma de
referencia en esta materia. Tal y como se ha estudiado en la Unidad Temática
3.1.1 del presente Curso, existen tres niveles de seguridad, básico, medio y alto
89
que se aplicarán en función de la sensibilidad de los datos tratados. En esta
unidad estudiaremos las medidas correspondientes a un nivel medio que son las
que a continuación se relacionan:
2.1.1. Designación de uno o varios responsables de seguridad.
“Artículo 95. Responsable de seguridad.
En el documento de seguridad deberán designarse uno o varios responsables
de seguridad encargados de coordinar y controlar las medidas definidas en el
mismo. Esta designación puede ser única para todos los ficheros o tratamientos
de datos de carácter personal o diferenciada según los sistemas de tratamiento
utilizados, circunstancia que deberá hacerse constar claramente en el
documento de seguridad.
En ningún caso esta designación supone una exoneración de la responsabilidad
que corresponde al responsable del fichero o al encargado del tratamiento de
acuerdo con este reglamento”.
El responsable de seguridad no debe confundirse con la figura del responsable
del fichero. El responsable de seguridad es aquella persona física designada por
el responsable del fichero que asumirá las obligaciones de coordinar y controlar
las medidas de seguridad definidas en el documento de seguridad.
Si bien es cierto que el cargo de responsable de seguridad es de especial
relevancia dentro de una organización, conviene resaltar que la responsabilidad
por el incumplimiento del RDLOPD corresponde al responsable del fichero.
Lo más indicado es que sea designado como responsable de seguridad, aquella
persona con mayores conocimientos de informática dentro de la organización
(por ejemplo el administrador de sistemas).
2.1.2. Auditoría.
“Artículo 96. Auditoría.
1. A partir del nivel medio los sistemas de información e instalaciones de
tratamiento y almacenamiento de datos se someterán, al menos cada dos años,
a una auditoría interna o externa que verifique el cumplimiento del presente título.
Con carácter extraordinario deberá realizarse dicha auditoría siempre que se
realicen modificaciones sustanciales en el sistema de información que puedan
repercutir en el cumplimiento de las medidas de seguridad implantadas con el
objeto de verificar la adaptación, adecuación y eficacia de las mismas. Esta
auditoría inicia el cómputo de dos años señalado en el párrafo anterior.
90
2. El informe de auditoría deberá dictaminar sobre la adecuación de las medidas
y controles a la Ley y su desarrollo reglamentario, identificar sus deficiencias y
proponer las medidas correctoras o complementarias necesarias. Deberá,
igualmente, incluir los datos, hechos y observaciones en que se basen los
dictámenes alcanzados y las recomendaciones propuestas.
3. Los informes de auditoría serán analizados por el responsable de seguridad
competente, que elevará las conclusiones al responsable del fichero o
tratamiento para que adopte las medidas correctoras adecuadas y quedarán a
disposición de la Agencia Española de Protección de Datos o, en su caso, de las
autoridades de control de las comunidades autónomas”.
El artículo 17 de la LOPD establece la obligación de realizar una Auditoria cada
dos años, interna o externa, con el objeto de verificar el cumplimiento de lo
establecido en el RDLOPD. Esta Auditora debe dictaminar sobre la adecuación
de las medidas de seguridad implantadas conforme a las exigencias del RMS.
En segundo lugar debe identificar las deficiencias y en tercer lugar debe proponer
las medidas correctoras que sean necesarias.
Conviene resaltar que la auditoría puede realizarse por personal propio de la
organización, es decir no es necesario acudir a un auditor externo.
La AEPD no viene exigiendo titulación específica para el Auditor, aunque es
recomendable una titulación en informática y una experiencia reconocida en esta
materia.
2.1.3. Identificación y autenticación.
“Artículo 98. Identificación y autenticación.
El responsable del fichero o tratamiento establecerá un mecanismo que limite la
posibilidad de intentar reiteradamente el acceso no autorizado al sistema de
información.
Artículo 99. Control de acceso físico.
Exclusivamente el personal autorizado en el documento de seguridad podrá
tener acceso a los lugares donde se hallen instalados los equipos físicos que
den soporte a los sistemas de información”.
