Bien, resulta que me he "independizado", nada ostentoso, un espacio en casa (solución práctica y económica). Y antes de empezar, uno ha de ponerse en serio con la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD). Y tan en serio, porque las sanciones en caso de incumplimiento son terribles (todos nos acordamos de "las funciones de la pena" y la disuasoria es en este caso la que más efecto tiene).
Bien, soy Licenciada en Derecho y ejerzo como abogada, así que una ley no me asusta, sólo faltaba que tuviera que contratar a una empresa para hacer algo para lo que podrían contratarme a mí... ¡Ajá! ¡ERROR!
Sí, te sientes como el protagonista del anuncio del buscador de seguros# de coche, vamos como si te hubieran golpeado y empotrado contra una estantería. He encontrado el infierno en la tierra y se llama LOPD. Creo que es la primera vez que una Ley me hace llorar y eso que estoy estudiando Urbanismo :P
Como soy todo generosidad y altruismo, voy a compartir con todos vosotros cómo cumplir -sin ayuda- con la LOPD, eso sí, en varias "ediciones". Para empezar, unas explicaciones básicas para que os familiaricéis con algunos conceptos.
Como soy todo generosidad y altruismo, voy a compartir con todos vosotros cómo cumplir -sin ayuda- con la LOPD, eso sí, en varias "ediciones". Para empezar, unas explicaciones básicas para que os familiaricéis con algunos conceptos.
1. Se trata de una ley corta (49 artículos), pero densa (el desarrollo reglamentario es peor todavía y lo realiza el Real Decreto 1720/2007, de 21 de diciembre), que tiene por objeto "garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familia" y que se aplica a "los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado".
2. Principales derechos (ARCO):
a. Derecho de información en la recogida de datos sobre la existencia de un fichero, del responsable del mismo y de sus derechos. Ha de hacerse de forma previa, expresa, precisa e inequívoca.
b. Derecho de Acceso (a conocer y obtener gratuitamente información sobre sus datos de carácter personal sometidos a tratamiento).
c. Derecho de Rectificación (a corregir errores, modificar los datos que resulten ser inexactos o incompletos y garantizar la certeza de la información de tratamiento).
d. Derecho de Cancelación (a que se supriman los datos que resulten ser inadecuados o excesivos).
e. Derecho de Oposición (a que no se lleve a cabo el tratamiento de sus datos o se cese en el mismo).
Existen unas condiciones generales para todos ellos:
- Condiciones de ejercicio: los derechos de acceso, rectificación, cancelación y oposición son derechos independientes, de tal forma que no puede entenderse que el ejercicio de ninguno de ellos sea requisito previo para el ejercicio de otro;
- Procedimiento: deberá concederse al interesado un medio sencillo y gratuito para el ejercicio de los derechos ARCO. La comunicación debe contener: nombre y apellidos; fotocopia de su documento nacional de identidad; solicitud; dirección a efectos de notificaciones, fecha y firma.
3. Consentimiento: para el tratamiento de los datos de carácter personal se requiere el consentimiento expreso e inequívoco del afectado. El consentimiento puede ser revocado y a tal solicitud el responsable del fichero ha de responder expresamente y cesar en el tratamiento de los datos en el plazo de 10 días.
4. Cesión de datos sin consentimiento expreso: cuando responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control comporte la comunicación de los datos (sólo será legítima en cuanto se limite a la finalidad que la justifique).
5. Responsable del fichero: persona que decide sobre la finalidad, contenido y uso del tratamiento.
6. Encargado del tratamiento: la persona que trate datos personales por cuenta del responsable del tratamiento. Importante: no se considera encargado del tratamiento a la persona física que tenga acceso a los datos personales en su condición de empleado dentro de la relación laboral que mantiene con el responsable del fichero.
* Se consideraría encargado una empresa que se dedicase a la destrucción de archivos o al contable o asesor fiscal o laboral, si ese servicio estuviera subcontratado, por ejemplo. La casuística es amplia y variada.
7. Medidas de seguridad: existen tres niveles, según los tipos de datos a los que deba aplicarse. La propia AEPD ofrece un cuadro resumen con las medidasde seguridad a adoptar.
1) Básico: se aplica a todos los datos.
