GUÍA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL PARA PYMES Y PROFESIONALES Indice 1 1 II N N TT RR O OD DU UC CC C II Ó ÓN N 5 5 2 2 R EE G R GU U LL A AC C II Ó ÓN N LL EE G GA A LL 6 6 3 3 D EE RREE C D CH HO O SS D D EE LL O O SS C C II U UD DA AD DA AN NO O SS 8 8 4 4 P RR II N P NC C II PP II O O SS D D EE LL A A PP RR O O TT EE C CC C II Ó ÓN ND D EE D DA A TT O O SS 9 9 5 5 AM A M BB II TT O OD D EE A A PP LL II C CA AC C II Ó ÓN N 133 1 D AA TTO D O SS EE SS PP EE C C II A ALL M M EE N N TTEE PP RR O O TTEE G G II D DO O SS 111 1 6 6 PD 6.1 DATOS QUE REVELEN L A IDEOLOGÍA, AFILIACIÓN SINDICAL, RELIGIÓN Y CREENCIAS 6.2 DATOS QUE HAGAN REFERENCIA AL ORIGEN RACIAL, A L A SALUD Y A L A VIDA SEXUAL 6.3 DATOS REL ATIVOS A L A COMISIÓN DE INFRACCIONES PENALES O ADMINISTRATIVAS 144 1 155 1 177 1 7 7 QU Q U ÉÉ D D EE BB EE H HA AC C EERR LL A A EE M M PP RR EE SS A A PP A A RR A A AA D DE EC CU UA A RR SS EE A A LL A A LL O O PP D D ?? 188 1 8 8 LL A A SS M M EE D D II D DA A SS D D EE SS EE G GU U RRII D DA AD D 200 2 9 9 LL A AO O BB TT EE N NC C II O ON ND D EE D DA A TT O O SS D D EE C CA A RR Á ÁC C TT EERR PP EE RR SS O ON NA A LL 9.1 9.2 9.3 9.4 CUESTIONARIOS IMPRESOS CORREO ELECTRÓNICO (E-MAIL) OBTENCIÓN DE DATOS POR TELÉFONO PÁGINAS WEB 0 G G LL O OSS A ARR II O OD D EE TT EE RR M M II N NO O SS (( A A -- ZZ )) 10 2244 2255 2255 2266 288 2 GUÍA DE PROTECCIÓN DE DATOS 3 1 Introducción Esta guía describe los conceptos básicos de la protección de datos de carácter personal, con objeto de darlos a conocer dentro del ámbito de las pequeñas y medianas empresas. PD Se entiende la protección como el derecho de las personas en lo concerniente al tratamiento de sus datos personales: protección contra la posible utilización por terceros de forma no autorizada por el titular de los datos, e impedir elaborar información que afecte a su entorno personal, social o profesional. La importancia de la Protección de datos esta hoy en día fuera de duda, ya que no existe actividad económica alguna que no le afecte. Afecta a todas las empresas y profesionales, que por ejemplo manejen ó usen un fichero de los clientes, proveedores o la mera relación de trabajadores de la empresa. GUÍA DE PROTECCIÓN DE DATOS 5 I N T R O D U C C I Ó N 2 R E G U L A C I Ó N L E G A L Regulación legal LOPD: Ley Orgánica 15/1 999, de 13 de diciembre, de protección de datos de carácter personal. Esta ley garantiza y protege todo lo relativo a los datos personales y establece una serie de obligaciones relativas a la recogida de los datos, consentimiento, conservación, uso, datos especialmente protegidos, etc. PD RMS: Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal. En el Reglamento se establecen las medidas que se han de adoptar obligatoriamente para garantizar la seguridad respecto de los ficheros automatizados, los centros de tratamiento, locales, equipos, etc. LS L SS S II :: Ley 34/2002, de 11 de julio de servicios de la sociedad de la información y de comercio electrónico. L G T : Ley 32/2003, de 3 de noviembre General de Telecomunicaciones. 6 GUÍA DE PROTECCIÓN DE DATOS II N N SS TT RR U UC CC C II O ON N EE SS D D EE LL A AA AG G EE N NC C II A A EE SS PP A AÑ ÑO O LL A A DE D E PP RR O O TT EEC CC C II O ON ND D EE D DA A TT O O SS :: Instrucción 1/2000, de 1 de diciembre, de la APD, relativa a las normas por las que se rigen los movimientos internacionales de datos. Instrucción 1/1998, de 19 de enero, de la APD, relativa al ejercicio de los derechos de acceso rectificación y cancelación. Instrucción 1/1996, de 1 de marzo, de la APD, sobre ficheros automatizados establecidos con la finalidad de controlar el acceso a los edificios. PD Instrucción 2/1996, de 1 de marzo, de la APD, sobre ficheros automatizados establecidos con la finalidad de controlar el acceso a los casinos y salas de bingo. Instrucción 2/1995, de 4 de mayo, de la APD, sobre garantía de los datos personales recabados en la contratación de seguro de vida de forma conjunta con un préstamo hipotecario o personal. Instrucción 1/1995 de 1 de marzo de la APD relativa a prestación de servicios de información sobre solvencia patrimonial y crédito. GUÍA DE PROTECCIÓN DE DATOS 7 3 D Derechos