4.7 1 1AdaptarunaPYMEalaLOPD

Normativa y Obligaciones de la LOPD
www.personaldata.info
C C MO ADAPTAR UNA PYME A LA LOPD MO ADAPTAR UNA PYME A LA LOPD
PONENTE:
D. Joaqun Rieta Carbonell: Especialista Universitario en Proteccin de Datos de Carcter
Personal, con ms de 3 aos de experiencia. Socio-Director de SAI WIRELESS, S.L.
NDICE:
- Objetivos
- Resultados de la encuesta
- Introduccin
- Antecedentes
- La Agencia Espaola de Proteccin de Datos de Carcter Personal
- Introduccin obligaciones de la LOPD 15/99
- Introduccin a la LSSI 34/2002 (Ley de Servicios de la Sociedad de la Informacin)
- Fases de un proyecto LOPD y LSSICE
- Procedimiento ARC
- Adecuacin de la recoleccin de datos y de las comunicaciones a los interesados
- Adecuacin del Tratamiento por Terceros
- El Documento de Seguridad segn el Reglamento de Medidas de Seguridad de Ficheros
Automatizados (RD 994/99)
- Infracciones y sanciones
OBJ ETIVOS DE LA J ORNADA
Informar de todos los aspectos legales de la LOPD que afectan a una
PYME.
Conocer el rgimen de infracciones y ejemplos de sentencias
sancionadoras.
Conocer cules son las fases de adaptacin de una PYME a la LOPD y
a la LSSICE.
Saber cmo adaptar la web de una PYME a la LOPD, si se recaban
datos personales.
Saber cmo adecuar la web de una PYME a la LSSICE.
Saber cmo redactar un documento de seguridad.
INTRODUCCI INTRODUCCI N N
Nacimiento de una persona fsica. Datos de la infancia, vida acadmica,
profesional, hbitos de vida y consumo, relaciones personales, ideologa,
creencias, salud, etc. DATOS DE LA PERSONA.
Revolucin y agresividad de la informtica. Almacenamiento, tratamiento,
relacin, comunicacin, acceso, etc. PERFIL EXACTO DE LA PERSONA.
Defensa de la privacidad. Garantizar el honor, la intimidad personal y
familiar de los ciudadanos. PROTECCIN LEGAL.
ANTECEDENTES LEGALES A LA LOPD
CONVENIO 108 DEL CONSEJO DE EUROPA de 1981 CONVENIO 108 DEL CONSEJO DE EUROPA de 1981: : Regula la Proteccin de
las personas con respecto al tratamiento automatizado de
datos de carcter personal, ratificado por Espaa en 1984.
CONSTITUCI CONSTITUCI N ESPA N ESPA OLA: Art. 18.4 OLA: Art. 18.4: : ... Garantizar y proteger... Las
libertades pblicas y los derechos fundamentales de las
personas fsicas y, especialmente, de su honor e intimidad
personal y familiar....
LORTAD: LORTAD: Ley Orgnica 5/1992, de 29 oct., de Regulacin del
Tratamiento Automatizado de los Datos de Carcter
Personal
DIRECTIVA 95/46/CE DIRECTIVA 95/46/CE, del Parlamento Europeo y del Consejo, de 24 de
Oct. de 1995, relativa a la Proteccin de las personas fsicas en
lo que respecta al tratamiento de datos personales y a la libre
circulacin de estos datos.
CONSTITUCI CONSTITUCI N EUROPEA: N EUROPEA:
LEY ORG LEY ORG NICA 15/1999 DE 13 de dic. DE PROTECCI NICA 15/1999 DE 13 de dic. DE PROTECCI N DE N DE
DATOS DE CAR DATOS DE CAR CTER PERSONAL (LOPD) CTER PERSONAL (LOPD)
Objetivo Objetivo
(Publicado en el BOE nm. 298 de 14 diciembre de 1999)
Real decreto: Reglamento de Medidas de Seguridad de los ficheros automatizados
Garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las
libertades pblicas y los derechos fundamentales de las personas fsicas, y
especialmente de su honor e intimidad personal y familiar.
mbito de Aplicaci mbito de Aplicaci n n
A los datos de carcter personal registrados en soporte fsico que los haga
susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los
sectores pblico y privado.
Limitaciones Limitaciones
A los ficheros mantenidos por personas fsicas en el ejercicio de actividades
exclusivamente personales o domsticas
A los ficheros sometidos a la normativa sobre proteccin de materias clasificadas
A los ficheros establecidos para la investigacin del terrorismo y de formas graves
de delincuencia organizada (aunque el responsable del fichero comunicar
previamente sus caractersticas generales y finalidad a la APD)
Disposiciones espec Disposiciones espec ficas ficas
Los ficheros regulados por la legislacin de rgimen electoral
Los de fines exclusivamente estadsticos amparados por la legislacin sobre la
funcin estadstica pblica
Los informes personales de calificacin de la legislacin del Rgimen del personal de
las Fuerzas Armadas
Los del Registro Civil y del Registro Central de penados y rebeldes
Los de imgenes y sonidos de videocmaras segn la legislacin sobre las Fuerzas y
Cuerpos de Seguridad
AGENCIA ESPA AGENCIA ESPA OLA DE PROTECCI OLA DE PROTECCI N DE DATOS N DE DATOS
