Volumen 1. ORGANIZACI\u00d3N Y GESTI\u00d3N DE LOS SISTEMAS DE INFORMACI\
3 1 . La le g isl a c i\u00f3 n d e p r o te cci \u00f3 n d e d a t o s d e ca r \u0 d i r e ctiv a 9 5 / 4 6 / CE. La Ley Org \u00e1 n i ca d e Pro te cci \u00 ca r \u00e1 ct er p er so n a l ( LOPD) . RD 9 9 41 / 9 9 9 Re g l a m e n t o M e d i d a s d e Se g u r i d a d d e lo s Fi ch er o s Au t o m a t i za d o s q u co n te n g a n D a t o s d e ca r \u00e1 cte r p e r so n a l . La Ag en ci a E Pr o t e cc i \u00f3 n d e D a t o s ( AEPD) . AUTOR: Mar\u00eda Jos\u00e9 Blanco Ant\u00f3n Su m a r i o 31.01. 31.02. 31.03. 31.03.01 31.03.02 31.03.03 31.03.04 31.03.06 31.03.07 31.03.08 31.03.09 31.03.10
Int roducci\u00f3n. Marco jur\u00eddico del derecho de prot ecci\u00f3n de datos. Ley Org\u00e1nica 15/1999. Directiva 95/46/CE. \u00c1mbito de aplicaci\u00f3n. Datos de car\u00e1cter personal. Fichero y trat amiento de datos. Principios de pr ot ecci\u00f3n de datos. Calidad de los datos. Consentimiento del af ectado. Datos especialment e prot egidos. Derechos de las personas. Cesiones de datos. Movimientos int ernacionales de datos. Ficheros de titularidad p\u00fablica.
Volumen 1. ORGANIZACI\u00d3N Y GESTI\u00d3N DE LOS SISTEMAS DE INFORMACI\u00d3N
Bi b l io g r a f \u00eda -
Jornadas sobre el derecho espa\u00f1ol de la protecci\u00f3n de datos personales. Madr id, Octubre- 1996. Varios autor es. Memorias de la Agencia de Protecci\u00f3n de Datos. Directiva 95/ 46/ CE, de de 24 de octubre de 1995, del Parlamento Europeo y del Consejo. Real Decreto 428/ 1993, de 26 de marzo, por el que se aprueba el Estatuto de la AEPD. Real Decreto 1332/ 94 de 20 de junio, que el regula procedimiento de notificaci\u00f3n e inscripci\u00f3n de ficheros. Real Decreto 156/ 1996, de 2 de febrero, por el que se modifica el Estatuto de la AEPD. Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de Medidas de Seguridad de los ficheros automatizados que contengan datos de car\u00e1cter personal. Ley Org\u00e1nica 15/ 1999, de 13 de diciembre, de Protecci\u00f3n de Datos de car\u00e1cter personal. Real Decreto 195/ 2000, de 11 de febrero, por el que se establece el plazo para implantar las medidas de seguridad de los ficheros automatizados previstas por el Reglamento aprobado por el Real Decreto 994/ 1999, de 11 de junio. Sentencia 292/ 2000 del Tribunal Constitucional, de 30 de noviembre. Directiva 2002/ 58/ CE, de 12 de julio de 2002, del Parlamento Europeo y del Consejo. Ley 8/ 2001, de 13 de julio, de Protecci\u00f3n de Datos de Car\u00e1cter Personal en la Comunidad de Madrid. Ley 5/ 2002, de 19 de abril, de la Agencia Catalana de Protecci\u00f3n de Datos. Ley 34/ 2002, de 11 de julio, de Servicios de la Sociedad de la I nformaci\u00f3n y de Comercio Electr\u00f3nico. Ley 32/ 2003, de 3 de noviembre, General de Telecomunicaciones. Ley 2/ 2004, de 25 de febrero de 2004, del Parlamento Vasco. Resoluciones del 1/ 7/2006 y 1/ 9/2006 de la AEPD. Web de la Agencia Espa\u00f1ola de Protecci\u00f3n de Datos, www.agpd.es
Volumen 1. ORGANIZACI\u00d3N Y GESTI\u00d3N DE LOS SISTEMAS DE INFORMACI\
3 1 .0 1 .
In t r o d u cci\u00f3 n .
Como int roducci\u00f3n de este tema podr\u00eda ut ilizar se los 72 considerandos que se establecen e Directiva 95/46/CE del Parlamento Europeo y del Consej o, de 24 de octubre de 1995, relat iva a la pr ot e personas f\u00edsicas en lo que respecta al trat amiento de datos personales y a la libre circulaci\u00f3n objet o es que los Estados miembr os garanticen, con arreglo a las disposiciones de la pr opia Directiva, la p las libertades y de los derechos fundament ales de las personas f\u00edsicas, y, en particular, del derec que respecta al trat amiento de los datos personales. Dicha Directiva establece un marco com\u00fan para todos los Estados miembros de la U.E. en la mate ella se considera que los sistemas de trat amiento de datos est\u00e1n al servicio del hombre y que esto que sea la nacionalidad o la residencia de las personas f\u00edsicas, respetar las libertades y derechos fu personas f\u00edsicas y, en particular , la int imidad, y contribuir al progreso econ\u00f3mico y social, a int er cambios, as\u00ed como al bienestar de los individuos. Asimismo se considera que los principios d aplicarse a todos los trat amientos de datos personales cuando las actividades del responsable del trat a en el \u00e1mbito de aplicaci\u00f3n del Derecho comunitario.
En este tema se ver\u00e1 de forma resumida la Ley Org\u00e1nica de Prot ecci\u00f3n de datos de ca y el Reglamento de Medidas de Seguridad de los Ficheros Automat izados que contengan Datos de car\u0 (RD 994/ 99), as\u00ed como la organizaci\u00f3n y funciones de la Agencia Espa\u00f1ola de Prot Al final, en el apartado de conclusi\u00f3n se esboza un resumen de la \u00faltima hora del borrador d desar rollo de la LOPD, as\u00ed como las prioridades que ha establecido la AEPD en su nueva et apa, re inaugur ada con un nuevo Director de la Agencia. Asimismo se resumen los aspectos pr\u00e1cticos qu para adecuar los ficheros y trat amientos de datos de car \u00e1cter personal a la LOPD.
3 1 .0 2 . M a r co ju r \u00edd i c o d e l d e r e c h o d e p r o t e cc i \u00f3 n d e d a t o s.
Volumen 1. ORGANIZACIÓN Y GESTIÓN DE LOS SISTEMAS DE INFORMACIÓN
a la libertad frente a las potenciales agresiones a la dignidad y a la libertad de la persona provenientes de un uso ilegítimo del tratamiento automatizado de datos, lo que la Constitución llama ‘la informática’” .