E R E C H O S Los derechos que vamos a enumerar nacen para garantizar a los ciudadanos las posibles intromisiones en la intimidad u honor como consecuencia del uso de la informática: d e Derecho a impugnar valoraciones de su comportamiento basadas en el tratamiento de datos personales. l o s Derecho de consulta al Registro General de Protección de Datos. Cualquier persona puede conocer la existencia de tratamientos de datos personales, sus finalidades y la identidad del responsable del mismo. C I U D A D A N O S Derecho de acceso. El interesado tendrá derecho a solicitar y obtener gratuitamente información de sus datos de carácter personal sometidos a tratamiento, el origen de dichos datos, así como las comunicaciones realizadas. de los ciudadanos PD Derecho de rectificación y cancelación. El responsable del tratamiento tiene la obligación de rectificar o cancelar aquellos datos de carácter personal que resulten inexactos, incompletos o que no se ajusten a lo dispuesto en la Ley 15/1999, en el plazo de diez días a contar desde que el interesado ejerce el derecho. Derecho a indemnización. 8 GUÍA DE PROTECCIÓN DE DATOS 4 de la Principios p r o te c c i ó n d e d a to s Estos principios han de regir todas las operaciones de tratamiento y cesión de datos de carácter personal. PD Calidad de los datos: . Los datos de carácter personal sólo se podrán recoger para su tratamiento cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades para las que se hayan obtenido. . . No podrán usarse para finalidades distintas para las que se hubieran obtenido. Los datos serán cancelados cuando resulten inexactos, incompletos, o cuando hayan dejado de ser necesarios para la finalidad para la cual hayan sido recabados. . Los datos de carácter personal serán exactos y puesto al día. GUÍA DE PROTECCIÓN DE DATOS 9 P R I N C I P I O S d e l a P R O T E C C I Ó N Las personas a las que se les solicita los datos personales deberán ser informados de modo expreso, preciso e inequívoco: . De la existencia del fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información. . . . . Del carácter obligatorio o facultativo de las respuestas a las preguntas formuladas. De las consecuencias de la obtención de datos o de la negativa a suministrarlos. De la posibilidad de ejercitar los rectificación, cancelación y oposición. PD derechos De la identidad y dirección del responsable del de acceso, tratamiento. El tratamiento de los datos de carácter personal requerirá el consentimiento del afectado. El responsable del fichero habrá de adoptar las medidas necesarias para garantizar la seguridad de los datos y evitar su alteración, pérdida, tratamiento o acceso no autorizado. El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos están obligados a guardar secreto profesional. Sólo podrán comunicarse los datos de carácter personal a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado. 10 GUÍA DE PROTECCIÓN DE DATOS 5 Á m b i t o de aplicación La protección de datos de carácter personal se refiere a los siguientes datos: PD De carácter identificativos: nombre, apellidos, dirección, NIF/CIF, teléfono, dirección electrónica, etc. De carácter personal: estado civil, fecha de nacimiento, edad, lugar de nacimiento, nacionalidad, sexo, etc. De circunstancias sociales: servicio militar, propiedades, aficiones, estilo de vida, pertenencia a clubes o asociaciones. Académicos o profesionales: formación, titulación, historial de estudiante, experiencia profesional, etc. Detalles de empleo: profesión, puesto de trabajo, historial del trabajador, etc. GUÍA DE PROTECCIÓN DE DATOS 11 Á M B I T O d e A P L I C A C I Ó N De información comercial: actividades y negocios, licencias comerciales, suscripciones a publicaciones o medios de comunicación, etc. Económico-financieros y de seguros: ingresos, rentas, inversiones, préstamos, avales, datos bancarios, planes de jubilación, etc. De transacciones: transacciones financieras, indemnizaciones, etc. Especialmente protegidos: ideología, afiliación sindical, religión, creencias, salud, vida sexual, etc. El régimen de protección de datos de carácter personal no será de aplicación a los siguientes ficheros: Los mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas. Los sometidos a la normativa sobre protección de materias clasificadas. Los establecidos para la investigación del terrorismo y de formas graves de delincuencia organizada. 