Este documento presenta un plan de adaptación a la Ley Orgánica de Protección de Datos (LOPD) para una empresa. Se resumen los conceptos clave de la LOPD, las obligaciones de la empresa como responsable de ficheros de datos personales, y las medidas de seguridad requeridas. El plan incluye la elaboración de un documento de seguridad, acciones como designar responsables y recabar información, y recomendaciones como protocolos de seguridad. El objetivo es dar cumplimiento a la LOPD y evitar posibles sanciones.
2. ÍNDICE
Ley Orgánica de Protección de datos Pág. 3
-
Introducción.
-
Definiciones.
-
Responsable del Fichero.
-
Niveles de Seguridad.
-
Recursos Protegidos.
-
Derechos de la persona.
-
Responsabilidades.
Plan de adaptación Pág. 10
-
Líneas de actuación. Objetivos
-
Documento de Seguridad
-
Acciones a desarrollar
-
Recomendaciones
Plan de adaptación a la LOPD
Eva María Hernández Ramos
Abogada
2
3. LEY ORGÁNICA DE PROTECCIÓN DE DATOS
INTRODUCCIÓN
EL DERECHO que toda persona física tiene para mantener un control de disposición sobre sus datos personales,
especialmente sobre su uso y destino. Se trata de un derecho fundamental, desarrollado por una Ley Orgánica, que busca
proteger la intimidad y privacidad frente a las vulneraciones de tales derechos que puedan proceder de un tráfico ilícito y
lesivo para la dignidad y derecho del afectado.
El ordenamiento jurídico español ha querido poner a disposición de las personas los mecanismos necesarios, que
permitan exigir a terceros, que pretendan hacer uso de sus datos personales, la adopción de medidas por una parte
informativas y por otra de seguridad, que permitan garantizar un uso leal y legal de sus datos.
LA OBLIGACIÓN que toda persona que intervenga en cualquier fase del tratamiento de datos personales debe
cumplir con el fin de garantizar la seguridad de datos, y evitar la apertura de inspecciones por parte de la Agencia Española de
Protección de Datos y, en su caso, de los correspondientes procedimientos sancionadores.
Plan de adaptación a la LOPD
Eva María Hernández Ramos
Abogada
3
4. CONCEPTOS BÁSICOS
Datos de carácter personal: Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a
personas físicas identificadas o identificables. (Nombre, apellidos y dirección, DNI, correo electrónico personalizado, etc.)
Fichero: Todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento,
organización y acceso.
Tratamiento de datos: Operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación,
elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y
transferencias.
Responsable del fichero o tratamiento: Persona física o jurídica, de naturaleza publica o privada, u órgano administrativo, que decida sobre la
finalidad, contenido y uso del tratamiento de datos.
Afectado o interesado: Persona física titular de los datos que sean objeto del tratamiento.
Encargado del tratamiento: La persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con
otros, trate datos personales por cuenta del responsable del tratamiento.
Consentimiento del interesado: Toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado
consienta el tratamiento de datos personales que la conciernen.
Cesión o comunicación de datos: Toda revelación de datos realizada a una persona distinta del interesado.
Plan de adaptación a la LOPD
Eva María Hernández Ramos
Abogada
4
5. RESPONSABLE DEL FICHERO
OBLIGACIONES
DE UNA PYME
El artículo 3, la Ley Orgánica 15/1999 de
Protección de Datos de Carácter Personal, define El nivel de datos que movemos es el básico
al Responsable de Fichero como:
como mínimo, pero usaremos el Medio, y por
ello debemos cumplir los requisitos
“La persona física o jurídica de naturaleza
pública o privada, u órgano administrativo, que establecidos para nivel básico y medio.
decide sobre la finalidad, contenido y uso del
tratamiento de los datos que se manejan.”
Por lo tanto, nuestra mercantil es la responsable
del fichero/s de datos de carácter personal
generados en la misma y de cumplir lo dispuesto
en la normativa de Protección de Datos de
Carácter Personal.
Plan de adaptación a la LOPD
Eva María Hernández Ramos
Abogada
5
6. NIVEL DE SEGURIDAD
Las medidas de seguridad se clasifican en tres nivel acumulativos (básico, medio y alto) atendiendo a la naturaleza de la información
tratada, en relación con la menor o mayor necesidad de garantizar la confidencialidad y la integridad de la información.
Como hemos citado anteriormente, el nivel manejado por nuestra mercantil es el MEDIO:
Se aplicará a los ficheros o tratamiento de datos:
§
Relativos a la comisión de infracciones administrativas o penales.
