guía de adaptación de la ley orgánica de protección de datos … · 2017-04-20 ·...
TRANSCRIPT
-
Gua de adaptacin de la Ley Orgnica
de Proteccin de Datos en las
Entidades Locales
-
2
INDICE
1 Introduccin .........................................................................................................3
2 Legislacin aplicable ...........................................................................................4
3 Metodologa para la aplicacin de la LOPD en las Entidades Locales............8
3.1 Identificacin de los ficheros de carcter personal ............................................................... 10
3.2 Identificacin de los responsables de la organizacin en materia de proteccin de
datos ............................................................................................................................................... 12
3.3 Creacin, modificacin o supresin de ficheros en el Boletn Oficial ................................... 16
3.4 Alta de ficheros en la Agencia de Proteccin de Datos ........................................................ 20
3.5 Redaccin del Documento de Seguridad.............................................................................. 36
3.6 Aplicacin de las medidas tcnicas necesarias para cada nivel de seguridad .................... 49
3.7 Auditoras .............................................................................................................................. 60
4 Consideraciones especiales .............................................................................62
4.1 Advertencia y consentimiento en la recogida de datos de carcter personal....................... 63
4.2 Comunicacin de datos entre Administraciones Pblicas .................................................... 70
4.3 Regulacin del movimiento con terceros .............................................................................. 71
4.4 Transferencia internacional de datos .................................................................................... 80
4.5 Derechos de acceso, rectificacin, cancelacin y oposicin ................................................ 82
4.6 Diferencias en el tratamiento de datos personales por las Administraciones Pblicas........ 92
Anexo I: Ley Orgnica 15/1999, de Proteccin de datos de carcter personal
Anexo II: Real Decreto 1720/2007 Reglamento de desarrollo de la Ley Orgnica de Proteccin de datos
Anexo III: Modelo de documento de seguridad de la Agencia Espaola de Proteccin de Datos
-
3 Gua de adaptacin de la LOPD para Entidades Locales
1 Introduccin
La Ley Orgnica 15/1999, de 13 de diciembre de Proteccin de Datos de Carcter
Personal, en adelante, LOPD, tiene por objeto garantizar y proteger, en lo que
concierne al tratamiento de los datos personales, las libertades pblicas y los derechos
fundamentales de las personas fsicas, y especialmente de su honor, intimidad y
privacidad personal y familiar, por parte de los Organismos Pblicos y las Entidades
Privadas.
La LOPD establece una serie de obligaciones en pos de la proteccin de los datos
personales contenidos en ficheros que poseen empresas y Administraciones Pblicas,
y que son tratadas por stas con diferentes finalidades: gestin de personal,
proveedores, clientes, campaas de marketing, etc.
El rgano de control del cumplimiento de la normativa de proteccin de datos dentro
del territorio espaol, con carcter general es la Agencia Espaola de Proteccin de
Datos (AGPD).
La LOPD obliga a todas las Administraciones Pblicas, incluidos los Ayuntamientos y
Diputaciones Provinciales, debido a que estas entidades tratan datos de carcter
personal mediante el padrn municipal, gestin tributaria, etc. Estos datos requieren la
implantacin de las medidas de seguridad exigidas por la Ley.
Este documento explicar el proceso de aplicacin y adaptacin de una Entidad Local
a la Ley de forma que se garanticen los derechos de las personas respecto a los datos
de carcter personal que manejan dichas entidades.
Con esta gua de adaptacin a la LOPD, una Entidad Local conocer cules son los
pasos a seguir para su adecuacin y las actuaciones obligatorias para su aplicacin,
entendiendo que la adecuacin a la LOPD no debe considerarse como una adaptacin
puntual sino como un proceso de actualizacin continua.
-
4
2 Legislacin aplicable
La normativa vigente en materia de proteccin de datos es la siguiente:
Ley Orgnica 15/1999, de 13 de Diciembre, de Proteccin de Datos de
Carcter Personal (LOPD).
Real Decreto 1720/2007, de 21 de Diciembre, de Desarrollo de la Ley Orgnica
de Proteccin de Datos.
A finales del ao 2007, se aprob el nuevo Reglamento de Desarrollo de la LOPD
que entra en vigor el 19 de abril de 2008, que desarrolla tanto los principios de la
Ley, como las medidas de seguridad a aplicar en los sistemas de informacin. Se
aplica tanto a ficheros en soporte automatizado, como en cualquier otro tipo de
soportes.
Este nuevo Reglamento ana y completa en un solo documento todas las
disposiciones vigentes y aplicables de desarrollo de la Ley Orgnica de Proteccin de
Datos y deroga el Real Decreto 994/1999, de 11 de junio, de Medidas de Seguridad de
Ficheros Automatizados.
Esta normativa obliga a todas las Entidades Locales a implementar una serie de
medidas y procedimientos que garanticen la proteccin de los datos personales.
De acuerdo con la Ley, son datos de carcter personal cualquier informacin
numrica, alfabtica, grfica, fotogrfica, acstica o de cualquier otro tipo concerniente
a personas fsicas identificadas o identificables, es decir, toda informacin que aporte
datos sobre una persona fsica concreta o bien que a travs de dicha informacin se
pueda llegar a identificar.
Quedan excluidos cualquier tipo de datos relativos a personas jurdicas siempre y
cuando la finalidad del uso de los datos est destinado a la empresa.
-
5 Gua de adaptacin de la LOPD para Entidades Locales
La Ley y su Reglamento de desarrollo mencionan tambin el concepto de fichero,
como cualquier conjunto de datos de carcter personal, en cualquier formato,
electrnico, papel, etc.
Los datos de carcter personal se dividen en grupos, nivel bsico, medio y alto, que
permitirn posteriormente la aplicacin de diferentes medidas de seguridad y
proteccin para cada grupo:
Nivel Bsico: ficheros que contengan datos de carcter personal:
Nivel Bsico: ficheros que contengan datos de carcter personal:
Identificativos (nombre, apellidos, direcciones de contacto (tanto fsicas como
electrnicas), telfono (tanto fijo como mvil).
Caractersticas personales.
Circunstancias sociales.
Acadmicos y profesionales.
Empleo y carrera administrativa.
Informacin comercial.
Econmico-Financieros.
Transacciones.
Nivel Medio:
Relativos a la comisin de infracciones administrativas o penales.
Que se rijan por el artculo 29 de la LOPD: prestacin de servicios de solvencia
patrimonial y crdito.
De Administraciones Tributarias, y que se relacionen con el ejercicio de sus
potestades tributarias.
-
6
De entidades financieras para las finalidades relacionadas con la prestacin de
servicios financieros.
De Entidades Gestoras y Servicios Comunes de Seguridad Social, que se
relacionen con el ejercicio de sus competencias.
De mutuas de accidentes de trabajo y enfermedades profesionales de la
Seguridad Social.
Que ofrezcan una definicin de la personalidad y permitan evaluar
determinados aspectos de la misma o del comportamiento de las personas.
De los operadores de comunicaciones electrnicas, respecto de los datos de
trfico y localizacin.
Nivel Alto:
De Ideologa, afiliacin sindical, religin, creencias, origen racial, salud o vida
sexual, y respecto de los que no se prevea la posibilidad de adoptar el nivel
bsico.
Datos recabados con fines policiales sin consentimiento del afectado.
Derivados de actos de violencia de gnero.
Excepciones:
Segn el punto 5, del Artculo 81 del desarrollo de la Ley, en el caso de ficheros o
tratamientos de datos de ideologa, afiliacin sindical, religin, creencias, origen racial,
salud o vida sexual bastar la implantacin de las medidas de seguridad bsico
cuando:
a) Los datos se utilicen con la nica finalidad de realizar una transferencia
dineraria a las entidades de las que los afectados sean asociados o miembros.
-
7 Gua de adaptacin de la LOPD para Entidades Locales
b) Se trate de ficheros o tratamientos no automatizados en los que de forma
incidental o accesoria se contengan datos sin guardar relacin con su finalidad.
Segn el punto 6 del mismo artculo, tambin se consideran como excepciones y
podrn implantarse medidas de seguridad de nivel bsico en los ficheros o
tratamientos que contengan datos relativos a la salud, referentes exclusivamente al
grado de discapacidad o la simple declaracin de la condicin de discapacidad o
invalidez del afectado, con motivo del cumplimiento de deberes pblicos.
-
8
3 Metodologa para la aplicacin de la LOPD en las Entidades Locales
La LOPD obliga a todas las empresas y organismos, tanto privados como pblicos que
dispongan de datos de carcter personal a cumplir una serie de requisitos y aplicar
determinadas medidas de seguridad en funcin del tipo de datos que se posea.
Todos los ficheros y tratamientos de datos personales realizados por la Administracin
General del Estado, las Administraciones de las Comunidades Autnomas, las
Entidades que integran la Administracin Local y todas las Entidades de derecho
pblico, con personalidad jurdica propia, vinculadas a cualquier Administracin, son
ficheros o tratamientos de titularidad pblica.
En el caso concreto de las Administraciones Pblicas, stas poseen ficheros con datos
personales. En particular, los Ayuntamientos y Diputaciones Provinciales poseen
ficheros con datos relativos al padrn municipal, gestin tributaria, catastro, etc.
La posesin de estos ficheros conlleva una serie de obligaciones que deben cumplir e
implantar una serie de medidas de seguridad en el tratamiento y proteccin de datos
de carcter personal.
Para un adecuado cumplimiento de la Ley, los Ayuntamientos y Diputaciones
Provinciales debern seguir la siguiente metodologa:
1. Identificacin de los ficheros de carcter personal.
2. Identificacin de los responsables de la organizacin en materia de proteccin
de datos de carcter personal.
3. Creacin, modificacin o supresin de ficheros en el Boletn Oficial.
4. Inscripcin de ficheros en el registro de la Agencia Espaola de Proteccin de
Datos (AGPD).