12 GUÍA DE PROTECCIÓN DE DATOS 6 Datos especialmente protegidos Son datos que se refieren a aspectos personales e íntimos de la vida privada de las personas, por lo que merecen una mayor protección. Se pueden agrupar dichos datos en tres grupos en función de las especiales garantías que prevé la LOPD para su tratamiento. PD 1. Datos que revelen la ideología, afiliación sindical, religión y creencias: son aquellos datos que puedan dar indicios sobre la ideología, la afiliación sindical, la religión y las creencias en general del individuo. Abarcará datos como la pertenencia a asociaciones, par tidos políticos, la cuota sindical en la nómina, o la casilla correspondiente a la donación a la Iglesia Católica en la declaración del IRPF. 2. Datos que hagan referencia al origen racial, a la salud y a la vida sexual, son aquellos datos que describen la raza del individuo, que describen la situación de la salud, como dolencias, enfermedades, altas y bajas en la empresa por enfermedad, historiales clínicos, datos de minusvalía en la nómina, etc., y los descriptivos de las prácticas sexuales asimiladas por el afectado. GUÍA DE PROTECCIÓN DE DATOS 13 D A T O S E S P E C I A L M E N T E P R O T E G I D O S 3. Datos relativos a la comisión de infracciones penales o administrativas: Son aquellos datos que se refieran a cualquier infracción penal o administrativa de la que haya sido declarado culpable el interesado. 6. 6 .1 1 D Da at to os s q qu ue e r re ev ve el le en n l la a i id de eo ol lo og gí ía a, , a af fi il li ia ac ci ió ón n s si in nd di ic ca al l, , re r e ll ii g gi ió ón n y y c cr re ee en nc ci ia as s Cuando se pretenda recabar datos de este tipo, en todo caso habrá que informar del contenido del artículo 16.2 de la Constitución que dispone que nadie podrá ser obligado a declarar sobre su ideología, religión o creencias. Como consecuencia de este precepto, el Responsable del fichero tendrá que adver tir al interesado de su derecho a no prestar su consentimiento. Al estar ante el ejercicio de derechos fundamentales, la carga de la prueba recaerá sobre el responsable del tratamiento, por lo que se recomienda que tal información conste por escrito, por ejemplo, en el formulario de recogida junto con la cláusula de protección de datos. PD Además, el tratamiento de dichos datos requiere haber recabado previamente el consentimiento expreso y por escrito del afectado. Este requisito se aplicará de la misma forma y con más fuerza cuando se quieran ceder los datos del interesado a un tercero. Tratamiento de los datos Queda prohibido crear un fichero con la finalidad exclusiva de tratar datos de carácter personal que revelen la ideología, afiliación sindical, religión o creencias. Eso significa que si bien se admite la posibilidad de tratar dichos datos, la finalidad tendrá que responder a un interés legítimo 14 GUÍA DE PROTECCIÓN DE DATOS del responsable del fichero que en ningún caso podrá consistir en la creación de un fichero con esta finalidad exclusiva. Excepciones Ficheros mantenidos por los partidos políticos, sindicatos, iglesias, confesiones o comunidades religiosas y asociaciones, fundaciones y otras entidades sin ánimo de lucro. Los ficheros de dichas entidades que tengan una finalidad política, filosófica, religiosa o sindical y que se refieran exclusivamente a datos relativos a sus miembros o asociados, están exentas de la obligación de recabar el consentimiento expreso y por escrito, previamente al tratamiento. PD 6. 