www.GitsInformatica.com ____________________________________________________ Seguridad Informática – LOPD Y AEPD LOPD: Ley Orgánica de Protección de Datos La LOPD, Ley Orgánica de Protección de Datos de Carácter Personal 15/1999, es una ley de obligado cumplimiento para todas las empresas. Su incumplimiento puede acarrear duras sanciones por parte de la Agencia Española de Protección de Datos que van desde los 600€ hasta los 600.000€. De acuerdo con la Ley, son datos de carácter personal cualquier información concerniente a personas físicas identificadas o identificables, es decir, toda información que aporte datos sobre una persona física concreta o bien que a través de dicha información se pueda llegar a identificar. Hoy en día, cualquier empresa cuenta con este tipo de datos de carácter personal, ya sean datos de clientes o incluso datos de los propios empleados como por ejemplo en las nóminas. Debido al gran desconocimiento sobre esta ley, solo un mínimo porcentaje de las empresas españolas cumple con la LOPD pero recordemos, el desconocimiento de la ley no exime de su cumplimiento. Todas las empresas deben por tanto cumplir con una serie de factores técnicos y organizativos para garantizar la seguridad de dichos datos y que, en resumen, son los siguientes: Legalizar todos los ficheros automatizados en la Agencia Española de Protección de Datos. Legitimar todos los datos que sean almacenados en dichos ficheros Garantizar la protección de dichos ficheros, adoptando las medidas de seguridad oportunas, además de crear y mantener el Documento de Seguridad Homologado. No todos los ficheros son iguales, diferenciándose en tres niveles: Nivel Básico, Nivel Medio y Nivel Avanzado. Estos niveles dependerán del tipo de datos a almacenar y contemplan distintas actuaciones a la hora de adaptar su empresa a la LOPD. ¿QUÉ ES LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS? La Agencia Española de Protección de Datos es la autoridad de control independiente que vela por el cumplimiento de la normativa sobre protección de datos y garantiza y tutela el derecho fundamental a la protección de datos de carácter personal. ”Toda persona tiene derecho a la protección de los datos de carácter personal que la conciernan y este derecho le atribuye la facultad de controlar sus datos” ¿Cuáles son mis obligaciones si trato datos de carácter personal? Al constituirse una empresa y tratar datos de carácter personal de los clientes, proveedores y/o empleados, esta empresa será el responsable de los ficheros a los efectos previstos en la Ley Orgánica 15/1999, de 13 de diciembre de protección de datos de carácter personal (LOPD) Por tanto, la empresa está obligada por ley, entre otras cosas a: Informar a los afectados: Cualquier persona tiene derecho a saber si sus datos personales van a ser incluidos en un fichero, y los tratamientos que se realizan con esos datos. Los responsables tienen obligación de informar al ciudadano cuando recojan datos personales que le afecten. Debe ser informado de la recogida de sus datos y de su utilización. Este derecho de información es esencial porque condiciona el ejercicio de otros derechos tales como el derecho de acceso, rectificación, cancelación y oposición. Pedir su consentimiento: Como regla general, la inclusión de datos de carácter personal en un fichero supondrá un tratamiento de datos de carácter personal, que requerirá, en principio, el consentimiento del afectado, excepto en los casos que establece la Ley Orgánica 15/1999. Calidad y proporcionalidad de los datos: La Ley Orgánica 15/1999 contiene entre sus principios generales, el principio de calidad de los datos, que, ligado al principio de proporcionalidad de los datos, exige que los mismos sean adecuados a la finalidad que motiva su recogida. Atención a los derechos de los ciudadanos: Es competencia de la Agencia Española de Protección de Datos la tutela de estos derechos. Así, ante una denegación del ejercicio de éstos, queda abierta la posibilidad de que el titular de los datos recabe dicha tutela formulando la correspondiente reclamación. Derechos de acceso, rectificación y cancelación, oposición. Deber de guardar secreto: El artículo 10 de la Ley Orgánica 15/1999, exige a quienes intervengan en cualquier fase del tratamiento de los datos a guardar secreto profesional sobre los datos, subsistiendo la obligación aún después de finalizar su relación con el responsable del fichero. Adopción de medidas de seguridad: El Reglamento viene a establecer tres niveles de seguridad atendiendo a la naturaleza de la información tratada en relación con la mayor o menor necesidad de garantizar la confidencialidad y la integridad de la misma, con independencia de la finalidad en virtud de la cual se haya procedido al tratamiento de los datos personales. (Nivel alto: para ficheros que contengan datos de ideología, religión, creencias, origen racial, salud o vida sexual así como los recabados para fines policiales sin consentimiento de las personas afectadas; Nivel medio: www.GitsInformatica.com ____________________________________________________ Seguridad Informática – LOPD Y AEPD para ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros y los que se rijan por el artículo 29 de la LOPD (prestación de servicios de solvencia y crédito) ; Nivel básico: para ficheros que contengan datos de carácter personal. Notificación de ficheros con datos de carácter personal: Los datos de carácter personal se organizan en ficheros y la creación de éstos se debe notificar y solicitar su inscripción en el Registro General de Protección de Datos El Registro General de Protección de Datos es el órgano al que corresponde velar por la publicidad de la existencia de los ficheros de datos de carácter personal, con miras a hacer posible el ejercicio de los derechos de acceso, rectificación, oposición y cancelación, regulados en los artículos 