LOPD Y AEPD

Anuncio
www.GitsInformatica.com ____________________________________________________ Seguridad Informática – LOPD Y AEPD
LOPD: Ley Orgánica de Protección de Datos
La LOPD, Ley Orgánica de Protección de Datos de Carácter Personal 15/1999, es una ley de obligado cumplimiento
para todas las empresas. Su incumplimiento puede acarrear duras sanciones por parte de la Agencia Española de
Protección de Datos que van desde los 600€ hasta los 600.000€.
De acuerdo con la Ley, son datos de carácter personal cualquier información concerniente a personas físicas
identificadas o identificables, es decir, toda información que aporte datos sobre una persona física concreta o bien que a
través de dicha información se pueda llegar a identificar.
Hoy en día, cualquier empresa cuenta con este tipo de datos de carácter personal, ya sean datos de clientes o incluso
datos de los propios empleados como por ejemplo en las nóminas. Debido al gran desconocimiento sobre esta ley, solo
un mínimo porcentaje de las empresas españolas cumple con la LOPD pero recordemos, el desconocimiento de la ley
no exime de su cumplimiento.
Todas las empresas deben por tanto cumplir con una serie de factores técnicos y organizativos para garantizar la
seguridad de dichos datos y que, en resumen, son los siguientes:



Legalizar todos los ficheros automatizados en la Agencia Española de Protección de Datos.
Legitimar todos los datos que sean almacenados en dichos ficheros
Garantizar la protección de dichos ficheros, adoptando las medidas de seguridad oportunas, además de crear y
mantener el Documento de Seguridad Homologado.
No todos los ficheros son iguales, diferenciándose en tres niveles: Nivel Básico, Nivel Medio y Nivel Avanzado. Estos
niveles dependerán del tipo de datos a almacenar y contemplan distintas actuaciones a la hora de adaptar su empresa a
la LOPD.
¿QUÉ ES LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS?
La Agencia Española de Protección de Datos es la autoridad de control independiente que vela por el cumplimiento de
la normativa sobre protección de datos y garantiza y tutela el derecho fundamental a la protección de datos de carácter
personal.
”Toda persona tiene derecho a la protección de los datos de carácter personal que la conciernan y este derecho le
atribuye la facultad de controlar sus datos”
¿Cuáles son mis obligaciones si trato datos de carácter personal? Al constituirse una empresa y tratar datos de
carácter personal de los clientes, proveedores y/o empleados, esta empresa será el responsable de los ficheros a los
efectos previstos en la Ley Orgánica 15/1999, de 13 de diciembre de protección de datos de carácter personal (LOPD)
Por tanto, la empresa está obligada por ley, entre otras cosas a:
Informar a los afectados: Cualquier persona tiene derecho a saber si sus datos personales van a ser incluidos en un
fichero, y los tratamientos que se realizan con esos datos. Los responsables tienen obligación de informar al ciudadano
cuando recojan datos personales que le afecten. Debe ser informado de la recogida de sus datos y de su utilización.
Este derecho de información es esencial porque condiciona el ejercicio de otros derechos tales como el derecho de
acceso, rectificación, cancelación y oposición.
Pedir su consentimiento: Como regla general, la inclusión de datos de carácter personal en un fichero supondrá un
tratamiento de datos de carácter personal, que requerirá, en principio, el consentimiento del afectado, excepto en los
casos que establece la Ley Orgánica 15/1999.
Calidad y proporcionalidad de los datos: La Ley Orgánica 15/1999 contiene entre sus principios generales, el
principio de calidad de los datos, que, ligado al principio de proporcionalidad de los datos, exige que los mismos sean
adecuados a la finalidad que motiva su recogida.
Atención a los derechos de los ciudadanos: Es competencia de la Agencia Española de Protección de Datos la tutela
de estos derechos. Así, ante una denegación del ejercicio de éstos, queda abierta la posibilidad de que el titular de los
datos recabe dicha tutela formulando la correspondiente reclamación. Derechos de acceso, rectificación y cancelación,
oposición.
