Seguridad_de_la_información_y_protección_de_datos

Seguridad de la información y protección de datos Version imprimible Este documento documento deber servir exclusivamente como material de apoyo al contenido del curso interactivo accesible a través de internet.

Indice Evaluación inicial inicial........... ......................................................................4 ...........................................................4 MÓDULO I. LEGISLA LEGISLACIÓN CIÓN SOBRE PROTECCIÓN DE DATOS PERSON ALES ALES............ ................................................ ....................................................... ................... 5 U.D.1. Introducción Introducción a la protección de datos personales persona les..... .......... ........... ......... ... 5 U.D.2. Marco jurídico Marco jurídico del derecho derecho de protección de datos personales person ales....... ........................................... .............................................................. .......................... 6 U.D.3. Intimidad Intimidad de la persona y datos de carácter personal según la LOPD.. ....................................... ..................................12 LOPD U.D.4. Introducción Introducción a la LOPD.................................................14 LOPD.................................................14 Material complementario complementario:: La protección de datos personales............19 personales ............19 Prácticas......... Prácticas ...................... ...................................................................20 ......................................................20 Ejercicio 1. Internet.......................................................... Internet.......................................................... ..20 Ejercicio 2. Principios de la protección................................. protección................................. . . . 20 Autoevaluació Autoevalua ción n...................................................... ................. ................................................... .............. 21 Juegos.. . . ......................................................................... Juegos ........................................................................... .. 24 Scrabble Scrabb le .................. ...................................................... ...................................................... 24 Crucigrama .....................................................................24 MÓDULO II . LOS PRINCIPIOS Y LAS OBLIGACION OBLIGACIONES ES DE LA PROTECCIÓN DE DATOS.................................... DATOS.................................................. .............. 25 U.D.1. Los principios de la protección de datos..... datos .......... ........... ........... .......... ....... .. 25 U.D.2. Confidencialidad y deber de secreto sobre los datos personales....................................................................35 personales ....................................................................35 Plataforma de Teleformación de IFES

Página 1 de 139

U.D.3. Cesión y comunicación de datos..................................... datos ..................................... 36 U.D.4. Derechos de los interesados, ejercicio y salvaguarda sobre sus datos de carácter personal................................................45 personal ................................................45 U.D.5. Infracciones y sanciones derivadas del incumplimiento del ejercicio de los derechos....................................... derechos.................................................. ........... 60 Material complementario: complementario: La transferencia internacional de datos personales ...................................................................64 Prácticas............................................................................66 Prácticas ............................................................................66 Ejercicio 1. Datos personales.................................. personales............................................... ............. 66 Ejercicio 2. Legislación................................. Legislación....................................................... ...................... 66 Autoevaluación Autoevalua ción.................................. .................................................................... .................................. 67 Juegos..................................... Juegos ............................................................................ ......................................... .. 70 Frase incompleta..................................... incompleta...............................................................7 ..........................70 0 Scrabble.................................... Scrabble ......................................................................... ..................................... 70 Evaluación intermedia..................................... intermedia.............................................................. ......................... 71 MÓDULO III. LA SEGURIDAD EN LA PROTECCIÓN DE DATOS PERSONALES................................... PERSONALES ................................................................. .............................. 72 U.D.1.Introducción a la seguridad en la protección de datos. El Reglamento Reglament o de Seguridad............... Seguridad.................................................72 ..................................72 U.D.2. Niveles de seguridad....................................................74 seguridad ....................................................74 U.D.3. El documento de seguridad............................................77 seguridad ............................................77 U.D.4. Aplicación de las medidas de seguridad..... seguridad .......... ........... ............ ............ ...... 80 Material complementario: La seguridad en Internet ............ .................. ........... ..... 96 Prácticas............................................................................97 Prácticas ............................................................................97 Ejercicio 1. Responsable de seguridad....................................97 seguridad ....................................97 Ejercicio 2. Globalización.....................................................97 Globalización.....................................................97 Autoevaluación Autoevalua ción.................................. .................................................................... .................................. 98 Juegos..................................... Juegos ............................................................................ ........................................1 .10 01 Frase incompleta..................................... incompleta............................................................. ........................ 101 Scrabble .......................................................................1 .......................................................................10 01 MODULO IV. LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS........................................ DATOS ......................................................................... ................................. 102 Página 2 de 139

Seguridad de la información y protección de datos

U.D.3. Cesión y comunicación de datos..................................... datos ..................................... 36 U.D.4. Derechos de los interesados, ejercicio y salvaguarda sobre sus datos de carácter personal................................................45 personal ................................................45 U.D.5. Infracciones y sanciones derivadas del incumplimiento del ejercicio de los derechos....................................... derechos.................................................. ........... 60 Material complementario: complementario: La transferencia internacional de datos personales ...................................................................64 Prácticas............................................................................66 Prácticas ............................................................................66 Ejercicio 1. Datos personales.................................. personales............................................... ............. 66 Ejercicio 2. Legislación................................. Legislación....................................................... ...................... 66 Autoevaluación Autoevalua ción.................................. .................................................................... .................................. 67 Juegos..................................... Juegos ............................................................................ ......................................... .. 70 Frase incompleta..................................... incompleta...............................................................7 ..........................70 0 Scrabble.................................... Scrabble ......................................................................... ..................................... 70 Evaluación intermedia..................................... intermedia.............................................................. ......................... 71 MÓDULO III. LA SEGURIDAD EN LA PROTECCIÓN DE DATOS PERSONALES................................... PERSONALES ................................................................. .............................. 72 U.D.1.Introducción a la seguridad en la protección de datos. El Reglamento Reglament o de Seguridad............... Seguridad.................................................72 ..................................72 U.D.2. Niveles de seguridad....................................................74 seguridad ....................................................74 U.D.3. El documento de seguridad............................................77 seguridad ............................................77 U.D.4. Aplicación de las medidas de seguridad..... seguridad .......... ........... ............ ............ ...... 80 Material complementario: La seguridad en Internet ............ .................. ........... ..... 96 Prácticas............................................................................97 Prácticas ............................................................................97 Ejercicio 1. Responsable de seguridad....................................97 seguridad ....................................97 Ejercicio 2. Globalización.....................................................97 Globalización.....................................................97 Autoevaluación Autoevalua ción.................................. .................................................................... .................................. 98 Juegos..................................... Juegos ............................................................................ ........................................1 .10 01 Frase incompleta..................................... incompleta............................................................. ........................ 101 Scrabble .......................................................................1 .......................................................................10 01 MODULO IV. LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS........................................ DATOS ......................................................................... ................................. 102 Página 2 de 139


U.D.1. Naturaleza y régimen de funcionamiento de la AEPD........... AEPD ........... 102 U.D.2. Funciones de la Agencia Española de Proteción de Datos ..... 104 U.D.3. Estructura orgánica de la Agencia Española de Protección de Datos................................... Datos .........................................................................1 ......................................10 07 U.D.4. El Director de la Agencia Española de Protección de Datos....108 Datos....108 U.D.5. El Registro General de Protección de Datos (RGPD)............111 (RGPD) ............111 U.D.6. Inspección de Datos...................................................116 Datos ...................................................116 Material complementario: Nociones básicas sobre protección de datos personales ................................................................. ................................................................. 119 Prácticas................................. Prácticas ......................................................................... .......................................... 120 Ejercicio 1. Ficheros..................................... Ficheros......................................................... .................... 120 Autoevaluación Autoevalua ción.................................. .................................................................. ................................ 121 Juegos..................................... Juegos ............................................................................ ........................................1 .12 24 Puzzle ......................................................................... ......................................................................... 124 Scrabble.. ................................................ Scrabble ............ ...........................................................12 .......................124 4 Evaluación final final del curso curs o........................................................ ...................................... .................. 125 RECURSOS COM COMUNES UNES................................... ......................................................... ...................... 126 Glosario.... Glosario .......... .......................................... ................................................................. ............................. 126 FAQ AQ......... ................... ............................................. ............................................................. .......................... 132 Links..... Links .................................... ............................... ........................................... ................................... ........ 134 Bibliograf ía.............................. ía.............................. ..........................................1 .................................. ........13 35 Normativa..... Normativa ................ ....................................................................137 .........................................................137

Plataforma de Teleformación de IFES

Página 3 de 139


Evaluación inicial Este recurso es de tipo Evaluación. Debe conectarse a la plataforma para realizar la evaluación. Recuerde que las evaluaciones son obligatorias ya que determinan la nota final.

Página 4 de 139



MÓDULO I. LEGISLACIÓN SOBRE PROTECCIÓN DE DATOS PERSONALES U.D.1. Introducción a la protección de datos personales La seguridad de la información y la protección de datos se ha convertido en una cuestión de vital importancia en la era de la sociedad de la información en la que estamos inmersos. Cada vez se maneja, difunde y almacena un mayor número de bases de datos con innumerable información, tanto de carácter básico como personal, de forma que los sistemas para la seguridad de la información son más vulnerables. Las bases de datos de carácter personal son, sobre todo, las que requieren un manejo y un control exquisitos para evitar que el mal uso de este tipo de información no vaya en contra de las normas vigentes relacionadas con: • • •

El establecimiento de medidas de seguridad obligatorias. El límite del grado de intrusión y utilización de datos sobre las personas. La protección del derecho a la intimidad como derecho universal.

Es decir, la legislación debe regular y garantizar al mismo tiempo la libre circulación de la información y el respeto a la privacidad de las personas. Debemos tener en cuenta que la seguridad de la información debe basarse en un conjunto de medidas o acciones (legales, organizativas, técnicas) que preserven la información de carácter personal para que cualquier individuo pueda controlar la información personal que le afecta, ejerciendo su derecho a la autodeterminación informativa, que es la facultad de consentir la recogida, la obtención y el acceso a sus datos personales, su posterior almacenamiento y tratamiento, así como su uso, o usos posibles, por un tercero. A lo largo del módulo, veremos cómo la normativa vigente sobre protección de datos de carácter personal exige tanto a las personas físicas como a las jurídicas que cumplan una serie de obligaciones que, en caso de no ser atendidas, dan lugar a la


Página 5 de 139

imposición de fuertes sanciones por parte de la Agencia Española de Protección de Datos (AEPD), organismo competente de control en materia de protección de datos. [Animación Flash]

U.D.2. Marco jurídico del derecho de protección de datos personales

1. España El primer mandato que recoge el derecho a la protección de datos en el ordenamiento jurídico español se encuentra en la Constitución Española, artículo 18.4, en el que se establece: •

«La Ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos».

Con el desarrollo de la Ley Orgánica 5/1992, de Regulación del Tratamiento Automatizado de Datos de Carácter Personal (LORTAD) y de la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal (LOPD) , se consagra y reconoce un nuevo derecho fundamental a la protección de datos: el derecho a la libertad informática.

Página 6 de 139


El nacimiento de este nuevo derecho, contrario a la limitación del uso de la informática recogida en el artículo 18.4 de la Constitución, resulta evidente teniendo en cuenta el desarrollo tecnológico y, más concretamente, el desarrollo de las nuevas tecnologías de la información y la comunicación (NTIC) o los modelos actuales de negocio y de mercado. Este planteamiento fue luego corroborado por el Tribunal Constitucional español a través de diferentes sentencias, siendo especialmente relevante la STC 292/200, de 30 de noviembre, en sus párrafos 6 y 7: Párrafo 6: •

«El derecho fundamental a la protección de datos persigue garantizar a esa persona el poder de control sobre sus datos personales, sobre su uso y destino, con el propósito de impedir su tráfico ilícito y lesivo para la dignidad y el derecho del afectado (...) el derecho a la protección de datos atribuye un haz de facultades consistentes en diversos poderes jurídicos, cuyo ejercicio impone a terceros deberes jurídicos y que sirven a la capital función que desempeña este derecho fundamental: garantizar a la persona un poder de control sobre sus datos personales, lo que sólo es posible y efectivo imponiendo a terceros los mencionados deberes de hacer. A saber: el derecho a que se requiera el previo consentimiento para la recogida y uso de los datos personales, el derecho a saber y ser informado sobre el destino y uso de esos datos y el derecho de acceder, rectificar y cancelar dichos datos. En definitiva, el poder de disposición sobre los datos personales».

Párrafo 7: •

«El contenido del derecho fundamental a la protección de datos consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular... Estos poderes de disposición y control sobre los datos personales, que constituyen parte del contenido, se concretan jurídicamente en la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el Estado o un particular. Y ese derecho a consentir el conocimiento y el tratamiento, informático o no, de los datos personales, requiere como complementos indispensables, por un lado, la facultad de saber en todo momento quién dispone de esos datos personales y a qué uso los está sometiendo y, por otro lado, el poder oponerse a esa posesión y usos. Son elementos característicos de la definición constitucional del derecho fundamental... y resultan indispensables para hacer efectivo ese contenido, el reconocimiento del derecho a saber quién posee sus datos personales y con qué fin, y el derecho a poder oponerse a esa posesión y uso requiriendo a quien


Página 7 de 139

corresponda que ponga fin a la posesión y empleo de datos. Es decir, exigiendo del titular del fichero que le informe de qué datos posee sobre su persona, accediendo a sus oportunos registros y asientos, y qué destino han tenido, lo que alcanza también a posibles cesionarios; y en su caso, requerirle para que los rectifique o cancele». Por tanto, los derechos reconocidos en esta sentencia son distintos al derecho a la intimidad y se relacionan con el derecho fundamental a la protección de datos . Este derecho se define concretamente como «el poder de control y disposición que las personas tienen sobre sus datos personales a la hora de consentir su recogida, permitir el acceso a los mismos y ejecutar unos derechos concretos sobre su uso y destino», que trataremos más adelante. También el artículo 105.b de la Constitución Española alude directamente a la relación entre información e intimidad, y cita: •

«La Ley regulará: El acceso de los ciudadanos a los archivos y registros administrativos, salvo a lo que afecte a la seguridad y defensa del Estado, la averiguación de los delitos y la intimidad de las personas» .

Para completar nuestro ordenamiento jurídico, poco antes de promulgarse la Ley vigente en estos momentos sobre protección de datos de carácter personal, el Real Decreto 994/99, de 11 de junio, aprobó el Reglamento de Medidas de Seguridad de los Ficheros Automatizados que contienen datos de carácter personal, que actualmente está derogado. [Animación Flash]

La tramitación posterior en la Unión Europea de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, estableció un marco común para todos los Estados miembros de la Unión Europea en materia de tratamiento de datos de carácter personal. Dicha directiva se ha completado posteriormente con distintos reglamentos, instrucciones y jurisprudencia que, junto a la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal (LOPD) y al R.D. 1720/2007, de 21 de diciembre, por el que se aprueba su Reglamento de desarrollo, constituyen el marco de referencia para el tratamiento de datos de carácter personal en España. Cabe mencionar también otra normativa estatal de importancia y con implicaciones en materia de protección de datos: • •

Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones. Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y

de Comercio Electrónico. Página 8 de 139


•

R.D. 428/1993 , de 23 de marzo, por el que se aprueba el Estatuto de la

Agencia Española de Protección de Datos.

Por último, las comunidades autónomas han desarrollado de forma diferente su rango normativo en cuanto a la protección de datos de carácter personal; Madrid, Cataluña y País Vasco son las pioneras en esta materia. A día de hoy, la mayoría de las comunidades autónomas no cuentan con una agencia de protección de datos ni con una ley autonómica de ficheros de datos. A ello se refiere el artículo 41 de la vigente LOPD, donde podemos leer que: •

«Las funciones de la Agencia Española de Protección de Datos, reguladas en el artículo 37 (...) serán ejercidas cuando afecten a ficheros de datos de carácter personal, creados o gestionados por las comunidades autónomas y por la Administración local de su ámbito territorial, por los órganos correspondientes de cada comunidad que tendrán la consideración de autoridades de control, a los que garantizarán plena independencia y objetividad en el ejercicio de su cometido».

2. Unión Europea Uno de los principales textos en materia de protección de datos de carácter personal en la Unión Europea es la Carta de Derechos Fundamentales de la Unión Europea , en su artículo 8 se ratifica el derecho a la protección de datos como un derecho fundamental y autónomo, distinto al derecho a la intimidad y la privacidad de las personas.


Página 9 de 139

Concretamente dicta: 1. 2.

3.

«Toda persona tiene derecho a la protección de los datos de carácter personal que la conciernan. Estos datos se tratarán de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley. Toda Toda persona tiene derecho a acceder accede r a los datos recogidos que la conciernan y a su rectificación. El respeto de estas normas quedará sujeto al control de una autoridad independiente».

Por otro lado, el artículo 12 de la Declaración Universal de Derechos Humanos de 1948, cita textualmente: •

«Nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio o su correspondencia, ni ataques a su honra o reputación. Toda persona tiene derecho a la protección de la Ley contra tales injerencias o ataques». ataques».

También la Constitución Europea ha recogido expresamente el derecho fundamental a la protección. En el artículo I-51 establece que «T «Toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan» conciernan» y en el artículo II-68 añade que «Estos datos se tratarán de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley», ley» , y que «Toda persona tiene derecho a acceder a los datos recogidos que la conciernan y a obtener su rectificación». rectificación». Es decir, en ambos preceptos se establece que una autoridad independiente se encargará de la garantía del derecho fundamental a la protección de datos personales. Otras directivas de aplicación en materia de protección de datos, que se han aprobado posteriormente para dar respuesta a los cambios en el sector de las comunicaciones, son: • • •

Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, sobre la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de éstos. Directiva 2002/58/CE del Parlamento y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas. Directiva 2006/24/CE, del Parlamento y del Consejo, de 15 de marzo de 2006, sobre la conservación de datos y por la que se modifica la Directiva 2002/58/CE.

Página 10 de 139



Página 11 de 139

U.D.3. Intimidad de la persona y datos de carácter personal según la LOPD En ocasiones puede darse una dualidad y diferentes interpretaciones entre los conceptos de intimidad y datos de carácter personal. Generalmente se ha aceptado que los conceptos de intimidad y privacidad son equivalentes, de manera que el derecho a la intimidad está relacionado con el ámbito privado de la persona, es decir, con su derecho a mantener fuera del conocimiento ajeno cualquier aspecto de su vida personal y a controlar los aspectos que pueden ser difundidos. De ahí que la protección no solo se circunscriba a los datos íntimos, sino a cualquier información personal que atente contra los derechos y libertades de la persona. Los datos de carácter personal, tal y como los define la LOPD, están relacionados con la intimidad de la persona y deben ser protegidos. Así, en el artículo 3 se incluye la siguiente definición: •

«Cualquier información concerniente a personas físicas identificadas e identificables».

Además, la LOPD los considera datos especialmente protegidos. Esta particularidad hace que existan medidas de seguridad específicas para estos datos, así como obligaciones sobre su tratamiento, que trataremos con más detalle en el Módulo II.

El Reglamento de desarrollo de la LOPD (R.D. 1720/2007), en su artículo 5, completa la definición diciendo que se entiende por dato de carácter personal:

Página 12 de 139


•

«Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas (se sabe a quién pertenece el dato) o identificables (no se sabe a quién pertenece el dato pero se podría averiguar)».

