Libro Lopd V2 Alta

4,543
-1

Published on

La proteccion de datos personales

Published in: Technology
1 Comment
1 Like
Statistics
Notes
No Downloads
Views
Total Views
4,543
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
223
Comments
1
Likes
1
Embeds 0
No embeds

No notes for slide

Libro Lopd V2 Alta

  1. 1. La protección de datos personales: Soluciones en entornos Microsoft
  2. 2. La protección de datos personales: Soluciones en entornos Microsoft Publicado por: Microsoft Ibérica S.R.L. Centro Empresarial La Finca Edificio 1 Paseo del Club Deportivo, 1 28223 Pozuelo de Alarcón – Madrid (España) Copyright © 2009 Microsoft Ibérica Unipersonal S.R.L. Aviso Legal: Los autores, colaboradores, organismos públicos y empresas mencionadas en este libro, no se hacen responsables de que lo contenido en este libro garantice el total cumpli- miento de los requisitos establecidos en la legislación española sobre protección de datos personales. Este libro única y exclusivamente posee un propósito informativo en relación con la legislación española sobre protección de datos de carácter personal. La información sobre los productos de Microsoft representa la visión que los autores, colaboradores y empresas mencionadas en este libro tienen sobre los mismos, por lo que no otorgan ninguna garantía, ni expresa ni implícita, en referencia a la información incluida en este libro sobre los mencionados productos. Es responsabilidad del usuario el cumplimiento de toda la legislación sobre derechos de autor y protección de datos de carácter personal que sean aplicables. Sin limitar los derechos que se deriven sobre propiedad intelectual, ninguna parte de este documento puede ser reproducida, almacenada, ni introducida en ningún sistema de recuperación, ni transmitida de ninguna forma, ni por ningún medio, ya sea electrónico, mecánico por fotocopia, grabación o de otro tipo, con ningún propósito, sin la autorización por escrito de los titulares de los derechos de propiedad intelectual de este libro. Quedan reservados todos los derechos. Los nombres de las compañías y productos reales aquí mencionados pueden ser marcas comerciales de sus respectivos propietarios. EJEMPLAR GRATUITO. PROHIBIDA SU VENTA. Depósito Legal: M-14799-2009 Coordinador Editorial: Héctor Sánchez Montenegro Diseño y maquetación: José Manual Díaz. Newcomlab S.L.L. Revisión técnica: Newcomlab S.L.L. Imprime: Impreso en España – Printed in Spain Realizado en papel reciclado. II
  3. 3. Prólogo de María Garaña El derecho a la intimidad resulta tan irrenunciable como cualquier otro de los derechos que nos asisten en nuestra Constitución. Su valor ya se encuentra recono- cido en el artículo 12 de la Declaración Universal de los Derechos Humanos (1944), así como en el artículo 18 de La Constitución Española, donde se recoge literalmen- te: “Se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia ima- gen”… “La Ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”. Sin perdernos en demasiados tecnicismos, el concepto de intimidad y privacidad, quizá sea de los más cercanos a nuestra experiencia y sentimiento. Especialmente cuando es vulnerado nuestro derecho a poder excluir a las demás personas del conocimiento de nuestra vida personal, de nuestros sentimientos, de nuestras emociones, de nuestros datos biográficos y personales etc. Así como el derecho a controlar el quién, cuándo y cómo puede tener acceso a estos aspectos de la vida personal de cada uno. El tratamiento automatizado y masivo de datos constituye un pilar de la Sociedad del Conocimiento, sobre la cual se ha cimentado el progreso de nuestras empresas, de nuestras administraciones, e incluso de nuestro propio desarrollo como individuos del siglo XXI. Pero es evidente que la facilidad inherente al trata- miento automatizado de datos requiere una especial atención que asegure la protec- ción efectiva de nuestro derecho a la intimidad. En este sentido, la legislación específica sobre Protección de Datos es la que establece los límites y condiciones para su tratamiento. El presente libro, aunque de carácter divulgativo, está dirigido a los responsa- bles técnicos de empresas y administraciones, así como a los responsables de aplicar las salvaguardas y procesos contemplados en el Reglamento de la LOPD para el manejo de los datos de carácter personal de sus clientes, empleados, socios, etc... El libro busca su hueco en esa zona intermedia en la que necesitamos aplicar con garantías una serie de medidas técnicas, dictadas por un reglamento jurídico, pero trasladables al mundo real en la forma de conocimiento tecnológico. Es por ello por lo que la guía toma como hilo conductor todos y cada uno de los artículos contemplados en el reglamento de la LOPD, con transcendencia en el ámbito de las Tecnologías de la Información, para a continuación comentarlos de forma sencilla y detallar cual sería la configuración o recomendación técnica más adecuada para su cumplimiento desde la perspectiva de la tecnología Microsoft. Aun reconociendo la naturaleza eminentemente técnica del manual, no deja de ser una auténtica delicia el navegar por sus páginas de contenido reglamentario, que de forma amena y clara presenta con sencillez los conceptos más básicos y delicados del reglamento. La estructura del libro, aun manteniendo dos partes claramente diferenciadas (jurídica y técnica), establece un permanente vínculo entre ambas, y es en ese nexo precisamente donde reside el principal valor para los responsables técnicos de III
  4. 4. La protección de datos personales: Soluciones en entornos Microsoft aplicar las medidas del reglamento para los datos almacenados utilizando software de Microsoft. Tenemos la esperanza que, este manual, en su segunda edición, sirva para facilitar a los responsables de Seguridad/Privacidad/Sistemas, el cumplimiento de los aspectos tecnológicos derivados del cumplimiento de la Ley, así como servir de vehículo de difusión de un conocimiento importante como es el relativo a nuestros derechos y obligaciones en materia de Protección de Datos. Es un ejemplo más del compromiso incuestionable de Microsoft por colaborar, decidida y eficazmente, con la administración española en el desarrollo de la Sociedad del Conocimiento en nuestro país. María Garaña Presidenta de Microsoft Ibérica S.R.L. IV
  5. 5. Prólogo de Artemi Rallo Como Director de la Agencia Española de Protección de Datos, institución pública independiente, cuya labor primordial es la de velar por el cumplimiento de la normativa de protección de datos de carácter personal, supone para mí una enorme satisfacción poder presentar este libro, “La Protección de Datos Personales: soluciones en entornos Microsoft”, fruto de los trabajos realizados por entidades de la talla de Microsoft, Helas Consultores, IPSCA, Informática64 y Red.es. Debemos destacar el objetivo primordial que pretende conseguir una obra como la que en estos momentos se edita y que viene a reforzar la labor de difusión y divulgación del derecho fundamental a la protección de datos de carácter personal en nuestro país. El libro que tengo la oportunidad de prologar, una vez adaptado a la normati- va vigente en materia de protección de datos personales debe, sin lugar a dudas, convertirse en una guía de consulta, no sólo para los responsables de ficheros y tratamientos de datos personales sino también para los posibles encargados de tratamientos que pudieran contratarse como consecuencia de la necesaria presta- ción de un servicio determinado, tanto en el ámbito privado como público y que el propio RLOPD regula de manera muy detallada en su articulado. Los conceptos mencionados en este libro y las obligaciones que todo responsa- ble de un fichero o tratamiento deben cumplir dentro del marco de la protección de datos personales, analizados de una forma muy detallada a lo largo del mismo, pretenden aportar una claridad y una seguridad jurídica valiosa a la hora de inter- pretar la normativa vigente. Sin lugar a dudas, la lectura del presente texto debe servir para resolver gran parte de las posibles dudas que pudieran tener los respon- sables de ficheros o tratamientos al interpretar las normas concernientes a la protec- ción de datos de carácter personal. Principios como la calidad de los datos, la información previa que ha de ser prestada al titular de los datos para recabar su consentimiento, el deber de secreto, la seguridad de los datos recabados, la proporcionalidad que debe regir acorde con la finalidad que justifica la recogida de la información personal o la veracidad y exactitud de los datos personales tratados, son principios que han de ser respetados y considerados como una de las piedras angulares de la materia que nos ocupa. El reconocimiento de los derechos ARCO (acceso, rectificación, cancelación y oposición) en relación con el tratamiento de datos de carácter personal es uno de los pilares fundamentales de la protección de datos personales, sin duda muy vincula- do al deber de información que en ocasiones los responsables de ficheros y trata- mientos no cumplen con la minuciosidad que establece la Ley. Junto a la aplicación de los aspectos mencionados, los responsables de ficheros y tratamientos de datos personales deberán tener en cuenta las obligaciones relacio- nadas con la implementación de medidas de seguridad de índole técnica y organizativa acordes con la información personal gestionada tanto en soportes V
