El documento habla sobre la Ley Orgánica de Protección de Datos (LOPD) en España. Explica que la LOPD establece normas para proteger los datos personales y obliga a todas las organizaciones a cumplir con estas normas. También describe los principios básicos de la protección de datos como la recopilación de datos para fines específicos y legítimos, así como los derechos de las personas sobre sus datos personales.
1. Conceptos de aplicación de la Ley
Protección de Datos
Orgánica de Protección de Datos
(LOPD)
Puntos Fundamentales
Actualmente la Protección de Datos de Carácter Personal, en vigor desde el 19 de abril de
Personal es una realidad que no pueden dejar de 2008, que viene a determinar y normalizar
observar tanto las organizaciones privadas como las medidas de seguridad y las experiencias
las públicas. Fruto de esta actualidad es la acumuladas por parte de la Agencia Española
publicación el 19 de Enero de 2008 en el BOE de Protección de Datos desde la entrada en
del Real Decreto 1720/2007, de 21 de vigor de la Ley Orgánica de Protección de
diciembre, por el que se aprueba el Reglamento Datos (LOPD) en el año 1999.
de Desarrollo de la Ley Orgánica 15/1999, de 13
Toda organización ha de adecuarse a esta
de diciembre, de Protección de Datos de Carácter
normativa cumpliendo las exigencias
legalmente establecidas.
2. Conceptos de aplicación de la Ley
Orgánica de Protección de Datos (LOPD)
LEGISLACIÓN APLICABLE
La Ley Orgánica de Protección de Datos de
Carácter Personal, es de obligado
cumplimiento y afecta a cualquier
organización que trate Datos de Carácter
Personal (DCP). Esta ley deriva de un derecho
constitucional: el derecho a la intimidad
personal y familiar de todos los ciudadanos. A QUÉ AFECTA LA LEY
Además, está vinculada a la siguiente La LOPD es aplicable a los Datos de Carácter
legislación: Personal (DCP) registrados en soporte físico,
que los haga susceptibles de tratamiento, y a
> Ley Orgánica 15/1999, de 13 de
toda modalidad de uso posterior de estos
Diciembre, de Protección de Datos de
datos por los sectores público y privado.
Carácter Personal (LOPD).
Están excluidos de protección, los ficheros
> Real Decreto 1720/2007, de 21 de
mantenidos por personas físicas en el
diciembre, por el que se aprueba el
ejercicio de actividades exclusivamente
Reglamento de Desarrollo de la Ley
personales o domésticas (e.j.: una agenda
Orgánica 15/1999, de 13 de
personal no es un fichero sometido a la
diciembre, de Protección de Datos de
aplicación de esta Ley). Así como los ficheros
Carácter Personal, en vigor desde el
sometidos a la normativa sobre protección de
19 de Abril de 2008 (RLOPD).
materias clasificadas, los ficheros
> Directiva 95/46/CE del Parlamento establecidos para la investigación de
Europeo y del Consejo, de 24 de terrorismo y de formas graves de delincuencia
Octubre de 1995, relativa a la organizada se regirán además por la
protección de las personas físicas en legislación específica en cada caso.
lo que respecta al tratamiento de
datos personales y a la libre ALCANCE DE LA LEGISLACIÓN
circulación de datos.
Se regirá por la LOPD todo tratamiento de
> Instrucciones de la Agencia de datos de carácter personal cuando:
Protección de Datos.
> Sea efectuado en territorio español en
el marco de las actividades
desarrolladas por el responsable del
fichero.
> Si no está establecido en territorio
español, le será de aplicación la
2 de 14
3. Conceptos de aplicación de la Ley
Orgánica de Protección de Datos (LOPD)
legislación española en aplicación de PRINCIPIOS BÁSICOS
normas de Derecho Internacional
Público. PRINCIPIOS DE PROTECCION DE DATOS
> Cuando el responsable de fichero no Los datos de carácter personal sólo se podrán
esté establecido en el territorio de la recoger para su tratamiento cuando sean
Unión Europea y utilice en el adecuados, pertinentes y no excesivos, en
tratamiento de los datos medios relación con el ámbito y las finalidades
situados en territorio español, salvo determinadas, explicitas y legitimas para las
que tales medios se utilicen que se hayan obtenido. Estos condicionantes
únicamente con fines de tránsito. han de ponerse en relación con el caso en
concreto.