Es decir, la LOPD incluye cualquier tipo de información en la definición de dato personal, aunque, a modo de orientación, los tipos de datos que pueden considerarse son: •

Datos identificativos: Nombre y apellidos, dirección postal o electrónica,

teléfono, fax, DNI/NIF, nº de tarjeta sanitaria/mutualidad, imagen o voz, firma o huella digitalizada, marcas físicas, firma electrónica, dirección IP fija, etc. •

Datos de características personales: Estado civil, familia, fecha y

lugar de nacimiento, edad, sexo, nacionalidad, características físicas o antropométricas. •

Datos relativos a las circunstancias sociales: Características de

alojamiento, vivienda, situación familiar, propiedades, posesiones, aficiones y estilos de vida, pertenencia a clubes y asociaciones, licencias, permisos y autorizaciones. •

Datos académicos y profesionales: Formación, titulaciones, historial del

estudiante, experiencia profesional, pertenencia a colegios o asociaciones profesionales. Detalles de empleo: profesión, puestos de trabajo, datos no económicos de nómina, historial del trabajador. •

Datos que aportan información comercial: Actividades y negocios,

licencias comerciales, suscripciones a publicaciones o medios de comunicación, creaciones artísticas, literarias, científicas o técnicas. •

Datos económicos, financieros y de seguros: Ingresos, rentas,

inversiones, bienes patrimoniales, créditos, préstamos, avales, datos bancarios, planes de pensiones, jubilación, datos económicos de nómina, datos de deducciones impositivas/impuestos, seguros, hipotecas, subsidios, beneficios, historial de créditos, tarjetas de crédito. •

Datos relativos a transacciones de bienes y servicios: Bienes y servicios

suministrados por el afectado, bienes y servicios recibidos por el afectado, transacciones financieras, compensaciones/indemnizaciones. Por otro lado, la Directiva 95/46/CE, en el artículo 2.a, define el dato personal como:


Página 13 de 139

•

«Toda información sobre una persona identificada o identificable (...) se considerará identificable toda persona, directa o indirectamente, en particular, mediante un número de identificación o uno o varios elementos específicos, característicos de su identidad física, fisiológica, psíquica, económica, cultural o social».

U.D.4. Introducción a la LOPD Tal y como hemos adelantado, la norma básica de aplicación para el tratamiento de datos de carácter personal es la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD).

Dicha Ley reconoce en su artículo 1 ciertos derechos de los ciudadanos a fin de: •

«Garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas y, especialmente, de su honor e intimidad personal y familiar».

En el artículo 2 extiende su ámbito de aplicación a: •

«Los datos de carácter personal registrados en un soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado».

La Ley se estructura en 49 artículos, distribuidos en siete títulos de la siguiente forma: I. Principios generales. II. Principios de la protección de datos. III. Derechos de las personas. IV. Disposiciones sectoriales. Capítulo I. Ficheros de titularidad pública. Capítulo II. Ficheros de titularidad privada. V. Movimientos internacionales. VI. Agencia Española de Protección de Datos. VII. Infracciones y sanciones.

Página 14 de 139


Contiene además seis disposiciones adicionales, tres disposiciones transitorias y una disposición derogatoria única, que alude directamente a la ley predecesora, la LORTAD, de 29 de octubre de 1992. Las tres disposiciones finales recogen la habilitación al Gobierno para el desarrollo reglamentario de la Ley, los artículos que tienen carácter de ley ordinaria y la fecha de entrada en vigor de la Ley. El R.D. 1720/2007 aprueba el Reglamento de desarrollo de la LOPD (en adelante, RLOPD). Iremos viendo cómo la LOPD dota jurídicamente de las medidas de seguridad técnicas, organizativas y legales que deben ser aplicadas a los sistemas de información que contienen datos de carácter personal, tanto en el sector público como en el privado.


Página 15 de 139

1. Conceptos básicos contenidos en la LOPD A continuación vamos a incluir las definiciones (artículo 3 LOPD) de varios conceptos relacionados con la protección de datos que permiten comprender y aplicar la normativa vigente en dicha materia: •

Fichero de datos de carácter personal:

•

Página 16 de 139

«Es todo conjunto organizado de datos de carácter personal, con independencia de la forma o modalidad de su creación, almacenamiento, organización y acceso». Seguridad de la información y protección de datos

•

Existen dos tipos de ficheros: • Los de titularidad pública, creados por las Administraciones públicas en el ejercicio de sus funciones. • Los de titularidad privada, creados por particulares u organizaciones privadas para el desarrollo de actividades legítimas.

Es decir, no solo se trata de ficheros informatizados, sino también de ficheros manuales que contengan datos de carácter personal. •

Tratamiento de datos:

•

•

•

Responsable del fichero o tratamiento:

• •

•

«Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso». Los responsables de los ficheros van a responder sobre el tratamiento de los mismos y, por tanto, sobre ellos recae el régimen sancionador en caso de infracciones.

Encargado del tratamiento:

•

•

•

«Es cualquier operación y procedimiento técnico, de carácter automatizado o no, que permita la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias». Como anteriormente hemos dicho que los datos personales pueden estar contenidos en ficheros manuales, en la definición de tratamiento de datos también se entendería el archivo o la manipulación de datos sin usar medios electrónicos o telemáticos.

Es la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase materialmente. Al igual que el responsable del fichero, está sujeto al régimen de infracciones previsto en la LOPD, y ambos se vinculan para el ejercicio de sus funciones a través de un contrato, donde se regulan el alcance del acceso a los datos y las medidas de seguridad que deben regir.

Afectado o interesado: • Persona física (nunca jurídica) titular de los datos de carácter

personal que sean objeto del tratamiento.


Página 17 de 139

•

Consentimiento del interesado:

• • •

Procedimiento de disociación de datos:

•

•

«Todo tratamiento de datos personales, de modo que la información que se obtenga no pueda asociarse a una persona identificada o identificable».

Cesión o comunicación de datos:

• • •

«Toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la cual el interesado consienta el tratamiento de datos personales que le conciernen». Es decir, el afectado es la única figura con capacidad para otorgar consentimiento al tratamiento de sus datos.

El tratamiento de datos que supone la revelación de datos a una persona distinta del interesado. Esto solo puede hacerse con el expreso consentimiento del afectado.

Fuentes accesibles al público:

• •

«Aquellos ficheros cuya consulta puede ser realizada por cualquier persona, no impedida por una norma limitativa o sin más exigencia que, en su caso, el abono de una contraprestación». Tienen la consideración de fuentes accesibles al público, exclusivamente: el censo promocional, los repertorios telefónicos, en los términos previstos por su regulación específica, y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de: nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. También los diarios y boletines oficiales y los medios de comunicación.

[Animación Flash] En resumen, la LOPD garantiza la preservación del derecho a la intimidad de las personas en la sociedad actual, donde la tecnología provee de manera casi ilimitada de la copia, modificación o transmisión de datos, dentro y fuera de nuestras fronteras. La LOPD y el Reglamento de aplicación están en equilibrio con las directrices establecidas en la Unión Europea, a través de distintas directivas y textos legales. La acotación del concepto de dato personal, independientemente de su naturaleza pública o privada, exige la aplicación de unas normas sobre la protección de los datos, derivadas sobre todo de su tratamiento, ya que abarca una serie de operaciones y procedimientos que no están exentos de peligro, en cuanto a no quebrantar el derecho

Página 18 de 139


al control y la disponibilidad de los datos por parte del interesado, y que deben ser regulados por el legislador.

Material complementario: La protección de datos personales Este recurso es de tipo Multimedia. Tiene que conectarse a la plataforma para acceder a este recurso.


Página 19 de 139

Seguridad de la información y protección de datos / MÓDULO I. LEGISLACIÓN SOBRE PROTECCIÓN DE DATOS PERSONALES

Prácticas Ejercicio 1. Internet Este recurso es de tipo Práctica. Tiene que conectarse a la plataforma para acceder a este recurso.

Ejercicio 2. Principios de la protección Este recurso es de tipo Práctica. Tiene que conectarse a la plataforma para acceder a este recurso.

Página 20 de 139



Autoevaluación Pregunta 1: Los datos de carácter personal son:

• • •

Datos identificativos de las personas, como su DNI, el nombre y los apellidos. Datos especialmente protegidos. Datos económicos y de salud de las personas que se guardan en el Registro General de Sanidad y Consumo.

Respuesta correcta: Datos especialmente protegidos. Pregunta 2: Según la LOPD, se entiende que el afectado es:

• • •

Persona jurídica a la que tratan sus datos sin su consentimiento. Persona física a la que se le ceden los datos que han sido tratados. Persona física titular de los datos que sean objeto de tratamiento.

Respuesta correcta: Persona física titular de los datos que sean objeto de tratamiento. Pregunta 3: Para que sea posible el tratamiento de los datos de carácter personal, es condición indispensable:

• • •

Que hayan sido previamente automatizados para facilitar su manejo. Que se hayan disociado para poder atribuirse a personas concretas. El consentimiento del interesado o afectado.

Respuesta correcta: El consentimiento del interesado o afectado. Pregunta 4: La legislación sobre protección de datos personales debe garantizar:

• • •

La libertad de expresión. La intimidad. La libre circulación de la información y la privacidad.

Respuesta correcta: La libre circulación de la información y la privacidad.


Página 21 de 139

Pregunta 5: El derecho a la protección de datos se relaciona con:

• • •

El derecho a no hacerlos públicos. El derecho al control de los datos personales y la capacidad de disponer y decidir sobre su uso. El derecho a que la transmisión de los datos se haga a través de interfaces seguras.

Respuesta correcta: El derecho al control de los datos personales y la capacidad de disponer y decidir sobre su uso. Pregunta 6: El artículo 18 de la Constitución Española alude:

• • •

Al derecho a la intimidad. A la relación entre información e intimidad. Al tratamiento de los datos.

Respuesta correcta: Al derecho a la intimidad. Pregunta 7: La Ley Orgánica de Regulación del Tratamiento Automatizado de Datos de Carácter Personal se conoce comúnmente como:

• • •

LOPD. LORTAD. LRTP.

Respuesta correcta: LORTAD. Pregunta 8: ¿Qué norma desarrolla la LOPD?

• • •

El R.D. 994/99 de 11, de junio. El R.D. 1720/2007, de 21 de diciembre. La Directiva 95/46/CE, de 24 de octubre.

Respuesta correcta: El R.D. 1720/2007, de 21 de diciembre. Pregunta 9: El encargado del tratamiento de los datos es:

•

El titular de los datos.

Página 22 de 139


• •

La persona física o jurídica que decide sobre la finalidad, contenido y uso del tratamiento. La persona física o jurídica que trata datos personales por cuenta del responsable del fichero.

Respuesta correcta: La persona física o jurídica que trata datos personales por cuenta del responsable del fichero. Pregunta 10: ¿Qué normativa europea regula el derecho a protección de los datos de carácter personal?

• • •

La Ley 32/2003. La Instrucción 1/1998. Distintas directivas y textos legales.

Respuesta correcta: Distintas directivas y textos legales.


Página 23 de 139


Juegos Scrabble Este recurso es de tipo Multimedia. Tiene que conectarse a la plataforma para acceder a este recurso.

Crucigrama Este recurso es de tipo Multimedia. Tiene que conectarse a la plataforma para acceder a este recurso.

Página 24 de 139



MÓDULO II . LOS PRINCIPIOS Y LAS OBLIGACIONES DE LA PROTECCIÓN DE DATOS U.D.1. Los principios de la protección de datos La LOPD tiene como finalidad: •

Preservar la intimidad de las personas en relación con el derecho fundamental a la protección de datos.

Como en ocasiones se vulnera este principio, la Ley contempla una serie de derechos de los afectados o titulares de los datos de carácter personal, a la vez que establece las actuaciones que pueden ejecutar en su propio nombre y reconoce un tipo de sanción, la administrativa, y una serie de infracciones tipo, en función del nivel en el que se vulneren. Los derechos fundamentales a la protección de datos reconocidos en la LOPD y en su Reglamento de aplicación están recogidos bajo el epígrafe Principios de la protección de datos. Concretamente, se citan los siguientes: 1. 2. 3.

Principio de calidad de los datos. Principio de consentimiento del afectado. Principio de información en la recogida de datos.

Vamos a analizarlos con más detalle, ya que constituyen la parte fundamental de la etapa de recogida y obtención de datos de carácter personal.

1. Principio de calidad de los datos Según el principio de calidad, los datos de carácter personal deben ser tratados de forma leal y lícita y sólo podrán ser objeto de tratamiento aquellos que sean adecuados, pertinentes y no excesivos en relación con la finalidad y el ámbito para los que se recogieron. Es decir, que los datos recogidos para una actividad determinada deberán ser utilizados exclusivamente para dicha actividad. Plataforma de Teleformación de IFES

Página 25 de 139

Del mismo modo, este principio de calidad exige que los datos sean exactos y estén actualizados, no se podrán mantener por tiempo indefinido sin causa justificada. Las obligaciones implícitas en el principio de calidad de los datos pueden concretarse como: • • •

Pertinencia. Finalidad. Veracidad.

Supongamos, por ejemplo, que una gran superficie comercial recoge datos personales procedentes de la compra de un electrodoméstico. Los datos recogidos con esta finalidad no pueden ser usados por la gran superficie para el envío de publicidad no solicitada al domicilio del comprador. El RLOPD introduce algunas novedades importantes en relación con la norma anterior (R.D. 1994/99):

Página 26 de 139


• • • •

La consideración de datos exactos, si son obtenidos directamente del interesado. La posibilidad de cancelar o sustituir datos inexactos o incompletos en un plazo de 10 días, desde que se tenga constancia del hecho. La obligación de comunicar en el mismo plazo (10 días) los datos que hayan sido objeto de cesión, para proceder a su rectificación o cancelación. Introduce el término 'bloqueo' de los datos, para un fin concreto y un tiempo determinado (en caso de responsabilidades jurídicas o contractuales) tras el cual deberán suprimirse.

Además, la LOPD según lo dispuesto en su artículo 44.3.f) establece que: •

«Mantener datos de carácter personal inexactos o no efectuar las rectificaciones o cancelaciones de los mismos que legalmente procedan cuando resulten afectados los derechos de las personas que la presente Ley ampara», se considerará infracción de carácter grave.

Veremos, hacia el final del módulo, cuál es el régimen sancionador que la LOPD impone al incumplimiento de los principios y obligaciones en relación con la protección de datos.

2. Principio de consentimiento El principio de consentimiento está ligado al derecho del titular de los datos personales a otorgar o no su consentimiento para el tratamiento de los mismos, salvo las excepciones recogidas al amparo de la LOPD. Es decir, el consentimiento es la 'piedra angular' de la protección de datos, al imponerse por ley la necesidad del consentimiento inequívoco del titular de los datos para el tratamiento de los mismos (artículo 6.1. de la LOPD ). La forma en que el interesado debe manifestar o no su consentimiento, para que sea aceptado legalmente, debe cumplir los siguientes requisitos: a. b. c.

Libre, que no medie intervención de vicio alguno del consentimiento en los

términos regulados por el Código Civil (error, violencia y dolo). Específico, que se refiera a una determinada operación de tratamiento y para una finalidad determinada, explícita y legítima del responsable del tratamiento. Informado, consiste en que el afectado, con carácter previo al tratamiento de los datos, sepa de la existencia de los mismos y las finalidades para las que se recogen.


Página 27 de 139

d.

Inequívoco, tiene que ver con la forma en la que se presta el

consentimiento. Es decir, éste es evidente, sin lugar a dudas o equivocaciones, independientemente del tipo (tácito o expreso). Los tipos de consentimiento que reconoce la LOPD son: •

Tácito. El consentimiento se considerará tácito cuando el titular de los datos personales no hace ninguna manifestación, ni a favor ni en contra. Imaginemos el caso de una persona que compra un mueble en un gran almacén y sus datos personales son utilizados y tratados por la organización para el envío de ofertas comerciales sobre colchones. Si el usuario conoce el tratamiento que se va a hacer sobre sus datos personales, y no ha expresado su negativa al mismo o simplemente no se pronuncia (guarda silencio), el gran almacén, asumiendo el consentimiento tácito, está legalmente autorizado al tratamiento de los datos.

La LOPD contempla la posibilidad de que el usuario cambie esta situación en cualquier momento y ejerciendo los derechos que le corresponden, es decir, que revoque su consentimiento. La normativa acepta el consentimiento tácito salvo en los casos en los que se exije una declaración o manifestación expresa del consentimiento, como veremos que ocurre con los datos especialmente protegidos. •

Expreso. Este consentimiento exige del titular de los datos la manifestación

de que acepta el tratamiento de sus datos personales. Esta manifestación puede darse por escrito, verbalmente, mediante comunicación telemática o por cualquier otro medio.

Página 28 de 139


Por tanto, el marco legislativo en nuestro ordenamiento jurídico exige el consentimiento inequívoco del afectado, salvo en algunos casos concretos, incluyendo expresamente aquellos en los que se produce comunicación o cesión de datos a terceros y que trataremos por su importancia más adelante, ya que el consentimiento para la cesión debe ser previo e informado. Las actuaciones exentas de recabar un consentimiento expreso, tal y como expresa la normativa en cuanto a la protección de datos de carácter personal, están recogidas en el artículo 6.2. de la LOPD .


Página 29 de 139

Página 30 de 139


Como adelantábamos, los datos especialmente protegidos recogidos en el artículo 7 de la LOPD, precisan de un consentimiento específico y por escrito del afectado, que debe satisfacer las siguientes condiciones: • • •

Nadie podrá ser obligado a declarar sobre su ideología, religión o creencias. El consentimiento debe ser expreso y por escrito cuando se trate de datos relacionados con la ideología, afiliación sindical, religión y creencias. Se requiere consentimiento expreso cuando los datos se refieran al origen racial, salud o vida íntima.

El artículo 14 del RLOPD regula explícitamente la forma en que debe recabarse el consentimiento. Hay que tener en cuenta que los datos se tratan con posterioridad a su obtención, por lo que es importante utilizar la forma correcta en la obtención del consentimiento. El responsable debe dirigirse al interesado o afectado informándole del tratamiento de los datos y de su finalidad, así como de las condiciones en las que se va a realizar. El afectado dispone de un plazo de 30 días para manifestar su negativa al tratamiento, advirtiéndole que en caso de no obtener respuesta, se considerará que acepta el tratamiento de los datos. Además, el responsable del fichero tiene la obligación de facilitar al interesado un medio sencillo y gratuito para manifestar su oposición al tratamiento de los datos. En este sentido, los medios aceptados son: • • •

Envío prefranqueado. Llamada a un número de teléfono gratuito. Servicios de atención al público puestos a disposición para tal fin.

El RLOPD contempla que no podrá volver a requerirse consentimiento al afectado para tratar los datos con el mismo fin en el plazo de un año a contar desde la solicitud anterior.


Página 31 de 139

Página 32 de 139


En algunas ocasiones el consentimiento del interesado se incluye en el ámbito de una relación contractual para fines distintos a los del objeto del contrato. En estos casos, el responsable del tratamiento está obligado a habilitar una casilla para que el afectado exprese de forma explícita su negativa al tratamiento o comunicación de datos ajenos a la naturaleza del contrato. El artículo 17 del RLOPD recoge los medios y actuaciones mediante los cuales el titular de los datos puede revocar su consentimiento y en qué plazos, clarificando además que quedan exceptuados los siguientes medios: • • •

El envío de cartas certificadas o semejantes. La utilización de servicios de telecomunicaciones que impliquen una tarificación adicional al afectado. Cualquier otro que suponga un coste adicional al interesado.

Cabe también destacar del RLOPD la regulación para obtener el consentimiento en el caso de que se quieran tratar datos de menores de edad. En este sentido se establece que: •

Si son mayores de 14 años, se entenderá válido el consentimiento, salvo en los casos en que la LOPD exija la asistencia de los titulares de la patria potestad o tutela.

•

Si son menores de 14 años, se entenderá que existe consentimiento si va acompañado del consentimiento de los padres o tutores.

