guia practica lopd 2011

5/10/2018 GUIA PRACTICA LOPD 2011 - slidepdf.com

http://slidepdf.com/reader/full/guia-practica-lopd-2011 1/41

INNOVACION PYME

GUÍA PRÁCTICA PARA EL

CUMPLIMIENTO CON LA LOPD Consideraciones a tener en cuenta por el emprendedor o

empresario para el tratamiento de datos de carácter personal en

el ámbito de la empresa y en el ejercicio profesional

FRANCISCO PARDO PARDO

23/09/2011

Con el auspicio y patrocinio del

Instituto Municipal para la Formación y el Empleo

del Ayuntamiento de Málaga.

Este documento pretende servir al lector de guía para el cumplimiento con la legislación vigente en materia de protección de datos de carácter personal. (Ley 15/1999) y su Reglamento de Desarrollo (RD 1720/2007)También incluye consideraciones a tener en cuenta para el cumplimiento de la LSSI-CE. Ley 32/2002 de los Servicios dela Sociedad de la Información y el Comercio Electrónico. No se pretende realizar un análisis exhaustivo de la legislaciónvigente sino más bien, establecer una guía práctica de las acciones que se han de tomar en el ámbito de la organización para cumplir con el marco legal vigente en dicha materia. Con esta guía como marco de referencia, el lector debería ser capaz de llevar a cabo las acciones necesarias para implantar en su organización las medidas de carácter técnico y jurídico necesarias para que se cumpla con la normativa legal de la LOPD vigente al día de hoy.

http://www.imfe.malaga.eu/



CONTENIDO

Antecedentes.

Marco Legal en España

o Constitución Españolao Ley Orgánica de Protección de Datos de Carácter Personal y su Reglamento de Desarrollo.

o Ley de los Servicios de la Sociedad de la Información y Comercio Electrónico - LSSI – CE.

Conceptos y terminología.

o Sistema de Información.

o Ficheros Físicos y Jurídicos

o Tratamiento de la información

Responsabilidades desde el punto de vista de la LOPD:

o Responsable del fichero

o Responsable de seguridad

o Responsable de tratamiento

Temas y Conceptos a desarrollar.

o Ficheros Físicos y Jurídicos, Definición e Identificación.

o Niveles de seguridad de los Ficheros según los datos tratados ,

o Inscripción de Ficheros en el Registro de la AEPD

o Figura del responsable del fichero.

Responsabilidades frente a la Ley.

Responsabilidades en la organización.

o Figura del Encargados de Tratamiento externo. Obligaciones legales.

o Documentación obligatoria y su mantenimiento.

o Recogida y tratamiento de datos de carácter personal.

EL deber de información.

Derechos de Acceso Rectificación Cancelación y Oposición. (ARCO)

Envío de Comunicaciones Comerciales - SPAM

Régimen Sancionador

Apendice I

Aviso legal y política de privacidad para páginas Web



INNOVACIÓN PYME


SEMINARIO PRÁCTICO DE ADAPTACIÓN A LA LOPD septiembre 2011 Pág. 1

Antecedentes.En 1952, una unidad de UNIVAC, el primer ordenador de uso no militar, fue utilizada para procesar losencuestas electorales a pie de urna de las elecciones presidenciales entre Eisenhower y Stevenson enEE.UU. La identidad del vencedor, Eisenhower, fue predicha por UNI-VAC 45 minutos después del cierre delos colegios electorales estadounidenses.

Podríamos decir que desde entonces, el vertiginoso avance de las tecnologías de la información y comunicaciones (TIC) ha propiciado el manejo de una gran cantidad de información sobre las personas, sinapenas problemas de espacia y tiempo. Lo que en un principio aparecía como un gran logra Científico y técnico, pronto se convirtió en una herramienta de control social, al alcance de cualquiera Fruto de esta

percepción, los diferentes gobiernos del mundo occidental se han preocupado en mayor o menor medidade establecer leyes que protejan al ciudadano frente a un uso incorrecto de sus datos personales.Esta materia puede ser abordada desde dos puntos de vista:

- -Por un lado, el de las empresas v Administraciones Publicas que tratan numerosos datos decarácter personal. Aquí el enfoque correcto no debería ser, como es habitual. el temor a posiblessanciones o expedientes disciplinarios sin el debido respeto a la intimidad de las personas.

- Par otro lado, el de las personas físicas. Todos hemos sido víctimas en mayor a menar medida deun mal uso de nuestros datos personales (e.g. envío de comunicaciones comerciales noconsentidas, utilización de datos sin actualizar o erróneos, etc.)

La protección de datos como derecho fundamental.

La preocupación por la protección de la privacidad de las personas comienza ya en la década de los 60,cuando en el seno del Consejo de Europa se constituyó una comisión consultiva para estudiar el peligropotencial de las tecnologías de la información en lo que respecta a los derechos elementales de lapersona.

Fruto de esta preocupación se adopta la resolución 509, de 1968, de la Asamblea del Consejo de Europa,sobre los derechos humanos y los nuevos logros científicos y técnicos que pretendía desarrollar elartículo 8 del Convenio Europeo de Derechos Humanos referido al derecho al respeto a la vida privada yfamiliar.

Más tarde, en 1981, la firma del Convenio 108 del Consejo de Europa para la protección de las personas

con respecto al tratamiento automatizado de datos de carácter personal, supondría el primer esfuerzo anivel internacional para regular el tratamiento automatizado de datos de carácter personal.

Así, el objetivo de este Convenio es "garantizar, en el territorio de cada Parte, a cualquier persona físicasean cuales fueren su nacionalidad o su residencia, el respeto de sus derechos y libertadesfundamentales, concretamente su derecho a la vida privada, con respecto al tratamiento automatizadode los datos de carácter personal correspondientes a dicha persona" En España, en el año 1978 sepromulga la Constitución Española, la cual en su artículo 18.1 señala que "se garantiza el derecho alhonor, a la intimidad personal y familiar yola propia imagen".

Como consecuencia de este mandato, en 1982 entra en vigor la Ley Orgánica 1/1982, de 5 de mayo, deProtección Civil del Derecho al Honor, a la Intimidad Personal y Familiar y a la Propia Imagen.

Asimismo, el artículo 18.4 de la Constitución Española señala que "la ley limitará el uso de la informática

para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de susderechos" .

Artículos 18.1 Y 18.4 de la Constitución Española:"Se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen"."La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de losciudadanos y el pleno ejercido de sus derechos",

Sin embargo, tendrían que pasar 14 años hasta que se promulgase una norma que desarrollase dichoartículo. Dicha norma sería la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del TratamientoAutomatizado de los Datos de Carácter Personal (LORTAD).

El ámbito de aplicación de esta norma se refería exclusivamente a los datos de carácter personalregistrados en soporte físico sobre los que se realizase un tratamiento automatizado.




INNOVACIÓN PYME



En Europa, en el año 1995, se promulga la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamientode datos personales y la libre circulación de esos datos, en un intento por establecer un marco comúnpara los países miembros en materia de protección de datos personales para garantizar así la librecirculación de datos personales de un Estado miembro a otro, así como la protección de los derechosfundamentales de las personas.

Esta directiva en su artículo 3, ésta señala lo siguiente:"las disposiciones de la presente Directiva se aplicarán al tratamiento total o parcialmente automatizadode datos personales, así como al tratamiento no automatizado de datos personales contenidos odestinados a ser incluidos en un fichero".

España disponía, de tres años1

Esto suponía dejar atrás la LORTAD, que únicamente regulaba tratamientos automatizados de datospersonales, aprobándose en 1999 la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datosde Carácter Personal (LOPD) referida a todo tipo de tratamientos de datos personales, fueranautomatizados o no.

a contar desde la adopción de la Directiva, para transponer a su

legislación nacional las disposiciones legales, reglamentarias y administrativas necesarias para darcumplimiento a lo establecido en la misma.

Marco Legal en España.En la actualidad, a nivel nacional, conviven las siguientes normas en materia de protección de datos decarácter personal:

• Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de Octubre de 1995, relativa ala protección de las personas físicas en lo que respecta al tratamiento de datos personales y ala libre circulación de datos.

• Ley Orgánica 15/1999, de 13 de Diciembre, de Protección de Datos de Carácter Personal.

• Instrucciones de la Agencia de Protección de Datos.

• Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento dedesarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter

personal.• Ley 34/2002, de 11 de julio de Servicios de la Sociedad de Información y Comercio Electrónico.

Hemos de tener en cuenta lo establecido en las Instrucciones dictadas por la Agencia Española deProtección de Datos al amparo de lo establecido en el artículo 37.c de la LOPD que señala lo siguiente:

"son funciones de la AEPD dictar, en su caso, y sin perjuicio de las competencias de otrosórganos, las instrucciones precisas para adecuar los tratamientos a los principios de fa presenteLey".

Las instrucciones actualmente en vigor son las siguientes:

• Instrucción 1/2000, de 1 de diciembre, de la AEPD, relativa a las normas por las que se rigen los

movimientos internacionales de datos.

• Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre

publicación de sus Resoluciones.

En relación al carácter vinculante de las Instrucciones de la Agencia Española de Protección de Datos,

debemos tener en cuenta la sentencia de la Audiencia Nacional de 15 de marzo de 2002 en la que ante

la discusión acerca de la validez de la Instrucción 1/2000, sobre Transferencia Internacional de Datos, ya

1De acuerdo con el artículo 32 de la Directiva




INNOVACIÓN PYME



que algunos de sus principios eran más estrictos que lo recogido en la LOPD, la Audiencia anuló algunos

de dichos preceptos, recordando la sumisión a la Ley de las Instrucciones de la Agencia Española de

Protección de Datos.

Ámbito de aplicación de la Ley Orgánica de Protección de Datos de Carácter

Personal.La Ley Orgánica de Protección de Datos de Carácter Personal, en su artículo 2, delimita el ámbito deaplicación objetivo de la misma señalando que:

"será de aplicación a los datos de carácter personal registrados en soporte físico que los hagasusceptibles de tratamiento, y a toda modalidad de uso posterior de esos datos por los sectores público y privado".

En este punto es importante destacar la gran diferencia que existe con la derogada LORTAD que seaplicaba únicamente a tratamientos automatizados de datos de carácter personal, mientras que la LOPDse refiere tanto a tratamientos automatizados (tratamiento informático de datos personales) como noautomatizados (datos personales que son tratados en soporte papel).

Por tanto, la pregunta que se nos plantea es la siguiente: ¿debemos aplicar la LOPD a todos los datospersonales?

A este respecto, señala la LOPD en su artículo 2:

"El régimen de protección que se establece en la LOPD no será de aplicación:

• A los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas • A los ficheros sometidos a la normativa sobre protección dematerias clasificadas.

• A los ficheros establecidos para la investigación del terrorismo y de formas graves dedelincuencia organizada".

Análogamente, se regirán por sus disposiciones específicas, y por lo especialmente previsto, en su caso,

por la LOPD, los siguientes tratamientos de datos personales:• Los ficheros regulados por la legislación de régimen electoral.• Los que sirvan a fines exclusivamente estadísticos, y estén amparados por la legislación estatal

o autonómica sobre la función estadística pública.• Los que tengan por objeto el almacenamiento de los datos contenidos en los informes

personales de calificación a que se refiere la legislación del Régimen del personal de las FuerzasArmadas.

• Los derivados del Registro Civil y del Registro Central de penados y rebeldes.• Los procedentes de imágenes y sonidos obtenidos mediante la utilización de videocámaras por

las Fuerzas y Cuerpos de Seguridad, de conformidad con la legislación sobre la materia.

En cuanto al ámbito de aplicación subjetivo, la protección que confiere esta ley gira en torno a laspersonas físicas.

Se trata de, tal y como señala el artículo 1 de la LOPD, de:

"garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor eintimidad personal y familiar".

Respecto del ámbito de aplicación territorial señala el artículo 2.2. de la LOPD:

"Se regirá por la presente Ley Orgánica todo tratamiento de datos de carácter personal":

• Cuando el tratamiento sea efectuado en territorio español en el marco de las actividades deun establecimiento del responsable del tratamiento.




INNOVACIÓN PYME



• Cuando al responsable del tratamiento no establecido en territorio español, le sea deaplicación la legislación española en aplicación de normas de Derecho Internacional público.

• Cuando el responsable del tratamiento no esté establecido en territorio de la UniónEuropea y utilice en el tratamiento de datos medios situados en territorio español, salvoque tales medios se utilicen únicamente con fines de tránsito.

Conceptos y terminología.

La LOPD en su artículo 3 recoge una serie de definiciones, algunas de las cuales se completan con lasrecogidas en el R.D. 1332/1994.A continuación pasamos a explicarlas en profundidad.

Datos de carácter personal

La Ley Orgánica de Protección de Datos de Carácter Personal, en su artículo 3.a, recoge la siguientedefinición de dato de carácter personal: "toda información concerniente a personas físicas identificadaso identificables".

Esta definición se completa con la que se recoge en el R.D. 1332/1994: "toda información numérica,

alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo, susceptible de recogida, registro,tratamiento o transmisión concerniente a una persona fisica identificada o identificable".

En una primera aproximación a estas definiciones, no resulta difícil identificar los datos de carácterpersonal presentes en nuestra organización. Así un nombre o un DNI, constituyen datos de carácterpersonal ya que identifican a una persona física. En cambio, no serán datos de carácter personal la razónsocial o el CIF de uno de nuestros proveedores o clientes en el caso de que éstos sean personas jurídicasy no físicas.

Si analizamos con más detenimiento la definición, y nos fijamos en la expresión "persona físicaidentificable", nos daremos cuenta de que probablemente existirán en nuestra organización datos decarácter personal que habíamos pasado por alto.

Pensemos por un momento en que almacenamos las matrículas de los vehículos que utilizan el

aparcamiento de nuestra empresa, ya sea por motivos de gestión o de seguridad.

La matrícula sería un dato de carácter personal, ya que podemos conocer los datos del titular delvehículo solicitando un informe a la Jefatura Provincial de Tráfico correspondiente, con lo cual a travésde ella podemos identificar a una persona física, el titular del vehículo.