VENTAJAS DE LA ADECUACIÓN A LA
LEY ORGÁNICA DE PROTECCIÓN DE Los datos de carácter personal objeto de
DATOS tratamiento no podrán usarse para finalidades
Además de ser un requisito legal de obligado incompatibles con aquéllas para la que los
cumplimiento para toda organización pública datos se hubieran recogido. No se considerará
o privada, independientemente de su tamaño incompatible el tratamiento posterior de
y actividad, aporta una serie de valores estos con fines históricos, estadísticos o
añadidos: científicos.
> Mejora de la imagen y proyección Los datos de carácter personal incorporados a
comercial dirigida a clientes, un fichero han de responder a la situación
proveedores, personal interno, actual, de manera que recojan todas las
administraciones públicas y terceros. modificaciones surgidas, y una vez
incorporadas responderán a la realidad y han
> Mejora la seguridad de los sistemas
de ser exactos, de manera que si resultan ser
de información propios de la
inexactos o incompletos, en todo o en parte,
compañía
han de ser cancelados o sustituidos de oficio
> Sensibilización al personal interno por el responsable del fichero.
respecto a la fuga de información y al
Cuando se ha cumplido la finalidad para la
tratamiento de la misma
que se recabaron los datos han de ser
> Establece una metodología de cancelados o destruidos, en caso de no ser
trabajo que una vez integrada, posible han de ser bloqueados.
mejora la gestión del sistema de
No serán conservados en forma que permita la
información en su conjunto.
identificación del interesado durante un
periodo superior al necesario para los fines en
3 de 14
4. Conceptos de aplicación de la Ley
Orgánica de Protección de Datos (LOPD)
base a los cuales hubieran sido recabados o Todas estas advertencias deberán ser
registrados. recogidas en aquellos cuestionarios e
impresos utilizados para la recogida de los
Se prohíbe la recogida de datos por medios
datos.
fraudulentos, desleales o ilícitos.
El tratamiento de los datos de carácter
Los interesados a los que se soliciten datos de
personal requerirá el consentimiento
carácter personal deberán ser previamente
inequívoco, es decir, expreso o tácito, del
informados de modo expreso, preciso e
afectado, salvo que la ley disponga otra cosa.
inequívoco:
Para los datos especialmente protegidos
> De que sus datos van a ser incluidos consentimiento expreso y por escrito dada la
en un fichero, de la finalidad de la importancia de los mismos.
recogida y de los destinatarios de la
No será preciso el consentimiento, cuando los
información.
datos de carácter personal sean recogidos de
> De la obligatoriedad o no de dar esos fuentes accesibles al público, por las
datos. Administraciones Públicas, en las relaciones
contractuales de una relación comercial,
> De las consecuencias de la obtención
laboral o administrativa, y en los puntos
de los datos o de la negativa a
desarrollados en el art, 7.6 de la L.O. 15/99.
suministrarlos.
> De la posibilidad de ejercer los REQUISITOS LEGALES:
derechos de acceso, rectificación, ¿A QUÉ NOS OBLIGA LA LOPD?
cancelación y oposición.
LA SEGURIDAD DE LOS DATOS
> De la identidad y dirección del El Responsable del Fichero y en su caso el
responsable del tratamiento o, en su Encargado del Tratamiento, deberán adoptar
caso, de su representante para que las medidas de índole jurídica, técnica y
los afectados puedan ejercer sus organizativa necesarias que garanticen la
derechos. seguridad de los datos de carácter personal y
eviten su alteración, pérdida, tratamiento o
acceso no autorizado.
