La Ley Orgánica de Protección de Datos de carácter personal 15/1999 (LOPD) afecta a todas las empresas y profesionales (pymes y autónomos) que guardan ficheros (ya sean en papel o en soporte informático) con datos personales de personas físicas (clientes, empleados, proveedores, colaboradores, etc). La LOPD establece que “será de aplicación a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado”.
Las obligaciones básicas establecidas por la LOPD se pueden sintetizar en:
Legalizar
Todos los ficheros de datos de carácter personal deberán estar inscritos y legalizados ante la Agencia Española de Protección de Datos.
Legitimar
Todos los datos de carácter personal recogidos por la empresa, deben contar con el consentimiento del afectado, así como cumplir una serie de principios básicos como son: A. Principio del consentimiento del afectado. B.Principio de información. C.Principio de calidad de los datos.
Proteger
La LOPD y el Reglamento de Medidas de Seguridad (RD 994/1999), establecen la obligación de establecer una serie de medidas de carácter técnico y organizativo que garanticen la seguridad de los datos de carácter personal, medidas que habrán de adoptarse / implementarse por la empresa o profesional que almacene estos datos. Entre estas medidas se incluye la elaboración de un Documento de Seguridad en el que se detallarán los datos almacenados, las medidas de seguridad adoptadas, así como las personas que tienen acceso a esos datos.
Terminología
Para entender mejor la ley, debemos saber a qué se refieren los siguientes conceptos:
Dato de carácter personal
Se define como toda información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo susceptible de recogida, registro, tratamiento o transmisión concerniente a una persona física identificada o identificable. Ejemplos de datos de carácter personal son: nombre o apellidos, teléfono, dirección de correo electrónico, matrícula del vehículo, etc. En resumen, cualquier dato que permita determinar, de manera directa o indirecta, la identidad (física, fisiológica, psíquica, económica, cultural o social) de una persona física.
La ley establece que sólo son datos de carácter personal los referidos a las personas físicas, y no los de las entidades de personalidad jurídica (empresas, sociedades, etc).
La ley establece que sólo son datos de carácter personal los referidos a las personas físicas, y no los de las entidades de personalidad jurídica (empresas, sociedades, etc).
Fichero
Se denomina fichero al conjunto de datos de carácter personal organizado de cualquier manera, con cualquier finalidad o uso e independientemente de que el almacenamiento, organización y acceso a los datos se realice de manera manual o a través medios informatizados.
Tratamiento
Según la LOPD el tratamiento es definido como las operaciones y procedimientos técnicos de carácter automatizado o no, que permitan el acopio, grabación, conservación, creación, modificación, bloqueo y cancelación de datos, así como las cesiones de éstos que resulten de comunicaciones, consultas, interconexiones y transferencias.
Interesado o afectado
Persona física a la que se refieren los datos.
Responsable del fichero
Quien decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase materialmente (por ejemplo, externalizando el servicio). El responsble del fichero tiene, entre otras, la obligación de notificar e incribir los ficheros, aplicar los principios de la protección de datos y facilitar el ejercicio de los derechos por parte de los interesados o afectados.
Encargado del tratamiento
El encargado será quien, solo o conjuntamente con otros, trate o acceda a datos personales por cuenta del responsable del fichero como consecuencia de una relación jurídica existente entre ambos, la cual delimita el acceso y el ámbito de actuación para prestar un servicio. Ejemplos de encargados de tratamiento serían las gestorías o asesorías que acceden a los datos de una empresa (responsable del fichero) para elaborar las nóminas.
¿Qué pasos ha de seguir una PYME para adaptarse a la normativa de protección de datos?
1. Identificar los ficheros con datos de carácter personal.
Teniendo en cuenta la definición ofrecida anteriormente de qué es un “fichero”, los autónomos y empresas debieran analizar qué datos personales se manejan en el desarrollo de su actividad para identificar los ficheros que se deben inscribir ante la Agencia de Protección de Datos.
Conviene tener presente la norma que dicta la LOPD referida a la creaciónb de ficheros: “Podrán crearse ficheros de titularidad privada que contengan datos de carácter personal cuando resulte necesario para el logro de la actividad u objeto legítimo de la persona, empresa o entidad titular y se respeten las garantías que esta Ley establece para la protección de las personas”.
2. Notificar los ficheros con datos personales a la Agencia de protección de Datos.
La notificación de Ficheros a la Agencia de protección de Datos se puede realizar a través de Internet. Para proceder a notificar el Fichero, será necesario completar el Formulario de Notificación de Ficheros (Formulario NOTA).
La información que ha de ser completada en dicho Formulario es la siguiente:
-Identidad del Responsable del Fichero.