Por ot ra parte, en el moment o de aprobar se la LORTAD se estaba tramitando en la U.E. la Directiva de Prot ecc Datos, Directiva 95/46/CE del Parlamento Europeo y del Consej o, de 24 de octubre de 1995, relat iva a la Prot ec las Personas Físicas en lo que respecta al trat amiento de datos personales y a la libre circulación de esto Es por ello que la LORTAD ya coincidía en los mismos principios y objet ivos que la Directiva, puesto que amba su origen común en el Convenio 108. Por lo tanto, los pilares básicos del trat amiento de datos, como son el consentimiento del af ectado y el derecho de inf ormación ya habían sido recogidos. También coincidía en los p aplicados al régimen de transf erencias int ernacionales de datos dictados por la Directiva. La Directiva viene a homogeneizar las legislaciones de la U.E. con el fin de facilitar los int er cambios comerciales, estableciendo un plazo de tres años para su transposición en los EE.MM., lo que da lugar a la aprobación de la vigent e Ley Orgánica 15/1999, de 13 de diciembre, de Prot ección de Datos de Carácter Personal (LOPD) que deroga a la LORTAD. El marco normativo en pr ot ección de datos se ha complet ado en base a desarrollos reglamentarios, instruccio jurisprudencia del Tr ibunal Constitucional. Sin perjuicio de la normativa existente, a continuación se relaciona normas directamente relacionadas con la materia: −
−
−
−
−
Ley Or gánica 15/1999, de 13 de diciembre, de Prot ección de Datos de Carácter Personal (LOPD). Real Decret o 428/ 1993, de 26 de marzo, por el que se aprueba el Estat ut o de la Agencia de Prot ección de Dato Real Decret o 156/ 1996, de 2 de febrer o, por el que se modifica el Estat ut o de la Agencia de Prot ección de Dato Real Decret o 1332/94 de 20 de junio, que regula el pr ocedimiento de notificación e inscripción de ficheros. Real Decret o 994/ 1999, de 11 de junio, por el que se aprueba el Reglamento de Medidas de Seguridad de ficheros automat izados que cont engan datos de carácter personal
Volumen 1. ORGANIZACIÓN Y GESTIÓN DE LOS SISTEMAS DE INFORMACIÓN
−
−
−
−
Carta de Derechos Fundamentales de la Unión Europea. Directiva 95/46/CE del Parlamento Europeo y del Consej o, de 24 de octubre de 1995, relat iva a la p las personas físicas en lo que respecta al trat amiento de datos personales y a la libre circulación de e Directiva 2002/58/CE del Parlamento Europeo y del Consej o, de 12 de julio de 2002, relat iva al trat am datos personales y a la prot ección de la int imidad en el sector de las comunicaciones electrónicas. Diversas decisiones de la Comisión de 26 de julio de 2000 con arreglo a la Directiva 95/46/CE del Pa Europeo y del Consej o relat iva al nivel de prot ección adecuado de los datos personales en Suiza, Hu Argent ina y Canadá, y sobre la adecuación conferida por los pr incipios de puerto seguro para la pr o vida pr ivada y las cor respondientes pr eguntas más frecuent es, publicadas por el Departamento de Estados Unidos de América.
Co m u n i d a d e s Au tó n o m a s En el ámbito autonómico se han publicado: −
−
−
Ley 8/ 2001, de 13 de julio, de Prot ección de Datos de Carácter Personal en la Comunidad de Madrid. Ley 5/ 2002, de 19 de abril, de la Agencia Catalana de Prot ección de Datos. Ley 2/ 2004 del Parlamento Vasco, de 25 de febrero, de Ficheros de Datos de Carácter Personal de Titu Pública y de Creación de la Agencia Vasca de Prot ección de Datos.
3 1 .0 3 .
Le y Or g á n i ca 1 5 / 1 9 9 9 . D i r e ct iv a 9 5 / 4 6 / CE. Ám b i t o d e a p lica ci ó n .
Tant o como la Directiva 95/46/CE, de 24 de octubre de 1995 del Parlamento Europeo y el Consej o, como la el artículo pr imero establecen por objet o el “garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente, de su honor e intimidad personal y familiar”.
Volumen 1. ORGANIZACIÓN Y GESTIÓN DE LOS SISTEMAS DE INFORMACIÓN
b)
Los que sirven a fines exclusivament e estadíst icos, y estén amparados por la legislación estat al o auton sobre la función estadística pública.
c)
Los que tengan por objet o el almacenamiento de los datos contenidos en los inf or mes personales d calificación a que se ref iere la legislación del Régimen del Personal de las Fuerzas Armadas.
d)
Los derivados del Registro Cv i il y del Registro Cent ral de Penados y Rebeldes.
e)
Los procedentes de imágenes y sonidos obtenidos mediante la ut ilización de videocámar as por las Fuer za Cuerpos de Seguridad, de conformidad con la legislación sobre la materia.
En cuant o al plazo de adecuación a esta Ley, los ficheros y trat amientos automat izados inscritos o no en el RGP deberán adecuarse dent ro del plazo de tres años, a contar desde su entrada en vigor. En dicho plazo, los fichero titularidad privada deberán ser comunicados a la AEPD, y las AA.PP., responsables de ficheros de titularidad pú deberán aprobar la pertinent e disposición de regulación del fichero o adaptar la existente. En el supuesto de fich trat amientos no automat izados, su adecuación a la presente Ley Or gánica, y la obligación prevista en el párraf anterior deberán cumpliment ar se en el plazo de 12 años a contar desde el 24 de octubre de 1995, sin perjuicio d ej ercicio de los derechos de acceso, rectificación y cancelación por parte de los af ectados. Est r u ct u r a d e la Le y Las principales características de esta ley son: -
La LOPD 15/99 se
compone de 49 artículos distribuidos
1.
Principios generales.
2.
Principios de la pr ot ección de datos.
3.
Derechos de las personas.
4
Disposiciones sector iales
en los 7
títulos siguientes:
Volumen 1. ORGANIZACIÓN Y GESTIÓN DE LOS SISTEMAS DE INFORMACIÓN
No cabe duda de la impor tancia de esta regulación, ya que la ut ilización de imagen y sonido ha experim aument o: controles de acceso a edificios, ficheros de la policía, en detección de inf racciones de tráf ico, y comercio mediante los terminales de inf or mación, en el terreno de la salud, et c. El reconocimiento de la imagen y el sonido como datos personales va a potenciar la prot ección de los m de la salvaguarda de la int imidad personal. La AEPD considera los datos biomét ricos como datos de car pero no los considera como datos de especial relevancia. Por ot ra parte, se considera, a los ef ectos de estos textos legales, las siguientes definiciones: -
Fi ch e r o es “ todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso” . Tr a t a m ie n to d e d a to s es “ el conjunto de operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias” . Re sp o n sa b l e d e l tra t a m ie n to o fichero es “ quien tiene el poder de decidir sobre la finalidad, contenido y uso del tratamiento o fichero aunque no tenga los datos en su sistema de información ”. Podr á ser persona física
jur ídica, de natur aleza pública o privada, u órgano administrat ivo. En ca rg a d o d e l tra t a m ie n to o fichero es “ quien solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento o fichero” . Los requisitos para que exista un encargado del trat amie que exista un “contrat o” entre el responsable y el encargado del trat amiento que contenga: las ins se deben seguir; las medidas de seguridad a realizar; que no se transmitan a un tercero; y que se d destruyan los datos al terminar la relación. Sin el contrat o, el encargado será considerado respons ef ectos.
3 1 .0 3 .0 2
o
Pr in cip i o s d e p r o t e cc i ó n d e d a t o s.
La sentencia 292/ 2000 del Tribunal Constitucional, de 30 de noviembr e, consagra “el derecho a la pr ot ecció de carácter personal como un derecho fundament al, independiente del derecho a la int imidad” (párraf os 6 y
Volumen 1. ORGANIZACIÓN Y GESTIÓN DE LOS SISTEMAS DE INFORMACIÓN
Los datos tienen que almacenar se de forma que permitan el ej er cicio del derecho de acceso, salvo que se legalment e cancelados. Está pr ohibido recoger datos por medios fraudulentos, desleales o ilícitos.
3 1 .0 3 .0 4 Co n se n t i m i e n t o d e l a f e ct a d o . La LOPD establece el pr incipio del consentimiento para el trat amiento de los datos en el art. 6, exigiendo un consentimiento inequívoco del af ectado, salvo que la Ley disponga ot ra cosa. Asimismo, la LOPD también dete necesario el consentimiento del int eresado para la comunicación o cesión de datos a terceros. El art. 11 estable los datos de carácter personal, objet o del trat amiento, sólo pueden ser comunicados a un tercero para el cum de fines directamente relacionados con las funciones legítimas del cedente y del cesionario, con el previo consentimiento del int eresado. Las características que debe tener la declaración de voluntad para el consentimiento son: que sea libr e, ineq específico e inf ormado. Las formas de este consentimiento pueden ser: expr eso o tácito, quedando pr ohibid consentimiento puramente presunto. Ex c e p cio n e s
Tant o para el trat amiento de los datos como para la cesión o comunicación de los mismos, la LOPD establece una s de excepciones al consentimiento: - Excepciones al consentimiento para el trat amiento de datos: Cuando los datos de carácter personal se recoj an para el ej ercicio de las funciones propias de la AA.PP. en el ámbito de sus competencias. Cuando se ref ieran a las partes de un contrat o o precontrat o comercial, laboral o administrat ivo. Cuando los datos figuren en fuent es accesibles al público y su trat amiento sea necesar io para la sat isfacción del int erés legítimo perseguido por el responsable del fichero siempre que no se o
o o
Volumen 1. ORGANIZACIÓN Y GESTIÓN DE LOS SISTEMAS DE INFORMACIÓN
pueden ser recabados, trat ados y cedidos cuando así lo dispone una Ley o el consentimiento expreso del af ectad (prot ección media) .