> Medidas Jurídicas. Disponer de
cláusulas de confidencialidad
firmadas con los empleados, contratos
de prestación de servicio con
empresas de servicios como
prevención de riesgos laborales,
asesoría legal, jurídica, laboral o
4 de 14
5. Conceptos de aplicación de la Ley
Orgánica de Protección de Datos (LOPD)
fiscal; cláusulas en correos DERECHOS ARCO
electrónicos y avisos legales en
Aplicables a cualquier persona, con o sin
páginas web, informar por escrito a
relación con la organización
cualquier persona de la recogida de
datos en procesos de formación, Derecho de Acceso. Obliga al Responsable de
análisis de la satisfacción del cliente Fichero a informar por escrito y disponer de
u otros, establecer la señalética un protocolo para dar la información
adecuada en procesos de grabación de solicitada en un plazo no superior a 1 mes.
imágenes (indicada y regulada por la
Derecho de Rectificación y Cancelación.
LOPD), etc.
Obliga al Responsable de Fichero a informar
> Medidas Técnicas. Establecer por escrito al interesado de que se han
restricciones de acceso a DCP por cancelado/rectificado sus datos en un plazo
parte de los empleados, exigir de 10 días.
identificación y mantener registro de
Derecho de Oposición. El interesado puede
accesos a los DCP, realizar copias de
oponerse al tratamiento de sus datos.
seguridad, protección de servidores,
contratación de programas de
antivirus, firewalls u otros, enviar
Los requerimientos mínimos en lo que se
nóminas cifradas, contraseñas con
refiere a las medidas de seguridad vienen
caducidad, bloqueo de equipo ante la
desarrollados en el Real Decreto 1720/2007,
introducción de reiterada de
de 21 de diciembre, por el que se aprueba el
contraseña errónea, etc.
Reglamento de Desarrollo de la LOPD.
> Medidas Organizativas. Definir y
Tanto el Responsable del Fichero, como el
asignar responsabilidades en torno al
Encargado de Tratamiento, así como
equipo en lo relativo al tratamiento
cualquier persona que intervenga en cualquier
de DCP, establecer procedimientos de
fase del proceso, están obligados al secreto
trabajo interno ajustados a los
profesional respecto de los mismos y al deber
requerimientos legales, formación al
de guardarlos, obligaciones que subsistirán
personal manteniendo registro de la
aun después de finalizar sus relaciones con el
misma, registro de entradas y salidas
titular del fichero o, en su caso, con el
de DCP. Todas estas medidas deben
responsable del mismo.
estar documentadas por la
organización.
5 de 14
6. Conceptos de aplicación de la Ley
Orgánica de Protección de Datos (LOPD)
NIVELES DE SEGURIDAD APLICABLES competencias. De igual modo,
aquellos de los que sean responsables
Se establecen tres diferentes niveles de
las mutuas de accidentes de trabajo y
seguridad, atendiendo a la naturaleza de la
enfermedades profesionales de la
información tratada, en relación con la mayor
Seguridad Social,
o menor necesidad de garantizar la
confidencialidad y la integridad de la > que contengan un conjunto de datos
información, clasificándolos según los tres de carácter personal que ofrezcan una
siguientes tipos: definición de las características o de
la personalidad de los ciudadanos y
Todos los ficheros deberán adoptar las
que permitan evaluar determinados
medidas de seguridad calificadas de nivel
aspectos de la personalidad o del
básico.
comportamiento de los mismos.
Deberán implantarse, además de las medidas
Además de las medidas de nivel básico y
de seguridad de nivel básico, las medidas de
medio, las medidas de nivel alto se aplicarán
nivel medio, en los ficheros que contengan
en los siguientes ficheros o tratamientos de
datos:
datos de carácter personal:
> relativos a la comisión de infracciones
> los que se refieran a datos de
administrativas o penales,
ideología, afiliación sindical, religión,
> cuyo funcionamiento se rija por el creencias, origen racial, salud o vida
artículo 29 de la Ley Orgánica sexual,
15/1999, de 13 de diciembre
> los que contengan o se refieran a
(prestación de servicios de solvencia
datos recabados para fines policiales
patrimonial y crédito),
sin consentimiento de las personas
> de los que sean responsables afectadas,
Administraciones tributarias y se
> que contengan datos derivados de
relacionen con el ejercicio de sus
actos de violencia de género.