La normativa incide en que la información debe ser sencilla, de forma que el lenguaje utilizado pueda ser comprendido por el menor, y atribuye al responsable del fichero la obligación de comprobar de modo efectivo la edad del menor y la autenticidad del consentimiento aportado. Además, la LOPD dispone que en ningún caso se podrá recabar del menor, sin contar con el consentimiento de padres o tutores, datos que permitan obtener información sobre los demás miembros del grupo familiar o sobre las características del mismo (actividad profesional, información económica, datos sociológicos, etc.).


Página 33 de 139

3. Principio de información El artículo 5 de la LOPD hace referencia al principio del derecho de información en la recogida de los datos. Se debe informar al interesado a quien se solicita los datos personales acerca de la existencia de uno o varios ficheros, la identidad de su responsable, la finalidad del tratamiento, los destinatarios de la información, la conservación del documento o medio que permita acreditar al interesado que se le ha informado y los derechos que ostenta. Este deber de información debe ejecutarse tal y como cita el RLOPD: •

«...deberá llevarse a cabo a través de un medio que permita acreditar su cumplimiento, debiendo conservarse mientras persista el tratamiento de los datos del afectado».

También se faculta al responsable del fichero o tratamiento a utilizar medios informáticos o telemáticos para el almacenamiento de los datos y a disponer libremente de la forma y modo de conservación de los mismos (escaneo, papel, etc.). El artículo 19 del RLOPD menciona el supuesto especial de que se produzcan modificaciones de los ficheros por parte del responsable, en los casos concretos de fusión, escisión global de activos o pasivos, aportación o transmisión de negocio o rama de actividad empresarial o cualquier reestructuración empresarial de naturaleza análoga, interpretando que no se ha producido cesión de datos a terceros, sino únicamente que ha habido un cambio en la figura del responsable. También en este caso se debe informar al afectado del uso de los datos durante la reestructuración.

Página 34 de 139


La normativa diferencia entre dos situaciones: que los datos se recojan directamente del interesado o no. En el primero de los casos, el deber de información deberá ejecutarse con carácter previo a la recogida de los datos personales. Si por el contrario, los datos no se obtienen directamente del interesado, el responsable del fichero o su representante deben informar de esa recogida en el plazo de tres meses a contar desde el momento del registro de los datos.

U.D.2. Confidencialidad y deber de secreto sobre los datos personales La LOPD contempla el deber de secreto profesional en el artículo 10, en el que se dispone que: •

« El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo».

El deber de secreto no sólo afecta a los responsables que almacenen datos de carácter personal, sino a toda persona que tenga acceso a ellos o intervenga en su tratamiento. Por tanto, el simple acceso a datos personales genera automáticamente la obligación de guardar secreto respecto de los mismos, incluso después de finalizadas las relaciones con el responsable del fichero. Por ejemplo, si como empleado del servicio de nóminas de una empresa se tiene acceso a datos de carácter personal contenidos en los ficheros de la entidad, el trabajador tiene la obligación legal de guardar secreto y no transmitir dichos datos a nadie, incluso una vez que haya dejado de prestar servicios en la empresa.


Página 35 de 139

U.D.3. Cesión y comunicación de datos

1. Comunicación de datos Por comunicación o cesión de datos se entiende toda aquella información que se revela a un tercero distinto del afectado. Implica, por tanto, que el responsable del fichero traslada datos de carácter personal a otra entidad para el cumplimiento de fines complementarios entre ambos, el que los cede (el responsable) y el que los recibe (el tercero). Como consecuencia de la cesión, el tercero pasa a ser el nuevo responsable del fichero, debiendo cumplir con las mismas exigencias y obligaciones que marca la LOPD. La Ley contempla expresamente que el responsable del fichero, en el momento en que se efectúe la primera cesión de datos, debe informar de ello a los afectados e indicar, asimismo, la finalidad del fichero, la naturaleza de los datos que han sido cedidos y el nombre y dirección del cesionario. Es decir, la primera cesión de datos lleva asociada una obligación específica del deber de información. Por ejemplo, una empresa que comercializa artículos deportivos se pone en contacto con una empresa textil para llegar a un acuerdo de aprovisionamiento de ropa deportiva. Para cerrar el acuerdo, la empresa textil necesita los datos de clientes de la empresa de artículos deportivos. Esta revelación de datos por parte del responsable del fichero es una comunicación o cesión de datos.

Página 36 de 139


Como hemos visto, la cesión o comunicación de datos es uno de los diferentes tipos de tratamiento de datos de carácter personal y, por tanto, requiere el consentimiento del interesado. No obstante, el consentimiento del cedente no es preciso cuando: a.

La cesión esté autorizada en una ley.

b.

Se trate de datos recogidos de fuentes accesibles al público.

c.

El tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros. En este caso, la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique.

d.

La comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal, los jueces o tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tienen atribuidas. Tampoco será preciso el consentimiento cuando la comunicación tenga como destino a instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas.

e.

La cesión se produzca entre Administraciones públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos.

f.

La cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar estudios epidemiológicos, en los términos establecidos en la legislación sobre sanidad estatal o autonómica.

Por último, se debe reseñar que la comunicación o cesión de datos también es revocable, al igual que el consentimiento.

2. Acceso a datos por cuenta de terceros A diferencia de lo que ocurre en la comunicación o cesión de datos, hay situaciones en las que el responsable del fichero no está obligado a recabar el consentimiento del interesado ni a informarle de que un tercero va a tratar sus datos. Esta figura legal se encuentra tipificada por la Agencia Española de Protección de Datos (AEPD) como ' encargado del tratamiento ' y se da cuando una tercera Plataforma de Teleformación de IFES

Página 37 de 139

empresa accede a datos de carácter personal que se encuentran ubicados en los ficheros de una empresa que le contrata para que preste determinados servicios. Un ejemplo claro es el mantenimiento informático. Para que el acceso a esos datos se haga según las condiciones y exigencias contempladas en la LOPD, se regula esta prestación de servicios por escrito, mediante un contrato en el que se establezca expresamente (artículo 12 de la LOPD ): •

«El encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará ni siquiera para su conservación a otras personas».

Una vez cumplida la prestación contractual, los datos de carácter personal que obtenga el tercero deben ser destruidos o devueltos al responsable del tratamiento, así como cualquier soporte o documento donde conste algún dato de carácter personal objeto del tratamiento. Si esto no se hace efectivo y el encargado del tratamiento destina los datos a otra finalidad, los comunica o los utiliza incumpliendo las estipulaciones del contrato, es considerado también responsable del tratamiento y responde de las infracciones impuestas por la LOPD en que hubiera incurrido personalmente.

Página 38 de 139



Página 39 de 139

3. Transferencia internacional de datos Hay que tener en cuenta que la comunicación de datos en nuestros días y en la actividad cotidiana (viajes, comercio entre empresas, etc.) puede tener como destino cualquier país, de manera que cobra especial importancia la transferencia internacional de datos personales para asegurar, adecuar y regular normas y principios básicos en los que se preserve que el flujo de datos entre países se haga bajo un nivel adecuado de protección. Así, el régimen de transferencias internacionales de datos se encuentra regulado en los artículos 33 y 34 de la LOPD, en su Reglamento de aplicación (RLOPD) y en la Instrucción 1/2000, de 1 de diciembre, de la AEPD. Tanto el artículo 33 de la LOPD como el artículo 25.1 de la Directiva 95/46/CE establecen expresamente la prohibición de efectuar transferencias de datos de carácter personal a países que no proporcionen un nivel de protección equiparable al que presta la ley española. De hecho, el movimiento internacional de datos es libre entre los países que componen el Espacio Económico Europeo (EEE) y se considera como transferencia internacional de datos cuando el tratamiento de datos que suponga una transmisión de los mismos fuera del citado territorio, constituya una cesión o comunicación de datos o bien tenga por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero establecido en territorio español (artículo 5.1. del RLOPD). Además, se define claramente que establecimiento es cualquier instalación estable que permita el ejercicio efectivo y real de una actividad. •

«No podrán realizarse transferencias temporales ni definitivas de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento con destino a países que no proporcionen un nivel de protección equiparable al que presta la presente Ley, salvo que, además de haberse observado lo dispuesto en ésta, se obtenga autorización previa del director de la Agencia Española de Protección de Datos, que sólo podrá otorgarla si se obtienen garantías adecuadas».

Por tanto, para que resulte de aplicación la legislación española, el tratamiento de los datos que realice el responsable del fichero debe hacerse en un establecimiento en España. Además, la LOPD se aplica a tres supuestos concretos (artículo 2.1): a.

Cuando el tratamiento sea efectuado en territorio español en el marco de las actividades de un establecimiento del responsable del tratamiento. En este caso se aplica la legislación española y

Página 40 de 139


además se entiende que el tratamiento engloba «cualquier operación o procedimiento técnico automatizado o no, que permita la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias». b.

Cuando al responsable del tratamiento no establecido en territorio español le sea de aplicación la legislación española en aplicación de normas de Derecho Internacional Público. En este caso, también

se aplica la legislación española y para que en todo momento se tenga conocimiento de la identidad del responsable y de su localización, se exige que el responsable que se encuentre en esta situación designe un representante en España. c.

Cuando el responsable del tratamiento no esté establecido en territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, salvo que tales medios se utilicen

únicamente con fines de tránsito. Estos supuestos incluyen específicamente tratamientos de datos operados en el extranjero por sujetos con capacidad para desarrollar funciones públicas de acuerdo con el Derecho Internacional. Se contempla que el tratamiento de datos que dispensen estas autoridades españolas en el extranjero se rijan por la LOPD.

Aparecen dos nuevos conceptos recogidos en el artículo 5 del RLOPD: •

El importador de datos personales es la persona física o jurídica, pública o privada u órgano administrativo receptor de los datos en caso de transferencia internacional de los mismos a un tercer país, ya sea responsable del tratamiento, encargado del fichero o tercero.


Página 41 de 139

•

El exportador de datos personales es la persona física o jurídica, pública o privada u órgano administrativo situado en territorio español que realice, conforme a lo dispuesto en el RLOPD, una transferencia de datos de carácter personal a un país tercero.

El R.D. 1720/2007 clarifica expresamente en el Título IX (artículos 65 a 70) los procedimientos tramitados por la Agencia Española de Protección de Datos,

concretamente en todo lo relacionado con las transferencias internacionales de datos. En principio, los requisitos generales necesarios para poder realizar la transferencia internacional de datos son los siguientes: 1.

Cumplimiento del deber de información y de las obligaciones establecidas por la Ley para la cesión de datos o para el acceso a datos por cuenta de terceros, que ya hemos comentado anteriormente.

2.

Notificación de la transferencia internacional de datos a la Agencia Española de Protección de Datos, indicando el país de destino y, en su caso, el supuesto al que se acoge de las excepciones establecidas en el artículo 34 de la LOPD, para que no sea necesaria la autorización previa del Director de la Agencia Española de Protección de Datos.

Una vez notificada la transferencia internacional, la AEPD podrá solicitar al responsable del fichero que aporte documentación complementaria para autorizar dicha transferencia; principalmente, en relación con el cumplimiento del deber de información, consentimiento de los interesados, existencia de cláusulas contractuales tipo para la cesión y/o acceso por cuenta de terceros, finalidades de la transferencia, etc. El RLOPD introduce novedades importantes con respecto a la figura del Director de la AEPD, dotándole de plenas facultades para determinar si un país proporciona un nivel adecuado de protección de datos y permitir la transferencia internacional de datos en grupos multinacionales de empresas, siempre que se incluyan los códigos internos de conducta de estos grupos que, además, serán vinculantes para todas las empresas del grupo y cuyo incumplimiento puede ser denunciado ante la AEPD. Otra de las novedades del RLOPD es que introduce la opción de suspender o revocar una determinada transferencia que hubiera sido previamente autorizada por parte del director, si posteriormente se produce incumplimiento o falta de garantías.

Página 42 de 139



Página 43 de 139

Para evaluar el criterio del nivel de protección equiparable al que presta la LOPD se tienen en cuenta los siguientes aspectos: • • • • • •

La naturaleza y finalidad de los datos. La duración del tratamiento. Los países de destino o de origen. Las normas legales vigentes en el país tercero. El contenido de los informes de la Comisión de la Unión Europea. Las normas de seguridad que se aplican en esos países.

Por tanto, quien señala si el nivel de protección que ofrece el país de destino es adecuado es la Agencia Española de Protección de Datos, no el responsable del fichero. A continuación vamos a recoger el procedimiento por el cual el Director otorga autorización para realizar la transferencia internacional de datos. Este procedimiento se encuentra regulado en la Instrucción 1/2000 antes mencionada: El responsable del fichero, que es quien realiza la cesión, deberá aportar un contrato (con el cesionario) en el que se recojan los siguientes apartados: • • • • • • • • •

•

La identificación del transmitente y el destinatario de los datos. La finalidad de la transmisión. Los datos que se ceden. La obligación del transmitente de cumplimiento con la LOPD, especialmente en lo relativo a la inscripción del fichero. La obligación del que recibe los datos de cumplir con los principios de la LOPD, de no ceder los datos a un tercero y de cumplir con la finalidad recogida en el contrato. La obligación de que el destinatario adopte las medidas de seguridad contempladas en la legislación española (Reglamento de Seguridad). La obligación de que ambas partes responderán solidariamente por el incumplimiento del contrato ante la Agencia de Protección de Datos, si del mencionado incumplimiento deriva algún tipo de infracción. La obligación de que ambas partes indemnizarán a los afectados en caso de incumplimiento de la LOPD. El compromiso de que el afectado pueda ejercer sus derechos de acceso, rectificación, cancelación y oposición y que, en caso de no ser atendido en el ejercicio de estos derechos, podrá reclamar tutela de la Agencia de Protección de Datos. El compromiso de que el destinatario autorizará a miembros de la Agencia de Protección de Datos el acceso a los locales donde se traten los datos y a

Página 44 de 139


• •

la documentación necesaria, con la finalidad de comprobar el cumplimiento de las obligaciones derivadas del contrato. La obligación de devolver o destruir los datos una vez expirado el contrato. El compromiso de que los afectados puedan exigir lo estipulado en el contrato, con respecto a aquellas cuestiones que les sean beneficiosas.

Recibido el contrato, la AEPD podrá señalar las cuestiones que considere que se deben cambiar. Estas modificaciones deberán realizarse en el plazo de diez días. Si no se aporta el contrato con los requisitos expuestos o no se realizan las modificaciones que señale la Agencia, el Director denegará la transferencia de los datos. En el caso de autorizar la transferencia, ésta será inscrita en el Registro General de Protección de Datos y será comunicada a la Comisión de las Comunidades Europeas. Finalmente se destaca que el artículo 34 de la LOPD recoge los 11 supuestos en los que no se precisa la autorización del Director de la AEPD para la transferencia internacional de datos.

U.D.4. Derechos de los interesados, ejercicio y salvaguarda sobre sus datos de carácter personal Los derechos de las personas para ejercer un control sobre sus datos personales están reconocidos en el Título III de la LOPD. Estos derechos son: • • •

Impugnación. Consulta al Registro General de Protección de Datos. Oposición.


Página 45 de 139

• • •

Acceso. Rectificación. Cancelación.

1. Derecho de impugnación La finalidad de este derecho es impedir que el afectado se vea sometido a decisiones que le afecten jurídicamente y que se basen únicamente en el contenido de un fichero de datos, que haya sido creado para evaluar determinados aspectos de su personalidad.

2. Derecho de acceso al Registro General de Protección de Datos Cualquier persona podrá conocer, recabando a tal fin la información oportuna del Registro, la existencia de tratamientos de datos de carácter personal. El Registro General es de consulta pública, gratuita y se puede acceder on-line a través de la página de la AEPD (www.agpd.es). Como veremos más adelante, en el Registro General deben inscribirse los ficheros que la LOPD dispone. Por tanto, mediante las consultas se puede recabar información sobre aspectos concretos de los ficheros, tales como finalidad, estructura, identidad del responsable del tratamiento, ubicación, cesiones previstas, etc.

3. Derecho de oposición El artículo 6.4 de la LOPD establece que cuando no sea necesario el consentimiento del afectado para el tratamiento de los datos de carácter personal, y siempre que una ley no disponga lo contrario, éste puede oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal. En tal supuesto, el responsable del fichero debe excluir del tratamiento los datos relativos al afectado. Es decir, el derecho de oposición hace posible que todo ciudadano pueda negarse a que un tercero recabe sus datos de carácter personal. Ejemplo: telefonía móvil.

Página 46 de 139


5. Derecho de acceso El interesado tiene derecho a solicitar y obtener gratuitamente información de sus datos de carácter personal sometidos a tratamiento, a conocer el origen de dichos datos, así como las comunicaciones hechas o que se prevé hacer de los mismos. Este derecho se ejercita de forma personal por el interesado o titular de los datos de carácter personal, a través de distintos medios. De hecho, la información puede obtenerse mediante una consulta de los datos por medio de su visualización, o la Plataforma de Teleformación de IFES

Página 47 de 139

indicación de los datos que son objeto de tratamiento mediante escrito, copia, telecopia o fotocopia, certificada o no, de forma legible e inteligible, sin utilizar claves o códigos que requieran el uso de dispositivos mecánicos específicos. El derecho de acceso puede ejercitarse a intervalos no inferiores a 12 meses, salvo que el interesado acredite un interés legítimo al efecto, en cuyo caso podrá ejercitarlo antes. La Instrucción 1/1998, de 19 de enero, de la AEPD, relativa al ejercicio de los derechos de acceso, rectificación y cancelación, detalla los requisitos y plazos legales que deben cumplirse para que el ejercicio de estos derechos se haga efectivo conforme a la norma.

5.1. Petición La petición se cursa directamente por el interesado al responsable del fichero, utilizando cualquier medio que permita acreditar el envío y la recogida de dicha solicitud, acompañando copia del DNI e indicando el fichero o ficheros a consultar. La petición debe completarse con información sobre el domicilio del solicitante a efectos de notificaciones, la fecha y su firma.

5.2. Tramitación El responsable del fichero debe responder a la petición del interesado en el plazo máximo de un mes, a contar desde la recepción de la solicitud, y utilizará cualquier medio que permita acreditar el envío y la recepción de la contestación al interesado. Puede darse el caso de que la solicitud no reúna los requisitos exigidos. Si ocurre esto, el responsable del fichero deberá solicitar al interesado la subsanación de los fallos y deberá hacer efectivo el acceso en diez días. Si por el contrario, el responsable del tratamiento responde negativamente a la petición, tiene la posibilidad de dirigirse al Director de la Agencia Española de Protección de Datos, que decidirá sobre la procedencia o improcedencia de la negativa. Haremos una mención especial más adelante para el ejercicio de los derechos de acceso vinculados a ficheros de titularidad pública y privada.