5. Redaccin del documento de seguridad.
-
9 Gua de adaptacin de la LOPD para Entidades Locales
6. Aplicacin de las medidas tcnicas necesarias para asegurar el nivel de
proteccin de los ficheros que contengan datos de carcter personal.
7. Auditoria de todas las medidas establecidas en el documento de seguridad.
-
10
3.1 Identificacin de los ficheros de carcter personal
El punto de partida del proceso de adaptacin y cumplimiento de la LOPD consiste en
identificar el origen de la informacin que maneja la Entidad Local, determinando los
datos de carcter personal presentes en esa informacin.
Por lo tanto ser necesaria una identificacin de los ficheros que contengan datos de
carcter personal que estn dentro del alcance de aplicacin de la LOPD,
distinguiendo:
Ficheros automatizados.
Ficheros no automatizados o manuales.
Segn el Artculo 3 de la LOPD, se entiende por Fichero todo conjunto organizado de
datos de carcter personal, cualquiera que fuere la forma o modalidad de su creacin,
almacenamiento, organizacin y acceso.
Una vez han sido localizados los ficheros en la Entidad, es necesario sistematizar de
una manera lgica y coherente toda la informacin recabada.
Dentro de una Entidad es probable encontrar multitud de ficheros fsicos, es decir,
todos aquellos que son creados mediante la organizacin de datos personales con
independencia de la aplicacin que los crea o los trata.
Como fichero lgico entendemos un fichero o conjunto de ficheros fsicos, que
contienen el mismo tipo de datos, y que son tratados para una misma finalidad o
finalidades compatibles.
Una vez que se haya realizado el inventario de ficheros fsicos, se proceder a la
agrupacin de los mismos en ficheros lgicos, esto permitir la sistematizacin de los
ficheros a inscribir en la Agencia Espaola de Proteccin de Datos.
De igual forma se proceder a la hora de incluir ficheros no automatizados (en soporte
papel), agrupndolos teniendo en cuenta la finalidad genrica del tratamiento, no
siendo necesario declarar dos veces este fichero a la AGPD.
-
11 Gua de adaptacin de la LOPD para Entidades Locales
Posteriormente se deber determinar el nivel de seguridad de los ficheros
identificados.
Para llevar a cabo dicha tipificacin, se clasificarn los ficheros en funcin de la
naturaleza de los datos, visto anteriormente (nivel bsico, medio o alto). El
Reglamento de desarrollo de la LOPD establece los tres niveles de seguridad para los
ficheros y establece una serie de medidas que la Entidad deber implementar para
cada nivel.
-
12
3.2 Identificacin de los responsables de la organizacin en
materia de proteccin de datos
En la Ley se definen tres roles de responsabilidad sobre los ficheros o tratamiento de
datos de carcter personal, con diferentes funciones:
Responsable del fichero o del tratamiento de datos de carcter personal:
persona fsica o jurdica, de naturaleza pblica o privada, u rgano administrativo,
que decide sobre la finalidad, contenido y uso del tratamiento, aunque no lo
realizase materialmente.
Para el caso de las Entidades Locales, ser cada Entidad quien adopte la figura de
responsable de fichero, respecto de aquellos ficheros que se han creado y se
vayan creando en un futuro.
Funciones:
Las funciones que debe asumir el responsable del fichero o tratamiento de la
informacin son las siguientes:
Notificar para su implantacin en el registro de la Agencia Espaola de
Proteccin de Datos la creacin, modificacin y cancelacin de ficheros que
contengan datos de carcter personal.
Atender las solicitudes de acceso, rectificacin, cancelacin y oposicin
ejercidas por el afectado. Adems el responsable del fichero deber
conceder al interesado un medio sencillo y gratuito para el ejercicio de
estos derechos.
Implantar las medidas de seguridad oportunas segn los niveles que
requieran los ficheros con datos de carcter personal.
Adoptar las medidas necesarias para que el personal conozca las normas
de seguridad que afecten al desarrollo de sus funciones.
-
13 Gua de adaptacin de la LOPD para Entidades Locales
Definir y documentar las funciones y obligaciones de cada uno de los
usuarios con acceso a datos de carcter personal y a los sistemas de
informacin.
Adoptar las medidas necesarias para limitar el acceso del personal a datos
personales y a los soportes que los contengan para la realizacin de
trabajos que no impliquen el tratamiento de datos personales,
estableciendo mecanismos para evitar que un usuario pueda acceder a
recursos distintos a los autorizados.
Encargarse de que exista una relacin actualizada de usuarios y perfiles de
usuarios. Adems de establecer mecanismos de forma que los usuarios
slo tendrn acceso a los recursos que precisen en el desarrollo de sus
funciones.
Adoptar medidas para la correcta identificacin y autentificacin de los
usuarios. En el caso de que el sistema de autentificacin se base en
contraseas, existir un procedimiento de asignacin, distribucin y
almacenamiento que garantice su confidencialidad e integridad.
Encargarse de verificar cada seis meses el correcto funcionamiento del
procedimiento de realizar copias de respaldo y recuperacin de datos.
Encargado del tratamiento: persona fsica o jurdica, pblica o privada, u rgano
administrativo que solo o conjuntamente con otros, trate datos personales por
cuenta del responsable del tratamiento o del responsable del fichero, como
consecuencia de la existencia de una relacin jurdica que le vincula con el mismo
y delimita el mbito de su actuacin para la prestacin de un servicio.
En la mayora de las organizaciones, el propio responsable del fichero realizar el
tratamiento de los ficheros, por tanto tambin recaer sobre l la figura del
encargado del tratamiento.
-
14
Funciones:
Realizar el tratamiento de los datos por cuenta del responsable del fichero.
Implantar las medidas de seguridad oportunas segn los niveles que
requieran los ficheros con datos de carcter personal, por encargo del
responsable del fichero.
El responsable del fichero debe asegurarse que el encargado del
tratamiento cumple con la LOPD, para lo que puede pedir por ejemplo, una
auditoria interna.
Responsable de seguridad: persona o personas a las que el responsable del
fichero ha asignado formalmente la funcin de coordinar y controlar las medidas de
seguridad aplicables.
En cada Entidad se podrn asignar uno o varios responsables de seguridad,
nombrados por el responsable del fichero.
El cargo de responsable de seguridad no supone delegacin de responsabilidad
por parte del Responsable del fichero.
Funciones:
Las funciones en el caso de niveles bsico y medio de seguridad de ficheros son:
Coordinar y controlar las medidas recogidas en el documento de seguridad.
Esta designacin puede ser nica del responsable para todos los ficheros o
diferenciando segn el sistema de tratamiento.
En el caso de nivel alto en medidas de seguridad:
Comprobar, al menos una vez al mes, la informacin de control registrada y
elaborar un informe de las revisiones realizadas y los problemas
detectados.
-
15 Gua de adaptacin de la LOPD para Entidades Locales
Controlar los mecanismos que permiten el registro de accesos a datos de
nivel alto, revisar al menos una vez al mes la informacin de control
registrada y elaborar un informe de las revisiones realizadas y los
problemas detectados.
En lo referente al resto de personal de la Entidad, ser necesaria una formacin del
personal que trabaje con los datos de carcter personal. Para ello es conveniente
realizar reuniones informativas y formativas que sensibilicen al personal sobre la
necesidad de proteger los datos de carcter personal, consiguiendo una reduccin de
las incidencias y mejorando la seguridad de la Entidad.
-
16
3.3 Creacin, modificacin o supresin de ficheros en el
Boletn Oficial
Segn aparece en el Captulo I de la LOPD, referido a ficheros de titularidad pblica,
en su Artculo 20 de creacin, modificacin o supresin, la creacin, modificacin o
supresin de los ficheros de las Administraciones pblicas slo podrn hacerse por
medio de disposicin general publicada en el Boletn Oficial del Estado o Diario
oficial correspondiente.
En el caso de Entidades Locales ser el Boletn Oficial de la Provincia el Diario oficial
en el que publicarn la creacin, modificacin o supresin de los ficheros que posean.
En todo caso la disposicin o acuerdo deber dictarse y publicarse con carcter previo
a la creacin, modificacin o supresin del fichero y deber revestir la forma que
establezca su legislacin especfica.
Esta disposicin o acuerdo deber contener, segn el Artculo 54 del Real Decreto
1720/2007:
Identificacin del fichero o tratamiento con su denominacin y descripcin
de su finalidad y usos previstos.
Origen de los datos, indicando el colectivo de personas sobre los que se
pretende obtener datos de carcter personal o que resulten obligados
suministrarlos, el procedimiento de recogida y su procedencia.
Estructura bsica del fichero mediante la descripcin de los datos
identificativos y en su caso, de los datos especialmente protegidos, as
como de las restantes categoras de datos de carcter personal incluidas
en el mismo y el sistema de tratamiento utilizado en su organizacin.
Las comunicaciones de datos previstas, indicando los destinatarios o
categoras de destinatarios.
Las transferencias internacionales de datos previstas a terceros pases, con
indicacin, en su caso, de los pases de destino de los datos.
-
17 Gua de adaptacin de la LOPD para Entidades Locales
Los rganos responsables del fichero.
Los servicios o unidades ante los que pudiese ejercitarse los derechos de
acceso, rectificacin, cancelacin y oposicin.
El nivel bsico, medio o alto de seguridad que resulte exigible.
En el caso de modificacin de ficheros, la disposicin o acuerdo a publicar debe
indicar los cambios producidos en los puntos anteriores.
En las disposiciones que se dicten para la supresin de ficheros, se debe establecer
el destino de los mismos, o en su caso, las previsiones que se adoptan para su
destruccin.