-Servicio o Unidad concreto ante el que pueden ejercitarse los derechos de los usuarios, en su caso.
-Nombre y descripción del fichero o tratamiento de datos.
-Ubicación principal del Fichero, en su caso.
-Encargado del Tratamiento, en su caso.
-Sistema de Tratamiento o de Información.
-Medidas de Seguridad.
-Estructura básica del Fichero (tipos de datos que se contienen en el Fichero).
-Finalidad del Fichero y usos previstos.
-Procedencia de los datos, y procedimiento de recogida de los datos.
-Cesión o Comunicaciones de Datos, en su caso.
-Transferencias Internacionales de Datos, en su caso.
-Servicio o Unidad concreto ante el que pueden ejercitarse los derechos de los usuarios, en su caso.
-Nombre y descripción del fichero o tratamiento de datos.
-Ubicación principal del Fichero, en su caso.
-Encargado del Tratamiento, en su caso.
-Sistema de Tratamiento o de Información.
-Medidas de Seguridad.
-Estructura básica del Fichero (tipos de datos que se contienen en el Fichero).
-Finalidad del Fichero y usos previstos.
-Procedencia de los datos, y procedimiento de recogida de los datos.
-Cesión o Comunicaciones de Datos, en su caso.
-Transferencias Internacionales de Datos, en su caso.
Una vez ha sido completada la información requerida, puede enviarse la notificación a la Agencia Española de Protección de Datos. En el caso de presentación a través de Internet con certificado de firma electrónica el proceso se puede desarrollar totalmente online. Si no se dispone de firma electrónica, hay que enviar la hoja de solicitud que se genera al completar el formulario (con el correspondiente código de envío) firmada a la AEPD.
Una vez reciban la notificación del fichero y la solicitud de inscripción en la Agencia Española de Protección de Datos, evaluarán la información y si es correcta procederán a la inscripción del Fichero, o en caso de contener errores solicitarán al Responsable del Fichero la corrección de los mismos.
Una vez inscrito el Fichero en el Registro, la Agencia Española de Protección de Datos, lo comunicará indicando el código de inscripción (necesario para posteriores modificaciones o cancelación del fichero) que se le ha asignado al Fichero.
3. Designar a un responsable de seguridad.
El responsable del fichero confeccionará y establecerá la normativa de seguridad mediante un documento de obligado cumplimiento para el personal con acceso a los datos automatizados de carácter personal y a los sistemas de información.
El documento (llamado documento de seguridad) deberá contener, como mínimo, los siguientes aspectos:
Una vez reciban la notificación del fichero y la solicitud de inscripción en la Agencia Española de Protección de Datos, evaluarán la información y si es correcta procederán a la inscripción del Fichero, o en caso de contener errores solicitarán al Responsable del Fichero la corrección de los mismos.
Una vez inscrito el Fichero en el Registro, la Agencia Española de Protección de Datos, lo comunicará indicando el código de inscripción (necesario para posteriores modificaciones o cancelación del fichero) que se le ha asignado al Fichero.
3. Designar a un responsable de seguridad.
El responsable del fichero confeccionará y establecerá la normativa de seguridad mediante un documento de obligado cumplimiento para el personal con acceso a los datos automatizados de carácter personal y a los sistemas de información.
El documento (llamado documento de seguridad) deberá contener, como mínimo, los siguientes aspectos:
- Ámbito de aplicación del documento con especificación detallada de los recursos protegidos.
- Medidas, normas, procedimientos, y reglas orientados a garantizar el nivel de seguridad exigido en este Reglamento.
- Funciones y obligaciones del personal.
- Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan.
- Procedimiento de notificación, gestión y respuesta ante las incidencias.
- Los procedimientos de elaboración de copias de seguridad y de recuperación de datos.
- Medidas, normas, procedimientos, y reglas orientados a garantizar el nivel de seguridad exigido en este Reglamento.
- Funciones y obligaciones del personal.
- Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan.
- Procedimiento de notificación, gestión y respuesta ante las incidencias.
- Los procedimientos de elaboración de copias de seguridad y de recuperación de datos.
Si el nivel de seguridad a adoptar es medio o alto, el responsable del fichero desiganará a un responsable o responsables de seguridad. Estos serán los encargados de velar por el cumplimiento de las medidas, normas y reglas de seguridad establecidas por el Responsable del Fichero en el documento de seguridad. Hay que señalar que la responsabilidad por las infracciones que se cometan, será siempre del responsable del fichero y nunca del responsable de seguridad.
Algunas de las funciones de los responsables de seguridad son:
Algunas de las funciones de los responsables de seguridad son:
- Velar por el cumplimiento de las normas de seguridad.