6 .2 2 D Da at to os s q qu ue e h ha ag ga an n r re ef fe er re en nc ci ia a a al l o or ri ig ge en n r ra ac ci ia al l, , a a l la a sa s a ll u ud d y y a a l la a v vi id da a s se ex xu ua al l. . Solo podrán ser recabados, tratados y cedidos estos datos cuando, por razones de interés general, así lo disponga una Ley o el afectado consienta expresamente. Tratamiento de los datos Quedan prohibidos los ficheros creados con la finalidad exclusiva de almacenar datos de carácter personal que revelen la ideología, afiliación sindical, religión, creencias, origen racial o étnico, o vida sexual. Por lo tanto siempre debe haber una razón legítima para el tratamiento de estos datos personales. Las instituciones y los centros sanitarios públicos y privados y los profesionales correspondientes podrán proceder al tratamiento de los datos de carácter personal relativos a la salud de las personas que a ellos acudan o hayan de ser tratados en los mismos, de acuerdo con lo dispuesto en la legislación estatal o autonómica sobre GUÍA DE PROTECCIÓN DE DATOS 15 sanidad. Por lo tanto, los centros como las clínicas privadas , que poseen el historial clínico de sus clientes, deberán ajustarse a este supuesto. Hay que tener en cuenta para el tratamiento de datos de salud, la Ley del Paciente, y las normas emitidas a este respecto por Comunidad Autónoma de Madrid Los datos de origen racial y de la vida sexual deben ser tratados con alguna finalidad legítima, pues de lo contrario estaríamos contraviniendo la ley. Así pues pueden tratarse para realizar estudios estadísticos sobre aficiones de salud de determinada población, o para determinar ayudas o subvenciones por pertenencia a una etnia diferente, etc. PD Excepciones Tratamiento necesario para la prevención o para el diagnóstico médico, la prestación de asistencia sanitaria o tratamiento médicos, gestión de servicios médicos. La LOPD prevé la posibilidad de tratar dichos datos cuando el tratamiento resulte necesario para la prevención o para le diagnóstico médico, la prestación de asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios, con la condición que dicho tratamiento sea realizado bien por un profesional sanitario sujeto al secreto profesional. Asimismo, se prevé la posibilidad de tratar dichos datos en caso de que fueran necesarios para salvaguardar el interés vital del interesado o de otra persona, cuando el interesado se halle incapacitado física o jurídicamente para dar su consentimiento. 16 GUÍA DE PROTECCIÓN DE DATOS La noción de interés vital debe entenderse de manera restrictiva refiriéndose a una "cuestión de vida o muerte" y no a cualquier interés esencial, de primera importancia para el afectado. El término abarca situaciones como el tratamiento de datos con el fin de identificar a víctimas de contaminaciones virales por transfusión sanguínea, o a los ficheros de las organizaciones humanitarias relativos a personas detenidas o desaparecidas, y a las situaciones de emergencia, cuando el consentimiento del individuo no puede ser obtenido, y que su supervivencia o la de otra persona esté en peligro. 6 ..33 D 6 Da att ooss rree ll aatt ii vv oo ss aa ll aa ccoo m m iiss iióó nn dd ee ii nnff rr aacc cc ii oonn ee ss pp ee nnaa ll eess oo aa dd m m ii nniiss tt rr aa tt iivv aa ss PD El tratamiento de datos relativos a la comisión de infracciones penales o administrativas queda absolutamente prohibido para entidades privadas y queda reservado exclusivamente a las Administraciones Públicas competentes. GUÍA DE PROTECCIÓN DE DATOS 17 7 Q u é d e b e h a c e r la e m p r e s a para a d e c u a r s e a l a LO P D 1. Identificar los ficheros de datos personales que se manejan y determinar el nivel de seguridad que les corresponde. PD 2. Redactar el documento de seguridad en el que se recojan las medidas adoptadas en función del nivel correspondiente (el documento de seguridad ha de estar a disposición de la Agencia Española de Protección de Datos). 3. Redactar contratos para que los afectados den su consentimiento para el acceso a los datos de carácter personal a terceros, como asesores o colaboradores de la empresa. 4. Redactar contratos para suscribir con colaboradores, asesores, etc. que accedan a los datos de carácter personal de la empresa. 5. Inscribir los ficheros en la Agencia Española de Protección de Datos. 18 GUÍA DE PROTECCIÓN DE DATOS La inscripción de los ficheros se puede realizar mediante los programas o formularios que se encuentran en la página web de la Agencia Española de Protección de Datos - www.agpd.es -, y deberá indicar: 1. La finalidad del fichero y los usos previstos para el mismo. 2. Las personas o colectivos sobre los que se pretenda obtener datos de carácter personal 3. El procedimiento de recogida de los datos de carácter personal. 