No obstante, es importante aclarar que un dato de carácter personal es toda aquella informaciónrelativa a una persona física aunque dicha información de forma aislada no nos permita identificar a esapersona.

Vista la amplitud de la definición que nos proporcionan, tanto la Ley como el Reglamento, la AgenciaEspañola de Protección de Datos ha resuelto numerosas dudas que exponemos a continuación:

Datos de contactos de empresas

A los ficheros que contienen datos de personas jurídicas (por ejemplo: el fichero deproveedores) que incluyen datos de una persona de contacto, le resulta aplicable la LeyOrgánica de Protección de Datos, ya que el dato de la persona física que sirve como contacto enesa organización es un dato de carácter personal. Aunque las medidas recogidas en la Ley sóloserá necesario aplicarlas sobre dicho dato de carácter personal y no sobre el resto de datos delfichero, referidos a la persona jurídica.

“Esto supone dejar atrás a la LORTAD, que únicamente regulaba el tratamiento automatizadode datos personales, aprobándose en 1999 la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos personales, fueran automatizados o no”

Datos de empresarios individuales




INNOVACIÓN PYME



A este respecto, la Agencia Española de Protección de Datos considera que Ley tendrá eficaciarespecto de los datos de personas físicas no organizadas bajo la forma de empresa o de las queno fuera posible diferenciar su actividad mercantil de la propia actividad privada.

En esta línea, argumenta en su Resolución de 27 de febrero de 2001, recaída en el expedienteiniciado como consecuencia de la denuncia efectuada a una determinada Cámara de Comercio

como consecuencia de la transmisión a terceros de los datos contenidos en el censo públicoregulado por la Ley 3/1993. La citada Resolución acuerda el archivo del expediente, indicandoen su Fundamento jurídico 11 que:

Es importante aclarar que un dato de carácter personal es toda aquella información relativa auna persona física aunque dicha información de forma aislada no nos permita identificar a esapersona.

" ... la protección conferida por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección deDatos de Carácter Personal, no es aplicable a las personas jurídicas, que no gozarán de ningunade las garantías establecidas en la Ley, y por extensión lo mismo ocurrirá con los profesionalesque organizan su actividad bajo la forma de empresa (ostentando, en consecuencia la condiciónde comerciante a la que se refieren los artículos primero y siguientes del Código de Comercio) y con los empresarios individuales que ejercen una actividad comercial y respecto de las cualessea posible diferenciar su actividad mercantil de su propia actividad privada, estando en el primer caso excluidos también del ámbito de aplicación de la Ley Orgánica 15/1999.

En definitiva pues, tanto las personas jurídicas como los profesionales y los comerciantesindividuales (éstos dos últimos sólo en los estrictos términos señalados en el Párrafo queantecede, esto es, cuando sus datos hayan sido tratados tan sólo en su consideración deempresarios) quedan fuera del manto protector de la Ley Orgánica 15/1999.

"Analizando la definición, y fijándonos en la expresión persona física identificable, nos daremoscuenta de que probablemente existirán en nuestra organización datos de carácter personal quehabíamos pasado por alto".

A contrario sensu, tanto los profesionales como los comerciantes individuales quedarían bajo el

ámbito de aplicación de la Ley Orgánica 15/1999 y, por tanto, amparados por ella cuando losprimeros no tuvieran organizada su actividad profesional bajo la forma de empresa, noostentando, en consecuencia, la condición de comerciante (es el caso de los profesionalesliberales cuyas actividades están expresamente excluidas del ámbito de aplicación de la LeyBásica 3/1993 por su artículo 6) y los segundos cuando no fuera posible diferenciar su actividadmercantil de la propia actividad privada.

En estos dos casos deberán aplicarse siempre las garantías de la Ley Orgánica 15/1999 dada lanaturaleza fundamental del derecho a proteger.

Ello exigirá siempre ir analizando caso por caso para hallar en cada supuesto concreto el límitefronterizo donde resulte afectado el derecho fundamental a la protección de datos de losinteresados personas físicas, o, por el contrario, aquél no resulte amenazado por incidir tan solo

en la esfera de la actividad comercial o empresarial, teniendo en todo caso presente que, encaso de duda, la solución deberá siempre adaptarse a favor de la protección de los derechosindividuales.

Datos de imagen y sonido.

La Agencia Española de Protección de Datos en la ya derogada Instrucción 1/96, de 1 de Marzo,sobre ficheros automatizados establecidos con la finalidad de controlar el acceso a los edificios,señalaba que cualquier información concerniente a personas físicas identificadas oidentificables tendrá la consideración de dato de carácter personal, debiendo entendersecomprendidos en esta definición el sonido y la imagen siempre que identifiquen a una persona.

Datos de correo electrónico.




INNOVACIÓN PYME



La Agencia Española de Protección de Datos entiende que la dirección de correo electrónico esun dato de carácter personal, tanto si la dirección contiene información de su titular (porque serefiere al nombre y apellidos, o a la empresa en la que trabaja), como en los supuestos en losque la dirección no muestra datos relacionados con el titular de la cuenta. La Agencia justificaeste criterio con el hecho de que una dirección de correo electrónico aparece necesariamentereferenciada en un dominio concreto, y por tanto se podrá identificar al titular de la dirección

de correo mediante la consulta al servidor en el que se gestione dicho dominio.

Fichero

La Ley Orgánica de Protección de Datos en su artículo 3.b recoge la siguiente definición de fichero:

"Todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma omodalidad de su creación, almacenamiento, organización y acceso”

Así, para determinar la existencia de un fichero, no sólo se deberá atender al hecho de que el mismohaya sido creado utilizando una herramienta informática específica para el almacenamiento de datos,sino que cualquier soporte informatizado o no que contenga datos de forma organizada es tambiénconsiderado un fichero.

De esta forma, si tenemos una base de datos de clientes con 1000 campos, pero sólo 10 de ellos sondatos de carácter personal, nuestro fichero de clientes, desde el punto de vista de la LOPD tendrá sólo10 campos, y será sobre ese fichero con 10 campos sobre el que tengamos que aplicar todas lasdisposiciones recogidas en la normativa de protección de datos.

Para terminar de ilustrar la diferencia entre fichero (desde el punto de vista de la Ley) y base de datos,como concepto técnico, pensemos que si tuviéramos dos Bases de Datos con datos de clientes, sólotendríamos que inscribir un fichero en el Registro General de Protección de Datos2

Tratamiento de datos.

. Dicho Ficherocomprendería los datos de carácter personal presentes en ambas bases de datos.

La Ley Orgánica de Protección de Datos en su artículo 3.c recoge la siguiente definición de tratamiento

de datos:

"Operaciones y procedimientos técnicos de carácter automatizado o no, que permitan larecogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así comolas cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias".

El carácter amplio de esta definición implica que tenga la consideración de tratamiento la mayoría deusos que se realicen de los datos de carácter personal.

Disociación de datos.

En su artículo 3.f, la LOPD nos dice que procedimiento de disociación es

"todo tratamiento de datos personales de modo que la información que se obtenga no puedaasociarse a persona identificada o identificable".

E.g.: si creamos un subconjunto de los datos de nuestros clientes (localidad de residencia, sector deactividad) de tal forma que ningún dato de ese subconjunto pueda asociarse a una persona físicaconcreta, entonces los datos de ese subconjunto no recibirán la consideración de datos de carácterpersonal y no tendremos que aplicar sobre los mismos la normativa.

2 El Registro General de Protección de Datos es un órgano integrado en la Agencia Española de Protección de DatosSerán objeto de inscripción en el Registro General de Protección de Datos:1. Los ficheros de que sean titulares las Administraciones públicas.2. Los ficheros de titularidad privada.3. Las autorizaciones a que se refiere la LOPD.

4. Los códigos tipo a que se refiere el artículo 32 de la LOPD.




INNOVACIÓN PYME



Responsable del fichero o tratamiento.

La Ley Orgánica de Protección de Datos en su artículo 3.d recoge la siguiente definición de responsabledel fichero o tratamiento:

"Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decidasobre la finalidad, uso y contenido del tratamiento".

El Responsable del Fichero es uno de los ejes de la LOPD, ya que sobre él recaen gran parte de lasobligaciones previstas en la Ley.

Entre dichas obligaciones destacamos las siguientes:

• Obligación de cumplir el principio de calidad de los datos, derivada del artículo 4 de la Ley. Losdatos recogidos han de ser adecuados, pertinentes y no excesivos. E.g. para la venta a plazos deun electrodoméstico resultará excesivo solicitar al comprador datos de estado civil, propiedadde la vivienda, etc.

• Obligación de información a los afectados con carácter previo a la obtención de sus datos decarácter personal, derivada del artículo 5 de la Ley.

• Obligación de obtener el consentimiento de los afectados para el tratamiento de sus datos de

carácter personal y para la cesión o comunicación de éstos.• Obligación de adoptar las medidas técnicas y organizativas necesarias para garantizar laseguridad de los datos de carácter personal para evitar su alteración, pérdida, tratamiento oacceso no autorizados.

• Obligación de cumplir el deber de secreto, derivada del artículo 10 de la Ley.• Obligación de atender las solicitudes de los interesados, garantizando el ejercicio de los

derechos de acceso, rectificación y cancelación en los plazos previstos en la Ley y en el R.D.1332/1994.

• Obligación de notificar a la AEPD la creación, modificación y supresión de los ficheros.

Encargado del tratamiento

La Ley Orgánica de Protección de Datos en su artículo 3.g recoge la siguiente definición de encargado del

tratamiento:

"Persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo oconjuntamente con otros, trate datos personales por cuenta del responsable del fichero".

En la mayoría de las organizaciones, el propio responsable del fichero realizará el tratamiento de losficheros, por tanto no existirá una figura externa asimilable al encargado del tratamiento.

Pero no siempre ocurre así. Pensemos en nuestra base de datos de nóminas. Nuestra empresa seríaresponsable del fichero, pero si recurrimos a otra entidad jurídica para que realice el tratamiento de losdatos (e.g., una gestoría) entonces esa entidad adopta la figura del encargado del tratamiento, y comotal ha de ser identificado en la notificación de inscripción en el fichero al Registro General de Protecciónde Datos.

Esta relación entre ambas empresas debe estar definida contractual mente, como veremos másadelante.

Vemos por tanto, que el rasgo diferenciador de esta figura con respecto al responsable del fichero,consiste en que el encargado del tratamiento, bien en solitario, o bien junto a otros, lleva a cabo eltratamiento por cuenta de un tercero, con el objeto de prestar un servicio al responsable de fichero,siguiendo las instrucciones de aquél.

Un cesionario puede ser desde una entidad pública (Seguridad Social, Hacienda, etc,) hasta una entidad privada (otra empresa de nuestro grupo, etc.) De esta manera, el acceso a los datos de carácter personalincluidos en el fichero por parte del encargado del tratamiento, no se considerará una comunicación dedatos en el sentido del artículo II de la LOPD, ya que ese acceso se en marca en una prestación de




INNOVACIÓN PYME



servicios que el encargado realiza a favor del responsable del fichero, tal y como se recoge en el artículo12 de la LOPD.

A diferencia del responsable del fichero, el encargado del tratamiento no tiene la obligación de notificaral Registro General de Protección de Datos los ficheros que trata.

Sin embargo, el responsable del fichero deberá hacer constar en las notificaciones correspondientes a

sus ficheros la identidad del encargado del tratamiento.

Según el artículo 12 de la LOPD, el acceso a datos por cuenta de terceros derivado de la prestación de unservicio, deberá regularse en un contrato que deberá constar por escrito o en alguna otra forma quepermita acreditar su celebración y contenido. En dicho contrato se establecerá expresamente:

• Que el encargado del tratamiento únicamente tratará los datos conforme a las instruccionesdel responsable del fichero.

• Que el encargado del tratamiento no utilizará ni aplicará los datos con un fin distinto al quefigure en el contrato, ni los comunicará ni siquiera para su conservación a otras personas.

• Las medidas de seguridad (técnicas y organizativas) que el encargado del tratamiento estáobligado a implantar.

Afectado o interesado.La Ley Orgánica de Protección de Datos en su artículo 3.e recoge la siguiente definición de afectado ointeresado: persona física titular de los datos que sean objeto del tratamiento de datos.

Consentimiento del interesado.

La Ley Orgánica de Protección de Datos en su artículo 3.h recoge la siguiente definición deconsentimiento del interesado:

"toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos de carácter personal que le conciernen".

Cesión o comunicación de datos.Señala la Ley en su artículo 3.i que cesión o comunicación de datos es

"toda revelación de datos realizada a una persona distinta del interesado".

Como ya hemos dicho, no se considera cesión de datos el acceso de un tercero a los datos cuando dichoacceso sea necesario para la prestación de un servicio al responsable del fichero.

Un cesionario puede ser desde una entidad pública (Seguridad Social, Hacienda, etc) hasta una entidadprivada (otra empresa de nuestro grupo, etc)

Fuentes accesibles al público.

Señala la Ley en su artículo 3.j que fuentes accesibles al público son: aquellos ficheros cuya consultapuede ser realizada por cualquier persona, no impedida por una norma limitativa, o sin más exigenciaque, en su caso el abono de una contraprestación.

Tienen la consideración de fuentes accesibles al público, exclusivamente:

• El censo promocional (actualmente inexistente) • Los repertorios telefónicos en los términos previstos por su normativa específica.

• Las listas de personas pertenecientes a grupos profesionales que contengan únicamente losdatos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo.

• Diarios y Boletines oficiales.• Medios de comunicación.




INNOVACIÓN PYME



En función de esto, Internet no es un medio de comunicación pues no está incluido en esta enumeraciónexhaustiva, aunque si lo sean las ediciones digitales de los periódicos que están presentes en la Red, yaque son medios de comunicación.

Responsabilidades desde el punto de vista de la LOPD:

Responsable del fichero

El responsable de un fichero o tratamiento es la entidad, persona o el órgano administrativo que

decide sobre la finalidad, el contenido y el uso del tratamiento de los datos personales.

