Ley organica de proteccion de datos

518 views
456 views

Published on

RYG7Y8UJ8UJ

Published in: Education
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
518
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
6
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Ley organica de proteccion de datos

  1. 1. LEY ORGANICA DE PROTECCION DE DATOSAl tratarse de una ley es de obligado cumplimiento, y por eso las empresas yautónomos deben conocer las implicaciones de la misma.En caso de duda, lo mejor es contactar con un especialista, el asesor jurídico deFMG es D. José Luis Erviti. Tel. 943425557.¿A quienes afecta a LOPD?A empresarios y autónomos que tengan en su comercio en un formulario, o dealguna otra forma, datos personales que permitan identificar a una persona directao indirectamente. En estos casos tendremos que gestionar esos datos. Ejemplo: • Nombre • Apellidos • Fecha nacimiento • Dirección postal • Dirección correo electrónico • Número de teléfono • NIF, huella digital, número de Seguridad Social • FotografíaEn estos casos, se están tratando datos personales y se deben cumplir lasobligaciones de la LOPD.Se exceptúan aquellos casos en los que el uso de los datos sea para unaactividad personal o doméstica (Ej: agenda personal)Obligación de informarCuando se piden los datos personales se debe informar a los afectados,indicándoles: • Para qué se utilizarán los datos • Informando del fichero y de sus tratamientos • Indicando el responsable del fichero y su dirección o la de su representante. • Los destinatarios de la información (en su caso) • Del carácter obligatorio u opcional de la inscripción en el mismo para la prestación del servicio 1
  2. 2. • De las consecuencias de la obtención de los datos o de la negativa a suministrarlos • De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.La ley exime del deber de informar sobre algunos los aspectos anteriores cuandose deduzcan de la naturaleza de los propios datos personales y de lascircunstancias en las que se realiza la recogida de los mismos.Ejemplo típico:Los datos facilitados en este formulario/ documento/ cuestionario/ etc seránincorporados a un fichero automatizado propiedad de ___________. Encualquier caso, y en cumplimiento de lo establecido en la Ley Orgánica15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal sepueden ejercitar los derechos de oposición, acceso, rectificación ycancelación dirigiéndose a ______ dirección:Esta información debe incluirse en los formularios de recogida de los datosToda persona tiene derecho a saber si sus datos personales van a incluirse en unfichero y qué tratamientos se realizarán con los mismos.En el caso de que los datos personales no se hubieran recogido directamente delinteresado, el responsable del fichero debe informarle de la recogida de losmismos en el plazo de 3 meses siguientes al registro de los datos, excepto si yahubiera sido informado con anterioridad.El incumplimiento del deber de informar está tipificado como falta leve.En los siguientes casos no es necesario el consentimiento de la persona: • Si el tratamiento tiene por objeto la satisfacción de un interés legítimo del responsable, y lo autoriza una norma con rango de Ley o una norma de derecho, y siempre que no prevalezca el interés o los derechos y libertadas fundamentales de los interesados previstos en el artículo 1 de la LOPD, o cuando sea necesario para que el responsable del tratamiento pueda cumplir un deber que le imponga una de dichas normas. • Si el tratamiento es necesario para el cumplimiento de un contrato o precontrato de una relación de negocios, laboral o administrativa, y los datos se refieren a las partes. • Si el tratamiento es necesario para proteger un interés vital del interesado o de otra persona, en el supuesto de que el afectado esté física o jurídicamente incapacitado para dar su consentimiento, y el tratamiento de los datos es necesario para la prestación de un servicio médico. • Si el tratamiento es necesario para cumplir las funciones de las Administraciones Públicas dentro de sus competencias. 2