Ente de Derecho Pblico, con personalidad jurdica propia y plena
capacidad pblica y privada. Acta con plena independencia de las
Administraciones Pblicas en el ejercicio de sus funciones.
Su finalidad principal es velar por el cumplimiento de la legislacin sobre
proteccin de datos personales y controlar su aplicacin, en especial en lo
relativo a los derechos de informacin, acceso, oposicin, rectificacin y
cancelacin de datos.
www.agpd.es
Ficheros: todo conjunto organizado de datos de carcter personal, cualquiera
que fuere la forma o modalidad de su creacin, almacenamiento, organizacin y
acceso.
Datos de carcter personal: Cualquier informacin concerniente a personas
fsicas identificadas o identificables.
Tratamiento de datos: operaciones y procedimientos tcnicos de carcter
automatizado o no, que permitan la recogida, grabacin, conservacin,
elaboracin, modificacin, bloqueo y cancelacin as como las cesiones de datos
que resulten de comunicaciones , consultas, interconexiones y transferencias.
Responsable del fichero o tratamiento: persona fsica o jurdica, de naturaleza
pblica y privada, u rgano administrativo, que decida sobre la finalidad,
contenido y uso del tratamiento.
Afectado o interesado: persona fsica titular de los datos que sean objeto del
tratamiento.
DEFINICIONES Y CONCEPTOS
Encargado del tratamiento: la persona fsica o jurdica, autoridad pblica,
servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate
datos personales por cuenta del responsable del tratamiento
Consentimiento del interesado: toda manifestacin de voluntad, libre,
inequvoca, especfica e informada, mediante la que el interesado consienta el
tratamiento de los datos personales que le conciernen.
Cesin o comunicacin de datos: toda revelacin de datos realizada a una
persona distinta del interesado.
Fuentes accesibles al pblico: El censo promocional, los repertorios
telefnicos, las listas de profesionales, diarios, Boletines Oficiales y Medios de
Comunicacin
Procedimiento de disociacin: todo tratamiento de datos personales de modo
que la informacin que se obtenga no pueda asociarse a persona identificada o
identificable.
DEFINICIONES Y CONCEPTOS
Obligaciones LOPD Obligaciones LOPD
Inscripcin de los ficheros en la AGPD
Tutela del derecho de los afectados de ARC
Mantener principio de calidad de los datos
Derecho de informacin en la recogida de datos
Consentimiento del afectado
Deber de secreto
Comunicacin de los datos a terceros
Acceso a los datos por cuenta de terceros
Redaccin e implantacin del Documento de Medidas de Seguridad
Datos relativos a la salud
Seguridad de los datos
REGLAMENTO DE MEDIDAS DE SEGURIDAD REGLAMENTO DE MEDIDAS DE SEGURIDAD
Objetivo Objetivo
(Publicado en el BOE nm. 298 de 14 diciembre de 1999)
Real decreto: Reglamento de Medidas de Seguridad de los ficheros automatizados
Establecer las medidas de ndole tcnica y organizativas necesarias para garantizar la
seguridad de los ficheros automatizados, los centros de tratamiento, locales, equipos,
sistemas, programas, y las personas que intervengan en el mismo.
Niveles de seguridad Niveles de seguridad
BASICO MEDIO ALTO
Niveles de seguridad Niveles de seguridad
Ideologa, Religin, creencias
Raza, salud, vida sexual
Fines policiales sin
consentimiento
Infracciones penales y
administrativas
Hacienda pblica
Solvencia patrimonial / crediticia
Servicios Financieros
Evaluacin de la personalidad
Todos los ficheros
DNI
Nombre
Direccin, telfonos
ALTO MEDIO BSICO
Plazos: Plazos:
26 de marzo de 26 de marzo de
2000 2000
26 de junio de 26 de junio de
2000 2000
26 de junio de 26 de junio de
2002 2002
TODOS VENCIDOS!!! TODOS VENCIDOS!!!
Medidas de seguridad de nivel bsico y medio
Proteccin en la distribucin de soportes
Registro automtico de accesos a sistemas
Medidas adicionales de copias de respaldo
Cifrado de telecomunicaciones
ALTO
Medidas de seguridad de nivel bsico
Responsable de Seguridad
Auditora bienal
Medidas adicionales de Identificacin y autenticacin de usuarios
Control de acceso fsico a locales
Medidas adicionales de gestin de soportes
Medidas adicionales en el Registro de incidencias
Pruebas sin datos reales
MEDIO
Documento de seguridad
Rgimen de funciones y obligaciones del personal
Registro de incidencias
Identificacin y autenticacin de usuarios
Control de acceso
Gestin de soportes
Copias de respaldo y recuperacin
BSICO
MEDIDAS DE SEGURIDAD OBLIGATORIAS NIVEL
R
.
D
.

