Descargar

Anuncio
GUÍA
PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL
PARA PYMES Y PROFESIONALES
Indice
1
1
II N
N TT RR O
OD
DU
UC
CC
C II Ó
ÓN
N
5
5
2
2
R EE G
R
GU
U LL A
AC
C II Ó
ÓN
N LL EE G
GA
A LL
6
6
3
3
D EE RREE C
D
CH
HO
O SS D
D EE LL O
O SS C
C II U
UD
DA
AD
DA
AN
NO
O SS
8
8
4
4
P RR II N
P
NC
C II PP II O
O SS D
D EE LL A
A PP RR O
O TT EE C
CC
C II Ó
ÓN
ND
D EE D
DA
A TT O
O SS
9
9
5
5
AM
A
M BB II TT O
OD
D EE A
A PP LL II C
CA
AC
C II Ó
ÓN
N
133
1
D AA TTO
D
O SS EE SS PP EE C
C II A
ALL M
M EE N
N TTEE PP RR O
O TTEE G
G II D
DO
O SS
111
1
6
6
PD
6.1 DATOS QUE REVELEN L A IDEOLOGÍA, AFILIACIÓN
SINDICAL, RELIGIÓN Y CREENCIAS
6.2 DATOS QUE HAGAN REFERENCIA AL ORIGEN RACIAL,
A L A SALUD Y A L A VIDA SEXUAL
6.3 DATOS REL ATIVOS A L A COMISIÓN DE INFRACCIONES
PENALES O ADMINISTRATIVAS
144
1
155
1
177
1
7
7
QU
Q
U ÉÉ D
D EE BB EE H
HA
AC
C EERR LL A
A EE M
M PP RR EE SS A
A PP A
A RR A
A
AA D
DE
EC
CU
UA
A RR SS EE A
A LL A
A LL O
O PP D
D ??
188
1
8
8
LL A
A SS M
M EE D
D II D
DA
A SS D
D EE SS EE G
GU
U RRII D
DA
AD
D
200
2
9
9
LL A
AO
O BB TT EE N
NC
C II O
ON
ND
D EE D
DA
A TT O
O SS D
D EE C
CA
A RR Á
ÁC
C TT EERR PP EE RR SS O
ON
NA
A LL
9.1
9.2
9.3
9.4
CUESTIONARIOS IMPRESOS
CORREO ELECTRÓNICO (E-MAIL)
OBTENCIÓN DE DATOS POR TELÉFONO
PÁGINAS WEB
0 G
G LL O
OSS A
ARR II O
OD
D EE TT EE RR M
M II N
NO
O SS (( A
A -- ZZ ))
10
2244
2255
2255
2266
288
2
GUÍA DE PROTECCIÓN DE DATOS
3
1
Introducción
Esta guía describe los conceptos básicos de la protección de datos de
carácter personal, con objeto de darlos a conocer dentro del ámbito de las
pequeñas y medianas empresas.
PD
Se entiende la protección como el derecho de las personas en lo
concerniente al tratamiento de sus datos personales: protección contra la
posible utilización por terceros de forma no autorizada por el titular de los
datos, e impedir elaborar información que afecte a su entorno personal,
social o profesional.
La importancia de la Protección de datos esta hoy en día fuera de
duda, ya que no existe actividad económica alguna que no le afecte.
Afecta a todas las empresas y profesionales, que por ejemplo manejen
ó usen un fichero de los clientes, proveedores o la mera relación de
trabajadores de la empresa.
GUÍA DE PROTECCIÓN DE DATOS
5
I
N
T
R
O
D
U
C
C
I
Ó
N
2
R
E
G
U
L
A
C
I
Ó
N
L
E
G
A
L
Regulación
legal
LOPD: Ley Orgánica 15/1 999, de 13 de diciembre, de protección de datos
de carácter personal. Esta ley garantiza y protege todo lo relativo a los
datos personales y establece una serie de obligaciones relativas a la
recogida de los datos, consentimiento, conservación, uso, datos
especialmente protegidos, etc.
PD
RMS: Real Decreto 994/1999, de 11 de junio, por el que se aprueba el
Reglamento de medidas de seguridad de los ficheros automatizados que
contengan datos de carácter personal. En el Reglamento se establecen las
medidas que se han de adoptar obligatoriamente para garantizar la
seguridad respecto de los ficheros automatizados, los centros de
tratamiento, locales, equipos, etc.