Deber de guardar secreto: El artículo 10 de la Ley Orgánica 15/1999, exige a quienes intervengan en cualquier fase
del tratamiento de los datos a guardar secreto profesional sobre los datos, subsistiendo la obligación aún después de
finalizar su relación con el responsable del fichero.
Adopción de medidas de seguridad: El Reglamento viene a establecer tres niveles de seguridad atendiendo a la
naturaleza de la información tratada en relación con la mayor o menor necesidad de garantizar la confidencialidad y la
integridad de la misma, con independencia de la finalidad en virtud de la cual se haya procedido al tratamiento de los
datos personales. (Nivel alto: para ficheros que contengan datos de ideología, religión, creencias, origen racial, salud o
vida sexual así como los recabados para fines policiales sin consentimiento de las personas afectadas; Nivel medio:
www.GitsInformatica.com ____________________________________________________ Seguridad Informática – LOPD Y AEPD
para ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública,
servicios financieros y los que se rijan por el artículo 29 de la LOPD (prestación de servicios de solvencia y crédito) ;
Nivel básico: para ficheros que contengan datos de carácter personal.
Notificación de ficheros con datos de carácter personal: Los datos de carácter personal se organizan en ficheros y
la creación de éstos se debe notificar y solicitar su inscripción en el Registro General de Protección de Datos El Registro
General de Protección de Datos es el órgano al que corresponde velar por la publicidad de la existencia de los ficheros
de datos de carácter personal, con miras a hacer posible el ejercicio de los derechos de acceso, rectificación, oposición
y cancelación, regulados en los artículos 14 a 16 de la LOPD. Por ello es el encargado de la gestión de las
inscripciones.
SANCIONES
La LOPD prevé la posibilidad de aplicar sanciones, que pueden variar desde los 600€ hasta los 600.000€, a quienes no
cumplan con la Ley. Estas sanciones se dividen en tres categorías dependiendo del tipo de falta cometida. Algunos
ejemplos de sanciones son los siguientes:
Infracciones leves - Sanciones desde 601,01€ hasta 60.101,21€
No solicitar la inscripción del fichero en la Agencia Española de Protección de Datos (AEPD)
Recopilar datos personales sin informar previamente
No atender a las solicitudes de rectificación o cancelación
No atender las consultas por parte de la AGPD
Infracciones graves - Sanciones desde 60.101,21€ hasta 300.506,25€
No inscribir los ficheros en la AEPD.
Utilizar los ficheros con distinta finalidad con la se crearon
No tener el consentimiento del interesado para recabar sus datos personales
Tratar datos especialmente protegidos sin la autorización del afectado
No remitir a la AEPD las notificaciones previstas en la LOPD
Mantener los ficheros sin las debidas condiciones de seguridad
Infracciones muy graves - Sanciones desde 300.506,25€ hasta 601.012,1€
Crear ficheros para almacenar datos que revelen datos especialmente protegidos
Recogida de datos de manera engañosa o fraudulenta
Recabar datos especialmente protegidos sin la autorización del afectado
Vulnerar el secreto sobre datos especialmente protegidos
La comunicación o cesión de datos cuando ésta no esté permitida
No atender de forma sistemática los requerimientos de la AEPD
La transferencia temporal o definitiva de datos de carácter personal con destino a países sin nivel de protección
equiparable o sin autorización
La cuantía de las sanciones se calculará teniendo en consideración factores como la naturaleza de los derechos
personales afectados, el grado de intencionalidad, los beneficios obtenidos, los daños y perjuicios causados a las
personas interesadas y a terceras personas, así como otras circunstancias que se consideren relevantes en cada caso.
PREGUNTAS Y RESPUESTAS
¿Se aplica la LOPD a los empresarios individuales o autónomos? ¿Y a las personas jurídicas? ¿Y a los datos de
personas ya fallecidas?
