Conceptos Aplicacion LOPD
Upcoming SlideShare
Loading in...5
×
 

Conceptos Aplicacion LOPD

on

  • 2,502 views

 

Statistics

Views

Total Views
2,502
Views on SlideShare
2,502
Embed Views
0

Actions

Likes
0
Downloads
64
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Conceptos Aplicacion LOPD Conceptos Aplicacion LOPD Document Transcript

    • Conceptos de aplicación de la Ley Protección de Datos Orgánica de Protección de Datos (LOPD) Puntos Fundamentales Actualmente la Protección de Datos de Carácter Personal, en vigor desde el 19 de abril de Personal es una realidad que no pueden dejar de 2008, que viene a determinar y normalizar observar tanto las organizaciones privadas como las medidas de seguridad y las experiencias las públicas. Fruto de esta actualidad es la acumuladas por parte de la Agencia Española publicación el 19 de Enero de 2008 en el BOE de Protección de Datos desde la entrada en del Real Decreto 1720/2007, de 21 de vigor de la Ley Orgánica de Protección de diciembre, por el que se aprueba el Reglamento Datos (LOPD) en el año 1999. de Desarrollo de la Ley Orgánica 15/1999, de 13 Toda organización ha de adecuarse a esta de diciembre, de Protección de Datos de Carácter normativa cumpliendo las exigencias legalmente establecidas.
    • Conceptos de aplicación de la Ley Orgánica de Protección de Datos (LOPD) LEGISLACIÓN APLICABLE La Ley Orgánica de Protección de Datos de Carácter Personal, es de obligado cumplimiento y afecta a cualquier organización que trate Datos de Carácter Personal (DCP). Esta ley deriva de un derecho constitucional: el derecho a la intimidad personal y familiar de todos los ciudadanos. A QUÉ AFECTA LA LEY Además, está vinculada a la siguiente La LOPD es aplicable a los Datos de Carácter legislación: Personal (DCP) registrados en soporte físico, que los haga susceptibles de tratamiento, y a > Ley Orgánica 15/1999, de 13 de toda modalidad de uso posterior de estos Diciembre, de Protección de Datos de datos por los sectores público y privado. Carácter Personal (LOPD). Están excluidos de protección, los ficheros > Real Decreto 1720/2007, de 21 de mantenidos por personas físicas en el diciembre, por el que se aprueba el ejercicio de actividades exclusivamente Reglamento de Desarrollo de la Ley personales o domésticas (e.j.: una agenda Orgánica 15/1999, de 13 de personal no es un fichero sometido a la diciembre, de Protección de Datos de aplicación de esta Ley). Así como los ficheros Carácter Personal, en vigor desde el sometidos a la normativa sobre protección de 19 de Abril de 2008 (RLOPD). materias clasificadas, los ficheros > Directiva 95/46/CE del Parlamento establecidos para la investigación de Europeo y del Consejo, de 24 de terrorismo y de formas graves de delincuencia Octubre de 1995, relativa a la organizada se regirán además por la protección de las personas físicas en legislación específica en cada caso. lo que respecta al tratamiento de datos personales y a la libre ALCANCE DE LA LEGISLACIÓN circulación de datos. Se regirá por la LOPD todo tratamiento de > Instrucciones de la Agencia de datos de carácter personal cuando: Protección de Datos. > Sea efectuado en territorio español en el marco de las actividades desarrolladas por el responsable del fichero. > Si no está establecido en territorio español, le será de aplicación la 2 de 14
    • Conceptos de aplicación de la Ley Orgánica de Protección de Datos (LOPD) legislación española en aplicación de PRINCIPIOS BÁSICOS normas de Derecho Internacional Público. PRINCIPIOS DE PROTECCION DE DATOS > Cuando el responsable de fichero no Los datos de carácter personal sólo se podrán esté establecido en el territorio de la recoger para su tratamiento cuando sean Unión Europea y utilice en el adecuados, pertinentes y no excesivos, en tratamiento de los datos medios relación con el ámbito y las finalidades situados en territorio español, salvo determinadas, explicitas y legitimas para las que tales medios se utilicen que se hayan obtenido. Estos condicionantes únicamente con fines de tránsito. han de ponerse en relación con el caso en concreto. VENTAJAS DE LA ADECUACIÓN A LA LEY ORGÁNICA DE PROTECCIÓN DE Los datos de carácter personal objeto de DATOS tratamiento no podrán usarse para finalidades Además de ser un requisito legal de obligado incompatibles con aquéllas para la que los cumplimiento para toda organización pública datos se hubieran recogido. No se considerará o privada, independientemente de su tamaño incompatible el tratamiento posterior de y actividad, aporta una serie de valores estos con fines históricos, estadísticos o añadidos: científicos. > Mejora