En las siguientes pginas podemos ver una plantilla modelo para la creacin y
supresin de ficheros a travs del Boletn Oficial de la Provincia:
-
18
BOLETN OFICIAL DE LA PROVINCIA DE XXX
Ayuntamiento de XXX El Pleno del Ayuntamiento, en sesin extraordinaria celebrada el xx de xx de xx, adopt el acuerdo:
CREACIN Y SUPRESIN DE FICHEROS DE CARCTER PERSONAL El apartado 1 art. 20 de la Ley Orgnica 15/1.999 de 13 de diciembre, de Proteccin de Datos de Carcter Personal (en adelante LOPD) establece que la creacin, modificacin o supresin de los ficheros de las Administraciones Pblicas slo podr hacerse por medio de disposicin general publicada en el Boletn Oficial del Estado o Diario Oficial correspondiente y en su apartado 2 establece que sta deber indicar: La finalidad del fichero y los usos previstos para el mismo; las personas o colectivos sobre los que se pretenda obtener datos de carcter personal o que resulten obligados a suministrarlos; el procedimiento de recogida de los datos de carcter personal; la estructura bsica del fichero y la descripcin de los tipos de datos de carcter personal incluidos en el mismo; Las cesiones de datos de carcter personal y, en su caso, las transferencias de datos que se prevean a pases terceros; los rganos de las Administraciones responsables del fichero; los servicios o unidades ante los que pudiesen ejercitarse los derechos de acceso, rectificacin, cancelacin y oposicin y las medidas de seguridad con indicacin del nivel bsico, medio o alto exigible. Por otra parte, se indica que en las disposiciones que se dicten para la supresin de los ficheros, se establecer el destino de los mismos o, en su caso, las previsiones que se adopten para su destruccin. Por otra parte, el art. 39.2 de la misma disposicin legal establece que sern objeto de inscripcin en el Registro General de Proteccin de Datos los ficheros de que sean titulares las Administraciones Pblicas. En cumplimiento de las obligaciones que la citada normativa impone a las Administraciones Pblicas, por medio del presente, el Pleno, por unanimidad,
ACUERDA: Primero: Creacin de ficheros. Se crean en este Ayuntamiento los ficheros de datos de carcter personal sealados en el Anexo I. Segundo: Supresin de ficheros Quedan suprimidos los siguientes ficheros: fichero de nminas, contabilidad creados por Acuerdo de fecha xx/xx/xxxx. Los ficheros a suprimir sern migrados a los nuevos ficheros respectivos, conforme a lo dispuesto en el art. 20.3 de la LOPD. Tercero: Medidas de seguridad Los ficheros automatizados que por el presente acuerdo se crean, cumplen las medidas de seguridad establecidas en el Real Decreto 1720/2007 de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgnica 15/1999 de proteccin de datos de carcter personal.
-
19 Gua de adaptacin de la LOPD para Entidades Locales
Figura 1: Creacin y supresin de ficheros en el Boletn Oficial de la Provincia
Cuarto: Publicacin y entrada en vigor La presente resolucin ser publicada en el Boletn Oficial de la Provincia y entrar en vigor al da siguiente de su publicacin.
ANEXO I
FICHERO: PADRN MUNICIPAL DE HABITANTES Y CENSO MUNICIPAL
1.- Finalidad del Fichero y los usos previstos para el mismo:
La finalidad del fichero es el registro administrativo donde constan los vecinos del municipio. El uso de este fichero es la gestin de altas, bajas y modificaciones de los habitantes del Municipio y censo municipal.
2.-Personas o colectivos sobre los que se pretenda obtener datos de carcter personal o que resulten obligados a suministrarlos:
Vecinos del municipio.
3.-Procedimiento de recogida de los datos de carcter personal:
El propio interesado, la gestin propia en colaboracin con el INE y resto de Ayuntamientos.
4.-Estructura bsica del fichero y la descripcin de los tipos de datos de carcter personal incluidos en el mismo:
Datos de carcter identificativo: Nombre y apellidos, DNI/NIF, direccin postal. Datos de caractersticas personales: fecha y lugar de nacimiento, sexo, nacionalidad y lugar de procedencia. Datos acadmicos: nivel de estudios.
5.-Cesiones de datos de carcter personal y, en su caso, las transferencias de datos que se prevean a pases terceros.
No se prevn.
6.-rganos de la Administracin responsables del fichero.
Ayuntamiento de xxxx
7.-Servicios o unidades ante los que pudiesen ejercitarse los derechos de acceso, rectificacin, cancelacin y oposicin.
Ayuntamiento de xxx
(Direccin postal)
8.-Medidas de seguridad.
Nivel Bsico.
-
20
3.4 Alta de ficheros en la Agencia de Proteccin de Datos
Estn obligados a notificar la creacin de ficheros para su inscripcin en el Registro
General de Proteccin de Datos, de acuerdo con lo dispuesto en la LOPD, aquellas
personas fsicas o jurdicas, de naturaleza pblica o privada, u rgano administrativo,
que procedan a la creacin de ficheros que contengan datos de carcter personal.
Segn el Real Decreto 1720/2007, en su Artculo 55 de notificacin de ficheros de
titularidad pblica:
Todo fichero de datos de carcter personal, de titularidad pblica ser notificado a la
Agencia Espaola de Proteccin de Datos por el rgano competente de la
Administracin responsable del fichero para su inscripcin en el Registro General de
Proteccin de Datos, en el plazo de treinta das desde la publicacin de su norma
o acuerdo de creacin en el diario oficial correspondiente.
Como veamos en un punto anterior de Identificacin de ficheros de carcter
personal, debemos tener localizados e inventariados todos los ficheros fsicos y
agrupados en ficheros lgicos, esto nos permitir la sistematizacin de los ficheros a
inscribir en la Agencia Espaola de Proteccin de Datos.
En cuanto a la determinacin del nivel de seguridad del fichero lgico que ser inscrito
en la Agencia Espaola de Proteccin de Datos, habr que tener en cuenta los
distintos niveles de seguridad que corresponden a los diferentes ficheros fsicos que
se agrupan en el fichero lgico, y aplicar el ms alto de ellos.
Una vez han sido localizados y determinados los ficheros de datos de carcter
personal se proceder a su notificacin de los mismos a la Agencia Espaola de
Proteccin de Datos para su inscripcin.
La notificacin se deber realizar cumplimentando los modelos o formularios
electrnicos publicados en la AGPD.
Para realizar las notificaciones de ficheros, la AGPD (www.agpd.es) pone a
disposicin de los responsables de ficheros con datos de carcter personal, el sistema
-
21 Gua de adaptacin de la LOPD para Entidades Locales
de Notificaciones Telemticas a la AGPD (NOTA),
(https://www.agpd.es/index.php?idSeccion=581) se trata de una herramienta
informtica que asesora acerca de los requerimientos de la notificacin, y permite
presentar las notificaciones a travs de Internet con y sin firma electrnica, y en otros
soportes como el papel.
Adems permite conocer el estado de tramitacin de las notificaciones remitidas a
travs de Internet, mediante certificado de firma electrnica o mediante el cdigo de
envo generado por el formulario electrnico.
Presentacin de las solicitudes:
En el caso de notificacin de ficheros de titularidad pblica, la presentacin de las
solicitudes de inscripcin podr realizarse indistintamente en soporte papel,
informtico o telemtico, aunque en cualquiera de los casos, su cumplimentacin debe
realizarse a travs del formulario electrnico de Notificaciones Telemticas a la AGPD
(NOTA):
Va telemtica por Internet con firma electrnica: a travs de un certificado
de firma electrnica reconocido, presentando las solicitudes en el Registro
Telemtico de la AGPD.
Va telemtica por Internet sin firma electrnica: firmando la hoja de
solicitud y presentndola en la AGPD o en cualquier registro de las
Administraciones Pblicas.
En formato papel: este formato incluye un cdigo ptico de lectura para
agilizar su inscripcin.
-
22
Pasos para la notificacin de un fichero mediante el formulario electrnico
NOTA:
1.- Responder a las preguntas iniciales del asistente:
A travs del formulario se debern indicar las siguientes cuestiones:
El tipo de solicitud de inscripcin:
Notificacin de una nueva inscripcin (Alta).
Modificacin de un fichero ya registrado.
Supresin de un fichero ya inscrito.
En el caso de modificacin y supresin de ficheros se deben indicar el cdigo de
inscripcin y CIF del responsable con el que el fichero figura inscrito en el RGPD.
El Modelo de declaracin, con la posibilidad de utilizar:
Una notificacin precumplimentada.
El formulario electrnico vaco.
La forma de presentacin elegida:
Internet con firma electrnica.
Internet con presentacin convencional de la hoja de solicitud.
Formulario en formato papel con cdigo de barras.
-
23 Gua de adaptacin de la LOPD para Entidades Locales
Figura 2: Formulario de alta de ficheros de titularidad pblica
-
24
Formulario NOTA de titularidad pblica, caso de Modificacin de ficheros:
Figura 3: Formulario de modificacin de ficheros de titularidad pblica
-
25 Gua de adaptacin de la LOPD para Entidades Locales
Formulario NOTA de titularidad pblica, caso de supresin de ficheros:
Figura 4: Formulario de supresin de ficheros de titularidad pblica
-
26
2. Cumplimentar los apartados de la notificacin
Se compone de dos pginas de detalle y la hoja de solicitud, en las que hay que
rellenar obligatoriamente los siguientes campos:
Responsable del fichero.
Disposicin general de creacin, modificacin o supresin.
Identificacin y finalidad del fichero.
Origen y procedencia de los datos.
Tipos de datos, estructura y organizacin del fichero.
Medidas de seguridad: nivel bsico, medio o alto.
Es en este punto donde se han de establecer los sistemas de tratamiento de los datos,
hay que indicar que los datos son tratados automatizadamente en los diferentes
sistemas informticos y, adems, en formato papel.
Son opcionales los campos de:
Derechos de oposicin, acceso, rectificacin y cancelacin.
Encargado del tratamiento.
Cesin o comunicacin de datos.
Transferencias internacionales.
Posteriormente se guarda la notificacin antes de pasar a la siguiente fase de
cumplimentacin, ya que una vez que se haya optado por cumplimentar la hoja de
solicitud no se podrn realizar nuevos cambios en la notificacin.
