• No se han encontrado resultados

Tema 49. Legislación referente a la protección de datos. RD 1720/2007. La agencia de protección de datos.

N/A
N/A
Info
Descargar
Protected

Academic year: 2021

Share "Tema 49. Legislación referente a la protección de datos. RD 1720/2007. La agencia de protección de datos."

Copied!
10
0
0

Cargando.... (Ver texto completo ahora)

Descargar ahora ( 10 página )

Texto completo

(1)

Tema 49

. Legislación referente a la protección de datos.

RD 1720/2007. La agencia de protección de datos.

Esquema

Introducción ... 2

Ley Orgánica de Protección de datos (LOPD) ... 2

Definiciones de conceptos dentro de la Ley ... 2

Derechos de los ciudadanos ... 3

Ficheros de titularidad pública ... 4

Ficheros de titularidad privada ... 4

Real Decreto 1720/2007 ... 6

El documento de seguridad ... 6

Niveles de seguridad ... 7

Nivel de seguridad básico ... 8

Nivel de seguridad medio ... 8

Nivel de seguridad alto ... 9

Medidas exclusivas para documentos no automatizados ... 9

(2)

Introducción

La Constitución Española reconoce, en su artículo 18, como un derecho fundamental de las personas el derecho al honor, a la intimidad personal y familiar. En ese mismo artículo, establece que una ley regulará el uso de la informática para garantizar estos derechos.

La primera ley reguladora fue la Ley Orgánica 5/1992 “Ley Reguladora del Tratamiento Automático de Datos” –LORTAD-.

La Ley Orgánica del 15/1999 “Ley Orgánica de Protección de Datos” –LOPD- , deroga la anterior. Se redactó esta nueva Ley por imposición de una Directiva de la Unión Europea, con objeto de homogeneizar la legislación de protección de datos de toda la Unión Europea.

Ley Orgánica de Protección de datos (LOPD)

El objeto de la Ley es garantizar y proteger, en lo concerniente al tratamiento automático de datos, las libertades públicas y los derechos fundamentales de las personas físicas, especialmente, su honor e intimidad personal y familiar.

La Ley tiene como ámbito de aplicación los datos de carácter personal registrados en un soporte físico, susceptibles de tratamiento y a todo uso posterior de esos datos.

La Ley es aplicable al sector público y privado, aunque establece unas disposiciones diferentes para cada sector.

La LOPD se aplica cuando:

o El tratamiento de los datos sea en territorio español.

o El responsable del tratamiento de los datos le sea aplicable la legislación española.

o Los medios para el tratamiento estén situados en territorio español, salvo que los medios sólo realicen el tránsito de los datos.

Y tienen como excepciones:

o Los datos personales regulados por un legislación específica, como por ejemplo, los datos del régimen electoral.

o Los datos personales mantenidos por personas físicas para un uso personal o doméstico.

o Los ficheros de materias clasificadas para la investigación de grupos terroristas o delincuencia organizada.

Definiciones de conceptos dentro de la Ley

Se entiende como dato de carácter personal, toda la información sobre una persona física identificada o identificable. Esta información puede ser numérica, textual, de imágenes, sonido o cualquier otra susceptible de ser recogida y tratada. Por ejemplo: las imágenes de cámara de seguridad de un edificio.

(3)

Un fichero es todo conjunto organizado de datos de carácter personal, cualquiera sea la forma de su creación, almacenamiento, organización y acceso.

El tratamiento de datos son las operaciones, de carácter automatizado o no, que permiten la recogida, almacenamiento y modificación de los datos, así como las consultas y transferencias.

El responsable del fichero o del tratamiento es la persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decide sobre la finalidad, contenido y uso de los datos personales.

El encargado del tratamiento es la persona física o jurídica, órgano administrativo... que solo o conjuntamente con otros, trate datos personales por cuenta del responsable de l tratamiento.

Tanto el responsable de fichero o tratamiento como los encargados de su tratamiento están obligados a guardar secreto profesional respecto a los mismos.

Derechos de los ciudadanos

La LOPD establece una serie de derechos a los ciudadanos respectos a sus datos personales. Los más significativos son:

1. Principio de consentimiento: Se exige el consentimiento inequívoco del afectado para el tratamiento o la comunicación de sus datos a terceros. Como excepción a este derecho hay, entre otros, los casos en que los datos se recojan de fuentes públicas o se recojan para las funciones propias de la administración pública. 2. Derecho de acceso, el interesado tiene derecho a solicitar y obtener

gratuitamente información de sus datos de carácter personal sometidos a tratamiento: Conocer su origen así como las comunicaciones realizadas o que se prevean hacer.