Página 48 de 139



Página 49 de 139

6. Derecho de rectificación y cancelación El tratamiento de datos de carácter personal debe ajustarse a lo previsto en la LOPD y al principio de calidad impuesto por la misma, por el que el afectado o el titular de los datos puede ejercitar el derecho de rectificación o cancelación de los datos. La rectificación se realizará por el titular si desea que sus datos sean modificados o completados. Por otro lado, ejercerá el derecho de cancelación cuando no quiera que todos o parte de los datos vuelvan a ser tratados por el responsable del fichero. Veremos que esto no siempre es posible. El responsable del tratamiento tiene la obligación de hacer efectivo el derecho de rectificación o cancelación del interesado o afectado en el plazo de diez días. La cancelación da lugar al bloqueo de los datos , conservándose únicamente a disposición de las Administraciones públicas, jueces y tribunales para la atención de las posibles responsabilidades, durante el plazo de prescripción de éstas. Cumplido este plazo deben suprimirse los datos. Esto implica que se procede al borrado físico total de los datos, no dejando ningún tipo de marca física de las bajas producidas o la creación de ficheros paralelos. La normativa concreta dos casos particulares para el ejercicio de estos derechos. Por ejemplo, si los datos rectificados o cancelados hubieran sido cedidos previamente, el responsable del fichero deberá notificar al cesionario la rectificación y cancelación, a los efectos de que éste la practique de igual forma. Al igual que el procedimiento de acceso al Registro, el ejercicio del derecho de cancelación o rectificación debe solicitarse directamente por el titular de los datos al responsable del fichero.

6.1. Petición Los medios y las condiciones de envío son las mismas que en el caso del acceso al Registro. En este caso, la petición debe incluir la siguiente información: •

Domicilio a efectos de notificaciones, fecha y firma del solicitante y fotocopia del DNI.

Página 50 de 139


•

Datos que hay que cancelar o rectificar, indicar los datos correctos y el fichero o ficheros donde se encuentran. Debe acompañarse documentación que justifique la rectificación.

6.2. Tramitación El responsable del fichero deberá contestar a la petición del afectado en un plazo de 10 días contados a partir de la recepción de la solicitud, utilizando cualquier medio que acredite su envío y entrega. Al igual que en el caso anterior, si los datos rectificados o cancelados hubieran sido cedidos previamente, el responsable del fichero deberá notificar al cesionario la rectificación o cancelación efectuada.


Página 51 de 139

Página 52 de 139


7. Supuestos especiales para el ejercicio de los derechos del interesado 7.1. Ficheros de titularidad pública En el Módulo I del curso mencionamos que los ficheros de titularidad pública son aquellos cuyo titular es una entidad pública (Gobierno, autonomías, Administraciones públicas, etc.) y que se crean por estar vinculados al ejercicio de la actividad que desarrollan. En el Capítulo I del Título IV de la LOPD se regulan las disposiciones sectoriales para este tipo de ficheros. La creación, modificación o supresión de ficheros de titularidad pública sólo puede hacerse mediante una disposición general publicada en el diario oficial correspondiente y debe contener las siguientes previsiones (artículo 20): a. b. c. d. e. f. g. h.

La finalidad del fichero y los usos previstos para el mismo. Las personas o colectivos sobre los que se pretenda obtener datos de carácter personal o que resulten obligados a suministrarlos. El procedimiento de recogida de los datos de carácter personal. La estructura básica del fichero y la descripción de los tipos de datos de carácter personal incluidos en el mismo. Las cesiones de datos de carácter personal y, en su caso, las transferencias de datos que se prevean a países terceros. Los órganos de las Administraciones responsables del fichero. Los servicios o unidades ante los que pudiesen ejercitarse los derechos de acceso, rectificación, cancelación y oposición. Las medidas de seguridad con indicación del nivel básico, medio o alto exigible.

Todo fichero de titularidad pública debe ser notificado a la AEPD por el órgano competente de la Administración responsable del fichero para su inscripción en el Registro, mediante el modelo normalizado elaborado por la AEPD, acompañado de una copia de la disposición de creación del fichero y del diario oficial donde se ha publicado (artículo 5 del R.D. 1332/1994).

El art. 44.3.a) determina que proceder a la creación de ficheros de titularidad pública o iniciar la recogida de datos de carácter personal para los mismos, sin autorización de disposición general publicada en el BOE o diario oficial correspondiente, constituye una infracción grave.


Página 53 de 139

•

Excepciones a los derechos de los afectados

No será necesario informar en la recogida de los datos de ficheros de titularidad pública cuando la información al afectado impida o dificulte gravemente el cumplimiento de las funciones de control y verificación de las Administraciones públicas o cuando afecte a la defensa nacional, a la seguridad pública o a la persecución de infracciones penales o administrativas. No será necesario facilitar los derechos de acceso, rectificación y cancelación por razones de interés público o ante intereses de terceros más dignos de protección, aunque el órgano administrativo responsable del fichero debe dictar una resolución motivada e instruirá al afectado del derecho que le asiste a poner la negativa en conocimiento del Director de la AEPD o, en su caso, del órgano equivalente de las comunidades autónomas. •

Comunicación de datos entre Administraciones públicas

Según el artículo 21 de la LOPD los ficheros realizados por una Administración no serán comunicados a otras Administraciones públicas, salvo que, al ser creado el fichero se haya establecido de ese modo o cuando sea para fines científicos, estadísticos o históricos. Una Administración que elabore un fichero con destino a otra sí podrá comunicar datos de carácter personal. Por supuesto, queda excluida la posibilidad de transferir los ficheros de titularidad pública a uno de carácter privado, salvo cuando la ley prevea otra cosa. •

Ficheros de las Fuerzas Armadas y Cuerpos de Seguridad

La legislación prevé que solo podrán recoger información sin el consentimiento de las personas afectadas, cuando resulten necesarios para la prevención de un peligro real para la seguridad pública o para la prevención de infracciones penales. También se dispone la cancelación de los datos personales registrados con fines policiales cuando ya no sean necesarios para la investigación que justificó su almacenamiento.

7.2. Ficheros de titularidad privada En el Capítulo II del Título IV de la LOPD se establecen las disposiciones sectoriales para los ficheros de titularidad privada (los creados por empresas, personas físicas o Administraciones con fines no públicos). El artículo 25 prevé que pueden crearse

Página 54 de 139


ficheros de titularidad privada que contengan datos de carácter personal cuando resulte necesario para el logro de la actividad u objetos legítimos de la persona, empresa o entidad titular y se respeten las garantías para la protección de las personas establecidas en la LOPD. Además, toda persona o entidad que proceda a la creación de ficheros de carácter personal tiene que notificarlo previamente a la AEPD (artículo 26.1). El procedimiento de notificación se encuentra regulado en el R.D. 1332/1994, artículo 6, en el que se especifican los extremos que debe contener: • • • • • • • • • •

Nombre, denominación o razón social, DNI o CIF, dirección y actividad y objeto social del responsable del fichero. Ubicación del fichero. Identificación de los datos que se pretende tratar, indicando, si es el caso, datos especialmente protegidos. Dirección de la dependencia en la cual pueden ejercitarse los derechos de acceso, rectificación y cancelación. Origen o procedencia de los datos. Finalidad del fichero. Cesiones de datos previstas. Transferencias internacionales de datos. Sistema de tratamiento. Medidas de seguridad.

Hay que tener en cuenta que solo quedarán inscritos en el Registro los ficheros que se ajusten a los requisitos establecidos por la Ley (artículo 26.4). Si la notificación del fichero no es correcta, el Director de la AEPD puede requerir al responsable del fichero para que subsane o complete la notificación en el plazo de 10 días. Transcurrido un mes desde la presentación de la solicitud de inscripción, sin que la AEPD hubiera resuelto sobre la misma, se entenderá inscrito el fichero automatizado a todos los efectos (artículo 26.5). Cualquier modificación en el contenido de la notificación debe comunicarse a la AEPD para su inscripción.


Página 55 de 139

Página 56 de 139


•

Datos incluidos en las fuentes de acceso público

Los datos personales que figuren en el censo promocional o las listas de personas pertenecientes a grupos de profesionales de fuentes accesibles al público, deben limitarse a los que sean estrictamente necesarios para cumplir la finalidad a que se destina cada listado. La inclusión de datos adicionales por las entidades responsables del mantenimiento de dichas fuentes requerirá el consentimiento del interesado, que podrá ser revocado en cualquier momento. Los interesados pueden exigir gratuitamente la exclusión de la totalidad de sus datos personales en el censo promocional. •

Prestación de servicios de información sobre solvencia patrimonial y crédito

La Instrucción 1/1998 dedica una sección especial a este tipo de ficheros. Los tipos de ficheros que podemos encontrar son: • • •

Ficheros de acreedores: Cualquier empresa o entidad puede almacenar o tratar datos relativos a las deudas de sus clientes o proveedores. Ficheros comunes: Son los de información de terceros. Por ejemplo, de entidades de financiación o impagados con los que se establece un contrato para el suministro de datos. Ficheros de entidades terceras que acceden a los ficheros comunes: Generalmente son usados por entidades bancarias para estudios de solvencia en la concesión de créditos o hipotecas.

Con esta finalidad solo podrán tratarse datos de carácter personal obtenidos de los registros y las fuentes accesibles al público, establecidos al efecto o procedentes de informaciones facilitadas por el interesado o con su consentimiento. Podrán tratarse también datos de carácter personal relativos al cumplimiento o incumplimiento de obligaciones dinerarias facilitadas por el acreedor o quien actúe por su cuenta o interés. En estos casos, se notificará a los interesados respecto de los que hayan registrado datos de carácter personal en ficheros, en el plazo de 30 días desde dicho registro, una referencia de los que hubiesen sido incluidos y se les informará de su derecho a recabar información de la totalidad de ellos, en los términos establecidos por la presente Ley. Si el interesado lo solicita, el responsable del tratamiento debe comunicarle los datos, así como las evaluaciones y apreciaciones que sobre el mismo hayan sido comunicadas durante los últimos seis meses, y el nombre y dirección de la persona o entidad a quien se hayan revelado los datos.


Página 57 de 139

Sólo se pueden registrar y ceder los datos de carácter personal que sean determinantes para enjuiciar la solvencia económica de los interesados y que no se refieran, cuando sean adversos, a más de seis años, siempre que respondan con veracidad a la situación actual de aquéllos.

•

Tratamientos con fines de publicidad y de prospección comercial

Con la finalidad de recopilación de direcciones, reparto de documentos, publicidad, venta a distancia, prospección comercial y otras actividades análogas, solo pueden utilizarse nombres y direcciones u otros datos de carácter personal, cuando figuren en fuentes accesibles al público o cuando hayan sido facilitados por los propios interesados u obtenidos con su consentimiento. Cuando los datos procedan de fuentes accesibles al público, en cada comunicación dirigida al interesado se informará del origen de los datos y de la identidad del responsable del tratamiento, así como los derechos que le asisten. La empresa que realiza la prospección comercial para una tercera hará constar en los envíos publicitarios la identidad del responsable del fichero y la dirección para remitir la solicitud donde ejercer sus derechos. Entre ambas debe mediar un contrato de encargo de tratamiento donde se regule la prestación de servicios. Si un afectado solicita la baja para el envío de publicidad se produce el bloqueo para esos datos concretos, no para el resto, a no ser que lo hubiera dicho expresamente. •

Censo promocional

La LOPD prevé la creación, por parte del Instituto Nacional de Estadística o de los órganos equivalentes de las comunidades autónomas, del fichero del censo Página 58 de 139


promocional. Este fichero estará formado con los datos del nombre, apellidos y domicilio de cada ciudadano, según constan en el censo electoral. Puede solicitarse una copia de este fichero al Instituto Nacional de Estadística (INE) o al órgano correspondiente, por quienes pretendan realizar permanente o esporádicamente la actividad de recopilación de direcciones, reparto de documentos, publicidad, venta a distancia, prospección comercial u otras actividades análogas. Al no haberse reglamentado los procedimientos relativos al censo promocional, éste no existe en la práctica.

7.3. Códigos tipo La LOPD prevé que mediante acuerdos sectoriales, convenios administrativos o decisiones de empresa, los responsables de tratamientos de titularidad pública o privada, así como las organizaciones en que se agrupen, pueden formular códigos tipo que establezcan las condiciones de organización, régimen de funcionamiento, procedimientos aplicables, normas de seguridad del entorno, programas o equipos, obligaciones de los implicados en el tratamiento y uso de la información personal, así como las garantías en su ámbito, para el ejercicio de los derechos de las personas con pleno respeto a los principios y disposiciones de la LOPD y sus normas de desarrollo. Estos códigos tipo tienen el carácter de códigos deontológicos o de buena práctica profesional, debiendo ser depositados para su inscripción en el Registro General de Protección de Datos. El Registro puede denegar la inscripción si considera que no se ajusta a las disposiciones legales y reglamentarias sobre la materia, debiendo, en este caso, el director de la AEPD requerir a los solicitantes para que efectúen las correcciones oportunas.


Página 59 de 139

U.D.5. Infracciones y sanciones derivadas del incumplimiento del ejercicio de los derechos El Título VII de la LOPD recoge el régimen infractor y sancionador, donde se determina que los responsables de los ficheros y los encargados de los tratamientos estarán sujetos al régimen sancionador establecido. Cuando se trate de ficheros de los que sean responsables las Administraciones públicas se estará, en cuanto al procedimiento y las sanciones, a lo dispuesto en el artículo 46. Las infracciones se califican como leves, graves o muy graves.

1. Infracciones leves a. b. c. d. e.

No atender, por motivos formales, la solicitud del interesado de rectificación o cancelación de los datos personales objeto de tratamiento, cuando legalmente proceda. No proporcionar la información que solicite la AEPD, en el ejercicio de las competencias que tiene legalmente atribuidas, en relación con aspectos no sustantivos de la protección de datos. No solicitar la inscripción del fichero de datos de carácter personal en el Registro, cuando no sea constitutivo de infracción grave. Proceder a la recogida de datos de carácter personal de los propios afectados, sin proporcionarles la información que señala el artículo 5 de la LOPD. Incumplir el deber de secreto establecido en la LOPD, salvo que constituya infracción grave.

Página 60 de 139


2. Infracciones graves a. b. c. d.

e. f.

g.

h. i. j. k. l.

Proceder a la creación de ficheros de titularidad pública o iniciar la recogida de datos de carácter personal para los mismos, sin autorización de disposición general publicada en el BOE o el diario oficial correspondiente. Proceder a la creación de ficheros de titularidad privada o iniciar la recogida de datos de carácter personal para los mismos, con finalidades distintas de las que constituyen el objeto legítimo de la empresa o entidad. Proceder a la recogida de datos de carácter personal, sin recabar el consentimiento expreso de las personas afectadas, en los casos en que éste sea exigible. Tratar los datos de carácter personal o usarlos posteriormente con vulneración de los principios y garantías establecidos en la presente Ley o con incumplimiento de los preceptos de protección que impongan las disposiciones reglamentarias de desarrollo, cuando no constituya infracción muy grave. El impedimento o la obstaculización del ejercicio de los derechos de acceso y oposición y la negativa a facilitar la información que sea solicitada. Mantener datos de carácter personal inexactos o no efectuar las rectificaciones o cancelaciones de los mismos, que legalmente procedan cuando resulten afectados los derechos de las personas que esta Ley ampara. La vulneración del deber de guardar secreto sobre los datos de carácter personal incorporados a ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros, prestación de servicios de solvencia patrimonial y crédito, así como aquellos otros ficheros que contengan un conjunto de datos de carácter personal suficientes, para obtener una evaluación de la personalidad del individuo. Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal, sin las debidas condiciones de seguridad que por vía reglamentaria se determinen. No remitir a la AEPD las notificaciones previstas en la LOPD o en sus disposiciones de desarrollo, así como no proporcionarle en plazo cuantos documentos e informaciones deba recibir o sean requeridos por aquella. La obstrucción al ejercicio de la función inspectora. No inscribir el fichero de datos de carácter personal en el Registro, cuando haya sido requerido para ello por el Director de la Agencia. Incumplir el deber de información que se establece en los artículos 5, 28 y 29, cuando los datos hayan sido recabados de persona distinta del afectado.


Página 61 de 139

3. Infracciones muy graves a. b. c.

d. e.

f. g.

h. i.

La recogida de datos en forma engañosa y fraudulenta. La comunicación o cesión de los datos de carácter personal, fuera de los casos en que estén permitidas. Recabar y tratar los datos de ideología, afiliación, religión y creencias, cuando no medie el consentimiento expreso del afectado. Recabar y tratar los datos de vida sexual, raza y salud cuando no lo disponga una ley o el afectado no haya consentido expresamente, o violentar la prohibición contenida en el apartado 4 del artículo 7. No cesar en el uso ilegítimo de los tratamientos de datos de carácter personal, cuando sea requerido para ello por el Director de la AEPD o por las personas titulares del derecho de acceso. La transferencia temporal o definitiva de datos de carácter personal, que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento, con destino a países que no proporcionen un nivel de protección equiparable, sin autorización del Director de la Agencia de Protección de Datos. Tratar los datos de carácter personal de forma ilegítima o con menosprecio de los principios y garantías que les sean de aplicación, cuando con ello se impida o se atente contra el ejercicio de los derechos fundamentales. La vulneración del deber de guardar secreto sobre los datos de carácter personal a que hacen referencia los apartados 2 y 3 del artículo 7, así como los que hayan sido recabados para fines policiales sin consentimiento de las personas afectadas. No atender u obstaculizar de forma sistemática el ejercicio de los derechos de acceso, rectificación, cancelación u oposición. No atender de forma sistemática el deber legal de notificación de la inclusión de datos de carácter personal en un fichero.

Página 62 de 139



Página 63 de 139

4. Prescripción de la infracción y la sanción El plazo de prescripción de la infracción comenzará a contarse desde el día en que la infracción se hubiera cometido. En el caso de la prescripción de la sanción, comenzará a contarse desde el día siguiente a aquel en que adquiera firmeza la resolución por la que se impone la sanción. En ambos casos los plazos son los siguientes: • • •

Leves: 1 año. Graves: 2 años. Muy graves: 3 años.

Y las sanciones serán: • • •

Leves: 601,01 € a 60.101,21 €. Graves: 60.101,21 € a 300.506,05 €. Muy graves: 300.506,05 € a 601.012,10 €.

5. Infracciones de las Administraciones públicas Cuando las infracciones fuesen cometidas en ficheros de los que sean responsables las Administraciones públicas, el Director de la AEPD dictará una resolución estableciendo las medidas que procede adoptar para que cesen o se corrijan los efectos de la infracción. Esta resolución se notificará al responsable del fichero, al órgano del que dependa jerárquicamente y a los afectados si los hubiera. El Director de la AEPD podrá proponer también la iniciación de actuaciones disciplinarias, si procedieran. El procedimiento y las sanciones a aplicar serán las establecidas en la legislación sobre régimen disciplinario de las Administraciones públicas. El Director de la Agencia comunicará al Defensor del Pueblo las actuaciones que efectúe y las resoluciones que dicte.

Material complementario: La transferencia internacional de datos personales Este recurso es de tipo Multimedia.

Página 64 de 139


Tiene que conectarse a la plataforma para acceder a este recurso.


Página 65 de 139

Seguridad de la información y protección de datos / MÓDULO II . LOS PRINCIPIOS Y LAS OBLIGACIONES DE LA PROTEC

Prácticas Ejercicio 1. Datos personales Este recurso es de tipo Práctica. Tiene que conectarse a la plataforma para acceder a este recurso.

Ejercicio 2. Legislación Este recurso es de tipo Práctica. Tiene que conectarse a la plataforma para acceder a este recurso.

Página 66 de 139



Autoevaluación Pregunta 1: El principio de la calidad de los datos:

• • •

Está relacionado con la obtención del consentimiento del interesado para el tratamiento de sus datos de carácter personal. Implica que la cesión de los datos se realiza a un país que ofrece niveles de protección que aseguran que los mismos son tratados con calidad. Asegura que los datos que vayan a tratarse sean los adecuados para el fin que se recogieron y que, además, son exactos y están puestos al día.