LS
L
SS
S II :: Ley 34/2002, de 11 de julio de servicios de la sociedad de la
información y de comercio electrónico.
L G T : Ley 32/2003, de 3 de noviembre General de Telecomunicaciones.
6
GUÍA DE PROTECCIÓN DE DATOS
II N
N SS TT RR U
UC
CC
C II O
ON
N EE SS D
D EE LL A
AA
AG
G EE N
NC
C II A
A EE SS PP A
AÑ
ÑO
O LL A
A
DE
D
E PP RR O
O TT EEC
CC
C II O
ON
ND
D EE D
DA
A TT O
O SS ::
Instrucción 1/2000, de 1 de diciembre, de la APD, relativa a las normas
por las que se rigen los movimientos internacionales de datos.
Instrucción 1/1998, de 19 de enero, de la APD, relativa al ejercicio de
los derechos de acceso rectificación y cancelación.
Instrucción 1/1996, de 1 de marzo, de la APD, sobre ficheros
automatizados establecidos con la finalidad de controlar el acceso a los
edificios.
PD
Instrucción 2/1996, de 1 de marzo, de la APD, sobre ficheros
automatizados establecidos con la finalidad de controlar el acceso a los
casinos y salas de bingo.
Instrucción 2/1995, de 4 de mayo, de la APD, sobre garantía de los
datos personales recabados en la contratación de seguro de vida de
forma conjunta con un préstamo hipotecario o personal.
Instrucción 1/1995 de 1 de marzo de la APD relativa a prestación de
servicios de información sobre solvencia patrimonial y crédito.
GUÍA DE PROTECCIÓN DE DATOS
7
3
D
Derechos
E
R
E
C
H
O
S
Los derechos que vamos a enumerar nacen para garantizar a los
ciudadanos las posibles intromisiones en la intimidad u honor como
consecuencia del uso de la informática:
d
e
Derecho a impugnar valoraciones de su comportamiento basadas en el
tratamiento de datos personales.
l
o
s
Derecho de consulta al Registro General de Protección de Datos.
Cualquier persona puede conocer la existencia de tratamientos de
datos personales, sus finalidades y la identidad
del responsable
del mismo.
C
I
U
D
A
D
A
N
O
S
Derecho de acceso. El interesado tendrá derecho a solicitar y obtener
gratuitamente información de sus datos de carácter personal
sometidos a tratamiento, el origen de dichos datos, así como las
comunicaciones realizadas.
de los
ciudadanos
PD
Derecho de rectificación y cancelación. El responsable del tratamiento
tiene la obligación de rectificar o cancelar aquellos datos de carácter
personal que resulten inexactos, incompletos o que no se ajusten a lo
dispuesto en la Ley 15/1999, en el plazo de diez días a contar desde
que el interesado ejerce el derecho.
Derecho a indemnización.
8
GUÍA DE PROTECCIÓN DE DATOS
4
de la
Principios
p r o te c c i ó n d e
d a to s
Estos principios han de regir todas las operaciones de tratamiento y
cesión de datos de carácter personal.
PD
Calidad de los datos:
.
Los datos de carácter personal sólo se podrán recoger para su
tratamiento cuando sean adecuados, pertinentes y no excesivos en
relación con el ámbito y las finalidades para las que se hayan
obtenido.
.
.
No podrán usarse para finalidades distintas para las que se
hubieran obtenido.
Los datos serán cancelados cuando resulten inexactos,
incompletos, o cuando hayan dejado de ser necesarios para la
finalidad para la cual hayan sido recabados.
.
Los datos de carácter personal serán exactos y puesto al día.
GUÍA DE PROTECCIÓN DE DATOS
9
P
R
I
N
C
I
P
I
O
S
d
e
l
a
P
R
O
T
E
C
C
I
Ó
N
Las personas a las que se les solicita los datos personales deberán ser
informados de modo expreso, preciso e inequívoco:
.
De la existencia del fichero o tratamiento de datos de carácter
personal, de la finalidad de la recogida de éstos y de los
destinatarios de la información.
.
.
.
.
Del carácter obligatorio o facultativo de las respuestas a las
preguntas formuladas.
De las consecuencias de la obtención de datos o de la negativa a
suministrarlos.
