Guía Práctica

5 pasos
imprescindibles
para implantar la LOPD

Conoce
Conoce
Conoce loslos
los
pasos
pasos
pasos
que
que
que
debes
debes
debes
realizar
llevar
llevaraapara
cabo
caboimplantar
para
paraimplantar
implantar
la
LOPD
lalaLOPD
LOPD
en una
en
enuna
una
empresa
empresa
empresa

Escrito por:
Julio César Miguel Pérez
G5 v.4.0
AUTOR

Julio César Miguel Pérez

Especialista en Protección de Datos, Seguridad de la
Información y Ciberseguridad.
Gerente de Grupo CFI, ejerce labores de consultoría
en el ámbito de la protección de datos y la gestión de
la seguridad de la información desde el año 2005, así
como auditorías LOPD, análisis de riesgos, hacking
ético, planes de continuidad de negocio, etc.

Complementando la actividad de consultoría,

también lleva a cabo tareas de formación y
concienciación a usuarios, administradores de
sistemas y nuevos profesionales de la LOPD. “El valor que percibe tu cliente es el
tiempo que le dedicas a él, no el que
Autor del libro “Protección de Datos y Seguridad empleas en la oficina”
de la Información”, publicado en marzo de 2013
y con el ISBN 978-84-616-3344-9.

EXTRACTO
 APEP Certified Privacy. ACP – Consultor Perfil
Jurídico por la Asociación Profesional Española
de Privacidad. Certificado nº GF-58.
 APEP Certified Privacy. ACP – Consultor Perfil
Tecnológico por la Asociación Profesional
Española de Privacidad. Certificado nº GF-59.
 Experto en Seguridad de la Información por
AENOR.
 Auditor de Sistemas de Gestión de Seguridad
de la Información por AENOR (ISO 27001).
 Especialista Implantador de Sistemas de
Gestión de Seguridad de la Información por
AENOR (ISO 27001).
 Especialista Implantador de Planes de
Continuidad de Negocio por AENOR.
 Computer Hacking Forensic Investigator by
EC-Council (CHFI).
 EC-Council Certified Security Analyst (ECSA).
 Certified Ethical Hacker by EC-Council (CEH).
TRAYECTORIA PROFESIONAL
Fundador de varias empresas TIC.
Ha realizado la implantación de la LOPD
en cientos de empresas, desarrollando
para ello una metodología propia, basada
en la experiencia adquirida.
Esta metodología única se complementa
con una plataforma especializada que ha
desarrollado para profesionales de la
LOPD, destinada a optimizar la calidad y
rentabilidad de su trabajo.
CONTACTO
Puedes contactar conmigo a través de:
jcmiguel@grupocfi.es
twitter.com/juliocesarlopd
es.linkedin.com/in/juliocesarlopd
645 794 557
901 001 802