potestades tributarias,
A los ficheros de los que sean responsables los
> de los que sean responsables las
operadores que presten servicios de
entidades financieras para finalidades
comunicaciones electrónicas disponibles al
relacionadas con la prestación de
público o exploten redes públicas de
servicios financieros,
comunicaciones electrónicas respecto a los
> de los que sean responsables las datos de tráfico y a los datos de localización,
Entidades Gestoras y Servicios se aplicarán, además de las medidas de
Comunes de la Seguridad Social y se seguridad de nivel básico y medio, la medida
relacionen con el ejercicio de sus de seguridad de nivel alto relativa al registro
6 de 14
7. Conceptos de aplicación de la Ley
Orgánica de Protección de Datos (LOPD)
de accesos (recogida en el artículo 103 del un documento de obligado cumplimiento para
RLOPD). el personal: Documento de Seguridad.
En caso de ficheros o tratamientos de datos Los ficheros de nivel medio y alto están
de ideología, afiliación sindical, religión, obligados, por ley, a una pasar una auditoria,
creencias, origen racial, salud o vida sexual interna o externa, bienal.
bastará la implantación de las medidas de
seguridad de nivel básico cuando: NOTIFICACIÓN DE FICHEROS
> Los datos se utilicen con la única Toda entidad que proceda a la creación de
finalidad de realizar una transferencia ficheros de datos de carácter personal lo
dineraria a las entidades de las que notificará previamente a la Agencia Española
los afectados sean asociados o de Protección de Datos, así como todos
miembros. aquellos cambios que se produzcan en la
finalidad del fichero, en su responsable, en la
> Se trate de ficheros o tratamientos no
ubicación, etc.
automatizados en los que de forma
incidental o accesoria se contengan El interesado (titular de los datos de carácter
aquellos datos sin guardar relación personal) tendrá derecho a solicitar por
con su finalidad. escrito y obtener gratuitamente informacion
de sus datos de carácter personal sometidos a
También podrán implantarse las medidas de
tratamiento, el origen de dichos datos, así
seguridad de nivel básico en los ficheros o
como las comunicaciones realizadas o que se
tratamientos que contengan datos relativos a
prevén hacer de los mismos.
la salud, referentes exclusivamente al grado
de discapacidad o la simple declaración de la La Disposición Adicional primera de la LOPD
condición de discapacidad o invalidez del establece que los ficheros y tratamientos
afectado, con motivo del cumplimiento de automatizados inscritos o no en el Registro de
deberes públicos. la Agencia de Protección de Datos deberán
adecuarse a la L.O 15/99 dentro del plazo de
Las medidas incluidas en cada uno de los
3 años, a contar de su entrada en vigor.
niveles descritos anteriormente tienen la
condición de mínimos exigibles, sin perjuicio En el caso de los ficheros y tratamientos no
de las disposiciones legales o reglamentarias automatizados el plazo establecido para su
específicas vigentes que pudieran resultar de adecuación a la L.O. 15/99 es de 12 años, a
aplicación en cada caso o las que por propia contar desde el 24 de Octubre de 1995, fecha
iniciativa adoptase el Responsable del en que entra en vigor la Directiva 95/46/CE.
Fichero.
El responsable del fichero deberá elaborar e
implantar la normativa de seguridad mediante
7 de 14
8. Conceptos de aplicación de la Ley
Orgánica de Protección de Datos (LOPD)
CESIÓN Y TRANSFERENCIA DE DATOS > En este caso la comunicación solo
Se entiende por cesión de datos toda será legítima en cuanto se limite a la
revelación de datos realizada a una persona finalidad que la justifique.
distinta del interesado. > Cuando la comunicación que deba
efectuarse tenga por destinatario al
Los datos de carácter personal objeto del
Defensor del Pueblo, el Ministerio
tratamiento solo podrán ser comunicados a un
Fiscal o los Jueces o Tribunales o el
tercero para el cumplimiento de fines
tribunal de Cuentas, en el ejercicio
directamente relacionados con las funciones
de las funciones que tiene atribuidas.
legítimas del cedente y del cesionario con el
previo consentimiento del interesado. No será > Cuando la cesión se produzca entre
preciso el consentimiento: Administraciones Públicas y tenga por
objeto el tratamiento posterior de los
> Cuando la cesión está autorizada en
datos con fines históricos, estadísticos
una ley.
o científicos.