- Determinar y describir los recursos informáticos a los que se aplicará el Documento de Seguridad.
- Establecer y comprobar la aplicación del procedimiento de notificación, tratamiento y registro de incidencias.
- Establecer y comprobar la aplicación del procedimiento de elaboración de copias de seguridad y recuperación de datos y su periodicidad.
- Elaborar y mantener actualizada la lista de usuarios que tengan acceso autorizado al Sistema Informático, con especificación del nivel de acceso que tiene cada usuario.
- Establecer y comprobar la aplicación de un sistema que limite el acceso de los usuarios únicamente a aquellos datos y recursos que precisen para el desarrollo de sus funciones.
- Establecer los controles periódicos y auditorias necesarias para comprobar el nivel de cumplimiento del documento.
- Determinar y describir los recursos informáticos a los que se aplicará el Documento de Seguridad.
- Establecer y comprobar la aplicación del procedimiento de notificación, tratamiento y registro de incidencias.
- Establecer y comprobar la aplicación del procedimiento de elaboración de copias de seguridad y recuperación de datos y su periodicidad.
- Elaborar y mantener actualizada la lista de usuarios que tengan acceso autorizado al Sistema Informático, con especificación del nivel de acceso que tiene cada usuario.
- Establecer y comprobar la aplicación de un sistema que limite el acceso de los usuarios únicamente a aquellos datos y recursos que precisen para el desarrollo de sus funciones.
- Establecer los controles periódicos y auditorias necesarias para comprobar el nivel de cumplimiento del documento.
4. Identificar los niveles de seguridad que corresponden a cada fichero.
La LOPD distingue, según los datos personales que se incluyan en el fichero, tres niveles de seguridad, en relación a los cuales establece unas normas mínimas de seguridad que se han de cumplir.
Nivel Básico
Para todos los ficheros de datos de carácter personal. Medidas mínimas de seguridad:
-Existencia de una lista actualizada de usuarios autorizados que tengan acceso autorizado al sistema de información.
-Contraseñas: procedimiento de creación, asignación, conservación y cambio periódico.
-Conocimiento por parte del personal de las normas y medidas de seguridad que les son aplicables.
-Los usuarios tendrán únicamente acceso a los datos/recursos de acuerdo a su puesto laboral y tareas definidas en el documento de seguridad.
- Listado de personal con privilegios administrativos informáticos sobre aplicaciones y ficheros
-Deberán implantarse mecanismos que eviten el acceso no autorizado a otros recursos: establecimiento de perfiles de usuario. Definición en el Documento de Seguridad de las funciones y obligaciones de grupos de usuarios y/o perfiles.
-Trabajo fuera de ubicación principal debe ser expresamente autorizado
- Descripción y estructura informática del Fichero y del sistema informático en el documento de seguridad.
- Identificación, inventariado y almacenamiento de los soportes. Autorización necesaria para salida de soportes.
-Registro de incidencias. Contenido mínimo: tipo de incidencia, momento en que se produce, efectos producidos, persona que comunica, medidas adoptadas
-Copias de Respaldo y Recuperación datos que garanticen la restauración de los datos al momento anterior a producirse la pérdida
-Realización de copias de backup al menos con una frecuencia semanal
-Revisión y actualización del Documento de Seguridad en función de cambios relevantes en la Organización
-En caso de ficheros en soporte papel, además: Control de acceso a la documentación, Medidas de conservación y almacenamiento y Procedimientos y mecanismos de destrucción que impidan posterior recuperación de la información que contienen.
-Existencia de una lista actualizada de usuarios autorizados que tengan acceso autorizado al sistema de información.
-Contraseñas: procedimiento de creación, asignación, conservación y cambio periódico.
-Conocimiento por parte del personal de las normas y medidas de seguridad que les son aplicables.
-Los usuarios tendrán únicamente acceso a los datos/recursos de acuerdo a su puesto laboral y tareas definidas en el documento de seguridad.
- Listado de personal con privilegios administrativos informáticos sobre aplicaciones y ficheros
-Deberán implantarse mecanismos que eviten el acceso no autorizado a otros recursos: establecimiento de perfiles de usuario. Definición en el Documento de Seguridad de las funciones y obligaciones de grupos de usuarios y/o perfiles.
-Trabajo fuera de ubicación principal debe ser expresamente autorizado
- Descripción y estructura informática del Fichero y del sistema informático en el documento de seguridad.
- Identificación, inventariado y almacenamiento de los soportes. Autorización necesaria para salida de soportes.