Una empresa, será la responsable de los ficheros que contienen datos relativos a sus empleados y a sus

clientes; un autónomo o empresario individual será responsable del tratamiento de los datos personales

de sus clientes, un hotel será responsable del fichero de sus huéspedes; un gimnasio será responsable

del fichero de sus socios; un centro educativo será responsable del fichero de sus alumnos, un

Ayuntamiento será responsable del fichero del padrón...

Sobre el responsable del fichero recaen las principales obligaciones establecidas por la LOPD y lecorresponde velar por el cumplimiento de la Ley en su organización.

El responsable debe:

- Notificar los ficheros ante el Registro General de Protección de Datos para que se proceda a suinscripción.

- Asegurarse de que los datos sean adecuados y veraces, obtenidos lícita y legítimamente y tratados de modo proporcional a la finalidad para la que fueron recabados.

- Garantizar el cumplimiento de los deberes de secreto y seguridad.- Informar a los titulares de los datos personales en la recogida de éstos.- Obtener el consentimiento para el tratamiento de los datos personales.

- Facilitar y garantizar el ejercicio de los derechos de oposición al tratamiento, acceso,rectificación y cancelación.- Asegurar que en sus relaciones con terceros que le presten servicios, que comporten el acceso a

datos personales, se cumpla lo dispuesto en la LOPD.- Cumplir, cuando proceda, con lo dispuesto en la legislación sectorial que le sea de aplicación.

Encargado de tratamiento

El encargado del tratamiento es la persona física o jurídica, pública o privada, u órgano

administrativo que, solo o conjuntamente con otros, trate datos personales por cuenta del

responsable del tratamiento o del responsable del fichero, como consecuencia de la existencia

de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la

prestación de un servicio.

Una empresa que preste servicios para la realización de envíos postales; el informático ajeno a la

organización del responsable que realiza tareas de mantenimiento de software o hardware; el gestor

administrativo que confecciona nóminas y gestiona el fichero de personal...

Asociada a la figura del responsable, está la figura del encargado, que es la persona o entidad, autoridad

pública, servicio o cualquier otro organismo que, sólo o con otros, trate datos por cuenta del

responsable del fichero.

La realización de un tratamiento por cuenta de terceros deberá estar regulada en un contrato que

deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido,




INNOVACIÓN PYME



estableciéndose expresamente que el encargado tratará los datos conforme a las instrucciones del

responsable, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los

comunicará, ni siquiera para su conservación, a otras personas.

No se considera encargado del tratamiento a la persona física que tenga acceso a los datos personales

en su condición de empleado dentro de la relación laboral que mantiene con el responsable del fichero.

Ambos, encargado y responsable del tratamiento, pueden ser sancionados de acuerdo a la LOPD si

incumplen sus obligaciones.




INNOVACIÓN PYME



Cumpliendo con la LOPD en la organización. Pasos a seguir.

Ficheros Físicos y Jurídicos, Identificación, Niveles de seguridad.

Las medidas de seguridad exigibles a los ficheros y tratamientos de datos personales se clasifican en tresniveles acumulativos: BÁSICO, MEDIO y ALTO. Esta clasificación se realiza atendiendo a la naturaleza de

la información tratada, en relación con la menor o mayor necesidad de garantizar la confidencialidad yla integridad de la información.

A continuación se indican los ficheros y tratamientos a los que corresponde aplicar las medidas deseguridad relativas a cada uno de los niveles que determina el RLOPD.

NIVEL ALTO.

Ficheros o tratamientos con datos:

- De ideología,- Afiliación sindical,- Religión,- Creencias,

- Origen racial,- Salud o vida sexual y- Respecto de los que no se prevea la posibilidad de adoptar el nivel básico;- Recabados con fines policiales sin consentimiento de las personas afectadas;- Y derivados de actos de violencia de género.

NIVEL MEDIO.

Ficheros o tratamientos con datos:

- Relativos a la comisión de infracciones administrativas o penales;- Que se rijan por el artículo 29 de la lopd (prestación de servicios de solvencia patrimonial y

crédito);- De administraciones tributarias, y que se relacionen con el ejercicio de sus potestades

tributarias;- De entidades financieras para las finalidades relacionadas con la prestación de servicios

financieros;- De entidades gestoras y servicios comunes de seguridad social, que se relacionen con el

ejercicio de sus competencias;- De mutuas de accidentes de trabajo y enfermedades profesionales de la seguridad social;- Que ofrezcan una definición de la personalidad y permitan evaluar determinados aspectos de la

misma o del comportamiento de las personas;- Y de los operadores de comunicaciones electrónicas, respecto de los datos de tráfico y

localización3

NIVEL BÁSICO.

Cualquier otro fichero que contenga datos de carácter personal.

También aquellos ficheros que contengan datos de ideología, afiliación sindical, religión, creencias,salud, origen racial o vida sexual, cuando:

- Los datos se utilicen con la única finalidad de realizar una transferencia dineraria a entidades delas que los afectados sean asociados o miembros;

- Se trate de ficheros o tratamientos de estos tipos de datos de forma incidental o accesoria, queno guarden relación con la finalidad del fichero;

3

Para esta categoría de ficheros además deberá disponerse de un registro de accesos




INNOVACIÓN PYME



- Y en los ficheros o tratamientos que contengan datos de salud, que se refieran exclusivamenteal grado o condición de discapacidad o la simple declaración de invalidez, con motivo delcumplimiento de deberes públicos.

Las medidas de seguridad de nivel básico son exigibles en todos los casos. Las medidas de nivel mediocomplementan a las anteriores en el caso de ficheros clasificados en este nivel, y las de nivel alto,

cuando deban adoptarse, incluyen también las de nivel básico y medio.Inscripción de Ficheros en el Registro de la AEPD.

Siempre que se proceda al tratamiento de datos personales, definidos en el art. 3,a) de la Ley Orgánica15/1999, como "cualquier información concerniente a personas físicas identificadas o identificables,"que suponga la inclusión de dichos datos en un fichero, considerado por la propia norma (artículo 3.b).),como "conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidadde su creación, almacenamiento, organización y acceso," el fichero se encontrará sometido a la Ley,siendo obligatoria su inscripción en el Registro General de Protección de Datos, conforme dispone elartículo 26.

El Registro General de Protección de Datos es el órgano de la Agencia Española de Protección de Datosal que corresponde velar por la publicidad de la existencia de los ficheros y tratamientos de datos de

carácter personal, con miras a hacer posible el ejercicio de los derechos de información, acceso,rectificación y cancelación de datos regulados en los artículos 14 a 17 de la Ley Orgánica 15/99, de 13 dediciembre, de Protección de Datos de Carácter Personal.

Artículo 26. Notificación e inscripción registral.

"Toda persona o entidad que proceda a la creación de ficheros de datos de carácter personal lonotificará previamente a la Agencia Española de Protección de Datos.

Por vía reglamentaria se procederá a la regulación detallada de los distintos extremos que debecontener la notificación, entre los cuales figurarán necesariamente el responsable del fichero, la finalidad del mismo, su ubicación, el tipo de datos de carácter personal que contiene, lasmedidas de seguridad, con indicación del nivel básico, medio o alto exigible y las cesiones dedatos de carácter personal que se prevean realizar y, en su caso, las transferencias de datos quese prevean a países terceros.

Deberán comunicarse a la Agencia Española de Protección de Datos los cambios que se produzcan en la finalidad del fichero automatizado, en su responsable y en la dirección de suubicación.

El Registro General de Protección de Datos inscribirá el fichero si la notificación se ajusta a losrequisitos exigibles. En caso contrario podrá pedir que se completen los datos que falten o se proceda a su subsanación.

Transcurrido un mes desde la presentación de la solicitud de inscripción sin que la AgenciaEspañola de Protección de Datos hubiera resuelto sobre la misma, se entenderá inscrito el fichero automatizado a todos los efectos."

Tanto para inscribir, como para suprimir o modificar la inscripción de un fichero en el RegistroGeneral de Protección de Datos, se deberá cumplimentar el modelo establecido en la Resoluciónde 12 de julio de 2006, de la Agencia Española de Protección de Datos, (B.O.E. 181 de 31 de juliode 2006), por la que se aprueban los formularios electrónicos a través de los que deberánefectuarse las solicitudes de inscripción de ficheros en el Registro General de Protección deDatos, así como los formatos y requerimientos a los que deben ajustarse las notificacionesremitidas en soporte informático o telemático.

Serán objeto de inscripción en el Registro General de Protección de Datos:

- Los ficheros de las Administraciones Públicas- Los ficheros de titularidad privada




INNOVACIÓN PYME



- Las autorizaciones de transferencias internacionales de datos de carácter personal con destinoa países que no presten un nivel de protección equiparable al que presta la LOPD a que serefiere el art. 33.1 de la citada Ley.

- Los códigos tipo , a que se refiere el artículo 32 de la LOPD.- Los datos relativos a los ficheros que sean necesarios para el ejercicio de los derechos de

información, acceso, rectificación, cancelación y oposición.

El Formulario Electrónico de NOtificaciones Telemáticas a la AEPD (NOTA) permite la presentación denotificaciones a través de Internet (con y sin certificado de firma electrónica reconocido), mediantesoporte informático (disquete, CDROM) y en soporte papel. Dicho formulario interactivo, en formatoPDF, se encuentra disponible en la página web de la Agencia, en la sección correspondiente Obtencióndel Formulario NOTA.

Para realizar la inscripción inicial del fichero y, en su caso, la posterior modificación o supresión de lainscripción, en la página web de la AEPD (www.agpd.es) se encuentra disponible el formularioelectrónico a través del que deberán efectuarse, de forma gratuita, las solicitudes de inscripción deficheros en el Registro General de Protección de Datos (aprobado mediante Resolución de la AEPD de 12de julio de 2006- B.O.E. 181 de 31 de julio).

Este formulario permite la presentación de forma gratuita de notificaciones a través de Internet concertificado de firma electrónica. En caso de no disponer de un certificado de firma electrónica, tambiénpuede presentar la notificación a través de Internet, para lo cual deberá remitir a la Agencia la Hoja desolicitud correspondiente al envío realizado debidamente firmada. Por último, puede optar por el modode presentación en soporte papel.

Así mismo, permite notificar de forma simplificada una serie de ficheros relacionados con la gestión decomunidades de propietarios, clientes, libro recetario de las oficinas de farmacia, pacientes, gestiónescolar, videovigilancia, nóminas y recursos humanos de titularidad privada y con los de recursoshumanos, gestión del padrón, gestión económica o control de acceso, en el caso de ficheros detitularidad pública. En el caso de que ninguna de las notificaciones tipo previstas por la AEPD se adapteal fichero que pretende notificar, podrá seleccionar la opción de notificación normal.

El formulario electrónico no requiere una instalación previa en su equipo por lo que puede ser

cumplimentado desde la página web de la AEPD. También puede optar por guardarlo en su equipo ycumplimentarlo desde el propio PDF. En ambos casos, la notificación se enviará cifrada a través de uncanal seguro mediante protocolo SSL (Secure Socket Layer).

En el caso de que su ordenador se conecte a Internet mediante un servidor proxy, deberá enviar lanotificación a través del formulario electrónico NOTA abierto en su navegador. Para abrir el formularioNOTA desde su navegador existen varias opciones que difieren en función del navegador y sistemaoperativo utilizado. Una de las más comunes es abrir el formulario PDF mediante la opción«Archivo/abrir» de su navegador. No obstante, si no se conecta a Internet mediante un servidor proxy,pero no puede enviar su notificación desde el propio PDF, puede enviarla a través del formularioelectrónico NOTA abierto en su navegador, tal y como se ha indicado anteriormente.

El formulario electrónico presenta el mismo aspecto visual de un formulario en soporte papel y puede

ser cumplimentado desplazándose a través de las distintas páginas por medio de la barra dedesplazamiento lateral. También puede acceder a una página concreta del formulario a través delacceso directo que le proporciona la pestaña denominada «Páginas» donde aparecerán las hojas queconfiguran el formulario en cada fase de cumplimentación.

Se recomienda mantener actualizada la versión del formulario NOTA con el fin de asegurarse de queutiliza la versión que incorpora los últimos cambios. No obstante, al presentar la notificación a través deInternet el sistema le informará en el caso de que deba proceder a descargar una nueva versión delformulario.

También dispone de sendos manuales para la cumplimentación del formulario electrónico NOTA detitularidad pública y titularidad privada con información detallada sobre la forma de cumplimentar elformulario electrónico.

https://www.agpd.es/portalwebAGPD/canalresponsable/inscripcion_ficheros/Notificaciones_tele/obtencion_formulario/index-ides-idphp.php









INNOVACIÓN PYME



Pasos para la cumplimentación del formulario NOTA:

1. Responder a las preguntas iniciales del asistente dependiendo del tipo de solicitud y forma depresentación elegido.

2. Cumplimentar los apartados de la notificación. Se recomienda guardar la notificación antes de pasara la siguiente fase de cumplimentación, ya que una vez que se haya optado por cumplimentar la

Hoja de solicitud no se podrán realizar nuevos cambios en la notificación.

3. Cumplimentar la Hoja de solicitud.

4. Generar/Enviar la notificación: En el caso de presentación a través de Internet con certificado defirma electrónica, deberá antes Finalizar y Firmar la notificación con su certificado de firmaelectrónica reconocido. En el caso de presentación en formulario en papel, deberá pulsar el botón«Finalizar formulario» que se encuentra al final de la Hoja de solicitud generándose el código debarras bidimensional PDF 417 (nube de puntos), así como el correspondiente código de envío queestablece la correspondencia entre el contenido que figura en cada una de las páginas quecomponen el modelo de notificación y la nube de puntos generada.

5. En las presentaciones a través de Internet, deberá recibir el acuse de recibo de la AEPD del envío

realizado. La no recepción del mensaje de confirmación, o en su caso, la recepción de un mensajede indicación de error implica que no se ha producido la recepción del mismo, debiendo realizarsela presentación en otro momento o utilizando otros medios.