Consisten en:
a) Registro de incidencias: procedimiento y gestión de incidencias que afecten a los datos de carácter personal y registro en el que se haga constar el tipo de incidencia, el momento en que se ha producido, o en su caso, detectado, la persona que realiza la notificación, a quién se le comunica, los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas.
b) Los dispositivos de almacenamiento de los documentos deberán disponer de mecanismos que obstaculicen su apertura.
c) Control de acceso a los datos automatizados: el responsable del fichero establecerá los mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados.
d) Gestión de soportes y documentos:
1) Los soportes y documentos que contengan datos de carácter personal deberán permitir identificar el tipo de información que contienen, ser inventariados y sólo deberán ser accesibles por el personal autorizado para ello en el documento de seguridad (excepto cuando las características físicas del soporte lo imposibiliten, debiendo dejar constancia motivada en el documento de seguridad).
2) La salida de soportes y documentos fuera de los locales bajo el control del responsable del fichero o tratamiento deberá ser autorizada por el responsable del fichero o encontrarse autorizada en el documento de seguridad.
3) En el traslado de la documentación se adoptarán las medidas dirigidas a evitar la sustracción, pérdida o acceso indebido a la información durante su transporte.
4) Para desechar cualquier documento o soporte deberá procederse a su destrucción o borrado, mediante la adopción de medidas dirigidas a evitar el acceso a la información o su recuperación.
e) Identificación y autenticación: el responsable del fichero/tratamiento deberá adoptar las medidas que garanticen la correcta identificación y autenticación de los usuarios, de forma inequívoca y personalizada. Cuando el mecanismo de autenticación se base en la existencia de contraseñas, existirá un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad. El documento de seguridad establecerá la periodicidad –nunca superior a un año– con la que tienen que ser cambiadas.
f) Copias de respaldo y recuperación:
1) Realización como mínimo semanal de copias de respaldo, salvo que no se produzca ninguna actualización de los datos.
2) Procedimiento para la recuperación de los datos.
3) El responsable del fichero se encargará de verificar cada seis meses la correcta definición, funcionamiento y aplicación de los procedimientos de copias de respaldo y de recuperación de los datos.
2) Medio: se aplica a los datos relativos a :
- la comisión de infracciones administrativas o penales;
- solvencia patrimonial y crédito;
- aquellos de los que sean responsables las Administraciones tributarias;
- aquellos de los que sean responsables las entidades financieras;
- aquellos de los que sean responsables las Entidades Gestoras de la Seguridad Social o Mutuas de Accidentes y Enfermedades;
- aquellos que contengan un conjunto de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos.
Consisten en:
a) Registro de incidencias en el que habrán de consignarse, además, los procedimientos realizados de recuperación de datos, indicando la persona que ejecutó el proceso, los datos restaurados y qué datos ha sido necesario grabar manualmente, en su caso,
b) Designación en el documento de seguridad de uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en el mismo.
c) Auditoría bianual –interna o externa– que verifique el cumplimiento de las medidas de seguridad. Deberá realizarse cuando se realicen modificaciones en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad –por ejemplo, si cambias de programa de gestión–. La auditoría debe concluir con un informe que dictamine sobre la adecuación de las medidas y controles a la Ley y Reglamento, identificar sus deficiencias y proponer medidas correctoras o complementarias. Los informes serán analizados por el responsable de seguridad competente, que elevará las conclusiones al responsable del fichero/tratamiento y quedarán a disposición de la AEPD
d) Registro de entrada/salida de documento/soporte que permita conocer el tipo de documento o soporte, la fecha y hora, el emisor, el número de documentos o soportes, el tipo de información que contienen, la forma de envío y la persona responsable de la recepción.
d) Registro de entrada/salida de documento/soporte que permita conocer el tipo de documento o soporte, la fecha y hora, el emisor, el número de documentos o soportes, el tipo de información que contienen, la forma de envío y la persona responsable de la recepción.
e) Limitación de acceso no autorizado al sistema de información (poner número máximo de intento de accesos).
f) Control de acceso físico a los lugares donde se hallen instalados los equipos físicos que den soporte a los sistemas de información –vamos, llave o código de seguridad para entrar al despacho–.
3) Alto: aplicable a los ficheros o tratamientos de datos de carácter personal que contengan o se refieran a:
- ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual (excepto cuando los datos se utilicen con la finalidad de realizar una transferencia dineraria a las entidades de las que los afectados sean asociados o miembros o se trate de ficheros en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad);
- datos recabados para fines policiales sin consentimiento de las personas afectadas;
- datos derivados de actos de violencia de género.