-
27 Gua de adaptacin de la LOPD para Entidades Locales
Figura 5: Formulario de notificacin
-
28
Figura 6: Formulario de notificacin
-
29 Gua de adaptacin de la LOPD para Entidades Locales
Figura 7: Formulario de notificacin
-
30
Figura 8: Formulario de notificacin
-
31 Gua de adaptacin de la LOPD para Entidades Locales
3. Cumplimentar y firmar la Hoja de solicitud
En este paso se indican los datos identificativos de la persona que firma la solicitud y
el cargo o la condicin del firmante en relacin con el responsable del fichero.
Figura 9: Hoja de solicitud
-
32
4. Generar o enviar la notificacin
Este paso variar segn el tipo de presentacin elegido:
1.- A travs de Internet con certificado de firma electrnica reconocido:
Las notificaciones realizadas a travs de Internet con certificado de firma electrnica
se remiten al Registro Telemtico de la AGPD.
Una vez cumplimentada la notificacin y la hoja de solicitud de forma correcta, es
necesario indicar al formulario que no se van a realizar ms cambios mediante el
botn Finalizar formulario antes de proceder a la firma de la notificacin. En este
momento aparece un icono en el lugar previsto para la firma de la persona que efecta
la notificacin.
Figura 10: Firma del formulario
Pulsando el icono que aparece, se firmar la notificacin con el certificado de firma
reconocido, correspondiente a la persona que formula la notificacin. Una vez firmada,
se enviar la notificacin mediante el formulario electrnico al Registro Telemtico de
la AGPD mediante el botn Generar/Enviar.
Una vez recibida la notificacin en el Registro Telemtico de la AGPD, se emite por el
mismo medio un mensaje de confirmacin de la solicitud, en el que constan los datos
proporcionados por el interesado, junto con la acreditacin de la fecha y hora en que
produjo la recepcin y una clave de identificacin de la transmisin.
-
33 Gua de adaptacin de la LOPD para Entidades Locales
El cdigo AGPD, es el nmero de inscripcin que el Registro General de la Agencia
Espaola de Proteccin de Datos le asigna al fichero. Una vez realizado el envo de la
notificacin, el Registro comunica el cdigo que se asigna.
Figura 11: Confirmacin de recepcin de solicitud
-
34
2.- A travs de Internet sin certificado de firma electrnica reconocido.
En el caso de las notificaciones realizadas a travs de Internet sin firma electrnica,
una vez cumplimentada la notificacin y la hoja de solicitud de forma correcta, se
envan mediante el formulario electrnico pulsando el botn Generar/Enviar que se
encuentra en la hoja de solicitud.
El formulario le indica que se est conectando con el servidor de la AGPD y
seguidamente el sistema enva la hoja de solicitud (en formato PDF) que confirma que
la notificacin ha sido enviada correctamente. Dicha hoja de solicitud, firmada de
forma manual por la persona que efecta la notificacin, es la que se debe remitir a la
AGPD o a alguno de los Registros y oficinas a los que se refiere el Artculo 38.4 de la
Ley 30/1992.
La direccin de la AGPD es:
Agencia Espaola de Proteccin de Datos
Calle Jorge Juan, 6
28001 Madrid
La hoja de solicitud tambin puede enviarse por fax a los nmeros 91 445 25 29 91
448 36 80.
3.- En formato papel con cdigo de barras bidimensional PDF 417
Una vez cumplimentadas la hoja de solicitud, para obtener el modelo que se presenta
en la AGPD, se pulsa el botn Finalizar formulario que se encuentra al final de la
hoja de solicitud generndose el cdigo de barras bidimensional PDF 417 (nube de
puntos), as como el correspondiente cdigo de envo que establece la
correspondencia entre el contenido que figura en cada una de las pginas que
componen el modelo de notificacin y la nube de puntos generada.
-
35 Gua de adaptacin de la LOPD para Entidades Locales
La hoja de solicitud una vez firmada se enva a la direccin de la AGPD, con el cdigo
bidimensional impreso, as como las dos pginas con el contenido de la notificacin en
las que debe figurar el cdigo de envo generado por el formulario electrnico.
En el caso de ficheros de titularidad pblica, debe acompaarse a la notificacin una
copia de la norma o acuerdo de creacin, modificacin o supresin del fichero. Si el
diario oficial en el que se encuentra publicada la norma o acuerdo es accesible desde
Internet, basta con indicar en la notificacin la direccin electrnica de su localizacin.
En la siguiente imagen vemos un ejemplo de un alta de fichero en la Agencia de
Proteccin de Datos:
Figura 12: Alta de Ficheros en la AGPD
-
36
3.5 Redaccin del Documento de Seguridad
El Artculo 9 de la Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos
de Carcter personal, establece en su punto 1 que el responsable del fichero, y, en su
caso, el encargado del tratamiento, debern adoptar las medidas de ndole tcnica y
organizativas necesarias que garanticen la seguridad de los datos de carcter
personal y eviten su alteracin, prdida, tratamiento o acceso no autorizado, habida
cuenta del estado de la tecnologa, la naturaleza de los datos almacenados y los
riesgos a que estn expuestos, ya provengan de la accin humana o del medio fsico o
natural.
En el Real Decreto 1720/2007, de 21 de diciembre, se establecen las medidas de
ndoles tcnicas y organizativas necesarias para garantizar la seguridad que deben
reunir los ficheros, los centros de tratamiento, locales, equipos, sistemas, programas y
las personas que intervengan en el tratamiento de los datos de carcter personal.
Entre estas medidas, se encuentra la elaboracin e implantacin de la normativa de
seguridad mediante un documento de seguridad que recoger las medidas de ndole
tcnica y organizativa acordes a la normativa de seguridad vigente y que ser de
obligado cumplimiento para el personal de acceso a los sistemas de informacin.
Por tanto en este documento deben centrarse todas las polticas, reglas y
procedimientos de seguridad establecidos por el responsable del fichero o tratamiento.
Puede existir un nico documento de seguridad que comprenda a todos los ficheros o
tratamientos, puede haber un documento de seguridad individual para cada fichero o
tratamiento, o podrn elaborarse distintos documentos agrupando ficheros o
tratamientos segn el sistema utilizado en la Entidad. La Agencia Espaola de
Proteccin de Datos recomienda la primera de las opciones, elaborando un nico
documento de seguridad para todos los ficheros.
El documento de seguridad debe contener como mnimo los siguientes aspectos:
-
37 Gua de adaptacin de la LOPD para Entidades Locales
mbito de aplicacin del documento con especificacin detallada de los
recursos protegidos.
Medidas, normas, procedimientos, reglas y estndares encaminados a
garantizar el nivel de seguridad exigido.
Funciones y obligaciones del personal en relacin con el tratamiento de
los datos de carcter personal incluidos en los ficheros.
Estructura de los ficheros con datos de carcter personal y descripcin
de los sistemas de informacin que los tratan.
Procedimiento de notificacin, gestin y respuesta ante las incidencias.
Los procedimientos de realizacin de copias de seguridad y de
recuperacin de los datos en los ficheros o tratamientos automatizados.
Las medidas a adoptar en caso de transporte de documentos y
soportes, as como para la destruccin de los documentos y soportes, o
la reutilizacin de los mismos.
Adems en el caso de que fueran de aplicacin medidas de seguridad de nivel medio
o alto, el documento de seguridad deber contener:
La identidad del responsable o responsables de seguridad.
Los controles peridicos que se deban realizar para verificar el
cumplimiento de lo dispuesto en el propio documento.
Todo el personal de la Entidad que, en el desarrollo de sus funciones tenga acceso a
los datos almacenados en los ficheros, deben conocer y cumplir las medidas de
seguridad contenidas en el documento de seguridad.
El documento se debe mantener actualizado en todo momento y debe ser revisado
siempre que se produzcan cambios relevantes en el sistema de informacin, en el
-
38
sistema de tratamiento empleado, en su organizacin, en el contenido de la
informacin incluidos en los ficheros o tratamientos, o como consecuencia de los
controles peridicos realizados.
-
39 Gua de adaptacin de la LOPD para Entidades Locales
3.5.1 Modelo de documento de seguridad
Con el objeto de facilitar a los responsables de ficheros y a los encargados de
tratamientos de datos personales la adopcin de las disposiciones del Reglamento de
Seguridad, la Agencia Espaola de Proteccin de Datos, dispone de un Modelo de
Documento de Seguridad,
(https://www.agpd.es/upload/Informa%20AEPD/guia_seguridad.pdf) que pretende
servir de gua y facilitar el desarrollo y cumplimiento de la normativa sobre proteccin
de datos.
Como hemos visto antes, el reglamento da varias opciones a la hora de disponer de
uno o varios documentos de seguridad. En este caso el modelo planteado expone un
modelo nico, organizado en dos partes: en la primera se recogen las medidas que
afectan a todos los ficheros y tratamientos de forma comn, y en la segunda se incluye
un anexo por cada fichero o tratamiento, con las medidas que le afecten de forma
especfica.
El contenido principal de este documento queda estructurado como sigue:
I. mbito de aplicacin del documento
En este apartado se explicar que el documento de seguridad se aplica a los
ficheros que contienen datos de carcter personal, a los sistemas de
informacin, soportes y equipos empleados para el tratamiento de los datos de
carcter personal, que deban ser protegidos de acuerdo a lo dispuesto en la
normativa vigente, las personas que intervienen en el tratamiento y los locales
en los que se ubican.
Adems se incluir una relacin de los ficheros o tratamientos de que se
dispone y el nivel de seguridad que les corresponde.
-
40
II. Medidas, normas, procedimientos, reglas y estndares encaminados a
garantizar los niveles de seguridad exigidos en este documento
Identificacin y autenticacin
En este punto se deben especificar las medidas y normativas de
identificacin y autenticacin del personal autorizado para acceder a los
datos personales. En el caso de que la autentificacin se realiza
mediante contrasea se indicar el procedimiento de asignacin,
distribucin y almacenamiento de las mismas, e indicar la periodicidad
con la que se debern cambiar. Tambin habr que incluir los requisitos
que deben cumplir las cadenas utilizadas como contrasea.
