domingo, 11 de diciembre de 2016

lopd resumen reglamento



Resultado de imagen de ley de proteccion de datos

Introducción

En este tutorial vamos a presentar un resumen de los cambios del Reglamento de Desarrollo de la LOPD que entraron en vigor el 19 de Abril 2008, y cómo afectan al Responsable de Ficheros.
Los datos personales se encuentran regidos actualmente por 3 leyes:
  1. La LOPD, Ley orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, está vigente desde el año 2000. La Ley tiene por objeto garantizar y proteger las libertades públicas y los derechos fundamentales de las personas físicas, de su honor e intimidad, en relación al tratamiento de sus datos personales. El espíritu de la ley se basa en el derecho a la protección de datos de carácter personal.
    La LOPD establece las obligaciones de los responsables de ficheros y los encargados de los tratamientos deben cumplir, tanto en organismos públicos como privados, para garantizar el derecho a la protección de los datos personales.
  2. La LGT, Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones.
  3. La LSSI, Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico, que atribuyen a la AEPD (Agencia Española de Protección de Datos) la tutela de los derechos y garantías de abonados y usuarios en el ámbito de las comunicaciones electrónicas (correos electrónicos).
El reglamento de desarrollo de la LOPD (RDLOPD) ha venido a clarificar ciertos aspectos de la LOPD que dejaban lagunas de interpretación. Entró en vigor el 19 de abril de 2008 para todos los nuevos ficheros y tratamientos realizados a partir de esa fecha, y propone una moratoria o régimen de transición de 12 meses para la adaptación de los ficheros y tratamientos automatizados preexistentes. 
Algunas de las novedades más destacadas de la ley son:
  • Se regulan los datos personales relativos a los fallecidos
  • Los datos de empresarios individuales no estarán sometidos a la LOPD para uso profesional.
  • Los datos de contacto de las personas físicas no estarán sometidos a la LOPD para uso profesional.
  • El tratamiento regulado debe ser en territorio español.
  • Subcontratación del servicio de tratamiento de los datos por parte del Responsable del fichero.
  • Simplicidad en el ejercicio de los derechos y gratuidad de los mismos.
  • Tratamiento específico para ficheros de solvencia patrimonial y ficheros con fines publicitarios (ficheros de exclusión).
  • Regulación de la transferencia de datos internacionales
  • Regulación de la cesión de datos personales de los menores de edad (<14 años y >=14 años)
La LOPD define dos roles básicos: el Responsable de Ficheros y el Encargado del Tratamiento.

El Responsable del fichero

El responsable de un fichero o tratamiento es la entidad, persona u órgano administrativo que decide sobre la finalidad, el contenido y el uso del tratamiento de los datos personales. Ejemplos:
  • Una empresa será la responsable de los ficheros que contienen datos sobre sus empleados y clientes.
  • Un autónomo o empresario individual será responsable del tratamiento de los datos personales de sus clientes
  • Un Ayuntamiento será responsable del fichero del padrón
Un responsable tiene las siguientes obligaciones:
  • Notificar la inscripción de los ficheros en el Registro de la AEPD
  • Asegurar que los datos son de calidad, es decir, adecuados, veraces y obtenidos lícita y legítimamente, y tratados de forma proporcional a la finalidad con la que se recogieron: no usarlos para otros fines, no recoger más datos de los necesarios, mantenerlos actualizados, y cancelarlos si ya no son necesarios.
  • Garantizar el cumplimiento de los deberes secreto y seguridad.
  • Informar a los titulares de los datos sobre la recogida de los mismos.
  • Obtener el consentimiento para el tratamiento de los mismos.
  • Facilitar y garantizar el ejercicio de los derechos de oposición al tratamiento, acceso, rectificación y cancelación.
  • Asegurar que en relaciones con terceros que le presten servicios que necesiten el acceso a los datos, se siga cumpliendo lo dispuesto en la LOPD.
  • Cumplir, adicionalmente, con lo que indique la legislación vigente en el sector correspondiente que le sea de aplicación.

El Encargado del fichero

El encargado del fichero o tratamiento es la persona física o jurídica, pública o privada, u órgano administrativo que, sólo o junto a otros, trate datos de carácter personal por cuenta del Responsable del fichero, gracias a la existencia de un contrato de servicios que define el ámbito de actuación y la prestación del servicio. Ejemplos:
  • Una empresa que presta servicios para la realización de envíos postales
  • Un informático, autónomo, que realiza tareas de mantenimiento software sobre el fichero de datos del responsable.
  • Un gestor administrativo que confecciona las nóminas y gestiona el fichero de personal.
No se considera encargado del fichero, a la persona física que tenga acceso a los datos personales, si tiene condición de empleado dentro de la relación laboral que mantiene con el responsable del fichero.
Tanto el Responsable del fichero como el Encargado del tratamiento, pueden ser sancionados si no cumplen con sus obligaciones.

¿Cómo saber si se van a tratar datos personales?