  6. 6. La protección de datos personales: Soluciones en entornos Microsoft automatizados como no automatizados y que de manera muy detallada regula el RLOPD. Otras cuestiones, como la autorregulación o los movimientos internacionales de datos, cuya ejecución requieren de la autorización previa del Director de la Agencia Española de Protección de Datos, salvo que se destinen a países que proporcionen un nivel adecuado de protección o se trate de los supuestos excepcionados que la propia LOPD establece, deberán igualmente ser tenidas en cuenta por los responsables de ficheros y tratamientos que pudieran verse involucrados en alguna de estas situaciones. El presente libro hace alusión a los diferentes procedimientos que la Agencia Española de Protección de Datos tramita y que el RD 1720/2007, de desarrollo de la LOPD, regula de manera muy detallada en relación con la notificación de los ficheros y tratamientos por parte de sus responsables, los vinculados a la tutela del ejercicio de los derechos ARCO, los posibles procedimientos sancionadores que pudieran iniciarse con motivo de la comisión de las infracciones tipificadas en la LOPD, así como otros procedimientos relacionados con la inscripción de códigos tipo, las solicitudes de autorización para realizar una transferencia internacional de datos y otros procedimientos más excepcionales relacionados con el deber de informar y la conservación de datos para fines específicos (históricos, estadísticos o científicos). El alto nivel de competencia que rige en determinados sectores del ámbito empresarial no debe ser, de ninguna manera, una licencia que permita olvidar la existencia de una información personal que, salvo las excepciones que la propia Ley establece, son los propios titulares de esos datos personales quienes deben decidir el uso, las aplicaciones, cesiones y finalidades que se les puede dar a los mismos. La actuación empresarial, conforme a lo regulado en la Ley, debe interpretarse como un valor añadido para la empresa y para su imagen, aportando una mayor calidad y una mejor gestión de sus recursos y, en ningún caso, el cumplimiento de la normativa vigente debe entenderse como un obstáculo de difícil superación. La entidades e instituciones a las que va dirigida la normativa de protección de datos no sólo deben colaborar en la defensa de los derechos de los ciudadanos, sino que además deben ser conscientes de que el cumplimiento de la Ley redundará en una mayor seguridad propia, de sus sistemas, de la información que registren, en ocasiones muy valiosa y cuya pérdida puede suponer una secuencia irreparable de daños económicos de gran envergadura. Por todo ello, la implementación de medidas de seguridad, de carácter técnico y organizativo, acorde con la información gestionada, debe ser una prioridad y un procedimiento incorporado al quehacer diario del ámbito empresarial. La aplicación de las nuevas tecnologías, en la sociedad en la que nos encontra- mos inmersos, debe tener en cuenta la existencia de distintas modalidades de tratamiento de la información personal que permitan identificar a una persona física, en todas sus variantes (dato identificativo, imagen, fotografía, dato biométrico, voz, etc.). VI
  7. 7. Debemos ser conscientes de que en muchas ocasiones el incumplimiento de la Ley se debe a una falta de conocimiento y de información de las normas, derechos y procedimientos existentes. He de destacar que la Agencia Española de Protección de Datos, como autori- dad garante de este derecho fundamental, apoyará siempre iniciativas como la que en esta ocasión han impulsado entidades como Microsoft, Helas Consultores, IPSCA y Red.es, que avanzan en el camino de una mayor concienciación y difusión de la normativa de protección de datos de carácter personal, siempre desde la perspecti- va de la prevención e información. Artemi Rallo Director de la Agencia Española de Protección de Datos VII
  8. 8. La protección de datos personales: Soluciones en entornos Microsoft Prólogo de Sebastián Muriel Actualmente asistimos a un cambio del uso social de la tecnología sin prece- dentes en la historia de la humanidad. Sería difícil tratar de entender este repentino aumento de la permeabilidad social hacia lo tecnificado, sin la ubicua presencia de las tecnologías de la información y de las comunicaciones (TIC) y de todos los servicios asociados a las mismas, hasta el punto de que lo que distingue a las economías avanzadas de las economías emergentes, es la intensidad en el uso de estas tecnologías. Gracias a importantes logros como el Plan Avanza, puesto en marcha por la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información en 2005, se puede decir que España está ya en posición de liderazgo en muchos de los indicadores que miden el uso de las TIC. Un uso que es creciente en todas las actividades y áreas que se nos puedan ocurrir: en el plano profesional, en la esfera del ocio (cada vez más interactivo y más digital, donde los contenidos digitales y las redes sociales juegan un papel cada vez más relevante), en las maneras de acceder a las noticias y a la información en los medios de comunicación, en la educación, en la sanidad, en la relación de los ciudadanos y empresas con las diferentes administraciones, pero además, sobre todo, en las maneras de relacionarnos unos con otros, con nuestras familias, amigos y conocidos. Es evidente que éste es el camino y que los esfuerzos realizados suponen una ventaja comparativa como país. En este entorno es importante educar y sensibilizar a los usuarios en el buen uso de las TIC. Porque la creciente expansión del mundo digital conlleva un reto a la gestión adecuada de la privacidad. Por eso estoy convencido de que iniciativas como la segunda edición de este manual realizado por Microsoft, van a servir, gracias a su carácter divulgativo, a mejorar el cumplimiento de la LOPD y que derivará en beneficios y ventajas de inmenso valor para la empresa y Administraciones Públi- cas, además de concienciar a todos los sectores (empresas, administraciones) y a los usuarios, especialmente a los más jóvenes, de que los datos personales son un bien que debe protegerse y, por ello, deben establecerse procedimientos, normas y medidas para conseguir tal fin. Sebastián Muriel. Director General de red.es. Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información VIII
  9. 9. Autores El coordinador de los contenidos de esta obra es Héctor Sánchez Montenegro, National Technology Officer de Microsoft Ibérica, y los autores de este libro son: José María Alonso Cebrián de Informática 64, Microsoft MVP en el área de Seguridad. Juan Luís García Rambla de Informática 64, Microsoft MVP en el área de Seguridad. Antonio Soto. Director de Solid Quality. David Suz Pérez. Consultor de Microsoft Ibérica. José Helguero Sainz. Director General de Helas Consultores. Economista. Miembro de la Comisión de Seguridad de ASIMELEC. María Estrella Blanco Patiño, Responsable de publicaciones de Helas Consul- tores. Miguel Vega Martín, Director de Marketing de IPS Certification Authority. Miembro de la Comisión de Seguridad de ASIMELEC. Héctor Sánchez Montenegro. National Technology Officer de Microsoft Ibérica. IX
  10. 10. La protección de datos personales: Soluciones en entornos Microsoft Agradecimientos Los autores quieren agradecer a las siguientes personas, quienes sin su inesti- mable colaboración, hubiera resultado mucho más difícil la edición de este libro:  Dña. María Garaña, Presidenta de Microsoft Ibérica.  D. Artemi Rallo, Director de la Agencia de Protección de Datos Española.  D. Sebastián Muriel, Director General de Red.es.  D. Alberto Amescua de Microsoft Ibérica, programa Technet.  D Fernando Bocigas de Microsoft Ibérica.  Dña. Barbara Olagaray de Microsoft Ibérica.  D. Luis Miguel García de la Oliva de Microsoft Ibérica.  D. Francisco Camina Álvarez. Gerente de Soluciones de Microsoft Ibérica.  D. Fernando García Varela. Director Comercial de Industria. De Microsoft Ibérica.  D. Rodolfo Lomascolo Szittyay, Director General de IPS Certification Authority, S.L.  D. Ignacio de Bustos Martín, Director General de Newcomlab S.L.L.  D. Manuel Sánchez Chumillas de Informática64.  Los técnicos de la “guarida del sótano” de Informática64.  Dña. María Martín Pardo de Vera, Responsable del Departamento de Consultoría de Helas Consultores.  Dña. Carmen de Prada Hernández, Responsable del Departamento de Instituciones de Helas Consultores.  Dña. María de la Rica Ortega, Responsable del Departamento de Auditoría de Helas Consultores.  Dña. Cristina Palomino Dávila, Consultora senior en el Departamento de Consultoría de Helas Consultores.  D. Miguel Prieto Quintana, Director Comercial de Helas Consultores.  D. María Rita Helguero Sainz, Directora de Administración de Helas Consultores.  Dña. Mónica Pujadó Coll, Directora Financiera de ipsCA.  Dña. Vera Sánchez - Carpintero Rodríguez, Responsable de Marketing Internacional ipsCA.  Dña. Irene Corral López, Departamento Marketing ipsCA.  Dña. Marta Corral López, Departamento Marketing ipsCA.  D. Guillermo Alcázar, Departamento Marketing ipsCA.  D. Alfonso Dominguez, Departamento Marketing ipsCA. X