  3. 3. • Cuando la Ley habilite el tratamiento sin requerir el consentimiento del titular. • Cuando los datos figuren en fuentes de acceso público, y su tratamiento sea necesario por el responsable del fichero con interés legítimo o para un tercero a quien se comuniquen los datos.La Ley especifica que debe haber un consentimiento expreso y escrito para eltratamiento de datos especiales: de ideología, religión, creencias y afiliaciónsindical.El consentimiento puede ser tácito, en el tratamiento de los datos que no seanespecialmente protegidos, el afectado dispondrá de 30 días para manifestar sunegativa al tratamiento, y advirtiendo que en caso de no pronunciarse al respecto,se entenderá que consiente el tratamiento de sus datos.En este caso tendremos que ofrecer al afectado un medio sencillo y gratuito paramanifestar su negativa (carta prefranqueada, numero teléfono gratuito o serviciosatención públicos). No se podrá volver a solicitar el consentimiento para losmismos fines y tratamientos hasta no pasar 1 año.El tratamiento de datos sin consentimiento previo puede ser motivo de falta leve ograve según el caso.Plazos de los derechos gratuitos que puede ejercer un titular: • Derecho de acceso: solicitar y obtener información de sus datos personales y los tratamientos de los mismos o Plazo de Contestación: 1 mes desde la solicitud o Acceso: 10 días desde la notificación de estimación de la solicitud. • Derecho de rectificación: Actualizar sus datos si son inexactos o incompletos o Plazo: 10 días • Derecho de cancelación: Borrados de sus datos si son inexactos o tratados ilegalmente (produce un bloqueo o un borrado físico según la legislación). o Plazo: 10 días • Derecho de oposición: Negarse al tratamiento de sus datos. o Plazo: 1 mesMedidas de SeguridadLa LOPD indica que se deben adoptar las medidas técnicas necesarias paragarantizar la seguridad de los datos personales, y evitar su alteración, pérdida,tratamiento o acceso no autorizado. Las medidas se aplicarán a ficheros y 3
  4. 4. tratamientos (tanto automatizados como no automatizados), y al responsable delfichero y al encargado del tratamiento.La LOPD condiciona las medidas al estado de la tecnología, la naturaleza de losdatos y los riesgos a los que estén expuestos.Si un fichero tiene varios responsables, será necesario implantar un control, concontraseñas, para impedir accesos cruzados.Las contraseñas se tienen que cambiar de manera periódica para garantizar laconfidencialidad de los datos.Se fijan tres niveles de seguridad: 1. Nivel Alto: Ficheros o tratamientos relativos a datos especiales (ideología, afiliación sindical, salud, etc.), o relativos a fines policiales, o datos derivados de actos de violencia de género. Los ficheros con datos de nivel alto deben estar cifrado si se encuentran en dispositivos portátiles. 2. Nivel Medio: Ficheros o tratamientos relativos a la comisión de infracciones, Ficheros para la prestación de servicios financieros (bancos), ficheros de las agencias tributarias (Hacienda), ficheros de la Seguridad Social, ficheros de las operadoras de Telecomunicaciones, ficheros con datos personales que permitan definir las características de los ciudadanos. 3. Nivel Básico: todos los ficheros que tenga datos personales.En caso de ficheros con datos especialmente protegidos, será suficiente laimplantación de medidas de nivel básico cuando: • Los datos se utilicen sólo para realizar una transferencia dineraria a las entidades de las que el afectado sea miembro. • O se trate de ficheros no automatizados en los que de forma puntual estén dichos datos sin guardar relación con su finalidad • O se trate de ficheros con datos relativos a la salud, indicando únicamente el grado de discapacidad, con objeto del cumplimiento de deberes públicos.El responsable del fichero debe crear un documento de seguridad y debeinformar a todos los implicados de las normas de seguridad indicadas en eldocumento y velar por su respeto. • Debe guardarse secreto profesional sobre los datos personales a los que se tenga acceso.Los productos de software destinados al tratamiento de datos personales debenincluir en su descripción el nivel de seguridad. 4
  5. 5. Sanciones • Infracciones leves: De 601,01 a 60.101,21 euros • Infracciones graves: De 60.101,211 a 300.506,05 euros • Infracciones muy graves: De 300.506,05 a 601.012,10 eurosLa cuantía de la sanción será gradual en función de los datos afectos, losderechos violados, el volumen de los mismos, los beneficios obtenidos, laintención, reincidencia, daños y perjuicios, etc.Ficheros privados de datosSe pueden crear ficheros privados que tengan datos personales cuando resultennecesarios para realizar una actividad u objeto legítimo y se traten con lasgarantías indicadas en la LOPD.El responsable del fichero es la entidad o persona que decide sobre la finalidad, elcontenido y el uso del tratamiento de los datos personales. Ejemplo:Una empresa será responsable de los ficheros que contienen datos sobre susempleados y clientes.Un autónomo o empresario individual será responsable del tratamiento de losdatos personales de