9
9
4
/

1
9
9
9
,

d
e

R
e
g
l
a
m
e
n
t
o

d
e

M
e
d
i
d
a
s

d
e

S
e
g
u
r
i
d
a
d

d
e

l
o
s

f
i
c
h
e
r
o
s

a
u
t
o
m
t
i
c
o
s

q
u
e

c
o
n
t
e
n
g
a
n

d
a
t
o
s

d
e

c
a
r
c
t
e
r

p
e
r
s
o
n
a
l
Implantaci Implantaci n n
Organizacin y toma de datos
Auditora LOPD + LSSI
Inscripcin de ficheros
Procedimiento ARC
Informe de Recomendaciones e
Incumplimientos
Documento de Seguridad
Formacin e Implantacin
Adaptacin de la Web
Metodolog Metodolog a adaptaci a adaptaci n LOPD n LOPD
Acceso
Rect i f i caci n
Cancel aci n
PROCEDIMIENTO ARC PROCEDIMIENTO ARC
Acceso: entrega de informacin.
Rectificacin: correccin o modificacin.
Cancelacin: bloqueo durante el plazo de prescripcin de responsabilidades + supresin
posterior.
Oposicin: a constar en el fichero = negativa a que los datos sean tratados = Cancelacin
Necesidad de implantar las medidas que permitan y faciliten el ejercicio
de estos derechos por parte del afectado
Procedimiento interno de la Sociedad para el ejercicio por los afectados de sus derechos de:
El Derecho de Acceso, Rectificacin y Cancelacin:
v Derechos fundamentales del Afectado: PRINCIPIO de la ley.
v Cumplimiento de obligaciones legales: Asegurar el ejercicio del
derecho de los afectados.
v Infraccin leve (no atender rectificacin o cancelacin), grave (no
facilitar, impedir u obstaculizar), o muy grave (no atender, u
obstaculizar de forma sistemtica), (LOPD art. 44.2.a y 3.e).
v Finalidad principal de la APD: velar por el cumplimiento de la
legislacin sobre proteccin de datos personales y controlar su
aplicacin, en especial en lo relativo a los derechos de informacin,
acceso, oposicin, rectificacin y cancelacin de datos (LOPD art. 37,
a).
v Incluye ficheros en papel (LOPD disp. Adicional 1).
Tratamiento General
Todo el personal debe poder informar de este procedimiento a cualquier afectado.
Derechos independientes: no es necesario ejercitar uno para poder ejercitar otro.
Derechos personalsimos: solo el afectado y con DNI (o representante legal).
Servicio gratuito.
Todo por correo certificado.
Caso de no reunir los requisitos: Se solicitar al interesado la subsanacin de los mismos .
Obligacin de contestar a la solicitud: Con independencia de que figuren o no datos
personales del afectado en sus ficheros.
Se podr denegar el acceso, rectificacin o cancelacin. Supuestos art. 15.3, 23.1 y 23.2
LOPD (e Instruccin APD 1/98, norma 2, pto 5).
Referencias legales:
LOPD 15/1999 (BOE nm. 298 de 14 diciembre de 1999.
Real Decreto 1332/1994 (BOE nm. 147, de 21 de junio).
Instruccin de la APD 1/1998, de 19 de enero (BOE nm. 25, de 29 de enero 1998).
Procedimiento ARC
FORMULARIOS solicitud afectados en: https://www.agpd.es
I
N
T
E
R
E
S
A
D
O
RESOLUCIN SOBRE LA
SOLICITUD
COMUNICACIN DE DATOS
CANCELADOS
DENEGACIN MOTIVADA
DE EJERCICIO DEL
DERECHO
ACCEDIDOS
MODIFICADOS
PETICIN DE
SUBSANACIN DE
SOLICITUD
CORRECCIN DE
DATOS
CANCELACIN DE
DATOS
OBTENCIN DE DATOS DE
LAS AREAS O
DEPARTAMENTOS
AFECTADOS
No
S
No
S
Registro
Registro
Registro
Registro
Registro
SOLICITUD
Registro
Mximo
+ 10 das
Mximo los
mismos 10 das
RESOLUCIN ACEPTANDO
EL EJERCICIO DEL
DERECHO o NO hay datos
SI
Mximo 10 das
(1 mes en Acceso)
Registro
Mximo los
mismos 10 das
Mximo 10 das
(1 mes en Acceso)
SOLICITUD
COMPLETA?
MODELOS de documentos para el ejercicio de los derechos de
Acceso, Rectificacin o Cancelacin:
v Modelos de Solicitud.
v Peticin de Subsanacin de la Solicitud.
v Modelo de Resolucin sobre la Solicitud.
v Modelos de Contestacin a las solicitudes.
Ver el procedimiento ARC (Acceso, Rectificacin y Cancelacin)
Adecuacin de la recogida de
datos y de las comunicaciones
a los interesados
Informacin al afectado:
LOPD: Los interesados a los que se soliciten datos personales debern ser previamente
informados de modo expreso, preciso e inequvoco: Texto de aviso
la existencia de un fichero o tratamiento de datos de carcter personal,
la finalidad de la recogida de stos y de los destinatarios de la informacin,
el carcter obligatorio o facultativo de su respuesta a las preguntas que les sean
planteadas,
las consecuencias de la obtencin de los datos o de la negativa a suministrarlos,
la posibilidad de ejercitar los derechos de acceso, rectificacin y cancelacin (ARC),
la identidad y direccin del Responsable del Fichero.
FORMULARIOS o IMPRESOS (Tanto en papel como en la Web) FORMULARIOS o IMPRESOS (Tanto en papel como en la Web)
LSSI: Obligacin de Informar en la pgina web: denominacin social, NIF, domicilio, correo
electrnico, cdigos de conducta y precios de los productos o servicios.
En todo
cuestionario o
impreso
Deben figurar estas advertencias
Consentimiento del afectado:
LOPD: El tratamiento de los datos de carcter personal requerir el
consentimiento inequvoco del afectado, salvo que la Ley disponga otra cosa:
no es necesaria su firma, aunque es aconsejable.