En los ficheros con un nivel medio de seguridad, se indicar la
limitacin de intentar reiteradamente el acceso no autorizado al sistema
de informacin.
Control de acceso
Ser necesario indicar que el personal solo acceder a aquellos datos y
recursos que precise para el desarrollo de sus funciones.
Adems se detallarn los mecanismos establecidos por el responsable
del fichero, pare evitar que un usuario pueda acceder a recursos con
derechos distintos a los autorizados.
Tambin ser necesario identificar a la persona autorizada para
conceder, alterar o anular el acceso autorizado sobre los datos y los
recursos, conforme a los criterios establecidos por el responsable del
fichero.
Se especificar cual son los procedimientos para solicitar el alta,
modificacin y baja de las autorizaciones.
-
41 Gua de adaptacin de la LOPD para Entidades Locales
Control de acceso fsico
En el caso de ficheros automatizados y con un nivel de seguridad
medio, se indicar el personal que tiene acceso a los locales donde se
encuentran ubicados los sistemas de informacin.
Registro de accesos
Para los ficheros automatizados, en los accesos a los datos de los
ficheros de nivel alto, se registrar por cada acceso la identificacin del
usuario, fecha y hora, el fichero, el tipo de acceso y si ha sido denegado
o autorizado.
Se debe indicar el periodo de tiempo durante el cual se conservarn los
datos del registro de acceso, que en todo caso ser inferior a dos aos.
Para el caso de de ficheros no automatizados, el acceso a la
documentacin se limitar al personal autorizado, especificando el
mecanismo para identificar los accesos.
Gestin de soportes y documentos
En este punto se debe indicar el lugar de acceso restringido, el personal
autorizado y el procedimiento para habilitar o retirar los permisos de
acceso de aquellos soportes que contengan datos de carcter personal.
Adems se indicar el procedimiento a seguir para dar las oportunas
autorizaciones a la salida de soportes y documentos con datos de
carcter personal fuera de los locales bajo el control del responsable del
tratamiento.
Se indicar como llevar a cabo la destruccin o borrado de soportes, as
como las medidas previstas para evitar la sustraccin, prdida o acceso
indebido a la informacin.
-
42
Registro de entrada y salida de soportes
En el caso concreto de ficheros automatizados y con nivel medio y alto
en medidas de seguridad, se indicar el procedimiento a seguir para su
registro de entrada y salida, as como la gestin de dicho registro.
Gestin y distribucin de soportes
Para los soportes automatizados y con un nivel alto se mostrar en este
punto los criterios de etiquetado.
En el caso de distribucin y salida de soportes que contengan datos de
carcter personal se deber indicar el procedimiento para cifrar los
datos garantizando que la informacin no sea inteligible ni manipulada
durante su transporte.
Para los dispositivos porttiles que vayan a estar fuera de las
instalaciones, y no permitan el cifrado de la informacin se explicar las
medidas alternativas a tomar.
Criterios de archivo para ficheros no automatizados
Establecer los criterios para el archivo de este tipo de ficheros que
garanticen su conservacin, localizacin y la consulta de informacin,
as como posibilitar los derechos de los ciudadanos de acceso,
rectificacin y cancelacin.
Almacenamiento de la informacin
Establecimiento de medidas que impidan el acceso a la informacin que
contengan los ficheros no automatizados.
En el caso de ficheros con un nivel alto de seguridad se indicar los
elementos de almacenamiento, as como los lugares fsicos y de
proteccin con que cuentan.
-
43 Gua de adaptacin de la LOPD para Entidades Locales
Custodia de soportes
Los ficheros no automatizados cuyos datos estn en proceso de
tramitacin, debern ser custodiados por las personas que estn a su
cargo, impidiendo el acceso a personal no autorizado.
Acceso a datos a travs de redes de comunicaciones
En este punto se relacionarn los accesos previstos y los ficheros a los
que se prevea acceder a travs de redes de comunicaciones,
garantizando un nivel de seguridad equivalente al correspondiente en
los accesos en modo local.
En el caso concreto de datos de ficheros automatizados con un nivel
alto de seguridad que se transmitan por redes pblicas o inalmbricas
de comunicaciones electrnicas, stos debern ir cifrados previamente,
indicando los mecanismos de cifrado que se utilicen.
Rgimen de trabajo fuera de los locales de la ubicacin del fichero
Se indicar los ficheros sobre los que se pueda realizar tratamiento
fuera de los locales del responsable del fichero, indicando el periodo de
tiempo de validez y los usuarios concretos.
Traslado de documentacin
Relacionar las medidas implantadas para el traslado de documentacin
no automatizada impidiendo su manipulacin.
Ficheros temporales
Los ficheros temporales o copias de documentos creados
exclusivamente para trabajos temporales o auxiliares, debern cumplir
el nivel de seguridad que les corresponda con arreglo a los criterios
expresados en el reglamento de medidas de seguridad, y sern
-
44
borrados o destruidos una vez que hayan dejado de ser necesarios
para los fines que motivaron su creacin.
Copia o reproduccin
Se indicar el personal autorizado para realizar el control en la
realizacin de copias o reproduccin de los documentos con datos
personales de ficheros no automatizados.
Copias de seguridad
Indicar la periodicidad para la realizacin de copias de respaldo en el
caso de ficheros automatizados.
En el caso de ficheros con nivel alto, se especificar los lugares donde
se guardarn las copias de respaldo.
Responsable de seguridad
En este punto se indicar la persona o personas responsables de
seguridad y el periodo de tiempo de desempeo de su cargo.
III. Procedimiento general de informacin al personal
En este captulo se explicar cual es el procedimiento elegido para informar a
cada persona, en funcin de su perfil, de las normas que debe cumplir y de las
consecuencias de no hacerlo.
IV. Funciones y obligaciones del personal
Este apartado hace referencia a la obligacin que tiene todo el personal que
acceda a datos de carcter personal, de conocer las normas y reglas que le
afectan.
-
45 Gua de adaptacin de la LOPD para Entidades Locales
Por tanto se indicar que el personal notificar al responsable del fichero o de
seguridad las incidencias encontradas.
Tambin se deben incluir las obligaciones detalladas de los responsables de
los ficheros, responsables de seguridad, etc. indicando la persona o el cargo
que corresponde a cada perfil.
V. Procedimiento de notificacin, gestin y respuestas ante las incidencias
Una incidencia de seguridad es un incumplimiento de la normativa desarrollada
en el documento de seguridad o cualquier anomala que afecte a la seguridad
de los datos de carcter personal.
En el caso de ocurrir alguna incidencia es necesario tener descrito en este
punto como se proceder para la notificacin y gestin de incidencias,
indicando quien tiene que notificar la incidencia, a quien y de que modo, as
como quien gestionar la incidencia. Adems se explicar como se guardan las
incidencias y la forma y datos que se registran.
En el caso concreto de ficheros automatizados con un nivel medio y alto de
seguridad se indicar el procedimiento para registrar la recuperacin de datos.
VI. Procedimientos de revisin
Revisin del documento de seguridad
En este punto se especificar el procedimiento para llevar a cabo la
modificacin del documento de seguridad, indicando las personas que
lo harn, lo aprobarn y la comunicacin de las modificaciones al
personal que pueda verse afectado.
Siempre que se produzcan cambios relevantes en el sistema de
informacin o en la organizacin del mismo, se debe revisar y actualizar
el documento de seguridad.
-
46
Auditora
Para el caso concreto de medidas de seguridad de nivel medio se
indicar el procedimiento para la realizacin de las auditorias internas y
externas.
En el caso de ficheros automatizados, se realizar una auditora con
carcter extraordinario cuando se lleven a cabo modificaciones
sustanciales en el sistema de informacin que puedan repercutir en el
cumplimiento de las medidas de seguridad implantadas, con el objeto
de verificar la adaptacin, adecuacin y eficacia de las mismas.
Informe mensual sobre el Registro de accesos
Se indicar en este punto los procedimientos para realizar el informe
mensual sobre el registro de accesos a los datos de nivel alto.
VII. Consecuencias del incumplimiento del Documento de Seguridad
En este apartado se indicarn las sanciones en caso de incumplimiento de las
obligaciones y medidas de seguridad establecidas en el propio documento de
seguridad.
Anexo I. Aspectos especficos relativos a los diferentes ficheros
Deberemos aadir un anexo por cada fichero con datos de carcter personal
que posea la Entidad, indicando en este apartado entre otros los siguientes
datos:
Nombre del fichero o tratamiento.
Unidades con acceso al fichero o tratamiento.
Identificador y nombre del fichero en el RGPD.
Nivel de medidas de seguridad a adoptar
-
47 Gua de adaptacin de la LOPD para Entidades Locales
En el caso de ficheros con un nivel medio de medidas de seguridad, se indicar
la persona designada por el responsable del fichero para coordinar y controlar
dichas medidas. En este caso se incluir adems la siguiente informacin:
Administrador.
Leyes o regulaciones aplicables que afectan al fichero o tratamiento.
Cdigo Tipo Aplicable.
Estructura del fichero principal.
Informacin sobre el fichero o tratamiento.
Servicio o Unidad ante el que puedan ejercitarse los derechos de
acceso, rectificacin, cancelacin y oposicin.
Descripcin detallada de las copias de respaldo y de los procedimientos
de recuperacin.
Informacin sobre conexin con otros sistemas.
Funciones del personal con acceso a los datos personales.
Descripcin de los procedimientos de control de acceso e identificacin.
Relacin actualizada de usuarios con acceso autorizado.
Terceros que acceden a los datos para la prestacin de un servicio.
Relacin de actualizaciones de este Anexo.