§
Que se rijan por el artículo 29 de la LOPD (solvencia patrimonial y crédito)
§
De Administraciones tributarias, y que se relacionen con el ejercicio de sus potestades tributarias.
§
De entidades financieras para las finalidades relacionadas con la prestación de servicios financieros.
§
De Entidades Gestoras y Servicios Comunes de Seguridad Social, que se relacionen con el ejercicio de sus competencias.
§
De mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social.
§
Que ofrezcan una definición de la personalidad y permitan evaluar determinados aspectos de la misma o del comportamiento de las
personas.
Plan de adaptación a la LOPD
Eva María Hernández Ramos
Abogada
6
7. RECURSOS PROTEGIDOS
Locales de Tratamiento y Almacenamiento de Datos: Aquellas ubicaciones en donde se albergan los servidores, equipos
informáticos, soportes, etc. que contienen Datos de Carácter Personal.
Servidores: Dispositivos que contienen Datos de Carácter Personal, incluyendo cualquier dispositivo informático que los almacena.
Serán objeto de especial protección, para garantizar la disponibilidad y confidencialidad de los mismos, principalmente cuando se
acceda a los mismos desde una red de comunicaciones interna (intranet) o externa (Red Corporativa, Internet).
Equipos Informáticos de Sobremesa, Portátiles, Impresoras: Dispositivos informáticos desde los cuales se puede acceder a Datos de
Carácter Personal.
Sistemas Operativos y Aplicaciones Informáticas: Programas o aplicaciones desde los que se puede acceder a Datos Personales y que
son usualmente utilizadas por los usuarios para acceder a ellos o utilizarlos.
Soportes para Copia o Almacenamiento de Información: Medios y canales de comunicación por el que circulan Datos Personales, a
través de una red de comunicaciones interna o externa, serán objeto de especial protección, para garantizar la disponibilidad y
confidencialidad de los mismos.
Ficheros Automatizados: Conjuntos de Datos de Carácter Personal almacenados en Soportes Informáticos.
Ficheros No Automatizados: Conjuntos Organizados de Datos Personales almacenados en soportes físicos. Cualquier fichero manual o
almacenado en un soporte convencional.
Plan de adaptación a la LOPD
Eva María Hernández Ramos
Abogada
7
8. DERECHOS DE LA PERSONA
En cumplimiento de las disposiciones legales vigentes, la empresa, ofrecerá a las personas a las que se les recaban Datos Personales la
posibilidad de ejercitar sus derechos.
El ejercicio de los mismos es personal y se ejercitará por el afectado ante cada uno de los Responsables de Fichero.
Derecho de Acceso
Permite al afectado solicitar y obtener gratuitamente información de sus datos de carácter personal sometidos a tratamiento, el origen de
dichos datos, así como las comunicaciones realizadas o que se prevén hacer de los mismos.
Derecho de Rectificación y Cancelación
Es personal y por ello el afectado podrá dirigirse al Responsable de Fichero para reclamar la Modificación/Cancelación de sus datos.
Derecho de Oposición
Derecho de Indemnización
Los afectados que, como consecuencia del incumplimiento de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal,
sufran daño o lesión en sus bienes, tendrán derecho a ser indemnizados.
Plan de adaptación a la LOPD
Eva María Hernández Ramos
Abogada
8
9. RESPONSABILIDADES
La persona designada por nuestra mercantil como Responsable de Seguridad tiene las siguientes obligaciones:
•Coordinar y Controlar las Medidas de Seguridad establecidas en el Documento de Seguridad.
•Verificar que los accesos a los Sistemas a través de redes de comunicaciones garantizan un nivel de seguridad adecuado.
•Verificar que se aplican las medidas de seguridad oportunas.
•Comprobar, conjuntamente con el Administrador del Sistema, la validez de la Lista de Usuarios y las Autorizaciones.
•Controlar la existencia y el cumplimiento de los Procedimientos de Control de Acceso.
•Habilitar y gestionar el Registro de Incidencias a disposición de todos los Usuarios.
•Gestionar las autorizaciones de salida de soportes que contengan Datos de Carácter Personal.
•Realizar las Copias de Respaldo y Recuperación de los Datos de Carácter Personal.