Siempre que en un formulario, o de alguna forma se recojan datos personales que permitan identificar una persona directa o indirectamente, como por ejemplo:
  • Nombre
  • Apellidos
  • Fecha nacimiento
  • Dirección postal
  • Dirección correo electrónico
  • Número de teléfono
  • NIF, huella digital, ADN o número de Seguridad Social
  • Fotografía
En estos casos, se están tratando datos personales y se deben cumplir las obligaciones de la LOPD. Ejemplos:
  • Una persona que abre una cuenta bancaria
  • Se apunta en un gimnasio
  • Se registra en un hotel, etc.
Se exceptúan aquellos casos en los que el uso de los datos sea para una actividad personal o doméstica (Ej: agenda personal)
  • Ficheros mantenidos por personas físicas para actividades personales o domésticas (Ej: agenda personal)
  • Ficheros sometidos a normativa sobre protección de materias clasificadas.
  • Ficheros establecidos para la investigación del terrorismo y delincuencia organizada.
Existen casos en los que la LOPD indica que se aplicarán disposiciones específicas:
  • Ficheros regulados por la legislación de régimen electoral, y ficheros estadísticos.
  • Ficheros derivados del Registro Civil y Registro central de penados.
  • Ficheros de imágenes y sonidos obtenidos por videocámaras de las Fuerzas y Cuerpos de Seguridad.

La Agencia de Protección de Datos

La Agencia Española de Protección de Datos (AEPD) protege los derechos de los ciudadanos, es el ente encargado de velar por el cumplimiento de la normativa, y actúa de forma totalmente independiente de las Administraciones Públicas.
La AEPD informa y ayuda, tanto a los ciudadanos como los responsables de fichero y encargados de tratamiento a ejercitar y a cumplir las obligaciones correspondientes en cada caso.
La AEPD facilita el derecho de consulta de los ciudadanos permitiendo acceder a la información básica de todos los ficheros públicos y privados registrados.
Además la AEPD realiza, de forma preventiva, inspecciones sectoriales de oficio, para evaluar el cumplimiento de todas las garantías previstas en la normativa, detectando deficiencias y formulando recomendaciones para su corrección. (www.agpd.es)

Notificación de ficheros al Registro

El Responsable del fichero debe notificar la creación del fichero al Registro General de Protección de Datos (RGPD) de la AEPD, en los siguientes casos:
  • Con anterioridad al uso del fichero
  • Cuando se producen cambios en el mismo que afectan al registro
  • Cuando cesa el uso del fichero
Al registrar el fichero, implica que el fichero cumple con todas las exigencias legales. El coste de registro es gratuito, y permite que los titulares de los datos puedan conocer quién es el responsable del fichero, por si necesitan ejercitar sus derechos de acceso, rectificación, cancelación y oposición.
La NO notificación de un fichero, supone una sanción que puede ir de leve a grave dependiendo del caso.
El acceso al registro (RGPD) es público y gratuito.

Requisitos Ámbito Privado

Se pueden crear ficheros privados que tengan datos personales cuando resulten necesarios para realizar una actividad u objeto legítimo y se respeten las garantían indicadas en la LOPD.

Requisitos Ámbito Público:

La creación, modificación o supresión de los ficheros de las Administraciones Públicas sólo podrán hacerse mediante disposición general publicada en el BOE o diario oficial correspondiente. La disposición obliga a que la disposición describa detalladamente identificación, origen, transferencias internacionales, órganos responsables y otra serie de informaciones.
Un fichero es “todo conjunto organizado de datos de carácter personal, cualquiera que fuera la forma o modalidad de su creación, almacenamiento, organización y acceso”.
Existen dos tipologías de ficheros:
  1. Fichero no automatizado (papel): fichero de datos personales organizado de forma no automatizada, y estructurado conforme a criterios específicos relativos a personas físicas, y que permiten acceder sin esfuerzos desproporcionados a dichos datos.
  2. Fichero automatizado