> Cuando se trata de datos recogidos de
> Cuando la cesión de datos de carácter
fuentes accesibles al público.
personal relativos a la salud sea
> Cuando el tratamiento responda a la necesaria para solución ante una
libre y legítima aceptación de una urgencia que requiera acceder a un
relación jurídica cuyo desarrollo, fichero o para realizar los estudios
cumplimiento y control implique epidemiológicos en los términos
necesariamente la conexión de dicho establecidos en la legislación sobre
tratamiento con ficheros de terceros. sanidad estatal o autonómica.
> Cuando los datos han sufrido un
procedimiento de disociación no es
necesario el consentimiento porque
no son datos de carácter personal.
No se considerará comunicación de datos el
acceso de un tercero cuando dicho acceso sea
necesario para la prestación de un servicio al
responsable del tratamiento. Este tratamiento
deberá estar regulado en un contrato escrito.
El encargado de tratamiento únicamente
tratará los datos conforme a las instrucciones
del responsable del tratamiento y no los
utilizará para fines distintos a los que figuren
8 de 14
9. Conceptos de aplicación de la Ley
Orgánica de Protección de Datos (LOPD)
en el contrato. Una vez cumplida la No podrán realizarse transferencias
prestación contractual, los datos de carácter temporales ni definitivas de datos de carácter
personal deberán ser destruidos o devueltos personal que hayan sido objeto de
al responsable del tratamiento. El servicio tratamiento o hayan sido recogidos para
prestado por el encargado del tratamiento someterlos a dicho tratamiento con destino a
podrá tener o no carácter remunerado y ser países que no proporcionen el nivel de
temporal o indefinido. protección que presta la LOPD.
El encargado de tratamiento tendrá la misma La Orden de 2 de Febrero de 1995, del
responsabilidad que el responsable del fichero Ministerio de Justicia e Interior, establece la
si los comunica o utiliza incumpliendo las relación de países con protección de datos de
estipulaciones del contrato. carácter personal equiparable a la española, a
efectos de transferencia internacional de
Cuando el Responsable del Tratamiento
datos.
contrate la prestación de un servicio que
comporte un tratamiento de datos personales La adecuación del nivel de protección que
deberá velar por que el Encargado del ofrece el país de destino lo evaluará la AEPD
Tratamiento reúna las garantías para el atendiendo a la naturaleza de los datos, la
cumplimiento de lo dispuesto en este finalidad y la duración del tratamiento o de
Reglamento. los tratamientos previstos, el país de origen y
el país de destino, las normas de derecho
El Encargado del Tratamiento no podrá
vigentes en el país tercero de que se trate, el
subcontratar con un tercero la realización de
contenido de los informes de la Comisión de
ningún tratamiento que le hubiera
la Unión Europea, así como las normas
encomendado el Responsable del
profesionales y las medidas de seguridad en
Tratamiento, salvo que hubiera obtenido de
vigor en dichos países.
éste autorización para ello. En este caso, la
contratación se efectuará siempre en nombre La transferencia de datos a países que no
y por cuenta del Responsable del tengan un nivel de seguridad equivalente al
Tratamiento. español está prohibida, salvo que lo autorice
el Director de la AEPD.
TRANSFERENCIAS INTERNACIONALES
Se define transferencia internacional de datos
como el transporte de datos entre sistemas
informáticos por cualquier medio de
transporte, así como de datos por correo o
por cualquier otro medio convencional.