Respuesta correcta: Asegura que los datos que vayan a tratarse sean los adecuados para el fin que se recogieron y que, además, son exactos y están puestos al día. Pregunta 2: El bloqueo de los datos:

• • •

Puede ejecutarse por tiempo ilimitado. Debe asegurar que se realiza para cualquier tipo de finalidad de los datos. Implica que los datos deben suprimirse una vez que finalicen las causas que lo han originado.

Respuesta correcta: Implica que los datos deben suprimirse una vez que finalicen las causas que lo han originado. Pregunta 3: El incumplimiento de los principios y obligaciones en relación con la protección de datos impone:

• • •

Infracciones. Sanciones. Ambas.

Respuesta correcta: Ambas. Pregunta 4: Según la LOPD, el consentimiento tácito:

•

Es aceptado siempre.


Página 67 de 139

• •

No precisa del titular de los datos una aceptación expresa al tratamiento de sus datos personales. Se solicita para los datos especialmente protegidos.

Respuesta correcta: No precisa del titular de los datos una aceptación expresa al tratamiento de sus datos personales. Pregunta 5: ¿Cómo puede ejercerse el derecho de acceso?

• • •

Dirigiendo una solicitud al Director de la AEPD. El abogado del afectado dirige una petición al Director de la AEPD. Mediante solicitud o petición dirigida por el afectado al responsable del fichero.

Respuesta correcta: Mediante solicitud o petición dirigida por el afectado al responsable del fichero. Pregunta 6: El plazo de que dispone el responsable del tratamiento para hacer efectivo el derecho de cancelación del interesado es:

• • •

30 días hábiles. 10 días desde la recepción de la solicitud. 15 días desde la recepción de la solicitud.

Respuesta correcta: 10 días desde la recepción de la solicitud. Pregunta 7: ¿Qué normativa debe seguir el responsable del fichero para responder al ejercicio de los derechos del titular de los datos?

• • •

La LORTAD y la Instrucción 1/1999. La LOPD y el R.D. 994/1999. El R.D. 1332/1994 y la Instrucción 1/1998 del Director de la AEPD.

Respuesta correcta: El R.D. 1332/1994 y la Instrucción 1/1998 del Director de la AEPD. Pregunta 8: Las sanciones que prevé la LOPD por el incumplimiento en materia de protección de datos pueden ser:

• •

Leves, graves y muy graves. Leves, medias y muy graves.

Página 68 de 139


•

De 601.01 euros a 601.012,10 euros.

Respuesta correcta: De 601.01 euros a 601.012,10 euros. Pregunta 9: La creación de ficheros de titularidad pública:

• • •

Sólo podrá hacerse con la aprobación del Director de la AEPD. Sólo podrá hacerse por medio de disposición general publicada en el diario oficial correspondiente. Sólo podrá hacerse inscribiendo los ficheros de la empresa en el Registro Oficial.

Respuesta correcta: Sólo podrá hacerse por medio de disposición general publicada en el diario oficial correspondiente. Pregunta 10: El derecho de cancelación:

• • •

Sólo puede ejercitarse por el afectado cada 12 meses. Es un derecho personalísimo que debe ser ejercido por el afectado. Faculta al interesado a oponerse al tratamiento de sus datos de carácter personal.

Respuesta correcta: Es un derecho personalísimo que debe ser ejercido por el afectado.


Página 69 de 139


Juegos Frase incompleta Este recurso es de tipo Multimedia. Tiene que conectarse a la plataforma para acceder a este recurso.

Scrabble Este recurso es de tipo Multimedia. Tiene que conectarse a la plataforma para acceder a este recurso.

Página 70 de 139



Evaluación intermedia Este recurso es de tipo Evaluación. Debe conectarse a la plataforma para realizar la evaluación. Recuerde que las evaluaciones son obligatorias ya que determinan la nota final.


Página 71 de 139


MÓDULO III. LA SEGURIDAD EN LA PROTECCIÓN DE DATOS PERSONALES U.D.1.Introducción a la seguridad en la protección de datos. El Reglamento de Seguridad La seguridad de la información y la protección de datos es clave para el desarrollo económico y social y constituye un importante activo para cualquier organización que maneje diariamente datos que pertenecen a su personal, clientes, proveedores, colaboradores, etc., a los que hay que asegurar que el tratamiento de sus datos se realice conforme a la legislación vigente y garantice su confidencialidad. El establecimiento de medidas de seguridad que preserven el derecho a la protección de datos personales supone grandes cambios dentro de cualquier organización, ya sea pública o privada; por ejemplo, en el modo en que las personas pasan a manejar la información de carácter personal en su puesto de trabajo. Pero esto es solo una parte de los cambios que se producen, ya que también cambia la forma de trabajar con terceras organizaciones que puedan tener acceso o gestionar datos personales y la realización de copias o el acceso a los datos no se gestiona de igual modo. Todo ello se debe instrumentar para garantizar la seguridad, el control y la confidencialidad de dicha información. Veremos cómo la adaptación a la normativa de protección de datos por parte de las organizaciones comprende una serie de tareas que van desde la identificación de las entradas de información hasta los mecanismos de control y seguimiento de la misma, de manera que todas deban contar con procedimientos orientados a proteger a las personas, para que sus datos de carácter personal sean utilizados o tratados conforme a la legislación vigente.

Página 72 de 139


1. El Reglamento de Seguridad La seguridad de la información constituye, por tanto, un elemento más a gestionar dentro de las organizaciones, ya que el incumplimiento de determinadas acciones está sancionado por la LOPD. El principio de seguridad de los datos se recoge en el artículo 9 de la LOPD y establece las directrices básicas sobre seguridad que deben cumplir los ficheros que contengan datos personales, con el fin de evitar o impedir su alteración, pérdida, tratamiento o acceso no autorizado. Concretamente, atribuye: •

«Al responsable del fichero, y en su caso el encargado del tratamiento, a velar por la seguridad de los datos y adoptar las medidas de índole técnica y organizativas necesarias, que garanticen la seguridad de los datos y eviten su alteración, pérdida, tratamiento o acceso no autorizado, quedando además condicionadas dichas medidas al estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural».

Además, en los apartados 2 y 3 se indica que por vía reglamentaria se establecerán las condiciones que deben reunir los ficheros, relativos a la integridad y seguridad, así como las personas, centros de tratamiento, locales, equipos, sistemas y programas. Estas obligaciones que impone la LOPD se han concretado de forma operativa en el RLOPD, concretamente, en el Título VIII que lleva por rúbrica «De las medidas de seguridad en el tratamiento de datos de carácter personal», donde se regulan, entre otros aspectos, el alcance, los niveles de seguridad y la aplicación de los mismos. Cabe destacar que en el caso de que el tratamiento de datos se realice fuera del lugar de ubicación del fichero, se requerirá autorización expresa por parte del responsable, además de garantizar en todo momento que se aplican las medidas de seguridad que le correspondan. También menciona expresamente la obligación de hacer cumplir las mismas normas de seguridad a los ficheros creados con carácter temporal y permite la segregación de ficheros o tratamientos que en función de su finalidad, del uso concreto o de la naturaleza de los datos requieran de la aplicación de un nivel de medidas de seguridad distinto al de aplicación general.


Página 73 de 139

Dado que la gran novedad de la entrada en vigor del RLOPD radica en la regulación de las medidas de seguridad para el tratamiento de datos no automatizados (en soporte papel), los trataremos de forma separada, para ver con más detalle las normas de aplicación a cada caso particular.

U.D.2. Niveles de seguridad El RLOPD (artículo 80) establece tres niveles de seguridad: básico, medio y alto, en función de la naturaleza de la información tratada y de los riesgos que suponga su tratamiento. A cada uno de los niveles se le asigna una relación de medidas de seguridad a cumplir, de manera que cada nivel incluye a todas las del nivel inferior. Por ejemplo, para un fichero que contiene datos de carácter personal de nivel medio serán aplicables las medidas de seguridad del nivel básico y del nivel medio.

Página 74 de 139


Además, las medidas de seguridad asignadas a cada nivel tienen la condición de mínimos exigibles y, una vez determinado el nivel aplicable a un fichero, las medidas de seguridad a aplicar deberán adoptarse independientemente de los sistemas de tratamiento utilizados y de que el acceso se realice a través de redes de comunicaciones externas a los sistemas de información o mediante accesos locales. Este sería, por ejemplo, el caso de un comercial que almacena datos de sus clientes en una PDA. Es decir, las medidas de seguridad pretenden asegurar el control de todos los datos personales tratados por una organización, tanto interna como externamente, independientemente de su ubicación en los sistemas de información. Vamos a ver qué datos se incluyen en cada uno de los tres niveles de seguridad indicados: básico, medio y alto.

1. Nivel básico Todos los ficheros o tratamientos que contengan datos de carácter personal tienen la obligación de adoptar las medidas de seguridad previstas en el nivel básico. También se incluyen aquellos ficheros o tratamientos que contengan datos de ideología, afiliación sindical, religión, creencias, salud, origen racial o vida sexual, cuando: • • •

Se utilicen con el propósito de realizar una transferencia dineraria a las entidades de las que los afectados sean asociados o miembros (por ejemplo, el pago de la cuota de asociación profesional mediante nómina). Se almacenen o traten de forma no automatizada y en los que de forma incidental o accesoria se incluyan datos especialmente protegidos, que no guarden relación con la finalidad del fichero o tratamiento. Contengan datos relativos a la salud (minusvalía o invalidez), si su tratamiento tiene como motivo el cumplimiento de deberes públicos.

2. Nivel medio En el nivel medio se incluyen los ficheros o tratamiento de datos que contengan: • • •

Comisiones de infracciones administrativas o penales. Datos de prestación de servicios de solvencia y crédito (artículo 29 LOPD). Los de las Administraciones Tributarias, servicios financieros y servicios comunes de la Seguridad Social, dentro del ejercicio de sus competencias.


Página 75 de 139

• •

Los ficheros de las mutuas de accidentes de trabajo y de enfermedades profesionales de la Seguridad Social. Información que permita obtener un perfil de personalidad o permita evaluar aspectos o comportamientos del titular de los datos.

3. Nivel alto En este nivel de seguridad se incluyen los ficheros o tratamientos que contengan datos: • • •

De ideología, afiliación sindical, religión, creencias, origen racial o étnico, salud o vida sexual, cuando no sea posible adoptar el nivel básico. Los recogidos para fines policiales, sin consentimiento de las personas afectadas. Los que contengan datos derivados de actos de violencia de género.

Página 76 de 139


U.D.3. El documento de seguridad El documento de seguridad es la pieza clave de la protección de datos, ya que en él se incluyen las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos de carácter personal.


Página 77 de 139

Las medidas organizativas se relacionan con los procedimientos, normas, reglas y estándares de seguridad a aplicar para garantizar la confidencialidad, integridad y seguridad de los datos almacenados, independientemente de su ubicación o soporte. Las técnicas, sin embargo, prestan especial atención a conservar la integridad de la información, más que a la seguridad.

El documento de seguridad es un documento interno de cada organización y de obligado cumplimiento para todo el personal que tenga acceso a los sistemas de información de la organización. Debe ser elaborado por el responsable del fichero

Página 78 de 139


o, en su caso, por el encargado del tratamiento, y las medidas de seguridad que en él se recogen debe aplicarse tanto a los datos como a los sistemas de información, equipos, archivos, etc. Es decir, a todos los elementos materiales que traten los datos. El Reglamento también obliga a que el documento de seguridad esté puesto al día y recoja cuantos cambios relevantes sea necesario hacer constar en el mismo. El contenido mínimo del documento de seguridad es diferente y se adapta en función del nivel de seguridad que sea aplicable a los ficheros o tratamientos con datos. Está regulado en el artículo 88 del RLOPD. Así, los apartados mínimos que debe incluir el documento de seguridad son los siguientes: 1. 2. 3. 4. 5. 6. 7.

Ámbito de aplicación, en el que se especifique de forma detallada los recursos protegidos. Medidas, normas, procedimientos, reglas y estándares que garanticen el nivel de seguridad. Funciones y obligaciones del personal en relación con el tratamiento de los datos de carácter personal incluidos en los ficheros. Estructura y descripción de los ficheros y sistemas de información que tratan datos de carácter personal. Procedimiento de notificación, gestión y respuesta ante incidencias. Procedimiento de copias de respaldo y recuperación de datos. Medidas adoptadas en el transporte de soportes y documentos, así como su destrucción y/o reutilización.

Si se aplica a los ficheros los niveles de seguridad medio y alto, además de los apartados anteriores, deben incluirse los siguientes ítems en el documento de seguridad: • •

Identificación del responsable de seguridad. Control periódico para verificar el cumplimiento del documento.

El RLOPD también obliga a los encargados del tratamiento, en caso de haber contratado una prestación de servicios para determinados ficheros, a que incluyan en el documento de seguridad esta situación, indicando entre otros aspectos la referencia al contrato y su vigencia, así como los ficheros objeto de este tratamiento. Si los ficheros se encuentran ubicados en los sistemas de información del encargado del tratamiento, el responsable del fichero deber inscribir a la/s personas encargadas del mismo, y puede delegarse en él la responsabilidad del documento de seguridad.


Página 79 de 139

El documento de seguridad puede ser único y recoger todos los ficheros o tratamientos, o bien individualizado para cada fichero o tratamiento. También se contempla la posibilidad de elaborar distintos documentos de seguridad agrupando ficheros o tratamientos según el sistema de tratamiento utilizado en la organización o atendiendo a criterios organizativos del responsable.

U.D.4. Aplicación de las medidas de seguridad

1. Medidas de seguridad para los ficheros automatizados Antes de analizar las especificaciones de las medidas de seguridad aplicables a los ficheros automatizados, debemos hacer notar que algunas de ellas son de común aplicación para todo tipo de ficheros. A modo de esquema, podemos ver su representación más abajo.

1.1. Nivel básico •

Funciones y obligaciones del personal

Todas las personas que tengan el acceso autorizado a los datos de carácter personal deben conocer las obligaciones y funciones que desarrollan y que, a su vez, estarán claramente definidas y argumentadas en el documento de seguridad. El documento distinguirá las funciones y obligaciones para cada una de las personas o perfiles autorizados (responsable de seguridad, responsable del tratamiento, director de sistemas, etc.). Constituye una obligación para el responsable del fichero o tratamiento dar a conocer a todo el personal las normas de seguridad que afecten al desarrollo de sus funciones, así como las consecuencias de su incumplimiento. También recae sobre el responsable del fichero la facultad de delegar autorizaciones a los usuarios, cuando sea necesario para el desempeño de su trabajo. Cuando se realiza una prestación de servicios para el tratamiento de los datos, el contrato recogerá expresamente la prohibición de acceder a los datos personales y la obligación de secreto respecto a los datos a los que haya tenido acceso durante la prestación.

Página 80 de 139


-

•

Registro de incidencias

Por incidencia se entiende «cualquier anomalía o evento que afecte o pudiera afectar a la seguridad, integridad, confidencialidad o disponibilidad de los datos de carácter personal». La pérdida de datos, las copias no autorizadas o el fallo en los sistemas de información son algunos ejemplos de incidencias.


Página 81 de 139

El RLOPD establece que debe existir un registro y un procedimiento de notificación y gestión de las incidencias en el que se incluya: • • •

Tipo de incidencia. Momento en que se ha producido o, en su caso, detectado. Persona que realiza la notificación, a quién se le comunica, los efectos derivados y las medidas correctoras aplicadas.

Este procedimiento tiene que ser conocido y utilizado por todo el personal, de forma que cualquier persona que detecte una incidencia en la seguridad de los datos de carácter personal debe comunicarlo al responsable de seguridad para proceder a su rectificación. •

Control de acceso

El RLOPD establece que cada usuario tendrá acceso solo a aquellos recursos y datos que necesite para el desarrollo de sus funciones. Para ello, el responsable del fichero se encargará de que exista una relación actualizada de usuarios y perfiles de usuarios que tienen acceso autorizado a los datos de carácter personal que traten, evitando que accedan a recursos distintos de los que le fueron autorizados. El Reglamento impone la obligación de que únicamente el personal autorizado en el documento de seguridad puede cambiar la condición de acceso autorizado sobre los recursos, de acuerdo con los criterios establecidos por el responsable del fichero. Además, el acceso incluirá los ficheros no automatizados. También hay que tener en cuenta que, en caso de que exista personal ajeno al responsable del fichero con acceso a los recursos, estará sometido a las mismas condiciones y obligaciones de seguridad que el personal propio.

Página 82 de 139


•

Gestión de soportes y documentos

Es una obligación recogida en el RLOPD que «los soportes y documentos que contengan datos de carácter personal deban identificar el tipo de información y ser inventariados, siempre y cuando las características físicas del soporte lo permitan». En caso de que no puedan identificarse claramente, esta situación debe quedar reflejada en el documento de seguridad.


Página 83 de 139

Si los soportes contienen datos especialmente sensibles para su identificación, se utilizarán sistemas de etiquetado que permitan a los usuarios con acceso autorizado identificar su contenido y que resulten difíciles de identificar para el resto. En el caso de que el tratamiento de los datos se realice fuera de los locales donde están ubicados los ficheros y que, por tanto, implique el transporte o traslado de soportes y documentos con datos de carácter personal (incluidos los correos electrónicos), dicha salida deberá estar autorizada por el responsable del fichero o estar autorizada en el documento de seguridad. En el traslado de la documentación deben adoptarse todas las medidas tendentes a evitar la sustracción, pérdida o acceso indebido de la información. Cuando un documento o soporte quiera ser desechado y contenga datos de carácter personal, deberá procederse a su destrucción o borrado de manera que se impida el posterior acceso a la información contenida en el mismo. Por tanto, se realizará un inventario de los soportes, la identificación del tipo de información que contienen o el sistema de etiquetado, el acceso restringido al lugar de almacenamiento, la autorización de las salidas de los soportes y las medidas para el transporte y destrucción de los mismos.

Página 84 de 139


•

Identificación y autenticación

El personal con acceso a los datos de carácter personal debe proceder a su identificación y autenticación para efectuar el acceso. Éste se realizará utilizando procedimientos y/o herramientas que, de forma inequívoca y personalizada para los usuarios, les den acceso al sistema, verificando además que está autorizado. El mecanismo de autenticación puede estar basado en la asignación de contraseñas de uso personal e intransferible. Tanto el procedimiento de asignación y distribución de contraseñas, su almacenamiento de manera ininteligible y la periodicidad con la que deben cambiarse será inferior a un año.

•

Copias de respaldo y recuperación

La responsabilidad de la recuperación de los datos de las copias de seguridad recaerá en el responsable de seguridad o en aquellos administradores del sistema debidamente autorizados. Ambos procedimientos, copias de respaldo y recuperación de los datos, deberán ser verificados cada seis meses por parte del responsable del fichero.


Página 85 de 139

Las copias de respaldo se realizarán con una periodicidad semanal, de forma que se garantice su reconstrucción en el estado en que se encontraban en el momento de producirse la pérdida o destrucción. Únicamente en el caso de que haya que hacer la reconstrucción de los datos a partir de la última copia o grabación manual, si existe documentación que lo permita, deberá ser anotado en el documento de seguridad. El entorno en el que se realicen las pruebas no se llevará a cabo con datos reales, salvo que el nivel de seguridad sea adecuado y se anote su realización en el documento de seguridad. Si, en cualquier caso, se previera hacer pruebas con datos reales, previamente deberá hacerse una copia de seguridad.