Recogida datos. Obligación de informar

A la hora de recoger datos personales, se debe informar a los afectados, indicándoles:
  • Para qué se utilizaran los datos
  • Informando del fichero y de sus tratamientos
  • Indicando el responsable del fichero y su dirección o la de su representante.
  • Los destinatarios de la información (en su caso)
  • Del carácter obligatorio u opcional de la inscripción en el mismo para la prestación del servicio
  • De las consecuencias de lo obtención de los datos o de la negativa a suministrarlos
  • De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
La ley exime del deber de informar sobre algunos los aspectos anteriores cuando se deduzcan de la naturaleza de los propios datos personales y de las circunstancias en las que se realiza la recogida de los mismos.
Esta información debe incluirse en los formularios de recogida de los datos
Toda persona tiene derecho a saber si sus datos personales van a incluirse en un fichero y qué tratamientos se realizarán con los mismos.
En el caso de que los datos personales no se hubieran recogido directamente del interesado, el responsable del fichero debe informarle de la recogida de los mismos en el plazo de 3 meses siguientes al registro de los datos, excepto si ya hubiera sido informado con anterioridad.
El incumplimiento del deber de informar está tipificado como falta leve.
En los siguientes casos no es necesario el consentimiento de la persona:
  • Si el tratamiento tiene por objeto la satisfacción de un interés legítimo del responsable, y lo autoriza una norma con rango de Ley o una norma de derecho, y siempre que no prevalezca el interés o los derechos y libertadas fundamentales de los interesados previstos en el artículo 1 de la LOPD, o cuando sea necesario para que el responsable del tratamiento pueda cumplir un deber que le imponga una de dichas normas.
  • Si el tratamiento es necesario para el cumplimiento de un contrato o precontrato de una relación de negocios, laboral o administrativa, y los datos se refieren a las partes.
  • Si el tratamiento es necesario para proteger un interés vital del interesado o de otra persona, en el supuesto de que el afectado esté física o jurídicamente incapacitado para dar su consentimiento, y el tratamiento de los datos es necesario para la prestación de un servicio médico.
  • Si el tratamiento es necesario para cumplir las funciones de las Administraciones Públicas dentro de sus competencias.
  • Cuando la Ley habilite el tratamiento sin requerir el consentimiento del titular.
  • Cuando los datos figuren en fuentes de acceso público, y su tratamiento sea necesario por el responsable del fichero con interés legítimo o para un tercero a quien se comuniquen los datos.
La Ley especifica que debe haber un consentimiento expreso y escrito para el tratamiento de datos especiales: de ideología, religión, creencias y afiliación sindical. La Ley especifica que debe haber un consentimiento expreso pero no necesariamente escrito para el tratamiento de datos de relacionados con la salud, el origen racial y la vida sexual.
No se permite la creación de ficheros con el único fin de almacenar datos personales de los anteriormente citados, sólo si es necesario para el diagnóstico médico o asistencia sanitaria. Se excluyen de tal prohibición: los partidos políticos, sindicatos, iglesias, etc.
El consentimiento puede ser tácito, en el tratamiento de los datos que no sean especialmente protegidos, dando al afectado 30 días para manifestar su negativa al tratamiento, y advirtiendo que en caso de no pronunciarse al respecto, se entenderá que consiente el tratamiento de sus datos. El afectado dispondrá de un medio sencillo y gratuito para manifestar su negativa (carta prefranqueada, numero teléfono gratuito o servicios atención públicos). No se podrá volver a solicitar el consentimiento para los mismos fines y tratamientos hasta no pasar 1 año.
Un ejemplo de consentimiento específico se da en el caso del envío de comunicaciones comerciales realizadas a través de medios electrónicos (e-mail, sms, etc.) regulados por la LSSI. Este tipo de comunicaciones sólo podrá realizarse cuando hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas. También pueden realizarse cuando exista una relación contractual previa y se tuviesen los datos de contacto de forma lícita, y se empleen para el envío de comunicaciones relativas a productos/servicios de la misma empresa similares a los inicialmente contratados. Sin embargo, se debe ofrecer al destinatario la posibilidad de oponerse al envío mediante procedimiento sencillo y gratuito.
El tratamiento de datos sin consentimiento previo puede ser motivo de falta leve o grave según el caso.
Plazos de los derechos gratuitos que puede ejercer un titular:
  • Derecho de acceso: solicitar y obtener información de sus datos personales y los tratamientos de los mismos
    • Plazo de Contestación: 1 mes desde la solicitud
    • Acceso: 10 días desde la notificación de estimación de la solicitud.
  • Derecho de rectificación: Actualizar sus datos si son inexactos o incompletos
    • Plazo: 10 días
  • Derecho de cancelación: Borrados de sus datos si son inexactos o tratados ilegalmente (produce un bloqueo o un borrado físico según la legislación).
    • Plazo: 10 días
  • Derecho de oposición: Negarse al tratamiento de sus datos.
    • Plazo: 1 mes

Medidas de Seguridad

La LOPD indica que se deben adoptar las medidas técnicas necesarias para garantizar la seguridad de los datos personales, y evitar su alteración, pérdida, tratamiento o acceso no autorizado. Las medidas se aplicarán a ficheros y tratamientos (tanto automatizados como no automatizados), y al responsable del fichero y al encargado del tratamiento.
El artículo 9 de la LOPD condiciona las medidas al estado de la tecnología, la naturaleza de los datos y los riesgos a los que estén expuestos.
Se fijan tres niveles de seguridad:
  1. Nivel Alto: Ficheros o tratamientos relativos a datos especiales (ideología, afiliación sindical, salud, etc.), o relativos a fines policiales, o datos derivados de actos de violencia de género. Los ficheros con datos de nivel alto deben estar cifrado si se encuentran en dispositivos portátiles.
  2. Nivel Medio: Ficheros o tratamientos relativos a la comisión de infracciones, Ficheros para la prestación de servicios financieros (bancos), ficheros de las agencias tributarias (Hacienda), ficheros de la Seguridad Social, ficheros de las operadoras de Telecomunicaciones, ficheros con datos personales que permitan definir las características de los ciudadanos.
  3. Nivel Básico: todos los ficheros que tenga datos personales.
En caso de ficheros con datos especialmente protegidos, será suficiente la implantación de medidas de nivel básico cuando:
  • Los datos se utilicen sólo para realizar una transferencia dineraria a las entidades de las que el afectado sea miembro.
  • O se trate de ficheros no automatizados en los que de forma puntual estén dichos datos sin guardar relación con su finalidad
  • O se trate de ficheros con datos relativos a la salud, indicando únicamente el grado de discapacidad, con objeto del cumplimiento de deberes públicos.
El responsable del fichero debe crear un documento de seguridad y debe informar a todos los implicados de las normas de seguridad indicadas en el documento y velar por su respeto.
  • Debe guardarse secreto profesional sobre los datos personales a los que se tenga acceso.
Los productos de software destinados al tratamiento de datos personales deben incluir en su descripción el nivel de seguridad.