9 de 14
10. Conceptos de aplicación de la Ley
Orgánica de Protección de Datos (LOPD)
INFRACCIONES Y SANCIONES
> Mantener datos inexactos o no
efectuar las rectificaciones exigidas
TIPOS DE INFRACCIONES > Tratar los datos violando los principios
El incumplimiento de la legislación vigente, y garantías de la LOPD
en materia de protección de datos de
> Tratar datos especialmente
carácter personal, conlleva la imposición de
protegidos sin la autorización del
sanciones por parte de la Agencia Española de
afectado
Protección de Datos, que son aplicables a
empresas de cualquier tamaño, desde > No remitir a la AEPD las notificaciones
pequeñas empresas o pymes, hasta grandes previstas en la LOPD
empresas. > Mantener ficheros sin las debidas
condiciones de seguridad
Infracciones leves
Dentro de la propia Ley se especifican tanto
Multa entre 601,01 € y 60.101,21 €
el tipo de acción sancionable como los
> No solicitar la inscripción en la importes que pueden ser aplicados a las
Agencia Española de Protección de organizaciones que incumplan la ley.
Datos (AEPD)
Infracciones muy graves
> Recabar datos sin proporcionar la
Multa entre 300.506, 05 € y 601.012,1 €
información previa exigida
> No atender las solicitudes de > Crear ficheros para almacenar
rectificación o cancelación información que revele datos
especialmente protegidos
> No proporcionar información a la
AEPD cuando sea requerida > Recogida de datos de forma engañosa
o fraudulenta
Infracciones graves
> Recabar datos especialmente
Multa entre 60.101,21 € y 300.506, 05 € protegidos sin la autorización del
> No inscribir los ficheros a petición de afectado
la AEPD
> No atender u obstaculizar de forma
> Crear ficheros con finalidades sistemática las solicitudes de
distintas a las de constitución rectificación o cancelación
> Recabar datos de carácter personal > Vulnerar el secreto sobre datos
sin la autorización del afectado especialmente protegidos
> Evitar el acceso a los ficheros
10 de 14
11. Conceptos de aplicación de la Ley
Orgánica de Protección de Datos (LOPD)
> La comunicación o cesión de datos revelación a una persona distinta del
cuando no esté autorizada interesado.
> No cesar en el uso ilegítimo a petición Consentimiento del interesado: Toda
de la AEPD manifestación de voluntad, libre, inequívoca,
específica e informada, mediante la que el
> Tratar los datos de forma ilegítima o
interesado consienta el tratamiento de datos
con menosprecio de principios y
personales que le conciernen.
garantías que les sean de aplicación
Dato disociado: aquél que no permite la
> No atender de forma sistemática a los
identificación de un afectado o interesado.
requerimientos de la AEPD
Datos de carácter personal: Cualquier
> Transferencia temporal o definitiva
información numérica, alfabética, gráfica,
de datos de carácter personal con
fotográfica, acústica o de cualquier otro tipo
destino a países sin niveles de
concerniente a personas físicas identificadas o
protección equiparables, o sin
identificables.
autorización
Datos de carácter personal relacionados con
la salud: las informaciones concernientes a la
GLOSARIO
salud pasada, presente y futura, física o
mental, de un individuo. En particular, se
Afectado o interesado: Persona física titular consideran datos relacionados con la salud de
de los datos que sean objeto del tratamiento. las personas los referidos a su porcentaje de
discapacidad y a su información genética.
Cancelación: Procedimiento en virtud del
cual el responsable cesa en el uso de los Destinatario o cesionario: la persona física o
datos. La cancelación implicará el bloqueo de jurídica, pública o privada u órgano
los datos, consistente en la identificación y administrativo, al que se revelen los datos.
reserva de los mismos con el fin de impedir su Podrán ser también destinatarios los entes sin
tratamiento excepto para su puesta a personalidad jurídica que actúen en el tráfico
disposición de las Administraciones públicas, como sujetos diferenciados.