de la imagen y proyección Los datos de carácter personal incorporados a comercial dirigida a clientes, un fichero han de responder a la situación proveedores, personal interno, actual, de manera que recojan todas las administraciones públicas y terceros. modificaciones surgidas, y una vez incorporadas responderán a la realidad y han > Mejora la seguridad de los sistemas de ser exactos, de manera que si resultan ser de información propios de la inexactos o incompletos, en todo o en parte, compañía han de ser cancelados o sustituidos de oficio > Sensibilización al personal interno por el responsable del fichero. respecto a la fuga de información y al Cuando se ha cumplido la finalidad para la tratamiento de la misma que se recabaron los datos han de ser > Establece una metodología de cancelados o destruidos, en caso de no ser trabajo que una vez integrada, posible han de ser bloqueados. mejora la gestión del sistema de No serán conservados en forma que permita la información en su conjunto. identificación del interesado durante un periodo superior al necesario para los fines en 3 de 14
    • Conceptos de aplicación de la Ley Orgánica de Protección de Datos (LOPD) base a los cuales hubieran sido recabados o Todas estas advertencias deberán ser registrados. recogidas en aquellos cuestionarios e impresos utilizados para la recogida de los Se prohíbe la recogida de datos por medios datos. fraudulentos, desleales o ilícitos. El tratamiento de los datos de carácter Los interesados a los que se soliciten datos de personal requerirá el consentimiento carácter personal deberán ser previamente inequívoco, es decir, expreso o tácito, del informados de modo expreso, preciso e afectado, salvo que la ley disponga otra cosa. inequívoco: Para los datos especialmente protegidos > De que sus datos van a ser incluidos consentimiento expreso y por escrito dada la en un fichero, de la finalidad de la importancia de los mismos. recogida y de los destinatarios de la No será preciso el consentimiento, cuando los información. datos de carácter personal sean recogidos de > De la obligatoriedad o no de dar esos fuentes accesibles al público, por las datos. Administraciones Públicas, en las relaciones contractuales de una relación comercial, > De las consecuencias de la obtención laboral o administrativa, y en los puntos de los datos o de la negativa a desarrollados en el art, 7.6 de la L.O. 15/99. suministrarlos. > De la posibilidad de ejercer los REQUISITOS LEGALES: derechos de acceso, rectificación, ¿A QUÉ NOS OBLIGA LA LOPD? cancelación y oposición. LA SEGURIDAD DE LOS DATOS > De la identidad y dirección del El Responsable del Fichero y en su caso el responsable del tratamiento o, en su Encargado del Tratamiento, deberán adoptar caso, de su representante para que las medidas de índole jurídica, técnica y los afectados puedan ejercer sus organizativa necesarias que garanticen la derechos. seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado. > Medidas Jurídicas. Disponer de cláusulas de confidencialidad firmadas con los empleados, contratos de prestación de servicio con empresas de servicios como prevención de riesgos laborales, asesoría legal, jurídica, laboral o 4 de 14
    • Conceptos de aplicación de la Ley Orgánica de Protección de Datos (LOPD) fiscal; cláusulas en correos DERECHOS ARCO electrónicos y avisos legales en Aplicables a cualquier persona, con o sin páginas web, informar por escrito a relación con la organización cualquier persona de la recogida de datos en procesos de formación, Derecho de Acceso. Obliga al Responsable de análisis de la satisfacción del cliente Fichero a informar por escrito y disponer de u otros, establecer la señalética un protocolo para dar la información adecuada en procesos de grabación de solicitada en un plazo no superior a 1 mes. imágenes (indicada y regulada por la Derecho de Rectificación y Cancelación. LOPD), etc. Obliga al Responsable de Fichero a informar > Medidas Técnicas. Establecer por escrito al interesado de que se han restricciones de acceso a DCP por cancelado/rectificado sus datos en un plazo parte de los empleados, exigir de 10 días. identificación y mantener registro de Derecho de Oposición. El interesado puede accesos a los DCP, realizar copias de oponerse al tratamiento de sus datos. seguridad, protección de servidores, contratación de programas de antivirus, firewalls u otros, enviar Los requerimientos mínimos en lo que se nóminas cifradas, contraseñas con refiere a las medidas de seguridad vienen caducidad, bloqueo de equipo ante la desarrollados en el Real Decreto 1720/2007, introducción de reiterada de de 21 de