  11. 11. Índice de contenidos Introducción .............................................................................................. XVII Parte I Legal ................................................................................................... 1 1. Breve historia de la protección de datos de carácter personal ..................... 3 1.1. La protección de datos personales, un derecho fundamental .............. 4 2. Legislación vigente ........................................................................................... 7 2.1. Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) ................................................................. 7 2.2. Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de Desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (RLOPD) ..... 7 2.2.1. Plazos de adaptación ................................................................... 8 3. Datos de carácter personal ............................................................................. 11 3.1. Tipos de datos personales ..................................................................... 12 3.2. Novedades RLOPD en la aplicación de algunas medidas de seguridad (Artículo 81.5 y 81.6) ...................................................... 14 3.3. Otros datos personales .......................................................................... 15 4. Obligaciones básicas ...................................................................................... 17 4.1. Con carácter previo a la recogida de los datos .................................... 17 4.1.1. La creación y notificación de ficheros ....................................... 17 4.1.2. La calidad de los datos ............................................................... 25 4.1.3. La información al interesado ..................................................... 26 4.1.4. El consentimiento del interesado .............................................. 32 4.2. Durante el tratamiento de los datos ..................................................... 37 4.2.1. La calidad de los datos ............................................................... 37 4.2.2. El deber de secreto ..................................................................... 38 4.2.3. La seguridad de los datos .......................................................... 39 4.2.4. La cesión de los datos ................................................................ 54 4.2.5. El acceso a datos por cuenta de terceros ................................... 56 4.2.6. Prestaciones de servicios sin acceso a datos personales .......... 60 4.2.7. La modificación de ficheros ....................................................... 61 4.2.8. Las transferencias internacionales de datos .............................. 61 4.3. Una vez finalizado el tratamiento ........................................................ 63 4.3.1. La cancelación y el bloqueo de los datos .................................. 63 4.3.2. La supresión de ficheros ............................................................ 63 XI
  12. 12. La protección de datos personales: Soluciones en entornos Microsoft 5. Los derechos de los titulares de los datos .................................................... 65 5.1. La impugnación de valoraciones ......................................................... 65 5.2. El derecho de consulta al Registro General de Protección de Datos .. 65 5.3. El derecho de indemnización ............................................................... 66 5.4. Los derechos ARCO .............................................................................. 66 5.4.1. El derecho de acceso .................................................................. 68 5.4.2. El derecho de rectificación ......................................................... 68 5.4.3. El derecho de oposición ............................................................. 69 5.4.4. El derecho de cancelación .......................................................... 70 5.5. La tutela de los derechos ...................................................................... 70 6. Tratamientos especiales ................................................................................. 73 6.1. Prestación de servicios de información sobre solvencia patrimonial y crédito ................................................................................................. 73 6.1.1. Requisitos para la inclusión de los datos .................................. 74 6.1.2. Información previa a la inclusión .............................................. 74 6.1.3. Notificación de la inclusión ....................................................... 74 6.1.4. Conservación de los datos ......................................................... 75 6.1.5. Acceso a la información contenida en el fichero ...................... 75 6.1.6. Responsabilidad ......................................................................... 75 6.1.7. Ejercicio de los derechos ARCO ................................................ 75 6.2. Tratamientos con fines de publicidad y de prospección comercial .... 76 6.2.1. Campañas publicitarias ............................................................. 77 6.2.2. Depuración de bases de datos ................................................... 77 6.2.3. Exclusión del envío de comunicaciones comerciales ............... 77 6.2.4. Ejercicio de derechos .................................................................. 78 6.3. Sistemas de videovigilancia ................................................................. 78 7. La autorregulación: los códigos tipo ............................................................. 81 7.1. Objeto de los códigos tipo .................................................................... 83 7.2. Naturaleza de los códigos tipo ............................................................. 83 7.3. Sujetos habilitados para la adopción de códigos tipo ......................... 83 7.4. Procedimiento para la elaboración de códigos tipo ............................ 84 7.5. Contenido de los códigos tipo .............................................................. 84 7.6. Ventajas derivadas de la creación de códigos tipo .............................. 87 7.7. Garantías del cumplimiento de los códigos tipo ................................. 88 7.8. Obligaciones posteriores a la inscripción del código tipo .................. 88 7.9. Códigos tipo inscritos ........................................................................... 89 XII
  13. 13. 8. Infracciones y sanciones ................................................................................ 95 8.1. Los responsables ................................................................................... 95 8.2. Las infracciones: tipos ........................................................................... 95 8.2.1. Leves ........................................................................................... 95 8.2.2. Graves ......................................................................................... 96 8.2.3. Muy graves ................................................................................. 97 8.3. Prescripción ........................................................................................... 98 8.4. La infracción continuada ...................................................................... 98 8.5. Las sanciones ......................................................................................... 99 8.5.1. Las sanciones en el sector privado ............................................ 99 8.5.2. Las sanciones en el sector público ........................................... 101 8.6. El procedimiento sancionador ........................................................... 102 8.6.1. Procedimiento sancionador ..................................................... 102 8.6.2. Procedimiento de tutela de derechos ...................................... 103 9. Los órganos de control ................................................................................. 105 9.1. La Agencia Española de Protección de Datos (AEPD) ..................... 105 9.2. Las agencias de protección de datos de las comunidades autónomas ........................................................................................... 107 9.2.1. Agencia de Protección de Datos de la Comunidad de Madrid (APDCM) ............................................................... 107 9.2.2. Agencia Catalana de Protecció de Dades (APDCAT) ............ 107 9.2.3. Agencia Vasca de Protección de Datos (AVPD) ...................... 108 9.3. Conclusiones ....................................................................................... 108 Parte II Técnico ............................................................................................ 111 10. La seguridad en sistemas Microsoft ........................................................... 113 10.1. TrustWorthy Computing (TWC). La estrategia de Microsoft ........... 114 10.2. Soluciones seguras .............................................................................. 114 10.2.1.Seguridad en el diseño ............................................................. 115 10.2.2.Seguridad predeterminada ...................................................... 115 10.2.3.Seguridad en el despliegue ...................................................... 116 10.2.4.Comunicación ........................................................................... 117 10.3. ¿Que se ha conseguido con TWC? ..................................................... 117 10.3.1.Common Criteria ..................................................................... 118 10.3.2.Evaluación de FIPS 140 (Federal Information Processing Standard) ........................................................................................ 120 10.3.3.Iniciativa de recursos compartidos ......................................... 121 XIII