Jueces y Tribunales, para la atención de las
Encargado del tratamiento: La persona física
posibles responsabilidades nacidas del
o jurídica, pública o privada, u órgano
tratamiento y sólo durante el plazo de
administrativo que, solo o conjuntamente con
prescripción de dichas responsabilidades.
otros, trate datos personales por cuenta del
Transcurrido ese plazo deberá procederse a la
responsable del tratamiento o del responsable
supresión de los datos.
del fichero, como consecuencia de la
Cesión o comunicación de datos: existencia de una relación jurídica que le
Tratamiento de datos que supone su vincula con el mismo y delimita el ámbito de
11 de 14
12. Conceptos de aplicación de la Ley
Orgánica de Protección de Datos (LOPD)
su actuación para la prestación de un servicio. organismos vinculados o dependientes de las
Podrán ser también encargados del mismas y las Corporaciones de derecho
tratamiento los entes sin personalidad público siempre que su finalidad sea el
jurídica que actúen en el tráfico como sujetos ejercicio de potestades de derecho público.
diferenciados.
Fichero no automatizado: todo conjunto de
Exportador de datos personales: la persona datos de carácter personal organizado de
física o jurídica, pública o privada, u órgano forma no automatizada y estructurado
administrativo situado en territorio español conforme a criterios específicos relativos a
que realice, conforme a lo dispuesto en el personas físicas, que permitan acceder sin
presente Reglamento, una transferencia de esfuerzos desproporcionados a sus datos
datos de carácter personal a un país tercero. personales, ya sea aquél centralizado,
descentralizado o repartido de forma
Fichero: Todo conjunto organizado de datos
funcional o geográfica.
de carácter personal, que permita el acceso a
los datos con arreglo a criterios Importador de datos personales: la persona
determinados, cualquiera que fuere la forma física o jurídica, pública o privada, u órgano
o modalidad de su creación, almacenamiento, administrativo receptor de los datos en caso
organización y acceso. de transferencia internacional de los mismos
a un tercer país, ya sea responsable del
Ficheros de titularidad privada: los ficheros
tratamiento, encargada del tratamiento o
de los que sean responsables las personas,
tercero.
empresas o entidades de derecho privado,
con independencia de quien ostente la Persona identificable: toda persona cuya
titularidad de su capital o de la procedencia identidad pueda determinarse, directa o
de sus recursos económicos, así como los indirectamente, mediante cualquier
ficheros de los que sean responsables las información referida a su identidad física,
corporaciones de derecho público, en cuanto fisiológica, psíquica, económica, cultural o
dichos ficheros no se encuentren social. Una persona física no se considerará
estrictamente vinculados al ejercicio de identificable si dicha identificación requiere
potestades de derecho público que a las plazos o actividades desproporcionados.
mismas atribuye su normativa específica.
Procedimiento de disociación: Todo
Ficheros de titularidad pública: los ficheros tratamiento de datos personales que permita
de los que sean responsables los órganos la obtención de datos disociados.
constitucionales o con relevancia
Responsable del fichero o del tratamiento:
constitucional del Estado o las instituciones
Persona física o jurídica, de naturaleza
autonómicas con funciones análogas a los
pública o privada, u órgano administrativo,
mismos, las Administraciones públicas
que sólo o conjuntamente con otros decida
territoriales, así como las entidades u
12 de 14
13. Conceptos de aplicación de la Ley
Orgánica de Protección de Datos (LOPD)
sobre la finalidad, contenido y uso del En particular, en relación con lo dispuesto en
tratamiento, aunque no lo realizase el título VIII del Real Decreto 1720/2007, de
materialmente. Podrán ser también las medidas de seguridad en el tratamiento de
responsables del fichero o del tratamiento los datos de carácter personal, se entenderá por:
entes sin personalidad jurídica que actúen en
Accesos autorizados: autorizaciones
el tráfico como sujetos diferenciados.
concedidas a un usuario para la utilización de
Tercero: la persona física o jurídica, pública los diversos recursos. En su caso, incluirán las
o privada u órgano administrativo distinta del autorizaciones o funciones que tenga
afectado o interesado, del responsable del atribuidas un usuario por delegación del
tratamiento, del responsable del fichero, del responsable del fichero o tratamiento o del
encargado del tratamiento y de las personas responsable de seguridad.
autorizadas para tratar los datos bajo la
Autenticación: procedimiento de
autoridad directa del responsable del
comprobación de la identidad de un usuario.
tratamiento o del encargado del tratamiento.