La LOPD, en el art. 7.6, dispone que los datos con prot ección máxima y media pueden ser trat ados cuan necesario para la prevención o el diagnóstico médicos, la prestación de asistencia sanitaria, trat amien sanitarios, siempre que los datos los maneje un prof esional sanitario suj et o al secret o prof esional u ot ra p a una obligación equivalente de secret o, cuando sea necesario para salvaguardar el int er és vital del af persona, en el supuesto de que el af ectado esté física o jurídicamente incapacitado para dar su con
Ot ra cat egor ía de datos especialment e pr ot egidos son los relat ivos a la comisión de infracciones penales o administrativas, regulados en el art. 7.5 de la LOPD. Este tipo de datos sólo pueden ser incluidos en fiche AA.PP. competentes en los supuestos previstos en las respect ivas normas reguladoras.
3 1 .0 3 .0 7
D e r e ch o s d e la s p e r so n a s.
Los derechos de oposición, acceso, rectificación y cancelación reconocidos en la LOPD coinciden con los d y constituyen los pilar es básicos de ésta. A continuación se presentan estos derechos: D e re ch o d e im p u g n a c i ó n d e v a lo r a cio n e s
El af ectado puede impugnar los actos administrat ivos o decisiones pr ivadas que impliquen una valor ac comportamiento cuyo único fundament o sea un trat amiento de datos de car ácter personal que of rezca u de sus características o personalidad. La valoración de los datos sólo tendrá carácter probat orio a petició D e re ch o d e co n su l ta a l RGPD
Cualquier persona podrá conocer , recabando a tal fin la inf or mación opor tuna del RGPD, la existencia de de datos de carácter personal, sus finalidades y la ident idad del responsable del trat amiento. El Registro G de consulta pública y gr at uita.
Volumen 1. ORGANIZACIÓN Y GESTIÓN DE LOS SISTEMAS DE INFORMACIÓN
D e re ch o d e o p o sici ó n El art. 6. 4 de la LOPD establece que en los casos en los que no sea necesario el consentimiento del af ectado pa trat amiento de los datos de car ácter personal, y siempre que una Ley no disponga lo contrar io, éste puede opo su trat amiento cuando existan motivos fundados y legítimos relat ivos a una concret a situación personal. En ta supuesto, el responsable del fichero debe excluir del trat amiento los datos relat ivos al af ectado. En el art. 30.4, al regular los trat amientos de datos con fines de publicidad y de pr ospección comercial, se dete que los int er esados tienen derecho a oponer se, previa petición y sin gastos, al trat amiento de sus datos, en cu deben cancelarse las inf ormaciones por la simple solicitud. D e re ch o d e in f o r m a ci ó n e n la re co g id a d e d a to s La Ley configura este derecho dent ro de los Principios de la prot ección de datos del Título II, a difer encia del res derechos de las personas que aparecen en el Título III. Cuando los datos son obtenidos del propio int er esado, e deberá ser previamente inf ormado de modo expreso, preciso e inequívoco de los siguientes aspectos: De la existencia de un fichero o trat amiento de datos de car ácter personal, de la finalidad de la recog éstos y de los destinatarios de la inf ormación. Del carácter obligatorio o facultat ivo de su respuesta a las preguntas que les sean planteadas. De las consecuencias de la obtención de los datos o de la negativa a suministrarlos. De la posibilidad de ej er citar los derechos de acceso, rectificación, cancelación y oposición. De la ident idad y dirección del responsable del trat amiento o, en su caso, de su representante.
Cuando el responsable del trat amiento no esté establecido en el territorio de la U.E. y ut ilice en el trat amiento de medios situados en territorio español, deberá designar, salvo que tales medios se ut ilicen con fines de tránsito, representante en España, sin perjuicio de las acciones que pudier an emprenderse contra el propio responsable d trat amiento.
Volumen 1. ORGANIZACIÓN Y GESTIÓN DE LOS SISTEMAS DE INFORMACIÓN
El procedimiento para la tut ela de derechos está desarrollado en el Real Decret o 1332/1994 y el mism instancia del af ectado, expresando con clar idad el contenido de su reclamación y de los preceptos de la L consideran vulnerados. Recibida la reclamación en la Agencia de Prot ección de Datos, ésta tiene que dar traslado de la misma a del fichero, para que, en el plazo de quince días, formule las alegaciones que estime pertinent es. Recibidas las alegaciones o transcurrido el plazo pr evisto en el apartado anterior, la Agencia de Prot ec resolver sobre la reclamación formulada, dando traslado de la misma a los int eresados. Cont ra las reso AEPD proceder á el recurso contencioso-administrat ivo.
3 1 .0 3 .0 8
Ce si o n e s d e d a t o s.
Se considera comunicación o cesión de datos toda revelación de datos realizada a una persona distint a de Las comunicaciones o cesiones de datos de carácter personal están reguladas en el art. 11 de la LOPD, e que “ sólo pueden ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario, y con el previo consentimiento del interesado” . Se exceptúan de este consentimiento las comunicaciones que se pr oduzcan en las siguientes circunstancia
Si la cesión está autor izada en una Ley. Si se trat a de datos recogidos de fuent es accesibles al público, entendiendo por tales, aquellos fich consulta puede ser realizada, por cualquier persona, no impedida por una norma limitat iva o sin m que, en su caso, el abono de una contraprestación. Tienen la consideración de fuent es de acceso p exclusivament e, el censo promocional, los repertor ios telef ónicos en los términos pr evistos por su n específica y las listas de personas pertenecientes a grupos de pr of esionales que contengan únicam de nombre, título, pr of esión, actividad, gr ado académico, dirección e indicación de su pertenencia a Asimismo, tienen el carácter de fuent es de acceso público los diar ios y bolet ines of iciales y los med ica ió
Volumen 1. ORGANIZACIÓN Y GESTIÓN DE LOS SISTEMAS DE INFORMACIÓN
Como norma general, el art. 33 de la LOPD determina que “ no podrán realizarse transferencias temporales ni definitivas de datos a países que no proporcionen un nivel de protección equiparable al que presta la ley española, salvo que se obtenga autorización previa del Director de la Agencia, que sólo podrá otorgarla si se obtienen garantías adecuadas”. A estos ef ectos se consideran países de nivel de prot ección equiparable los EE.MM. de la U.E. y los pa deter minados por la Comisión como son Suiza, EE.UU. (Safe Harbour), Canadá y Ar gent ina.
El car ácter de adecuado lo evaluará la AEPD teniendo en cuent a para ello las circunstancias que concur ran en transferencia: naturaleza de los datos, finalidad, duración del trat amiento, país de or igen y de destino final, las de Derecho vigent es en el país ter cer o, el contenido de los inf or mes de la Comisión de la U.E., así como las norm prof esionales y las medidas de seguridad en vigor en dichos países. Se exceptúa del requisito de Autor ización del Director de la Agencia, las transferencias que se realicen en los sig supuestos, regulados en el art. 34 de la LOPD: a) b) c) d) e) f) g) h) i) j)
Cuando la transfer encia resulte de la aplicación de trat ados o convenios en los que sea parte España. Cuando la transferencia se haga a ef ectos de prestar o solicitar auxilio judicial int ernacional. Cuando la transferencia sea necesaria para la prevención o el diagnóstico médico, la prestación de asiste sanitaria o trat amiento médicos o la gestión de servicios sanitarios. Cuando se ref iera a transf erencias dinerarias confor me a su legislación específica. Cuando el af ectado haya dado su consentimiento inequívoco. Cuando la transferencia sea necesaria para un contrat o entre el af ectado y el responsable del fichero. Cuando la transferencia sea necesaria o legalment e exigida para la salvaguarda de un int erés público co puede ser la solicitada por una Administración fiscal o aduanera. Cuando la transfer encia se necesite para el ej ercicio o defensa de un derecho en proceso judicial. Cuando la transferencia se ef ectúe, a petición de persona con int erés legítimo. Cuando la transferencia tenga como destino un Estado miembr o de la U.E. , o un Estado respecto del cu Comisión Europea haya declarado que garantiza un nivel de prot ección adecuado.