Podrá ejercer este derecho una vez cada 12 meses, salvo que el interesado acredite un interés legítimo, en cuyo caso podrá ejercitarlo antes.

3. Derecho de rectificación y cancelación: El responsable del tratamiento tiene la obligación de hacer efectivo este derecho en un plazo de 10 días. Cuando los datos sean incorrectos o incompletos, deben ser rectificados o cancelados de oficio.

4. Derecho de oposición: En los casos que no sea necesario el consentimiento del interesado para tratar sus datos, éste puede oponerse a su tratamiento cuando existan motivos fundados y legítimos.

5. Derecho de información: Cuando los datos sean obtenidos del propio interesado, deberá ser informado de modo expreso, preciso e inequívoco de:

• La existencia del fichero o tratamiento de datos personales, de la finalidad de la recogida y de los destinatarios de la información.

• El carácter obligatorio u opcional de la recogida de datos.

• Los derechos que tiene el interesado respecto a sus datos

• La identidad y dirección del responsable del tratamiento.

6. Cesión de datos: Se entiende como cesión de datos, toda revelación de datos realizada a una persona distinta al interesado. La cesión sólo está autorizada si el interesado da su consentimiento previo y que el fin de la cesión esté relacionado

(4)

Este derecho tiene las mismas excepciones que en el principio de consentimiento.

La transferencia de datos internacionales sólo puede hacerse a países con un nivel de protección equivalente al español. Estos países son: los países de la UE y del espacio económico europeo, EEUU, Canada, etc.

Datos especialmente protegidos

La Constitución española establece, en su artículo 16, que nadie podrá ser obligado a declarar sobre su ideología, religión o creencias. Cuando los datos de carácter personal a recopilar sean de estas materias, se obliga a informar al interesado sobre su derecho a no dar esta información y sólo con el consentimiento expreso y por escrito se podrá realizar el tratamiento de dichos datos.

Las entidades religiosas, partido políticos, sindicatos... quedan exceptuados de estas disposiciones, en lo referente a los datos de sus miembros.

Los datos sobre la vida sexual, salud u origen racial sólo podrán ser recopilados y tratados, en caso de interés general, siempre que así lo disponga una Ley o el afectado haya dado su consentimiento expreso. Como excepción a esta disposición, está el tratamiento de estos datos, cuando el tratamiento se realice con finalidades sanitarias por parte de personal sujeto a secreto profesional.

Ficheros de titularidad pública

La creación, modificación o supresión de ficheros de las Administraciones públicas sólo podrán hacerse por medio de disposición general publicada en el BOE o diario oficial correspondiente.

La disposición deberá indicar la finalidad y usos previstos en el mismo, las personas o colectivos sobre los que se quiera recopilar datos, las obligatoriedad de los mismos, el procedimiento de recogida, la estructura básica del fichero, el órgano responsable del fichero, el nivel de seguridad del fichero...

La comunicación de los datos recogidos por la Administración Pública con una finalidad concreta, no podrá ser cedido a otra Administración Pública para el ejercicio de competencias diferentes, salvo que su finalidad sea obtener información estadística, histórica o científica.

La comunicación de datos recogidos de fuentes públicas no podrá efectuarse a ficheros de titularidad privada, salvo consentimiento del interesado o cuando una Ley lo autorice.

Los ficheros de las fuerzas y cuerpos de Seguridad, para la defensa del estado y de la Hacienda pública tendrán limitados los derechos de acceso, rectificación y cancelación.

Ficheros de titularidad privada

La creación, modificación o supresión de ficheros de titularidad privada con datos de carácter personal, deberá ser notificado de forma previa a la Agencia de Protección de Datos.

El responsable de los datos, en el momento que se realice la recopilación de los mismos, deberá informar de ello a los interesados, así como de la naturaleza de los mismos, finalidad del fichero y del nombre y dirección del responsable del fichero.

(5)

Las entidades privadas tienen derecho a acceder a las fuentes de datos de acceso público, con las siguientes limitaciones:

• Los datos personales de listas de personas pertenecientes a grupos profesionales, por ejemplo un colegio profesional, deberán limitarse a los estrictamente necesarios para cumplir su finalidad, cualquier ampliación de datos deberá ser consentida por el interesado.