diciembre, por el que se aprueba el contraseña errónea, etc. Reglamento de Desarrollo de la LOPD. > Medidas Organizativas. Definir y Tanto el Responsable del Fichero, como el asignar responsabilidades en torno al Encargado de Tratamiento, así como equipo en lo relativo al tratamiento cualquier persona que intervenga en cualquier de DCP, establecer procedimientos de fase del proceso, están obligados al secreto trabajo interno ajustados a los profesional respecto de los mismos y al deber requerimientos legales, formación al de guardarlos, obligaciones que subsistirán personal manteniendo registro de la aun después de finalizar sus relaciones con el misma, registro de entradas y salidas titular del fichero o, en su caso, con el de DCP. Todas estas medidas deben responsable del mismo. estar documentadas por la organización. 5 de 14
    • Conceptos de aplicación de la Ley Orgánica de Protección de Datos (LOPD) NIVELES DE SEGURIDAD APLICABLES competencias. De igual modo, aquellos de los que sean responsables Se establecen tres diferentes niveles de las mutuas de accidentes de trabajo y seguridad, atendiendo a la naturaleza de la enfermedades profesionales de la información tratada, en relación con la mayor Seguridad Social, o menor necesidad de garantizar la confidencialidad y la integridad de la > que contengan un conjunto de datos información, clasificándolos según los tres de carácter personal que ofrezcan una siguientes tipos: definición de las características o de la personalidad de los ciudadanos y Todos los ficheros deberán adoptar las que permitan evaluar determinados medidas de seguridad calificadas de nivel aspectos de la personalidad o del básico. comportamiento de los mismos. Deberán implantarse, además de las medidas Además de las medidas de nivel básico y de seguridad de nivel básico, las medidas de medio, las medidas de nivel alto se aplicarán nivel medio, en los ficheros que contengan en los siguientes ficheros o tratamientos de datos: datos de carácter personal: > relativos a la comisión de infracciones > los que se refieran a datos de administrativas o penales, ideología, afiliación sindical, religión, > cuyo funcionamiento se rija por el creencias, origen racial, salud o vida artículo 29 de la Ley Orgánica sexual, 15/1999, de 13 de diciembre > los que contengan o se refieran a (prestación de servicios de solvencia datos recabados para fines policiales patrimonial y crédito), sin consentimiento de las personas > de los que sean responsables afectadas, Administraciones tributarias y se > que contengan datos derivados de relacionen con el ejercicio de sus actos de violencia de género. potestades tributarias, A los ficheros de los que sean responsables los > de los que sean responsables las operadores que presten servicios de entidades financieras para finalidades comunicaciones electrónicas disponibles al relacionadas con la prestación de público o exploten redes públicas de servicios financieros, comunicaciones electrónicas respecto a los > de los que sean responsables las datos de tráfico y a los datos de localización, Entidades Gestoras y Servicios se aplicarán, además de las medidas de Comunes de la Seguridad Social y se seguridad de nivel básico y medio, la medida relacionen con el ejercicio de sus de seguridad de nivel alto relativa al registro 6 de 14
    • Conceptos de aplicación de la Ley Orgánica de Protección de Datos (LOPD) de accesos (recogida en el artículo 103 del un documento de obligado cumplimiento para RLOPD). el personal: Documento de Seguridad. En caso de ficheros o tratamientos de datos Los ficheros de nivel medio y alto están de ideología, afiliación sindical, religión, obligados, por ley, a una pasar una auditoria, creencias, origen racial, salud o vida sexual interna o externa, bienal. bastará la implantación de las medidas de seguridad de nivel básico cuando: NOTIFICACIÓN DE FICHEROS > Los datos se utilicen con la única Toda entidad que proceda a la creación de finalidad de realizar una transferencia ficheros de datos de carácter personal lo dineraria a las entidades de las que notificará previamente a la Agencia Española los afectados sean asociados o de Protección de Datos, así como todos miembros. aquellos cambios que se produzcan en la finalidad del fichero, en su responsable, en la > Se trate de ficheros o tratamientos no ubicación, etc. automatizados en los que de forma incidental o accesoria se contengan El interesado (titular de los datos de carácter aquellos datos sin guardar relación personal) tendrá derecho a solicitar por con su finalidad. escrito y obtener gratuitamente informacion de sus datos de carácter