De la posibilidad de ejercitar los
rectificación, cancelación y oposición.
PD
derechos
De la identidad y dirección del responsable del
de
acceso,
tratamiento.
El tratamiento de los datos de carácter personal requerirá el
consentimiento del afectado.
El responsable del fichero habrá de adoptar las medidas necesarias para
garantizar la seguridad de los datos y evitar su alteración, pérdida,
tratamiento o acceso no autorizado.
El responsable del fichero y quienes intervengan en cualquier fase del
tratamiento de los datos están obligados a guardar secreto
profesional.
Sólo podrán comunicarse los datos de carácter personal a un tercero
para el cumplimiento de fines directamente relacionados con las
funciones legítimas del cedente y del cesionario con el previo
consentimiento del interesado.
10
GUÍA DE PROTECCIÓN DE DATOS
5
Á m b i t o de
aplicación
La protección de datos de carácter personal se refiere a los
siguientes datos:
PD
De carácter identificativos: nombre, apellidos, dirección, NIF/CIF,
teléfono, dirección electrónica, etc.
De carácter personal: estado civil, fecha de nacimiento, edad, lugar de
nacimiento, nacionalidad, sexo, etc.
De circunstancias sociales: servicio militar, propiedades, aficiones,
estilo de vida, pertenencia a clubes o asociaciones.
Académicos o profesionales: formación, titulación, historial de
estudiante, experiencia profesional, etc.
Detalles de empleo: profesión, puesto de trabajo, historial del
trabajador, etc.
GUÍA DE PROTECCIÓN DE DATOS
11
Á
M
B
I
T
O
d
e
A
P
L
I
C
A
C
I
Ó
N
De información comercial: actividades y negocios, licencias
comerciales, suscripciones a publicaciones o medios de comunicación, etc.
Económico-financieros y de seguros: ingresos, rentas, inversiones,
préstamos, avales, datos bancarios, planes de jubilación, etc.
De transacciones: transacciones financieras, indemnizaciones, etc.
Especialmente protegidos: ideología, afiliación sindical, religión,
creencias, salud, vida sexual, etc.
El régimen de protección de datos de carácter personal no será
de aplicación a los siguientes ficheros:
Los mantenidos por personas físicas en el ejercicio de actividades
exclusivamente personales o domésticas.
Los sometidos a la normativa sobre protección de materias
clasificadas.
Los establecidos para la investigación del terrorismo y de formas
graves de delincuencia organizada.
12
GUÍA DE PROTECCIÓN DE DATOS
6
Datos
especialmente
protegidos
Son datos que se refieren a aspectos personales e íntimos de la vida
privada de las personas, por lo que merecen una mayor protección. Se
pueden agrupar dichos datos en tres grupos en función de las especiales
garantías que prevé la LOPD para su tratamiento.
PD
1. Datos que revelen la ideología, afiliación sindical, religión y
creencias: son aquellos datos que puedan dar indicios sobre la
ideología, la afiliación sindical, la religión y las creencias en general
del individuo. Abarcará datos como la pertenencia a asociaciones,
par tidos políticos, la cuota sindical en la nómina, o la casilla
correspondiente a la donación a la Iglesia Católica en la declaración
del IRPF.
2. Datos que hagan referencia al origen racial, a la salud y a la vida
sexual, son aquellos datos que describen la raza del individuo, que
describen la situación de la salud, como dolencias, enfermedades, altas
y bajas en la empresa por enfermedad, historiales clínicos, datos de
minusvalía en la nómina, etc., y los descriptivos de las prácticas
sexuales asimiladas por el afectado.
GUÍA DE PROTECCIÓN DE DATOS
13
D
A
T
O
S
E
S
P
E
C
I
A
L
M
E
N
T
E
P
R
O
T
E
G
I
D
O
S
3. Datos relativos a la comisión de infracciones penales o
administrativas: Son aquellos datos que se refieran a cualquier
infracción penal o administrativa de la que haya sido declarado
culpable el interesado.
6.