Sanciones

  • Infracciones leves: De 601,01 a 60.101,21 euros
  • Infracciones graves: De 60.101,211 a 300.506,05 euros
  • Infracciones muy graves: De 300.506,05 a 601.012,10 euros
La cuantía de la sanción será gradual en función de los datos afectos, los derechos violados, el volumen de los mismos, los beneficios obtenidos, la intención, reincidencia, daños y perjuicios, etc.

Deber de colaborar con la AEPD

  • La AEPD puede requerir la adopción de las medidas necesarias para adecuar los tratamientos a la LOPD
  • Ordenar el cese de los tratamientos y cancelación de los ficheros, cuando no se ajusten a las disposiciones de la LOPD
  • La AEPD puede solicitar ayuda e información para el desempeño de sus funciones: envío de documentos, datos, y examinarlos en las instalaciones donde están depositados, inspeccionar los equipos físicos y lógicos, etc.
  • El procedimiento consta de una Fase de Inspección y una Fase de Instrucción, existiendo un plazo de hasta 12 meses desde una posible denuncia.
  • Podrá realizar actuaciones presenciales y sin previo aviso.
Para la notificación de ficheros, existe el sistema NOTA:
  • Formulario electrónico PDF
    • Ficheros tipo: Existen ficheros de comunidades de propietarios, nóminas, RRHH, clientes y/o proveedores, gestión escolar, pacientes, agendas, nóminas, alumnos, etc.
    • Permite firma electrónica o presentación con firma manuscrita.
  • Interfaz XML: utilizando certificado o sin certificado.

Respuestas a preguntas frecuentes

Este es un listado de casos típicos en los que dudamos si se debe o no registrar:
  • Los ficheros con datos de los empleados deben registrarse (si tienen datos personales privados, DNI, etc.)
  • El directorio simple de empleados no debe registrarse (sólo nombre, apellidos, y datos de contacto profesionales).
  • Los ficheros de los colegios profesionales, deben registrarse.
  • La cesión de datos personales para el desarrollo de un servicio al interesado a un tercero es una cesión de datos legítima. Ej: cesión de datos básicos de un empleado a un Administrativo o a un Banco para realizar el pago de nómina del empleado.
  • Los formularios vía Web deben tener una política de privacidad, y debe garantizarse la lectura previa de dicha política.
  • Se debe modificar el registro de los ficheros actuales: sí, si son Mixtos (automatizados y no automatizados)
  • No se deben registrar ficheros de facturación y de contabilidad
  • Si un fichero de datos personales lleva DNI o NIF, se debe registrar
  • Los ficheros que con el RDLOPD son excepciones y no es necesario registrar, deben suprimirse del registro (cancelarse) si estaban previamente registrados
  • Los ficheros temporales, resultado de un tratamiento puntual, no deben registrarse, pero sí adoptar las medidas de seguridad equivalentes
  • Los ficheros para tratamiento periódicos aunque esporádicos, sí deben registrarse.
  • Un fichero con datos sobre nómina y datos de salud básicos (% discapacidad, etc.) tendrá un nivel básico de seguridad
  • Si un fichero tiene varios responsables, será necesario implantar un control de accesos para impedir accesos cruzados.
  • Se consideran datos de salud pero con nivel básico de seguridad a: %discapacidad, descripción básica de la discapacidad o invalidez, criterio de apto/no apto. Si se incluye la causa de la discapacidad, entonces tendrá nivel alto.

