La Ley Orgánica de Protección de Datos de carácter personal 15/1999 (LOPD) afecta a todas las empresas y profesionales (pymes y autónomos) que guardan ficheros (ya sean en papel o en soporte informático) con datos personales de personas físicas (clientes, empleados, proveedores, colaboradores, etc). La LOPD establece que “será de aplicación a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado”.
Las obligaciones básicas establecidas por la LOPD se pueden sintetizar en:
Terminología
Para entender mejor la ley, debemos saber a qué se refieren los siguientes conceptos:
La ley establece que sólo son datos de carácter personal los referidos a las personas físicas, y no los de las entidades de personalidad jurídica (empresas, sociedades, etc).
¿Qué pasos ha de seguir una PYME para adaptarse a la normativa de protección de datos?
1. Identificar los ficheros con datos de carácter personal.
Teniendo en cuenta la definición ofrecida anteriormente de qué es un “fichero”, los autónomos y empresas debieran analizar qué datos personales se manejan en el desarrollo de su actividad para identificar los ficheros que se deben inscribir ante la Agencia de Protección de Datos.
Conviene tener presente la norma que dicta la LOPD referida a la creaciónb de ficheros: “Podrán crearse ficheros de titularidad privada que contengan datos de carácter personal cuando resulte necesario para el logro de la actividad u objeto legítimo de la persona, empresa o entidad titular y se respeten las garantías que esta Ley establece para la protección de las personas”.
2. Notificar los ficheros con datos personales a la Agencia de protección de Datos.
La notificación de Ficheros a la Agencia de protección de Datos se puede realizar a través de Internet. Para proceder a notificar el Fichero, será necesario completar el Formulario de Notificación de Ficheros (Formulario NOTA).
-Servicio o Unidad concreto ante el que pueden ejercitarse los derechos de los usuarios, en su caso.
-Nombre y descripción del fichero o tratamiento de datos.
-Ubicación principal del Fichero, en su caso.
-Encargado del Tratamiento, en su caso.
-Sistema de Tratamiento o de Información.
-Medidas de Seguridad.
-Estructura básica del Fichero (tipos de datos que se contienen en el Fichero).
-Finalidad del Fichero y usos previstos.
-Procedencia de los datos, y procedimiento de recogida de los datos.
-Cesión o Comunicaciones de Datos, en su caso.
-Transferencias Internacionales de Datos, en su caso.
Una vez reciban la notificación del fichero y la solicitud de inscripción en la Agencia Española de Protección de Datos, evaluarán la información y si es correcta procederán a la inscripción del Fichero, o en caso de contener errores solicitarán al Responsable del Fichero la corrección de los mismos.
Una vez inscrito el Fichero en el Registro, la Agencia Española de Protección de Datos, lo comunicará indicando el código de inscripción (necesario para posteriores modificaciones o cancelación del fichero) que se le ha asignado al Fichero.
3. Designar a un responsable de seguridad.
El responsable del fichero confeccionará y establecerá la normativa de seguridad mediante un documento de obligado cumplimiento para el personal con acceso a los datos automatizados de carácter personal y a los sistemas de información.
El documento (llamado documento de seguridad) deberá contener, como mínimo, los siguientes aspectos:
- Medidas, normas, procedimientos, y reglas orientados a garantizar el nivel de seguridad exigido en este Reglamento.
- Funciones y obligaciones del personal.
- Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan.
- Procedimiento de notificación, gestión y respuesta ante las incidencias.
- Los procedimientos de elaboración de copias de seguridad y de recuperación de datos.
Algunas de las funciones de los responsables de seguridad son:
- Determinar y describir los recursos informáticos a los que se aplicará el Documento de Seguridad.
- Establecer y comprobar la aplicación del procedimiento de notificación, tratamiento y registro de incidencias.
- Establecer y comprobar la aplicación del procedimiento de elaboración de copias de seguridad y recuperación de datos y su periodicidad.
- Elaborar y mantener actualizada la lista de usuarios que tengan acceso autorizado al Sistema Informático, con especificación del nivel de acceso que tiene cada usuario.
- Establecer y comprobar la aplicación de un sistema que limite el acceso de los usuarios únicamente a aquellos datos y recursos que precisen para el desarrollo de sus funciones.
- Establecer los controles periódicos y auditorias necesarias para comprobar el nivel de cumplimiento del documento.
4. Identificar los niveles de seguridad que corresponden a cada fichero.
La LOPD distingue, según los datos personales que se incluyan en el fichero, tres niveles de seguridad, en relación a los cuales establece unas normas mínimas de seguridad que se han de cumplir.
-Existencia de una lista actualizada de usuarios autorizados que tengan acceso autorizado al sistema de información.
-Contraseñas: procedimiento de creación, asignación, conservación y cambio periódico.
-Conocimiento por parte del personal de las normas y medidas de seguridad que les son aplicables.
-Los usuarios tendrán únicamente acceso a los datos/recursos de acuerdo a su puesto laboral y tareas definidas en el documento de seguridad.