www.grupocfi.es
2
PRESENTACIÓN
La entrada en vigor de la Ley Orgánica
15/1999, de 13 de diciembre, de Protección
de Datos de Carácter Personal (LOPD), ha
impuesto a las entidades y organismos que
almacenen y/o traten datos personales una
serie de obligaciones destinadas a
preservar la seguridad de dichos datos y
garantizar los derechos de sus titulares.
El cumplimiento de la normativa puede
resultar complejo debido a los requisitos
impuestos y el desconocimiento de las
empresas sobre cómo llevarlos a cabo.
El mayor problema para las empresas a la
hora de afrontar la adecuación a la LOPD es
que no saben claramente cuáles son todas
las tareas que deben realizar ni el orden en
que se deben llevar a cabo.
OBJETIVO
El objetivo de este informe especial es
mostrar de forma clara y sencilla los pasos
o tareas que se deben llevar a cabo en una
empresa para adecuarla plenamente a la
normativa vigente en protección de datos
personales.
Para ayudarte aún más a clarificar el trabajo
que se debe desarrollar y los matices que se
deben tener en cuenta, al final del informe
he incluido dos cuadros resumen muy
útiles:
 Resumen de las medidas de seguridad
LOPD que se deben implantar.
 Resumen de los principios de la LOPD
que se deben respetar en todo
momento.
Estos dos cuadros resumen te servirán, por
una parte, de checklist a la hora de abordar
las tareas a desarrollar, y por otra parte, de
referencia rápida para consulta posterior.
3 www.grupocfi.es
LA IMPLANTACIÓN EN 5 PASOS
1. Inscribir los ficheros en la AEPD
El primer paso para cumplir la LOPD es
legalizar los ficheros con datos personales
que tenga la empresa.
La legalización de los ficheros se efectúa
inscribiéndolos en el Registro General de
Protección de Datos (RGPD) de la Agencia
Española de Protección de Datos (AEPD).
Este paso se realiza en dos fases
diferenciadas:
Análisis de los datos tratados
La primera fase que se debe realizar es un
análisis de los datos que la empresa trata
y/o almacena, teniendo en cuenta que los
ficheros se deben agrupar en cuanto a la
finalidad de los mismos, siendo
independiente para esto los distintos
soportes y formatos en los que está
almacenado.
Por ejemplo, el fichero de clientes de una
empresa habitualmente está compuesto
por los presupuestos, los pedidos, albaranes
y facturas de los clientes, así como los
correos electrónicos que les mandamos.
Este fichero puede estar en formato manual
y automatizado.
El fichero manual lo componen los
documentos que almacenamos en papel,
como presupuestos, pedidos, albaranes y
facturas.
El fichero automatizado está compuesto por
distintos ficheros individuales y bases de
datos:
 Las hojas de Excel en las que
elaboramos los presupuestos a los
clientes.
 La base de datos en la que la aplicación
de gestión empresarial almacena los
pedidos, albaranes y facturas para su
gestión.
 La base de datos en la que el software
que utilizamos para enviar y recibir e-
mails almacena sus datos.
 El fichero que genera la aplicación
utilizada para realizar la copia de
respaldo de los datos automatizados.
Aunque el fichero está contenido en varios
soportes –unos automatizados y otros
manuales- y formatos, a efectos de
notificación este es un único fichero, ya que
la finalidad es única: realizar la gestión
fiscal, contable y administrativa de los
servicios solicitados.
Es preciso analizar también qué datos
personales recabamos, almacenamos y/o
tratamos, ya que en función de estos se
aplicará al fichero un nivel de seguridad
mayor o menor. En la inscripción a la AEPD
se deben notificar los tipos de datos que
recabamos y/o tratamos.
Notificación de los ficheros
Una vez hemos procedido a identificar los
ficheros, hemos analizado los datos
tratados y les hemos asignado un nivel de
seguridad, es cuando se debe efectuar la