6. Enviar la Hoja de solicitud firmada a la AEPD. En el caso de presentación a través de Internet concertificado de firma electrónica no será necesario remitir la Hoja de solicitud. En el caso depresentación en formulario en papel, se presentará la Hoja de solicitud con el código bidimensionalcorrectamente impreso, así como las dos páginas con el contenido de la notificación en las quedeberá figurar el código de envío generado por el formulario electrónico.

a) Preguntas iniciales del asistente:

Inicialmente, y con el fin de preparar el formulario electrónico específicamente al tipo de solicitud yforma de envío que tiene previsto realizar, el asistente le formulará varias preguntas sobre:

Tipo de solicitud de inscripción Deberá señalar la casilla que corresponda, en función de si va a notificaruna nueva inscripción, una modificación de un fichero que ya figura inscrito en el Registro General deProtección de Datos (RGPD) o una supresión de un fichero que, igualmente, ya figura inscrito en elRGPD. Tanto para notificar una modificación como una supresión, deberá conocer determinados datosde la inscripción del fichero (código de inscripción y CIF del responsable con el que el fichero figurainscrito en el RGPD).

Modelo de declaración Puede optar por utilizar una de las notificaciones tipo precumplimentadas queaparecen en el formulario o bien por utilizar el formulario electrónico vacío para ser cumplimentado deforma completa por Vd.

Forma de presentación Por último, deberá señalar la casilla correspondiente a la forma de envío que vaa utilizar:

- A través de Internet con certificado digital de firma electrónica.- A través de Internet con presentación convencional de la Hoja de solicitud.- Mediante formulario en soporte papel con código de barras bidimensional PDF 417.

b) Cumplimentación de la notificación:

Tanto si ha elegido utilizar una notificación tipo como un formulario vacío, deberá cumplimentar losapartados del formulario que describan el fichero que va a ser notificado.

El formulario electrónico de NOtificaciones Telemáticas a la AEPD (NOTA) de titularidad privada secompone de 2 páginas de detalle y la correspondiente Hoja de solicitud.




INNOVACIÓN PYME



En este formulario son de cumplimentación obligatoria, además de la correspondiente Hoja desolicitud, los apartados de: Responsable del fichero, Identificación y finalidad del fichero, Origen yprocedencia de los datos, Tipos de datos, estructura y organización del fichero y Medidas de seguridad.

Son de cumplimentación opcional los apartados de: Derechos de oposición, acceso, rectificación ycancelación, Encargado de tratamiento, Cesión o comunicación de datos y Transferencias

internacionales.En todos los apartados se encuentra disponible la ayuda correspondiente a dicho apartado, así comouna opción que le permitirá verificar si el mismo ha sido cumplimentado correctamente.

Se recomienda guardar la notificación antes de pasar a la siguiente fase de cumplimentación, ya que unavez que se haya optado por cumplimentar la Hoja de solicitud no se podrán realizar nuevos cambios enla notificación.

Puede imprimir un borrador de la notificación teniendo en cuenta que esta impresión no podrá serpresentada para su inscripción en la Agencia. Tenga en cuenta que cualquier cambio que necesite haceren la notificación deberá realizarse mediante el formulario electrónico ya que en cualquiera de lasformas de presentación la información consignada mediante dicho formulario electrónico prevalecesobre cualquier anotación realizada de forma manual.

c) Cumplimentar y firmar la Hoja de solicitud

Una vez que se ha comprobado que los distintos apartados han sido cumplimentados correctamente,deberá cumplimentar la Hoja de solicitud. Para ello deberá pulsar el botón «Generar formulario final»que se encuentra al final del formulario.

Deberá indicar los datos identificativos de la persona que firma la solicitud y el cargo o la condición delfirmante de esta solicitud en relación con el responsable del fichero.

Señale también la dirección completa a efectos de notificaciones. Esta dirección debe cumplimentarseen todos los casos, aún cuando coincida con la del responsable del fichero, entendiendo que laidentidad y el domicilio para practicar la notificación de la resolución de inscripción debe de ser ladeclarada por la persona física que solicita la inscripción, todo ello a tenor del artículo 70 de la Ley

30/1992 de Régimen Jurídico de la Administraciones Públicas y del Procedimiento AdministrativoComún.

Si ha optado por presentar la notificación a través de Internet con certificado digital de firma y disponede una dirección electrónica a efectos de notificaciones del Servicio de Notificaciones TelemáticasSeguras (https://notificaciones.administracion.es/portalciudadano/inicio.asp) podrá indicar esteextremo en el apartado de Dirección electrónica servicio de notificaciones, donde se notificarán lainscripción del fichero. En cualquier otro caso, la notificación será realizada a la dirección que a estosefectos se haga constar en el apartado correspondiente de la Hoja de solicitud.

Por último, si ha optado por presentar la notificación a través de Internet con certificado digital defirma deberá proceder a firmar la notificación mediante su certificado de firma.

d) Generar o enviar la notificación

Dependiendo de la forma de presentación elegida, la notificación podrá ser presentada a través de lossiguientes medios:

- Presentación a través de Internet con certificado de firma reconocido.

Una vez cumplimentada la notificación y la Hoja de solicitud de forma correcta, será necesarioindicar al formulario que no se van a realizar más cambios mediante el botón «Finalizar formulario»para proceder a la firma de la notificación. De esta manera el formulario establecerá el control de laintegridad de la notificación que se va a enviar.

En este momento aparecerá un icono en el lugar previsto para la firma de la persona que efectúa lanotificación.




INNOVACIÓN PYME



Pulsando el icono que aparece, se firmará la notificación con el certificado de firma reconocidocorrespondiente a la persona que, con representación suficiente del responsable del fichero,formula la notificación. Su sistema le informará de los certificados de firma de los que dispone,ya sea instalados en su navegador o en su tarjeta criptográfica. Una vez firmada, se enviará lanotificación mediante el formulario electrónico al Registro Telemático de la AEPD.

Una vez recibida la notificación en el Registro Telemático de la AEPD, se emitirá por el mismomedio un mensaje de confirmación de la solicitud, en el que constarán los datosproporcionados por el interesado, junto con la acreditación de la fecha y hora en que produjo larecepción y una clave de identificación de la transmisión. El mensaje de confirmación seconfigurará de forma que pueda ser impreso o archivado informáticamente por el interesado yque garantizará la identidad del registro y tendrá el valor de recibo de presentación a efectos

de lo dispuesto en el artículo 6.3 del Real Decreto 772/1999.

- Presentación a través de Internet sin certificado de firma electrónica reconocido

Una vez cumplimentada la notificación y la Hoja de solicitud de forma correcta, deberá enviar lanotificación mediante el formulario electrónico pulsando el botón «Generar/Enviar» que seencuentra en la Hoja de solicitud. El formulario le indicará que se está conectando con el servidorde la AEPD y, acto seguido, el sistema le enviará la Hoja de solicitud (en formato PDF) que confirmaque la notificación ha sido enviada correctamente. Dicha Hoja de solicitud, firmada por la personaque efectúa la notificación, es la que deberá remitir a la AEPD

Cuando la notificación se envíe a través de Internet sin certificado de firma reconocido, no seconsiderará recibida la notificación efectuada por Internet, sino desde la fecha en la que tenga

entrada en la Agencia Española de Protección de Datos la hoja de solicitud firmada de formamanual, careciendo de efecto alguno las notificaciones enviadas por Internet sin certificado defirma reconocido si la hoja de solicitud de inscripción, debidamente cumplimentada y firmada, nohubiera sido presentada en la Agencia Española de Protección de Datos o en alguno de los Registrosy oficinas a los que se refiere el artículo 38.4 de la Ley 30/1992. La dirección de la AEPD es:

Agencia Española de Protección de Datosc. Jorge Juan, 628001- Madrid

- Presentación en papel con código de barras bidimensional PDF 417

Una vez que haya cumplimentado la Hoja de solicitud, para obtener el modelo que puede serpresentado en la AEPD, deberá pulsar el botón «Finalizar formulario» que se encuentra al final de la

Hoja de solicitud.

En el caso de la presentación en papel, se generará el código de barras bidimensional PDF 417(nube de puntos), así como el correspondiente código de envío que establece la correspondenciaentre el contenido que figura en cada una de las páginas que componen el modelo de notificación yla nube de puntos generada. Este sistema garantizará que la notificación ha sido cumplimentada deforma correcta y que se inscribirá en el RGPD de forma ágil, rápida y segura. Tal y como leinformará la siguiente pantalla, asegúrese de que la nube de puntos aparece bien impresa y de queno se relazan marcas sobre ella. En el caso de que tenga que realizar cambios en la notificación,deberá cumplimentar una nueva notificación y generar la correspondiente nube de puntos y códigode envío. A continuación se muestra el aspecto que debe tener la Hoja de solicitud después dehaber sido generada correctamente.




INNOVACIÓN PYME



Una vez cumplimentada la notificación y la Hoja de solicitud de forma correcta, se imprimirá lacorrespondiente notificación en la que figurará el código de barras bidimensional PDF 417 (nube depuntos) Una vez firmada la Hoja de solicitud por la persona que, con representación suficiente delresponsable del fichero, formula la notificación, se presentará en la AEPD o en alguno de losRegistros y oficinas a los que se refiere el artículo 38.4 de la Ley 30/1992.

Documentación obligatoria y su mantenimiento. El Documentode Seguridad

GUÍA MODELO DEL DOCUMENTO DE SEGURIDAD

INTRODUCCIÓN

El RLOPD especifica que se puede disponer de un solo documento que incluya todos los ficheros ytratamientos con datos personales de los que una persona física o jurídica sea responsable, undocumento por cada fichero o tratamiento, o los que determine el responsable atendiendo a loscriterios organizativos que haya establecido. Cualquiera de las opciones puede ser válida.

En este caso se ha optado por el primer tipo, organizando el "documento de seguridad" en dos partes:en la primera se recogen las medidas que afectan a todos los sistemas de información de forma comúncon independencia del sistema de tratamiento sobre el que se organizan: informatizado, manual omixto, y en la segunda se incluye un anexo por cada fichero o tratamiento, con las medidas que leafecten de forma concreta.

Además, se han especificado aquellas medidas que afectan sólo a ficheros automatizados y las queafectan a los no automatizados de forma exclusiva.

El modelo se ha redactado con el objeto de recopilar las exigencias mínimas establecidas por elReglamento.

Es posible y recomendable incorporar cualquier otra medida que se considere oportuna para aumentarla seguridad de los tratamientos, o incluso, adoptar las medidas exigidas para un nivel de seguridadsuperior al que por el tipo de información les correspondería, teniendo en cuenta la infraestructura y lascircunstancias particulares de la organización.

Dentro del modelo se utilizarán los siguientes símbolos convencionales: <comentario explicativo>: Entrelos caracteres "<" y ">", se encuentran los comentarios aclaratorios sobre el contenido que debe tenerun campo. Estos textos no deben figurar en el documento final, y deben desarrollarse para ser aplicadosa cada caso concreto.

NIVEL MEDIO: con esta marca se señalarán las medidas que sólo son obligatorias en losficheros que tengan que adoptar un nivel de seguridad medio.NIVEL ALTO: Con esta marca se señalarán las medidas que sólo son obligatorias en los ficherosque tengan que adoptar un nivel de seguridad alto.AUTOMATIZADOS: Con esta marca se señalarán las medidas específicas para aplicar

exclusivamente a ficheros informatizados o automatizados.MANUALES: Con esta marca se señalarán las medidas específicas para aplicar exclusivamente aficheros manuales o no automatizados.

Las medidas que no van precedidas de ninguna de estas marcas deben aplicarse con carácter general,tanto a ficheros o tratamientos automatizados como no automatizados y con independencia del nivel deseguridad.

MODELO DE DOCUMENTO DE SEGURIDAD

El presente Documento y sus Anexos, redactados en cumplimiento de lo dispuesto en el RLOPD recogenlas medidas de índole técnica y organizativa necesarias para garantizar la protección, confidencialidad,integridad y disponibilidad de los recursos afectados por lo dispuesto en el citado Reglamento y en laLOPD.




INNOVACIÓN PYME



El contenido de este documento queda estructurado como sigue:

- Ámbito de aplicación del documento.- Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar los niveles

de seguridad exigidos en este documento.- Información y obligaciones del personal.

- Procedimientos de notificación, gestión y respuestas ante las incidencias.

Procedimientos de revisión.

ANEXO I. Descripción de ficheros.ANEXO II. Nombramientos.ANEXO III. Autorizaciones de salida o recuperación de datos.ANEXO IV. Delegación de autorizaciones.ANEXO V. Inventario de soportes.ANEXO VI. Registro de Incidencias .ANEXO VII. Encargados de tratamientoANEXO VIII. Registro de entrada y salida de soportes.

ANEXO IX. Medidas alternativas

1. ÁMBITO DE APLICACIÓN DEL DOCUMENTO

El presente documento será de aplicación a los ficheros que contienen datos de carácter personal quese hallan bajo la responsabilidad de <nombre del responsable>, incluyendo los sistemas de información,soportes y equipos empleados para el tratamiento de datos de carácter personal, que deban serprotegidos de acuerdo a lo dispuesto en normativa vigente, las personas que intervienen en eltratamiento y los locales en los que se ubican.

En concreto, los ficheros sujetos a las medidas de seguridad establecidas en este documento, conindicación del nivel de seguridad correspondiente, son los siguientes:

<incluir relación de ficheros o tratamientos afectados, indicando si se trata de sistemas automatizados,

manuales o mixtos, y el nivel de seguridad que les corresponde>

En el Anexo I se describen detalladamente cada uno de los ficheros o tratamientos, junto con losaspectos que les afecten de manera particular.

2. MEDIDAS, NORMAS, PROCEDIMIENTOS, REGLAS Y ESTÁNDARES ENCAMINADOSA GARANTIZAR LOS NIVELES DE SEGURIDAD EXIGIDOS EN ESTE DOCUMENTO.

IDENTIFICACIÓN Y AUTENTICACIÓN.