Volumen 1. ORGANIZACIÓN Y GESTIÓN DE LOS SISTEMAS DE INFORMACIÓN
g) Cualesquiera ot ras personas jurídico-públicas. Todo fichero de titularidad pública debe ser notificado a la AEPD por el órgano compet ente de la Admi responsable del fichero para su inscripción en el RGPD, mediante el modelo normalizado elabor ado po acompañado de una copia de la disposición de creación del fichero (ar t. 5 del Real Decret o 1332/1 Los ficheros de titular idad pública se inscriben, en el RGPD, de of icio por la AEPD, una vez haya recibido la disposición de creación del fichero (art. 7.1 Real Decret o 1332/1994). En los ficheros de titularidad pública, la inscripción contendr á las indicaciones previstas en el artículo 2 con la especificación de la disposición general de creación y del diario of icial de su publicación. (art. 7. 1332/1994, art. 24.2 del Real Decret o 428/ 1993). El Director de la Agencia puede resolver sobre la pr ocedencia o improcedencia de las inscripciones practicar se en el RGPD (ar t. 12.2 del Real Decret o 428/ 1993).
El art. 44.3. a) determina que proceder a la creación de ficheros de titularidad pública o iniciar la recogid car ácter personal para los mismos, sin autorización de disposición general publicada en el BOE o diar io o cor respondiente constituye una inf racción grave. Los ficheros de las Fuerzas y Cuerpos de Seguridad con fines administrat ivos están suj et os al régimen g Ley. Los ficheros de las Fuer zas y Cuer pos de Seguridad tienen un régimen especial en la aplicación de p prot ección de datos, cuando se ut ilicen con fines policiales, determinado en los arts. 22 y 23. Ex ce p cio n e s a lo s d e re ch o s d e lo s a f e cta d o s No será necesario inf or mar en la recogida de los datos de ficheros de titularidad pública cuando la inf or af ectado impida o dificulte gr avemente el cumplimiento de las funciones de control y verificación de las Administraciones Públicas o cuando af ecte a la Defensa Nacional, a la seguridad pública o a la persecuc
Volumen 1. ORGANIZACIÓN Y GESTIÓN DE LOS SISTEMAS DE INFORMACIÓN
Sistema de trat amiento. Medidas de segur idad.
El RGPD inscribirá el fichero si la notificación se aj usta a los requisitos exigibles (art. 26.4) . El RGPD debe notifi responsable del fichero de la inscripción (art. 7.3 Real Decret o 1332/ 1994). Si la notificación del fichero no es correcta, el Director de la Agencia puede requerir al responsable del fichero p subsane o complet e la notificación en el plazo de 10 días (art. 7.2 Real Decret o 1332/1994). Transcurrido un mes desde la presentación de la solicitud de inscripción sin que la AEPD hubier a resuelto so misma, se entenderá inscrito el fichero automat izado a todos los ef ectos (art. 26.5) . Cualquier modificación en contenido de la notificación debe comunicar se a la AEPD para su inscripción. D a to s in clu i d o s e n la s fu e n t e s d e a cce so p ú b l ico Los datos personales que figuren en el censo promocional o las listas de personas pertenecientes a grupos d pr of esionales de fuent es accesibles al público deben limitarse a los que sean estrictamente necesarios para cu finalidad a que se destina cada listado. La inclusión de datos adicionales por las entidades responsables del mant enimiento de dichas fuent es requerirá el consentimiento del int eresado, que podrá ser revocado en cua moment o. Los int eresados pueden exigir gr at uitamente la exclusión de la tot alidad de sus datos personales en el cen promocional. Pr e sta ció n d e se rv i ci o s d e in f o r m a ci ó n so b r e so lv e n cia p a trim o n i a l y cr é d ito Con esta finalidad sólo podr án trat arse datos de carácter personal obtenidos de los registros y las fuent es accesib público, establecidos al ef ecto o pr ocedentes de inf ormaciones facilitadas por el int eresado o con su consentimiento
Volumen 1. ORGANIZACIÓN Y GESTIÓN DE LOS SISTEMAS DE INFORMACIÓN
3 1 .0 3 .1 2 Có d i g o s t i p o . La Ley prevé que mediante acuerdos sectoriales, convenios administrat ivos o decisiones de empresa, lo de trat amientos de titularidad pública y privada, así como las or ganizaciones en que se agrupen, puede códigos tipo que establezcan las condiciones de or ganización, régimen de funcionamiento, pr ocedimie normas de seguridad del entorno, pr ogramas o equipos, obligaciones de los implicados en el trat amien inf ormación personal, así como las garantías, en su ámbito, para el ej er cicio de los derechos de las perso respeto a los principios y disposiciones de la presente Ley y sus normas de desar rollo.
Estos códigos tipo tienen el carácter de códigos deontológicos o de buena práctica pr of esional, debien depositados para su inscripción en el Registro General de Prot ección de Datos. El RGPD puede denegar la considera que no se aj usta a las disposiciones legales y reglamentar ias sobre la mater ia, debiendo, en e Director de la AEPD requerir a los solicitantes para que ef ectúen las correcciones opor tunas. Los particular es pueden obtener copias de los códigos tipo depositados e inscritos en el RGPD.
3 1 .0 3 .1 3 In f r a ccio n e s y sa n cio n e s. El Título VI I de la LOPD 15/99 recoge el régimen inf ractor y sancionador en donde se deter mina que los re de los ficheros y los encargados de los trat amientos estarán suj et os al régimen sancionador establecido Cuando se trat e de ficheros de los que sean responsables las AA.PP. se estar á, en cuant o al procedimien sanciones, a lo dispuesto en el art. 46. Los tipos de inf racciones que existen se califican como leves, gr av graves. Inf racciones leves: N
d
tiv s fo
le , la so icitu
d l in
o d
tifica ió
ió
d
Volumen 1. ORGANIZACIÓN Y GESTIÓN DE LOS SISTEMAS DE INFORMACIÓN
condiciones de seguridad que por vía reglamentaria se deter minen. No remitir a la AEPD las notificaciones previstas en la Ley o en sus disposiciones de desar rollo, así com pr opor cionarle en plazo cuant os documentos e inf or maciones deba recibir o sean requeridos por aquella. j) La obstrucción al ej er cicio de la función inspectora. k) No inscribir el fichero de datos de car ácter personal en el RGPD, cuando haya sido requerido para ello p Director de la Agencia. l) Incumplir el deber de inf ormación que se establece en los artículos 5, 28 Y 29, cuando los datos hayan sid recabados de persona distint a del af ectado. i)
Muy graves: a) b) c) d) e) f) g) h)
La recogida de datos en forma engañosa y fraudulenta. La comunicación o cesión de los datos de car ácter personal, fuera de los casos en que estén permitidas. Recabar y trat ar los datos de ideología, af iliación, religión y creencias cuando no medie el consen expreso del af ectado; recabar y trat ar los datos de vida sexual, raza y salud cuando no lo dispong el af ectado no haya consentido expr esamente, o violentar la pr ohibición contenida en el apartado 4 No cesar en el uso ilegítimo de los trat amientos de datos de car ácter personal cuando sea requerido para e por el Director de la AEPD o por las personas titulares del derecho de acceso. La transferencia temporal o definitiva de datos de carácter personal que hayan sido objet o de trat amie hayan sido recogidos para somet erlos a dicho trat amiento, con destino a países que no pr opor cionen u dé prot ección equiparable sin autorización del Director de la Agencia de Prot ección de Datos. Tr at ar los datos de carácter personal de for ma ilegítima o con menospr ecio de los pr incipios y gara les sean de aplicación, cuando con ello se impida o se at ente contra el ej ercicio de los derechos fundament ales La vulneración del deber de guar dar secret o sobre los datos de car ácter personal a que hacen ref er encia apartados 2 y 3 del art. 7, así como los que hayan sido recabados para fines policiales sin consentimiento d las personas af ectadas. No at ender u obstaculizar de forma sistemát ica el ej er cicio de los derechos de acceso, rectificación, cancelación u oposición. á ió ió á
Volumen 1. ORGANIZACIÓN Y GESTIÓN DE LOS SISTEMAS DE INFORMACIÓN
3 1 .0 4 .