  14. 14. La protección de datos personales: Soluciones en entornos Microsoft 10.3.4.Programa para la cooperación de la seguridad (SCP) ........... 122 10.3.5.Seminarios de seguridad ......................................................... 122 11. La aplicación del reglamento de seguridad en los sistemas Microsoft ... 123 11.1. Tecnología de seguridad en Microsoft Windows .............................. 124 11.2. Tecnologías aplicables a medidas de nivel básico ............................. 125 11.2.1. Ficheros temporales ................................................................. 126 11.2.2. Artículo 89. Funciones y obligaciones del personal ............... 127 11.2.3. Artículo 90. Registro de incidencias ........................................ 130 11.2.4. Artículo 91. Control de acceso (puntos 1 y 3) ......................... 130 11.2.5. Artículo 91. Control de acceso (punto 2) ................................. 145 11.2.6. Artículo 91. Control de acceso (puntos 4 y 5) ......................... 146 11.2.7. Artículo 92. Gestión de soportes y documentos ..................... 146 11.2.8. Artículo 93. Identificación y autenticación (puntos 1 y 2) ..... 153 11.2.9. Artículo 93. Identificación y autenticación (punto 3) ............. 165 11.2.10. Artículo 93. Identificación y autentificación (punto 4) ........ 167 11.2.11. Artículo 94. Copias de respaldo y recuperación .................. 169 11.3. Tecnología aplicable a medidas de nivel medio ................................ 174 11.3.1. Artículo 98. Identificación y autenticación ............................. 175 11.4. Tecnología aplicable a medidas de nivel alto .................................... 176 11.4.1. Artículo 101. Gestión y distribución de soportes ................... 177 11.4.2. Artículo 102. Copias de respaldo y recuperación ................... 177 11.4.3. Artículo 103. Registro de accesos ............................................ 178 11.4.4. Artículo 104. Telecomunicaciones ........................................... 215 11.4.5. Confidencialidad en Exchange 2007 ....................................... 218 12. La aplicación del reglamento de seguridad en SQL Server ..................... 223 12.1. Artículo 91. Control de acceso ............................................................ 223 12.2. Artículo 93. Identificación y autenticación ........................................ 225 12.3. Artículo 94. Copias de respaldo y recuperación ............................... 226 12.4. Artículo 98. Identificación y autenticación ........................................ 229 12.5. Artículo 101. Gestión y distribución de soportes .............................. 230 12.6. Artículo 103. Registro de accesos ....................................................... 231 12.6.1.Auditoría en SQL Server 2008 ................................................. 231 12.7. Artículo 104. Telecomunicaciones ...................................................... 232 13. Implementación de la LOPD sobre SQL Server (SQL Server 2005-2008) 235 13.1. Introducción ........................................................................................ 235 13.2. Objetivos del documento .................................................................... 235 13.3. Ejemplo teórico ................................................................................... 236 XIV
  15. 15. 13.4. Requisitos ............................................................................................ 237 13.5. Implementación .................................................................................. 238 13.5.1.Implementación del proceso de Registro de Accesos ............ 238 13.5.2.Acceso a la información de Registro de Accesos .................... 245 13.5.3.Recomendaciones en casos especiales .................................... 248 13.6. Rendimiento ........................................................................................ 248 13.6.1.Sobrecarga del proceso de traza .............................................. 248 13.6.2.Almacenamiento físico de los ficheros de traza ..................... 250 13.7. Nuevas características en SQL Server 2008 ....................................... 251 13.8. Apéndices ............................................................................................ 252 13.8.1.Implementación de trazas sobre SQL Server 2005 ................. 252 13.8.2.Posibilidades de Backup y Restore en SQL Server 2005 ........ 253 13.8.3.Seguridad en SQL Server 2005 ................................................ 253 13.8.4.Seguridad en SQL Server 2008 ................................................ 253 14. Política de seguridad .................................................................................... 255 14.1. Introducción ........................................................................................ 255 14.2. Fases fundamentales ........................................................................... 255 14.2.1.Fase 1. Organización y análisis ................................................ 256 14.2.2.Fase 2. Desarrollo de un estudio sobre las necesidades de privacidad ............................................................................ 258 14.2.3.Fase 3. Evaluación de las necesidades tecnológicas para la protección de la privacidad ................................................. 260 Parte III Anexos ............................................................................................. 263 Anexo A. Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal ................................................................................. 265 Anexo B. Real decreto por el que se aprueba el reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal .................................................................................................... .. 295 Glosario de términos ........................................................................................... 383 XV
  16. 16. La protección de datos personales: Soluciones en entornos Microsoft XVI
  17. 17. I Introducción El Tribunal Constitucional, en su sentencia 292/2000, define la Protección de Datos de Carácter Personal como el derecho fundamental que garantiza a toda persona “un poder de control sobre sus datos personales, sobre su uso y destino, con el propósito de impedir su tráfico ilícito y lesivo para la dignidad y derecho del afectado”. La automatización del tratamiento de datos, fruto de la aplicación y desarrollo de la informática, proporciona numerosas ventajas, aumentando la productividad y la competitividad, tanto de las personas como de las empresas. Los beneficios sobrepasan con mucho los problemas que se derivan del tratamiento de datos personales, pero debemos de poner límite al grado de intrusión en nuestra intimi- dad que las nuevas tecnologías pueden generar. La legislación sobre protección de datos establece esos límites y, por ello, afecta a todas las empresas y organismos públicos de nuestro país, porque todos -en mayor o menor medida- manejan datos de carácter personal de personas físicas (empleados, clientes, proveedores, accionistas, colaboradores…). Así pues, todos ellos deben adecuarse a la legislación actual sobre protección de datos contemplan- do una doble perspectiva: por un lado, el respeto a los derechos de los ciudadanos y, por otro, su funcionamiento interno y la seguridad de su información. Hoy en día la actividad empresarial y pública no se concibe sin el apoyo de la informática, ya que gracias a programas y aplicaciones (software) podemos manejar un gran volumen de datos. Por tanto, no son discutibles las enormes ventajas de la informática. Sin embargo, también es cierto que ésta puede conllevar cierta peligro- sidad si se hace un mal uso de ella. Pensemos en la cantidad de información que se puede obtener de una persona si miramos sus movimientos bancarios: podemos saber qué tipo de restaurantes le gustan, a qué tipo de colegio lleva a sus hijos, dónde va de vacaciones, sus gustos y aficiones, qué deporte practica, si es una XVII
  18. 18. La protección de datos personales: Soluciones en entornos Microsoft persona solvente, etc. Este conocimiento ordenado de los datos puede arrojar un perfil de la persona, que quizás ni ésta misma conoce, y que puede ser utilizado, favorable o desfavorablemente, para todo tipo de actividades, como es, por ejem- plo, la selección de personal. No debemos tampoco olvidar los ficheros y los trata- mientos en formato papel, que adquieren una especial importancia con el Nuevo Reglamento aprobado mediante el Real Decreto 1720/2007 (RLOPD). Por ello, ha sido necesario establecer una serie de mecanismos que protejan al individuo de este tipo de actuaciones. La legislación actual desarrolla una serie de obligaciones que las empresas deben cumplir, y el objetivo de este libro es describir- las y facilitar a los responsables de ficheros y tratamientos la comprensión y el alcance de dichas obligaciones. Cualquier empresa o institución que tenga, mantenga, utilice o trate datos de carácter personal, en soporte informático o papel, se encuentra obligada al cumpli- miento de la normativa vigente en materia de protección de datos; por tanto, en la práctica todas las empresas e instituciones. Pero además debemos tener en cuenta que la normativa aplicable protege al titular de los datos en cada una de las fases que conlleva la utilización de los mis- mos en una empresa, y que son básicamente tres: 1. Con carácter previo a la recogida de los datos. 2. Durante el tratamiento de los datos. 3. Una vez finalizado el tratamiento. Por tanto, podemos concluir que las obligaciones de las organizaciones no se reducen a un momento en concreto; sino que el cumplimiento con la legislación es un proceso permanente que afecta a la actividad que desarrollan de manera cons- tante. Las preguntas que siempre se hace el responsable de los ficheros cuando se le plantea la necesidad de adecuar su organización a una nueva legislación son: ¿Qué beneficio obtengo de esa adecuación?, ¿No es otra vez un gasto de dinero inútil? El caso de la Protección de Datos de Carácter Personal no es ajeno a este tipo de preguntas. Como premisa importante hay que tener en cuenta que la adaptación a la legislación en materia de Protección de Datos de Carácter Personal no es, en ningún caso, un problema del departamento de Informática o de Sistemas. Para que una empresa tenga éxito en dicha adaptación debe implicar a todos los departamentos de la compañía, y si este proceso se afronta únicamente como un problema informático, el fracaso está asegurado. Las cinco principales causas por las que una empresa debe adaptarse a la legislación en materia de Protección de Datos de Carácter Personal son: XVIII