• Los datos de Colegios profesionales podrán ser utilizados con fines promociónales o publicitarios. El responsable de datos deberá obligatoriamente informar, de forma gratuita, a los colegiados de su derecho a que sus datos no sean utilizados para esos fines.

• Las fuentes de acceso público que se editen en soporte físico, pierden el carácter de fuente de acceso público al editarse una nueva edición de las mismas.

• Las fuentes de acceso público que se editen en formato electrónico, está perderá el carácter de público en el plazo de un año, contado desde la fecha de su obtención.

Los servicios de información sobre solvencia patrimonial o crédito y los ficheros con fines de publicidad y de prospección comercial tienen disposiciones específicas que los regulan.

(6)

Real Decreto 1720/2007

El RD 1720/2007 es el reglamento ejecutivo que desarrolla la Ley 15/1999 Ley Orgánica de Protección de Datos.

Su objeto es establecer las medidas, de índole técnica y organizativa, necesarias para garantizar la seguridad que deben reunir los ficheros, los centros de tratamientos, los locales, equipos, programas y personas que intervengan en el tratamiento de los datos de carácter personal.

Este RD deroga completamente el anterior reglamento, el RD 994/1999 “Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal”. El nuevo reglamento aclara cuales son los ficheros excluidos y amplía el ámbito de aplicación a los ficheros no automatizados.

Este reglamento excluye de su aplicación de forma explicita a los siguientes ficheros: 1. Los ficheros que contengan datos de personas jurídicas.

2. Los ficheros de personas físicas que presten sus servicios al responsable del tratamiento, cuando contengan solamente el nombre, apellidos, cargo o funciones desempeñadas y datos de contacto.

3. Los ficheros de empresarios individuales cuando hagan referencia a sus actividades comerciales o industriales.

4. Los ficheros con datos de fallecidos, aunque sus descendientes podrán solicitar la cancelación de los datos.

El documento de seguridad

El reglamento establece que el responsable del fichero o tratamiento elaborará un documento de seguridad que recogerá las medidas de índole técnica y organizativa acordes a la normativa de seguridad vigente que será de obligado cumplimiento para el personal con acceso a los sistemas de información.

El documento de seguridad puede ser único para toda la organización o tener un documento para cada fichero o grupo de ficheros.

El documento de seguridad debe incluir como mínimo:

1. El ámbito de aplicación del documento con especificación detallada de los recursos protegidos.

2. Las medidas, las normas, los procedimientos y los estándares encaminados a garantizar el nivel de seguridad exigido en este reglamento.

3. Funciones y obligaciones del personal . Las funciones de cada persona con acceso a los datos, deben estar claramente definidas. Identificar al responsable del fichero.

4. Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan.

5. Procedimientos de copias de seguridad y recuperación de datos.

En el caso de existir tratamiento de datos por terceros, el documento deberá contener información sobre los ficheros afectados, tipo de tratamiento, condiciones del encargo y vigencia del mismo. En todo caso, siempre se deberá cumplir con lo dispuesto en el reglamento.

(7)

El documento de seguridad siempre tiene que estar actualizado y revisado cuando haya cambios significativos en los sistemas de información.

Niveles de seguridad

Las medidas de seguridad exigibles se clasifican en tres niveles: básico, medio y alto. Dichos niveles se establecen atendiendo a la naturaleza de la información tratada, en relación con la mayor o menor necesidad de garantizar la confidencialidad y la integridad de la información.

El reglamento establece para cada nivel las medidas de seguridad a cumplir y, además, debe cumplir las de nivel inferior a él.

Los niveles de seguridad son:

Básico: Comprende las medidas de seguridad que deben adoptar todos los ficheros con datos de carácter personal.

Medio: Medidas de seguridad para ficheros con datos de: o infracciones administrativas o penales.

o Ficheros económicos de la hacienda pública o entidades financieras, o Ficheros con datos de solvencia económica y

o Ficheros con datos que permitan evaluar la personalidad o el comportamiento.

Alto: Se clasificarán en nivel alto los ficheros con :

o Ideología, religión, creencias, origen racial, salud o vida sexual.

o Ficheros con datos policiales recabados sin el consentimiento de los interesados.

o Ficheros con datos derivados de la violencia de género.