6
.1
1 D
Da
at
to
os
s q
qu
ue
e r
re
ev
ve
el
le
en
n l
la
a i
id
de
eo
ol
lo
og
gí
ía
a,
, a
af
fi
il
li
ia
ac
ci
ió
ón
n s
si
in
nd
di
ic
ca
al
l,
,
re
r
e ll ii g
gi
ió
ón
n y
y c
cr
re
ee
en
nc
ci
ia
as
s
Cuando se pretenda recabar datos de este tipo, en todo caso habrá que
informar del contenido del artículo 16.2 de la Constitución que dispone
que nadie podrá ser obligado a declarar sobre su ideología, religión o
creencias. Como consecuencia de este precepto, el Responsable del fichero
tendrá que adver tir al interesado de su derecho a no prestar su
consentimiento. Al estar ante el ejercicio de derechos fundamentales, la
carga de la prueba recaerá sobre el responsable del tratamiento, por lo que
se recomienda que tal información conste por escrito, por ejemplo, en el
formulario de recogida junto con la cláusula de protección de datos.
PD
Además, el tratamiento de dichos datos requiere haber recabado
previamente el consentimiento expreso y por escrito del afectado. Este
requisito se aplicará de la misma forma y con más fuerza cuando se quieran
ceder los datos del interesado a un tercero.
Tratamiento de los datos
Queda prohibido crear un fichero con la finalidad exclusiva de tratar
datos de carácter personal que revelen la ideología, afiliación sindical,
religión o creencias. Eso significa que si bien se admite la posibilidad de
tratar dichos datos, la finalidad tendrá que responder a un interés legítimo
14
GUÍA DE PROTECCIÓN DE DATOS
del responsable del fichero que en ningún caso podrá consistir en la
creación de un fichero con esta finalidad exclusiva.
Excepciones
Ficheros mantenidos por los partidos políticos, sindicatos, iglesias,
confesiones o comunidades religiosas y asociaciones, fundaciones y otras
entidades sin ánimo de lucro. Los ficheros de dichas entidades que tengan
una finalidad política, filosófica, religiosa o sindical y que se refieran
exclusivamente a datos relativos a sus miembros o asociados, están exentas
de la obligación de recabar el consentimiento expreso y por escrito,
previamente al tratamiento.
PD
6.
6
.2
2 D
Da
at
to
os
s q
qu
ue
e h
ha
ag
ga
an
n r
re
ef
fe
er
re
en
nc
ci
ia
a a
al
l o
or
ri
ig
ge
en
n r
ra
ac
ci
ia
al
l,
, a
a l
la
a
sa
s
a ll u
ud
d y
y a
a l
la
a v
vi
id
da
a s
se
ex
xu
ua
al
l.
.
Solo podrán ser recabados, tratados y cedidos estos datos cuando, por
razones de interés general, así lo disponga una Ley o el afectado consienta
expresamente.
Tratamiento de los datos
Quedan prohibidos los ficheros creados con la finalidad exclusiva de
almacenar datos de carácter personal que revelen la ideología, afiliación
sindical, religión, creencias, origen racial o étnico, o vida sexual. Por lo
tanto siempre debe haber una razón legítima para el tratamiento de estos
datos personales. Las instituciones y los centros sanitarios públicos y
privados y los profesionales correspondientes podrán proceder al
tratamiento de los datos de carácter personal relativos a la salud de las
personas que a ellos acudan o hayan de ser tratados en los mismos, de
acuerdo con lo dispuesto en la legislación estatal o autonómica sobre
GUÍA DE PROTECCIÓN DE DATOS
15
sanidad. Por lo tanto, los centros como las clínicas privadas , que poseen el
historial clínico de sus clientes, deberán ajustarse a este supuesto.
Hay que tener en cuenta para el tratamiento de datos de salud, la Ley
del Paciente, y las normas emitidas a este respecto por Comunidad
Autónoma de Madrid
Los datos de origen racial y de la vida sexual deben ser tratados con
alguna finalidad legítima, pues de lo contrario estaríamos contraviniendo
la ley. Así pues pueden tratarse para realizar estudios estadísticos sobre
aficiones de salud de determinada población, o para determinar ayudas o
subvenciones por pertenencia a una etnia diferente, etc.
PD
Excepciones
Tratamiento necesario para la prevención o para el diagnóstico
médico, la prestación de asistencia sanitaria o tratamiento médicos,
gestión de servicios médicos.
La LOPD prevé la posibilidad de tratar dichos datos cuando el
tratamiento resulte necesario para la prevención o para le diagnóstico
médico, la prestación de asistencia sanitaria o tratamientos médicos o la
gestión de servicios sanitarios, con la condición que dicho tratamiento sea
realizado bien por un profesional sanitario sujeto al secreto profesional.