Medidas y normas relativas a la identificación y autenticación del personal autorizado para acceder a losdatos personales.

AUTOMATIZADOS

<Especificar las normativas de identificación y autenticación de los usuarios con acceso a losdatos personales. La identificación de los usuarios se deberá realizar de forma inequívoca y personalizada, verificando su autorización (cada identificación debe pertenecer a un únicousuario)>.

<Si la autenticación se realiza mediante contraseñas, detallar el procedimiento de asignación,distribución y almacenamiento que deberá garantizar su confidencialidad e integridad, e indicar la periodicidad con la que se deberán cambiar, en ningún caso superior a un año>

<También es conveniente incluir los requisitos que deben cumplir las cadenas utilizadas comocontraseña>.




INNOVACIÓN PYME



AUTOMATIZADOS

NIVEL MEDIO En los ficheros de nivel medio y alto, se limitará la posibilidad de intentar

reiteradamente el acceso no autorizado al sistema de información.

CONTROL DE ACCESO

El personal sólo accederá a aquellos datos y recursos que precise para el desarrollo de sus funciones. El

responsable del fichero establecerá mecanismos para evitar que un usuario pueda acceder a recursos

con derechos distintos de los autorizados <incluir estos mecanismos>.

Exclusivamente el <persona autorizada (o denominación de su puesto de trabajo) para conceder, alterar

o anular el acceso autorizado> está autorizado para conceder, alterar o anular el acceso sobre los datos

y los recursos, conforme a los criterios establecidos por el responsable del fichero <nota: si la persona

es diferente en función del fichero, incluir el párrafo en la parte del Anexo I correspondiente> .

<Especificar los procedimientos para solicitar el alta, modificación y baja de las autorizaciones de acceso

a los datos, indicando qué persona (o puesto de trabajo) concreta tiene que realizar cada paso.>

<Incluir y detallar los controles de acceso a los sistemas de información>

En el Anexo I, se incluye la relación de usuarios actualizada con acceso autorizado a cada sistema de

información. Asimismo, se incluye el tipo de acceso autorizado para cada uno de ellos. Esta lista deberá

mantenerse actualizada <Especificar procedimiento de actualización>.

De existir personal ajeno al responsable del fichero con acceso a los recursos deberá estar sometido a

las mismas condiciones y obligaciones de seguridad que el personal propio.

NIVEL ALTO:

REGISTRO DE ACCESOS

AUTOMATIZADOS

En los accesos a los datos de los ficheros de nivel alto, se registrará por cada acceso la identificacióndel usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sidoautorizado o denegado. Si el acceso fue autorizado, se almacenará también la información quepermita identificar el registro accedido.

<Indicar, si se estima oportuno, información relativa al sistema de registro de accesos. El mecanismoque permita este registro estará bajo control directo del responsable de seguridad, sin que se deba permitir, en ningún caso, la desactivación del mismo>.

Los datos del registro de accesos se conservaran durante <especificar periodo, que deberá ser al menos de dos años. No es preciso que estos datos se almacenen "on-line" >.

El responsable de seguridad revisará al menos una vez al mes la información de control registrada yelaborará un informe según se detalla en el capítulo de “Comprobaciones para la realización de laauditoría de seguridad” de este documento.

No será necesario el registro de accesos cuando:

- el responsable del fichero es una persona física,




INNOVACIÓN PYME



- el responsable del fichero garantice que sólo él tiene acceso y trata los datos personales, y

- se haga constar en el documento de seguridad.

MANUALES

El acceso a la documentación se limita exclusivamente al personal autorizado.

Se establece el siguiente mecanismo para identificar los accesos realizados en el caso de losdocumentos relacionados <indicar los documentos o tipos de documentos que puedan ser utilizados por múltiples usuarios, así como el mecanismo establecido para controlar estos accesos>.

GESTIÓN DE SOPORTES Y DOCUMENTOS

Los soportes que contengan datos de carácter personal deberán permitir identificar el tipo deinformación que contienen, ser inventariados y serán almacenados en < indicar el lugar de accesorestringido donde se almacenarán>, lugar de acceso restringido al que solo tendrán acceso las personascon autorización que se relacionan a continuación: <Especificar el personal autorizado a acceder al lugar donde se almacenan los soportes que contengan datos de carácter personal, el procedimientoestablecido para habilitar o retirar el permiso de acceso. Tener en cuenta el procedimiento a seguir para

casos en que personal no autorizado tenga que tener acceso a los locales por razones de urgencia o fuerza mayor >.

Los siguientes soportes <relacionar aquellos a que se refiere> se exceptúan de las obligaciones indicadasen el párrafo anterior, dadas sus características físicas, que imposibilitan el cumplimiento de las mismas.

Los siguientes soportes <indicar aquellos que contengan datos considerados especialmente sensibles y respecto de los que se haya optado por proceder del siguiente modo > se identificarán utilizando lossistemas de etiquetado siguientes <especificar los criterios de etiquetado que serán comprensibles y consignificado para los usuarios autorizados, permitiéndoles identificar su contenido, y que sin embargodificultarán la identificación para el resto de personas>.

Los soportes se almacenarán de acuerdo a las siguientes normas: < indicar normas de etiquetado de lossoportes. Especificar el procedimiento de inventariado y almacenamiento de los mismos. El inventario desoportes puede anexarse al documento o gestionarse de forma automatizada, en este último caso seindicará en este punto el sistema informático utilizado>.

La salida de soportes y documentos que contengan datos de carácter personal, incluidos loscomprendidos en correos electrónicos, fuera de los locales bajo el control del responsable deltratamiento, deberá ser autorizada por el responsable del fichero o aquel en que se hubiera delegado deacuerdo al siguiente procedimiento <detallar el procedimiento a seguir para que se lleve a cabo laautorización. Tener en cuenta también los ordenadores portátiles y el resto de dispositivos móviles que puedan contener datos personales>.

En el Anexo III se incluirán los documentos de autorización relativos a la salida de soportes quecontengan datos personales.

Los soportes que vayan a ser desechados, deberán ser previamente <detallar procedimiento a realizar para su destrucción o borrado> de forma que no sea posible el acceso a la información contenida enellos o su recuperación posterior.

En el traslado de la documentación se adoptarán las siguientes medidas para evitar la sustracción,pérdida o acceso indebido a la información: <indicar las medidas y procedimientos previstos>.

AUTOMATIZADOS

NIVEL MEDIO: REGISTRO DE ENTRADA Y SALIDA DE SOPORTES

Las salidas y entradas de soportes correspondientes a los ficheros de nivel medio y alto, seránregistradas de acuerdo al siguiente procedimiento: <Detallar el procedimiento por el que se registraránlas entradas y salidas de soportes>.




INNOVACIÓN PYME



El registro de entrada y salida de soportes se gestionará mediante < indicar la forma en que sealmacenará el registro, que puede ser manual o informático> y en el que deberán constar <indicar loscampos del registro, que deberán ser, al menos, en el caso de las entradas, el tipo de documento osoporte, la fecha y hora, el emisor, el número de documentos o soportes incluidos en el envío, el tipo deinformación que contienen, la forma de envío y la persona autorizada responsable de la recepción; y enel caso de las salidas, el tipo de documento o soporte, la fecha y hora, el destinatario, el número de

documentos o soportes incluidos en el envío, el tipo de información que contienen, la forma de envío y la persona autorizada responsable de la entrega>.

<En caso de gestión automatizada se indicará en este punto el sistema informático utilizado >.

AUTOMATIZADOS

NIVEL ALTO: GESTIÓN Y DISTRIBUCIÓN DE SOPORTES

En este caso los soportes se identificarán mediante el sistema de etiquetado <especificar los criterios deetiquetado que resultarán comprensibles y con significado para los usuarios con acceso autorizados, permitiéndoles identificar su contenido y dificultando la identificación para el resto de personas>.

La distribución y salida de soportes que contengan datos de carácter personal de los ficheros de nivelalto se realizará <indicar el procedimiento para cifrar los datos o, en su caso, para utilizar el mecanismoque garantice que dicha información no sea inteligible ni manipulada durante su transporte. Igualmentese cifrarán los datos que contengan los dispositivos portátiles cuando se encuentren fuera de lasinstalaciones que están bajo control del responsable>.

Los siguientes dispositivos portátiles <relacionar aquellos que no permitan el cifrado de los datos personales>, debido a las razones indicadas <motivar la necesidad de hacer uso de este tipo dedispositivos>, se utilizarán en el tratamiento de datos personales adoptándose las medidas que acontinuación se explicitan <relacionar las medidas alternativas que tendrán en cuenta los riesgos derealizar tratamientos en entornos desprotegidos>.

MANUALES

CRITERIOS DE ARCHIVO

El archivo de los soportes o documentos se realizará de acuerdo con los criterios < indicar los previstosen la legislación que les afecte o en su defecto, los establecidos por el responsable del fichero, que encualquier caso garantizarán la correcta conservación de los documentos, la localización y consulta de lainformación y posibilitarán el ejercicio de los derechos de oposición al tratamiento, acceso, rectificación y cancelación>.

MANUALES

ALMACENAMIENTO DE LA INFORMACIÓN

Los siguientes dispositivos <relacionarlos así como aquellas de sus características que obstaculicen suapertura. Cuando sus características físicas no permitan adoptar esta medida, el responsable adoptará

medidas que impidan el acceso a la información de personas no autorizadas> se utilizarán para guardarlos documentos con datos personales.

NIVEL ALTO: Los elementos de almacenamiento <indicar tipos como armarios, archivadores u otroselementos utilizados> respecto de los documentos con datos personales, se encuentran en < indicar lugares físicos y protección con que cuenta el acceso a las mismas, como llaves u otros dispositivos. Además estos lugares permanecerán cerrados en tanto no sea preciso el acceso a los documentos. Si a lavista de las características de los locales no fuera posible cumplir lo anteriormente indicado, seadoptarán medidas alternativas que se reflejarán en este punto>.

MANUALES

CUSTODIA DE SOPORTES




INNOVACIÓN PYME



En tanto los documentos con datos personales no se encuentren archivados en los dispositivos dealmacenamiento indicados en el punto anterior, por estar en proceso de tramitación, las personas quese encuentren a su cargo deberán custodiarlos e impedir el acceso a personas no autorizadas.

ACCESO A DATOS A TRAVÉS DE REDES DE COMUNICACIONES

<Las medidas de seguridad exigibles a los accesos a los datos de carácter personal a través de redes de

comunicaciones, sean o no públicas, garantizarán un nivel de seguridad equivalente al exigido para losaccesos en modo local. Relacionar los accesos previstos y los ficheros a los que se prevea acceder >.

AUTOMATIZADOS

NIVEL ALTO: Los datos personales correspondientes a los ficheros de nivel alto, que se transmitan através de redes públicas o inalámbricas de comunicaciones electrónicas se realizará cifrandopreviamente estos datos <indicar en su caso otros mecanismos distintos del cifrado que se utilicen y quegaranticen que la información no sea inteligible ni manipulada por terceros. También es adecuado cifrar los datos en red local >.

RÉGIMEN DE TRABAJO FUERA DE LOS LOCALES DE LA UBICACIÓN DEL FICHERO

Se pueden llevar a cabo los siguientes tratamientos de datos personales <relacionar los ficheros a que

afecten estos tratamientos> fuera de los locales del responsable del fichero <indicar en su caso, losdistintos locales a los que deban circunscribirse, especialmente en el supuesto de que se realicentratamientos por un encargado del tratamiento que se especificará>, así como mediante dispositivosportátiles. Esta autorización regirá durante <indicar el período de validez de la misma>.

<Esta autorización puede realizarse para unos usuarios concretos que hay que indicar o para un perfil deusuarios>.

<Se debe garantizar el nivel de seguridad correspondiente>.

MANUALES

NIVEL ALTO: TRASLADO DE DOCUMENTACIÓN

Siempre que se proceda al traslado físico de la documentación contenida en un fichero, deberánadoptarse las siguientes medidas <relacionar las medidas necesarias y en su caso alternativasrecomendadas, orientadas a impedir el acceso o manipulación de la información objeto de traslado >.

FICHEROS TEMPORALES O COPIAS DE TRABAJO DE DOCUMENTOS

Los ficheros temporales o copias de documentos creados exclusivamente para trabajos temporales oauxiliares, deberán cumplir el nivel de seguridad que les corresponda con arreglo a los criteriosexpresados en el Reglamento de medidas de seguridad, y serán borrados o destruidos una vez quehayan dejado de ser necesarios para los fines que motivaron su creación.

MANUALES

NIVEL ALTO: COPIA O REPRODUCCIÓN

La realización de copias o reproducción de los documentos con datos personales sólo se podrán llevar acabo bajo el control del siguiente personal autorizado <indicar los usuarios o perfiles habilitados paraello>.

Las copias desechadas deberán ser destruidas imposibilitando el posterior acceso a la informacióncontenida <indicar los medios a utilizar o puestos a disposición de los usuarios para ello >.

AUTOMATIZADOS: COPIAS DE RESPALDO Y RECUPERACIÓN

Se realizarán copias de respaldo, salvo que no se hubiese producido ninguna actualización de los datos,con la siguiente periodicidad <especificarla, y en todo caso será como mínimo una vez a la semana >.

Los procedimientos establecidos para las copias de respaldo y para su recuperación garantizarán sureconstrucción en el estado en que se encontraban al tiempo de producirse la pérdida o destrucción. En

el caso de los ficheros parcialmente automatizados siguientes < indicarlos>, se grabarán manualmente




INNOVACIÓN PYME



los datos. <Para la grabación manual indicada deberá existir documentación que permita dichareconstrucción>.

El responsable del fichero verificará semestralmente los procedimientos de copias de respaldo yrecuperación de los datos.

Las pruebas anteriores a la implantación o modificación de sistemas de información se realizarán con

datos reales previa copia de seguridad, y garantizando el nivel correspondiente al tratamiento realizado.

En el Anexo I se detallan los procedimientos de copia y recuperación de respaldo para cada fichero.