Las medidas de seguridad exigibles a los accesos a datos de carácter personal a través de redes de comunicaciones, a los ficheros temporales y al tratamiento de los datos en una ubicación diferente a donde se almacenan, deberán garantizar un nivel de seguridad equivalente al correspondiente al nivel del fichero que se trate.

Excepciones a la clasificación:

 Cuando los datos pertenezcan a operadoras de telecomunicaciones con servicios públicos, los datos de localización y tráfico se clasificarán siempre como nivel alto.

 Los ficheros con datos de ideologías, salud, creencias… se clasificaran como nivel básico cuando sean utilizados para transferencias económicas a entidades en que los afectados sean socios.

 Los ficheros con datos de simple declaración de discapacidad o nivel de invalidez que sean tratados por entidades públicas tendrán nivel básico.

(8)

Nivel de seguridad básico

Las medidas y procedimientos de seguridad necesarios para un nivel básico de seguridad deben permitir:

Identificar y autentificar los accesos autorizados: Se deben tener una relación de usuarios autorizados a acceder a los datos y un mecanismo para identificarlos y autentificar su identidad de forma personalizada. En caso de usar mecanismos de contraseña. Esta debe cambiar periódicamente (mínimo un año).

Registro de incidencias: Se debe mantener un registro donde se haga constar las incidencias con los detalles de cuándo se produjo, el tipo de incidencia, el personal involucrado y las consecuencias.

Garantizar la integridad y confiabilidad de los datos: Se realizarán copias de seguridad y habrá un procedimiento de recuperación de datos. Las copias se harán semanalmente.

Controlar el acceso a los recursos por los usuarios. Se debe disponer de medidas para que los usuarios sólo puedan acceder a los recursos que tienen autorizados. Debe existir un listado que establezca la relación entre los usuarios, los perfiles de usuario y los recursos a los que tienen acceso.

Gestión de soportes y documentos: Los soportes y documentos que contengan datos de carácter personal, deben ser identificados y almacenarse en un lugar de acceso restringido. Deben ser destruidos cuando ya no sean necesarios.

 Se evitarán pruebas con datos reales, en caso necesario se realizarán con las mismas medidas de seguridad que necesita el sistema en productivo.

 Las comunicaciones de datos deberán cumplir con el nivel de seguridad equivalente a su naturaleza.

Nivel de seguridad medio

Añade a las medidas del nivel de seguridad básico, las siguientes características:

 Se identifica un o varios responsables de seguridad del fichero. Encargados de coordinar y controlar las medidas establecidas por el documento de seguridad.

 El control de acceso a los sistemas debe hacerse de forma personalizada, con un número máximo de intentos.

 Debe haber un control físico a los locales donde se ubiquen los sistemas de información que almacenen o traten datos de carácter personal. Se identificará al personal que acceda a la sala con los SI.

 Se creará un registro de entrada y salida de soportes y documentos. Se establecerá un sistema de registro que anote todos los soportes o documentos con datos personales que entren y salgan. El registro deberá incluir: el tipo de soporte, datos que contiene, forma de entrada o salida, responsable del mismo...

 Se realizarán auditorías, tanto internas como externas, de forma bianual para verificar el correcto cumplimiento de los procedimientos. El informe de auditoría debe dictaminar sobre la adecuación de las medidas y controles al presente Reglamento, identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias.

 El proceso de recuperación de datos. La restauración de datos, tras una incidencia, deberá ser autorizada por el responsable del fichero.

(9)

Nivel de seguridad alto

Añade las siguientes medidas:

 Se debe cifrar los datos en la distribución en soportes, de forma que se garantice que dicha información no sea accesible ni modificada por personas no autorizadas.

Registro de acceso: Para cada acceso o intento de acceso hay que almacenar: usuario, fecha y hora, fichero, tipo de acceso (autorizado o no) y registros accedidos. La información se debe almacenar durante dos años. Anualmente, el responsable de seguridad analizará el registro de acceso y enviará un informe mensual al responsable del fichero.

 Las copias de seguridad deben almacenarse en una ubicación diferente a los equipos informáticos. La información debe estar cifrada y se deben disponer de los mecanismos necesarios para poder recuperar la información de la forma más rápida posible.

 Las telecomunicaciones deben estar cifradas para asegurar la confidencialidad e integridad de los datos.