Con carácter general, el objeto de la Ley está regulado en los artículos 1 y 2.1 de la Ley Orgánica 15/1999, de 13 de
diciembre, de Protección de Datos de Carácter Personal, que expresamente establecen:
Artículo 1. Objeto: La presente Ley Orgánica tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de
los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de
su honor e intimidad personal y familiar.
Artículo 2. Ámbito de aplicación: La presente Ley Orgánica será de aplicación a los datos de carácter personal
registrados en soporte físico que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos
datos por los sectores público y privado.
Por ello, no le es de aplicación la Ley Orgánica 15/1999:
A los datos de personas jurídicas
A los datos de las personas fallecidas
Por el contrario, sí le es de aplicación:
A los datos de los empresarios individuales – personas físicas (por ejemplo, autónomos).
A la grabación de datos de voz e imágenes, siempre que las mismas permitan la identificación de las personas que
aparecen en dichas voces o imágenes y se hallen incorporadas a ficheros informáticos.
www.GitsInformatica.com ____________________________________________________ Seguridad Informática – LOPD Y AEPD
A los ficheros de empresas que tengan una relación de personas físicas de contacto, como Administradores, Gerentes,
Directores Generales, Comerciales, etc.
¿Qué puede suceder si mi empresa no cumple con la LOPD? ¿Hay sanciones?
La LOPD prevé la posibilidad de aplicar sanciones, que pueden variar desde los 600€ hasta los 600.000€, a quienes no
cumplan con la Ley. Estas sanciones se dividen en tres categorías dependiendo del tipo de falta cometida.
¿Qué es un fichero de datos de carácter personal?
El concepto de fichero está descrito en el artículo 3.b) de la Ley Orgánica 15/1999, de 13 de diciembre, según el cual, se
define el fichero como ‘todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o
modalidad de su creación, almacenamiento, organización y acceso’.
En consecuencia, Vd. debe inscribir en el Registro General de Protección de Datos todos los ficheros que contengan
datos de carácter personal (por ejemplo: fichero pacientes, fichero informes, fichero nóminas, fichero clientes, etc.),
aunque contengan solamente el nombre y apellidos de la persona de contacto, el administrador o gerente de la
empresa.
¿Debo obligatoriamente inscribir los ficheros manuales o en papel (listados, fichas, etc…)?
El soporte papel (como son los listados o las fichas) entra dentro de la definición de soportes físicos en general.
Los ficheros manuales (no automatizados), creados con posterioridad a la fecha de entrada en vigor de la LOPD (14 de
enero de 2000), deberán ser notificados para su inscripción en el RGPD. Sin embargo, los ficheros manuales que ya
existieran antes de la entrada en vigor de la LOPD, no será obligatoria la notificación para su inscripción hasta octubre
de 2007, de conformidad con lo establecido en el último párrafo de la Disposición Adicional Primera.
¿Se considera dentro del ámbito de aplicación de la LOPD revelar datos de carácter personal en una página
web?
De acuerdo con la definición de tratamiento de datos prevista en el artículo 3 c) de la LOPD, hacer referencia en una
página web a una persona e identificarla por su nombre o por otros medios, como su número de teléfono o información
relativa a sus condiciones de trabajo y a sus aficiones, constituye un tratamiento de datos de carácter personal, siendo
necesario cumplir las previsiones establecidas en la Ley.
______________________________________
Encontrará más documentos en la Sección de Descargas de Seguridad GITS Informática.
Gits mira por tus derechos. Gits es Pro-Vida.
Por razones ecológicas y económicas, imprima este documento solo si es necesario y, a ser posible, en papel reciclado.
Recomendamos la visualización de este documental: http://www.youtube.com/watch?v=SWRHxh6XepM.
Gracias por su colaboración con el medio ambiente.
Copyright (c) 2003. Gits Informática. All rights reserved.
Descargar