Asimismo, se prevé la posibilidad de tratar dichos datos en caso de que
fueran necesarios para salvaguardar el interés vital del interesado o de otra
persona, cuando el interesado se halle incapacitado física o jurídicamente
para dar su consentimiento.
16
GUÍA DE PROTECCIÓN DE DATOS
La noción de interés vital debe entenderse de manera restrictiva
refiriéndose a una "cuestión de vida o muerte" y no a cualquier interés
esencial, de primera importancia para el afectado. El término abarca
situaciones como el tratamiento de datos con el fin de identificar a víctimas
de contaminaciones virales por transfusión sanguínea, o a los ficheros de
las organizaciones humanitarias relativos a personas detenidas o
desaparecidas, y a las situaciones de emergencia, cuando el
consentimiento del individuo no puede ser obtenido, y que su supervivencia o la de otra persona esté en peligro.
6 ..33 D
6
Da
att ooss rree ll aatt ii vv oo ss aa ll aa ccoo m
m iiss iióó nn dd ee ii nnff rr aacc cc ii oonn ee ss pp ee nnaa ll eess
oo aa dd m
m ii nniiss tt rr aa tt iivv aa ss
PD
El tratamiento de datos relativos a la comisión de infracciones penales
o administrativas queda absolutamente prohibido para entidades privadas
y queda reservado exclusivamente a las Administraciones Públicas
competentes.
GUÍA DE PROTECCIÓN DE DATOS
17
7
Q u é d e b e h a c e r la
e m p r e s a para
a d e c u a r s e a l a LO P D
1. Identificar los ficheros de datos personales que se manejan y
determinar el nivel de seguridad que les corresponde.
PD
2. Redactar el documento de seguridad en el que se recojan las
medidas adoptadas en función del nivel correspondiente (el
documento de seguridad ha de estar a disposición de la Agencia
Española de Protección de Datos).
3. Redactar contratos para que los afectados den su consentimiento
para el acceso a los datos de carácter personal a terceros, como
asesores o colaboradores de la empresa.
4. Redactar contratos para suscribir con colaboradores, asesores, etc.
que accedan a los datos de carácter personal de la empresa.
5. Inscribir los ficheros en la Agencia Española de Protección de Datos.
18
GUÍA DE PROTECCIÓN DE DATOS
La inscripción de los ficheros se puede realizar mediante los programas
o formularios que se encuentran en la página web de la Agencia Española
de Protección de Datos - www.agpd.es -, y deberá indicar:
1. La finalidad del fichero y los usos previstos para el mismo.
2. Las personas o colectivos sobre los que se pretenda obtener datos
de carácter personal
3. El procedimiento de recogida de los datos de carácter personal.
4. La estructura básica del fichero y la descripción de los tipos de
datos de carácter personal incluidos en el mismo.
PD
5. Las cesiones de datos de carácter personal y, en su caso, las
transferencias de datos que se prevean a países terceros.
6. Los servicios o unidades ante los que pudiesen ejercitarse los
derechos de acceso, rectificación, cancelación y oposición.
7. Las medidas de seguridad con indicación del nivel básico, medio o
alto exigible.
GUÍA DE PROTECCIÓN DE DATOS
19
8
Las medidas
de s e g u r i d a d
El Reglamento de Medidas de Seguridad determina tres niveles de
seguridad aplicables a los ficheros de datos de carácter personal, según el
tipo de datos que contemplan.
NIVEL ALTO: Datos de salud, datos policiales,
datos especialmente protegidos (ideología,
afiliación sindical, religión, creencias, origen
racial o étnico y vida sexual).
ALT O
MEDIO
B ÁSIC O
20
GUÍA DE PROTECCIÓN DE DATOS
NIVEL MEDIO: Hacienda Pública, servicios
financieros, infracciones administrativas o
penales, prestación de servicios de
información sobre solvencia patrimonial y
crédito, ficheros con datos suficientes para
poder evaluar la personalidad del individuo.
(Currículum, cuestionarios de evaluación del
personal, etc...)
NIVEL BÁSICO: Aplicable a todos los ficheros
con datos personales, nombre, dirección,
teléfono, correo electrónico...