Tal y como hemos visto en el nivel básico de seguridad es necesario que todo el
personal con acceso a datos personales tenga su usuario y contraseña
(identificación y autenticación). Pero en el nivel medio, es además necesario que
las cuentas de acceso estén personalizadas, es decir, no se permiten usuarios
91
genéricos tales como “invitado 1” o “genérico3”. La cuenta de acceso deberá
estar personalizada de manera que identifique personalmente a cada usuario.
Asimismo, en el nivel medio de seguridad, como medida añadida al sistema de
identificación y autenticación, se debe limitar el número reiterado de intentos de
acceso fallidos. Algo parecido a lo que sucede en un cajero automático cuando
se introduce erróneamente el PIN un número reiterado de veces. El RDLOPD no
establece el número intentos fallidos (recomendable 4 intentos).
2.1.4. Control de acceso físico.
“Artículo 19. Control de acceso físico.
Exclusivamente el personal autorizado en el documento de seguridad podrá
tener acceso a los locales donde se encuentren ubicados los sistemas de
información con datos de carácter personal”.
El acceso físico a los locales donde se encuentren ubicados los sistemas de
información, sólo podrá realizarlo personal autorizado. En principio, el centro de
procesamiento de datos de la organización deberá estar protegido físicamente
contra accesos no autorizados. Esta obligación es en muchas ocasiones
desproporcionada y de difícil cumplimiento.
En organizaciones de cierto tamaño es habitual que exista una sala destinada a
ubicar los servidores de toda la organización (Centro de Procesamiento de
Datos). Estas salas suelen estar protegidas con múltiples y diversos sistemas de
seguridad teniendo acceso a ellas únicamente el personal debidamente
autorizado.
Pero en organizaciones pequeñas, la exigencia de crear una sala específica para
ubicar el servidor de la organización suele ser problemático y de difícil aplicación
por falta de medios y de espacio en muchas ocasiones.
2.1.5. Gestión de soportes.
“Artículo 97. Gestión de soportes y documentos.
1. Deberá establecerse un sistema de registro de entrada de soportes que
permita, directa o indirectamente, conocer el tipo de documento o soporte, la
fecha y hora, el emisor, el número de documentos o soportes incluidos en el
envío, el tipo de información que contienen, la forma de envío y la persona
responsable de la recepción que deberá estar debidamente autorizada.
2. Igualmente, se dispondrá de un sistema de registro de salida de soportes que
permita, directa o indirectamente, conocer el tipo de documento o soporte, la
92
fecha y hora, el destinatario, el número de documentos o soportes incluidos en
el envío, el tipo de información que contienen, la forma de envío y la persona
responsable de la entrega que deberá estar debidamente autorizada”.
Además del cumplimiento de las medidas de seguridad de nivel básico, es
necesario crear un registro de entrada y salida de datos.
Las entradas de soportes informáticos que deban introducirse en las
dependencias del responsable del fichero con datos referidos a los ficheros
calificados como de nivel medio de seguridad, deberán ser anotadas en un
registro de entrada de soportes informáticos en el que se hará constar: el sistema
al que afectan los datos, tipo de soporte, fecha de entrada, hora de entrada, tipo
de información, forma de envío, origen del fichero, y la persona responsable de
la recepción.
Deberá ser registrada la salida de soportes informáticos con indicación en el
registro de salida de soportes informáticos: el tipo de soporte, fecha y hora de
salida, tipo de información, forma de envío, tipo de autorización de salida,
destinatario y persona responsable de la entrega.
La persona responsable de la recepción (en el caso de entrada de soportes) o
de la extracción de datos del sistema (en el caso de la salida), lo debe notificar
al responsable de seguridad y éste lo anotará en el registro correspondiente
(entrada o salida).
2.1.6. Registro de incidencias
“Artículo 100. Registro de incidencias.
1. En el registro regulado en el artículo 90 deberán consignarse, además, los
procedimientos realizados de recuperación de los datos, indicando la persona
que ejecutó el proceso, los datos restaurados y, en su caso, qué datos ha sido
necesario grabar manualmente en el proceso de recuperación.
2. Será necesaria la autorización del responsable del fichero para la ejecución
de los procedimientos de recuperación de los datos”.
En el nivel medio de seguridad debe registrarse, además de lo visto para el nivel
básico, los procedimientos realizados de recuperación de datos personales, la
persona que lo ejecutó, los datos restaurados y los datos que hayan tenido que
ser grabados manualmente.
93
3. RESUMEN.
Las medidas de seguridad correspondientes a un nivel medio son las siguientes:
Designación de uno o varios responsables de seguridad.