Anexo II. Nombramientos
Se adjuntarn originales o copias de los nombramientos de los diferentes
perfiles incluidos en el documento, como el responsable de seguridad, etc.
Anexo III. Autorizaciones firmadas para la salida o recuperacin de datos
-
48
En este apartado se adjuntarn todas las autorizaciones que el responsable del
fichero ha firmado para la salida de soportes que contengan datos de carcter
personal, as como aquellas relativas a la ejecucin de los procedimientos de
recuperacin de datos.
Anexo IV. Inventario de soportes
Si el inventario de soportes se gestiona de forma no automatizada, es decir en
papel, se deber recoger la informacin asociada al mismo.
Anexo V. Registro de Incidencias
Si el registro de incidencias se gestiona en papel, no automatizada, se
recoger en este anexo la informacin al efecto.
Anexo VI. Encargados de tratamiento
Cuando el acceso de un tercero a los datos del responsable del fichero es
necesario para la prestacin de un servicio a este ltimo, no se considera que
exista comunicacin de datos.
Se incluir en este punto el contrato realizado que indique que el encargado
de tratamiento tratar los datos conforme a las instrucciones del responsable
del tratamiento, que no los aplicar o utilizara con fin distinto al que figure en
dicho contrato, ni los comunicarn ni siquiera para su conservacin a otras
personas.
Anexo VII: Registro de entrada y salida de soportes
Si el registro de entrada y salida de soportes, obligatorio a partir del nivel
medio, se gestiona de forma no automatizada, se recoger en este punto dicha
informacin.
-
49 Gua de adaptacin de la LOPD para Entidades Locales
3.6 Aplicacin de las medidas tcnicas necesarias para cada
nivel de seguridad
El Real Decreto 1720/2007 que aprueba el Reglamento de Desarrollo de la LOPD,
establece una serie de medidas que el responsable del fichero deber implementar
para cada nivel de seguridad, agrupados en tres niveles, bsico, medio y alto, la
clasificacin es disjunta pero las medidas de proteccin a llevar a cabo son
progresivas por lo que un determinado nivel presupone o engloba el anterior:
NIVELES DE SEGURIDAD
MEDIDAS DE SEGURIDAD
BASICO MEDIO ALTO
Documento de Seguridad
Funciones y obligaciones del personal
Responsable de seguridad
Registro de incidencias
Identificacin y autentificacin
Control y Registro de acceso
Gestin de soportes y documentos
Copias de respaldo y recuperacin
Auditoria
Telecomunicaciones
Criterios de archivo
Almacenamiento
Custodia soportes
Copia o reproduccin
Traslado documentacin
-
50
Con el nuevo Reglamento se establecen cambios en las medidas de seguridad de
ficheros con datos de carcter personal. Las Entidades debern adecuar sus sistemas
de seguridad de proteccin de datos al nuevo reglamento, para ello la AGPD ha
establecido una serie de periodos de adaptacin desde el 19 de abril de 2008:
Medidas de
seguridad de
nivel bsico
Medidas de
seguridad de
nivel medio
Medidas de
seguridad de
nivel alto
FICHEROS
AUTOMATIZADOS 12 Meses 12 Meses 18 Meses
FICHEROS NO
AUTOMATIZADOS 12 Meses 18 Meses 24 Meses
Los ficheros, tanto automatizados como no automatizados, creados con posterioridad
a la fecha de entrada en vigor del nuevo Reglamento, deben tener implantadas desde
el momento de su creacin la totalidad de las medidas de seguridad reguladas.
Segn el Titulo VIII del Real Decreto 1720/2007, el Documento de Seguridad debe
contemplar no solo las medidas de seguridad para ficheros automatizados, sino
tambin deber cumplir las medidas de seguridad de los ficheros no automatizados.
A continuacin mostramos las medidas de seguridad para cada nivel, indicando en
color negro las medidas que se mantienen respecto al Reglamento de Medidas de
Seguridad, Real Decreto 994/1999, de 11 de Junio, en azul las medidas nuevas que
aparecen en el Reglamento de desarrollo de la Ley, Real Decreto1720/2007, y en gris
las que desaparecen con respecto al anterior:
-
51 Gua de adaptacin de la LOPD para Entidades Locales
Documento de Seguridad
Medidas de Seguridad de nivel Bsico
Medidas de seguridad de nivel Medio
Medidas de seguridad de nivel Alto
mbito de aplicacin: especificacin detallada de los recursos protegidos
Medidas, normas, procedimientos, reglas y estndares de seguridad
Funciones y obligaciones del personal
Estructura y descripcin de ficheros y sistemas de informacin
Procedimientos de notificacin, gestin y respuesta ante incidencias
Procedimientos realizacin de copias de respaldo y recuperacin de datos
Medidas a adoptar para el transporte, as como en caso de reutilizacin o desecho de soportes (utilizando medidas para evitar el acceso o recuperacin de informacin)
Tratamiento de datos por cuenta de terceros en case a una relacin contractual (Prestacin de servicios). Podr delegarse en el proveedor de servicios la llevanza del documento de seguridad
Identificacin del responsable de seguridad
Control peridico del cumplimiento del documento
Medidas a adoptar en caso de reutilizacin o eliminacin de soportes
Funciones y obligaciones para el personal
Medidas de Seguridad de nivel Bsico
Medidas de seguridad de nivel Medio
Medidas de seguridad de nivel Alto
Funciones y obligaciones claramente definidas y documentadas
Funciones de control o autorizaciones delegadas claramente definidas y documentadas
Difusin, entre el personal, de las normas que les afecten y de las consecuencias por el incumplimiento
-
52
Responsable de seguridad
Medidas de Seguridad de nivel Bsico
Medidas de seguridad de nivel Medio
Medidas de seguridad de nivel Alto
Uno o varios, nombrados por el Responsable del fichero
Encargado de coordinar y controlar las medidas recogidas en el documento de seguridad
Designacin nica del responsable para todos los ficheros o diferenciando segn sistema de tratamiento
No supone delegacin de responsabilidad, por parte del Responsable del fichero
Registro de Incidencias
Medidas de Seguridad de nivel Bsico
Medidas de seguridad de nivel Medio
Medidas de seguridad de nivel Alto
Registro de incidencias: tipo, momento de su deteccin, persona que la notifica, persona a la que se comunica, los efectos derivados y las medidas correctoras aplicadas.
Procedimiento de notificacin y gestin de las incidencias:
SOLO FICHEROS AUTOMATIZADOS
Registrar la realizacin de procedimientos de recuperacin de los datos, persona que los ejecuta, datos restaurados y aquellos que hayan tenido que ser grabados manualmente
Autorizacin por escrito del Responsable del fichero para la ejecucin de los procedimientos de recuperacin.
-
53 Gua de adaptacin de la LOPD para Entidades Locales
Identificacin y Autentificacin
Medidas de Seguridad de nivel Bsico
Medidas de seguridad de nivel Medio
Medidas de seguridad de nivel Alto
SOLO FICHEROS AUTOMATIZADOS
Relacin actualizada de usuarios y accesos autorizados (control de acceso)
Procedimientos de identificacin y autentificacin personalizada.
Procedimientos de asignacin, distribucin de contraseas
Almacenamiento ininteligible de contraseas activas
Periodicidad con que se cambian las contraseas (caducidad), en ningn caso superior a un ao.
SOLO FICHEROS AUTOMATIZADOS
Se establecer el mecanismo que permita la identificacin, de forma inequvoca y personalizada, de todo usuario y la verificacin de que est autorizado
Limite de intentos reiterados de acceso no autorizado
-
54
Control y Registro de acceso
Medidas de Seguridad de nivel Bsico
Medidas de seguridad de nivel Medio
Medidas de seguridad de nivel Alto
Control de accesos permitidos a cada usuario segn las funciones asignadas.
Relacin actualizada de usuarios, perfiles de usuario, y accesos autorizados
Mecanismos que eviten el acceso a datos o recursos con derechos distintos de los autorizados
Concesin de permisos de acceso, slo por personal autorizado
Medidas extensivas al personal ajeno con acceso a los recursos de informacin
SOLO FICHEROS AUTOMATIZADOS
Control de acceso fsico a los locales donde se encuentren ubicados los sistemas de informacin
SOLO FICHEROS AUTOMATIZADOS
Registrar usuario, hora, fichero accedido, si ha sido denegado o autorizado, tipo de acceso y registro accedido.
Control por parte del Responsable de Seguridad (informe mensual)
Conservacin por 2 aos de los registros
No ser necesario: o Que el responsable
del fichero o del tratamiento sea un persona fsica
o Que el responsable del fichero o tratamiento garantice que nicamente l tiene acceso y los trata.
SOLO FICHEROS NO AUTOMATIZADOS
Control de accesos autorizados
Identificacin accesos para documentos accesibles por mltiples usuarios
-
55 Gua de adaptacin de la LOPD para Entidades Locales
Gestin de soportes y documentos
Medidas de Seguridad de nivel Bsico
Medidas de seguridad de nivel Medio
Medidas de seguridad de nivel Alto
Inventario de soportes
Identificacin del tipo de informacin que contienen, o sistema de etiquetado
Acceso restringido al lugar de almacenamiento
Autorizacin de las salidas de soportes (incluidas a travs de e-mail)
Medidas para el transporte y el desecho de soportes
SOLO FICHEROS AUTOMATIZADOS
Registro de entrada y salida de soportes: documento o soporte, fecha, emisor/destinatario, nmero, tipo de informacin, forma de envo, responsable autorizada para recepcin/entrega
Medidas para impedir la recuperacin posterior de datos de un soporte que vaya a ser desechado o reutilizado
Medidas que impidan la recuperacin indebida de la informacin almacenada en un soporte que vaya a salir como consecuencia de operaciones de mantenimiento
SOLO FICHEROS AUTOMATIZADOS
Etiquetado de soportes comprensible para los usuarios autorizados y complejo de descifrar para el resto de usuarios.