N iivv ee ll bb áá ss iicc oo
N
Se entiende por ficheros de nivel básico todos los ficheros que, por
defecto, no se pueden calificar de nivel medio o alto. A estos efectos,
establece que todos los ficheros que contengan datos de carácter personal
han de adoptar las medidas de seguridad calificadas como de nivel básico.
Las medidas de seguridad del nivel básico son las medidas que
obligatoriamente deberán adoptarse para proteger la confidencialidad e
integridad de cualquier fichero que contenga datos de carácter personal.
N iivv ee ll m
N
m ee dd ii oo
PD
Son considerados como ficheros de nivel medio, los ficheros que
contengan datos relativos a:
Comisión de infracciones administrativas o penales: sólo las
Administraciones Públicas pueden tratar datos relativos a la comisión
de infracciones administrativas o penales.
Hacienda Pública: hace referencia a los ficheros cuya titularidad
corresponda a la Hacienda Pública, debiendo entenderse como
aplicable a aquellos ficheros cuyo responsable sea una Administración
Pública que ostente potestades en materia tributaria.
Servicios financieros: Los datos sobre transacciones económicofinancieras cuando constituyan un" servicio financiero" conforme a la
definición dada por la Agencia de Protección de Datos y que se refiere
a las actividades de las entidades de crédito, de las compañías de
seguros y de las empresas de inversiones.
GUÍA DE PROTECCIÓN DE DATOS
21
Ficheros de solvencia patrimonial: aquellos ficheros cuyo
funcionamiento se rige por el artículo 29 de la LOPD referido a la
"prestación de servicios de información sobre solvencia patrimonial".
Ficheros que contengan un conjunto de datos de carácter personal
suficientes para obtener una evaluación de la personalidad del
individuo: no se deben implantar, además de las medidas de
seguridad de nivel básico, todas las medidas de nivel medio, sino
únicamente la obligación de someter los sistemas de información a
una auditoría al menos cada dos años, la implantación de un
mecanismo de identificación de forma inequívoca y personalizada y la
limitación de intentos de acceso fallidos, el control de acceso físico y
el sistema de registro entrada y salida de soportes, de destrucción de
soportes y protección de los datos contra cualquier recuperación
indebida cuando salen de los locales.
PD
Los ficheros considerados como de nivel medio requieren la aplicación
de las medidas de seguridad de nivel básico, además de las nivel
medio.
Ni
N
iv
ve
el
l a
al
lt
to
o
Son considerados como ficheros de nivel alto, es decir, requieren la
aplicación tanto de las medidas de seguridad de nivel básico como las de
nivel medio y las de nivel alto, los ficheros que contengan datos relativos a:
..
..
22
Ideología
Creencias
Origen racial
Salud
GUÍA DE PROTECCIÓN DE DATOS
..
..
Vida sexual
Datos recabados para fines policiales sin consentimiento de las
personas afectadas.
Datos de afiliación sindical.
Religión
R ee ssuu m
R
m ee nn dd ee llaa ss M
M eedd iidd aa ss dd ee SS ee gg uurr iidd aadd
BÁSICO
NIVEL
TIPO DE DATOS
Afecta a todos los ficheros que contengan
datos personales:
* Nombre
* Apellidos
* Direcciones de contacto (tanto físicas
como electrónicas)
ALTO
MEDIO
* Teléfono (tanto fijo como móvil)
* Otros
* Comisión infracciones penales
* Comisión infracciones administrativas
* Hacienda Pública
MEDIDAS DE SEGURIDAD OBLIGATORIAS
* Documento de seguridad
* Régimen de funciones y obligaciones del
personal
* Registro de incidencias
* Identificación y autentificación de usuarios
* Control de acceso
* Gestión de soportes
* Copias de respaldo y recuperación
* Medidas de seguridad de nivel básico
* Responsable de Seguridad
* Auditoría bienal
* Servicios financieros
* Información sobre solvencia patrimonial y crédito
* Medidas adicionales de Identificación y
autentificación de usuarios
* Control de acceso físico
* Medidas adicionales de gestión de soportes
* Registro de incidencias
* Pruebas sin datos reales
* Ideología
* Religión o Creencias
* Origen racial
* Medidas de seguridad de nivel básico
* Seguridad en la distribución de soportes
* Registro de accesos
* Salud o Vida sexual
* Datos recabados sin consentimiento de
las personas afectadas
* Medidas adicionales de copias de
respaldo
* Cifrado de telecomunicaciones
GUÍA DE PROTECCIÓN DE DATOS
23
1
Título
PD
GUÍA DE PROTECCIÓN DE DATOS
24
9
L a o b t e n c i ó n de
d a t o s de
carácter personal
Además de observar determinados procedimientos a la hora de tratar
los datos, también es necesario cumplir con unos requisitos a la hora de
su obtención, según el tipo de medio donde se realice.