  19. 19. Introducción 1. Cumplir con la legislación vigente: la adecuación a la realidad normativa es cada vez más un requisito del mercado para llevar a buen fin nuestros negocios. Las administraciones públicas y nuestros clientes demandan el cumplimiento de la legislación vigente, y el cumplimiento en materia de Protección de Datos se está ya exigiendo como un requisito indispensable en grandes áreas de negocio (informática, publicidad, sanidad, etc.). 2. Evitar sanciones de la Agencia Española de Protección de Datos (AEPD): éstas, las más elevadas de la Unión Europea, varían desde los 601,01 a los 601.012,10 €, como analizaremos más adelante en este libro. 3. Evitar el deterioro de la imagen pública: la publicación en prensa de noticias relacionadas con de la aparición en la vía pública de expedientes médicos abandonados o de currículos con anotaciones xenófobas como resultado de la selección de personal de un supermercado, causan un enorme perjuicio para los responsables de esos ficheros, que en muchas ocasiones es mayor que la sanción impuesta posteriormente por la AEPD. 4. Gestionar la información en la empresa: la adaptación a la normativa en materia de Protección de Datos ayuda a iniciar una gestión moderna de la información dentro de la empresa. La empresa española tiene en la gestión de la información una asignatura pendiente y la implementación de las normas a que nos obliga la protección de datos es, en la mayoría de los casos, el inicio de la concienciación y de la toma de medidas destinadas a la salvaguarda de uno de los mayores activos de la empresa moderna: la información. 5. Mejorar la gestión de la calidad: la integración de las medidas a implementar en materia de protección de datos en todos los departamen- tos de la empresa, debe realizarse como un proceso de mejora de nuestros sistemas de trabajo, y nunca como una traba o impedimento. Concebir la protección de datos como un proceso más dentro de la calidad de la empresa es vital para el éxito de nuestra adaptación a la LOPD y es por ello que debemos implicar a las fuerzas vivas de la empresa (Dirección, Administración, Recursos Humanos, Marketing, Informática, Comercial, Calidad, etc.), y en especial debemos tener en cuenta el factor humano, donde la formación debe tener un papel muy relevante. XIX
  20. 20. XX
  21. 21. Parte I Legal 1. Breve historia de la protección de datos de carácter personal 3 2. Legislación vigente 7 3. Datos de carácter personal 11 4. Obligaciones básicas 17 5. Los derechos de los titulares de los datos 65 6. Tratamientos especiales 73 7. La autorregulación: los códigos tipo 81 8. Infracciones y sanciones 95 9. Los órganos de control 105
  22. 22. La protección de datos personales: Soluciones en entornos Microsoft 2
  23. 23. 1 Breve historia de la protección de datos de carácter personal La evolución de la informática, que ha facilitado la gestión masiva de la información relativa a las personas, ha supuesto que se genere un nuevo derecho de las personas a la protección de los datos de carácter personal, que se ha desarrollado en un tiempo récord. Antes de adentrarnos en la evolución de la protección de datos en nuestro país, debemos hacer referencia a tres importantes declaraciones internacionales en las que se ha reconocido el derecho a la intimidad y a la protección de datos de carácter personal. Como punto de partida, el artículo 12 de la Declaración Universal de Derechos Humanos1 establece lo siguiente: “Nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques a su honra o reputación. Toda persona tiene derecho a la protección de la ley contra tales injerencias o ataques”. Dos años después, el Convenio Europeo para la Protección de los Derechos Humanos y Libertades Fundamentales del Consejo de Europa 2 establece en su artículo 8: “Toda persona tiene derecho al respeto de su vida privada y familiar, de su domicilio y de su correspondencia”. 1. Proclamada por la Asamblea General de las Naciones Unidas el 10 de septiembre de 1948. 2. Firmado en Roma por el Consejo de Europa el 4 de noviembre de 1950. 3
  24. 24. La protección de datos personales: Soluciones en entornos Microsoft En tercer lugar, el Convenio 108 del Consejo de Europa3 establece en su artículo 1: “…garantizar… a cualquier persona física… el respeto de sus derechos y libertades fundamentales, concretamente su derecho a la vida privada, con respecto al trata- miento automatizado de los datos de carácter personal correspondientes a dicha persona”. En España, la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal (LORTAD), desarrolla lo recogido en el artículo 18 de la Constitución Española de 1978 y establece, por primera vez, la limitación del uso de la informática para garantizar la intimidad personal. Posteriormente, la Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995 relativa a la Protección de las Personas Físicas en lo que respecta al Tratamiento de Datos Personales y a la libre circulación de estos datos (Directiva 95/46/CE), establece el marco jurídico en el que se desarrolla la actual legislación española en Protección de Datos de Carácter Personal. La LORTAD tardó siete años en disponer de su desarrollo reglamentario, que llegó con el Real Decreto 994/1999, de 11 de junio: Reglamento de Medidas de Seguridad de los Ficheros Automatizados que contengan Datos de Carácter Perso- nal (RMS). Pocos meses después de la aprobación de dicho reglamento se promulgó la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), vigente en la actualidad, y que adapta la legislación española a la Directiva europea, desarrollando la protección de datos más allá de los datos informatizados, incluyendo dentro de su ámbito de aplicación los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento automatizado o no, y toda modalidad de uso de los mismos. Por fin, la LOPD, tras un periodo de ocho años conviviendo con el RMS, ha visto cómo su desarrollo reglamentario ha sido plasmado mediante el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de Desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (RLOPD). 1.1. La protección de datos personales, un derecho fundamental Si bien durante muchos años ha habido muchas y enfrentadas fuentes doctrinales que discutían si el derecho a la protección de datos es un derecho independiente o se encuentra enmarcado dentro de la esfera del derecho a la intimidad, la Sentencia del Tribunal Constitucional 292/2000 expone en su fundamento jurídico 7: 3. Firmado en Estrasburgo el 28 de enero de 1981. 4
  25. 25. Breve historia de la protección de datos de carácter personal “…el contenido del derecho fundamental a la protección de datos consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de estos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso…”. Así mismo, expone que este derecho se concreta en: “…la facultad de consentir la recogida, la obtención y el acceso a los datos persona- les, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el Estado o un particular…” y considera indispensable para hacer efectivo este derecho: “…el reconocimiento del derecho a ser informado de quién posee sus datos persona- les y con qué fin, y el derecho a poder oponerse a esa posesión y uso requiriendo a quien corresponda que ponga fin a la posesión y empleo de los datos”. Por tanto, el derecho a la protección de datos es un derecho independiente porque se protege cualquier dato de carácter personal que identifique a la persona, y no sólo los datos de su esfera íntima. 5
  26. 26. La protección de datos personales: Soluciones en entornos Microsoft 6
  27. 27. 2 Legislación vigente 2.1. Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) Es la Ley vigente en la actualidad y que adapta la legislación española a la Directiva europea. Su ámbito de aplicación comprende todos los ficheros que contengan datos de carácter personal, con independencia de que se trate de ficheros automatizados o en formato papel. Incluye como otras novedades principales la definición del Encargado del Tratamiento, la regulación de los tratamientos de datos y las relaciones entre Responsable del Fichero y Encargado del Tratamiento, la definición de fuentes accesibles al público, el censo promocional e incorpora el nuevo derecho de oposición. 2.2. Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de Desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (RLOPD) El RLOPD (que entró en vigor el día 19 de abril de 2008) desarrolla la LOPD y consolida la doctrina reguladora establecida por la AEPD en sus instrucciones y expedientes sancionadores, así como la interpretación que de la LOPD han efectua- do los Tribunales a través de la jurisprudencia. El RLOPD incrementa la protección ofrecida a los datos de carácter personal, pero, por otra parte, establece ciertas especialidades para facilitar la implantación de medidas de seguridad, que inciden sobre todo en el ámbito de las PYMES. Este nuevo Reglamento, que sustituye al RMS 994/99, establece, entre otras cosas, las medidas de seguridad para los ficheros no automatizados, regula las 7