sus clientes.Las obligaciones del responsable son: • Notificar la inscripción de los ficheros en el Registro de la AEPD • Asegurar que los datos son de calidad, es decir, adecuados, veraces y obtenidos lícita y legítimamente, y tratados de forma proporcional a la finalidad con la que se recogieron: no usarlos para otros fines, no recoger más datos de los necesarios, mantenerlos actualizados, y cancelarlos si ya no son necesarios. • Garantizar el cumplimiento de los deberes secreto y seguridad. • Informar a los titulares de los datos sobre la recogida de los mismos. • Obtener el consentimiento para el tratamiento de los mismos. • Facilitar y garantizar el ejercicio de los derechos de oposición al tratamiento, acceso, rectificación y cancelación. • Asegurar que en relaciones con terceros que le presten servicios que necesiten el acceso a los datos, se siga cumpliendo lo dispuesto en la LOPD. • Cumplir, adicionalmente, con lo que indique la legislación vigente en el sector correspondiente que le sea de aplicación. 5
  6. 6. El responsable del fichero puede contratar a un encargado del fichero, es decir, auna persona física o jurídica, pública o privada que, sólo o junto a otros, gestionelos ficheros de datos, gracias a la existencia de un contrato de servicios que definael ámbito de actuación y la prestación del servicio. Ejemplos: • Una empresa que presta servicios para la realización de envíos postales • Un informático, autónomo, que realiza tareas de mantenimiento software sobre el fichero de datos del responsable. • Un gestor administrativo que confecciona las nóminas y gestiona el fichero de personal.No se considera encargado del fichero, a la persona física que tenga acceso a losdatos personales, si tiene condición de empleado dentro de la relación laboral quemantiene con el responsable del fichero.Tanto el Responsable del fichero como el Encargado del tratamiento, pueden sersancionados si no cumplen con sus obligaciones.La Agencia de Protección de DatosLa Agencia Española de Protección de Datos (AEPD) protege los derechos de losciudadanos, es el ente encargado de velar por el cumplimiento de la normativa, yactúa de forma totalmente independiente de las Administraciones Públicas.La AEPD informa y ayuda, tanto a los ciudadanos como los responsables defichero y encargados de tratamiento a ejercitar y a cumplir las obligacionescorrespondientes en cada caso.La AEPD facilita el derecho de consulta de los ciudadanos permitiendo acceder ala información básica de todos los ficheros públicos y privados registrados.Además la AEPD realiza, de forma preventiva, inspecciones sectoriales deoficio, para evaluar el cumplimiento de todas las garantías previstas en lanormativa, detectando deficiencias y formulando recomendaciones para sucorrección.Notificación de ficheros al RegistroEl Responsable del fichero debe notificar la creación del fichero al RegistroGeneral de Protección de Datos (RGPD) de la AEPD, en los siguientes casos: • Con anterioridad al uso del fichero • Cuando se producen cambios en el mismo que afectan al registro • Cuando cesa el uso del fichero 6
  7. 7. Al registrar el fichero, implica que el fichero cumple con todas las exigenciaslegales. El coste de registro es gratuito, y permite que los titulares de los datospuedan conocer quién es el responsable del fichero, por si necesitan ejercitar susderechos de acceso, rectificación, cancelación y oposición.La NO notificación de un fichero, supone una sanción que puede ir de leve a gravedependiendo del caso.El acceso al registro (RGPD) es público y gratuito.Deber de colaborar con la AEPD • La AEPD puede requerir la adopción de las medidas necesarias para adecuar los tratamientos a la LOPD • Ordenar el cese de los tratamientos y cancelación de los ficheros, cuando no se ajusten a las disposiciones de la LOPD • La AEPD puede solicitar ayuda e información para el desempeño de sus funciones: envío de documentos, datos, y examinarlos en las instalaciones donde están depositados, inspeccionar los equipos físicos y lógicos, etc. • El procedimiento consta de una Fase de Inspección y una Fase de Instrucción, existiendo un plazo de hasta 12 meses desde una posible denuncia. • Podrá realizar actuaciones presenciales y sin previo aviso.Para la notificación de ficheros, existe el sistema NOTA.ReferenciasLey Orgánica 15/1999, de Protección de Datos.Real Decreto 1720/2007, de desarrollo de la Ley Orgánica de Protección deDatos.Informe realizado por José María Toribio Vicente.Agencia Española de Protección de Datos.TEST: www.aepd.es Herramienta de autoevaluación Evalúa. 7

×