NIVEL ALTO: En los ficheros de nivel alto se conservará una copia de respaldo y de los procedimientosde recuperación de los datos en <especificar el lugar, diferente de donde se encuentran los sistemasinformáticos que los tratan, y que deberá cumplir las medidas de seguridad, o utilizando elementos quegaranticen la integridad y recuperación de la información de forma que sea recuperable >.

NIVEL MEDIO: RESPONSABLE DE SEGURIDAD

Se designa como responsable de seguridad <indicarlo/s en el caso de que se prevea que sean varios>,que con carácter general se encargará de coordinar y controlar las medidas definidas en estedocumento de seguridad. <La designación puede ser única para todos los ficheros o diferenciada según

los sistemas de tratamiento, lo que se especificará en este documento, en la parte correspondiente del Anexo I>.

En ningún caso, la designación supone una exoneración de la responsabilidad que corresponde a<denominación responsable del fichero o del encargado del tratamiento> como responsable del ficherode acuerdo con el RLOPD.

El responsable de seguridad desempeñará las funciones encomendadas durante el periodo de < indicar periodo de desempeño del cargo>. Una vez transcurrido este plazo <denominación responsable del fichero> podrá nombrar al mismo responsable de seguridad o a otro diferente.

En el Anexo II se encuentran las copias de los nombramientos de responsables de seguridad.

3. INFORMACIÓN Y OBLIGACIONES DEL PERSONAL

INFORMACIÓN AL PERSONAL

Para asegurar que todas las personas conocen las normas de seguridad que afectan al desarrollo de susfunciones, así como las consecuencias del incumplimiento de las mismas, serán informadas de acuerdocon el siguiente procedimiento: <indicar el procedimiento por el cual se informará a cada persona, en función de su perfil, de las normas que debe cumplir y de las consecuencias de no hacerlo. Puede ser conveniente incluir algún sistema de acuse de recibo de la información>.

<Si se estima oportuna, la remisión periódica de información sobre seguridad: circulares, recordatorios,nuevas normas, indicar aquí el procedimiento y las personas autorizadas para hacerlo >.

FUNCIONES Y OBLIGACIONES DEL PERSONAL

Todo el personal que acceda a los datos de carácter personal está obligado a conocer y observar las

medidas, normas, procedimientos, reglas y estándares que afecten a las funciones que desarrolla.

Constituye una obligación del personal notificar al <responsable del fichero o de seguridad en su caso>las incidencias de seguridad de las que tengan conocimiento respecto a los recursos protegidos, segúnlos procedimientos establecidos en este Documento, y en concreto en el apartado de “Procedimientosde notificación, gestión y respuesta ante las incidencias.”

Todas las personas deberán guardar el debido secreto y confidencialidad sobre los datos personales queconozcan en el desarrollo de su trabajo.

Funciones y obligaciones de <incluir un punto con las obligaciones detalladas de los perfiles que afectana todos los ficheros, como por ejemplo, administradores de los sistemas, responsables de informática,responsable/s de seguridad si existe/n, responsables de seguridad física, etc. Es importante que se

concrete la persona o cargo que corresponde a cada perfil. También deben contemplarse los




INNOVACIÓN PYME



procedimientos de actuación o delegación de funciones para casos de ausencia. Este apartado se propone principalmente como un recopilatorio que agrupe las medidas que en el resto del Documento seasignan a perfiles concretos>.

El personal que realice trabajos que no impliquen el tratamiento de datos personales tendrán limitadoel acceso a estos datos, a los soportes que los contengan, o a los recursos del sistema de información.

Cuando se trate de personal ajeno, el contrato de prestación de servicios recogerá expresamente laprohibición de acceder a los datos personales y la obligación de secreto respecto de aquellos datos quehubiera podido conocer durante la prestación del servicio.

Se delegan las siguientes autorizaciones en los usuarios relacionados < indicar usuarios, o perfiles y autorizaciones que el responsable del fichero delega en ellos para su ejercicio >.

CONSECUENCIAS DEL INCUMPLIMIENTO DEL DOCUMENTO DE SEGURIDAD

El incumplimiento de las obligaciones y medidas de seguridad establecidas en el presente documentopor el personal afectado, se sancionará conforme a <indicar la normativa sancionadora aplicable>.

4. PROCEDIMIENTOS DE NOTIFICACIÓN, GESTIÓN Y RESPUESTA ANTE LAS INCIDENCIAS

Se considerarán como "incidencias de seguridad", entre otras, cualquier incumplimiento de la normativadesarrollada en este Documento de Seguridad, así como a cualquier anomalía que afecte o puedaafectar a la seguridad de los datos de carácter personal de <denominación del responsable del fichero>.

El procedimiento a seguir para la notificación de incidencias será <especificar concretamente los procedimientos de notificación y gestión de incidencias, indicando quien tiene que notificar la incidencia,a quien y de qué modo, así como quien gestionará la incidencia>.

El registro de incidencias se gestionará mediante <indicar la forma en que se almacenará el registro, que puede ser manual o informático, y en el que deberán constar, al menos, el tipo de incidencia, el momentoen que se ha producido o en su caso detectado, la persona que realiza la notificación, a quién secomunica, los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas. En caso

de gestión automatizada se indicará en este punto el sistema informático utilizado>.AUTOMATIZADOS

NIVEL MEDIO: En el registro de incidencias se consignarán también los procedimientos de recuperaciónde datos que afecten a los ficheros de nivel medio y alto, del modo que se indica a continuación<detallar el procedimiento para registrar las recuperaciones de datos, que deberá incluir la persona queejecutó el proceso, los datos restaurados y, en su caso, que datos ha sido necesario grabar manualmenteen el proceso de recuperación. En caso de gestión automatizada, se deberá prever la existencia de uncódigo específico para recuperaciones de datos, en la información relativa al tipo de incidencia >.

NIVEL MEDIO: Para ejecutar los procedimientos de recuperación de datos en los ficheros mencionadosen el párrafo anterior, será necesaria la autorización por escrito del responsable del fichero.

En el Anexo III se incluirán los documentos de autorización del responsable del fichero relativos a laejecución de procedimientos de recuperación de datos.

5. PROCEDIMIENTOS DE REVISIÓN

REVISIÓN DEL DOCUMENTO DE SEGURIDAD

El documento deberá mantenerse en todo momento actualizado y deberá ser revisado siempre que seproduzcan cambios relevantes en el sistema de información, en el contenido de la información incluidaen los ficheros o como consecuencia de los controles periódicos realizados. En todo caso se entenderácomo cambio relevante cuando pueda repercutir en el cumplimiento de las medidas de seguridadimplantadas. Asimismo, deberá adecuarse, en todo momento, a las disposiciones vigentes en materia deseguridad de los datos de carácter personal.




INNOVACIÓN PYME



<Especificar los procedimientos previstos para la modificación del documento de seguridad, conespecificación concreta de las personas que pueden o deben proponerlos y aprobarlos, así como para lacomunicación de las modificaciones al personal que pueda verse afectado>.

NIVEL MEDIO: AUDITORÍA

<Indicar los procedimientos para realizar la auditoría interna o externa que verifique el cumplimiento del

Título VIII del RLOPD, referente a las medidas de seguridad, según lo indicado en sus artículos 96 y 110respecto de ficheros automatizados y no automatizados respectivamente, y que debe realizarse al menoscada dos años.

Con carácter extraordinario deberá realizarse cuando se lleven a cabo modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas, con el objeto de verificar la adaptación, adecuación y eficacia de las mismas. Esta auditorÍainicia el cómputo de dos años señalado.

El informe analizará la adecuación de las medidas y controles a la Ley y su desarrollo reglamentario,identificará las deficiencias y propondrá las medidas correctoras o complementarias necesarias.

Los informes de auditoría han de ser analizados por el responsable de seguridad competente, queelevará las conclusiones al responsable del fichero para que adopte las medidas correctoras y quedará adisposición de la Agencia Española de Protección de Datos, o en su caso de las autoridades de control delas comunidades autónomas>.

AUTOMATIZADOSNIVEL ALTO: INFORME MENSUAL SOBRE EL REGISTRO DE ACCESOS

<Indicar los procedimientos para realizar el informe mensual sobre el registro de accesos a los datos denivel alto regulado por el artículo 103 del RLOPD>.




INNOVACIÓN PYME



ANEXO I

DESCRIPCIÓN DE FICHEROS

Actualizado a: < fecha de la última actualización del anexo>.

<Se incluirá un anexo de este tipo por cada fichero incluido en el ámbito del documento de

seguridad, podrían denominarse ANEXO I a, b, c, etc.>.

- Nombre del fichero o tratamiento: <rellenar con nombre del fichero>.- Unidad/es con acceso al fichero o tratamiento: <especificar departamento unidad con

acceso al fichero, si aporta alguna información>.- Identificador y nombre del fichero en el Registro General de Protección de Datos de la

Agencia Española de Protección de Datos: <rellenar los siguientes campos con los datosrelativos a la inscripción del fichero en el Registro General de Protección de Datos(RPGD)>.

o

Identificador: <código de inscripción>o Nombre: <nombre inscrito>o Descripción: <descripción inscrita>

- Nivel de medidas de seguridad a adoptar: <básico, medio o alto>.

NIVEL MEDIO: RESPONSABLE DE SEGURIDAD

<Persona designada por el responsable del fichero al objeto de coordinar y controlar las medidas incluidas en este documento para este fichero, en el casode que existan varios, o para todos los ficheros en el supuesto de que se tratede designación única>.

- Administrador: <persona designada para conceder, alterar, o anular el accesoautorizado a los datos>.

- Leyes o regulaciones aplicables que afectan al fichero o tratamiento <si existen>.- Código Tipo Aplicable: <se indicará aquí si el fichero está incluido en el ámbito de

alguno de los códigos tipo regulados por el articulo 32 de la LOPD>. - Estructura del fichero principal: <incluir los tipos de datos personales contenidos en el

fichero, especificando aquellos que, por su naturaleza, afectan al nivel de medidas deseguridad a adoptar, según lo indicado en el artículo 81 del Reglamento de desarrollode la LOPD >.

- Información sobre el fichero o tratamientoo Finalidad y usos previstos.o Personas o colectivos sobre los que se pretenda obtener o que resulten

obligados a suministrar los datos personales, y procedencia de los datos:<indicar procedencia de los datos, quién suministra los datos>.

o Procedimiento de recogida: <encuestas, formularios en papel, Internet. ..>.o Cesiones previstas: <relacionar los destinatarios de los datos previstos>. o Transferencias Internacionales: <relacionar las transferencias internacionales,

especificando si ha sido necesaria la autorización del Director de la AgenciaEspañola de Protección de Datos>.

o Sistema de tratamiento: <automatizado, manual o mixto>.




INNOVACIÓN PYME



o Servicio o Unidad ante el que puedan ejercitarse los derechos de acceso,rectificación, cancelación y oposición: <indicar la unidad y/o dirección. Deben

preverse además, los procedimientos internos para responder a las solicitudesde ejercicio de derechos de los interesados>.

o Descripción detallada de las copias de respaldo y de los procedimientos de

recuperación <Especificar la periodicidad de las copias (que debe ser al menossemanal). Si se trata de ficheros manuales y tienen prevista alguna medida eneste sentido, detallarla>.

o Información sobre conexión con otros sistemas: <Describir las posiblesrelaciones con otros ficheros del mismo responsable>.

o Funciones del personal con acceso a los datos personales: <Especificar lasdiferentes funciones y obligaciones de cada una de las personas con acceso alos datos de carácter personal y sistema de información específicos de este

fichero>.o Descripción de los procedimientos de control de acceso e identificación:

<Cuando sean específicos para el fichero>. o

Relación actualizada de usuarios con acceso autorizado: <Relacionar todos losusuarios que acceden al fichero, con especificación del tipo o grupo de usuariosal que pertenecen, su clave de identificación, nombre y apellidos, unidad, fechade alta y fecha de baja>.

<Si la relación se mantiene de forma informatizada, indicar aquí cual es el sistemautilizado y la forma de obtener el listado. No obstante, siempre que sea posible, esconveniente imprimir la relación de usuarios y adjuntarla periódicamente a este

Anexo>.

ANEXO II

NOMBRAMIENTOS

< Adjuntar original o copia de los nombramientos que afecten a los diferentes perfiles incluidosen este documento, como el del responsable de seguridad >.

ANEXO III

AUTORIZACIONES DE SALIDA O RECUPERACIÓN DE DATOS

< Adjuntar las autorizaciones que el responsable del fichero ha firmado para la salida desoportes que contengan datos de carácter personal, incluyendo aquellas que se refieran asalidas que tengan un carácter periódico o planificado. Incluir asimismo, las autorizaciones

relativas a la ejecución de los procedimientos de recuperación de datos>.

ANEXO IV

DELEGACIÓN DE AUTORIZACIONES

En su caso, personas en las que el responsable del fichero ha delegado < Indicar lasautorizaciones, tales como: salida de dispositivos portátiles, la copia o reproducción dedocumentos en soporte papel,…>.




INNOVACIÓN PYME



ANEXO V

INVENTARIO DE SOPORTES

<Si el inventario de soportes no está informatizado, recoger en este anexo la información al

efecto, según lo indicado en el apartado de “Gestión de soportes y Documentos” de estedocumento. Los soportes deberán permitir identificar el tipo de información, que contienen, ser inventariados y almacenarse en un lugar con acceso restringido al personal autorizado paraello en este documento>.

<Si el inventario de soportes está informatizado, indicar la aplicación o ruta de acceso del archivo que lo contiene>.

ANEXO VI

REGISTRO DE INCIDENCIAS

<Si el registro de incidencias no está informatizado, recoger en este anexo la información al efecto, según lo indicado en el apartado de "Procedimientos de notificación, gestión y respuesta ante las incidencias" de este documento>.

<Si el registro de incidencias está informatizado, indicar la aplicación o ruta de acceso del acceso del archivo de lo contiene>.