  28. 28. La protección de datos personales: Soluciones en entornos Microsoft relaciones entre el Responsable del Fichero y el Encargado del Tratamiento (permi- tiendo además la subcontratación), introduce novedades importantes con respecto a los ficheros sobre solvencia patrimonial y crédito y respecto al ejercicio de derechos, así como otras novedades que se desarrollan en detalle en este libro más adelante. Las infracciones, sanciones o cuantía de las multas no se han modificado, pero sí se ha introducido, con respecto a las actuaciones previas al Procedimiento Sancionador de la AEPD, un límite temporal de doce meses a contar desde la fecha de la denuncia. El vencimiento del plazo sin que se haya dictado y notificado el acuerdo de inicio de procedimiento sancionador producirá la caducidad de las actuaciones previas. 2.2.1. Plazos de adaptación La Disposición transitoria segunda del RLOPD recoge los plazos de implanta- ción de las medidas de seguridad con arreglo a las siguientes reglas: 2.2.1.1. Respecto de los ficheros automatizados que existieran en la fecha de entrada en vigor del RLOPD (19 abril 2008): a) En el plazo de un año desde su entrada en vigor (19 de abril de 2009), deberán implantarse las medidas de seguridad de nivel medio exigibles a los siguientes ficheros:  Aquéllos de los que sean responsables las Entidades Gestoras y Servicios Comunes de la Seguridad Social y se relacionen con el ejercicio de sus competencias.  Aquéllos de los que sean responsables las mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social.  Aquéllos que contengan un conjunto de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos. b) En el plazo de un año (19 de abril de 2009) deberán implantarse las medidas de seguridad de nivel medio a aquéllos de los que sean responsa- bles los operadores que presten servicios de comunicaciones electrónicas disponibles al público o exploten redes públicas de comunicaciones electrónicas respecto a los datos de tráfico y a los datos de localización. c) En el plazo de dieciocho meses (19 de octubre de 2009) las de nivel alto exigibles a los ficheros que contengan datos derivados de actos de violen- cia de género. d) En los demás supuestos, cuando el RLOPD exija la implantación de una medida adicional no prevista en el RMS. Dicha medida deberá implantar- se en el plazo de un año (19 de abril de 2009). 8
  29. 29. Legislación vigente 2.2.1.2. Respecto de los ficheros no automatizados que existieran en la fecha de entrada en vigor del RLOPD: a) Las medidas de seguridad de nivel básico deberán implantarse en el plazo de un año desde su entrada en vigor (19 de abril de 2009). b) Las medidas de seguridad de nivel medio deberán implantarse en el plazo de dieciocho meses desde su entrada en vigor (19 de octubre de 2009). c) Las medidas de seguridad de nivel alto deberán implantarse en el plazo de dos años desde su entrada en vigor (19 de abril de 2010). 2.2.1.3. Respecto de los ficheros creados con posterioridad a la fecha de entrada en vigor del RLOPD: Los ficheros, tanto automatizados como no automatizados, creados con poste- rioridad a la fecha de entrada en vigor del RLOPD deberán tener implantadas, desde el momento de su creación, la totalidad de las medidas de seguridad regula- das en el mismo. 9
  30. 30. La protección de datos personales: Soluciones en entornos Microsoft 10
  31. 31. 3 Datos de carácter personal El artículo 2.a de la Directiva 95/46/CE, relativa a la protección de las perso- nas físicas en lo que respecta al tratamiento de datos personales y a la libre circula- ción de esos datos, define el dato personal del siguiente modo: “ toda información sobre una persona identificada o identificable (...) se considerará identificable toda persona, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos, característicos de su identidad física, fisiológica, psíquica, económica, cultural o social”. El artículo 3 de la LOPD utiliza una definición muy genérica de Datos de Carácter Personal: “cualquier información concerniente a personas físicas identificadas o identificables”. Esta definición ha sido ampliada por el artículo 5 del RLOPD al referirse a los mismos como: “cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables”. Asimismo, el RLOPD ha incluido en el Glosario de Términos la definición de persona identificable, entendiendo como tal: “toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier información referida a su identidad física, fisiológica, psíquica, económica, cultural o social. Una persona física no se considerará identificable si dicha identificación requiere plazos o actividades desproporcionados”. Aun así, el término sigue siendo poco preciso. 11
  32. 32. La protección de datos personales: Soluciones en entornos Microsoft 3.1. Tipos de datos personales Una vez que la organización ha comprobado que tiene datos personales, hay que clasificarlos en función de su tipología, pues no es lo mismo tratar datos mera- mente identificativos (nombre y apellidos, teléfono, dirección...), que tratar datos que puedan comprometer a la persona (enfermedades, deudas, orientación sexual...). Esta clasificación determinará el nivel de medidas de seguridad que posteriormente tenemos que aplicar a los ficheros. Legalmente, hay varios tipos de datos personales y la clasificación se puede llevar a cabo según dos criterios: 1. Según su importancia: clasifica a los datos personales en función de la relación que tienen esos datos personales con el derecho a la intimidad. Hay datos personales especialmente protegidos que están recogidos en los artículos 7 y 8 de la LOPD: los referidos a la ideología, religión, creencias, afiliación sindical, origen racial o étnico, salud, vida sexual, y comisión de infracciones penales o administrativas. El RLOPD (Art. 81.3.c) considera que también deben aplicarse medidas de seguridad de nivel Alto a los datos derivados de actos de violencia de género. Al resto de datos perso- nales no se les concede una protección especial. 2. Según su seguridad: la clasificación se realiza basándose en las medidas de seguridad que se deben cumplir cuando se posean datos personales, y existen tres niveles (Art. 81 RLOPD):  Datos de nivel Básico: Son aquellos datos personales que no se clasifican como de nivel Medio o de nivel Alto.  Datos de nivel Medio:  Los relativos a la comisión de infracciones administrativas o penales.  Los relativos a prestación de servicios de información sobre solvencia patrimonial y crédito.  Aquellos de los que sean responsables Administraciones tributarias y se relacionen con el ejercicio de sus potestades tributarias.  Aquellos de los que sean responsables las entidades financieras para finalidades relacionadas con la prestación de servicios financieros.  Aquellos de los que sean responsables las Entidades Gestoras y Servicios Comunes de la Seguridad Social y se relacionen con el ejercicio de sus competencias. De igual modo, aquellos de los que sean responsables las mutuas de accidentes de trabajo y enferme- dades profesionales de la Seguridad Social. 12
  33. 33. Datos de carácter personal  Aquellos que contengan un conjunto de datos de carácter perso- nal que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determi- nados aspectos de la personalidad o del comportamiento de los mismos.  Datos de nivel Alto:  Los que se refieran a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual.  Los que contengan o se refieran a datos recabados para fines policiales sin consentimiento de las personas afectadas.  Aquellos que contengan datos derivados de actos de violencia de género. Datos de nivel Básico Datos de nivel Medio Datos de nivel Alto  Identificativos.  Hacienda Pública.  Salud.  Características persona-  Los de las Administracio-  Vida sexual. les. nes tributarias relaciona- Ideología. dos con el ejercicio de sus  Circunstancias sociales. potestades tributarias.   Creencias.  Académicos y profesiona- Los de las Entidades les.   Afiliación sindical. Gestoras y Servicios Comunes de la Seguridad Religión. Empleo y puestos de   trabajo. Social y se relacionen con  Violencia de género. el ejercicio de sus  Información comercial. competencia s.  Económico-financieros.  Los de las mutuas de  Transacciones. accidentes de trabajo y enfermedades profesiona- les de la Seguridad Social.  Servicios financieros.  Solvencia patrimonial y crédito.  Infracciones penales y administrativas.  Los que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos. 13