Página 86 de 139



Página 87 de 139

1.2. Nivel medio •

Responsable de seguridad

Para hacer más ágil la gestión de la seguridad, no para delegar su autoridad, el responsable del fichero podrá designar en el documento de seguridad a uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas. Como responsable de seguridad, debe encargarse de velar por el cumplimiento de las medidas, reglas y normas de seguridad fijadas. Sin embargo, no responde jurídicamente frente a infracciones o sanciones. •

Auditoría

Los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se someterán, al menos cada dos años, a una auditoría interna o externa para verificar el cumplimiento del RLOPD. Con carácter extraordinario, deberá realizarse dicha auditoría siempre que se realicen modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas. Si se diera el caso, el cómputo de dos años señalado en el párrafo anterior comienza en ese momento. Se elaborará un informe de auditoría donde se verifique la adecuación de las medidas y controles, y se propondrán, en su caso, las medidas correctoras o complementarias necesarias. Los informes de auditoría son analizados por el responsable de seguridad, que elevará las conclusiones al responsable del fichero o tratamiento para que adopte las medidas correctoras adecuadas, quedando a disposición de la AEPD o, en su caso, de las autoridades de control de las comunidades autónomas.

Página 88 de 139


•

Gestión de soportes y documentos

El sistema de gestión de soportes y documentos para ficheros de nivel medio automatizados consistirá en un sistema de registro de entrada y salida de soportes. El registro incluirá: • • • • • •

La fecha y hora de entrada y salida. El emisor. El número de documentos o soportes incluidos en el envío. El tipo de información que contienen. La forma de envío. La persona responsable de la recepción o entrega, que deberá estar debidamente autorizada.

•

Identificación y autenticación

Para el nivel medio, las medidas de identificación y autentificación se ven reforzadas, ya que el responsable del fichero o tratamiento debe establecer un mecanismo que limite la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de información. Por ejemplo, si se intenta varias veces un acceso no autorizado, el sistema lo bloqueará automáticamente. •

Control de acceso físico


Página 89 de 139

Sólo el personal autorizado en el documento de seguridad podrá tener acceso a los lugares donde se hallen instalados los equipos físicos que dan soporte a los sistemas de información. Esto debe quedar también registrado en el documento de seguridad, de manera que se elabore un listado con las personas que tienen acceso a las salas o locales, restringiéndose el acceso a las personas no autorizadas. •

Registro de incidencias

El registro de incidencias contendrá un listado que indique los procedimientos realizados para la recuperación de los datos, la persona que ejecutó el proceso, los datos restaurados y, en su caso, aquellos que hayan sido recuperados manualmente. Será necesaria la autorización del responsable del fichero para la ejecución de los procedimientos de recuperación de los datos.

1.3. Nivel alto •

Gestión y distribución de soportes

Para evitar incidencias derivadas de la distribución de los datos, los soportes se identificarán mediante sistemas de etiquetado comprensibles y con significado para el personal con acceso autorizado, y que además dificulten la identificación para el resto de personas. A esta medida se añade la obligación de que la distribución de los soportes que contengan datos de carácter personal se realizará cifrando dicha información, incluso en los dispositivos portátiles ubicados fuera de las instalaciones, de forma que no sea accesible o manipulada durante su transporte. En el caso de que los dispositivos portátiles no permitan su cifrado y sea estrictamente necesaria su distribución, se harán constar los motivos en el documento de seguridad y se adoptarán medidas que tengan en cuenta los riesgos de realizar tratamientos en entornos desprotegidos. •

Copias de respaldo y recuperación

Deberá conservarse una copia de respaldo de los datos y de los procedimientos de recuperación en un lugar distinto al de su ubicación o almacenamiento principal, en el que se harán cumplir las medidas de seguridad exigidas o se utilizarán elementos que garanticen la integridad y recuperación de la información.

Página 90 de 139


•

Registro de accesos

Esta medida de seguridad certifica que de cada acceso se guardarán, como mínimo, la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado. Los mecanismos que permitan el registro de accesos estarán bajo el control directo del responsable de seguridad y no deben permitir la desactivación ni la manipulación de los mismos. El periodo mínimo de conservación de los datos registrados será de dos años. Además, el responsable de seguridad se encargará de revisar al menos una vez al mes la información de control registrada y elaborará un informe de las revisiones realizadas y los problemas detectados. No será necesario este registro de accesos, quedando constancia en el documento de seguridad, cuando: a. b.

El responsable del fichero o del tratamiento sea una persona física. El responsable del fichero o del tratamiento garantice que únicamente él tiene acceso y trata los datos personales.


Página 91 de 139

•

Telecomunicaciones

Normalmente, para la transmisión de datos de carácter personal se utilizan redes públicas o redes inalámbricas de comunicaciones electrónicas. Para evitar manipulaciones o riesgos, la transferencia se realizará cifrando los datos o bien utilizando cualquier otro mecanismo que garantice que la información sea inteligible y no pueda ser manipulada por terceros.

Página 92 de 139


2. Medidas de seguridad aplicables a los ficheros y tratamientos no automatizados (en soporte papel) Como adelantábamos, la novedad más significativa del RLOPD vigente es la inclusión de los ficheros no automatizados, en soporte papel, dentro de su ámbito de aplicación en materia de protección de datos. Este tipo de ficheros está sometido a obligaciones comunes con los ficheros automatizados con respecto a: 1. 2. 3. 4. 5. 6. 7.

Documento de seguridad. Funciones y obligaciones del personal. Registro de incidencias. Control de accesos. Gestión de soportes. Responsable de seguridad. Auditorías.

Para los ficheros en soporte papel se establecen unas obligaciones especiales en cuanto al archivo, almacenamiento y custodia de soportes, que se recogen en los artículos 106 a 108 del RLOPD. Concretamente, el Reglamento establece:


Página 93 de 139

2.1. Nivel básico •

Criterios de archivo

El archivo de los soportes o documentos se llevará a cabo según legislación específica que garantice la correcta conservación de los documentos, la localización y consulta de la información y el ejercicio de los derechos de los interesados. En los casos en que no exista norma aplicable, el responsable del fichero definirá los criterios y procedimientos de actuación que deban seguirse para el archivo. •

Dispositivos de almacenamiento

Es obligatorio disponer de mecanismos que obstaculicen la apertura de los ficheros. Para ello, el responsable del tratamiento se asegurará de que las medidas de seguridad se cumplan, aún en su ausencia, utilizando armarios o archivadores con Página 94 de 139


candado o llaves de seguridad, control de dígitos, etc., para garantizar que no acceden las personas no autorizadas. •

Custodia de los soportes

Hasta que la documentación con datos de carácter personal no se encuentre archivada, deben establecerse medidas para la custodia, el almacenamiento y el acceso y manipulación de la información.

2.2. Nivel medio Para los ficheros no automatizados de nivel medio el RLOPD dispone las siguientes medidas adicionales: •

Responsable de seguridad . Se nombrará a un responsable de

seguridad para los datos no automatizados (el mismo que para los datos automatizados). •

Auditoría. Los ficheros no automatizados de este nivel se someterán a los

mismos requisitos que hemos expuesto anteriormente.

2.3. Nivel alto •

Almacenamiento de la información

El RLOPD exige que los armarios o archivadores deban encontrarse en áreas en las que el acceso esté protegido con puertas de acceso dotadas de sistemas de apertura mediante llave, tarjetas u otro dispositivo equivalente. Estas áreas permanecerán cerradas cuando no sea preciso el acceso a los documentos incluidos en el fichero. En el caso de que no fuera posible disponer de áreas cerradas que impidan el acceso a personas no autorizadas, el responsable adoptará medidas alternativas que, debidamente motivadas, se incluirán en el documento de seguridad. •

Copia o reproducción

Solo podrán realizarse copias de documentos que contengan datos de carácter personal de nivel alto, con el control del personal autorizado en el documento de seguridad.


Página 95 de 139

Además es obligado proceder a la destrucción de las copias o reproducciones, cuando ya no sean necesarias, de forma que se evite el acceso a la información que contienen o su recuperación posterior. •

Acceso a la documentación

El acceso a la documentación se limitará exclusivamente al personal autorizado. Se establecerán, por tanto, mecanismos que permitan identificar los accesos realizados en el caso de documentos que puedan ser utilizados por múltiples usuarios. En el caso del personal no autorizado, el acceso quedará registrado de acuerdo con el procedimiento establecido al efecto en el documento de seguridad. •

Traslado de documentación

Siempre que haya que trasladar físicamente la documentación contenida en un fichero fuera de su ubicación habitual, deberán adoptarse medidas dirigidas a impedir el acceso o manipulación de la información objeto de traslado, para garantizar un control adecuado.

Material complementario: La seguridad en Internet Este recurso es de tipo Multimedia. Tiene que conectarse a la plataforma para acceder a este recurso.

Página 96 de 139


Seguridad de la información y protección de datos / Módulo III . La seguridad en la protección de datos personal

Prácticas Ejercicio 1. Responsable de seguridad Este recurso es de tipo Práctica. Tiene que conectarse a la plataforma para acceder a este recurso.

Ejercicio 2. Globalización Este recurso es de tipo Práctica. Tiene que conectarse a la plataforma para acceder a este recurso.


Página 97 de 139


Autoevaluación Pregunta 1: ¿Qué es el documento de seguridad?

• • •

Es el manual de prevención de riesgos de la empresa. Es el documento que resulta de la auditoría de las medidas de seguridad de protección de datos personales. Es el documento que recoge los procedimientos y normas de cada organización para el tratamiento de datos de carácter personal.

Respuesta correcta: Es el documento que recoge los procedimientos y normas de cada organización para el tratamiento de datos de carácter personal. Pregunta 2: El RLOPD no se aplica a los ficheros creados temporalmente.

• •

Verdadero Falso

Respuesta correcta: Falso Pregunta 3: Para un fichero con datos sobre acreedores debemos aplicar las medidas de seguridad de:

• • •

Nivel medio. Nivel básico. Nivel alto.

Respuesta correcta: Nivel básico. Pregunta 4: El documento de seguridad está normalizado por la AEPD y es único para todo tipo de organización.

• •

Verdadero Falso

Respuesta correcta: Falso

Página 98 de 139


Pregunta 5: Identifica el criterio que no está incluido en los requisitos mínimos del documento de seguridad.

• • •

Ámbito de aplicación. Procedimiento de gestión de incidencias. Periodicidad de las auditorías.

Respuesta correcta: Periodicidad de las auditorías. Pregunta 6: ¿Cuál de las siguientes medidas no es de común aplicación para todo tipo de ficheros?

• • •

Funciones y obligaciones del personal. Control de accesos. Telecomunicaciones.

Respuesta correcta: Telecomunicaciones. Pregunta 7: Los procesos de identificación y autenticación del RLOPD están relacionados con:

• • •

Verificación del funcionamiento de los sistemas de información. Verificación del personal con acceso autorizado. Verificación de las copias de recuperación.

Respuesta correcta: Verificación del personal con acceso autorizado. Pregunta 8: El responsable de las copias de seguridad es:

• • •

El responsable de informática. El usuario. El responsable de seguridad.

Respuesta correcta: El responsable de seguridad. Pregunta 9: Las medidas específicas que se aplican a los ficheros en soporte papel están relacionadas con:

•

Archivo, almacenamiento y custodia.


Página 99 de 139

• •

Acceso y auditoría. Se aplican las mismas que para los ficheros automatizados.

Respuesta correcta: Archivo, almacenamiento y custodia. Pregunta 10: Identifica la última etapa para garantizar los derechos que la Ley reconoce sobre la protección de datos:

• • •

Inscripción de ficheros. Auditoría. Implantar medidas de seguridad.

Respuesta correcta: Auditoría.

Página 100 de 139



Juegos Frase incompleta Este recurso es de tipo Multimedia. Tiene que conectarse a la plataforma para acceder a este recurso.



Página 101 de 139


MODULO IV. LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS U.D.1. Naturaleza y régimen de funcionamiento de la AEPD La creación de la Agencia Española de Protección de Datos (AEPD) se planteó en la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de Datos de Carácter Personal (LORTAD), para «velar por el cumplimiento y aplicación de la legislación en materia de protección de datos, sobre todo en lo que se refiere al ejercicio de los derechos por parte del interesado o afectado». Tras la derogación de dicha ley y la entrada en vigor de la LOPD, la Agencia queda regulada en el artículo 35.2 donde se caracteriza como «un ente de derecho público, con personalidad jurídica propia y plena capacidad pública y privada, que actúa con plena independencia de las Administraciones públicas en el ejercicio de sus funciones». La Agencia Española de Protección de Datos (AEPD) se rige por el Título VI de la LOPD y por el Real Decreto 428/1993, de 26 de marzo, por el que se aprueba su Estatuto y que actualmente continúa vigente, tal y como lo determina la Disposición Transitoria Tercera de la LOPD. En cuanto al régimen jurídico que le asiste, en lo que respecta a las competencias, se regula: •

En el ejercicio de sus funciones públicas, y en defecto de lo que disponga la presente Ley y sus disposiciones de desarrollo, la AEPD actuará de conformidad con la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común.

•

Los procedimientos tramitados por la AEPD se regirán por lo dispuesto en el presente Título y, supletoriamente, por la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común (artículo 115 del RLOPD).

Página 102 de 139


Su régimen presupuestario se guía por los Presupuestos Generales del Estado, y está sometida a control externo por el Tribunal de Cuentas y a control interno por la Intervención General de la Administración del Estado (IGAE). Vamos a analizar con más detalle sus funciones frente a infracciones cometidas sobre protección de datos personales, los derechos que tutela y los procedimientos y actuaciones que lleva a cabo.


Página 103 de 139

U.D.2. Funciones de la Agencia Española de Proteción de Datos Las funciones de la AEPD quedan definidas en el artículo 37 de la LOPD y se desarrollan en el Capítulo II de su Estatuto, agrupadas de la forma siguiente:

Página 104 de 139


•

Funciones de carácter general:

•

•

Funciones en relación con los interesados:

• • • •

•

• • • •

• •

Informar, con carácter preceptivo (no vinculante) de los proyectos de normas de desarrollo de la LOPD y sobre aquellos que incidan en materias propias de datos personales. Dictar instrucciones y recomendaciones de adecuación de los tratamientos a la LOPD. Dictar recomendaciones en materia de seguridad y control de acceso a los ficheros.

Funciones en materia de telecomunicaciones:

•

•

Emitir las autorizaciones previstas en la LOPD o en sus disposiciones reglamentarias. Requerir a los responsables y los encargados de los tratamientos, previa audiencia de éstos, la adopción de las medidas necesarias para la adecuación del tratamiento de datos a las disposiciones de la LOPD. Ordenar, en caso de ilegalidad, la cesación en el tratamiento y la cancelación de los datos. Ejercer la potestad sancionadora. Recabar de los responsables de los ficheros la ayuda e información que estime necesaria para el ejercicio de sus funciones. Autorizar las transferencias internacionales de datos.

Funciones en relación con la elaboración de normas:

•

•

Atender sus peticiones y reclamaciones. Informar de los derechos reconocidos en la LOPD. Promover campañas de difusión a través de los medios de comunicación.

Funciones en relación con quien tratan los datos:

•

•

Velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación, en especial en lo relativo a los derechos de información, acceso, rectificación, oposición y cancelación de datos.

Tutelar los derechos y garantías de los abonados y usuarios en el ámbito de las comunicaciones electrónicas y, en su caso, sancionar el envío de comunicaciones comerciales no solicitadas realizadas a través de correo electrónico o medios de comunicación electrónica equivalente.

Otras funciones:


Página 105 de 139

• • • • •

Página 106 de 139

Elaborar una memoria anual, que el director remite al ministro de Justicia, para su posterior envío a las Cortes Generales. Velar por la publicidad de la existencia de los ficheros y difusión de un catálogo anual de los ficheros inscritos en el Registro General de Protección de Datos. Cooperación con organismos internacionales y representación institucional en materia de protección de datos de carácter personal. Control de los datos de carácter personal según lo dispuesto en la Ley Reguladora de la Función Estadística Pública (Ley 12/1989, de 9 de mayo). Cuantas otras le sean atribuidas por normas legales o reglamentarias.


U.D.3. Estructura orgánica de la Agencia Española de Protección de Datos El artículo 11 del Estatuto de la AEPD establece su estructura orgánica básica, enumerando los siguientes órganos: •

El Director de la AEPD.


Página 107 de 139

• • • •

El Consejo Consultivo. El Registro General de Protección de Datos (RGPD). La Inspección de Datos. La Secretaría General.

Como vemos en el siguiente esquema, todos los órganos son jerárquicamente dependientes del Director de la AEPD.

U.D.4. El Director de la Agencia Española de Protección de Datos El Director de la AEPD asume y ostenta la representación de la AEPD en el ámbito internacional. Tiene la consideración de alto cargo y ejerce su mandato por un periodo de cuatro años, con dedicación exclusiva y plena independencia y objetividad.

Página 108 de 139


Para el desempeño de sus funciones, el Director cuenta, por un lado, con la Unidad de Apoyo, compuesta por el Adjunto al Director y el Gabinete Jurídico y, por otro, es asesorado por el Consejo Consultivo. El Estatuto también distingue en su artículo 12 entre las funciones de dirección y gestión que resumimos del siguiente modo: •

Funciones de dirección

•

De forma genérica podemos decir que la asunción de la dirección del cargo le lleva a dictar cuantas resoluciones o instrucciones procedan y estén relacionadas con las competencias de la AEPD. Algunos ejemplos son: • Requerir a los responsables de ficheros de titularidad privada a que subsanen deficiencias de los códigos tipo. • Resolver motivadamente, previo informe del responsable del fichero, sobre la procedencia o improcedencia de la denegación, total o parcial, del acceso a los ficheros policiales o tributarios. • Autorizar transferencias temporales o definitivas de datos que hayan sido objeto de tratamiento automatizado o recogidos a tal efecto, con destino a países cuya legislación no ofrezca un nivel de protección adecuada. • Convocar regularmente a los órganos competentes de las comunidades autónomas a efectos de cooperación institucional y coordinación de criterios o procedimientos de actuación. • Recabar de las distintas Administraciones públicas la información necesaria para el cumplimiento de sus funciones. • Solicitar de los órganos correspondientes de las comunidades autónomas la información necesaria para el cumplimiento de sus funciones, así como facilitar a aquéllos la información que le soliciten a idénticos efectos. • Adoptar las medidas cautelares y provisionales que requiera el ejercicio de la potestad sancionadora de la AEPD con relación a los responsables de los ficheros. • Iniciar e impulsar la instrucción y resolver los expedientes sancionadores referentes a los responsables de los ficheros privados. • Instar la incoación de expedientes disciplinarios en los casos de infracciones cometidas por órganos responsables de ficheros de las Administraciones públicas. • Autorizar la entrada en los locales en los que se hallen los ficheros con el fin de proceder a las inspecciones pertinentes, sin perjuicio de la aplicación de las reglas que garantizan la inviolabilidad del domicilio.


Página 109 de 139

•

Funciones de gestión

•

Las funciones de gestión que asume el Director de la AEPD se relacionan con la ejecución de la actividad económico-financiera de la misma. Entre ellas encontramos: • Conceder contratos que requieran la gestión de la AEPD y vigilar su cumplimiento y ejecución. • Aprobar gastos y ordenar pagos, dentro de los límites de los créditos del presupuesto de gastos de la AEPD. • Control económico-financiero. • Programar la gestión. • Elaborar el anteproyecto de presupuesto de la AEPD. • Proponer la relación de puestos de trabajo. • Aprobar la memoria anual. • Ordenar la convocatoria de las reuniones del Consejo Consultivo.

El Estatuto también contempla la delegación de ciertas competencias de gestión en la figura del Secretario General para el ejercicio de determinadas funciones.