Consisten en, además de las medidas de seguridad básicas y medias:
a) Identificación de los soportes mediante sistema de etiquetado comprensible para los usuarios pero que dificulten la identificación para el resto de personas.
b) Cifrado de los datos que contengan los dispositivos portátiles cuando éstos se encuentren fuera de las instalaciones que están bajo el control del responsable del fichero.
c) Copia de seguridad de los datos en lugar diferente de aquel en que se encuentren los equipos informáticos que los tratan.
d) Registro de acceso: se guardarán durante dos años la identificación del usuario, la fecha y la hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado. El responsable de seguridad revisará al menos una vez al mes la información de control registrada y elaborará un informe de las revisiones realizadas y los problemas detectados. Se exceptúa esta obligación cuando el responsable del fichero/tratamiento sea una persona física o se garantice únicamente el acceso y tratamiento de los datos personales únicamente por el responsable, circunstancias que deberán hacerse constar expresamente en el documento de seguridad.
e) Transmisión de los datos mediante cifrado u otro mecanismo que garantice que no sea inteligible ni manipulada por terceros.
f) Los armarios, archivadores u otros elementos en los que se almacenen los ficheros no automatizados deberán encontrarse en áreas en las que el acceso esté protegido con puertas de acceso dotadas de sistemas de apertura mediante llave u otro dispositivo equivalente. Dichas áreas deberán permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en el fichero. Si, atendidas las características de los locales de que dispusiera el responsable del fichero o tratamiento, no fuera posible cumplir lo establecido en el apartado anterior, el responsable adoptará medidas alternativas que, debidamente motivadas, se incluirán en el documento de seguridad.
8. Documento de seguridad: es aquel documento que recoge las medidas de índole técnica y organizativa acordes a la normativa de seguridad vigente que será de obligado cumplimiento para el personal con acceso a los sistemas de información. Debe contener una serie de aspectos mínimos, de conformidad con el nivel de seguridad aplicable.
* En la página web de la AEPD podéis encontrar un modelo de documento de seguridad, que deberéis personalizar.
9. Notificación e inscripción de ficheros: los ficheros de carácter personal de titularidad privada serán notificados a la AEPD con carácter previo a su creación. La notificación deberá indicar la identificación del responsable del fichero, la identificación del fichero, sus finalidades y los usos previstos, el sistema de tratamiento empleado en su organización, el colectivo de personas sobre el que se obtienen los datos, el procedimiento y procedencia de los datos, las categorías de datos, el servicio o unidad de acceso, la indicación de medidas de seguridad básico, medio o alto exigible, y en su caso, la identificación del encargado del tratamiento en donde se encuentre ubicado el fichero y los destinatarios de cesiones y transferencias internacionales de datos. La notificación se deberá efectuar cumplimentando los modelos o formularios electrónicos publicados al efecto por la AEPD, bien en soporte electrónico, informático o en soporte papel, debiendo designar un domicilio a efectos de notificaciones en el procedimiento. El plazo máximo para dictar y notificar la resolución acerca de la inscripción será de un mes, teniendo el silencio carácter positivo. La notificación de un fichero de datos de carácter personal es independiente del sistema de tratamiento empleado en su organización y del soporte o soportes empleados para el tratamiento de los datos. Cuando los datos de carácter personal objeto de un tratamiento estén almacenados en diferentes soportes, automatizados y no automatizados o exista una copia en soporte no automatizado de un fichero automatizados, sólo será precisa una notificación. No obstante, cuando se cree un fichero del que resulten responsables varias personas o entidades simultáneamente, cada una de ellas deberá notificar, a fin de proceder a su inscripción, la creación del correspondiente fichero.
* La inscripción de los ficheros de forma telemática se realiza a través de la propia página web.
10. Notificación de la modificación o supresión de ficheros: la inscripción del fichero deberá encontrarse actualizada en todo momento. Cualquier modificación que afecte al contenido de la inscripción de un fichero deberá ser previamente notificada a la AEPD mediante el procedimiento de inscripción. En el mismo sentido deberá ser notificada la cancelación cuando se proceda a la supresión del fichero.
Ya tienes los conceptos. Sí, es un rollo, pero necesario. Sigue en:
- Cumplir con la LOPD y no morir en el intento (II).
- Cumplir con la LOPD y no morir en el intento (III).
- Cumplir con la LOPD y no morir en el intento (IV).
# La imagen se corresponde con el anuncio de televisión del comparador de seguros acierto.com.
No hay comentarios:
Publicar un comentario