LSSI: prohibido el envo de comunicaciones publicitarias o promocionales por
correo electrnico u SMS que previamente no hubieran sido solicitadas o
expresamente autorizadas por los destinatarios (excepto si existe una relacin
contractual previa).
Incluirlo en todos aquellos cuestionarios o impresos de recogida de datos
(obligatorio),
Cualquier otro mtodo que informe de modo expreso, preciso e inequvoco
(por ejemplo, con un cartel bien visible en el local de atencin al pblico,
repartiendo una octavilla, etc).
FORMULARIOS o IMPRESOS (Tanto en papel como en la Web) FORMULARIOS o IMPRESOS (Tanto en papel como en la Web)
De acuerdo con lo dispuesto en la Ley 15/99 de Proteccin de Datos de Carcter
Personal (LOPD), le informamos que la presentacin de este formulario supone la
aceptacin expresa a que sus datos sern incorporados a un fichero automatizado,
cuyo responsable es _____________________, S.L., quien los utilizar para (Incluir
aqu la FINALIDAD DEL FICHERO). Estos datos no sern cedidos ni comunicados a
terceros. Podr ejercer sus derechos de acceso, rectificacin y cancelacin mediante
escrito [acompaando fotocopia de su DNI,] dirigido a: Nombre la sociedad, S.L.
(Direccin) [o bien envindonos un e-mail a xxxxxxx@xxxxxxx.com ]
Acepta que le enviemos posteriormente informacin sobre nuestras actividades y
servicios que podran ser de su inters a travs del telfono mvil o por cualquier otro
medio? _Si, _ No
[Firmado:]
v Informacin al afectado:
LOPD: en el momento en que se efecte la primera cesin de datos, indicando adems la
finalidad del fichero, la naturaleza de los datos que han sido cedidos y el nombre y direccin
del cesionario (excepto si Ley, Contrato, Jueces o entre AA.PP).
LOPD: Cuando los datos de carcter personal no hayan sido recabados del interesado,
ste deber ser informado de forma expresa, precisa e inequvoca, por el responsable del
fichero o su representante, dentro de los tres meses siguientes al momento del registro de
los datos.
LOPD: cuando los datos procedan de fuentes accesibles al pblico y se destinen a la
actividad de publicidad o prospeccin comercial, se informar al interesado en cada
comunicacin que se dirija.
LSSI: Obligacin de Informar en la pgina web: denominacin social, NIF, domicilio, correo
electrnico, cdigos de conducta y precios de los productos o servicios.
LSSI: Si se hace publicidad por correo electrnico o mensajes SMS: identificacin del
anunciante e iniciar el mensaje con la palabra publicidad.
v Consentimiento del afectado:
LOPD: derecho de Acceso, Rectificacin y Cancelacin u oposicin.
LSSI: establecer procedimientos sencillos para facilitar la revocacin del consentimiento por
el usuario.
CARTAS o ENV CARTAS o ENV OS OS ( (Tanto en papel como E Tanto en papel como E- -mail o SMS mail o SMS) )
Incluirlo al pie de todos los envos o comunicaciones al interesado (adaptndolo al
caso concreto y dependiendo de si el envo es por va electrnica, e-mail o mensaje
SMS, o en papel):
De acuerdo con lo dispuesto en la Ley 15/99 de Proteccin de Datos de Carcter Personal, le
informamos que sus datos estn incorporados en un fichero automatizado, cuyo responsable es
____________________, S.L. (CIF ______________), quien los utiliza para (INCLUIR LA
FINALIDAD DEL FICHERO). Estos datos no sern cedidos ni comunicados a terceros en ningn
caso. Podr ejercer sus derechos de acceso, rectificacin y cancelacin mediante escrito
[acompaando fotocopia de su DNI,] dirigido a: Nombre de la sociedad titular del fichero
(Direccin) [o bien envindonos un e-mail a xxxxxxx@xxxxxxx.com]
[Si no desea recibir ms comunicaciones de nuestra parte, por favor devulvanos este
correo indicando BAJA en el asunto[1]]
[1] Solo para envos por correo electrnico: se puede sustituir este mtodo por un link que genere
automticamente un mensaje a la web de la empresa en este mismo sentido.
Adecuacin del tratamiento
por terceros
Contratos de Tratamiento por terceros de ficheros con datos de carcter
personal : Caso del Responsable del fichero que subcontrata un tratamiento de
datos con otra empresa (como la nmina y el mantenimiento informtico)
No se considerar comunicacin de datos el acceso de un tercero a los datos
cuando dicho acceso sea necesario para la prestacin de un servicio al
Responsable del Fichero.
La realizacin de tratamientos por cuenta de terceros deber estar regulada en un
contrato escrito.
La sociedad siguen siendo la Responsable de estos ficheros (aunque
fsicamente no los tengan).
El Proveedor es el Encargado del Tratamiento de ficheros de terceros.
Adecuaci Adecuaci n de tratamiento por cuenta de terceros n de tratamiento por cuenta de terceros
Clusulas de proteccin de datos segn la LOPD, para los contratos con
tratamiento de datos por terceros (subcontratistas):
Deber estar regulada en un contrato que deber constar por escrito o en alguna otra forma que