-Registro de incidencias. Contenido mínimo: tipo de incidencia, momento en que se produce, efectos producidos, persona que comunica, medidas adoptadas
-Copias de Respaldo y Recuperación datos que garanticen la restauración de los datos al momento anterior a producirse la pérdida
-Realización de copias de backup al menos con una frecuencia semanal
-Revisión y actualización del Documento de Seguridad en función de cambios relevantes en la Organización
-En caso de ficheros en soporte papel, además: Control de acceso a la documentación, Medidas de conservación y almacenamiento y Procedimientos y mecanismos de destrucción que impidan posterior recuperación de la información que contienen.
Nivel Medio
Ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, datos sobre Hacienda Pública, datos sobre Servicios Financieros, datos sobre solvencia patrimonial y crédito o ficheros que contengan un conjunto de datos suficientes que permitan elaborar un perfil del afectado.
Las medidas mínimas de seguridad que se adoptarán serán las mismas que la de nivel básico, más las siguientes:
-Identificación de usuario, de manera inequívoca y personalizada.
-Limitación de acceso incorrecto reiterado.
-Control de acceso físico a servidores y al centro de procesamiento de datos. Listado de personas con acceso a los mismos.
-Identificación y funciones del/los Responsables de Seguridad.
- Cifrado de soportes en caso de operaciones externas de mantenimiento. Medidas y procedimientos para la destrucción de soportes. Registro de Entrada y salida de Soportes.
- Contenido adicional en el registro de incidencias: Procedimiento de restauración de datos, datos restaurados y datos grabados manualmente.
- Necesaria autorización para la ejecución de procedimientos de restauración de datos.
- Deberá someterse a una Auditoria cada 2 años. Conservación de Informe a disposición AEPD.
Las medidas mínimas de seguridad que se adoptarán serán las mismas que la de nivel básico, más las siguientes:
-Identificación de usuario, de manera inequívoca y personalizada.
-Limitación de acceso incorrecto reiterado.
-Control de acceso físico a servidores y al centro de procesamiento de datos. Listado de personas con acceso a los mismos.
-Identificación y funciones del/los Responsables de Seguridad.
- Cifrado de soportes en caso de operaciones externas de mantenimiento. Medidas y procedimientos para la destrucción de soportes. Registro de Entrada y salida de Soportes.
- Contenido adicional en el registro de incidencias: Procedimiento de restauración de datos, datos restaurados y datos grabados manualmente.
- Necesaria autorización para la ejecución de procedimientos de restauración de datos.
- Deberá someterse a una Auditoria cada 2 años. Conservación de Informe a disposición AEPD.
Nivel Alto
Aquellos que contengan datos de ideología, religión, creencias, origen racial, salud, vida sexual.
Las medidas mínimas de seguridad que se adoptarán serán las mismas que la de nivel básico y nivel medio, más las siguientes:
- De cada acceso al fichero se guardarán: identificación usuario, fecha y hora, fichero accedido, tipo de acceso y su autorización o denegación, guardando la información que permita identificar registro accedido.
-Registro y conservación de accesos lógicos al fichero por un plazo no inferior a 2 años.
- Los mecanismos de acceso estarán bajo el control directo del Responsable de Seguridad, sin que pueda permitirse la desactivación.
- Distribución de soportes con mecanismos de cifrado de datos.
- Almacenamiento externo de copias de seguridad y procedimientos de restauración de datos.
- Revisión periódica de la información de control de los accesos informáticos a ficheros y aplicaciones.
Las medidas mínimas de seguridad que se adoptarán serán las mismas que la de nivel básico y nivel medio, más las siguientes:
- De cada acceso al fichero se guardarán: identificación usuario, fecha y hora, fichero accedido, tipo de acceso y su autorización o denegación, guardando la información que permita identificar registro accedido.
-Registro y conservación de accesos lógicos al fichero por un plazo no inferior a 2 años.
- Los mecanismos de acceso estarán bajo el control directo del Responsable de Seguridad, sin que pueda permitirse la desactivación.
- Distribución de soportes con mecanismos de cifrado de datos.
- Almacenamiento externo de copias de seguridad y procedimientos de restauración de datos.
- Revisión periódica de la información de control de los accesos informáticos a ficheros y aplicaciones.
5. Garantizar los derechos de los usuarios.
Los derechos que la LOPD otorga a los usuarios sobre los que se recogen datos de carácter personal, se pueden resumir en cuatro:
Derecho de Acceso
Los usuarios tienen derecho a conocer los datos personales que son tratados por las empresa. Plazo máximo para dar respuesta tras la solicitud por parte del usuario: 30 días.