Conclusiones

Al tratarse de leyes, son de obligado cumplimiento, y por eso las empresas (tanto del sector como de otros) deben conocer las implicaciones de las mismas. En caso de duda, lo mejor es contactar con un especialista. Existen para ello numerosas asesorías jurídicas especializadas, y muchas empresas de hosting ya tienen servicios que ofertan en conjunto con asesorías.
Espero que este documento sirva como pequeño resumen sobre las implicaciones del Reglamento de Desarrollo de la LOPD, y como punto de entrada para buscar información más detallada sobre la LOPD y el desarrollo de la misma

domingo, 11 de diciembre de 2016

lopd resumen reglamento



Resultado de imagen de ley de proteccion de datos

Introducción

En este tutorial vamos a presentar un resumen de los cambios del Reglamento de Desarrollo de la LOPD que entraron en vigor el 19 de Abril 2008, y cómo afectan al Responsable de Ficheros.
Los datos personales se encuentran regidos actualmente por 3 leyes:
  1. La LOPD, Ley orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, está vigente desde el año 2000. La Ley tiene por objeto garantizar y proteger las libertades públicas y los derechos fundamentales de las personas físicas, de su honor e intimidad, en relación al tratamiento de sus datos personales. El espíritu de la ley se basa en el derecho a la protección de datos de carácter personal.
    La LOPD establece las obligaciones de los responsables de ficheros y los encargados de los tratamientos deben cumplir, tanto en organismos públicos como privados, para garantizar el derecho a la protección de los datos personales.
  2. La LGT, Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones.
  3. La LSSI, Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico, que atribuyen a la AEPD (Agencia Española de Protección de Datos) la tutela de los derechos y garantías de abonados y usuarios en el ámbito de las comunicaciones electrónicas (correos electrónicos).
El reglamento de desarrollo de la LOPD (RDLOPD) ha venido a clarificar ciertos aspectos de la LOPD que dejaban lagunas de interpretación. Entró en vigor el 19 de abril de 2008 para todos los nuevos ficheros y tratamientos realizados a partir de esa fecha, y propone una moratoria o régimen de transición de 12 meses para la adaptación de los ficheros y tratamientos automatizados preexistentes. 
Algunas de las novedades más destacadas de la ley son:
  • Se regulan los datos personales relativos a los fallecidos
  • Los datos de empresarios individuales no estarán sometidos a la LOPD para uso profesional.
  • Los datos de contacto de las personas físicas no estarán sometidos a la LOPD para uso profesional.
  • El tratamiento regulado debe ser en territorio español.
  • Subcontratación del servicio de tratamiento de los datos por parte del Responsable del fichero.
  • Simplicidad en el ejercicio de los derechos y gratuidad de los mismos.
  • Tratamiento específico para ficheros de solvencia patrimonial y ficheros con fines publicitarios (ficheros de exclusión).
  • Regulación de la transferencia de datos internacionales
  • Regulación de la cesión de datos personales de los menores de edad (<14 años y >=14 años)
La LOPD define dos roles básicos: el Responsable de Ficheros y el Encargado del Tratamiento.

El Responsable del fichero

El responsable de un fichero o tratamiento es la entidad, persona u órgano administrativo que decide sobre la finalidad, el contenido y el uso del tratamiento de los datos personales. Ejemplos:
  • Una empresa será la responsable de los ficheros que contienen datos sobre sus empleados y clientes.
  • Un autónomo o empresario individual será responsable del tratamiento de los datos personales de sus clientes
  • Un Ayuntamiento será responsable del fichero del padrón
Un responsable tiene las siguientes obligaciones:
  • Notificar la inscripción de los ficheros en el Registro de la AEPD
  • Asegurar que los datos son de calidad, es decir, adecuados, veraces y obtenidos lícita y legítimamente, y tratados de forma proporcional a la finalidad con la que se recogieron: no usarlos para otros fines, no recoger más datos de los necesarios, mantenerlos actualizados, y cancelarlos si ya no son necesarios.
  • Garantizar el cumplimiento de los deberes secreto y seguridad.
  • Informar a los titulares de los datos sobre la recogida de los mismos.
  • Obtener el consentimiento para el tratamiento de los mismos.
  • Facilitar y garantizar el ejercicio de los derechos de oposición al tratamiento, acceso, rectificación y cancelación.
  • Asegurar que en relaciones con terceros que le presten servicios que necesiten el acceso a los datos, se siga cumpliendo lo dispuesto en la LOPD.
  • Cumplir, adicionalmente, con lo que indique la legislación vigente en el sector correspondiente que le sea de aplicación.

El Encargado del fichero

El encargado del fichero o tratamiento es la persona física o jurídica, pública o privada, u órgano administrativo que, sólo o junto a otros, trate datos de carácter personal por cuenta del Responsable del fichero, gracias a la existencia de un contrato de servicios que define el ámbito de actuación y la prestación del servicio. Ejemplos:
  • Una empresa que presta servicios para la realización de envíos postales
  • Un informático, autónomo, que realiza tareas de mantenimiento software sobre el fichero de datos del responsable.
  • Un gestor administrativo que confecciona las nóminas y gestiona el fichero de personal.
No se considera encargado del fichero, a la persona física que tenga acceso a los datos personales, si tiene condición de empleado dentro de la relación laboral que mantiene con el responsable del fichero.
Tanto el Responsable del fichero como el Encargado del tratamiento, pueden ser sancionados si no cumplen con sus obligaciones.

¿Cómo saber si se van a tratar datos personales?