Podrán ser también terceros los entes sin Contraseña: información confidencial,
personalidad jurídica que actúen en el tráfico frecuentemente constituida por una cadena
como sujetos diferenciados. de caracteres, que puede ser usada en la
autenticación de un usuario o en el acceso a
Transferencia internacional de datos:
un recurso.
Tratamiento de datos que supone una
transmisión de los mismos fuera del territorio Control de acceso: mecanismo que en
del Espacio Económico Europeo, bien función de la identificación ya autenticada
constituya una cesión o comunicación de permite acceder a datos o recursos.
datos, bien tenga por objeto la realización de
Copia de respaldo: copia de los datos de un
un tratamiento de datos por cuenta del
fichero automatizado en un soporte que
responsable del fichero establecido en
posibilite su recuperación.
territorio español.
Documento: todo escrito, gráfico, sonido,
Tratamiento de datos: cualquier operación o
imagen o cualquier otra clase de información
procedimiento técnico, sea o no
que puede ser tratada en un sistema de
automatizado, que permita la recogida,
información como una unidad diferenciada.
grabación, conservación, elaboración,
modificación, consulta, utilización, Ficheros temporales: ficheros de trabajo
modificación, cancelación, bloqueo o creados por usuarios o procesos que son
supresión, así como las cesiones de datos que necesarios para un tratamiento ocasional o
resulten de comunicaciones, consultas, como paso intermedio durante la realización
interconexiones y transferencias. de un tratamiento.
13 de 14
14. Conceptos de aplicación de la Ley
Orgánica de Protección de Datos (LOPD)
Identificación: procedimiento de coordinar y controlar las medidas de
reconocimiento de la identidad de un usuario. seguridad aplicables.
Incidencia: cualquier anomalía que afecte o Sistema de información: conjunto de
pudiera afectar a la seguridad de los datos. ficheros, tratamientos, programas, soportes y
en su caso, equipos empleados para el
Perfil de usuario: accesos autorizados a un
tratamiento de datos de carácter personal.
grupo de usuarios.
Sistema de tratamiento: modo en que se
Recurso: cualquier parte componente de un
organiza o utiliza un sistema de información.
sistema de información.
Atendiendo al sistema de tratamiento, los
Responsable de seguridad: persona o sistemas de información podrán ser
personas a las que el responsable del fichero automatizados, no automatizados o
ha asignado formalmente la función de parcialmente automatizados.
Soporte: objeto físico que almacena o
Tratamiento de datos: Operaciones y
contiene datos o documentos, u objeto
procedimientos técnicos de carácter
susceptible de ser tratado en un sistema de
automatizado o no, que permitan la recogida,
información y sobre el cual se pueden grabar
grabación, conservación, elaboración,
y recuperar datos.
modificación, bloqueo y cancelación, así
Transmisión de documentos: cualquier como las cesiones de datos que resulten de
traslado, comunicación, envío, entrega o comunicaciones, consultas, interconexiones y
divulgación de la información contenida en el transferencias.
mismo.
Usuario: sujeto o proceso autorizado para
acceder a datos o recursos. Tendrán la
consideración de usuarios los procesos que
permitan acceder a datos o recursos sin
identificación de un usuario físico.
ascêndia reingeniería + consultoría
colabora con las siguientes Organizaciones
Instituto Nacional de Asociación Española Socios de Socio fundador del
Tecnologías de la para el Fomento de Asociación comité de Andalucía de
Información la Seguridad de la Andaluza de ITSMF (Information
Información Comercio Technology Service
Electrónico Management Forum)
www.inteco.es www.ismsforum.es www.andce.es www.itsmf.es
www.ascendiarc.com - info@ascendiarc.com
14 de 14
Avda. Padre García Tejero, 6, Torre B, Local. 41012 – Sevilla
T. 954 298 201 - 902 111 024 F. 954 629 674