Auditoría cada dos años interna o externa.
Las cuentas de acceso deben estar personalizadas y se limitará el número
máximo de intentos fallidos.
Control de acceso físico a las instalaciones donde estén los equipos
informáticos.
Registro de entrada y salida de documentos.
Se deben registrar los procesos de recuperación de datos.
Prohibición de hacer pruebas con datos reales.
1. OBJETIVOS.
Conocer las medidas de seguridad, tanto técnicas como organizativas de
nivel alto, así como una serie de medidas aplicables a todos los niveles.
2. CONTENIDO
2.1. MEDIDAS DE SEGURIDAD DE NIVEL ALTO.
El Real Decreto 1720/2007, de 21 de Diciembre por el que se aprueba el
Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de Diciembre, de
protección de datos de carácter personal para ficheros que contengan datos de
carácter personal (en adelante RDLOPD) es la norma de referencia en esta
materia. Tal y como se ha estudiado en la Unidad Temática 3.1.1. del presente
Curso, existen tres niveles de seguridad, básico, medio y alto que se aplicarán
en función de la sensibilidad de los datos tratados. En esta unidad estudiaremos
las medidas correspondientes a un nivel alto que son las que a continuación se
relacionan:
94
2.1.1. Gestión de soportes
“Artículo 101. Gestión y distribución de soportes.
1. La identificación de los soportes se deberá realizar utilizando sistemas de
etiquetado comprensibles y con significado que permitan a los usuarios con
acceso autorizado a los citados soportes y documentos identificar su contenido,
y que dificulten la identificación para el resto de personas.
2. La distribución de los soportes que contengan datos de carácter personal se
realizará cifrando dichos datos o bien utilizando otro mecanismo que garantice
que dicha información no sea accesible o manipulada durante su transporte.
Asimismo, se cifrarán los datos que contengan los dispositivos portátiles cuando
éstos se encuentren fuera de las instalaciones que están bajo el control del
responsable del fichero.
3. Deberá evitarse el tratamiento de datos de carácter personal en dispositivos
portátiles que no permitan su cifrado. En caso de que sea estrictamente
necesario se hará constar motivadamente en el documento de seguridad y se
adoptarán medidas que tengan en cuenta los riesgos de realizar tratamientos en
entornos desprotegidos”.
2.1.2. Registro de accesos.
“Artículo 103. Registro de accesos.
1. De cada intento de acceso se guardarán, como mínimo, la identificación del
usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso
y si ha sido autorizado o denegado.
2. En el caso de que el acceso haya sido autorizado, será preciso guardar la
información que permita identificar el registro accedido.
3. Los mecanismos que permiten el registro de accesos estarán bajo el control
directo del responsable de seguridad competente sin que deban permitir la
desactivación ni la manipulación de los mismos.
4. El período mínimo de conservación de los datos registrados será de dos años.
5. El responsable de seguridad se encargará de revisar al menos una vez al mes
la información de control registrada y elaborará un informe de las revisiones
realizadas y los problemas detectados.
6. No será necesario el registro de accesos definido en este artículo en caso de
que concurran las siguientes circunstancias:
a) Que el responsable del fichero o del tratamiento sea una persona física.
95
b) Que el responsable del fichero o del tratamiento garantice que únicamente él
tiene acceso y trata los datos personales.
La concurrencia de las dos circunstancias a las que se refiere el apartado anterior
deberá hacerse constar expresamente en el documento de seguridad”.
De cada acceso a los ficheros afectados por el nivel de seguridad alto, se debe
guardar, como mínimo, la identificación del usuario, la fecha y hora en que se
realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado
(conocidos como ficheros LOG). Si se trata de un acceso autorizado, se guardará
la clave del registro o bien la información que permita identificar el registro
accedido. El período mínimo de conservación de los datos registrados será de
dos años. El responsable de seguridad deberá revisar periódicamente la
información de control de accesos registrada, respecto a los ficheros afectados
por medidas de seguridad de nivel alto, elaborando un informe mensual de las
revisiones realizadas y los problemas detectados.
2.1.3. Copia de seguridad.
“Artículo 102. Copias de respaldo y recuperación.
Deberá conservarse una copia de respaldo de los datos y de los procedimientos
de recuperación de los mismos en un lugar diferente de aquel en que se
encuentren los equipos informáticos que los tratan, que deberá cumplir en todo
caso las medidas de seguridad exigidas en este título, o utilizando elementos
que garanticen la integridad y recuperación de la información, de forma que sea
posible su recuperación”.