Re g l a m e n t o d e M e d i d a s d e Se g u r i d a d d e lo s Fi c h e r o s Au t o m a t i za d o s q u e c o n t e D a t o s d e c a r á c t e r p e r so n a l . R D 9 9 4 / 1 9 9 9 .
La LOPD 15/1999, de 13 de diciembre, establece que, el responsable del fichero, y en su caso el encarg trat amiento, deberán velar por la seguridad de los datos y adoptar las medidas de índole técnica y or ga necesar ias, que garanticen la seguridad de los datos y eviten su alter ación, pérdida, trat amiento o acces autorizado, habida cuent a del estado de la tecnología, la naturaleza de los datos almacenados y los ries expuestos, ya provengan de la acción humana o del medio físico o natural. En los apar tados 2 y 3 del citado ar tículo se indica que por vía reglamentaria se establecer án las condicio reunir los ficheros relat ivas a la int egridad y segur idad, así como las personas, los centros de trat amiento equipos, sistemas y programas. Estas obligaciones que impone la Ley se desarrollan mediante el RD 994/1999, de 11 de junio, por el qu Reglamento de Medidas de Seguridad de los ficheros automat izados que contengan datos de carácter p Reglamento, de acuerdo con la Disposición transitoria ter cer a de la LOPD, está en vigor hasta que el Go o modifique una nueva disposición reglamentaria necesaria para la aplicación y desarrollo de la Ley. En está trabaj ando en un borrador del nuevo reglamento que desarrollará la LOPD y sustituirá al RD 9 El Reglamento de Medidas de Seguridad fue impulsado por la AEPD y se cent ra en tor no a la elabor ació documento de seguridad en el que se recoj an las obligaciones y procedimientos a seguir para consegui seguridad de los sistemas de inf ormación de las organizaciones y la aplicación de los pr incipios de pr ot Tant o el responsable del fichero como quienes int ervengan en cualquier fase del trat amiento de los dato personal están obligados al secret o prof esional respecto de los mismos y al deber de guar darlos. Estas o mant ienen una vez finalizados los trat amientos y, si es el caso, después de finalizar la posible relación co responsable del fichero (art. 10 LOPD).
Volumen 1. ORGANIZACIÓN Y GESTIÓN DE LOS SISTEMAS DE INFORMACIÓN
3 1 .0 4 .0 2 Ap lica ci ó n d e lo s n i v e le s d e se g u r i d a d . N i v e l b á si c o Las medidas calificadas como de nivel básico deben ser adoptadas por todos los ficheros que contengan dato carácter personal (art. 4. 1) . N i v el m ed i o Las medidas calificadas como de nivel medio deben ser adoptadas en (art. 4.2) :
los ficheros que contengan datos relat ivos a la comisión de inf racciones administrat ivas o penales, d Hacienda Pública, con datos de ser vicios financier os gestionados por entidades de financiación. los ficheros de ser vicios de inf ormación sobre solvencia patrimonial y crédito. los ficheros que contengan un conjunto de datos de carácter personal suf icientes que permitan obtene evaluación de la personalidad del individuo. N i v e l a l to Las medidas calificadas como de nivel alto cor responden a (art. 4.3) : Ficheros que contengan datos de ideología, religión, creencias, origen racial, salud o vida sexual. Ficheros que contengan datos recabados para fines policiales sin consentimiento de las personas af ectada
3 1 .0 4 .0 3 Re sp o n sa b l e s d e la a p lica ci ó n d e la s m e d i d a s d e se g u r i d a d . En la propia Ley así como en el Reglamento se definen los tér minos siguiente:
Volumen 1. ORGANIZACIÓN Y GESTIÓN DE LOS SISTEMAS DE INFORMACIÓN
3 1 .0 4 .0 5 En t r a d a e n v i g o r d e l Re g l a m e n t o d e Se g u r i d a d . El Reglamento de Seguridad entró en vigor al día siguiente de su publicación en el BOE, 25 de junio de 1 ficheros de nueva creación. Sin embargo, para los ficheros existentes con anterior idad a su publicación, e estableció unos plazos para su adecuación: −
−
−
Fi ch e r o s d e n i v e l b á si co: el plazo habilitado por el Reglamento para estos ficheros fue de 6 meses, ampliado en 3 meses, hasta el 25 de marzo de 2000, por el Real Decret o 195/ 2000, de 11 de febrero. Fi ch e r o s d e n i v e l m e d i o : un año, finalizado el 25 de junio de 2000. Fi ch e r o s d e n i v e l a l to : dos años, ampliado en 1 año, hasta el 25 de junio de 2002.
Por lo tanto el Reglamento está plenamente vigent e a día de hoy.
3 1 .0 4 .0 6 M e d i d a s d e se g u r i d a d d e n i v e l b á si co . Las medidas de segur idad de nivel básico se recogen en los ar tículos 8 al 14 del Reglamento. Por una parte establece que el responsable del fichero elaborará e implementará la normativa de seguridad mediante un documento de obligado cumplimiento para el personal con acceso a los datos automatizados de carácter personal y a los sistemas de información (art.8) , y por ot ra se establece el contenido de dicho documento.
Las medidas calificadas como de nivel básico deben ser adoptadas por todos los ficheros que contengan d carácter personal (art. 4.1) . No hay que olvidar que los niveles son acumulat ivos, es decir, un nivel supe las medidas de los niveles inf erior es. El d o cu m e n t o d e se g u rid a d debe mant enerse en todo moment o actualizado y deberá ser revisado sie cambios relevantes en el sistema de inf ormación o en la organización. Los aspectos que deberá contem mínimo, son:
Volumen 1. ORGANIZACIÓN Y GESTIÓN DE LOS SISTEMAS DE INFORMACIÓN
Implantar las normas de seguridad contenidas en el documento. Adoptar las medidas necesar ias para que el personal conozca las normas de segur idad que af ecten a desar rollo de sus funciones así como las consecuencias en que pudier a incurrir en caso de incumplimiento. Establecer mecanismos para evitar que un usuario pueda acceder a datos o recur sos con derechos distin de los autorizados. Autor izar la salida de sopor tes inf ormáticos que contengan datos de carácter personal, fuera de los locale los que esté ubicado el fichero. Verificar la definición y cor recta aplicación de los procedimientos de realización de copias de respald recuper ación de los datos.
3 1 .0 4 .0 7 M e d i d a s d e se g u r i d a d d e n i v e l m e d i o . Las medidas de seguridad de nivel medio se desar rollan en los ar tículos 15 al 22 del Reglamento, complet ando a la nivel básico. Las medidas calificadas como de nivel medio deben ser adoptadas en: -
Ficheros que contengan datos relat ivos a la comisión de inf racciones administrat ivas o penales. Ficheros destinados a la gestión de la Hacienda Pública. Ficheros correspondientes a los servicios financieros, gestionados por entidades de financiación. Ficheros de servicios de inf or mación sobre solvencia patrimonial y crédito. Ficheros que contengan un conj unto de datos de carácter personal suf icientes que permitan obtener u evaluación de la personalidad del individuo.
Los aspectos que deberá abarcar el d o cu m e n t o d e se g u rid a d de nivel medio son los que se han indicado para e nivel básico en el apar tado anter ior, más las que apar ecen a continuación en cursiva:
Volumen 1. ORGANIZACIÓN Y GESTIÓN DE LOS SISTEMAS DE INFORMACIÓN
comunica y los ef ectos que se hubieran derivado de la misma. Procedimientos de recuperación de datos, persona que ejecutó los procesos, datos restaurados, operaciones manuales. f) Procedimientos de realización de copias de respaldo y de recuper ación de los datos. g) Procedimiento de auditoría: o o
o
Interna o externa con periodicidad bienal como máximo. Verificar el cumplimiento del Reglamento, de los procedimientos e instrucciones vigentes en materia de seguridad de datos. Informe de auditoría: Adecuación de las medidas y controles al Reglamento; Dictamen, Recomendaciones propuestas.
h) Responsable de seguridad (art. 15): Contendrá su identificación, los controles periódicos que se deban realizar
para verificar el cumplimiento de lo dispuesto en el documento, y las medidas necesarias que hay que adoptar para desechar o reutilizar un soporte.