Medidas exclusivas para documentos no automatizados

El Real Decreto también tiene en cuenta los datos personales almacenados en documentos no automatizados, por ejemplo: Archivadores de documentos en papel. Los documentos no automatizados están sujetos a los mismos requisitos que los automatizados. Impone una serie de requisitos particulares por su naturaleza diferente, que son

A nivel básico:

 Los documentos deben archivarse según un criterio que garantice su conservación, consulta y el ejercicio de los derechos de oposición, acceso, rectificación y cancelación.

 Los dispositivos de almacenamiento deben disponer de mecanismos que obstaculicen su apertura o se debe impedir el acceso a personas no autorizadas.

 Los documentos que no estén archivados, al estar en tramitación. Estarán custodiados por la persona que los tramite.

A nivel medio. Sin requisitos especiales. A nivel alto:

 Los documentos deben estar almacenados en ubicaciones cerradas bajo llave o similar. Sólo estarán abiertas cuando se acceda al documento.

 La copia debe realizar por personal autorizado. Las copias tras usarse deben ser destruidas.

 El acceso a los documentos debe estar autorizado y debe quedar registrado.

 El traslado de documentación debe hacerse de forma que no sea posible el acceso a los documentos durante su traslado.

(10)

La Agencia de Protección de datos

Fue creada por la antigua Ley LORTAD, con el fin de garantizar el cumplimiento de la legislación en materia de protección de datos.

Es un ente de Derecho público que actúa con plena independencia de las Administraciones públicas en el ejercicio de sus funciones y se relaciona con el Gobierno a través del Ministerio de Justicia.

El personal de la Agencia está obligado a guardar secreto respecto a los datos de carácter personal que conozca n el desarrollo de sus funciones.

Las funciones principales de la Agencia de protección de datos son:

 Velar por el cumplimiento de la legislación sobre la protección de datos personales, sobre todo a la protección de los derechos de los ciudadanos de información, acceso, rectificación y cancelación a sus datos personales.

 Atender las peticiones y reclamaciones formuladas por las personas afectadas.

 Proporcionar información a las personas sobre sus derechos y dar publicidad a los ficheros automatizados. El catálogo de ficheros está publicado en la web:

www.agenciadeprotecciondedatos.es.

 Ejercer la potestad de inspección para comprobar que los ficheros declarados cumplen los requisitos y ejercer la potestad sancionadora en los términos previstos en la Ley 15/1999 LOPD.

 Ejercer el control y autorización de la comunicaciones internacionales de datos personales.

 Informar, de forma preceptiva, los proyectos de disposiciones generales que desarrollen la LOPD.

La Agencia se compone de:

 Un Director, que dirige y representa la Agencia. Sus actos se consideran actos de la Agencia.

 Un Consejo Consultivo. Que asesora al Director.

 Un Registro General de Protección de datos, en el cual se inscribirán los ficheros que contenga datos de carácter personal, tanto de titularidad pública como privada.

Los actos dictados por la Agencia en el ejercicio de sus funciones agotan la vía administrativa, por lo que sólo pueden ser recurridos de forma potestativa por vía administrativa o directamente por vía judicial (recurso contencioso-administrativo). Parte de las competencias de la Agencia Estatal de protección de datos se pueden traspasar a las CCAA, de esta forma se han creado la Agencias de protección de datos de la Comunidad Autónoma de Madrid y de Cataluña.

Referencias

Descargar ahora ( PDF - 10 página - 204.10 KB )

Documento similar

guía de registro

You may wish to take a note of your Organisation ID, which, in addition to the organisation name, can be used to search for an organisation you will need to affiliate with when you

Introducción

Where possible, the EU IG and more specifically the data fields and associated business rules present in Chapter 2 –Data elements for the electronic submission of information

Capítulo 1

The 'On-boarding of users to Substance, Product, Organisation and Referentials (SPOR) data services' document must be considered the reference guidance, as this document includes the

Capítulo 2

In medicinal products containing more than one manufactured item (e.g., contraceptive having different strengths and fixed dose combination as part of the same medicinal

Capítulo 7

Products Management Services (PMS) - Implementation of International Organization for Standardization (ISO) standards for the identification of medicinal products (IDMP) in

Anexo I

Products Management Services (PMS) - Implementation of International Organization for Standardization (ISO) standards for the identification of medicinal products (IDMP) in

Capítulo 8

This section provides guidance with examples on encoding medicinal product packaging information, together with the relationship between Pack Size, Package Item (container)

Anexo

Package Item (Container) Type : Vial (100000073563) Quantity Operator: equal to (100000000049) Package Item (Container) Quantity : 1 Material : Glass type I (200000003204)