4. La estructura básica del fichero y la descripción de los tipos de datos de carácter personal incluidos en el mismo. PD 5. Las cesiones de datos de carácter personal y, en su caso, las transferencias de datos que se prevean a países terceros. 6. Los servicios o unidades ante los que pudiesen ejercitarse los derechos de acceso, rectificación, cancelación y oposición. 7. Las medidas de seguridad con indicación del nivel básico, medio o alto exigible. GUÍA DE PROTECCIÓN DE DATOS 19 8 Las medidas de s e g u r i d a d El Reglamento de Medidas de Seguridad determina tres niveles de seguridad aplicables a los ficheros de datos de carácter personal, según el tipo de datos que contemplan. NIVEL ALTO: Datos de salud, datos policiales, datos especialmente protegidos (ideología, afiliación sindical, religión, creencias, origen racial o étnico y vida sexual). ALT O MEDIO B ÁSIC O 20 GUÍA DE PROTECCIÓN DE DATOS NIVEL MEDIO: Hacienda Pública, servicios financieros, infracciones administrativas o penales, prestación de servicios de información sobre solvencia patrimonial y crédito, ficheros con datos suficientes para poder evaluar la personalidad del individuo. (Currículum, cuestionarios de evaluación del personal, etc...) NIVEL BÁSICO: Aplicable a todos los ficheros con datos personales, nombre, dirección, teléfono, correo electrónico... N iivv ee ll bb áá ss iicc oo N Se entiende por ficheros de nivel básico todos los ficheros que, por defecto, no se pueden calificar de nivel medio o alto. A estos efectos, establece que todos los ficheros que contengan datos de carácter personal han de adoptar las medidas de seguridad calificadas como de nivel básico. Las medidas de seguridad del nivel básico son las medidas que obligatoriamente deberán adoptarse para proteger la confidencialidad e integridad de cualquier fichero que contenga datos de carácter personal. N iivv ee ll m N m ee dd ii oo PD Son considerados como ficheros de nivel medio, los ficheros que contengan datos relativos a: Comisión de infracciones administrativas o penales: sólo las Administraciones Públicas pueden tratar datos relativos a la comisión de infracciones administrativas o penales. Hacienda Pública: hace referencia a los ficheros cuya titularidad corresponda a la Hacienda Pública, debiendo entenderse como aplicable a aquellos ficheros cuyo responsable sea una Administración Pública que ostente potestades en materia tributaria. Servicios financieros: Los datos sobre transacciones económicofinancieras cuando constituyan un" servicio financiero" conforme a la definición dada por la Agencia de Protección de Datos y que se refiere a las actividades de las entidades de crédito, de las compañías de seguros y de las empresas de inversiones. GUÍA DE PROTECCIÓN DE DATOS 21 Ficheros de solvencia patrimonial: aquellos ficheros cuyo funcionamiento se rige por el artículo 29 de la LOPD referido a la "prestación de servicios de información sobre solvencia patrimonial". Ficheros que contengan un conjunto de datos de carácter personal suficientes para obtener una evaluación de la personalidad del individuo: no se deben implantar, además de las medidas de seguridad de nivel básico, todas las medidas de nivel medio, sino únicamente la obligación de someter los sistemas de información a una auditoría al menos cada dos años, la implantación de un mecanismo de identificación de forma inequívoca y personalizada y la limitación de intentos de acceso fallidos, el control de acceso físico y el sistema de registro entrada y salida de soportes, de destrucción de soportes y protección de los datos contra cualquier recuperación indebida cuando salen de los locales. PD Los ficheros considerados como de nivel medio requieren la aplicación de las medidas de seguridad de nivel básico, además de las nivel medio. Ni N iv ve el l a al lt to o Son considerados como ficheros de nivel alto, es decir, requieren la aplicación tanto de las medidas de seguridad de nivel básico como las de nivel medio y las de nivel alto, los ficheros que contengan datos relativos a: .. .. 