notificación de dichos ficheros a la AEPD.
Para realizar la notificación, será necesario
recabar previamente los siguientes datos:
 La identificación del responsable del
fichero.
 La identificación del fichero.
 Finalidades del fichero y los usos
previstos.
4 www.grupocfi.es
 El sistema de tratamiento empleado en
su organización (manual, automatizado
o mixto).
 El colectivo de personas sobre el que se
obtienen los datos.
 El procedimiento y procedencia de los
datos.
 Las categorías de datos que se tratan
y/o almacenan.
 El servicio o unidad de acceso ante
quien se deben ejercer los derechos
legales de los afectados (acceso,
rectificación, cancelación y oposición).
 La indicación del nivel de medidas de
seguridad básico, medio o alto exigible.
 En su caso, la identificación del
encargado del tratamiento en donde se
encuentre ubicado el fichero.
 Los destinatarios de cesiones y
transferencias internacionales de datos,
si las hubiere.
Esta notificación se puede realizar en la
propia página web de la AEPD
(www.agpd.es) o a través de algún software
especializado que envíe la notificación a la
AEPD a través de internet.
Si la notificación efectuada es correcta, la
AEPD procederá a la inscripción del fichero
en el RGPD asignando al mismo el
correspondiente código de inscripción.
Una vez finalizado este paso tendremos
realizada la legalización de los ficheros.
2. Elaborar el Documento de Seguridad
El segundo paso que debemos efectuar es el
de elaborar el Documento de Seguridad
con el contenido exigido por el
RD1720/2007 y que describimos a
continuación:
 Ámbito de aplicación, con o Registro de entrada y salida de
especificación detallada de los recursos soportes con datos automatiza-
protegidos. dos de nivel medio y alto.
 Medidas, normas y procedimientos para o Registro de accesos a la
garantizar el nivel de seguridad exigido. documentación que contenga
 Funciones y obligaciones del personal. datos de nivel alto y sea
 Estructura de los ficheros. accedida por varias personas.
 Descripción de los sistemas de
información que los tratan.
 Procedimientos de notificación, gestión
y respuesta ante las incidencias.
 Procedimientos de realización de copias
de respaldo y recuperación de los
ficheros automatizados.
 Medidas a adoptar para el transporte, Dicho Documento de Seguridad debe
destrucción y reutilización de soportes y mantenerse en todo momento actualizado,
documentos. de forma que refleje de forma fehaciente la
 Identificación del responsable o realidad de la organización.
responsables de seguridad y controles
Para elaborar, gestionar y mantener
periódicos a efectuar en el caso de
actualizado el Documento de Seguridad de
ficheros de nivel medio y alto.
forma rápida y sencilla es muy conveniente
 Identificación de los encargados del
contar con algún software especializado.
tratamiento, tratamientos realizados,
las condiciones y la vigencia del
encargo.
3. Implantar las medidas recogidas en
 Relación de personal autorizado para: el Documento de Seguridad
o Otorgar autorizaciones.
El siguiente paso es realizar la implantación
o Tratar datos personales fuera
efectiva de las medidas de seguridad que
de las instalaciones.
se recogen en el Documento de Seguridad
o Acceder a los ficheros, así como
anteriormente elaborado.
los accesos autorizados.
o Conceder, modificar y anular En función de los datos personales tratados
accesos a otros usuarios. se deberán implantar medidas de seguridad
o Acceder al lugar donde se de nivel básico, medio y/o alto a los ficheros
almacenan los soportes con que contienen dichos datos.
datos personales.
o Sacar datos personales fuera de
las instalaciones.
 Es necesario elaborar y mantener los
siguientes registros:
o Inventario de soportes y
documentos.
o Registro de incidencias.