PD
9.1 Cuestionarios Impresos:
Cuando se utilicen cuestionarios u otros tipos de impresos, figurarán
en los mismos, en forma clara y legible, los siguientes avisos.
.
De la existencia de un fichero o tratamiento de datos de carácter
personal, de la finalidad de la recogida de éstos y de los destinatarios
de la información.
.
.
Del carácter obligatorio o facultativo de su respuesta a las preguntas
que les sean planteadas.
De las consecuencias de la obtención de los datos o de la negativa a
suministrarlos.
25
GUÍA DE PROTECCIÓN DE DATOS
.
.
De la posibilidad de ejercitar los derechos de acceso, rectificación,
cancelación y oposición.
De la identidad y dirección del responsable del tratamiento o, en su
caso, de su representante
9.2 Correo electrónico (e-mail).
Se recomienda incluir un aviso legal al final de la firma del emisor del
correo para que todas las personas que accedan a él o respondan con sus
datos, conozcan que sus datos van a ser incluidos en un fichero y de
dónde pueden ejercer sus derechos de acceso rectificación, oposición y
cancelación de sus datos personales.
PD
9.3 Obtención de datos por Teléfono
Para la inclusión de datos personales enviados por medios telefónicos
habrá que tomarse las mismas precauciones que en cualquier otro formato.
Si los datos se recaban desde este medio se cumplirá con el deber de
recabar un consentimiento y para ello se debe informar al afectado:
.
De la existencia de un fichero o tratamiento de datos de carácter
personal, de la finalidad de la recogida de éstos y de los destinatarios
de la información.
.
.
Del carácter obligatorio o facultativo de su respuesta a las preguntas
que les sean planteadas.
De las consecuencias de la obtención de los datos o de la negativa a
suministrarlos.
GUÍA DE PROTECCIÓN DE DATOS
26
.
.
De la posibilidad de ejercitar los derechos de acceso, rectificación,
cancelación y oposición.
De la identidad y dirección del responsable del tratamiento o, en su
caso, de su representante.
Estos deberes deberán estar documentados, en procedimientos ó en el
documento de seguridad, para que la persona que capte los datos
mediante el teléfono pueda informar debidamente al afectado. Si lo que
se recoge es el consentimiento del afectado para tratar sus datos con nivel
de protección alto, se deberá grabar dicha aceptación específica y explícita
del afectado y guardarse , ya que tendrá el mismo nivel probatorio que si
se hubiera recogido por escrito.
PD
9.4 Páginas web
En las páginas web se deberá incluir un aviso legal que informe
adecuadamente al usuario de la política de protección de datos del
responsable del fichero y del ejercicio de sus derechos. Cuando se
recaben datos personales a través de una página web, se informará
previamente al usuario, de forma clara e inequívoca, de los siguientes
extremos:
.
.
La existencia de un fichero o tratamiento de datos de carácter
personal, finalidad de la recogida y destinatarios de la información.
Inscripción del fichero en el Registro de la Agencia de Protección de
Datos.
27
GUÍA DE PROTECCIÓN DE DATOS
.
Carácter obligatorio o facultativo de la respuesta a las preguntas
que en su caso les sean planteadas, así como de las consecuencias de
la obtención de los datos o la negativa a suministrarlos.
.
.
.
Posibilidad de ejercer los derechos de acceso, rectificación,
cancelación y oposición.
Identidad y dirección del responsable del tratamiento de los datos.
El usuario será el único responsable de
formularios con datos falsos, inexactos,
actualizados.
cumplimentar los
incompletos o no
.
PD
Cualquier cesión a terceros de los datos personales de los usuarios
de este por tal, será comunicada debidamente a los afectados
especificando la identidad de los cesionarios y la finalidad con que se
van a tratar los datos que se cedan.