personal sometidos a También podrán implantarse las medidas de tratamiento, el origen de dichos datos, así seguridad de nivel básico en los ficheros o como las comunicaciones realizadas o que se tratamientos que contengan datos relativos a prevén hacer de los mismos. la salud, referentes exclusivamente al grado de discapacidad o la simple declaración de la La Disposición Adicional primera de la LOPD condición de discapacidad o invalidez del establece que los ficheros y tratamientos afectado, con motivo del cumplimiento de automatizados inscritos o no en el Registro de deberes públicos. la Agencia de Protección de Datos deberán adecuarse a la L.O 15/99 dentro del plazo de Las medidas incluidas en cada uno de los 3 años, a contar de su entrada en vigor. niveles descritos anteriormente tienen la condición de mínimos exigibles, sin perjuicio En el caso de los ficheros y tratamientos no de las disposiciones legales o reglamentarias automatizados el plazo establecido para su específicas vigentes que pudieran resultar de adecuación a la L.O. 15/99 es de 12 años, a aplicación en cada caso o las que por propia contar desde el 24 de Octubre de 1995, fecha iniciativa adoptase el Responsable del en que entra en vigor la Directiva 95/46/CE. Fichero. El responsable del fichero deberá elaborar e implantar la normativa de seguridad mediante 7 de 14
    • Conceptos de aplicación de la Ley Orgánica de Protección de Datos (LOPD) CESIÓN Y TRANSFERENCIA DE DATOS > En este caso la comunicación solo Se entiende por cesión de datos toda será legítima en cuanto se limite a la revelación de datos realizada a una persona finalidad que la justifique. distinta del interesado. > Cuando la comunicación que deba efectuarse tenga por destinatario al Los datos de carácter personal objeto del Defensor del Pueblo, el Ministerio tratamiento solo podrán ser comunicados a un Fiscal o los Jueces o Tribunales o el tercero para el cumplimiento de fines tribunal de Cuentas, en el ejercicio directamente relacionados con las funciones de las funciones que tiene atribuidas. legítimas del cedente y del cesionario con el previo consentimiento del interesado. No será > Cuando la cesión se produzca entre preciso el consentimiento: Administraciones Públicas y tenga por objeto el tratamiento posterior de los > Cuando la cesión está autorizada en datos con fines históricos, estadísticos una ley. o científicos. > Cuando se trata de datos recogidos de > Cuando la cesión de datos de carácter fuentes accesibles al público. personal relativos a la salud sea > Cuando el tratamiento responda a la necesaria para solución ante una libre y legítima aceptación de una urgencia que requiera acceder a un relación jurídica cuyo desarrollo, fichero o para realizar los estudios cumplimiento y control implique epidemiológicos en los términos necesariamente la conexión de dicho establecidos en la legislación sobre tratamiento con ficheros de terceros. sanidad estatal o autonómica. > Cuando los datos han sufrido un procedimiento de disociación no es necesario el consentimiento porque no son datos de carácter personal. No se considerará comunicación de datos el acceso de un tercero cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento. Este tratamiento deberá estar regulado en un contrato escrito. El encargado de tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento y no los utilizará para fines distintos a los que figuren 8 de 14
    • Conceptos de aplicación de la Ley Orgánica de Protección de Datos (LOPD) en el contrato. Una vez cumplida la No podrán realizarse transferencias prestación contractual, los datos de carácter temporales ni definitivas de datos de carácter personal deberán ser destruidos o devueltos personal que hayan sido objeto de al responsable del tratamiento. El servicio tratamiento o hayan sido recogidos para prestado por el encargado del tratamiento someterlos a dicho tratamiento con destino a podrá tener o no carácter remunerado y ser países que no proporcionen el nivel de temporal o indefinido. protección que presta la LOPD. El encargado de tratamiento tendrá la misma La Orden de 2 de Febrero de 1995, del responsabilidad que el responsable del fichero Ministerio de Justicia e Interior, establece la si los comunica o utiliza incumpliendo las relación de países con protección de datos de estipulaciones del contrato. carácter personal equiparable a la española, a efectos de transferencia internacional de Cuando el Responsable del Tratamiento datos. contrate la prestación de un servicio que comporte un tratamiento de datos personales La adecuación del nivel de protección que deberá velar por que el