- Listado de personal con privilegios administrativos informáticos sobre aplicaciones y ficheros
-Deberán implantarse mecanismos que eviten el acceso no autorizado a otros recursos: establecimiento de perfiles de usuario. Definición en el Documento de Seguridad de las funciones y obligaciones de grupos de usuarios y/o perfiles.
-Trabajo fuera de ubicación principal debe ser expresamente autorizado
- Descripción y estructura informática del Fichero y del sistema informático en el documento de seguridad.
- Identificación, inventariado y almacenamiento de los soportes. Autorización necesaria para salida de soportes.
-Registro de incidencias. Contenido mínimo: tipo de incidencia, momento en que se produce, efectos producidos, persona que comunica, medidas adoptadas
-Copias de Respaldo y Recuperación datos que garanticen la restauración de los datos al momento anterior a producirse la pérdida
-Realización de copias de backup al menos con una frecuencia semanal
-Revisión y actualización del Documento de Seguridad en función de cambios relevantes en la Organización
-En caso de ficheros en soporte papel, además: Control de acceso a la documentación, Medidas de conservación y almacenamiento y Procedimientos y mecanismos de destrucción que impidan posterior recuperación de la información que contienen.
Las medidas mínimas de seguridad que se adoptarán serán las mismas que la de nivel básico, más las siguientes:
-Identificación de usuario, de manera inequívoca y personalizada.
-Limitación de acceso incorrecto reiterado.
-Control de acceso físico a servidores y al centro de procesamiento de datos. Listado de personas con acceso a los mismos.
-Identificación y funciones del/los Responsables de Seguridad.
- Cifrado de soportes en caso de operaciones externas de mantenimiento. Medidas y procedimientos para la destrucción de soportes. Registro de Entrada y salida de Soportes.
- Contenido adicional en el registro de incidencias: Procedimiento de restauración de datos, datos restaurados y datos grabados manualmente.
- Necesaria autorización para la ejecución de procedimientos de restauración de datos.
- Deberá someterse a una Auditoria cada 2 años. Conservación de Informe a disposición AEPD.
Las medidas mínimas de seguridad que se adoptarán serán las mismas que la de nivel básico y nivel medio, más las siguientes:
- De cada acceso al fichero se guardarán: identificación usuario, fecha y hora, fichero accedido, tipo de acceso y su autorización o denegación, guardando la información que permita identificar registro accedido.
-Registro y conservación de accesos lógicos al fichero por un plazo no inferior a 2 años.
- Los mecanismos de acceso estarán bajo el control directo del Responsable de Seguridad, sin que pueda permitirse la desactivación.
- Distribución de soportes con mecanismos de cifrado de datos.
- Almacenamiento externo de copias de seguridad y procedimientos de restauración de datos.
- Revisión periódica de la información de control de los accesos informáticos a ficheros y aplicaciones.
5. Garantizar los derechos de los usuarios.
Los derechos que la LOPD otorga a los usuarios sobre los que se recogen datos de carácter personal, se pueden resumir en cuatro:
6. El acceso a datos por cuenta de terceros
El acceso a datos por cuenta de terceros se da en los supuestos en los que existe una relación jurídica de prestación de servicios entre el Responsable del Fichero y un tercero, por el que éste último presta un servicio que conlleva forzosamente para su realización el acceso, tratamiento y conocimiento de los datos almacenados en un fichero.
En contraste con la cesión de datos, donde el cesionario accede a los datos y los destina a un fin propio, para el acceso a los datos por cuenta de terceros no es necesario recabar el consentimiento del interesado, pero si cumplir con los requisitos que se establezcan en la firma de un contrato de acceso a datos. Los contenidos del contrato fijarán:
- Expresa mención de que dicho acceso a los datos del fichero es necesario para el cumplimiento del objeto contractual.
- Obligaciones del Encargado del Tratamiento: Instrucciones concretas para el acceso y tratamiento de los datos. Medidas de seguridad detalladas que se deberán adoptar e implantar. Se establecerá la prohibición de ceder o comunicar los datos a terceros, ni tan siquiera para su conservación. Se establecerán las condiciones para la devolución o, en su caso destrucción, de los datos así como de los soportes informáticos generados, documentación, etc.., una vez concluida la prestación.
- Determinación de las responsabilidades de las partes:
- Del Responsable del Fichero: asumirá personalmente las infracciones cometidas por el Encargado del Tratamiento cuando éste actúe de acuerdo a las instrucciones y obligaciones fijadas en el contrato.
La LOPD define la cesión de datos como “toda revelación de datos realizada por persona distinta del interesado”. Se establecen dos requisitos iniciales y concurrentes que deberán darse en toda cesión:
- El previo consentimiento informado del interesado. Antes de realizar la cesión se ha de obtener el consentimiento informado del interesado para efectuar la cesión de sus datos, informándole de: Identificación, actividad y dirección del cesionario. La naturaleza de los datos cedidos. Finalidad a la cual se destinarán los datos cedidos.