ANEXO VII

ENCARGADOS DE TRATAMIENTO

<Cuando el acceso de un tercero a los datos del responsable del fichero sea necesario para la prestación de un servicio a este último, no se considera que exista comunicación de datos.Recoger aquí el contrato que deberá constar por escrito o de alguna otra forma que permitaacreditar su celebración y contenido, y que establecerá expresamente que el encargado detratamiento tratará los datos conforme a las instrucciones del responsable del tratamiento,que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, y que no loscomunicarán, ni siquiera para su conservación a otras personas.

El contrato estipulará las medidas de seguridad a que se refiere el artículo 9 de la LOPD que el encargado del tratamiento está obligado a implementar >.

ANEXO VIIIREGISTRO DE ENTRADA Y SALIDA DE SOPORTES

<Si el registro de entrada y salida de soportes al que se refiere el apartado de "Gestión desoportes y documentos", y que es obligatorio a partir del nivel medio, no está informatizado,recoger en este anexo la información al efecto, según lo indicado el artículo 97 del RLOPD>.

<Si el registro de entrada y salida está informatizado, indicar la aplicación o ruta de acceso del acceso del archivo de lo contiene>.




INNOVACIÓN PYME



ANEXO IX

MEDIDAS ALTERNATIVAS

<En el caso de que no sea posible adoptar las medidas exigidas por el RLOPD en relación con laidentificación de los soportes, los dispositivos de almacenamiento de los documentos o los

sistemas de almacenamiento de la información, indicar las causas que justifican que ello no sea posible y las medias alternativas que se han adoptado>.

INFORMACIÓN PREVIA A LA RECOGIDA DE LOS DATOS

EL DEBER DE INFORMACIÓN.

El titular de los datos que van a ser objeto de tratamiento deberá ser informado de los siguientescontenidos:

- De la existencia de un fichero o tratamiento de datos, la finalidad de la recogida y destinatariosde la información.

- Del carácter obligatorio o facultativo de su respuesta a las preguntas planteadas.- De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.- De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.- De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.- Cuando se utilicen cuestionarios u otros impresos para la recogida de datos, figurarán, de

forma clara y legible, las advertencias recogidas anteriormente.

Un modelo de texto informativo puede ser el siguiente:

“Los datos personales recogidos serán incorporados y tratados en el fichero (indicar nombre), cuya finalidad es (describirla), y podrán ser cedidos a (indicar), además de otras cesiones previstas en la Ley. El órgano responsable del fichero es (indicarlo), y la dirección donde el interesado podrá ejercer losderechos de acceso, rectificación, cancelación y oposición ante el mismo es (indicarla), todo lo cual se

informa en cumplimiento del artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección deDatos de Carácter Personal.”

Cuando los datos de carácter personal no hayan sido recabados del interesado, éste deberá serinformado de forma expresa, precisa e inequívoca, por el responsable del fichero o su representante,dentro de los tres meses siguientes al momento del registro de los datos.

A tal efecto, el artículo 5 de la Ley Orgánica de Protección de Datos establece lo siguiente:

Derecho de información en la recogida de datos

1. Los interesados a los que se soliciten datos personales deberán ser previamente informados de

modo expreso, preciso e inequívoco:

a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad

de la recogida de éstos y de los destinatarios de la información.

b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean

planteadas.

c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.

d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.

e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su

representante.

Cuando el responsable del tratamiento no esté establecido en el territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, deberá designar, salvo que




INNOVACIÓN PYME



tales medios se utilicen con fines de tránsito, un representante en España, sin perjuicio de lasacciones que pudieran emprenderse contra el propio responsable del tratamiento.

2. Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, en

forma claramente legible, las advertencias a que se refiere el apartado anterior.

3. No será necesaria la información a que se refieren las letras b), c) y d) del apartado 1 si el contenido

de ella se deduce claramente de la naturaleza de los datos personales que se solicitan o de lascircunstancias en que se recaban.

4. Cuando los datos de carácter personal no hayan sido recabados del interesado, éste deberá ser

informado de forma expresa, precisa e inequívoca, por el responsable del fichero o su representante,

dentro de los tres meses siguientes al momento del registro de los datos, salvo que ya hubiera sido

informado con anterioridad, del contenido del tratamiento, de la procedencia de los datos, así como

de lo previsto en las letras a), d) y e) del apartado 1 del presente artículo.

5. No será de aplicación lo dispuesto en el apartado anterior cuando expresamente una Ley lo prevea,

cuando el tratamiento tenga fines históricos, estadísticos o científicos, o cuando la información al

interesado resulte imposible o exija esfuerzos desproporcionados, a criterio de la Agencia de

Protección de Datos o del organismo autonómico equivalente, en consideración al número de

interesados, a la antigüedad de los datos y a las posibles medidas compensatorias.

Asimismo, tampoco regirá lo dispuesto en el apartado anterior cuando los datos procedan de fuentesaccesibles al público y se destinen a la actividad de publicidad o prospección comercial, en cuyo caso, encada comunicación que se dirija al interesado se le informará del origen de los datos y de la identidad del responsable del tratamiento así como de los derechos que le asisten.

Derecho de información en la recogida de datos de carácter personal

Los interesados cuyos datos personales sean objeto de tratamiento deberán ser previamente informadosde modo expreso, preciso e inequívoco de los extremos señalados en el artículo 5 de la Ley Orgánica15/1999, de 13 de diciembre, en la forma y condiciones establecidas en ese mismo artículo.

DERECHOS DE ACCESO RECTIFICACIÓN CANCELACIÓN Y OPOSICIÓN. (ARCO)

Los denominados derechos ARCO son el conjunto de acciones a través de las cuales una persona físicapuede ejercer el control sobre sus datos personales. Estos derechos se regulan en el Título III de la LeyOrgánica de Protección de Datos (LOPD) y en el Título III de su Reglamento de Desarrollo, y son cuatro:

Acceso, Rectificación, Cancelación y Oposición.

Se trata de derechos cuyo ejercicio es personalísimo, es decir, que sólo pueden ser ejercidos por eltitular de los datos, por su representante legal o por un representante acreditado, de forma que elresponsable del fichero puede denegar estos derechos cuando la solicitud sea formulada por personadistinta del afectado y no se acredite que actúa en su representación.

El ejercicio de estos derechos se debe llevar a cabo mediante medios sencillos y gratuitos puestos a

disposición por el responsable del fichero y que están sujetos a plazo, por lo que resulta necesarioestablecer procedimientos para su satisfacción. Si la persona reclamante cree que sus derechos no hansido atendidos en forma y plazo según la LOPD y su reglamento, puede acudir a la tutela de la AgenciaEspañola de Protección de Datos (AEPD).

DERECHO DE ACCESO

El derecho de acceso es el derecho del afectado a obtener información sobre si sus propios datos decarácter personal están siendo objeto de tratamiento, la finalidad del tratamiento que, en su caso, seesté realizando, así como la información disponible sobre el origen de dichos datos y las comunicacionesrealizadas o previstas de los mismos.

No es necesaria la respuesta se ha ejercitado el derecho en los últimos doce meses.




INNOVACIÓN PYME



El responsable del fichero resolverá sobre la solicitud de acceso en el plazo máximo de un mes a contardesde la recepción de la solicitud. El acceso podrá hacerse efectivo durante 10 días hábiles tras lacomunicación de la resolución.

Si la respuesta a la solicitud de acceso es negativa, debe motivarse e indicar que cabe invocar la tutelade la AEPD. La negación de acceso puede basarse en que ya se haya ejercitado en los doce meses

anteriores a la solicitud (salvo que se acredite un interés legítimo al efecto) o que una Ley o una normade derecho comunitario de aplicación directa así lo prevea o cuando éstas impidan al responsable deltratamiento revelar a los afectados el tratamiento de sus datos.

DERECHO DE RECTIFICACIÓN

Derecho del afectado a que se modifiquen los datos que resulten ser inexactos o incompletos.

EL interesado debe indicar a qué datos se refiere y la corrección que haya de realizarse aportandodocumentación.

El responsable del fichero debe actuar en respuesta a la solicitud en un plazo de 10 días hábiles.

En caso de que la respuesta a la solicitud sea negativa, debe indicarse la razón e informar al interesadoque puede solicitar la tutela de la AEPD.

DERECHO DE CANCELACIÓN

Derecho del interesado a solicitar la cancelación de sus datos que pudieran resultar inadecuados,innecesarios o excesivos.

El solicitante debe indicarse el dato a cancelar y la causa que lo justifica, aportando documentación.

El responsable del fichero debe responder en un plazo de 10 días hábiles.

Si la respuesta es negativa, debe justificarse e indicar que cabe la solicitud de tutela de derechos a laAEPD.

La cancelación no procederá cuando los datos de carácter personal deban ser conservados durante losplazos previstos en las disposiciones aplicables o, en su caso, en las relaciones contractuales entre la

persona o entidad responsable del tratamiento y el interesado que justificaron el tratamiento de losdatos.

DERECHO DE OPOSICIÓN

Derecho del afectado a que no se lleve a cabo el tratamiento de sus datos de carácter personal o se ceseen el mismo en los supuestos en que no sea necesario su consentimiento para el tratamiento, que setrate de ficheros de prospección comercial o que tengan la finalidad de adoptar decisiones referidas alinteresado y basadas únicamente en el tratamiento automatizado de sus datos.

EL interesado debe justificar los motivos fundados y legítimos para solicitar la oposición al tratamientode sus datos.

El responsable del fichero debe responder en un plazo de 10 días hábiles.

Si la respuesta es negativa, debe justificarse e indicar que cabe la solicitud de tutela de derechos a laAEPD.

Envío de Comunicaciones Comerciales – SPAM

Hemos visto que cuando los datos han sido recogidos de “Fuentes Accesibles al Público”, según ladefinición contenida en la LOPD, no será necesario el consentimiento del interesado para la realizaciónde comunicaciones comerciales. Sí se debe informar del origen de los datos, de la posibilidad de ejercerlos derechos ARCO y atender las solicitudes que a este respecto haga el afectado.

¿Qué es el Spam?

Actualmente se denomina Spam o “correo basura” a todo tipo de comunicación no solicitada, realizada

por vía electrónica. De este modo se entiende por Spam cualquier mensaje no solicitado y que




INNOVACIÓN PYME



normalmente tiene el fin de ofertar, comercializar o tratar de despertar el interés respecto de unproducto, servicio o empresa. Aunque se puede hacer por distintas vías, la más utilizada entre elpúblico en general es mediante el correo electrónico.

La Ley de Servicios de la Sociedad de la Información, en su artículo 21.1 prohíbe de forma expresa elenvío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de

comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamenteautorizadas por los destinatarios de las mismas. Es decir, se desautorizan las comunicaciones dirigidas ala promoción directa o indirecta de los bienes y servicios de una empresa, organización o persona querealice una actividad comercial, industrial, artesanal o profesional, si bien esta prohibición encuentra laexcepción en el segundo párrafo del artículo, que autoriza el envío cuando exista una relacióncontractual previa y se refiera a productos similares. De este modo, el envío de comunicacionescomerciales no solicitadas puede constituir una infracción leve o grave de la LSSI.

Además de suponer una infracción a la Ley de Servicios de la Sociedad de la Información, la práctica delSpam puede significar una vulneración del derecho a la intimidad y el incumplimiento de la legislaciónsobre protección de datos, ya que hay que tener en cuenta que la dirección de correo electrónicopuede ser considerada como dato de carácter personal.

Régimen Sancionador

Infracciones y sanciones.

En numerosas ocasiones, los empresarios ven el proceso de adopción de la política de protección dedatos en su organización como un gasto más, una carga que la Administración impone a losempresarios.

Es cierto que la normativa vigente en materia de protección de datos de carácter personal es deobligado cumplimiento, pues en la misma se recogen una serie de sanciones en caso de incumplimientoque analizaremos en este apartado.

No obstante, podemos enumerar una serie de beneficios que supone el adoptar la política de protección

de datos en una organización, que van más allá del miedo a una posible sanción:1. Garantía de un derecho fundamental de los ciudadanos.2. Imagen y confianza frente a terceros.3. Gestión y protección adecuada de la información que se maneja dentro de una organización.

En el caso de que estos argumentos no convenzan lo suficiente, habrá que tener en cuenta que la LOPDen su Título VII recoge los tipos de infracciones y sanciones que lleva aparejado el incumplimiento de lamisma.

LAS INFRACCIONES SE CLASIFICAN EN

LEVES GRAVES MUY GRAVES

Sancionadas con multas entre

900 y 40.000 €.


40.000 a 300.000 €.


300.000 a 600.000 €

Son infracciones leves:

No atender por motivos formales, la solicitud del interesado de rectificación o cancelación delos datos personales objeto de tratamiento cuando legalmente proceda.




INNOVACIÓN PYME



No proporcionar la información que solicite la Agencia de Protección de Datos en el ejerciciode las competencias que tiene legalmente atribuidas, en relación con aspectos sustantivos de laprotección de datos.

No solicitar la inscripción del fichero de datos de carácter personal en el Registro General deProtección de Datos, cuando no sea constitutivo de infracción grave.

Proceder a la recogida de datos de carácter personal de los propios afectados sinproporcionarles la información que señala el artículo 5 de la LOPD.

Incumplir el deber de secreto establecido en el artículo 10 de la LOPD, salvo que constituyainfracción grave.

Son infracciones graves:

Proceder a la creación de ficheros de titularidad pública o iniciar la recogida de datos de

carácter personal para los mismos, sin autorización de disposición general, publicada en el

"Boletín Oficial del Estado" o diario oficial correspondiente.

Proceder a la creación de ficheros de titularidad privada o iniciar la recogida de datos de

carácter personal para los mismos con finalidades distintas de las que constituyen el objeto

legítimo de la empresa o entidad.

Proceder a la recogida de datos de carácter personal sin recabar el consentimiento expreso de

las personas afectadas, en los casos en que éste sea exigible.

Tratar los datos de carácter personal o usarlos posteriormente con conculcación de los

principios y garantías establecidos en la presente Ley o con incumplimiento de los preceptos de

protección que impongan las disposiciones reglamentarias de desarrollo, cuando no constituya

infracción muy grave.