  34. 34. La protección de datos personales: Soluciones en entornos Microsoft 3.2. Novedades RLOPD en la aplicación de algunas medidas de seguridad (Artículo 81.5 y 81.6) Los departamentos de RR.HH suelen tener ficheros a los que hay que aplicar las medidas de seguridad de nivel alto ya que se pueden recoger datos de Nivel Alto, como Afiliación sindical (por ejemplo, para cómputos de horas sindicales, pago de la cuota en el sindicato correspondiente, etc.) o de Salud (por ejemplo, datos de minusvalías a efectos de practicar las retenciones en el IRPF, reconocimien- tos médicos, etc.). Ahora bien, en algunos casos puntuales, aunque esos datos se sigan conside- rando de Nivel Alto, pueden concurrir determinadas circunstancias que permiten adoptar las medidas de Nivel Básico:  Los ficheros o tratamientos de datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual cuando: a) los datos se utilicen con la única finalidad de realizar una transferen- cia dineraria a las entidades de las que los afectados sean asociados o miembros. b) se trate de ficheros o tratamientos no automatizados en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad.  Los ficheros o tratamientos que contengan datos relativos a la salud, referentes exclusivamente al grado de discapacidad o la simple declara- ción de la condición de discapacidad o invalidez del afectado, con motivo del cumplimiento de deberes públicos. Datos de salud Como consecuencia de ello, los datos relativos a una minusvalía siguen siendo datos relativos a la salud (es decir, datos de nivel alto), pero se permite adoptar medidas de seguridad de Nivel Básico cuando su uso se encuentre afectado o vinculado al cumplimiento de deberes públicos. Los supuestos más habituales en relación con los ficheros de nóminas son:  Cuando aparece un porcentaje de minusvalía para calcular el nivel de retención aplicable en nómina.  Cuando contienen información relativa a apto/no apto de un reconocimien- to médico, discapacidad (sí o no), invalidez, incapacidad laboral (sí o no y fecha), enfermedad común, accidente laboral o enfermedad profesional. Si, por el contrario, se describe, por ejemplo, la enfermedad o situación de salud concreta que la causa, o se incluye un código numérico que permita estable- cerla, hay que aplicar el Nivel Alto. 14
  35. 35. Datos de carácter personal Datos relativos a la afiliación sindical Aunque siguen siendo datos de Nivel Alto, se pueden proteger únicamente con medidas de seguridad de Nivel Básico cuando se utilicen exclusivamente para realizar la detracción de la cuota sindical o la domiciliación bancaria. Por el contrario, si contiene, por ejemplo, datos de aquellos afiliados a un sindicato que han disfrutado de las llamadas “horas sindicales”, hay que aplicar el Nivel Alto. 3.3. Otros datos personales La AEPD a través de sus Resoluciones ha ido concretando qué debe entenderse por Datos de Carácter Personal, disipando dudas y ampliando los conceptos, por lo que también deberemos considerar Datos Personales los siguientes:  La imagen (fija o grabación de vídeo): “…la grabación de la imagen de una persona, ya sea trabajador o no de la empresa, es un dato personal, siendo éste el criterio de la Agencia Española de Protección de Datos…” (Resolución R/ 00035/2006, Cuestiones Generales sobre Videovigilancia).  Datos biométricos (huella, iris, etc.): “los datos biométricos tenían la condición de datos de carácter personal y que, dado que los mismos no contienen ningún aspecto concreto de la personalidad, limitando su función a identificar a un sujeto cuando la información se vincula con éste, su tratamiento no tendrá mayor trascendencia que el de los datos relativos a un número de identificación personal, a una ficha que tan solo pueda utilizar una persona o a la combinación de ambos”. (Tratamiento de la huella digital de los trabajadores. Informe AEPD 1/ 1999.)  La dirección de correo electrónico: “…no existe duda de que la dirección de correo electrónico identifica, incluso de forma directa, al titular de la cuenta, por lo que en todo caso dicha dirección ha de ser considerada como dato de carácter personal”. (Cribado de correo electrónico. Informe Jurídico 0391/2007.)  La dirección IP: “…las direcciones IP tanto fijas como dinámicas, con indepen- dencia del tipo de acceso, se consideran datos de carácter personal resultando de aplicación la normativa sobre protección de datos”. (Carácter de dato personal de la dirección IP. Informe AEPD 327/2003.) El artículo 5 del RLOPD también define como Persona Identificable a toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier información referida a su identidad física, fisiológica, psíquica, económi- ca, cultural o social. Una persona física no se considerará identificable si dicha identificación requiere plazos o actividades desproporcionados. Por ello, cualquier dato que permita identificar a una persona deberá considerarse Dato Personal, y su nivel se establecerá en cada caso dependiendo de la tipología del dato y de la finalidad del fichero. 15
  36. 36. La protección de datos personales: Soluciones en entornos Microsoft Por otra parte, el RLOPD no se aplica a: 1. Tratamientos de datos referidos a personas jurídicas. 2. Ficheros que se limiten a incorporar datos de personas físicas que presten sus servicios en aquéllas (nombre y apellidos, las funciones o puestos desempeñados, dirección postal o electrónica, teléfono y número de fax profesionales). 3. Datos relativos a empresarios individuales, cuando hagan referencia a ellos en su calidad de comerciantes, industriales o navieros. 4. Datos referidos a personas fallecidas. 16
  37. 37. 4 Obligaciones básicas En este apartado haremos una exposición de las obligaciones principales que la normativa de protección de datos impone a los responsables de los ficheros de datos de carácter personal y demás personas que intervienen en algún momento en el tratamiento de los mismos. Para ello, y con el objetivo de aportar una visión práctica en su desarrollo, hemos dividido el transcurso del tratamiento de los datos en tres momentos princi- pales:  con carácter previo a la recogida de los datos,  durante el tratamiento de los datos y  una vez finalizado el tratamiento. De este modo, analizaremos cada una de las obligaciones, ubicándolas en el momento en el que deben ser tenidas en cuenta para una correcta aplicación de la normativa de protección de datos, ya que la propia LOPD establece en qué punto del tratamiento deben ser apreciadas unas y otras. 4.1. Con carácter previo a la recogida de los datos 4.1.1. La creación y notificación de ficheros ¿Qué es un fichero de datos de carácter personal? Debemos comenzar analizando qué es un fichero de datos de carácter personal y qué se entiende como tal a efectos de notificación. La definición legal de fichero se encuentra recogida en el artículo 3.b) de la LOPD que se expresa en los siguientes términos: 17
  38. 38. La protección de datos personales: Soluciones en entornos Microsoft “todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso”, definición que ha sido desarrollada por el RLOPD, en su artículo 5.1.k), quedando finalmente como: “todo conjunto organizado de datos de carácter personal, que permita el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere la forma o modali- dad de su creación, almacenamiento, organización y acceso”. Nos encontramos ante una definición de carácter genérico y que puede resul- tar tan amplia que en la práctica no ha sido de gran ayuda, creando incluso confu- sión en numerosas ocasiones en las que, atendiendo a la misma, no queda claro si nos encontramos ante un fichero protegido por la normativa de protección de datos personales y que, por consiguiente, debe ser declarado ante la AEPD para su ins- cripción en el RGPD o, por el contrario, podríamos estar ante varios ficheros cuya declaración debe hacerse de forma independiente. Dentro de esta definición pode- mos englobar muchos términos utilizados habitualmente, tales como base de datos, aplicación, programa, tabla, fichero... -en relación con el tratamiento informatizado-, o cajonera, armario, archivo... -si nos referimos a tratamientos no informatizados, sino manuales-. Estos términos vienen a identificar los denominados ficheros físicos. Frente a estos, existen los llamados ficheros lógicos, que podemos definir como ficheros o conjunto de ficheros físicos que contienen el mismo tipo de datos y son tratados para la misma finalidad. La AEPD ha considerado que sólo los ficheros lógicos son objeto de declara- ción. Esto significa que, una vez identificados los ficheros físicos, el responsable de los mismos podrá agruparlos en ficheros lógicos atendiendo a los criterios indica- dos. Así por ejemplo, en una empresa pueden existir diversos ficheros físicos con datos de clientes (datos bancarios, gestión de la relación comercial, marketing, gestión de impagados). Todos estos tienen datos de clientes y comparten la finali- dad consistente en gestionar la relación con los mismos, de manera que se pueden agrupar en un único fichero lógico y declararse ante la AEPD, por ejemplo, bajo el nombre de clientes. El concepto anteriormente indicado puede matizarse aún más teniendo en cuenta lo establecido en el artículo 2.c) de la Directiva 95/46/CE, dado que el mismo aclara la referencia a la forma de creación, almacenamiento, organización y acceso del fichero al indicar que el conjunto de datos tendrá esa consideración “ya sea centralizado, descentralizado o repartido de forma funcional o geográfica”. En cuanto al reparto geográfico, podemos afirmar que el concepto de fichero no va directamente vinculado a la exigencia de que el mismo se encuentre en una única ubicación. Es posible la existencia de ficheros distribuidos en lugares geográfi- cos remotos entre sí, siempre y cuando la organización y sistematización de los datos responda a un conjunto organizado y uniformado de datos, sometido a algún tipo de gestión centralizada. 18