Siempre que en un formulario, o de alguna forma se recojan datos personales que permitan identificar una persona directa o indirectamente, como por ejemplo:
  • Nombre
  • Apellidos
  • Fecha nacimiento
  • Dirección postal
  • Dirección correo electrónico
  • Número de teléfono
  • NIF, huella digital, ADN o número de Seguridad Social
  • Fotografía
En estos casos, se están tratando datos personales y se deben cumplir las obligaciones de la LOPD. Ejemplos:
  • Una persona que abre una cuenta bancaria
  • Se apunta en un gimnasio
  • Se registra en un hotel, etc.
Se exceptúan aquellos casos en los que el uso de los datos sea para una actividad personal o doméstica (Ej: agenda personal)
  • Ficheros mantenidos por personas físicas para actividades personales o domésticas (Ej: agenda personal)
  • Ficheros sometidos a normativa sobre protección de materias clasificadas.
  • Ficheros establecidos para la investigación del terrorismo y delincuencia organizada.
Existen casos en los que la LOPD indica que se aplicarán disposiciones específicas:
  • Ficheros regulados por la legislación de régimen electoral, y ficheros estadísticos.
  • Ficheros derivados del Registro Civil y Registro central de penados.
  • Ficheros de imágenes y sonidos obtenidos por videocámaras de las Fuerzas y Cuerpos de Seguridad.

La Agencia de Protección de Datos

La Agencia Española de Protección de Datos (AEPD) protege los derechos de los ciudadanos, es el ente encargado de velar por el cumplimiento de la normativa, y actúa de forma totalmente independiente de las Administraciones Públicas.
La AEPD informa y ayuda, tanto a los ciudadanos como los responsables de fichero y encargados de tratamiento a ejercitar y a cumplir las obligaciones correspondientes en cada caso.
La AEPD facilita el derecho de consulta de los ciudadanos permitiendo acceder a la información básica de todos los ficheros públicos y privados registrados.
Además la AEPD realiza, de forma preventiva, inspecciones sectoriales de oficio, para evaluar el cumplimiento de todas las garantías previstas en la normativa, detectando deficiencias y formulando recomendaciones para su corrección. (www.agpd.es)

Notificación de ficheros al Registro

El Responsable del fichero debe notificar la creación del fichero al Registro General de Protección de Datos (RGPD) de la AEPD, en los siguientes casos:
  • Con anterioridad al uso del fichero
  • Cuando se producen cambios en el mismo que afectan al registro
  • Cuando cesa el uso del fichero
Al registrar el fichero, implica que el fichero cumple con todas las exigencias legales. El coste de registro es gratuito, y permite que los titulares de los datos puedan conocer quién es el responsable del fichero, por si necesitan ejercitar sus derechos de acceso, rectificación, cancelación y oposición.
La NO notificación de un fichero, supone una sanción que puede ir de leve a grave dependiendo del caso.
El acceso al registro (RGPD) es público y gratuito.

Requisitos Ámbito Privado

Se pueden crear ficheros privados que tengan datos personales cuando resulten necesarios para realizar una actividad u objeto legítimo y se respeten las garantían indicadas en la LOPD.

Requisitos Ámbito Público:

La creación, modificación o supresión de los ficheros de las Administraciones Públicas sólo podrán hacerse mediante disposición general publicada en el BOE o diario oficial correspondiente. La disposición obliga a que la disposición describa detalladamente identificación, origen, transferencias internacionales, órganos responsables y otra serie de informaciones.
Un fichero es “todo conjunto organizado de datos de carácter personal, cualquiera que fuera la forma o modalidad de su creación, almacenamiento, organización y acceso”.
Existen dos tipologías de ficheros:
  1. Fichero no automatizado (papel): fichero de datos personales organizado de forma no automatizada, y estructurado conforme a criterios específicos relativos a personas físicas, y que permiten acceder sin esfuerzos desproporcionados a dichos datos.
  2. Fichero automatizado