permita acreditar su celebracin y contenido, establecindose expresamente que el Encargado
del Tratamiento:
nicamente tratar los datos conforme a las instrucciones del Responsable del Fichero.
NO los aplicar o utilizar con fin distinto al que figure en dicho contrato.
NO los comunicar, ni siquiera para su conservacin, a otras personas.
Cules son las medidas de seguridad del RD 994/99 que est obligado a implementar.
Que una vez cumplida la prestacin contractual, los datos de carcter personal debern ser
destruidos o devueltos al Responsable del Fichero, al igual que cualquier soporte o documentos
en que conste algn dato de carcter personal objeto del tratamiento.
Que si destina los datos a otra finalidad, los comunica o los utiliza incumpliendo las
estipulaciones del contrato, ser considerado, tambin, Responsable del Tratamiento,
respondiendo de las infracciones en que hubiera incurrido personalmente.
Referencias legales: Referencias legales:
Art. 12 de la LOPD.- Acceso a los datos por cuenta de terceros
Introduccin y obligaciones
de la LSSI (34/2002)
Ley 34/2002 de Servicios de la Sociedad de la Informacin y de
Comercio Electrnico
Se aplica al comercio electrnico y a otros servicios de Internet cuando sean
parte de una actividad econmica.
www www. .lssi lssi.es .es
LSSI
LSSI
v Deben mostrar en su pgina web, la siguiente informacin:
v Su denominacin social, NIF, domicilio y direccin de correo electrnico
v Cdigos de conducta a que estn adheridas
v Precios de los productos o servicios que ofrecen
v Deben comunicar el nombre de dominio que utilicen al Registro Mercantil u otro
Registro pblico en que estn inscritas.
Y si adems realiza contratos on-line, deber aadir la siguiente informacin:
v Trmites que deben seguirse para contratar on-line
v Condiciones generales a que, en su caso, se sujete el contrato.
...y confirmar la celebracin del contrato por va electrnica, mediante el envo de un
acuse de recibo del pedido realizado.
Obligaciones de informaci Obligaciones de informaci n n
El anunciante debe identificarse claramente
El carcter publicitario del mensaje debe resultar inequvoco
Si se realizan ofertas, concursos o juegos promocionales, adems
de lo anterior, se deber:
Identificarlas como tales
Expresar de forma clara e inequvoca las condiciones de
participacin
Cuando se enven por correo electrnico, mensajes SMS...:
Obtener con carcter previo, el consentimiento del destinatario
Identificar el mensaje publicitario con la palabra publicidad
Establecer procedimientos sencillos para facilitar la revocacin
del consentimiento por el usuario.
Y si hacen publicidad via electr Y si hacen publicidad via electr nica... nica...
Sanciones LEVES Sanciones LEVES
No atender, por motivos formales, la solicitud del interesado de
rectificacin o cancelacin de los datos personales objeto de tratamiento
cuando legalmente proceda.
No solicitar la inscripcin del fichero de datos de carcter personal en el
Registro General de Proteccin de Datos, cuando no sea constitutivo de
infraccin grave.
Proceder a la recogida de datos de carcter personal de los propios
afectados sin proporcionarles la informacin que seala el artculo 5 de la
Ley Orgnica de Proteccin de Datos.
Multa de 601 a 60.101 Multa de 601 a 60.101
Sanciones GRAVES Sanciones GRAVES
Proceder a la creacin de ficheros de titularidad privada o iniciar la
recogida de datos de carcter personal para los mismos con finalidades
distintas de las que constituyen el objeto legtimo de la empresa o entidad.
Proceder a la recogida de datos de carcter personal sin recabar el
consentimiento expreso de las personas afectadas, en los casos en que
ste sea exigible.
El impedimento o la obstaculizacin del ejercicio de los derechos de
acceso y oposicin y la negativa a facilitar la informacin que sea solicitada.
(1) (1)
Multa de 60.101 a 300.506 Multa de 60.101 a 300.506
Sanciones GRAVES Sanciones GRAVES
Mantener los ficheros, locales, programas o equipos que contengan datos
de carcter personal sin las debidas condiciones de seguridad que por va
reglamentaria se determinen.
Incumplir el deber de informacin que se establece en los artculos 5, 28
y 29 de la Ley Orgnica de Proteccin de Datos, cuando los datos hayan
sido recabados de persona distinta del afectado.
(2) (2)
Sanciones MUY GRAVES Sanciones MUY GRAVES
La recogida de datos en forma engaosa y fraudulenta.
La comunicacin o cesin de los datos de carcter personal, fuera
de los casos en que estn permitidas.
No atender de forma sistemtica el deber legal de notificacin de
la inclusin de datos de carcter personal en un fichero.
La Sentencia de 8 de Noviembre de 2000 relativo a un centro de formacin titular de un fichero
inscrito en el Registro de Proteccin de datos que fue sancionado con multa de 60.101 euros
(10.000.001 de pesetas) porque en los formularios utilizados para la captacin de alumnos/as en