GUÍA DE PROTECCIÓN DE DATOS
28
10
Glosario de
términos
A.E.P.D.: Agencia Española de Protección de Datos.
Accesos autorizados: autorizaciones concedidas a un usuario para la
utilización de los diversos recursos.
PD
Afectado o interesado: Persona física titular de los datos que sean objeto
del tratamiento.
Autenticación: procedimiento de comprobación de la identidad de un
usuario.
Bloqueo de datos: la identificación y reserva de datos para impedir su
tratamiento
Cesión o comunicación de datos: Toda revelación de datos realizada a una
persona distinta del interesado.
Consentimiento del interesado: Toda manifestación de voluntad, libre,
inequívoca, específica e informada, mediante la que el interesado
consienta el tratamiento de datos personales que le conciernen.
29
GUÍA DE PROTECCIÓN DE DATOS
Contraseña: información confidencial, frecuentemente constituida por una
cadena de caracteres, que puede ser usada en la autenticación de un
usuario.
Control de acceso: mecanismo que en función de la identificación ya
autenticada permite acceder a datos o recursos.
Copia del respaldo: copia de los datos de un fichero automatizado en un
soporte que posibilite su recuperación.
Datos de carácter personal: Cualquier información concerniente a personas
físicas identificadas o identificables.
Encargado del tratamiento: La persona física o jurídica, autoridad pública,
servicio o cualquier otro organismo que, solo o conjuntamente con otros,
trate datos personales por cuenta del responsable del tratamiento.
PD
Fichero: Todo conjunto organizado de datos de carácter personal,
cualquiera que fuere la forma o modalidad de su creación,
almacenamiento, organización y acceso.
Fuentes accesibles al público: Aquellos ficheros cuya consulta puede ser
realizada por cualquier persona, no impedida por una norma limitativa, o
sin más exigencia que, en su caso, el abono de una contraprestación.
Tienen la consideración, exclusivamente, el censo promocional, los
reper torios telefónicos en los términos previstos por su normativa
específica y las listas de personas pertenecientes a grupos de profesionales
que contengan únicamente los datos de nombre, título, profesión,
actividad, grado académico, dirección e indicación de su pertenencia al
grupo. Asimismo, tienen el carácter de fuentes de acceso público, los
Diarios y Boletines oficiales y los medios de comunicación.
GUÍA DE PROTECCIÓN DE DATOS
30
Identificación: procedimiento de reconocimiento de la identidad de un
usuario.
Incidencia: cualquier anomalía que afecte o pudiera afectar a la seguridad
de los datos.
L.O.P.D.: Ley Orgánica 15/1999, de 13 de diciembre, de Protección de
Datos de Carácter Personal.
Procedimiento de disociación: todo tratamiento de datos personales de
modo que la información que se obtenga no pueda asociarse a persona
identificada o identificable.
R.G.P.D.: Registro General de Protección de Datos, perteneciente a la
Agencia Española de Protección de Datos,,en donde se registran los
ficheros inscritos.
PD
R.M.S. : Real Decreto 994/99 de 11 de Junio, por el que se aprueba el
Reglamento de Medidas de Seguridad
Recurso: cualquier parte componente de un sistema de información.
Responsable de seguridad: persona o personas a las que el responsable del
fichero ha asignado formalmente la función de coordinar y controlar las
medidas de seguridad aplicables.
Responsable del fichero o tratamiento: persona física o jurídica, de
naturaleza pública o privada, u órgano administrativo, que decida sobre la
finalidad, contenido y uso del tratamiento.
31
GUÍA DE PROTECCIÓN DE DATOS
Sistemas de información: conjunto de ficheros automatizados, programas,
soportes y equipos empleados para el almacenamiento y tratamiento de
datos de carácter personal.
Sopor te: objeto físico susceptible de ser tratado en un sistema de
información y sobre el cual se pueden grabar o recuperar datos.
Tratamiento de datos: operaciones y procedimientos técnicos de carácter
automatizado o no, que permitan la recogida, grabación, conservación,
elaboración, modificación, bloqueo y cancelación, así como las cesiones de
datos que resulten de comunicaciones, consultas, interconexiones y
transferencias.
Usuario: sujeto o proceso autorizado para acceder a datos o recursos.
PD
GUÍA DE PROTECCIÓN DE DATOS
32
Descargar