Cifrado de datos en la distribucin de soportes
Cifrado de datos de dispositivos porttiles cuando estn fuera de los locales del responsable del fichero
No utilizacin (tratamiento) de datos de carcter personal en dispositivos porttiles que no permitan su cifrado. (En caso contrario, motivacin justificada en el Documento de Seguridad y adopcin de contramedidas oportunas)
-
56
Copias de respaldo y recuperacin
Medidas de Seguridad de nivel Bsico
Medidas de seguridad de nivel Medio
Medidas de seguridad de nivel Alto
SOLO FICHEROS AUTOMATIZADOS
Verificar la definicin, funcionamiento y aplicacin de los procedimientos de copia y recuperacin, al menos cada seis meses.
Copia de respaldo semanal.
Garantizar la reconstruccin de los datos en el estado en que se encontraban en el momento de producirse la prdida o destruccin. Solo en el caso de existencia de documentacin y que la copia semanal no permitiera alcanzar este objetivo se proceder a grabar manualmente los datos que corresponda
Las pruebas no se realizarn con datos reales, salvo que se registren y se asegure un nivel de seguridad adecuado. En caso de realizar una prueba con datos reales se deber de efectuar copia de seguridad.
SOLO FICHEROS AUTOMATIZADOS
Copia de respaldo y procedimientos de recuperacin en lugar diferente a aqul en el que se encuentren los equipos o utilizando elementos que garanticen la integridad y recuperacin de la informacin, de forma que sea posible su recuperacin
-
57 Gua de adaptacin de la LOPD para Entidades Locales
Auditorias
Medidas de Seguridad de nivel Bsico
Medidas de seguridad de nivel Medio
Medidas de seguridad de nivel Alto
Al menos, bienal, interna o externa. Con carcter extraordinario, siempre que se realicen modificaciones en el SI que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas. (Iniciar un nuevo cmputo de dos aos)
Verificacin y control de la adecuacin de las medidas
Informe de deteccin de deficiencias y propuestas correctoras
Anlisis del responsable de seguridad y conclusiones al responsable del fichero o tratamiento
Adopcin de las medidas correctoras adecuadas
Telecomunicaciones
Medidas de Seguridad de nivel Bsico
Medidas de seguridad de nivel Medio
Medidas de seguridad de nivel Alto
SOLO FICHEROS AUTOMATIZADOS
La transmisin de datos de carcter personal a travs de redes pblicas o redes inalmbricas de comunicaciones electrnicas se realizar cifrando dichos datos.
-
58
Criterios de archivo
Medidas de Seguridad de nivel Bsico
Medidas de seguridad de nivel Medio
Medidas de seguridad de nivel Alto
SOLO FICHEROS NO AUTOMATIZADOS
El archivo de los documentos debe realizarse segn criterios que faciliten su consulta y localizacin para garantizar el ejercicio de los derechos de acceso, rectificacin, cancelacin y oposicin
Almacenamiento
Medidas de Seguridad de nivel Bsico
Medidas de seguridad de nivel Medio
Medidas de seguridad de nivel Alto
SOLO FICHEROS NO AUTOMATIZADOS
Dispositivos de almacenamiento dotados de mecanismos que obstaculicen su apertura
SOLO FICHEROS NO AUTOMATIZADOS
Armarios, archivadores, etc. de documentos en reas con acceso protegido con puertas con llave.
-
59 Gua de adaptacin de la LOPD para Entidades Locales
Custodia soportes
Medidas de Seguridad de nivel Bsico
Medidas de seguridad de nivel Medio
Medidas de seguridad de nivel Alto
SOLO FICHEROS NO AUTOMATIZADOS
Durante la revisin o tramitacin de los documentos, la persona a cargo de los mismos debe ser diligente y custodiarla para evitar accesos no autorizados.
Copia o reproduccin
Medidas de Seguridad de nivel Bsico
Medidas de seguridad de nivel Medio
Medidas de seguridad de nivel Alto
SOLO FICHEROS NO AUTOMATIZADOS
Slo puede realizarse por los usuarios autorizados.
Destruccin de copias desechadas.
Traslado documentacin
Medidas de Seguridad de nivel Bsico
Medidas de seguridad de nivel Medio
Medidas de seguridad de nivel Alto
SOLO FICHEROS NO AUTOMATIZADOS
Medidas que impidan el acceso o manipulacin.
-
60
3.7 Auditoras
A partir de un nivel medio en las medidas de seguridad de los ficheros de carcter
personal, los sistemas de informacin e instalaciones de tratamiento y
almacenamiento de datos se sometern, al menos cada dos aos, a una auditoria
interna o externa que verifique el cumplimiento de las medidas de seguridad.
Adems siempre que se realicen modificaciones sustanciales en el sistema de
informacin que puedan repercutir en el cumplimiento de las medidas de seguridad, se
realizar una auditoria extraordinaria.
Pasos en la realizacin de las auditorias:
En primer lugar ser necesario identificar los ficheros que contienen datos de
carcter personal objeto de la auditora, tratamiento sobre los mismos, sistema de
tratamiento, procedimientos, etc.
Posteriormente se procede a identificar el nivel de medidas de seguridad que debe
ser adoptado en base a la naturaleza de la informacin que contengan los
diferentes ficheros que son tratados por parte de la Entidad o responsable del
fichero. En funcin del nivel de seguridad, se reflejaran las medidas a adoptar
para cada uno de los ficheros y se comprobara si estas medidas se han
establecido en la Entidad. En el caso de que la auditoria la realice una empresa
externa, sta no necesita en ningn caso visualizar los datos personales de los
ficheros, sino que le basta con conocer los campos que contienen.
En el punto IV, del Modelo de Documento de Seguridad que ofrece la Agencia
Espaola de Proteccin de Datos existe una relacin de algunas de las
comprobaciones que se pueden realizar para la realizacin de la auditora de
seguridad y poder verificar el cumplimiento de las disposiciones del Reglamento.
-
61 Gua de adaptacin de la LOPD para Entidades Locales
Como resultado de la auditoria se generarn dos tipos de informes:
o Unos informes preliminares por fichero, que incluya:
Adecuacin de las medidas y controles establecidas a lo
dispuesto en el Ttulo VIII del Reglamento.
Identificacin de deficiencias y propuesta de medidas
correctoras o complementarias.
Incluir los datos, hechos y observaciones en que se basen los
dictmenes alcanzados y recomendaciones propuestas.
Ser analizado por el responsable de seguridad, y elevar sus
conclusiones al responsable del fichero para que adopte las
medidas adecuadas.
o Un informe final de Auditoria por fichero, una vez subsanadas las
irregularidades, que recoja los cumplimientos, incumplimientos y
recomendaciones.
Como ltimo paso, los informes de auditora son revisados por el responsable de
seguridad, que notifica las conclusiones al responsable del fichero o tratamiento
para que adopte las medidas correctoras adecuadas y quedarn a disposicin de
la AGPD.
-
62
4 Consideraciones especiales
En el manejo de datos de carcter personal, las Entidades Pblicas debern tener en
cuenta una serie de consideraciones:
Advertencia y consentimiento en la recogida de datos de carcter personal.
Comunicacin de datos entre Administraciones Pblicas.
Regulacin de movimientos con terceros.
Transferencia internacional de datos.
Derechos de acceso, rectificacin, cancelacin y oposicin de los
ciudadanos.
-
63 Gua de adaptacin de la LOPD para Entidades Locales
4.1 Advertencia y consentimiento en la recogida de datos de
carcter personal
Los Artculos 5 y 6 de la LOPD nos hablan tanto del derecho de informacin en la
recogida de datos como del consentimiento del afectado en el tratamiento de los
mismos, como conceptos que hay que diferenciar.
Informacin en la recogida de Datos:
La LOPD indica que los interesados a los que se soliciten datos personales debern
ser previamente informados de modo expreso, preciso e inequvoco:
De la existencia de un fichero o tratamiento de datos de carcter personal,
de la finalidad de la recogida de stos y de los destinatarios de la
informacin.
Del carcter obligatorio o facultativo de su respuesta a las preguntas que le
sean planteadas.
De las consecuencias de la obtencin de los datos o de la negativa a
suministrarlos.
De la posibilidad de ejercitar los derechos de acceso, rectificacin,
cancelacin y oposicin.
De la identidad y direccin del responsable del fichero o su representante.
Por lo tanto, en el momento en que una Entidad vaya a realizar una recogida de datos
de carcter personal, y se utilicen cuestionarios u otros impresos, se podr aadir
como clusula las advertencias anteriores. En caso de no existir dicho cuestionario, se
realizar un impreso independiente con la clusula y que la persona firme, de manera
que quede constancia de que ha sido informado y de que da su consentimiento a la
recogida de datos y a su tratamiento.
Cuando los datos de carcter personal no hayan sido recabados del interesado, ste
debe ser informado de forma expresa, precisa e inequvoca por el responsable del
-
64
fichero o su representante dentro de los tres meses siguientes al momento del registro
de los datos, salvo que ya hubiera sido informado con anterioridad.
Este derecho de informacin no ser necesario en los siguientes casos:
Cuando lo prevea expresamente una Ley.
Cuando el tratamiento tenga fines histricos, estadsticos o cientficos.
Cuando la informacin al interesado resulte imposible o exija esfuerzos
desproporcionados, a criterios de la Agencia Espaola de Proteccin de
Datos.
Cuando los datos procedan de fuentes accesibles al pblico y se destinen a
la actividad de publicidad, prospeccin comercial, en cuyo caso en cada
comunicacin que se dirija al interesado se le informar del origen de los
datos y de la identidad del responsable del tratamiento.
Consentimiento del afectado:
El responsable del tratamiento deber obtener el consentimiento del interesado para el
tratamiento de sus datos de carcter personal, salvo en aquellos supuestos en que no
sea exigible con arreglo a lo dispuesto en las leyes.