5 www.grupocfi.es
Las medidas a implantar son de dos tipos: Modelo de cláusula informativa para
recabar datos de clientes:
 Medidas técnicas: son las destinadas a
conservar la integridad de la En cumplimiento de la Ley Orgánica 15/1999, de
Protección de Datos de Carácter Personal (LOPD), le
información (su no alteración, pérdida o
informamos que los datos aportados serán
robo) y la confidencialidad de los datos incorporados en un fichero del que es titular LA
personales a través de medios o EMPRESA S.L. y utilizados con la finalidad de prestarle
dispositivos técnicos. Ej. Instalación de los servicios solicitados, Puede ejercer sus derechos de
un sistema de copia de respaldo, limitar acceso, rectificación, cancelación y oposición en el
domicilio fiscal de LA EMPRESA S.L. sito en AVDA XXX,
el acceso al sistema a través de un
34XXX XXXXX.
nombre de usuario y contraseña, etc.
 Medidas organizativas: son aquellas
medidas destinadas a establecer
procedimientos, normas, reglas y
estándares de seguridad, cuyos
destinatarios son los usuarios que
tratan los datos de los ficheros. Ej. Lista
de usuarios y accesos autorizados,
registro de incidencias, relación de
personas autorizadas para sacar
Firmar los contratos
soportes fuera de las instalaciones del
responsable, etc. Contratos de acceso a datos
Toda empresa externa que con objeto de
4. Incluir cláusulas legales y firmar los prestarnos un servicio acceda a datos
contratos que exige la normativa personales de los cuáles nosotros somos
Inclusión de las cláusulas legales responsables (ej. Asesoría fiscal, empresa
Se deben elaborar e introducir las cláusulas de prevención de riesgos laborales) es
informativas en los cuestionarios y/o considerada un encargado del tratamiento,
formularios que la empresa utilice para la y es preciso firmar un contrato de acceso a
recogida de los datos personales. datos dicha empresa que regule la
prestación de los servicios.
La cláusula a incluir debe incorporar, al
menos, los siguientes datos:

 Informar de la existencia de un fichero o

tratamiento de datos personales.
 Finalidad de la recogida de dichos
datos.
 Destinatarios de la información si
dichos datos van a ser cedidos.
 De la identidad y dirección del
responsable del fichero o tratamiento.
 De la posibilidad de ejercer los derechos Dicho contrato deberá constar por escrito o
de acceso, rectificación, cancelación y en alguna otra forma que permita acreditar
oposición. su celebración y contenido, estableciéndose

6 www.grupocfi.es
expresamente que el encargado del
tratamiento únicamente tratará los datos
conforme a las instrucciones del
responsable del tratamiento, que no los
aplicará o utilizará con fin distinto al que
figure en dicho contrato, ni los comunicará,
ni siquiera para su conservación, a otras
personas. En el contrato se estipularán,
asimismo, las medidas de seguridad que
deberá cumplir el encargado del
tratamiento.
Prestaciones sin acceso a datos
Con las empresas externas que presten un
servicio que no requiere acceso a datos,
pero que pudiera darse el caso de que
accedan a información de carácter personal,
el contrato de prestación de servicios
recogerá expresamente la prohibición de
acceder a los datos personales y la
obligación de secreto respecto a los datos
que el personal hubiera podido conocer con
motivo de la prestación del servicio.
Compromisos de confidencialidad con los
trabajadores
El artículo 10 de la LOPD establece que el
responsable del fichero y quienes
intervengan en cualquier fase del
tratamiento de los datos de carácter
personal están obligados al secreto
profesional respecto de los mismos y al
deber de guardarlos, obligaciones que
subsistirán aun después de finalizar sus
relaciones con el titular del fichero o, en su
caso, con el responsable del mismo.
Es decir, los trabajadores de una empresa
que tengan acceso a datos están obligados
al deber de secreto profesional en relación
a los datos que traten en el desempeño de
su trabajo.
Es conveniente para la empresa que este
deber de secreto que debe respetar el
trabajador sea puesto por escrito en lo que
se denomina Compromiso de confidencia-
7 www.grupocfi.es
lidad y deber de secreto y que debe firmar el
trabajador. De este modo, la empresa
puede demostrar de forma fehaciente que
ha cumplido con su obligación de informar
al trabajador del deber de secreto al que le
obliga la LOPD.
5. Disponer de plantillas para el
ejercicio de los derechos ARCO
Otra de las obligaciones que tiene la
empresa es el deber de ejercitar los
derechos legales de los afectados de forma
ágil y efectiva.
Para ello, la empresa debe disponer de
plantillas ya preparadas de petición y
respuesta de los derechos de acceso,
rectificación, cancelación y oposición
(también llamados derechos ARCO) que le
permitan una rápida y eficaz respuesta a los
afectados que quieran ejercer sus derechos.
La empresa debe ser especialmente
cuidadosa y diligente en la atención de los
derechos ARCO, ya que los afectados
podrán solicitar la tutela de la AEPD en el
caso de que la empresa no ejerza sus
derechos en el plazo que marca la LOPD.
CONCLUSIÓN
Aunque implantar la LOPD en una empresa
no es una tarea en exceso complicada, sí es
aconsejable disponer del asesoramiento de
un profesional especializado y de alguna
herramienta software que nos ayude,
tanto a notificar los ficheros de forma
sencilla, como a generar toda la
documentación que requiere su correcto
cumplimiento.
 RESUMEN DE LAS MEDIDAS DE SEGURIDAD LOPD
NIVEL BÁSICO
 Funciones y obligaciones de los
usuarios definidas y documentadas.
 Acuerdos de confidencialidad con los
usuarios.
 Entregar una copia del ANEXO VI a
PERSONAL cada usuario.
 Relación de usuarios, perfiles de
usuario y accesos autorizados.
 Los usuarios solo deben tener ac-
ceso a los datos necesarios para las
funciones asignadas.
 El permiso de acceso lo concede
CONTROL DE ACCESO solo el personal autorizado en el DS.
SOLO FICHEROS AUTOMATIZADOS
 Identificación y autenticación
personalizada e individual.
 Todos los equipos protegidos por
IDENTIFICACIÓN contraseña.
Y AUTENTICACIÓN  Cambio de contraseña (<1 año).
 Inventario de soportes y
documentos.
 Etiquetado de los soportes.
 Acceso restringido al lugar de
almacenamiento y relación de los
usuarios autorizados a acceder.
 Autorización de las salidas de
soportes (incluidas a través de mail).
 Medidas para el transporte y
GESTIÓN DE SOPORTES desecho de soportes.
SOLO FICHEROS AUTOMATIZADOS
 Copia de respaldo semanal.
 Procedimientos de copia y
recuperación en D. de Seguridad.
 Verificación semestral de los
COPIAS DE RESPALDO procedimientos.
SOLO FICHEROS NO AUTOMATIZADOS
 Dispositivos de almacenamiento
dotados de mecanismos que
obstaculicen su apertura (bajo llave).
 Archivado según los criterios
ALMACENAMIENTO definidos en el Doc. de Seguridad.
SOLO FICHEROS NO AUTOMATIZADOS
 Durante la tramitación, la persona al
CUSTODIA DE cargo de los documentos debe
SOPORTES impedir el acceso no autorizado
COPIA O
REPRODUCCIÓN
TELECOMUNICACIONES
TRASLADO DE
DOCUMENTACIÓN
TRABAJO FUERA DE  Relación de usuarios autorizados y
LOS LOCALES ficheros afectados.
 Registro de incidencias que afecten
o puedan afectar a los datos.