Encargado del ofrece el país de destino lo evaluará la AEPD Tratamiento reúna las garantías para el atendiendo a la naturaleza de los datos, la cumplimiento de lo dispuesto en este finalidad y la duración del tratamiento o de Reglamento. los tratamientos previstos, el país de origen y el país de destino, las normas de derecho El Encargado del Tratamiento no podrá vigentes en el país tercero de que se trate, el subcontratar con un tercero la realización de contenido de los informes de la Comisión de ningún tratamiento que le hubiera la Unión Europea, así como las normas encomendado el Responsable del profesionales y las medidas de seguridad en Tratamiento, salvo que hubiera obtenido de vigor en dichos países. éste autorización para ello. En este caso, la contratación se efectuará siempre en nombre La transferencia de datos a países que no y por cuenta del Responsable del tengan un nivel de seguridad equivalente al Tratamiento. español está prohibida, salvo que lo autorice el Director de la AEPD. TRANSFERENCIAS INTERNACIONALES Se define transferencia internacional de datos como el transporte de datos entre sistemas informáticos por cualquier medio de transporte, así como de datos por correo o por cualquier otro medio convencional. 9 de 14
    • Conceptos de aplicación de la Ley Orgánica de Protección de Datos (LOPD) INFRACCIONES Y SANCIONES > Mantener datos inexactos o no efectuar las rectificaciones exigidas TIPOS DE INFRACCIONES > Tratar los datos violando los principios El incumplimiento de la legislación vigente, y garantías de la LOPD en materia de protección de datos de > Tratar datos especialmente carácter personal, conlleva la imposición de protegidos sin la autorización del sanciones por parte de la Agencia Española de afectado Protección de Datos, que son aplicables a empresas de cualquier tamaño, desde > No remitir a la AEPD las notificaciones pequeñas empresas o pymes, hasta grandes previstas en la LOPD empresas. > Mantener ficheros sin las debidas condiciones de seguridad Infracciones leves Dentro de la propia Ley se especifican tanto Multa entre 601,01 € y 60.101,21 € el tipo de acción sancionable como los > No solicitar la inscripción en la importes que pueden ser aplicados a las Agencia Española de Protección de organizaciones que incumplan la ley. Datos (AEPD) Infracciones muy graves > Recabar datos sin proporcionar la Multa entre 300.506, 05 € y 601.012,1 € información previa exigida > No atender las solicitudes de > Crear ficheros para almacenar rectificación o cancelación información que revele datos especialmente protegidos > No proporcionar información a la AEPD cuando sea requerida > Recogida de datos de forma engañosa o fraudulenta Infracciones graves > Recabar datos especialmente Multa entre 60.101,21 € y 300.506, 05 € protegidos sin la autorización del > No inscribir los ficheros a petición de afectado la AEPD > No atender u obstaculizar de forma > Crear ficheros con finalidades sistemática las solicitudes de distintas a las de constitución rectificación o cancelación > Recabar datos de carácter personal > Vulnerar el secreto sobre datos sin la autorización del afectado especialmente protegidos > Evitar el acceso a los ficheros 10 de 14
    • Conceptos de aplicación de la Ley Orgánica de Protección de Datos (LOPD) > La comunicación o cesión de datos revelación a una persona distinta del cuando no esté autorizada interesado. > No cesar en el uso ilegítimo a petición Consentimiento del interesado: Toda de la AEPD manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el > Tratar los datos de forma ilegítima o interesado consienta el tratamiento de datos con menosprecio de principios y personales que le conciernen. garantías que les sean de aplicación Dato disociado: aquél que no permite la > No atender de forma sistemática a los identificación de un afectado o interesado. requerimientos de la AEPD Datos de carácter personal: Cualquier > Transferencia temporal o definitiva información numérica, alfabética, gráfica, de datos de carácter personal con fotográfica, acústica o de cualquier otro tipo destino a países sin niveles de concerniente a personas físicas identificadas o protección equiparables, o sin identificables. autorización Datos de carácter personal relacionados con la salud: las informaciones concernientes a la GLOSARIO salud pasada, presente y futura, física o mental, de un individuo. En particular, se Afectado o interesado: Persona física titular consideran datos relacionados con la salud de de los datos que sean objeto del tratamiento. las personas los referidos a su porcentaje de discapacidad y a su información