Entre las obligaciones del re sp o n sa b le d e l fich e r o están las indicadas para el caso del nivel básico más la apar ecen a continuación en cursiva: o o
o
Designar al responsable de seguridad. Adoptar, en su caso, las medidas correctoras o complementarias de seguridad, cuando sean necesarias, de acuerdo al análisis de auditoria realizado por el responsable de seguridad. Autorizar los procedimientos de recuperación de datos.
Entre las obligaciones del re sp o n sa b le d e se g u rid a d están: o
Coor dinar y controlar las medidas definidas en el documento de seguridad. A liza lo inf sd dito ía y el la clu io l ble d l fich
Volumen 1. ORGANIZACIÓN Y GESTIÓN DE LOS SISTEMAS DE INFORMACIÓN
conservación en un lugar diferente de la ubicación de los equipos informáticos.
g) Procedimiento de auditoria. h) Telecomunicaciones:
Cifrado de datos.
i) Responsable de segur idad. Entre las obligaciones del re sp o n sa b le d e l fich e ro para el caso de nivel alto, no hay ninguna difer encia con relación a las obligaciones del responsable del fichero para el nivel medio. Entre las obligaciones del re sp o n sa b le d e se g u rid a d están las correspondientes al nivel básico y medio, más las siguientes: o o
Determinar los mecanismos que permitan el registro de accesos. Revisar el registro de accesos y elaborar el correspondiente informe mensual.
NOTA: Al final del tema, y como Anexo I I , del mismo aparece un cuadro resumen de las medidas de seguridad para cada uno de los niveles de seguridad.
3 1 .0 5 . Ag e n ci a Esp a ñ o la d e Pr o t e cci ó n d e D a t o s ( AEPD ) . 3 1 .0 5 .0 1 N a t u r a le za y r é g i m e n d e fu n ci o n a m ie n t o d e la AEPD .
La Agencia de Prot ección de Datos es creada por la Ley Orgánica 5/ 1992, de 29 de octubre, de Regulación del Tr at amiento Automat izado de Datos de carácter personal (LORTAD) , con el fin de garantizar el cumplimiento d
Volumen 1. ORGANIZACIÓN Y GESTIÓN DE LOS SISTEMAS DE INFORMACIÓN
3 1 .0 5 .0 2 Fu n cio n e s d e la Ag e n ci a Esp a ñ o la d e Pr o t e cci ó n d e D a t o s. Las funciones de la AEPD están definidas en el art. 37 de la LOPD, y se encuent ran desarrolladas en el C su Estat ut o, agrupadas de la forma siguiente: - Funciones en general: a)
Velar por el cumplimiento de la legislación sobre prot ección de datos y cont rolar su aplicación, en e relat ivo a los derechos de inf ormación, acceso, rectificación, oposición y cancelación de datos.
- Funciones en relación con los ciudadanos: b) At ender sus peticiones y reclamaciones. c) Inf ormar de los derechos reconocidos en la Ley. d) Promover campañas de difusión a través de los medios de comunicación. - Funciones en relación con quien trat an los datos: e) f)
Emitir las autor izaciones previstas en la Ley o en sus disposiciones reglamentar ias. Requerir a los responsables y los encargados de los trat amientos, pr evia audiencia de éstos, la adop medidas necesar ias para la adecuación del trat amiento de datos a las disposiciones de esta Ley g) Ordenar, en caso de ilegalidad, la cesación de los trat amientos y la cancelación de los datos. h) Ej er cer la potestad sancionadora. i) Recabar de los responsables de los ficheros cuant a ayuda e inf ormación estime necesaria para el de sus funciones. j) Autor izar las transferencias int ernacionales de datos.
Volumen 1. ORGANIZACIÓN Y GESTIÓN DE LOS SISTEMAS DE INFORMACIÓN
12/1989, de 9 de mayo) establece respecto a la recogida de datos estadísticos y al secret o estadístico, así co dictar las instrucciones precisas, dictaminar sobre las condiciones de segur idad de los ficheros constituid fines exclusivament e estadísticos. u) Cuantas ot ras le sean at ribuidas por normas legales o reglamentarias.
3 1 .0 5 .0 3 Est r u ct u r a o r g á n i ca d e la Ag e n ci a Esp a ñ o la d e Pr o t e cci ó n d e Da t o s. El art. 11 del Estat ut o establece la estructura orgánica de la Agencia enumerando los siguientes órganos: El Director de la Agencia de Pr ot ección de Datos. El Consej o Consultivo. El Registro General de Prot ección de Datos (RGPD). La Inspección de Datos. La Secret ar ía General. Todos ellos son ór ganos jer árquicamente dependientes del Director de la Agencia. DIRECTOR
UNIDAD APOYO
CONSEJO CONSULTIVO
Volumen 1. ORGANIZACIÓN Y GESTIÓN DE LOS SISTEMAS DE INFORMACIÓN
El Director contar á con una Unidad de Apoyo para el desempeño de su labor, que está formada por el A Director, el Jef e de Gabinete y el Gabinete Jur ídico. Este último asesora verbalment e y por escrito al Dire distint as subdirecciones y a ot ras AA.PP.; resuelve inf ormes planteados por los ciudadanos, por las AA disposiciones de car ácter general; y realiza actividades divulgativas como confer encias y presentacion nacionales e int er nacionales. Fu n cio n e s d e l D i re cto r Entre las funciones del Director podemos distinguir dos clases: de dirección y de gestión. - Funciones de dirección: a) b) c) d) e) f) g) h) i)
Resolver motivadamente sobre la procedencia o no de las inscripciones que deban practicarse en el R Requerir a los responsables de ficheros de titularidad pr ivada a que subsanen deficiencias de los códig Resolver motivadament e, pr evio inf orme del responsable del fichero, sobre la pr ocedencia o improce denegación, tot al o parcial, del acceso a los ficheros policiales o tributarios. Autorizar transfer encias temporales o definitivas de datos que hayan sido objet o de trat amiento auto recogidos a tal ef ecto, con destino a países cuya legislación no of rezca un nivel de prot ección adecuada Convocar regularment e a los órganos competentes de las CC.AA. a ef ectos de cooperación institu coordinación de criterios o procedimientos de actuación. Recabar de las distint as AA.PP. la inf ormación necesaria para el cumplimiento de sus funciones. Solicitar de los órganos correspondientes de las CC.AA., la inf ormación necesaria para el cumplimie funciones, así como facilitar a aquellos la inf or mación que le soliciten a idént icos ef ectos. Adoptar las medidas cautelares y provisionales que requiera el ej ercicio de la potestad sancionadora de con relación a los responsables de los ficheros Iniciar e impulsar la instrucción y resolver los expedientes sancionadores ref erentes a los responsa ficheros privados.
Volumen 1. ORGANIZACIÓN Y GESTIÓN DE LOS SISTEMAS DE INFORMACIÓN
-
Un experto en la mater ia, propuesto por el Consej o Superior de Universidades. Un representante de los usuarios y consumidores, seleccionado mediante una ter na propuesta por el Consej o d Consumidores y Usuarios. Un representante de cada Comunidad Autónoma que haya creado una Agencia de pr ot ección de datos en su ámbito territorial, propuesto de acuerdo con el procedimiento que establezca la respectiva Comunidad Autóno Un representante del sector de ficheros privados, seleccionado mediante una ter na propuesta por el Con Superior de Cámaras de Comercio, Industria y Navegación de España.