La solicitud del consentimiento deber ir referida a un tratamiento o serie de
tratamientos concretos, con delimitacin de la finalidad para los que se recaba, as
como de las restantes condiciones que concurran en el tratamiento o serie de
tratamientos.
Este consentimiento no ser necesario en los siguientes casos:
Cuando los datos de carcter personal se recojan para el ejercicio de las
funciones propias de las Administraciones Pblicas en el mbito de sus
competencias.
-
65 Gua de adaptacin de la LOPD para Entidades Locales
Cuando se refieran a las partes de un contrato o precontrato de una
relacin comercial, laboral o administrativa y sean necesarios para su
mantenimiento o cumplimiento.
Cuando el tratamiento de datos tenga por finalidad proteger un inters vital
del interesado.
Cuando los datos se encuentren en fuentes accesibles al pblico y haya un
inters legtimo del responsable del fichero o del destinatario de los datos.
Los datos de carcter personal solo se podrn recoger para su tratamiento y no
podrn usarse para finalidades incompatibles con aquellas para las que los datos
hubieran sido recogidos.
Los datos de carcter personal recogidos debern ser tratados de forma leal y lcita y
siempre atendiendo a los siguientes principios de calidad de los datos:
Debern ser recogidos para el cumplimiento de finalidades determinadas,
explcitas y legtimas del responsable del tratamiento.
Solo podrn ser objeto de tratamiento los datos que sean adecuados,
pertinentes y no excesivos en relacin con las finalidades determinadas,
explcitas y legtimas para las que se hayan obtenidos.
Los datos deben ser exactos y puestos al da de forma que respondan con
veracidad a la situacin actual del afectado.
Los datos sern cancelados cuando ya no sean necesarios para la finalidad
para la que se recogieron.
Los datos de carcter personal sern tratados de forma que permitan el
ejercicio de acceso, en tanto no proceda su cancelacin.
El responsable del fichero o tratamiento y quienes intervengan en cualquier fase del
tratamiento de los datos de carcter personal estn obligados al secreto profesional
-
66
respecto de los mismos y al deber de guardarlos, estas obligaciones subsistirn
incluso despus de finalizar su relacin con el titular del fichero o con el responsable
del mismo.
La clusula de recogida de datos es el documento que se debe utilizar como nota
legal para figurar en todos los contratos, folletos o formularios en los cuales se lleve a
cabo una recogida de datos de carcter personal.
En la pgina siguiente podemos ver dos ejemplos de clusulas de recogida de datos
de carcter personal, un modelo sin cesin de datos y otro con la cesin de datos.
-
67 Gua de adaptacin de la LOPD para Entidades Locales
Figura 13: Clusula de recogida de datos de carcter personal
MODELO DE CLASULA DE RECOGIDA DE DATOS DE CARCTER PERSONAL
TEXTO SIN CESIN DE DATOS Los datos recabados, conforme a lo previsto en la Ley Orgnica 15/1999 de Proteccin de Datos de Carcter Personal, en el presente contrato sern incluidos en un fichero denominado (Nombre del fichero ante la AEPD), inscrito en el Registro General de la Agencia Espaola de Proteccin de Datos y cuya titularidad pertenece a (nombre de la Entidad direccin), en adelante Responsable del Fichero. La finalidad de esta recogida de datos de carcter personal es (indicar finalidades). En caso de negarse a comunicar los datos, podra ser imposible mantener cualquier tipo de relacin (administrativa, comercial o laboral) con usted. Vd. da, como titular de los datos, su consentimiento y autorizacin al Responsable del Fichero para la inclusin de los mismos en el fichero ut supra detallado. En cualquier caso, podr ejercitar gratuitamente los derechos de acceso, rectificacin, cancelacin y oposicin (siempre de acuerdo con los supuestos contemplados por la legislacin vigente) dirigindose a (nombre de la entidad), con direccin (direccin), o bien y con carcter previo a tal actuacin, solicitar con las mismas seas que le sean remitidos los impresos que el Responsable del Fichero dispone a tal efecto. Por todo ello, para que conste a los efectos oportunos, Vd. Muestra su conformidad con lo que en esta clusula detallado, de acuerdo con la firma estampada en el documento al que esta clusula figura anexionado.
-
68
Figura 14: Clusula de recogida de datos de carcter personal con cesin de
datos
MODELO DE CLASULA DE RECOGIDA DE DATOS DE CARCTER PERSONAL
TEXTO CON CESIN DE DATOS Los datos recabados, conforme a lo previsto en la Ley Orgnica 15/1999 de Proteccin de Datos de Carcter Personal, en el presente contrato sern incluidos en un fichero denominado (Nombre del fichero ante la AEPD), inscrito en el Registro General de la Agencia Espaola de Proteccin de Datos y cuya titularidad pertenece a (nombre de la Entidad direccin), en adelante Responsable del Fichero. Asimismo, el titular de los datos autoriza expresamente a ceder los mismos a las siguientes organizaciones: (listado de empresas u organizaciones), con la finalidad de que estas compaas puedan remitir, por cualquier medio, informacin sobre sus respectivos servicios, productos, ofertas o promociones especiales (incluir ms u otras finalidades si fuere oportuno). Para ello el Responsable del Fichero ceder, con la finalidad indicada, los siguientes datos de carcter personal: (listado de datos cedidos), pudiendo Vd. en todo caso ejercitar los derechos que le asisten y que, a rengln seguido, se especifican. La finalidad de esta recogida de datos de carcter personal es: (indicar la finalidad de la recogida). En caso de negarse a comunicar los datos, podra ser imposible mantener cualquier tipo de relacin (administrativa, comercial o laboral) con usted. Vd. da, como titular de los datos, su consentimiento y autorizacin al Responsable del Fichero para la inclusin de los mismos en el fichero ut supra detallado. As mismo, declara estar informado de las condiciones y cesiones detalladas en la presente clusula y, en cualquier caso, podr ejercitar gratuitamente los derechos de acceso, rectificacin, cancelacin y oposicin (siempre de acuerdo con los supuestos contemplados por la legislacin vigente) dirigindose a (nombre de la entidad), con direccin (direccin), o bien y con carcter previo a tal actuacin, solicitar con las mismas seas que le sean remitidos los impresos que el Responsable del Fichero dispone a tal efecto. En caso de que se oponga a la cesin de sus datos en los trminos previstos marque una cruz en esta casilla. En caso contrario, se entender que presta su consentimiento tcito a tal efecto.
-
69 Gua de adaptacin de la LOPD para Entidades Locales
El responsable del fichero o tratamiento deber conservar el soporte en el que consten
estas clusulas. Para el almacenamiento de los soportes, el responsable del fichero o
tratamiento podr utilizar medios informticos o telemticos. En particular podr
proceder al escaneado de la documentacin en soporte papel, siempre y cuando se
garantice que en dicha automatizacin no ha mediado alteracin alguna de los
soportes originales.
Consentimiento para el tratamiento de datos de menores de edad:
Segn el artculo 13 del Reglamento de desarrollo de la LOPD, podr procederse al
tratamiento de los datos de mayores de catorce aos con su consentimiento salvo en
aquellos casos en los que la Ley exija para su prestacin la asistencia de los titulares
de la patria potestad o tutela. En el caso de los menores de catorce aos se requerir
el consentimiento de los padres o tutores.
No podrn obtenerse datos del menor que permita obtener informacin sobre los
dems miembros del grupo familiar, como datos relativos a la actividad profesional de
sus progenitores, informacin econmica, etc. No obstante si podr recabarse
informacin de la identificacin y direccin de los padres o tutores con la finalidad de
recabar la autorizacin necesaria.
La informacin dirigida a menores de edad deber expresarse en un lenguaje que sea
fcilmente comprensible por ellos.
La figura del responsable del fichero o tratamiento es el responsable de garantizar que
se ha comprobado de modo efectivo la edad del menor y la autenticidad del
consentimiento recabado a sus padres o tutores.
-
70
4.2 Comunicacin de datos entre Administraciones Pblicas
En el caso de datos de carcter personal elaborados o recogidos por las
Administraciones Pblicas para el desarrollo de sus funciones no sern comunicados a
otras Administraciones Pblicas para el ejercicio de competencias diferentes o de
competencias que versen sobre materias distintas, salvo cuando la comunicacin
hubiera sido prevista por las disposiciones de creacin del fichero o por disposicin de
rango superior que regule su uso o cuando la comunicacin tenga por objeto el
tratamiento posterior de los datos con fines histricos, estadsticos o cientficos.
Se permite la comunicacin de datos entre Administraciones Pblicas cuando una de
ellas obtenga o elabore los datos con destino a otra.
En estos casos no ser necesario el consentimiento previo del interesado.
No obstante la comunicacin de datos recogidos de fuentes accesibles al pblico no
podr efectuarse a ficheros de titularidad privada, slo con el consentimiento del
interesado.
-
71 Gua de adaptacin de la LOPD para Entidades Locales
4.3 Regulacin del movimiento con terceros
Los datos de carcter personal objeto del tratamiento slo podrn ser comunicados a
un tercero para el cumplimiento de fines directamente relacionados con la funciones
legitimas del cedente y del cesionario con el previo consentimiento del interesado.
Esta relacin cedente/cesionario debe plasmarse a travs de un contrato de cesin de
datos de carcter personal.
De cara a la cesin de datos no ser preciso el consentimiento ni un soporte
contractual cuando:
Cuando la cesin est autorizada en una Ley.
Cuando se trate de datos recogidos de fuentes accesibles al pblico.
Cuando el tratamiento responda a la libre y legtima aceptacin de una
relacin jurdica cuyo desarrollo, cumplimiento y control implique
necesariamente la conexin de dicho tratamiento con ficheros de terceros.
En este caso la comunicacin slo ser legtima en cuanto se limite a la
finalidad que la justifique.
Cuando la comunicacin que deba efectuarse tenga por destinatario al
Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el
Tribunal de Cuentas, o a las instituciones autonmicas con func