Derecho de Rectificación
Los usuarios tienen derecho a solicitar la rectificación de aquellos datos que consideren incorrectos y/o inexactos. Plazo máximo para dar respuesta tras la solicitud por parte del usuario: 10 días.
Derecho de Cancelación
Los usuarios podrán solicitar la cancelación de sus datos cuando estos no sean necesarios para el mantenimiento de la relación con la empresa. En determinados casos la empresa tiene la obligación de conservación, de modo que deberá procederse al bloqueo de los datos. Plazo máximo para dar respuesta tras la solicitud por parte del usuario: 10 días.
Derecho de Oposición
Los usuarios podrán oponerse al tratamiento de sus datos cuando los mismos no sean necesarios para el mantenimiento de la relación con la empresa. También es posible una oposición parcial: a recibir comunicaciones comerciales o publicidad, o a la cesión de los datos a terceras empresas. Plazo máximo para dar respuesta tras la solicitud por parte del usuario: 10 días.
6. El acceso a datos por cuenta de terceros
El acceso a datos por cuenta de terceros se da en los supuestos en los que existe una relación jurídica de prestación de servicios entre el Responsable del Fichero y un tercero, por el que éste último presta un servicio que conlleva forzosamente para su realización el acceso, tratamiento y conocimiento de los datos almacenados en un fichero.
En contraste con la cesión de datos, donde el cesionario accede a los datos y los destina a un fin propio, para el acceso a los datos por cuenta de terceros no es necesario recabar el consentimiento del interesado, pero si cumplir con los requisitos que se establezcan en la firma de un contrato de acceso a datos. Los contenidos del contrato fijarán:
- Objeto de la prestación contratada.
- Expresa mención de que dicho acceso a los datos del fichero es necesario para el cumplimiento del objeto contractual.
- Obligaciones del Encargado del Tratamiento: Instrucciones concretas para el acceso y tratamiento de los datos. Medidas de seguridad detalladas que se deberán adoptar e implantar. Se establecerá la prohibición de ceder o comunicar los datos a terceros, ni tan siquiera para su conservación. Se establecerán las condiciones para la devolución o, en su caso destrucción, de los datos así como de los soportes informáticos generados, documentación, etc.., una vez concluida la prestación.
- Determinación de las responsabilidades de las partes:
- Expresa mención de que dicho acceso a los datos del fichero es necesario para el cumplimiento del objeto contractual.
- Obligaciones del Encargado del Tratamiento: Instrucciones concretas para el acceso y tratamiento de los datos. Medidas de seguridad detalladas que se deberán adoptar e implantar. Se establecerá la prohibición de ceder o comunicar los datos a terceros, ni tan siquiera para su conservación. Se establecerán las condiciones para la devolución o, en su caso destrucción, de los datos así como de los soportes informáticos generados, documentación, etc.., una vez concluida la prestación.
- Determinación de las responsabilidades de las partes:
- Del Encargado del Tratamiento: asumirá personalmente las infracciones y sanciones que puedan derivarse del incumplimiento de sus obligaciones contractuales en relación con los datos de carácter personal.
- Del Responsable del Fichero: asumirá personalmente las infracciones cometidas por el Encargado del Tratamiento cuando éste actúe de acuerdo a las instrucciones y obligaciones fijadas en el contrato.
- Del Responsable del Fichero: asumirá personalmente las infracciones cometidas por el Encargado del Tratamiento cuando éste actúe de acuerdo a las instrucciones y obligaciones fijadas en el contrato.
7. La cesión de datos.
La LOPD define la cesión de datos como “toda revelación de datos realizada por persona distinta del interesado”. Se establecen dos requisitos iniciales y concurrentes que deberán darse en toda cesión:
La LOPD define la cesión de datos como “toda revelación de datos realizada por persona distinta del interesado”. Se establecen dos requisitos iniciales y concurrentes que deberán darse en toda cesión:
- Que sólo será posible la cesión de los datos para el cumplimiento de fines directamente relacionados con las funciones de cedente y cesionario. Siempre debe existir una conexión entre las actividades y fines de la comunicación de las empresas cedente y cesionaria.
- El previo consentimiento informado del interesado. Antes de realizar la cesión se ha de obtener el consentimiento informado del interesado para efectuar la cesión de sus datos, informándole de: Identificación, actividad y dirección del cesionario. La naturaleza de los datos cedidos. Finalidad a la cual se destinarán los datos cedidos.
- El previo consentimiento informado del interesado. Antes de realizar la cesión se ha de obtener el consentimiento informado del interesado para efectuar la cesión de sus datos, informándole de: Identificación, actividad y dirección del cesionario. La naturaleza de los datos cedidos. Finalidad a la cual se destinarán los datos cedidos.