14 a 16 de la LOPD. Por ello es el encargado de la gestión de las inscripciones. SANCIONES La LOPD prevé la posibilidad de aplicar sanciones, que pueden variar desde los 600€ hasta los 600.000€, a quienes no cumplan con la Ley. Estas sanciones se dividen en tres categorías dependiendo del tipo de falta cometida. Algunos ejemplos de sanciones son los siguientes: Infracciones leves - Sanciones desde 601,01€ hasta 60.101,21€ No solicitar la inscripción del fichero en la Agencia Española de Protección de Datos (AEPD) Recopilar datos personales sin informar previamente No atender a las solicitudes de rectificación o cancelación No atender las consultas por parte de la AGPD Infracciones graves - Sanciones desde 60.101,21€ hasta 300.506,25€ No inscribir los ficheros en la AEPD. Utilizar los ficheros con distinta finalidad con la se crearon No tener el consentimiento del interesado para recabar sus datos personales Tratar datos especialmente protegidos sin la autorización del afectado No remitir a la AEPD las notificaciones previstas en la LOPD Mantener los ficheros sin las debidas condiciones de seguridad Infracciones muy graves - Sanciones desde 300.506,25€ hasta 601.012,1€ Crear ficheros para almacenar datos que revelen datos especialmente protegidos Recogida de datos de manera engañosa o fraudulenta Recabar datos especialmente protegidos sin la autorización del afectado Vulnerar el secreto sobre datos especialmente protegidos La comunicación o cesión de datos cuando ésta no esté permitida No atender de forma sistemática los requerimientos de la AEPD La transferencia temporal o definitiva de datos de carácter personal con destino a países sin nivel de protección equiparable o sin autorización La cuantía de las sanciones se calculará teniendo en consideración factores como la naturaleza de los derechos personales afectados, el grado de intencionalidad, los beneficios obtenidos, los daños y perjuicios causados a las personas interesadas y a terceras personas, así como otras circunstancias que se consideren relevantes en cada caso. PREGUNTAS Y RESPUESTAS ¿Se aplica la LOPD a los empresarios individuales o autónomos? ¿Y a las personas jurídicas? ¿Y a los datos de personas ya fallecidas? Con carácter general, el objeto de la Ley está regulado en los artículos 1 y 2.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, que expresamente establecen: Artículo 1. Objeto: La presente Ley Orgánica tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar. Artículo 2. Ámbito de aplicación: La presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado. Por ello, no le es de aplicación la Ley Orgánica 15/1999: A los datos de personas jurídicas A los datos de las personas fallecidas Por el contrario, sí le es de aplicación: A los datos de los empresarios individuales – personas físicas (por ejemplo, autónomos). A la grabación de datos de voz e imágenes, siempre que las mismas permitan la identificación de las personas que aparecen en dichas voces o imágenes y se hallen incorporadas a ficheros informáticos. www.GitsInformatica.com ____________________________________________________ Seguridad Informática – LOPD Y AEPD A los ficheros de empresas que tengan una relación de personas físicas de contacto, como Administradores, Gerentes, Directores Generales, Comerciales, etc. ¿Qué puede suceder si mi empresa no cumple con la LOPD? ¿Hay sanciones? La LOPD prevé la posibilidad de aplicar sanciones, que pueden variar desde los 600€ hasta los 600.000€, a quienes no cumplan con la Ley. Estas sanciones se dividen en tres categorías dependiendo del tipo de falta cometida. ¿Qué es un fichero de datos de carácter personal? El concepto de fichero está descrito en el artículo 3.b) de la Ley Orgánica 15/1999, de 13 de diciembre, según el cual, se define el fichero como ‘todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso’. En consecuencia, Vd. debe inscribir en el Registro General de Protección de Datos todos los ficheros que contengan datos de carácter personal (por ejemplo: fichero pacientes, fichero informes, fichero nóminas, fichero clientes, etc.), aunque contengan solamente el nombre y apellidos de la persona de contacto, el administrador o gerente de la empresa. ¿Debo obligatoriamente inscribir los ficheros manuales o en papel (listados, fichas, etc…)? El soporte papel (como son los listados o las fichas) entra dentro de la definición de soportes físicos en general. Los ficheros manuales (no automatizados), creados con posterioridad a la fecha de entrada en vigor de la LOPD (14 de enero de 2000), deberán ser notificados para su inscripción en el RGPD. Sin embargo, los ficheros manuales que ya existieran antes de la entrada en vigor de la LOPD, no será obligatoria la notificación para su inscripción hasta octubre de 2007, de conformidad con lo establecido en el último párrafo de la Disposición Adicional Primera. ¿Se considera dentro del ámbito de aplicación de la LOPD revelar datos de carácter personal en una página web? De acuerdo con la definición de tratamiento de datos prevista en el artículo 3 c) de la LOPD, hacer referencia en una página web a una persona e identificarla por su nombre o por otros medios, como su número de teléfono o información relativa a sus condiciones de trabajo y a sus aficiones, constituye un tratamiento de datos de carácter personal, siendo necesario cumplir las previsiones establecidas en la Ley. ______________________________________ Encontrará más documentos en la Sección de Descargas de Seguridad GITS Informática. Gits mira por tus derechos. Gits es Pro-Vida. Por razones ecológicas y económicas, imprima este documento solo si es necesario y, a ser posible, en papel reciclado. Recomendamos la visualización de este documental: http://www.youtube.com/watch?v=SWRHxh6XepM. Gracias por su colaboración con el medio ambiente. Copyright (c) 2003. Gits Informática. All rights reserved.