El Consejo Consultivo Como ya hemos adelantado, el Consejo Consultivo de la AEPD, es «un órgano colegiado de asesoramiento del Director de la AEPD, al que le corresponden las funciones de formular propuestas y emitir cuantos informes caigan dentro de la competencia del Director y de la propia Agencia». Está compuesto por los siguientes miembros: • • • • • • • •

Un diputado, propuesto por el Congreso de los Diputados. Un senador, propuesto por el Senado. Un representante de la Administración general del Estado, designado por el Gobierno, a propuesta del ministro de Justicia. Un representante de la Administración local, propuesto por la Federación Española de Municipios y Provincias. Un miembro de la Real Academia de la Historia, propuesto por la misma. Un experto en la materia, propuesto por el Consejo Superior de Universidades. Un representante de los usuarios y consumidores, seleccionado mediante una terna propuesta por el Consejo de Consumidores y Usuarios. Un representante de cada comunidad autónoma que haya creado una agencia de protección de datos en su ámbito territorial, propuesto de

Página 110 de 139


•

acuerdo con el procedimiento que establezca la respectiva comunidad autónoma. Un representante del sector de ficheros privados, seleccionado mediante una terna propuesta por el Consejo Superior de Cámaras de Comercio, Industria y Navegación de España.

El nombramiento del cargo de Director se realiza entre los miembros del Consejo Consultivo que opera por normas establecidas reglamentariamente.

U.D.5. El Registro General de Protección de Datos (RGPD) El Registro General de Protección de Datos (en adelante RGPD) es un órgano integrado en la AEPD al que corresponde velar por la publicidad de la existencia de los ficheros automatizados de datos de carácter personal, ya sean de titularidad pública o privada, con miras a hacer posible el ejercicio de los derechos de información, acceso, rectificación y cancelación de datos regulados en la LOPD. Sabemos que todo fichero de datos de carácter personal incluido en el ámbito de aplicación de la LOPD debe registrarse, con carácter previo a su creación, notificando una determinada información. Además, tal y como reconoce la LOPD en su artículo 14, el derecho de consulta al RGPD tiene carácter público y gratuito. Plataforma de Teleformación de IFES

Página 111 de 139

Según la estructura orgánica de la AEPD, el Registro se divide en la unidad de ficheros públicos y la unidad de ficheros privados. El artículo 39 de la LOPD exige que sean objeto de inscripción los siguientes ficheros: 1. Los ficheros de datos de carácter personal de los que sean titulares: • • • • • • • •

La Administración general del Estado. Las entidades y organismos de la Seguridad Social. Los organismos autónomos del Estado, cualquiera que sea su clasificación. Las sociedades estatales y entes del sector público. Las Administraciones de las comunidades autónomas, así como sus organismos dependientes. Las entidades de la Administración local y los entes y organismos dependientes de la misma. Cualesquiera otras personas jurídico-públicas. Cualquier persona privada, física o jurídica.

2. Las autorizaciones de transferencias internacionales de datos personales. 3. Los códigos tipo. 4. Los datos relativos a los ficheros que sean necesarios para el ejercicio de los derechos de información, acceso, rectificación, cancelación y oposición.

Página 112 de 139


La actividad del RGPD ha ido evolucionando de manera que el procedimiento de notificación e inscripción de los ficheros puede efectuarse por vía telemática, ofreciendo una prestación de servicios más ágil y eficaz, tal y como se recoge en la Resolución de la AEPD, de 12 de julio de 2006, en la que se faculta a los responsables de ficheros con datos de carácter personal de titularidad pública y de titularidad privada a realizar lo siguiente: • • • • • •

Cumplir con la obligación que establece la LOPD de notificar sus ficheros a la AEPD, a través de una herramienta que informa y asesora acerca de los requerimientos de la notificación. Presentar sus notificaciones a través de Internet, con y sin firma electrónica. Presentar sus notificaciones en otros soportes: informático o papel. Realizar notificaciones pre-cumplimentadas de forma simplificada. Conocer el estado de tramitación de las notificaciones remitidas a través de Internet, mediante certificado de firma electrónica o mediante el código de envío generado por el formulario electrónico. Consultar el contenido completo de la inscripción de sus ficheros en la web de la AEPD.

El contenido de la inscripción de los ficheros está regulado en el artículo 20 de la LOPD, para los ficheros de titularidad pública y en el artículo 26 para los ficheros de titularidad privada. Por vía reglamentaria también está regulado el procedimiento de inscripción de los ficheros, modificación, cancelación, reclamaciones e interposición de recursos, entre otros. En concreto, las disposiciones reglamentarias de las que hablamos quedan recogidas en: •

Real Decreto 1332/1994, de 20 de junio.

•

Resolución de la AEPD, de 30 de mayo de 2000, por la que se aprueban los modelos normalizados en soporte papel, magnético y telemático, a través de los que deberán efectuarse las solicitudes de inscripción en el Registro General de Protección de Datos.

Los principios de la inscripción de ficheros se pueden resumir en los siguientes puntos: •

El responsable del fichero notifica su inscripción al Registro, con anterioridad a la realización de un tratamiento o de un conjunto de tratamientos de datos de carácter personal. La inscripción es meramente declarativa, es decir, no evalúa el grado de cumplimiento de las obligaciones derivadas de la LOPD.


Página 113 de 139

•

La notificación de ficheros debe realizarse conforme a la Ley.

•

La notificación de los ficheros al Registro supone una obligación para los responsables del tratamiento y un derecho para las personas afectadas, ya que pueden tener acceso a la información y estado de sus datos personales en posesión del titular de los ficheros, ante los que deben ejercitar directamente los derechos recogidos en la LOPD.

El RGPD solo inscribe aquellos ficheros que se ajusten a los requisitos exigibles. Una vez inscrito el fichero en el RGPD, la AEPD notifica la resolución de inscripción al Director de la AEPD. Por otro lado, los interesados pueden solicitar la notificación de inscripción de ficheros por medios telemáticos a través del servicio de notificaciones telemáticas (www.notificaciones.administracion.es).

Página 114 de 139


Órganos correspondientes de las comunidades autónomas Según el artículo 41 de la LOPD, las funciones de la AEPD reguladas en el artículo 37, a excepción de las mencionadas por la LOPD, en relación con sus específicas competencias... «serán ejercidas cuando afecten a ficheros de datos de carácter personal creados o gestionados por las comunidades autónomas y por la Administración local de su ámbito territorial, por los órganos correspondientes de cada comunidad, que tendrán la consideración de autoridades de control, a los que garantizarán plena independencia y objetividad en el ejercicio de su cometido». De acuerdo con la LOPD (artículo 41.2), las comunidades autónomas podrán crear y mantener sus propios registros de ficheros para el ejercicio de las competencias que se les reconoce sobre los mismos. En la actualidad únicamente existen agencias de protección de datos autonómicas en Madrid, Cataluña y País Vasco: •

•

Mediante la Ley 13/1995, de 21 de abril, de regulación del uso de la informática en el tratamiento de datos personales por la Comunidad de Madrid, modificada y ampliada por la Ley 13/1997, de 16 de junio, se crea la Agencia de Protección de Datos de la Comunidad de Madrid. Actualmente, las citadas leyes han quedado derogadas por la Ley 8/2001. Mediante la Ley 5/2002 se crea la Agencia Catalana de Protección de Datos.

•

La Ley 2/2004 del Parlamento Vasco, de 25 de febrero de 2004, crea la Agencia Vasca de Protección de Datos.

Según el Estatuto de creación de la AEPD, el Director de la AEPD puede convocar regularmente a los órganos correspondientes de las comunidades autónomas, a efectos de cooperación institucional y coordinación de criterios o procedimientos de actuación. Para concluir, podemos decir que el derecho fundamental a la protección de datos personales, recogido en sentencia emitida por el Tribunal Constitucional, deriva directamente de la Constitución Española y atribuye a los ciudadanos la facultad para poder controlar sus datos personales, sobre la base de su consentimiento informado, en los casos que proceda.


Página 115 de 139

La Ley Orgánica 15/1999 regula el derecho fundamental a la protección de datos y dispone que será la Agencia Española de Protección de Datos la encargada de tutelar y garantizar este derecho, así como velar por el cumplimiento de la legislación en la materia y controlar su aplicación, en especial en lo relativo a los derechos de información, acceso, rectificación, oposición y cancelación de datos. Entre sus funciones está también la obligación de atender las peticiones y reclamaciones que puedan ser formuladas por las personas a las que se les hayan vulnerado los derechos y la potestad sancionadora de las infracciones que puedan ser cometidas en la materia.

U.D.6. Inspección de Datos La Inspección de Datos es «el órgano de la AEPD cuya doble misión se concreta, por un lado, como su propio nombre indica, en la inspección y, por otro, en la instrucción de los expedientes sancionadores y procedimientos de tutela de derechos».

1. Función inspectora •

El personal dedicado a estas labores desempeña su función recabando la información necesaria de los ficheros para el cumplimiento de los cometidos reconocidos en la LOPD. La Inspección de Datos puede iniciarse de forma periódica o circunstancial, de oficio o a instancia de los afectados, de cualquier tipo de ficheros, en los locales en los que se hallen los mismos y sobre los soportes que corresponda, previa autorización expedida por el Director de la Agencia.

A tal efecto, la Inspección de Datos podrá: 1. 2. 3. 4. 5. 6. 7.

Examinar los soportes de información que contengan los datos personales. Examinar los equipos físicos. Requerir el pase de programas y examinar la documentación pertinente para determinar, en caso necesario, los algoritmos de los procesos de que los datos sean objeto. Examinar los sistemas de transmisión y acceso a los datos. Realizar auditorías de los sistemas informáticos para determinar su conformidad con las disposiciones de la LOPD. Requerir la exhibición de cualesquiera otros documentos pertinentes. Requerir el envío de toda información precisa para el ejercicio de las funciones inspectoras.

Página 116 de 139


2. Función instructora •

La Inspección de Datos también incluye entre sus competencias la función instructora de los expedientes sancionadores.

El procedimiento sancionador se encuentra regulado por el R.D. 1332/1994 y distingue tres clases de procedimientos: 1. 2. 3.

Sancionador incoado, contra los responsables de ficheros de titularidad privada por infracción de la LOPD. Por infracciones de las Administraciones públicas. De tutela de derechos, en el caso de vulneración de los derechos de acceso, rectificación o cancelación.


Página 117 de 139

Página 118 de 139


3. Secretaría General La Secretaria General es «el órgano de la AEPD encargado de la gestión administrativa de la misma, apoyando y ejecutando tareas propias», entre las que se incluyen: • • • • • • • •

Elaborar los informes y propuestas que le solicite el Director de la AEPD. Notificar las resoluciones del Director. Ejercer la secretaría del Consejo Consultivo. Gestionar los medios personales y materiales adscritos a la AEPD. Atender a la gestión económico-administrativa del presupuesto de la AEPD. Llevar el inventario de bienes y derechos que se integren en el patrimonio de la AEPD. Gestionar los asuntos de carácter general no atribuidos a otros órganos de la AEPD. Ejercer las funciones que le correspondan por delegación del Director.

Por otra parte, también está encargada de: • • • •

Formar y actualizar un fondo de documentación sobre legislación, jurisprudencia y doctrina en materia de protección de datos personales y cualesquiera materias conexas. Editar los repertorios oficiales de ficheros inscritos en el RGPD, las memorias anuales de la AEPD y cualesquiera publicaciones de la misma. Organizar conferencias, seminarios y cualesquiera actividades de cooperación internacional e interregional en materia de protección de datos. Atender y facilitar información a los ciudadanos en cuestiones relacionadas con la protección de datos.

Material complementario: Nociones básicas sobre protección de datos personales Este recurso es de tipo Multimedia. Tiene que conectarse a la plataforma para acceder a este recurso.


Página 119 de 139

Seguridad de la información y protección de datos / MODULO IV. LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

Prácticas Ejercicio 1. Ficheros Este recurso es de tipo Práctica. Tiene que conectarse a la plataforma para acceder a este recurso.

Página 120 de 139



Autoevaluación Pregunta 1: La función principal de la AEPD es:

• • •

Impon mponer er sanc sancio ione ness por por incum ncumpl plim imie ient nto. o. Velar elar por por el el cump cumplilimi mien ento to de de la la legi legisl slaci ación ón sobr sobre e prot protec ecci ción ón de de dato datoss y controlar su aplicación. Elabo Elaborar rar y actu actual aliz izar ar la la norm normat ativ iva a exis existe tent nte e en mate materia ria de prot protecc ecció ión n de datos.

Respuesta correcta: Velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación. Pregunta 2: Indicar la opción correcta en relación con la función de las comunidades autónomas en materia de protección de datos:

• • •

No tien tienen en comp compet eten enci cias as asig asigna nada dass en en est esta a mat mater eria ia.. Todas odas las las com comun unid idad ades es autón autónom omas as han han crea creado do órgan órganos os espec específ ífic icos os.. Tienen ienen como como obj objet etiv ivo o reg regul ular ar norm normat ativ iva a pro propi pia a en en el el ámb ámbitito o de de sus sus competencias asignadas.

Respuesta correcta: Tienen como objetivo regular normativa propia en el ámbito de sus competencias asignadas. Pregunta 3: La AEPD tiene personalidad jurídica propia y actúa de manera dependiente en el ejercicio de sus funciones con las Administraciones públicas.

• •

Verdadero Falso

Respuesta correcta: Falso Pregunta 4: La Subdirección General de Inspección es la encargada de inscribir los ficheros de datos de carácter personal, independientemente de que su titularidad sea pública o privada.


Página 121 de 139

• •

Verdadero Falso

Respuesta correcta: Falso Pregunta 5: El Director de la AEPD:

• • •

Se nomb nombra ra entr entre e los los miem miembr bros os de la Secr Secret etar aría ía Gene Genera ral.l. Se nombra nombra entr entre e los los mie miemb mbros ros del del Con Consej sejo o Consu Consultltiv ivo o para para un per perio iodo do de de 4 años. Sólo Sólo puede puede ces cesar ar de de su mand mandat ato o por por peti petici ción ón prop propia ia o una una vez vez cump cumplilido do el el periodo del mismo.

Respuesta correcta: Se nombra entre los miembros del Consejo Consultivo para un periodo de 4 años. Pregunta 6: ¿Qué órgano no forma parte de la estructura orgánica básica de la AEPD?

• • •

La Secretaría General. La Subd Subdir irec ecci ción ón Gene Genera rall de de Inf Infra racc ccio ione nes. s. La Subd Subdir irec ecci ción ón Gene Genera rall de Insp Inspec ecci ción ón de Dato Datos. s.

Respuesta correcta: La Subdirección General de Infracciones. Pregunta 7: La instrucción de los expedientes sancionadores corresponde:

• • •

Al Consejo Consultivo. Al Director. A la Subd Subdir irec ecci ción ón Gene Genera rall de Insp Inspec ecci ción ón de Dato Datos. s.

Respuesta correcta: A la Subdirección General de Inspección de Datos. Pregunta 8: Según indica la LOPD, las comunidades autónomas no pueden crear y mantener sus propios registros de ficheros.

• •

Verdadero Falso

Respuesta correcta: Falso

Página 122 de 139


Pregunta 9: ¿Según la LOPD, los códigos tipo son objeto de inscripción en el Registro de la AEPD?

• •

Sí. No.

Respuesta correcta: Sí. Pregunta 10: ¿Puede notificarse por vía telemática la inscripción de ficheros?

• • •

Sí. No. Sí, si se dispone de firma digital.

Respuesta correcta: Sí, si se dispone de firma digital.


Página 123 de 139


Juegos Puzzle Este recurso es de tipo Multimedia. Tiene que conectarse a la plataforma para acceder a este recurso.


Página 124 de 139



Evaluación final del curso Este recurso es de tipo Evaluación. Debe conectarse a la plataforma para realizar la evaluación. Recuerde que las evaluaciones son obligatorias ya que determinan la nota final.


Página 125 de 139


RECURSOS COMUNES Glosario Autenticación

Procedimiento de comprobación de la identidad de un usuario. Accesos autorizados

Autorizaciones o permisos concedidos otorgados por el responsable o el titular de los datos de carácter personal para utilizar cualquier recurso o para acceder a cualquier sistema, red o programa informático. También las autorizaciones o funciones que tenga atribuidas un usuario por delegación del responsable del fichero o tratamiento o del responsable de seguridad. Afectado o interesado

Persona física identificada o identificable, titular de los datos de carácter personal que sean objeto del tratamiento. Auditoría

Informe para verificar el cumplimiento del Reglamento y de los procedimientos e instrucciones vigentes en materia de seguridad de datos. El informe de auditoría dictamina sobre la adecuación de las medidas y controles al Reglamento, identifica sus deficiencias y propone las medidas correctoras o complementarias necesarias y quedan a disposición de la Agencia Española de Protección de Datos. Bloqueo de datos

Identificación y reserva de datos de carácter personal con el fin de impedir su tratamiento, salvo que sean requeridos por parte de las Administraciones públicas, jueces y tribunales para la atención de las posibles responsabilidades nacidas del tratamiento y solo durante el plazo de prescripción de dichas responsabilidades. Transcurrido ese plazo, deberá procederse a la supresión de los datos. Cancelación

Procedimiento en virtud del cual el responsable cesa en el uso de los datos de carácter personal y que implica el bloqueo de los mismos. Comunicación o cesión de datos

Tratamiento de datos que supone su revelación a una persona distinta del interesado. Página 126 de 139


Consentimiento del interesado

Toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen. Contraseña

Información confidencial, frecuentemente constituida por una cadena de caracteres, que puede ser usada en la autenticación de un usuario o en el acceso a un recurso. Control de acceso

Mecanismo que en función de la identificación ya autentificada permite acceder a datos o recursos. Copia de respaldo

Copia de los datos de un fichero automatizado en un soporte que posibilite su recuperación. Dato disociado

Aquel que por sí mismo no permite la identificación de un afectado o interesado. Datos accesibles al público

Datos que se encuentran a disposición del público en general, no impedida por cualquier norma limitativa, y están recogidos en medios tales como censos, anuarios, bases de datos públicas, repertorios de jurisprudencia, archivos de prensa, repertorios telefónicos o análogos, así como los datos publicados en forma de listas de personas pertenecientes a grupos profesionales que contengan únicamente los nombres, títulos, profesión, actividad, grados académicos, dirección e indicación de su pertenencia al grupo. Datos de carácter personal

Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables. Se considera identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos, característicos de su identidad física, fisiológica, psíquica, económica, cultural o social. Destinatario o cesionario

Persona física o jurídica, pública o privada u órgano administrativo, al que se revelen los datos. No obstante, las autoridades que puedan recibir una comunicación de datos en el marco de una investigación específica no serán considerados destinatarios. Podrán ser también destinatarios los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados.