Recogida datos. Obligación de informar

A la hora de recoger datos personales, se debe informar a los afectados, indicándoles:
  • Para qué se utilizaran los datos
  • Informando del fichero y de sus tratamientos
  • Indicando el responsable del fichero y su dirección o la de su representante.
  • Los destinatarios de la información (en su caso)
  • Del carácter obligatorio u opcional de la inscripción en el mismo para la prestación del servicio
  • De las consecuencias de lo obtención de los datos o de la negativa a suministrarlos
  • De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
La ley exime del deber de informar sobre algunos los aspectos anteriores cuando se deduzcan de la naturaleza de los propios datos personales y de las circunstancias en las que se realiza la recogida de los mismos.
Esta información debe incluirse en los formularios de recogida de los datos
Toda persona tiene derecho a saber si sus datos personales van a incluirse en un fichero y qué tratamientos se realizarán con los mismos.
En el caso de que los datos personales no se hubieran recogido directamente del interesado, el responsable del fichero debe informarle de la recogida de los mismos en el plazo de 3 meses siguientes al registro de los datos, excepto si ya hubiera sido informado con anterioridad.
El incumplimiento del deber de informar está tipificado como falta leve.
En los siguientes casos no es necesario el consentimiento de la persona:
  • Si el tratamiento tiene por objeto la satisfacción de un interés legítimo del responsable, y lo autoriza una norma con rango de Ley o una norma de derecho, y siempre que no prevalezca el interés o los derechos y libertadas fundamentales de los interesados previstos en el artículo 1 de la LOPD, o cuando sea necesario para que el responsable del tratamiento pueda cumplir un deber que le imponga una de dichas normas.
  • Si el tratamiento es necesario para el cumplimiento de un contrato o precontrato de una relación de negocios, laboral o administrativa, y los datos se refieren a las partes.
  • Si el tratamiento es necesario para proteger un interés vital del interesado o de otra persona, en el supuesto de que el afectado esté física o jurídicamente incapacitado para dar su consentimiento, y el tratamiento de los datos es necesario para la prestación de un servicio médico.
  • Si el tratamiento es necesario para cumplir las funciones de las Administraciones Públicas dentro de sus competencias.
  • Cuando la Ley habilite el tratamiento sin requerir el consentimiento del titular.
  • Cuando los datos figuren en fuentes de acceso público, y su tratamiento sea necesario por el responsable del fichero con interés legítimo o para un tercero a quien se comuniquen los datos.
La Ley especifica que debe haber un consentimiento expreso y escrito para el tratamiento de datos especiales: de ideología, religión, creencias y afiliación sindical. La Ley especifica que debe haber un consentimiento expreso pero no necesariamente escrito para el tratamiento de datos de relacionados con la salud, el origen racial y la vida sexual.
No se permite la creación de ficheros con el único fin de almacenar datos personales de los anteriormente citados, sólo si es necesario para el diagnóstico médico o asistencia sanitaria. Se excluyen de tal prohibición: los partidos políticos, sindicatos, iglesias, etc.
El consentimiento puede ser tácito, en el tratamiento de los datos que no sean especialmente protegidos, dando al afectado 30 días para manifestar su negativa al tratamiento, y advirtiendo que en caso de no pronunciarse al respecto, se entenderá que consiente el tratamiento de sus datos. El afectado dispondrá de un medio sencillo y gratuito para manifestar su negativa (carta prefranqueada, numero teléfono gratuito o servicios atención públicos). No se podrá volver a solicitar el consentimiento para los mismos fines y tratamientos hasta no pasar 1 año.
Un ejemplo de consentimiento específico se da en el caso del envío de comunicaciones comerciales realizadas a través de medios electrónicos (e-mail, sms, etc.) regulados por la LSSI. Este tipo de comunicaciones sólo podrá realizarse cuando hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas. También pueden realizarse cuando exista una relación contractual previa y se tuviesen los datos de contacto de forma lícita, y se empleen para el envío de comunicaciones relativas a productos/servicios de la misma empresa similares a los inicialmente contratados. Sin embargo, se debe ofrecer al destinatario la posibilidad de oponerse al envío mediante procedimiento sencillo y gratuito.
El tratamiento de datos sin consentimiento previo puede ser motivo de falta leve o grave según el caso.
Plazos de los derechos gratuitos que puede ejercer un titular:
  • Derecho de acceso: solicitar y obtener información de sus datos personales y los tratamientos de los mismos
    • Plazo de Contestación: 1 mes desde la solicitud
    • Acceso: 10 días desde la notificación de estimación de la solicitud.
  • Derecho de rectificación: Actualizar sus datos si son inexactos o incompletos
    • Plazo: 10 días
  • Derecho de cancelación: Borrados de sus datos si son inexactos o tratados ilegalmente (produce un bloqueo o un borrado físico según la legislación).
    • Plazo: 10 días
  • Derecho de oposición: Negarse al tratamiento de sus datos.
    • Plazo: 1 mes

Medidas de Seguridad

La LOPD indica que se deben adoptar las medidas técnicas necesarias para garantizar la seguridad de los datos personales, y evitar su alteración, pérdida, tratamiento o acceso no autorizado. Las medidas se aplicarán a ficheros y tratamientos (tanto automatizados como no automatizados), y al responsable del fichero y al encargado del tratamiento.
El artículo 9 de la LOPD condiciona las medidas al estado de la tecnología, la naturaleza de los datos y los riesgos a los que estén expuestos.
Se fijan tres niveles de seguridad:
  1. Nivel Alto: Ficheros o tratamientos relativos a datos especiales (ideología, afiliación sindical, salud, etc.), o relativos a fines policiales, o datos derivados de actos de violencia de género. Los ficheros con datos de nivel alto deben estar cifrado si se encuentran en dispositivos portátiles.
  2. Nivel Medio: Ficheros o tratamientos relativos a la comisión de infracciones, Ficheros para la prestación de servicios financieros (bancos), ficheros de las agencias tributarias (Hacienda), ficheros de la Seguridad Social, ficheros de las operadoras de Telecomunicaciones, ficheros con datos personales que permitan definir las características de los ciudadanos.
  3. Nivel Básico: todos los ficheros que tenga datos personales.
En caso de ficheros con datos especialmente protegidos, será suficiente la implantación de medidas de nivel básico cuando:
  • Los datos se utilicen sólo para realizar una transferencia dineraria a las entidades de las que el afectado sea miembro.
  • O se trate de ficheros no automatizados en los que de forma puntual estén dichos datos sin guardar relación con su finalidad
  • O se trate de ficheros con datos relativos a la salud, indicando únicamente el grado de discapacidad, con objeto del cumplimiento de deberes públicos.
El responsable del fichero debe crear un documento de seguridad y debe informar a todos los implicados de las normas de seguridad indicadas en el documento y velar por su respeto.
  • Debe guardarse secreto profesional sobre los datos personales a los que se tenga acceso.
Los productos de software destinados al tratamiento de datos personales deben incluir en su descripción el nivel de seguridad.