 Procedimiento de notificación y
INCIDENCIAS gestión de incidencias conocido.
AUDITORÍA
RESPONSABLE DE
SEGURIDAD
8 www.grupocfi.es
NIVEL MEDIO
SOLO FICHEROS AUTOMATIZADOS
 Control de acceso físico a los
locales que contienen los
sistemas de información.
 Relación de usuarios
autorizados a acceder a los
locales donde están los
equipos físicos que dan
soporte a los sistemas de
información (CPD, SRVs).
SOLO FICHEROS AUTOMATIZADOS
 Limite de intentos
reiterados de acceso no
autorizado.
SOLO FICHEROS AUTOMATIZADOS
 Entrega y recepción de
soportes solo por el
personal autorizado en el
DS.
 Registro de entrada y salida
de soportes.
SOLO FICHEROS AUTOMATIZADOS
 Autorización para la recupe-
ración de datos, así como
los detalles de la misma.
 Al menos cada dos años.
 Informe de deficiencias y
propuestas correctoras.
 Encargado de controlar las
medidas de seguridad.
NIVEL ALTO
SOLO FICHEROS AUTOMATIZADOS
 Registro de accesos (2años).
 Revisión mensual del registro e
informe.
 No necesario si responsable es
persona física y el único usuario.
SOLO FICHEROS NO AUTOMATIZADOS
 Registro de accesos a los
documentos accesibles por
varios usuarios.
SOLO FICHEROS AUTOMATIZADOS
 Sistema de etiquetado
confidencial.
 Cifrado de datos en la
distribución de soportes.
 Cifrado de información en
dispositivos portátiles fuera de
las instalaciones.
SOLO FICHEROS AUTOMATIZADOS
 Copia de respaldo y procedimi-
entos de recuperación en lugar
diferente del que se encuentren
los equipos.
SOLO FICHEROS NO AUTOMATIZADOS
 Armarios, archivadores de
documentos en áreas con
acceso protegido mediante
puertas con llave.
SOLO FICHEROS NO AUTOMATIZADOS
 Sólo por los usuarios
autorizados en el DS.
SOLO FICHEROS AUTOMATIZADOS
 Transmisión de datos a través de
redes electrónicas cifrada.
SOLO FICHEROS NO AUTOMATIZADOS
 Medidas que impidan el acceso
o la manipulación.
 PRINCIPIOS DE LA LOPD
NORMA GENERAL
 Todos los formularios de recogida de
los datos personales deben contener
la cláusula informativa LOPD.
 Los contratos y demás documentos
donde aparezcan datos personales,
deben incluir la cláusula informativa.
 Es recomendable incluirla también
INFORMACIÓN en facturas, albaranes, etc.
 El tratamiento de datos requiere del
CONSENTIMIENTO consentimiento del afectado.
 Los datos deberán ser adecuados,
pertinentes y no excesivos para la
finalidad para la que son recogidos.
 No se podrán utilizar para ninguna
otra finalidad distinta a la que se ha
informado en la recogida.
 Serán exactos y puestos al día para
reflejar la realidad del interesado.
 Serán cancelados cuando no sean
necesarios para la finalidad para la
CALIDAD que se han recabado.
 Es preciso el consentimiento expreso
y por escrito para tratar datos que
revelen ideología, afiliación sindical,
religión o creencias.
DATOS  Es preciso el consentimiento expreso
ESPECIALMENTE para el tratamiento de datos de
PROTEGIDOS salud, vida sexual u origen racial.
 El Responsable del Fichero debe
adoptar las medidas necesarias para
garantizar la seguridad de los datos y
SEGURIDAD DE LOS evitar su alteración, pérdida o
DATOS acceso no autorizado.
 Todos los individuos que
intervengan en el tratamiento de
datos están obligados al secreto
DEBER DE SECRETO profesional y al debe de guardarlos.
 Los datos solo podrán ser comunica-
COMUNICACIÓN DE dos o cedidos a un tercero previo
DATOS consentimiento del interesado.
 El acceso a los datos por un tercero
ACCESO A LOS DATOS para la realización de un servicio
POR CUENTA DE deberá estar regulada en un
TERCEROS contrato escrito.
9 www.grupocfi.es
EXCEPCIONES
 No es necesario cuando se
recaben para la celebración de un
contrato o la existencia de una
relación negocial, laboral y
administrativa de la que sea parte
el afectado y sean necesarios
para su mantenimiento o
cumplimiento.
 No es necesario cuando procedan
de fuentes accesibles al público.
 No es necesario cuando lo
autorice una norma con rango de
Ley.
 No será necesario el
consentimiento cuando dicho
tratamiento resulte necesario
para la prevención o diagnósticos
médicos, o la prestación de
asistencia sanitaria, siempre que
se realice por un profesional
sanitario sujeto a secreto
profesional o equivalente.
 Para proteger el interés vital del
interesado en los términos
anteriores.
 No es necesario cuando lo auto-
rice una norma con rango de Ley.
 No es necesario cuando procedan
de fuentes accesibles al público.
OBSERVACIONES
 Los contratos con los
clientes deben incluir la
cláusula.
 Los contratos de trabajo
con el personal deben
incluir la cláusula.
 Se prohíbe la recogida por
medios fraudulentos,
desleales o ilícitos.
 Quedan prohibidos los
ficheros creados con la
finalidad exclusiva de
almacenar datos que
revelen ideología, afiliación
sindical, religión, creencias,
origen racial o vida sexual.
 El Documento de Seguridad
debe recoger las medidas
implantadas y las
autorizaciones concedidas,
así como estar siempre
actualizado.
 Es conveniente firmar un
Compromiso de confiden-
cialidad y deber de secreto
con los trabajadores.
 En el caso que no exista
contrato, podría ser
considerada una cesión de
datos no consentida.
 Las prestaciones sin acceso
a datos también deben
quedar reguladas en un
contrato.