Página 127 de 139

Documentación

Todo escrito, gráfico, sonido, imagen o cualquier otra clase de información que puede ser tratada en un sistema de información como una unidad diferenciada. Encargado del tratamiento

La persona física o jurídica, pública o privada, u órgano administrativo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento o del responsable del fichero, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio. Podrán ser también encargados del tratamiento los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados. Exportador de datos personales

La persona física o jurídica, pública o privada, u órgano administrativo situado en territorio español que realice, conforme a lo dispuesto en el Reglamento, una transferencia de datos de carácter personal a un país tercero. Fichero

Todo conjunto organizado de datos de carácter personal, que permita el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso. Fichero automatizado

Significa cualquier conjunto de informaciones que sea objeto de un tratamiento automatizado. Fichero de datos personales

Los ficheros de los que sean responsables las personas, empresas o entidades de derecho privado, con independencia de quien ostente la titularidad de su capital o de la procedencia de sus recursos económicos, así como los ficheros de los que sean responsables las corporaciones de derecho público, en cuanto dichos ficheros no se encuentren estrictamente vinculados al ejercicio de potestades de derecho público que a las mismas atribuye su normativa específica. Fichero no automatizado

Todo conjunto de datos de carácter personal organizado de forma no automatizada y estructurado conforme a criterios específicos relativos a personas físicas, que permitan acceder sin esfuerzos desproporcionados a sus datos personales, ya sea aquél centralizado, descentralizado o repartido de forma funcional o geográfica. Ficheros de titularidad privada

Página 128 de 139


Los ficheros de los que sean responsables las entidades sometidas al derecho privado, no vinculados en ningún caso con el ejercicio de potestades de Derecho público, incluyendo aquellos de los que sean responsables las fundaciones sanitarias del sector público, salvo, en su caso, las fundaciones públicas sanitarias, las sociedades del sector público empresarial del Estado, la comunidad autónoma, la provincia o el municipio, con independencia de su estructura accionarial, y las corporaciones de Derecho público, en cuanto dichos ficheros no se encuentren estrictamente vinculados al ejercicio de las potestades de Derecho público que a las mismas atribuye su normativa específica. Ficheros de titularidad pública

Los ficheros de los que sean responsables los órganos constitucionales o con relevancia constitucional del Estado o las instituciones autonómicas con funciones análogas a los mismos, las Administraciones públicas territoriales, así como las entidades u organismos vinculados o dependientes de las mismas y las corporaciones de Derecho público siempre que su finalidad sea el ejercicio de potestades de Derecho público. Ficheros temporales

Ficheros de trabajo creados por usuarios o procesos que son necesarios para un tratamiento ocasional o como paso intermedio durante la realización de un tratamiento. Fuentes accesibles al público

Aquellos ficheros cuya consulta puede ser realizada por cualquier persona, no impedida por una norma limitativa, o sin más exigencia que, en su caso, el abono de una contraprestación. Tienen la consideración de fuentes de acceso público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público, los diarios y boletines oficiales y los medios de comunicación. Aquellos ficheros cuya consulta puede ser realizada, por cualquier persona, no impedida por una norma limitativa o sin más exigencia que, en su caso, el abono de una contraprestación. Identificación

Procedimiento de reconocimiento de la identidad de un usuario. Importador de datos personales

Persona física o jurídica, pública o privada, u órgano administrativo receptor de los datos en caso de transferencia internacional de los mismos a un tercer país, ya sea responsable del tratamiento, encargada del tratamiento o tercero. Plataforma de Teleformación de IFES

Página 129 de 139

Incidencia

Cualquier anomalía que afecte o pudiera afectar a la seguridad de los datos. Perfil de usuario

Accesos autorizados a un grupo de usuarios. Persona identificable

Toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier información referida a su identidad física, fisiológica, psíquica, económica, cultural o social. Procedimiento de disociación

Todo tratamiento de datos personales que permita la obtención de datos disociados. Recurso

Cualquier parte componente de un sistema de información. Registro General de Protección de Datos

Órgano de la Agencia Española de Protección de Datos al que corresponde velar por la publicidad de la existencia de los ficheros automatizados de datos de carácter personal, con miras a hacer posible el ejercicio de los derechos de información, acceso, rectificación y cancelación de datos. Responsable de seguridad

Persona o personas a las que el responsable del fichero ha asignado formalmente la función de coordinar y controlar las medidas de seguridad aplicables. Responsable del tratamiento

Persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que sólo o conjuntamente con otros determine los fines y los medios del tratamiento de datos personales. En el caso de entes sin personalidad jurídica se considerará responsable del tratamiento a la persona o personas integrantes de los mismos, que decida sobre los extremos señalados en el párrafo anterior. Sistema de información

Conjunto de ficheros, tratamientos, programas, soportes y en su caso, equipos empleados para el tratamiento de datos de carácter personal. Sistema de tratamiento

Modo en que se organiza o utiliza un sistema de información. Atendiendo al sistema de tratamiento, los sistemas de información podrán ser automatizados, no automatizados o parcialmente automatizados.

Página 130 de 139


Soporte

Objeto físico susceptible de ser tratado en un sistema de información y sobre el cual se pueden grabar o recuperar datos. Soporte

Objeto físico que almacena o contiene datos o documentos, u objeto susceptible de ser tratado en un sistema de información y sobre el cual se pueden grabar y recuperar datos. Supresión

Eliminación física de los datos de carácter personal bloqueados una vez cumplido el plazo de prescripción de las posibles responsabilidades nacidas del tratamiento durante el cual se guardaron bloqueados. Tercero

La persona física o jurídica, pública o privada u órgano administrativo distinta del afectado o interesado, del responsable del tratamiento, del responsable del fichero, del encargado del tratamiento y de las personas autorizadas para tratar los datos bajo la autoridad directa del responsable del tratamiento o del encargado del tratamiento. Podrán ser también terceros los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados. Transferencia de datos

Transporte de datos entre sistemas informáticos por cualquier medio de transmisión, así como el transporte de soportes de datos por correo o por cualquier otro medio convencional. Transferencia internacional de datos

Tratamiento de datos que supone una transmisión de los mismos fuera del territorio del Espacio Económico Europeo, bien constituya una cesión o comunicación de datos, bien tenga por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero establecido en territorio español. Transmisión de documentos

Cualquier traslado, comunicación, envío, entrega o divulgación de la información contenida en el mismo. Tratamiento automatizado

Se entiende las operaciones que a continuación se indican efectuadas en su totalidad o en parte con ayuda de procedimientos automatizados: Registro de datos, aplicación a esos datos de operaciones lógicas aritméticas, su modificación, borrado, extracción o difusión.


Página 131 de 139

Tratamiento de datos

Cualquier operación o procedimiento técnico, sea o no automatizado, que implique la recogida, grabación, organización conservación, elaboración, modificación, consulta, utilización, bloqueo, modificación, extracción, consulta, utilización comunicación por transmisión, difusión o cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias. Usuario

Sujeto o proceso autorizado para acceder a datos o recursos. sujeto o proceso autorizado para acceder a datos o recursos. Sujeto o proceso autorizado para acceder a datos o recursos. Sujeto o proceso autorizado para acceder a datos o recursos. Tendrán la consideración de los procesos que permitan acceder a datos o recursos sin identificación de un usuario físico.

FAQ ¿La legislación vigente sobre protección de datos de carácter personal se aplica también a las personas jurídicas?

La LOPD sólo es aplicable a las personas físicas, siendo su objetivo garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, especialmente a su honor e intimidad personal y familiar. Estás buscando trabajo y has creado una base de datos en tu ordenador con datos de posibles empresas a las que enviar tu currículum vítae. ¿Es obligatorio notificar la creación de este fichero ante la Agencia Española de Protección de Datos?

No es necesario, ya que la LOPD recoge una serie de excepciones para declarar ficheros. Una de ellas se refiere a los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas. ¿Cuándo se considera que la documentación en soporte papel forma parte de un fichero no automatizado?

Para que exista un fichero no automatizado, el Reglamento de aplicación de la LOPD exige que el conjunto de datos se encuentre estructurado con arreglo a criterios referidos a personas físicas. Si concurren estos criterios, el fichero debe regirse por la legislación sobre protección de datos. ¿Pueden ejercitarse los derechos que reconoce la LOPD a los interesados por el correo electrónico?

Página 132 de 139


Sí, siempre que se garantice la identificación del afectado y se ejerciten a través de la dirección de correo facilitada al responsable del fichero. ¿Cuándo se aplica el nivel básico de seguridad a datos de salud?

El Reglamento de aplicación de la LOPD dictamina que deberá aplicarse las medidas de seguridad correspondientes al nivel básico para datos relativos a la salud cuando se haga referencia a datos sobre discapacidad, incapacidad laboral, invalidez, enfermedad común, accidente laboral, enfermedad profesional. Si se describe la enfermedad o situación de salud concreta que la causa, o se incluye un código numérico que permita establecerla, el nivel de seguridad aplicable a los ficheros será el alto. ¿A qué se refiere la normativa sobre protección de datos cuando dice que las copias de respaldo deberán guardarse en lugar físico diferente?

El espacio físico debe ser diferente al de su ubicación y no pueden darse los mismos riesgos físicos (por ejemplo, incendio o inundación). Sólo será admisible que las copias de respaldo se guarden en un espacio distinto en la misma sede si queda justificado en el documento de seguridad y se adoptan medidas complementarias para minimizar el riesgo (por ejemplo, armarios ignífugos, sistemas anti-incendio, etc.). Hay que tener en cuenta que esto no se aplica en el caso de ficheros no automatizados. ¿Qué países, según la LOPD, ofrecen un nivel adecuado de protección en el caso de transferencias internacionales de datos?

Los países que han sido valorados con un nivel de protección equiparable al que presta la LOPD son: todos los que forman el Espacio Económico Europeo, Suiza, Argentina, Guernsey, Isla de Man, Jersey, Canadá respecto de las entidades sujetas al ámbito de aplicación de la ley canadiense de protección de datos, y las entidades estadounidenses adheridas a los principios de “puerto seguro” (safe harbor). Con todos ellos podemos transmitir datos personales sin necesidad de autorización previa. ¿Qué entidades están obligadas a pasar una auditoría sobre el cumplimiento en materia de protección de datos?

El Reglamento de aplicación de la LOPD establece la necesidad de someter los sistemas de información e instalaciones de tratamiento de datos de carácter personal calificados de nivel medio y alto a una auditoría que verifique el cumplimiento de las disposiciones vigentes en materia de seguridad de datos, al menos, cada dos años. ¿Cómo se inscriben, modifican o suprimen los ficheros de datos de carácter personal?

Según la LOPD, deben inscribirse en el Registro General de Protección de Datos todos los ficheros que contengan datos de carácter personal. La inscripción debe realizarla el responsable o responsables de lo/s ficheros y conforme al modelo estándar facilitado por la AEPD. En el caso de que se solicite la modificación de la inscripción de un Plataforma de Teleformación de IFES

Página 133 de 139

fichero, deberá notificar, de acuerdo a lo dispuesto en el artículo 26.3 de la LOPD, los cambios que se produzcan en la finalidad del fichero automatizado, en su responsable y en la dirección de su ubicación, o cualquier otra modificación que se pudiera haber producido desde la declaración inicial del fichero objeto de inscripción en el Registro General de Protección de Datos. ¿Deben notificarse al Registro General de Protección de Datos todas las operaciones efectuadas sobre un fichero de datos de carácter personal?

Las operaciones sujetas a notificación al Registro sobre los ficheros de datos de carácter personal son: la creación de un nuevo fichero, los tratamientos y cualquier modificación posterior en el contenido de la inscripción de un fichero. ¿Cómo se notifica la existencia de un fichero al Registro General de Protección de Datos?

La notificación de la existencia de un fichero al Registro General de Protección de Datos puede realizarse por vía telemática y de manera gratuita (sistema NOTA) a través de los formularios facilitados en la página web de la AEPD. ¿Qué uso puede darse a los datos de carácter personal que aparezcan en páginas web?

Según la LOPD los datos de carácter personal contenidos en las páginas web no se consideran datos procedentes de fuentes accesibles al público y por tanto no pueden ser sometidos a tratamiento sin contar con el consentimiento de los interesados, tal y como establece la normativa. ¿Puedo solicitar a la Agencia Española de Protección de Datos información sobre mis datos personales que están en posesión de empresas u organizaciones?

El Registro General de Protección de Datos contiene información sobre los nombres de los ficheros, su responsable, su finalidad y las personas o entidades ante quienes se pueden ejercer los derechos de acceso, rectificación y cancelación, pero no las personas respecto de las cuales se tratan sus datos. Por tanto, se puede conocer qué ficheros de datos tiene inscritos una determinada empresa u organización y, de esta forma, solicitar personalmente el acceso a los datos que tienen sobre nosotros.

Links El portal de la Unión Europea

Página de la Unión Europea que contiene, entre otras cosas, una recopilación de jurisprudencia del Tribunal de Justicia y del Tribunal de Primera Instancia o en el Diario Oficial de la Unión Europea y un índice con fuentes de información.. http://europa.eu/index_es.htm

Página 134 de 139


Agencia Española de Protección de Datos

Ente público cuya misión es velar por el cumplimiento de la legislación sobre protección de datos personales y controlar su aplicación.. http://www.agpd.es Transferencia de datos personales

Documento de trabajo publicado por la Comisión Europea sobre la implantación de las decisiones tomadas por la Comisión sobre las cláusulas contractuales tipo en la transferencia internacional de datos a terceros países. (En inglés).. http://ec.europa.eu/justice_home/fsj/privacy/docs/modelcontracts/sec_2006_95_en.pdf Canal de reclamaciones de la Agencia Española de Protección de Datos

Recurso vía web de la Agencia Española de Protección de Datos donde se facilita al ciudadano la posibilidad de efectuar una denuncia o reclamación por infracción de derechos de la LOPD.. http://www.agpd.es/portalweb/canalciudadano/denunciasciudadano/index-idesidphp.php Revista Datos personales

Revista digital con información de actualidad sobre protección de datos personales editada por la Agencia de Protección de Datos de la Comunidad de Madrid.. http://www.datospersonales.org/ Puerto seguro

Página con información sobre el acuerdo "Puerto seguro" entre la UE y EE.UU. para la transferencia internacional de datos personales.. http://www.export.gov/safeharbor/ Consejo Europeo

Página del Consejo Europeo que contiene información relevante en varios idiomas sobre cooperación jurídica internacional en materia de seguridad y protección de datos.. http://www.coe.int/t/e/legal_affairs/legal_co-operation/Data_protection/

Bibliografía La defensa de la intimidad de los ciudadanos y la tecnología informática.

ÁLVAREZ-CIENFUEGOS, J. Mª.. Editorial Aranzadi, Madrid 1999. Privacy in the information age. CATE, F..

Editorial Brookling Institution, Washington 1997. Plataforma de Teleformación de IFES

Página 135 de 139

La protección de datos personales. Un derecho autónomo con base en los conceptos de privacidad e intimidad. CONDE, C..

Editorial Dykinson, Madrid 2005. La protección de datos en Europa. Principios, derechos y procedimiento.

DAVARA, M. Á.. Editorial ASNEF-EQUIFAX, Madrid 1998. La protección de la intimidad frente a la transmisión internacional de datos personales. ESTADELLA YUSTE, O..

Editorial Tecnos, Madrid 1995. Tratamiento de datos personales y derechos fundamentales. GARRIGA, A..

Editorial Dykinson, Madrid 2004. El tratamiento de los datos de carácter personal y la protección de la intimidad en el sector de las telecomunicaciones. GIL-DELGADO, C. Y MARROIG POL, L..

Editorial Agencia Española de Protección de Datos, Madrid 2001. El derecho a la protección de datos personales en la sociedad de la información.

HERRÁN ORTIZ, I.. Editorial Universidad de Deusto, Bilbao 2003. El derecho a la intimidad en la nueva Ley Orgánica de Protección de Datos Personales. HERRÁNZ ORTIZ, A. I..

Editorial Dykinson, Madrid 2002. Libertad informática y leyes de protección de datos personales. LOSANO, PÉREZ

LUÑO Y GUERRERO. Editorial CEC, Madrid 1989. El derecho a la autodeterminación informativa. La protección de datos personales frente al uso de la informática. MURILLO DE LA CUEVA, L..

Editorial Tecnos, Madrid 1990. Buenas prácticas en privacidad. Habeas data. Transferencia internacional de datos personales. PALAZZI, P. A..

Editorial Legis Editores S.A., Colombia 2003. Protección de datos de carácter personal: Legislación y jurisprudencia. PUERTES

MATTÍ, A.. Editorial Práctica de Derecho, S.L., Madrid 2001.

Página 136 de 139


Derechos fundamentales y protección de datos. REBOLLO DELGADO, L..

Editorial Dykinson, Madrid 2004. Nuevas tecnologías, intimidad y protección de datos con estudio sistemático de la Ley Orgánica 15/1999. TÉLLEZ AGUILERA, A..

Editorial Edisofer, Madrid 2001. Protección jurídica de datos personales automatizados. VELÁZQUEZ BAUTISTA,

R.. Editorial Colex, Madrid 1993. Comentarios a la Ley Orgánica de Protección de Datos de Carácter Personal.

VIZCAÍNO CALDERÓN, M.. Editorial Cívitas, Madrid 2001.

Normativa

NORMAS EN MATERIA DE PROTECCIÓN DE DATOS 1. España • •

Constitución Española de 1978 (art. 18.4 y 105.b). Ley 15/1999, de 13 de diciembre, de protección de datos de carácter

personal. •

R.D. 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento

de desarrollo de la L.O. 15/1999. • • • •

R.D. 1665/2008, de 17 de octubre, por el que se modifica el Estatuto de la

AEPD, aprobado por el R.D. 428/1993, de 26 de marzo. R.D. 156/1996, de 2 de febrero, por el que se modifica el Estatuto de la AEPD. R. D. 428/1993, de 26 de marzo, por el que se aprueba el Estatuto de la Agencia Española de Protección de Datos. Resolución de 8 de septiembre de 2006, de la AEPD , por las que se corrigen errores en las Resoluciones de 12 de julio de 2006, por las que se crea el Registro Telemático y se aprueban los formularios electrónicos para inscribir los ficheros en el Registro General de Protección de Datos.


Página 137 de 139

•

Resolución de 1 de septiembre de 2006, de la Agencia Española de Protección de Datos, por la que se determina la información que contiene el

catálogo de ficheros inscritos en el Registro General de Protección de Datos. •

Resolución de 12 de julio de 2006, de la Agencia Española de Protección de Datos, por la que se crea el Registro Telemático de la

Agencia Española de Protección de Datos. •

Resolución de 12 de julio de 2006, de la Agencia Española de Protección de Datos, por la que se aprueban los formularios electrónicos

a través de los que deberán efectuarse las solicitudes de inscripción de ficheros en el Registro General de Protección de Datos, así como los formatos y requerimientos a los que deben ajustarse las notificaciones remitidas en soporte informático o telemático. • • •

Resolución de 22 de junio de 2001, de la Subsecretaría de Justicia , que

concreta el plazo para la implantación de medidas de seguridad de nivel alto. Resolución de 30 de mayo de 2000, de la AEPD , por la que se aprueban los modelos normalizados en soporte papel, magnético y telemático, para la inscripción de los ficheros. Distintas Instrucciones de la AEPD sobre: la prestación de servicios de información sobre solvencia patrimonial y crédito, sobre ficheros automatizados con la finalidad de controlar el acceso a los casinos y salas de bingo, el acceso a edificios, sobre medidas que garanticen la intimidad de los datos recabados como consecuencia de la contratación de un seguro de vida, el ejercicio de los derechos de acceso, rectificación y cancelación, las normas por las que se rigen los movimientos internacionales de datos o la publicación delas Resoluciones de la AEPD.

2. Unión Europea • • •

Carta de los Derechos Fundamentales de la Unión Europea . Tratado de la UE y Tratado constitutivo de la Comunidad Europea. Directiva 2006/24/CE, del Parlamento Europeo y del Consejo, de 15 de marzo de 2006, sobre la conservación de datos generados o tratados

en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones y por la que se modifica la Directiva 2002/58/CE. •

Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que

respecta al tratamiento de datos personales y a la libre circulación de estos datos.

Página 138 de 139


Seguridad_de_la_información_y_protección_de_datos

Recommend Documents