22 Ideología Creencias Origen racial Salud GUÍA DE PROTECCIÓN DE DATOS .. .. Vida sexual Datos recabados para fines policiales sin consentimiento de las personas afectadas. Datos de afiliación sindical. Religión R ee ssuu m R m ee nn dd ee llaa ss M M eedd iidd aa ss dd ee SS ee gg uurr iidd aadd BÁSICO NIVEL TIPO DE DATOS Afecta a todos los ficheros que contengan datos personales: * Nombre * Apellidos * Direcciones de contacto (tanto físicas como electrónicas) ALTO MEDIO * Teléfono (tanto fijo como móvil) * Otros * Comisión infracciones penales * Comisión infracciones administrativas * Hacienda Pública MEDIDAS DE SEGURIDAD OBLIGATORIAS * Documento de seguridad * Régimen de funciones y obligaciones del personal * Registro de incidencias * Identificación y autentificación de usuarios * Control de acceso * Gestión de soportes * Copias de respaldo y recuperación * Medidas de seguridad de nivel básico * Responsable de Seguridad * Auditoría bienal * Servicios financieros * Información sobre solvencia patrimonial y crédito * Medidas adicionales de Identificación y autentificación de usuarios * Control de acceso físico * Medidas adicionales de gestión de soportes * Registro de incidencias * Pruebas sin datos reales * Ideología * Religión o Creencias * Origen racial * Medidas de seguridad de nivel básico * Seguridad en la distribución de soportes * Registro de accesos * Salud o Vida sexual * Datos recabados sin consentimiento de las personas afectadas * Medidas adicionales de copias de respaldo * Cifrado de telecomunicaciones GUÍA DE PROTECCIÓN DE DATOS 23 1 Título PD GUÍA DE PROTECCIÓN DE DATOS 24 9 L a o b t e n c i ó n de d a t o s de carácter personal Además de observar determinados procedimientos a la hora de tratar los datos, también es necesario cumplir con unos requisitos a la hora de su obtención, según el tipo de medio donde se realice. PD 9.1 Cuestionarios Impresos: Cuando se utilicen cuestionarios u otros tipos de impresos, figurarán en los mismos, en forma clara y legible, los siguientes avisos. . De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información. . . Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas. De las consecuencias de la obtención de los datos o de la negativa a suministrarlos. 25 GUÍA DE PROTECCIÓN DE DATOS . . De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición. De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante 9.2 Correo electrónico (e-mail). Se recomienda incluir un aviso legal al final de la firma del emisor del correo para que todas las personas que accedan a él o respondan con sus datos, conozcan que sus datos van a ser incluidos en un fichero y de dónde pueden ejercer sus derechos de acceso rectificación, oposición y cancelación de sus datos personales. PD 9.3 Obtención de datos por Teléfono Para la inclusión de datos personales enviados por medios telefónicos habrá que tomarse las mismas precauciones que en cualquier otro formato. Si los datos se recaban desde este medio se cumplirá con el deber de recabar un consentimiento y para ello se debe informar al afectado: . De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información. . . Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas. De las consecuencias de la obtención de los datos o de la negativa a suministrarlos. GUÍA DE PROTECCIÓN DE DATOS 26 . . De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición. De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante. Estos deberes deberán estar documentados, en procedimientos ó en el documento de seguridad, para que la persona que capte los datos mediante el teléfono pueda informar debidamente al afectado. Si lo que se recoge es el consentimiento del afectado para tratar sus datos con nivel de protección alto, se deberá grabar dicha aceptación específica y explícita del afectado y guardarse , ya que tendrá el mismo nivel probatorio que si se hubiera recogido por escrito. PD 9.4 Páginas web En las páginas web se deberá incluir un aviso legal que informe adecuadamente al usuario de la política de protección de datos del responsable del fichero y del ejercicio de sus derechos. Cuando se recaben datos personales a través de una página web, se informará previamente al usuario, de forma clara e inequívoca, de los siguientes extremos: . . La existencia de un fichero o tratamiento de datos de carácter personal, finalidad de la recogida y destinatarios de la información. Inscripción del fichero en el Registro de la Agencia de Protección de Datos. 