Las copias de respaldo de los ficheros mencionados anteriormente, deben
almacenarse en un lugar diferente de aquel en que se encuentran los equipos
informáticos. Con esta medida se pretende garantizar la recuperación de la
información en el supuesto de catástrofe (por ejemplo un incendio de las
instalaciones).
Se ha discutido sobre lo que debe entenderse por un “lugar diferente”, es decir,
si bastaría con almacenar la copia en otra sala del mismo edificio o por el
contrario sacarla fuera de las instalaciones. La interpretación más extendida y
coherente, es que debe sacarse la copia de seguridad fuera de las instalaciones,
ya que esta medida de seguridad, va destinada claramente a la recuperación de
los datos en caso de gran catástrofe, ante la cual en muchas ocasiones, no basta
con almacenar los datos en otro lugar del edificio.
96
Si bien es cierto que esta medida únicamente se exige para los ficheros con
datos de nivel alto, es recomendable tomarla desde un nivel básico de seguridad.
2.1.4. Transmisión por redes de telecomunicaciones.
“Artículo 104. Telecomunicaciones.
Cuando, conforme al artículo 81.3 deban implantarse las medidas de seguridad
de nivel alto, la transmisión de datos de carácter personal a través de redes
públicas o redes inalámbricas de comunicaciones electrónicas se realizará
cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice
que la información no sea inteligible ni manipulada por terceros”.
La transmisión de los datos de nivel alto a través de redes de telecomunicaciones
se realizará cifrando dichos datos, o utilizando cualquier otro mecanismo que
garantice que la información no sea legible ni manipulada por terceros. Por
ejemplo, el envío de un correo electrónico con datos de nivel alto, dado que
Internet es una red abierta, deberá viajar cifrado (p.e. utilizando firma electrónica
de modo que en caso de interceptación no pueda accederse a su contenido).
97
“Artículo 86. Régimen de trabajo fuera de los locales del responsable del fichero
o encargado del tratamiento.
1. Cuando los datos personales se almacenen en dispositivos portátiles o se
traten fuera de los locales del responsable de fichero o tratamiento, o del
encargado del tratamiento será preciso que exista una autorización previa del
responsable del fichero o tratamiento, y en todo caso deberá garantizarse el nivel
de seguridad correspondiente al tipo de fichero tratado.
2. La autorización a la que se refiere el párrafo anterior tendrá que constar en el
documento de seguridad y podrá establecerse para un usuario o para un perfil
de usuarios y determinando un periodo de validez para las mismas”.
2.2.3. El acceso a datos a través de redes de telecomunicaciones:
Debe garantizar un nivel de seguridad equivalente al correspondiente a los
accesos en modo local (por ejemplo, accesos a través de ADSL, VPN, escritorios
remotos etc.)
“Artículo 85. Acceso a datos a través de redes de comunicaciones.
Las medidas de seguridad exigibles a los accesos a datos de carácter personal
a través de redes de comunicaciones, sean o no públicas, deberán garantizar un
nivel de seguridad equivalente al correspondiente a los accesos en modo local,
conforme a los criterios establecidos en el artículo 80”.
A continuación le presentamos un cuadro resumen de las medidas de seguridad
necesarias divididas por niveles:
98
3. RESUMEN.
Las medidas de seguridad correspondientes a un nivel alto son las siguientes:
Cifrado de soportes.
Deben quedar registrados todos los accesos a los datos personales,
incluidos los intentos fallidos. Este registro se debe conservar durante dos
años. Mensualmente el responsable de seguridad debe revisar los
accesos redactando el correspondiente informe.
Almacenamiento de una copia de seguridad fuera de las instalaciones.
El envío de datos de nivel alto a través de redes de telecomunicaciones
deberá hacerse cifrando dichos datos.
Las medidas de seguridad correspondientes a todos los niveles son las
siguientes:
Los ficheros temporales también deben garantizar el nivel de seguridad
que les corresponda.
Cualquier tratamiento de datos fuera de las instalaciones del responsable,
debe ser autorizado por el responsable del fichero.
El acceso a datos personales a través de redes de telecomunicaciones,
también deberá realizarse cumpliendo con las medidas de seguridad que
correspondan.
99
100