genética. Cancelación: Procedimiento en virtud del cual el responsable cesa en el uso de los Destinatario o cesionario: la persona física o datos. La cancelación implicará el bloqueo de jurídica, pública o privada u órgano los datos, consistente en la identificación y administrativo, al que se revelen los datos. reserva de los mismos con el fin de impedir su Podrán ser también destinatarios los entes sin tratamiento excepto para su puesta a personalidad jurídica que actúen en el tráfico disposición de las Administraciones públicas, como sujetos diferenciados. Jueces y Tribunales, para la atención de las Encargado del tratamiento: La persona física posibles responsabilidades nacidas del o jurídica, pública o privada, u órgano tratamiento y sólo durante el plazo de administrativo que, solo o conjuntamente con prescripción de dichas responsabilidades. otros, trate datos personales por cuenta del Transcurrido ese plazo deberá procederse a la responsable del tratamiento o del responsable supresión de los datos. del fichero, como consecuencia de la Cesión o comunicación de datos: existencia de una relación jurídica que le Tratamiento de datos que supone su vincula con el mismo y delimita el ámbito de 11 de 14
    • Conceptos de aplicación de la Ley Orgánica de Protección de Datos (LOPD) su actuación para la prestación de un servicio. organismos vinculados o dependientes de las Podrán ser también encargados del mismas y las Corporaciones de derecho tratamiento los entes sin personalidad público siempre que su finalidad sea el jurídica que actúen en el tráfico como sujetos ejercicio de potestades de derecho público. diferenciados. Fichero no automatizado: todo conjunto de Exportador de datos personales: la persona datos de carácter personal organizado de física o jurídica, pública o privada, u órgano forma no automatizada y estructurado administrativo situado en territorio español conforme a criterios específicos relativos a que realice, conforme a lo dispuesto en el personas físicas, que permitan acceder sin presente Reglamento, una transferencia de esfuerzos desproporcionados a sus datos datos de carácter personal a un país tercero. personales, ya sea aquél centralizado, descentralizado o repartido de forma Fichero: Todo conjunto organizado de datos funcional o geográfica. de carácter personal, que permita el acceso a los datos con arreglo a criterios Importador de datos personales: la persona determinados, cualquiera que fuere la forma física o jurídica, pública o privada, u órgano o modalidad de su creación, almacenamiento, administrativo receptor de los datos en caso organización y acceso. de transferencia internacional de los mismos a un tercer país, ya sea responsable del Ficheros de titularidad privada: los ficheros tratamiento, encargada del tratamiento o de los que sean responsables las personas, tercero. empresas o entidades de derecho privado, con independencia de quien ostente la Persona identificable: toda persona cuya titularidad de su capital o de la procedencia identidad pueda determinarse, directa o de sus recursos económicos, así como los indirectamente, mediante cualquier ficheros de los que sean responsables las información referida a su identidad física, corporaciones de derecho público, en cuanto fisiológica, psíquica, económica, cultural o dichos ficheros no se encuentren social. Una persona física no se considerará estrictamente vinculados al ejercicio de identificable si dicha identificación requiere potestades de derecho público que a las plazos o actividades desproporcionados. mismas atribuye su normativa específica. Procedimiento de disociación: Todo Ficheros de titularidad pública: los ficheros tratamiento de datos personales que permita de los que sean responsables los órganos la obtención de datos disociados. constitucionales o con relevancia Responsable del fichero o del tratamiento: constitucional del Estado o las instituciones Persona física o jurídica, de naturaleza autonómicas con funciones análogas a los pública o privada, u órgano administrativo, mismos, las Administraciones públicas que sólo o conjuntamente con otros decida territoriales, así como las entidades u 12 de 14