El impedimento o la obstaculización del ejercicio de los derechos de acceso y oposición y la

negativa a facilitar la información que sea solicitada.

Mantener datos de carácter personal inexactos, o no efectuar las rectificaciones o

cancelaciones de los mismos que legalmente procedan cuando resulten afectados los derechos

de las personas que la LOPD ampara.

La vulneración del deber de guardar secreto sobre los datos de carácter personal incorporados

a ficheros que contengan datos relativos a la comisión de infracciones administrativas o

penales, Hacienda Pública, servicios financieros, prestación de servicios de solvencia

patrimonial y crédito, así como aquellos otros ficheros que contengan un conjunto de datos de

carácter personal suficientes para obtener una evaluación de la personalidad del individuo.

Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personalsin las debidas condiciones de seguridad que por vía reglamentaria se determinen.

No remitir a la Agencia Española de Protección de Datos las notificaciones previstas en esta Ley

o en sus disposiciones de desarrollo, así como no proporcionar en plazo a la misma cuantos

documentos e informaciones deba recibir o sean requeridos por aquél a tales efectos.

La obstrucción al ejercicio de la función inspectora.

No inscribir el fichero de datos de carácter personal en el Registro General de Protección de

Datos, cuando haya sido requerido para ello por el Director de la Agencia Española de

Protección de Datos.




INNOVACIÓN PYME



Incumplir el deber de información que se establece en los artículos 5,28 Y 29 de la LOPD,

cuando los datos hayan sido recabados de persona distinta del afectado.

Son infracciones muy graves:

La recogida de datos en forma engañosa y fraudulenta.

La comunicación o cesión de los datos de carácter personal, fuera de los casos en que esténpermitidas.

Recabar y tratar los datos de carácter personal a los que se refiere el apartado 2 del artículo 7cuando no medie el consentimiento expreso del afectado; recabar y tratar los datos referidosen el apartado 3 del artículo 7 cuando no lo disponga una Ley o el afectado no haya consentidoexpresamente, o violentar la prohibición contenida en el apartado 4 del artículo 7.

No cesar en el uso ilegítimo de los tratamientos de datos de carácter personal cuando searequerido para ello por el Director de la Agencia Española de Protección de Datos o por laspersonas titulares del derecho de acceso.

La transferencia temporal o definitiva de datos de carácter personal que hayan sido objeto detratamiento o hayan sido recogidos para someterlos a dicho tratamiento, con destino a paísesque no proporcionen un nivel de protección equiparable sin autorización del Director de laAgencia Española de Protección de Datos.

Tratar los datos de carácter personal de forma ilegítima o con menosprecio de los principios ygarantías que les sean de aplicación, cuando con ello se impida o se atente contra el ejerciciode los derechos fundamentales.

La vulneración del deber de guardar secreto sobre los datos de carácter personal a que hacen

referencia los apartados 2 y 3 del artículo 7, así como los que hayan sido recabados para finespoliciales sin con sentimiento de las personas afectadas.

No atender, u obstaculizar de forma sistemática el ejercicio de los derechos de acceso,rectificación, cancelación u oposición.

No atender de forma sistemática el deber legal de notificación de la inclusión de datos decarácter personal en un fichero.




INNOVACIÓN PYME






INNOVACIÓN PYME



APENDICE I:

AVISO LEGAL Y POLÍTICA DE PRIVACIDAD PARA PÁGINAS WEB

Como complemento a la Guía Práctica de adaptación a la LOPD, se provee a continuación un “modelo de

aviso legal para páginas Web” , a fin de orientar al lector en el cumplimiento de la Ley 34/2002 de losServicios de la Sociedad de la Información y el Comercio Electrónico (LSSI-CE)

1. ObjetoEsta guía permite elaborar el aviso legal y la política de privacidad para las páginas web.

2. Ámbito de aplicaciónEl acceso a la cláusula elaborada, siguiendo el modelo presente, deberá incluirse obligatoriamenteen todas las páginas.

3. Creación de la cláusulaSeñala el artículo 10 de la Ley 34/2002 que “el prestador de servicios de la sociedad de la informaciónestará obligado a disponer de los medios que permitan, tanto a los destinatarios del servicio como a

los órganos competentes, acceder por medios electrónicos, de forma permanente, fácil, directa y gratuita, a la siguiente información:

a) Su nombre o denominación social; su residencia o domicilio o, en su defecto, la dirección de unode sus establecimientos permanentes en España; su dirección de correo electrónico y cualquier otro dato que permita establecer con él una comunicación directa y efectiva.

b) Los datos de su inscripción en el Registro a que se refiere el artículo 9.c) En el caso de que su actividad estuviese sujeta a un régimen de autorización administrativa

previa, los datos relativos a dicha autorización y los identificativos del órgano competenteencargado de su supervisión.

d) Si ejerce una profesión regulada deberá indicar:1º Los datos del Colegio profesional al que, en su caso, pertenezca y número de colegiado.2º El título académico oficial o profesional con el que cuente.

3º El Estado de la Unión Europea o del Espacio Económico Europeo en el que se expidió dichotítulo y, en su caso, la correspondiente homologación o reconocimiento.

4º Las normas profesionales aplicables al ejercicio de su profesión y los medios a través de loscuales se puedan conocer, incluidos los electrónicos.

e) El número de identificación fiscal que le corresponda. f) Información clara y exacta sobre el precio del producto o servicio, indicando si incluye o no los

impuestos aplicables y, en su caso, sobre los gastos de envío.g) Los códigos de conducta a los que, en su caso, esté adherido y la manera de consultarlos

electrónicamente.

El artículo 10 de la Ley indica que esta información ha de ponerse a disposición de los usuarios pormedios electrónicos, de forma permanente, fácil, directa y gratuita.

Estas condiciones se cumplen cuando la información está contenida en la página de inicio del prestadorde servicios o se inserta en páginas interiores relacionadas con el tipo de información de que se trate y alas que se pueda acceder a través de un enlace claramente visible, cuyo título aluda de forma inequívocaa la información de que se trate.

En cumplimiento de lo dispuesto en este artículo 10 y de otras recomendaciones, deberá incluirse enel sitio web una nueva pestaña o sección (se podría utilizar en la página de inicio la sección“Condiciones de uso”) en la que deberá ser accesibles, de forma permanente, los datos indicados enla plantilla propuesta en la sección siguiente:




INNOVACIÓN PYME



[Descripción del servicio/s prestado por la empresa]

La empresa

1. Titular: [razón social empresa]. 2. Dirección [indicar] 3. Dirección de correo electrónico: [indicar]

4. Teléfono de contacto: [indicar] 5. Fax número: [indicar] 6. [Datos de inscripción en el Registro Mercantil de razón social empresa]7. [Datos de inscripción en el Registro Mercantil del nombre de dominio]8. Número de identificación fiscal: [indicar]

1. Todos los contenidos del sitio web [dirección web] (incluyendo, sin carácter limitativo, basesde datos, imágenes y fotografías, dibujos, gráficos y archivos de texto) son propiedad de[indicar titular] o de los proveedores de contenidos, habiendo sido, en este último caso,objeto de licencia o cesión por parte de los mismos, y están protegidos por las normasnacionales e internacionales de propiedad intelectual, especialmente por el Texto refundido

de la Ley de Propiedad Intelectual aprobada por Real Decreto 1/1996 de 12 de abril. Losusuarios se comprometen a utilizar los contenidos puestos a disposición en [dirección web]de acuerdo con la citada Ley, así como la moral y las buenas costumbres aceptadas y elorden público.El usuario se abstendrá de llevar a cabo conductas que atenten contra losderechos de propiedad intelectual o industrial de [nombre titular], o de terceros, o quevulneren o transgredan la intimidad personal o familiar o la imagen de terceros, o que seanilícitos o atenten contra la moralidad. El usuario dejará en cualquier caso indemne a [nombredel titular] frente a cualquier reclamación, judicial o extra judicial que se presente frente aella como consecuencia de dicho uso.Las marcas, rótulos, signos distintivos o logos de sitioweb [dirección web] son propiedad de [indicar titular] y están debidamente registrados, sinque pueda entenderse cedidos al usuario ninguno de los derechos de explotación más alláque de lo estrictamente necesario para el correcto uso de la web.

Derechos de Propiedad Intelectual

3. Los textos, datos y dibujos gráficos son propiedad de [indicar titular] o de las entidadesproveedoras de información, no pudiendo ser objeto de ulterior modificación, copia,transformación, alteración, reproducción, adaptación o traducción por parte de terceros, sinla expresa autorización por parte del titular de dicho contenido. La puesta a disposición delos textos, datos y dibujos gráficos no implica, en ningún caso, la cesión de su titularidad o laconcesión de un derecho de explotación, reproducción, difusión, transformación,distribución, o transmisión a su favor, distinto del derecho de uso que comporta la utilizaciónlegítima de [dirección web].

1. [indicar titular] manifiesta que este sitio web dispone de la tecnología adecuada parapermitir el acceso y utilización del mismo. No obstante, [indicar titular] no se

responsabiliza por la eventual existencia de virus u otros elementos nocivos, introducidospor cualquier medio o por cualquier tercero, que puedan producir alteraciones en sussistemas informáticos.

Manifestaciones

2. El sitio web [dirección web] podría contener inexactitudes, omisiones relevantes,imprecisiones o erratas. [indicar titular] no garantiza, en ningún caso, la veracidad,exactitud y actualidad de los datos contenidos en su sitio web. El usuario que accede a[dirección web] exonera a [indicar titular] de cualquier responsabilidad en relación a lafiabilidad, utilidad o falsas expectativas que este sitio web pudiera producirle.




INNOVACIÓN PYME



Política de privacidad

<Nota: si se almacenan IPs (comunicarlo al RGPD)>

El usuario queda informado de que la utilización de los servicios de este sitio web conlleva elalmacenamiento de la dirección IP del usuario por motivos [indicar motivos]. Esta informaciónsólo estará accesible por el/los administradores del sitio web, comprometiéndose [razón social

empresa] a no comunicar esta información a terceros, conservándola con las debidas medidasde seguridad y observando la mas estricta confidencialidad, de acuerdo con lo estipulado en laL.O. 15/1999 de Protección de Datos de Carácter Personal. Podrá ejercer sus derechos deacceso, rectificación, cancelación y oposición dirigiéndose por escrito a: [razón social empresa] [indicar dirección].

El sitio web [dirección web] no utiliza cookies ni otros medios técnicos que permitan identificara los usuarios, ni conocer datos relativos a su navegación.

Opción 1

Opción

El sitio web [dirección web] utiliza cookies cuando un Usuario navega por los sitios y páginas

web del Portal. Las cookies que se utilizan en los sitios y páginas web del Portal se asocianúnicamente con el navegador de un ordenador determinado (un Usuario anónimo), y noproporcionan por sí el nombre y apellidos del Usuario. Gracias a las cookies, resulta posible queel sitio web reconozca los navegadores de los Usuarios registrados después de que éstos sehayan registrado por primera vez, sin que se tengan que registrarse en cada visita para accedera las áreas y servicios reservados exclusivamente a ellos. Las cookies utilizadas no pueden leerlos archivos cookie creados por otros proveedores. El Usuario tiene la posibilidad de configurarsu navegador para ser avisado en pantalla de la recepción de cookies y para impedir lainstalación de cookies en su disco duro. Por favor, consulte las instrucciones y manuales de sunavegador para ampliar ésta información.

2

1. [indicar titular] no ofrece garantías de ninguna clase en cuanto al funcionamiento del sitioweb [dirección web] o a la información contenida en el mismo. [indicar titular] no seráresponsable de los daños o perjuicios, de cualquier índole, que puedan derivarse del usodel sitio web [dirección web].

Limitación de responsabilidad

2. [indicar titular] excluye toda responsabilidad por la licitud, contenido y calidad de los datose informaciones ofrecidos por terceras entidades a través del sitio web [dirección web].

Enlaces hipervínculos

1. Los titulares de otros sitios web que deseen crear un hipervínculo a [dirección web], secomprometen a no establecer enlaces a sitios web en los que no aparezca el logotipo de

[indicar titular] y a no realizar manifestaciones falsas, inexactas o incorrectas, que puedaninducir a error o, en general, que sean contrarias a las leyes.

Opción 1

2. Los titulares de otros sitios web que deseen crear un hipervínculo a [dirección web] secomprometen, asimismo, a no establecer hipervínculos con sitios web que contengancontenidos, manifestaciones o propaganda de índole racista, xenófoba, pornográfica, deapología del terrorismo y, en general, puedan perjudicar de cualquier modo el buennombre o la imagen de [indicar titular].

3. La inclusión de hipervínculos en [dirección web], no implica necesariamente que [indicartitular] mantenga relaciones mercantiles o vínculos asociativos con el titular del sitio weben la que se establezca el enlace.




INNOVACIÓN PYME



4. El hipervínculo únicamente permitirá el acceso a la página principal o pagina de inicio delportal, pero no podrá reproducirlas de ninguna forma. No se creará frame o marco sobre lapágina web. No se realizarán manifestaciones falsas o incorrectas sobre [nombre deltitular]. No se declarará ni dará a entender que [nombre del titular] ha autorizado elenlace o que ha supervisado o asumido de cualquier forma los servicios ofrecidos opuestos a disposición en la página web que se establece el enlace.

5. La presencia de hipervínculo no implica en ningún caso la existencia de relaciones entre[nombre titular] y la empresa que lo establezca ni su aceptación y aprobación de suscontenidos o servicios.

6. La presencia de hipervínculos en [dirección web] tiene una finalidad meramenteinformativa, motivo por el cual, [indicar titular] no se responsabiliza ni otorga garantía deninguna naturaleza, ni expresa ni implícita respecto a la comerciabilidad, idoneidad,calidad, características, procedencia, comercialización o cualquier otro aspecto de lasinformaciones y/o productos y/o servicios que se ofrezcan a través del sitio webreferenciado.

No se podrá establecer ningún vínculo al Portal [dirección web] desde cualquier otra web sin elprevio y expreso consentimiento de [indicar titular].

Opción 2


guia practica lopd 2011

Documents