los que figuraba el nombre, apellidos, edad y profesin no se inclua la informacin exigida por el
artculo 5.1 de la LORTAD de 1992, datos que eran posteriormente utilizados, no slo para remitir
la informacin concreta solicitada, sino tambin en ulteriores mailings publicitarios de la propia
concurrente.
La Sentencia desestim el recurso del centro de formacin.
< ... los formularios utilizados por el recurrente para la captacin de alumnos .... no
contenan la informacin que, con carcter preceptivo, exige el precepto transcrito (se refiere al artculo
5.1 de la Ley de 1992 que es el mismo que igual precepto de la de 1999), sin que, como bien reconoce
el propio recurrente, la ignorancia de las normas no excuse de su cumplimiento, ni pueda eludirse la
responsabilidad en el que haya podido incurrir en un inexistente deber de la Administracin de
informacin de las obligaciones exigibles en cada caso >.
SANCION LEVE: Informacin en la recogida de datos
Un particular formul denuncia ante la Agencia de Proteccin de Datos en relacin con datos
relativos a su salud obrantes en la empresa aseguradora. Si bien los datos atinentes al
denunciante fueron destruidos por la empresa tras esta denuncia, tal como la empresa inform al
denunciante, la Agencia realiz la correspondiente inspeccin de los ficheros, durante la cual no se
encontraron datos atinentes al denunciante, pero s datos relativos a la salud de su esposa.
Inicio de procedimiento sancionador: SANCIN GRAVE: 60.101,00
< ... No habindose acreditado que la entidad aseguradora dispusiese del consentimiento previo de la
afectada para la automatizacin de tales datos .... Tales datos no eran necesarios en tal fecha para la
tramitacin de una solicitud de seguro .... Fichero automatizado con los datos de la esposa (domicilio,
DNI, fecha nacimiento, sexo, profesin, datos relativos a medidas del cuerpo, embarazos, abortos,
antecedentes familiares, aptitud para el trabajo, sufrimiento de distintas afecciones mdicas, consumo
de estupefacientes y otras medicinas, consumo de tabaco y alcohol, sometimiento a pruebas de
deteccin del sida, etc) .... La documentacin encontrada incluye un cuestionario mdico en el que
constan los mismos datos que en el fichero automatizado de la entidad aseguradora .... Ni el
denunciante ni su esposa han contratado o suscrito pliza alguna>.
Recurso desestimado a la Aseguradora.
SENTENCIA DEL TRIBUNAL SUPERIOR DE JUSTICIA DE MADRID (29/01/2003):
SENTENCIA DE 15 DE NOVIEMBRE DE 2000:
Caso: un cliente de un video-club haba recibido sin haberlo solicitado un catlogo de
vdeos para adultos (pornogrficos).
La sentencia sancion a la empresa con una multa de 60.101 euros (10.000.001 de
pesetas) estimando que la denunciante < .... suministr sus datos personales a los solos
efectos de adquirir un vdeo sin que dicha operacin conlleve solicitud alguna de recibir
publicidad de los productos de la mercantil vendedora, ni dicha publicidad entre en el
mbito de la compra de un vdeo.... >.
SANCION LEVE: Finalidad de recogida de la informacin
DOCUMENTO DE SEGURIDAD DOCUMENTO DE SEGURIDAD
Segn el Real Decreto 994/ 1999, de Reglamento de Medidas de Seguridad
de los ficheros automatizados que contengan datos de carcter personal
NDICE
1. mbito de aplicacin y Recursos Protegidos (Art. 6, 7 y 8).
2. Identificacin y autenticacin de acceso a los Sistemas de Informacin (Art. 11 y 12).
3. Gestin de soportes informticos y transmisiones con datos protegidos (Art. 6, 7 y 13).
4. Procedimientos de copias de respaldo (Art. 13 y 14).
5. Tratamiento de incidencias (Art. 8 y 10).
6. Nombramientos, Funciones y obligaciones del personal (Art.8 y 9).
Permanente
Revisin con cambios relevantes en el sistema de informacin o en la
organizacin del mismo
Adecuacin a las disposiciones vigentes
ACTUALIZACIN
Detalle de la estructura de los ficheros declarados
ESTRUCTURA DE LOS FICHEROS
PROTEGIDOS
Sesin de presentacin y formacin
A disposicin de todos los usuarios
DIFUSIN
Detalle y descripcin de los sistemas de informacin establecidos en la
empresa
DESCRIPCIN DE LOS SISTEMAS
DE INFORMACIN
De obligado cumplimiento para todo el personal (interno y externo)
Obligacin de secreto profesional
APLICACIN
Sociedades RESPONSABLE DE LOS FICHEROS
Implantar la normativa de seguridad de ficheros con datos personales
Reglamento de Rgimen Interior de la organizacin
OBJETO
Captulo 1. mbito de aplicacin y Recursos Protegidos (Art. 6, 7 y 8)
DOCUMENTO DE SEGURIDAD DOCUMENTO DE SEGURIDAD
Ficheros protegidos.
Aplicaciones o programas.
Ordenadores y Servidores.
Soportes (cintas, discos, CDs, papel,...).
Almacenes de soportes
Puestos de trabajo.
Centros o locales de tratamiento.
MBITO de aplicacin y
Recursos protegidos (Art. 8)
Todos los Sistemas de
Informacin de la Empresa.
3 PRINCIPIOS EN SEGURIDAD DE LA INFORMACIN:
1. CONFIDENCIALIDAD: proteccin.
2. INTEGRIDAD: exactitud.
3. DISPONIBILIDAD: pueden ser utilizados
I
S
O