27 GUÍA DE PROTECCIÓN DE DATOS . Carácter obligatorio o facultativo de la respuesta a las preguntas que en su caso les sean planteadas, así como de las consecuencias de la obtención de los datos o la negativa a suministrarlos. . . . Posibilidad de ejercer los derechos de acceso, rectificación, cancelación y oposición. Identidad y dirección del responsable del tratamiento de los datos. El usuario será el único responsable de formularios con datos falsos, inexactos, actualizados. cumplimentar los incompletos o no . PD Cualquier cesión a terceros de los datos personales de los usuarios de este por tal, será comunicada debidamente a los afectados especificando la identidad de los cesionarios y la finalidad con que se van a tratar los datos que se cedan. GUÍA DE PROTECCIÓN DE DATOS 28 10 Glosario de términos A.E.P.D.: Agencia Española de Protección de Datos. Accesos autorizados: autorizaciones concedidas a un usuario para la utilización de los diversos recursos. PD Afectado o interesado: Persona física titular de los datos que sean objeto del tratamiento. Autenticación: procedimiento de comprobación de la identidad de un usuario. Bloqueo de datos: la identificación y reserva de datos para impedir su tratamiento Cesión o comunicación de datos: Toda revelación de datos realizada a una persona distinta del interesado. Consentimiento del interesado: Toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen. 29 GUÍA DE PROTECCIÓN DE DATOS Contraseña: información confidencial, frecuentemente constituida por una cadena de caracteres, que puede ser usada en la autenticación de un usuario. Control de acceso: mecanismo que en función de la identificación ya autenticada permite acceder a datos o recursos. Copia del respaldo: copia de los datos de un fichero automatizado en un soporte que posibilite su recuperación. Datos de carácter personal: Cualquier información concerniente a personas físicas identificadas o identificables. Encargado del tratamiento: La persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento. PD Fichero: Todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso. Fuentes accesibles al público: Aquellos ficheros cuya consulta puede ser realizada por cualquier persona, no impedida por una norma limitativa, o sin más exigencia que, en su caso, el abono de una contraprestación. Tienen la consideración, exclusivamente, el censo promocional, los reper torios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público, los Diarios y Boletines oficiales y los medios de comunicación. GUÍA DE PROTECCIÓN DE DATOS 30 Identificación: procedimiento de reconocimiento de la identidad de un usuario. Incidencia: cualquier anomalía que afecte o pudiera afectar a la seguridad de los datos. L.O.P.D.: Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Procedimiento de disociación: todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable. R.G.P.D.: Registro General de Protección de Datos, perteneciente a la Agencia Española de Protección de Datos,,en donde se registran los ficheros inscritos. PD R.M.S. : Real Decreto 994/99 de 11 de Junio, por el que se aprueba el Reglamento de Medidas de Seguridad Recurso: cualquier parte componente de un sistema de información. Responsable de seguridad: persona o personas a las que el responsable del fichero ha asignado formalmente la función de coordinar y controlar las medidas de seguridad aplicables. Responsable del fichero o tratamiento: persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento. 31 GUÍA DE PROTECCIÓN DE DATOS Sistemas de información: conjunto de ficheros automatizados, programas, soportes y equipos empleados para el almacenamiento y tratamiento de datos de carácter personal. Sopor te: objeto físico susceptible de ser tratado en un sistema de información y sobre el cual se pueden grabar o recuperar datos. Tratamiento de datos: operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias. Usuario: sujeto o proceso autorizado para acceder a datos o recursos. PD GUÍA DE PROTECCIÓN DE DATOS 32