Plan de adaptación a la LOPD
Eva María Hernández Ramos
Abogada
9
10. PLAN DE ADAPTACIÓN A LA LOPD
LINEAS DE ACTUACIÓN
Objetivo Plan de adaptación
Dar cumplimiento a las exigencias de la LOPD La empresa prestará:
15/1999 y RD 1720/2007, de 21 de Diciembre.
-
Asesoramiento y elaboración de Documento de
Seguridad (imprescindible para evitar sanciones
Para evitar posibles sanciones por inobservancia de graves).
la LOPD, la empresa deberá cumplir la normativa -
Seguimiento de las medidas adoptadas para
de Protección de Datos, elaborar la documentación evaluar el cumplimiento de la normativa.
de Seguridad necesaria, proporcionar seguimiento, -
Seguimiento de medidas técnicas adoptadas.
mantenimiento y realizar una auditoría bienal en -
Mantenimiento y adaptación del Documento de
esta materia. Seguridad.
-
Elaboración de protocolos y/o medidas
complementarias.
Plan de adaptación a la LOPD
Eva María Hernández Ramos
Abogada
10
11. ACCIONES A DESARROLLAR
DOCUMENTO DE SEGURIDAD
Se deberá elaborar un Documento de Seguridad donde se
deberá reflejar:
1. El ámbito de aplicación del fichero 7. Registro de incidencias.
2. Las medidas, normas, procedimientos y estándares de 8. Procedimientos de asignación y gestión de
seguridad. contraseñas.
3. Funciones y obligaciones del personal. 9. Relación actualizada de usuarios y los
accesos autorizados de cada uno de ellos.
4. Estructura y descripción de ficheros y sistemas de
información. 10. Modelo de autorización para Salida de
Soportes.
5. Procedimiento de notificación, gestión y respuesta ante
incidencias. 11. Procedimientos para realizar Copias de
Seguridad.
6. Procedimiento de realización de Copias de Respaldo y
recuperación de datos.
Plan de adaptación a la LOPD
Eva María Hernández Ramos
Abogada
11
12. ACCIONES A DESARROLLAR
La empresa deberá recabar la siguiente información para la
redacción del documento de Seguridad;
•Identificación del/los Responsable/s de Seguridad.
•Medidas a adoptar en caso de tener que reutilizar o desechar
soportes.
•Control de acceso físico a los locales.
• Gestión de Registro de Entrada y Salida de Soportes.
•Establecer medidas que impidan la recuperación posterior de
información de un soporte que vaya a se desechado o
reutilizado.
Tenemos la obligación de realizar AUDITORÍA interna o externa.
Plan de adaptación a la LOPD
Eva María Hernández Ramos
Abogada
12
13. RÉGIMEN SANCIONADOR
El Régimen Sancionador Europeo Español es el más severo de toda la
Unión Europea. Las multas por incumplimiento de la normativa en
Protección de Datos pueden alcanzar los 600.000.-€, de ahí la importancia
en establecer un plan de adaptación de nuestros ficheros a la normativa.
Infracciones Leves. (601,01€ a 60.101,21€)
* No atender solicitud de Ejercicio de Derechos (motivo formal).
* No solicitar inscripción de Ficheros en A.P.D.
* Realizar Recogida de Datos sin proporcionar información.
Infracciones Graves (60.101,21 a 300.506,05€)
* Realizar Recogida de Datos con finalidad diferente a la legítima.
* Mantener Datos inexactos y no realizar rectificaciones.
* No aplicar las Medidas de Seguridad obligadas por Ley.
Infracciones Muy Graves (3000.506,05€ a 601.106,03)
* Comunicación o Cesión de Datos fuera de los casos permitidos.
* Recabar Datos Especialmente Protegidos sin consentimiento expreso
del Afectado.
Plan de adaptación a la LOPD
Eva María Hernández Ramos
Abogada
13
14. RECOMENDACIONES
Con el fin de dar un mayor cumplimiento a las disposiciones de la Ley Orgánica
15/1999 de Protección de Datos, recomendamos elaborar los siguientes protocolos de
actuación:
1. Normas de Seguridad Relativas a Ficheros Temporales
2. Normas de Seguridad Relativas a los Controles de Acceso a los Sistemas de
Información
3. Normas y Controles Relativos a los Locales
4. Normas y Controles Relativos a la Protección Antivirus
5. Accesos a través de Redes de Comunicaciones
6. Normas y Controles Relativos al Uso de Internet
7. Normas y Controles Relativos al Uso de Correo Electrónico en la Empresa
Plan de adaptación a la LOPD
Eva María Hernández Ramos
Abogada
14