Las propuestas de nombramiento son elevadas al Gobier no a través del Ministro de Justicia y corresponde al G el nombramiento y, en su caso, el cese de los vocales del Consej o. Los miembros del Consej o Consultivo desempeñarán su car go durante cuatro años, exceptuándose de esta norma los siguientes supuestos:
Nombramiento del vocal como Director de la AEPD. Renuncia anticipada del vocal. Pérdida de la condición que habilitó al vocal para ser pr opuesto. Propuesta de cese emanada de las instituciones, órganos, corporaciones u organizaciones representadas por lo vocales del Consej o. El Consej o Consultivo se reúne cuando lo decide el Director de la Agencia que, en todo caso, tiene que convocar vez cada seis meses. También se reúne cuando lo solicite la mayoría de sus miembr os. El secret ario convoca las reuniones del Consej o Consultivo, por or den del Director de la Agencia, y traslada la convocat oria a los miembr Consej o. El Consej o Consultivo adopta sus acuerdos en sesión plenar ia, actuando como president e del Consej o e Director de la Agencia, y como secret ar io, con voz pero sin voto, el Secret ar io General de la Agencia.
3 1 .0 5 .0 6 El Re g i st r o Ge n e r a l d e Pr o t e cci ó n d e D a t o s ( RGPD ) .
Volumen 1. ORGANIZACIÓN Y GESTIÓN DE LOS SISTEMAS DE INFORMACIÓN
ha de realizar se mediante los formular ios publicados por Resolución de la AEPD, de 30 de mayo de 2000, p establecen los modelos de notificación de ficheros en soporte papel, magnét ico y telemát ico. La inscripción de ficheros en el RGPD es grat uita, corresponde al responsable del fichero, y tiene carácte es decir, no es garantía de la validez del fichero. El responsable del fichero, o la persona que solicita la in representación del responsable, debe cumpliment ar la notificación de acuerdo a la situación real d Actualment e existe un nuevo sistema para notificar telemát icamente a la AEPD: Es el sistema NOTA ( N Otificaciones Telemát icas a la AEPD) que fue aprobado mediante Resolución de la AEPD, de 12 de julio de 2006, y que permite a los responsables de ficheros con datos de carácter personal de titularidad pública y de titular idad privada realizar lo siguiente: -
Cumplir con la obligación que la LOPD establece de notificar sus ficheros a la AEPD a través de una h que le inf orma y asesora acerca de los requerimientos de la notificación. Presentar sus notificaciones a través de Int ernet con y sin firma electrónica. Presentar sus notificaciones en ot ros soportes: soporte inf or mático o papel. Realizar notificaciones pre-cumpliment adas de for ma simplificada. Conocer el estado de tramitación de las notificaciones remitidas a través de Int er net, mediante cer tifica electrónica o mediante el código de envío generado por el for mulario electrónico. Consultar el contenido complet o de la inscripción de sus ficheros en la web de la Agencia.
Al RGPD le cor responde instruir los expedientes de inscripción de los ficheros automat izados de titularid pública, así como: Instruir los expedientes de modificación y cancelación del contenido de los asientos. Instruir los expedientes de autorización de las transferencias int ernacionales de datos. R ctifica d icio lo te ia d lo ie to
Volumen 1. ORGANIZACIÓN Y GESTIÓN DE LOS SISTEMAS DE INFORMACIÓN
necesario, los algoritmos de los pr ocesos de que los datos sean objet o. Examinar los sistemas de transmisión y acceso a los datos. Realizar auditorías de los sistemas inf ormáticos para deter minar su conformidad con las disposiciones de la L Requerir la exhibición de cualesquiera ot ros documentos pertinent es. Requerir el envío de toda inf ormación pr ecisa para el ej ercicio de las funciones inspectoras. El responsable del fichero esta obligado a permitir el acceso a los locales en los que se hallen los ficheros y los eq inf or máticos pr evia exhibición por el funcionario actuant e de la autor ización expedida por el Director de la Ag Cuando dichos locales tengan la consideración legal de domicilio, la labor inspectora deberá aj ustarse ademá reglas que garantizan su inviolabilidad. Fu n ció n in stru cto r a A la Inspección de Datos le corresponde también la función instructora en los expedientes sancionador es, esto e ej ercicio de los actos de instrucción relat ivos a los expedientes sancionadores. El procedimiento sancionador, también se encuent ra regulado por el RD 1332/1994, en el que se distinguen tres fa de inicio, instrucción y resolución. Por ot ra parte, también se distingue tres clases de pr ocedimientos: Sancionador incoado contra los responsables de ficheros de titularidad pr ivada por inf racción de la LOPD. Por inf racciones de las Administraciones Públicas. De tut ela de derechos, en el caso de vulneración de los derechos de acceso, rectificación o cancelación d af ectados.
3 1 .0 5 .0 8 Se cr e t a r ía Ge n e r a l.
Volumen 1. ORGANIZACIÓN Y GESTIÓN DE LOS SISTEMAS DE INFORMACIÓN
-
La Ley 13/1995, de 21 de abril, de regulación del uso de la inf or mática en el trat amiento de datos p la Comunidad de Madr id, modificada y ampliada por la Ley 13/1997, de 16 de junio, creó la Agencia d de Datos de la Comunidad de Madrid, que se pone en marcha en el año 1997. Actualment e, las citad quedado derogadas por la Ley 8/ 2001, que ha se transpuesto la Directiva 95/46/CE.
-
Mediante la Ley 5/ 2002, de 2002, de la Agencia Catalana de Pr ot ección de Datos, se crea esta nue autonómica. En julio de 2003 se designó al primer Director de la Agencia Catalana de Prot ección de Da
-
Y por último, el 25 de febrer o de 2004 se aprobó la Ley 2/ 2004 del Parlamento Vasco, de Ficheros d Carácter Personal de Titularidad Pública y de Creación de la Agencia Vasca de Prot ección de Datos.
El Director de la AEPD puede convocar regular ment e a los órganos correspondientes de las CC.AA. a ef e cooperación institucional y coor dinación de criterios o pr ocedimientos de actuación. El Director de la AE cor respondientes de las CC.AA. podr án solicitarse mutuament e la inf or mación necesaria para el cumplim funciones.
Según el art. 41 de la LOPD, las funciones de la AEPD reguladas en el art. 37, a excepción de las menciona apar tados p) , q) , j), r), y s) del epígraf e 31.05.02, y en los apar tados f), g) , y h) del epígraf e 31.05.02) en el ca transferencias int ernacionales de datos, así como en los artículos 46 y 49, en relación con sus específicas serán ej ercidas, cuando af ecten a ficheros de datos de carácter personal creados o gestionados por las C Administración local de su ámbito territorial, por los ór ganos cor respondientes de cada Comunidad, que te consideración de autor idades de control, a los que garantizarán plena independencia y objet ividad en el e cometido.
3 1 .0 7
Co n clu sió n .
Volumen 1. ORGANIZACIÓN Y GESTIÓN DE LOS SISTEMAS DE INFORMACIÓN
-
-
Colabor ación institucional: Prot ocolos de Colabor ación con ot ras instituciones (Universidades, Conse de Cámaras de Comercio, Colegios Pr of esionales, Fundaciones). Política de Comunicación: Transparencia y accesibilidad: Publicación de las Resoluciones de la AEP
2. Desarrollo del nuevo Reglamento de la LOPD 15/99. Actualment e en fase de borrador , af ectar á al RD 994/ 99 quedará derogado. Los principales aspectos que contemplará ser án: •
• • •
• •
3. 4. 5. 6.
La consolidación de la Jurispr udencia del Tr ibunal Supr emo y la Audiencia Nacional, así como de la doctrina de la AEPD. Delimitación clara del ámbito de aplicación. Especificará concret amente las medidas de seguridad que af ectan a trat amientos en soporte papel. Se adecuará a las realidades detectadas en los años de vigencia de las diferentes normativas d pr ot ección de datos existentes hasta ahora. Incorporación de determinados conceptos. Regulación detallada de cier tos aspectos: Subcontrat ación de ser vicios y encargado del trat am Medidas de Seguridad. Deber de inf ormación y obtención del consentimiento. Derecho de opos Transfer encias Int er nacionales.
Incremento de los medios materiales y personales. Potenciación de las acciones preventivas. Cooperación con las Agencias Autonómicas de Pr ot ección de Datos. Int ensificación de las actividades int er nacionales con Europa, Iberoamérica y EE.UU.
3 1 .0 7 .0 1 Asp e ct o s p r á ct i co s p a r a a d e cu a r n o s a la LOPD .