/

I
E
C

1
7
7
9
9
3 REAS EN SEGURIDAD DE LA INFORMACIN:
1. FSICA: instalaciones, soportes, ...
2. LGICA: control de accesos, pista de auditoria, ...
3. LEGAL Y ORGANIZATIVA: Documento de Seguridad
Actualizacin y cambios
Actualizado permanentemente: Responsable Fichero (rgano de direccin de la sociedad).
Promover cambios: Responsable de Seguridad.
Implantar cambios tcnicos u organizativos provisionales: Responsable de Seguridad.
Procedimiento de alta, modificacin y baja de ficheros: R.F. (rgano direccin sociedad).
Permanentemente.
Revisin con cambios relevantes en el sistema de
informacin o en la organizacin del mismo.
Adecuacin a las disposiciones vigentes.
ACTUALIZACIN
Difusin: Es obligacin de la Direccin (como representante de la sociedad, Responsable del Fichero), el informar
del contenido de este documento y de la obligatoriedad de su uso a todos los Usuarios del Sistema de Informacin
de la empresa.
Acto de presentacin pblica y sesin formativa a directivos, jefes de rea y personal directamente relacionado con
ficheros con datos de carcter personal.
Entrega del Documento a los usuarios afectados.
Publicacin del Documento en la Intranet de la empresa o envo por e-mail.
Captulo. 2. Difusin, actualizacin y cambios de la
normativa de seguridad (Art. 8 y 9)
FUNCIONES Y OBLIGACIONES DEL PERSONAL
De obligado cumplimiento a cualquier persona con acceso (Internos y
externos).
Deber de Secreto.
Prohibida la copia de ficheros (excepto autorizacin expresa)
Prohibido el uso para Finalidad distinta.
CONFIDENCIALIDAD
INTEGRIDAD
DISPONIBILIDAD
Captulo 3. Nombramientos, Funciones y
obligaciones del personal (Art. 8 y 9)
a) Implantar y difundir las normas de Seguridad.
b) Facilitar los medios, especialmente para el acceso restringido e incidencias y
organizar el trabajo para garantizar la confidencialidad.
c) Mantener actualizado el Documento de Seguridad y las inscripciones en RGPD.
d) Asegurar que los Sistemas de Informacin mantengan su acceso restringido a los
Ficheros.
e) Verificar la definicin y correcta aplicacin de las copias de respaldo y
recuperacin.
f) Habilitar y mantener el Libro Registro de Incidencias e Investigarlas.
Asegurar el derecho de Acceso, Rectificacin y Cancelacin
Responsable de los Ficheros: Sociedad Responsable de los Ficheros: Sociedad
a) Difundir, cumplir y hacer cumplir todas las normas de Seguridad establecidas en este
Documento.
b) Controlar el cumplimiento de esta normativa de Seguridad, realizando todas las verificaciones
que considere oportunas.
c) Promover e implantar todas las medidas de Seguridad de proteccin de datos oportunas para
incrementar la seguridad y mejorar las normas de este Documento.
d) Permitir exclusivamente el acceso a los Ficheros protegidos a los usuarios autorizados por el
R.F.
e) Habilitar y mantener el Libro Registro de Incidencias e investigarlas.
f) Incidencia de Seguridad con prdida de datos: autorizar el Procedimiento de Recuperacin.
g) Tratar el almacn de soportes (Caja Ignfuga) como de Acceso Restringido.
h) Confirmar que los soportes informticos con datos personales de los Ficheros se almacenan
en lugares de acceso restringido.
i) Mantener actualizado el Inventario de Soportes .
j) Autorizar o denegar la entrada o salida de datos y mantener Libro Registro de Soportes y
Transmisiones (medio).
Responsable de Seguridad Responsable de Seguridad
a) Conocer y cumplir las normas establecidos en este Documento de Seguridad.
b) Mantener una absoluta confidencialidad, especialmente de contraseas.
c) Conocer y cumplir lo establecido en el Doc. de Seguridad.
d) Obtener la autorizacin de la Direccin como Usuario, para acceder a cualquier
Fichero Protegido, e informarle cuando ya no sea necesaria.
e) Seguir las reglas establecidas para las contraseas (como su confidencialidad y
caducidad).
f) Solicitar la autorizacin para E/S de soportes y transmisiones.
g) Informar ante la necesidad de crear, eliminar o modificar la inscripcin de
ficheros.
h) Informar ante cualquier incidencia o anomala de seguridad que detecte.
i) Utilizar los Sistemas Informticos slo para actividades propias
j) No usar software sin licencia.
k) No modificar la configuracin del puesto.
Usuario Usuario
Captulo 4. Captulo 4. IDENTIFICACIN Y AUTENTICACIN en accesos IDENTIFICACIN Y AUTENTICACIN en accesos
a los Sistemas de Informaci a los Sistemas de Informaci n ( n (Art. 11 y 12 Art. 11 y 12) )
Proteccin:
v MANUAL: salirse del programa o sistema al ausentarse del
puesto de trabajo, aunque sea solo para unos minutos
v AUTOMTICA: Pantalla protectora de BLOQUEO
automtico por falta de uso
MEDIOS (parcial)
v INDIVIDUAL o PERSONAL:
Prohibidas las contraseas comunes
de varios usuarios
v Limitacin del nmero de
reintentos de acceso
BSICOS
v Lista de Usuarios Autorizados (Anexo IV)
Detalla cada autorizacin
Actualizada
Auditable
v Procedimientos sobre Contraseas:
CONFIDENCIAL
ININTELIGIBLE (Nunca en claro).
CADUCIDAD (cambio al memos ANUALMENTE)
OBLIGACIONES
C
o
n
t
r
a
s
e
a
s
:

c
o
m
p
o
n
e
n
te

fu
n
d
a
m
e
n
ta
l d
e

la
s
e
g
u
r
id
a
d
Solo la direccin (Responsable de Seguridad) puede dar autorizaciones
Principio de mnimo privilegio: usuario + contrasea
v No se permiten contraseas parecidas al cdigo ni al nombre del usuario.
v Tampoco se parecer a la contrasea anterior.
v Prohibidos los cdigos de Usuario y contraseas comunes o genricas de departamento.
v Recomendable emplear el mismo cdigo de usuario pero distinta contrasea.
v Cada usuario ser responsable de la confidencialidad de su contrasea
v Configuracin:
Longitud mnimo 4 caracteres, mximo 12 caracteres.
Numricos o alfabticos, excepto las , , , y acentuadas.
P
a
s
s
w
o
r
d
T
O
P