Sanciones

  • Infracciones leves: De 601,01 a 60.101,21 euros
  • Infracciones graves: De 60.101,211 a 300.506,05 euros
  • Infracciones muy graves: De 300.506,05 a 601.012,10 euros
La cuantía de la sanción será gradual en función de los datos afectos, los derechos violados, el volumen de los mismos, los beneficios obtenidos, la intención, reincidencia, daños y perjuicios, etc.

Deber de colaborar con la AEPD

  • La AEPD puede requerir la adopción de las medidas necesarias para adecuar los tratamientos a la LOPD
  • Ordenar el cese de los tratamientos y cancelación de los ficheros, cuando no se ajusten a las disposiciones de la LOPD
  • La AEPD puede solicitar ayuda e información para el desempeño de sus funciones: envío de documentos, datos, y examinarlos en las instalaciones donde están depositados, inspeccionar los equipos físicos y lógicos, etc.
  • El procedimiento consta de una Fase de Inspección y una Fase de Instrucción, existiendo un plazo de hasta 12 meses desde una posible denuncia.
  • Podrá realizar actuaciones presenciales y sin previo aviso.
Para la notificación de ficheros, existe el sistema NOTA:
  • Formulario electrónico PDF
    • Ficheros tipo: Existen ficheros de comunidades de propietarios, nóminas, RRHH, clientes y/o proveedores, gestión escolar, pacientes, agendas, nóminas, alumnos, etc.
    • Permite firma electrónica o presentación con firma manuscrita.
  • Interfaz XML: utilizando certificado o sin certificado.

Respuestas a preguntas frecuentes

Este es un listado de casos típicos en los que dudamos si se debe o no registrar:
  • Los ficheros con datos de los empleados deben registrarse (si tienen datos personales privados, DNI, etc.)
  • El directorio simple de empleados no debe registrarse (sólo nombre, apellidos, y datos de contacto profesionales).
  • Los ficheros de los colegios profesionales, deben registrarse.
  • La cesión de datos personales para el desarrollo de un servicio al interesado a un tercero es una cesión de datos legítima. Ej: cesión de datos básicos de un empleado a un Administrativo o a un Banco para realizar el pago de nómina del empleado.
  • Los formularios vía Web deben tener una política de privacidad, y debe garantizarse la lectura previa de dicha política.
  • Se debe modificar el registro de los ficheros actuales: sí, si son Mixtos (automatizados y no automatizados)
  • No se deben registrar ficheros de facturación y de contabilidad
  • Si un fichero de datos personales lleva DNI o NIF, se debe registrar
  • Los ficheros que con el RDLOPD son excepciones y no es necesario registrar, deben suprimirse del registro (cancelarse) si estaban previamente registrados
  • Los ficheros temporales, resultado de un tratamiento puntual, no deben registrarse, pero sí adoptar las medidas de seguridad equivalentes
  • Los ficheros para tratamiento periódicos aunque esporádicos, sí deben registrarse.
  • Un fichero con datos sobre nómina y datos de salud básicos (% discapacidad, etc.) tendrá un nivel básico de seguridad
  • Si un fichero tiene varios responsables, será necesario implantar un control de accesos para impedir accesos cruzados.
  • Se consideran datos de salud pero con nivel básico de seguridad a: %discapacidad, descripción básica de la discapacidad o invalidez, criterio de apto/no apto. Si se incluye la causa de la discapacidad, entonces tendrá nivel alto.

Conclusiones

Al tratarse de leyes, son de obligado cumplimiento, y por eso las empresas (tanto del sector como de otros) deben conocer las implicaciones de las mismas. En caso de duda, lo mejor es contactar con un especialista. Existen para ello numerosas asesorías jurídicas especializadas, y muchas empresas de hosting ya tienen servicios que ofertan en conjunto con asesorías.
Espero que este documento sirva como pequeño resumen sobre las implicaciones del Reglamento de Desarrollo de la LOPD, y como punto de entrada para buscar información más detallada sobre la LOPD y el desarrollo de la misma