    • Conceptos de aplicación de la Ley Orgánica de Protección de Datos (LOPD) sobre la finalidad, contenido y uso del En particular, en relación con lo dispuesto en tratamiento, aunque no lo realizase el título VIII del Real Decreto 1720/2007, de materialmente. Podrán ser también las medidas de seguridad en el tratamiento de responsables del fichero o del tratamiento los datos de carácter personal, se entenderá por: entes sin personalidad jurídica que actúen en Accesos autorizados: autorizaciones el tráfico como sujetos diferenciados. concedidas a un usuario para la utilización de Tercero: la persona física o jurídica, pública los diversos recursos. En su caso, incluirán las o privada u órgano administrativo distinta del autorizaciones o funciones que tenga afectado o interesado, del responsable del atribuidas un usuario por delegación del tratamiento, del responsable del fichero, del responsable del fichero o tratamiento o del encargado del tratamiento y de las personas responsable de seguridad. autorizadas para tratar los datos bajo la Autenticación: procedimiento de autoridad directa del responsable del comprobación de la identidad de un usuario. tratamiento o del encargado del tratamiento. Podrán ser también terceros los entes sin Contraseña: información confidencial, personalidad jurídica que actúen en el tráfico frecuentemente constituida por una cadena como sujetos diferenciados. de caracteres, que puede ser usada en la autenticación de un usuario o en el acceso a Transferencia internacional de datos: un recurso. Tratamiento de datos que supone una transmisión de los mismos fuera del territorio Control de acceso: mecanismo que en del Espacio Económico Europeo, bien función de la identificación ya autenticada constituya una cesión o comunicación de permite acceder a datos o recursos. datos, bien tenga por objeto la realización de Copia de respaldo: copia de los datos de un un tratamiento de datos por cuenta del fichero automatizado en un soporte que responsable del fichero establecido en posibilite su recuperación. territorio español. Documento: todo escrito, gráfico, sonido, Tratamiento de datos: cualquier operación o imagen o cualquier otra clase de información procedimiento técnico, sea o no que puede ser tratada en un sistema de automatizado, que permita la recogida, información como una unidad diferenciada. grabación, conservación, elaboración, modificación, consulta, utilización, Ficheros temporales: ficheros de trabajo modificación, cancelación, bloqueo o creados por usuarios o procesos que son supresión, así como las cesiones de datos que necesarios para un tratamiento ocasional o resulten de comunicaciones, consultas, como paso intermedio durante la realización interconexiones y transferencias. de un tratamiento. 13 de 14
    • Conceptos de aplicación de la Ley Orgánica de Protección de Datos (LOPD) Identificación: procedimiento de coordinar y controlar las medidas de reconocimiento de la identidad de un usuario. seguridad aplicables. Incidencia: cualquier anomalía que afecte o Sistema de información: conjunto de pudiera afectar a la seguridad de los datos. ficheros, tratamientos, programas, soportes y en su caso, equipos empleados para el Perfil de usuario: accesos autorizados a un tratamiento de datos de carácter personal. grupo de usuarios. Sistema de tratamiento: modo en que se Recurso: cualquier parte componente de un organiza o utiliza un sistema de información. sistema de información. Atendiendo al sistema de tratamiento, los Responsable de seguridad: persona o sistemas de información podrán ser personas a las que el responsable del fichero automatizados, no automatizados o ha asignado formalmente la función de parcialmente automatizados. Soporte: objeto físico que almacena o Tratamiento de datos: Operaciones y contiene datos o documentos, u objeto procedimientos técnicos de carácter susceptible de ser tratado en un sistema de automatizado o no, que permitan la recogida, información y sobre el cual se pueden grabar grabación, conservación, elaboración, y recuperar datos. modificación, bloqueo y cancelación, así Transmisión de documentos: cualquier como las cesiones de datos que resulten de traslado, comunicación, envío, entrega o comunicaciones, consultas, interconexiones y divulgación de la información contenida en el transferencias. mismo. Usuario: sujeto o proceso autorizado para acceder a datos o recursos. Tendrán la consideración de usuarios los procesos que permitan acceder a datos o recursos sin identificación de un usuario físico. ascêndia reingeniería + consultoría colabora con las siguientes Organizaciones Instituto Nacional de Asociación Española Socios de Socio fundador del Tecnologías de la para el Fomento de Asociación comité de Andalucía de Información la Seguridad de la Andaluza de ITSMF (Information Información Comercio Technology Service Electrónico Management Forum) www.inteco.es www.ismsforum.es www.andce.es www.itsmf.es www.ascendiarc.com - info@ascendiarc.com 14 de 14 Avda. Padre García Tejero, 6, Torre B, Local. 41012 – Sevilla T. 954 298 201 - 902 111 024 F. 954 629 674