S
E
C
R
E
T
a) De la RED o PC:
b) De la Aplicacin:
Cd. usuario + Contrasea
o slo Contrasea (slo MS-Word y MS-Excel)
Windows 98 solo Contrasea (BIOS)
Windows > 2000 Cd. Usuario + Contrasea
Tipos de CONTRASEAS:
Captulo 4. Captulo 4. IDENTIFICACIN Y AUTENTICACIN en accesos IDENTIFICACIN Y AUTENTICACIN en accesos
a los Sistemas de Informaci a los Sistemas de Informaci n ( n (Art. 11 y 12 Art. 11 y 12) )
Almacn de soportes: Lugar de acceso
Restringido al personal autorizado por
direccin
B)
F)
E)
C)
A)
Tambin Autorizacin de Entrada
+ Registro de E/S y de Transmisiones
+ soportes c/proteccin acceso.
Autorizacin de Salida
Procedimiento de desechado o reciclado:
Borrado fsico
Inventario de Soportes: numerar cada
soporte al comprarlos
Etiqueta de soporte
MEDIO (parcial) BSICO
Captulo 5. Captulo 5. Gestin de soportes informticos y Gestin de soportes informticos y
t transmisiones con datos protegidos ransmisiones con datos protegidos (Art. 6, 7 (Art. 6, 7 y y 13) 13)
Disquetes, cintas, discos, CD-Rom, DVD
Ordenadores porttiles
Transmisiones y e-mail
Copias en papel
Etiqueta de soporte
Inventario de soportes
N
Inventario
Fecha
Alta
Tipo de soporte
(cinta, disquete, CD-
ROM, DVD, etc)
Sistema(s) de
Informacin
Fecha de
Desecho

Libro Registro de Soportes y Transmisiones = Inventario + formularios autorizaciones
N de
INVENTARIO
de soportes:
Sistema:
Fecha obtencin:
Contenido:
Ficheros Temporales:
Autorizacin de direccin para su creacin.
Cumplimiento del nivel de seguridad.
Prohibido su salida de las instalaciones
Borrado una vez deje de ser necesario.
Trabajo fuera de los locales:
Autorizacin expresa de direccin (formulario de E/S de soportes).
Cumplimiento del nivel de seguridad.
Mantenimiento y reparaciones:
Contratos c/ 3os, borrar datos del disco duro, permanecer junto al
tcnico externo, ...
Pruebas con datos reales (nivel medio):
Procedimiento de "disociacin o mimetizacin.
Garantizar la integridad y la disponibilidad de los datos.
v Procedimientos de respaldo (back-up): responsable Administrador.
v Copias de respaldo al menos semanalmente.
v Tratamiento como el resto de soportes (etiqueta, inventario,
Almacn, etc.
v Procedimientos de recuperacin de los datos
Autorizacin de Responsable de seguridad
El usuario debe revisar y completar los datos
INCIDENCIA
Captulo 6. Captulo 6.- - Procedimientos de COPIAS DE RESPALDO y su Procedimientos de COPIAS DE RESPALDO y su
RECUPERACIN (Art. 13 y 14) RECUPERACIN (Art. 13 y 14)
INCIDENCIAS: cualquier riesgo para la confidencialidad, integridad y
disponibilidad de los datos; incumplimiento de la normativa; riesgo de seguridad.
OBLIGACIN: Registro de Incidencias
Notificacin de Incidencia
Receptor de la notificacin (Administrador de la red)
Tipo de incidencia y Fichero
Momento de la ocurrencia
Efectos que se hubieran derivado de la incidencia
Persona que la notifica
Autorizacin del Responsable de Seguridad para recuperar o restaurar la copia
de seguridad de los ficheros
Captulo 7. Captulo 7.- - Tratamiento de Incidencias Tratamiento de Incidencias
Notificacin de Incidencias
Prdida de la confidencialidad en una contrasea.
Acceso a informacin protegida sin autorizacin.
Copia, manipulacin, destruccin o revelacin no autorizadas de cualquier Dato Personal
protegido
Trasgresin de las medidas de proteccin, y en especial si puede ocasionar perjuicios a la
Empresa.
Suplantacin de usuario.
Divulgar una deficiencia en los controles de seguridad.
Error en la proteccin de informacin confidencial (fallo de los procedimientos, del sistema, de los
programas o de los dispositivos).
Errores en la entrega o envo de informacin confidencial
Error en la destruccin o borrado de un soporte desechado
Envo de un ordenador a reparar, con datos en su disco.
Acceso de persona no autorizada a un Almacn de soportes
No obtencin de las copias de respaldo obligatorias.
Prdida de informacin, con recuperacin de copia de respaldo.
Imposibilidad de la copia de respaldo, por errores o defectos.
Indisponibilidad de alguno de los Sistemas de Informacin (avera, perdida de corriente u otro).
Baja de personal, o traslado a otras funciones, no reflejada en la Lista de Usuarios (no eliminados
sus permisos de acceso).
Usuario con contrasea no incluido en Lista de Usuarios
Libro Registro de Incidencias Libro Registro de Incidencias
REGISTRO DE INCIDENCIAS
de Seguridad de Ficheros automatizados con datos de carcter personal
N
Reg.
Fecha
de la
Notificacin
Fichero(s)
afectado(s)
Tipo de
incidencia
Requiere
Recuperacin
de datos?
Si / No
Fecha de
autorizacin
para la
Recuperacin
de datos

Asesoramiento y Consultora LOPD: Asesoramiento y Consultora LOPD: www www. .personaldata personaldata. .info info

4.7 1 1AdaptarunaPYMEalaLOPD

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

4.7 1 1AdaptarunaPYMEalaLOPD

Transféré par

Droits d'auteur :

Formats disponibles

Normativa y Obligaciones de la LOPD

Vous aimerez peut-être aussi