Volumen 1. ORGANIZACIÓN Y GESTIÓN DE LOS SISTEMAS DE INFORMACIÓN
AN EXO I : CUADRO RESUM EN D E LOS PLAZOS EN LA LOPD 1 5 / 9 9
M OTI VO PL A Z OS El responsable del trat amiento tendrá la obligación de hacer ef ectivo el derecho de rectifica1 ció 0D n o cance del int eresado en el plazo de diez días. 10ció Dn al uso d La at ención a la solicitud de exclusión de la inf ormación innecesar ia o de inclusión de la obje datos para fines de publicidad o vent a a distancia deberá realizarse en el plazo de diez días respecto de la inf ormaciones que se realicen mediante consulta o comunicación telemát ica y en la siguiente edición d cualquier a que sea el soporte en que se edite. 3i0en Dto de oblig Podrán trat arse también datos de carácter personal relat ivos al cumplimiento o incumplim dinerar ias facilitados por el acreedor o por quien actúe por su cuent a o int er és. En estos casos se notifica los int er esados respecto de los que hayan registrado datos de car ácter personal en ficheros, en el plazo d treint a días desde dicho registro, una ref er encia de los que hubiesen sido incluidos y se les inf ormará d derecho a recabar inf or mación de la tot alidad de ellos, en los términos establecidos por la pr esente L El plazo de pr escripción de la inf racción comenzar á a contar se desde el día en que la inf ra 1c,2 ci,ó3n Ase hub cometido. El plazo de prescripción de las sanciones comenzar á a contarse desde el día siguiente a aque1 l ,e 2n,3qA ue adq firmeza la resolución por la que se impone la sanción. La AEPD tiene un mes de plazo para resolver la solicitud de inscripción de ficheros. En caso1 dM e no conte entenderá que los ficheros han sido inscritos. La AEPD tiene seis meses de plazo para resolver cualquier reclamación de tut ela de derechos.6 M El uso de cada lista del censo promocional tendrá un plazo de vigencia de un año. Este censo1eA s editado p INE trimestralment e. El derecho de acceso sólo podrá ej ercerse una vez cada 12 meses, salvo que el int eresado ac1 reA dite un int legítimo en cuyo caso podrá ej er citar lo antes.
Volumen 1. ORGANIZACIÓN Y GESTIÓN DE LOS SISTEMAS DE INFORMACIÓN
AN EXO M ED I D AS D EÁmbito de aplicación.
D OCUM EN TO SEGURI D AD
PERSON AL I N CI D EN CI AS I D EN TI FI CACI ON Y AUTEN TI CACI ON
CON TROL ACCESO
DE
GESTI ON SOPORTES
DE
COPI AS RESPALD O
DE
RESPON SABLE PRUEBAS
32
II:
CUAD RORESUM EN
N I VEL BASI CO
D EM ED I D AS
D ESEGURI D AD
(RD9 9 4 / 9 9 ,
N I VEL M ED I O
d e1 1 d eju n io ) N I VEL ALTO
Ident ificación del responsable de segur idad. Medidas, normas, procedimient os reglas y estándares de segur idad C.ont rol periódico del cumplimient o del document o. Medidas a adopt ar en Funciones y obligaciones del personal. caso de reut ilización o desecho de soportes. Estructur a y descripción de ficheros y sistemas de inf or mación. Pr ocedimient o de notificación, gestión y respuesta ante incidencias. Procedimient o de realización copias de respaldo y recuperación de datos. Funciones y obligaciones claramente definidas y document adas. Difusión entre el personal, de las normas que les afecten y de les consecuencias por incumplimiento. Registrar tipo de incidencia, moment o en que se ha pr oducido, peRrso egistrar na querealización la de procedimientos de recuperación de los datos, notifica, persona a la que se comunica y efectos derivados persona que lo ejecut a, datos restaur ados y grabados manualment e. Autor ización por escrito del responsable del fichero para su recuperación. Relación actualizada de usuarios y accesos autorizados. Pr ocedSim tobslece de r á el mecanismo que permita la ident ificación de forma e eiesnta ident ificación y aut enticación. inequívoca y personalizada de todo usuario y la verificación de que está Criter ios de accesos. autor izado. Procedimient os de asignación y gestión de cont raseñas y periodicida Lím d co iten dqeue intentos reiter ados de acceso no aut or izado. se cambian. Almacenamiento inint eligilble de contraseñas activas. Cada usuario accederá únicamente a los datos y recur sos necesaC r io onst ro palra deelacceso físico a los locales donde se encuent ren ubicados los desarrollo de sus funcionas. sistemas de inf or mación. Mecanismos que eviten el acceso a datos o recur sos con derechos distintos de los autor izados. Concesión de permisos de acceso sólo por personal aut or izado. Ident ificar el tipo de inf ormación que contienen. Registro de ent rada y salida de soportes. Cfrad i o de datos en la distribución de Llevar un inventario. Medidas para impedir la recuperación poster ior de inf or mació sopnordte es.un Almacenamiento con acceso restringido. sopor te que vaya a ser desechado o reut ilizado. Salida de soportes aut orizada por el responsable del fichero. Medidas que impidan la recuperación indebida de la inf or mación almacenada en un sopor te que vaya a salir. Copia de respaldo y pr ocedimient os Verificar la definición y aplicación de los procedimient os de copias y recuperación. de recuperación en lugar difer ent e Garantizar la reconstrucción de los datos en el estado en que se encont raban del que se encuent ren los equipos. en el momento de producirse la pérdida o destrucción. Copia de respaldo, al menos semanal. Uno o var ios nombrados por el responsable ficher o. Encargado de coordinar y controlar las medidas del document o. No supone delegación de responsabilidad del responsable del fichero. Sólo se realizarán pr uebas con datos reales si se asegura el nivel de segur idad cor respondiente al tipo de fichero tratado.
31. La legislación de protección de datos de carácter personal. La directiva 95/ 46/ CE. La Ley Orgánica de Protección de Datos de carácter personal (LOPD). RD 994/ 1999 Reglamento de Medidas de Seguridad Ficheros Automatizados que contengan Datos de carácter personal. La Agencia Española de Protección de Datos.
Volumen 1. ORGANIZACIÓN Y GESTIÓN DE LOS SISTEMAS DE INFORMACIÓN
AUD I TORI A
REGI STRO ACCESOS
TELECOM UN I CACI ON ES
DE
Bienal, int erna o externa. Adecuación de las medidas y cont roles. Deficiencias y propuestas correctoras. Análisis del responsable de seguridad y conclusiones al responsable del fichero. Adopción de las medidas cor rectoras adecuadas Registrar usuario, hora, fichero, tipo acceso y registro accedido. Cont rol por parte del responsable de segur idad. Realizar inf orme mensual. Conservación de estos datos, 2 años. Transmisión de datos cifrada.
N i v e l b á si c o: Ficheros que contengan datos de car ácter personal. N i v e l m e d i o : Ficheros que contengan datos relat ivos a la comisión de inf racciones administrat ivas o penales, Hacienda Pública, ser vicios financier os y los que se rijan por el ar tículo 29 de la LOPD (prestación de ser vicios de solvencia y crédito) . N i v e l a l to : Ficheros que contengan datos de ideología, religión, creencias, origen racial, salud o vida sexual, así como los recabados para fines policiales sin consentimiento de las personas af ectadas. - Los niveles son acumulat ivos. - Los accesos a través de redes de telecomunicaciones deben garantizar un nivel de segur idad equivalente al de los accesos en modo local. - La ej ecución de trabaj os fuera de los locales de ubicación del fichero debe ser expresamente autorizada por el responsable del fichero y garantizar el niv - Los ficheros temporales deben cumplir el nivel de seguridad correspondiente y ser án borrados una vez que hayan dejado de ser necesar ios. - Los ficheros de nivel básico que contengan datos que permitan obtener una evaluación de la personalidad del individuo deberán garantizar, además de las medidas d medio relat ivas a auditoría, ident ificación y autenticación, control de acceso físico y gestión de soportes.
31. La legislación de protección de datos de carácter personal. La directiva 95/ 46/ CE. La Ley Orgánica de Protección de Datos de carácter personal (LOPD). RD 994/ 1999 Reglamento de Medidas de33 Seguridad Ficheros Automatizados que contengan Datos de carácter personal. La Agencia Española de Protección de Datos. 33