  39. 39. Obligaciones básicas La AEPD se ha pronunciado en este sentido a través de un informe jurídico4 emitido en respuesta a una consulta planteada por una entidad que disponía de diversos centros, ubicados en distintos lugares y carentes de personalidad jurídica propia, disponiendo de información sometida a tratamiento similar repartida en ficheros idénticos y alojada en servidores diferentes, dada su ubicación en los distintos centros, pero administrados y gestionados de forma centralizada. En relación con este tema, el RLOPD -artículo 56- viene a aclarar que: “la notificación de un fichero de datos de carácter personal es independiente del sistema de tratamiento empleado en su organización y del soporte o soportes emplea- dos para el tratamiento de los datos” y que “cuando los datos de carácter personal objeto de tratamiento estén almacenados en diferentes soportes, automatizados y no automatizados, o exista una copia en soporte no automatizado de un fichero automati- zado, sólo será preciso una sola notificación, referida a dicho fichero”. La creación de ficheros de datos de carácter personal. Lo primero que debemos pensar si deseamos crear un fichero que contenga datos personales, es que tenemos que enfrentarnos a un requisito, establecido en el artículo 25 de la LOPD, en virtud del cual es imprescindible que el fichero “resulte necesario para el logro de la actividad u objeto legítimos de la persona, empresa o entidad titular y se respeten las garantías que esta Ley establece para la protección de las personas”. Si bien, del respeto de las garantías establecidas en la LOPD iremos hablando a lo largo de todo este apartado, debemos analizar antes de seguir adelante el signifi- cado de la expresión “[...] resulte necesario para el logro de la actividad u objeto legítimos [...]”. Dicha “necesidad”, con frecuencia viene establecida o se deriva del cumpli- miento de la legislación aplicable a la actividad u objeto desarrollados por el res- ponsable, tanto en términos generales como fruto de alguna norma sectorial. De ahí que algunos ficheros resultan imprescindibles para el desarrollo de cualquier actividad u objeto legitimo (ya sea empresarial, comercial, profesional...) y otros resultan específicos de cada sector. Incluso, al margen de los ficheros creados por imposición, cualquier persona, empresa o entidad, puede sentir la necesidad de crear ficheros con distintas finalidades, pero para su creación siempre ha de haber una justificación directamente vinculada a la actividad u objeto legítimos, sin existir limitación alguna en relación con el número de ficheros inscribibles. En este orden de cosas, podemos poner como ejemplos más claros en los que se cumple este primer requisito para la creación de ficheros, aquellos en los que la necesidad de su creación es consecuencia directa del cumplimiento de una Norma que el titular debe aplicar para el desarrollo de su actividad u objeto legítimos, de lo que no cabe duda en ficheros como los que se describen a continuación: A. Los ficheros tradicionalmente denominados personal, empleados, gestión laboral..., permiten llevar a cabo la gestión laboral de la actividad desarro- 4. Vid. AEPD, Informe Jurídico 368/2003 Inscripción de ficheros situados en múltiples ubicacio-nes, https:// www.agpd.es/portalweb/canaldocumentacion/informes_juridicos/inscripcion_ficheros/common/pdfs/2003- 0368_Inscripci-oo-n-de-ficheros-situados-en-m-uu-ltiples-ubicaciones.pdf. 19
  40. 40. La protección de datos personales: Soluciones en entornos Microsoft llada por el responsable del fichero, así como un control detallado de las cuestiones relativas al personal laboral. En este sentido, la Ley 42/1997, de 14 de noviembre, Ordenadora de la Inspección de Trabajo y Seguridad Social, hace referencia a la conservación de información del personal laboral por parte del empleador, al disponer en su artículo 11 que “toda persona natural o jurídica estará obligada a proporcionar a la Inspección de Trabajo y Seguridad Social toda clase de datos, antecedentes o información con trascendencia en los cometidos inspectores, siempre que se deduzcan de sus relaciones económicas, profesionales, empresariales o financieras con terceros sujetos a la acción inspectora, cuando a ello sea requerida en forma”. B. Otros de los ficheros más habitualmente declarados por los responsables son los denominados gestión fiscal y contable, gestión económica, factura- ción... No cabe duda de la necesidad de estos ficheros para el logro de la actividad legítima de cualquier actividad económica. En este sentido, el artículo 142 de la Ley 58/2003, de 17 de diciembre, General Tributaria, que se expresa en los siguientes términos: “Las actuaciones inspectoras se realizarán mediante el examen de documen- tos, libros, contabilidad principal y auxiliar, ficheros, facturas, justificantes, correspondencia con trascendencia tributaria, bases de datos informatizadas, programas, registros y archivos informáticos relativos a actividades económi- cas, así como mediante la inspección de bienes, elementos, explotaciones y cualquier otro antecedente o información que debe de facilitarse a la Adminis- tración o que sea necesario para la exigencia de las obligaciones tributarias”, justifica la creación de dichos ficheros. C. Poniendo como ejemplo el sector sanitario, en el que los derechos a la intimidad y a la protección de datos tienen una relevancia especial, cualquier centro sanitario, desde las clínicas en las que un único profesio- nal desarrolla su actividad de forma autónoma hasta los grandes hospita- les, tienen la obligación de disponer de un fichero con las historias clínicas de sus pacientes, cuya finalidad es la gestión de la prestación sanitaria prestada a los mismos. Fruto de la obligación de conservación de la documentación clínica, establecida en el artículo 17.1 de la Ley 41/2002, de 14 de noviembre, reguladora básica de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica, se especifica que: “los centros sanitarios tienen la obligación de conservar la documentación clínica en condiciones que garanticen su correcto mantenimiento y seguridad, aunque no necesariamente en el soporte original, para la debida asistencia al paciente durante el tiempo adecuado a cada caso y, como mínimo, cinco años contados desde la fecha del alta de cada proceso asistencial”. De lo anteriormente expuesto, podemos concluir que cualquiera de estos ficheros cumple con el requisito de necesariedad para el logro de la actividad u objeto legítimos de sus responsables. A pesar de que no siempre tiene que ser así, ni 20
  41. 41. Obligaciones básicas es la única justificación para que un fichero cumpla el requisito de necesariedad que venimos analizando, los más habituales surgen de la necesidad de cumplir con requisitos impuestos por diferentes legislaciones. No podemos olvidar que, fuera de estos supuestos, cualquier persona, empresa o entidad, puede necesitar crear fiche- ros con distintas finalidades, lo que no supondrá ningún problema siempre que exista una justificación directamente vinculada a su actividad u objeto legítimos. 4.1.1.1. Ficheros de titularidad privada Los ficheros de titularidad privada son definidos en el artículo 5.1.l) del RLOPD como aquellos de los que son responsables las personas, empresas o entida- des de derecho privado, independientemente de quien ostente la titularidad de su capital o de la procedencia de sus recursos económicos, así como los ficheros de los que sean responsables las corporaciones de derecho público, pero no se encuentran estrictamente vinculados al ejercicio de potestades de derecho público atribuida por su normativa específica. Para la creación de estos ficheros hay que cumplir un procedimiento formal establecido en el artículo 27 de la LOPD, siguiendo los pasos que se describen a continuación: A. Notificación previa a la AEPD, cumplimentando los modelos o formula- rios electrónicos aprobados al efecto por la AEPD en resolución de 12 de julio de 2006 y publicados en el Boletín Oficial del Estado de 31 de julio 2006, en los que se detallará necesariamente la identificación del responsa- ble del fichero, el nombre del fichero, sus finalidades y los usos previstos, el sistema de tratamiento empleado, el colectivo de personas sobre el que se obtienen los datos, el procedimiento y la procedencia de los datos, las categorías de datos, el servicio o unidad de acceso, la identificación del nivel de medidas de seguridad básico, medio o alto exigible y, en su caso la identificación del encargado de tratamiento donde se encuentre ubicado el fichero y los destinatarios de cesiones y transferencias internacionales de datos. Además, se declarará un domicilio a efectos de notificación. En función de lo establecido en el RLOPD, esta notificación podrá realizarse en diferentes soportes, tal y como se explica a continuación:  En soporte electrónico -mediante comunicación electrónica o en soporte informático-, utilizando el programa NOTA (Notificaciones Telemáticas a la Agencia) para la generación de notificaciones que la AEPD ha puesto a disposición de todos los ciudadanos.  En soporte papel, utilizando igualmente los modelos aprobados por la AEPD. Estos formularios se pueden obtener gratuitamente en la página web de la AEPD (www.agpd.es). B. Si la notificación se ajusta a los requisitos exigibles, el Director de la AEPD, a propuesta del Registro General de Protección de Datos (en adelante, RGPD), acordará la inscripción del fichero asignándole el correspondiente 21
  42. 42. La protección de datos personales: Soluciones en entornos Microsoft código de inscripción. En caso contrario, dictará resolución denegando la inscripción, debidamente motivada y con indicación expresa de las causas que impiden la inscripción. El art. 59.3 del RLOPD, introduce como novedad la posibilidad del Director de la AEPD de establecer procedimientos simplificados de notificación en atención a las circunstancias que concurran en el tratamiento o el tipo de fichero al que se refiere la notificación. La notificación de la creación de ficheros de datos de carácter personal ante la AEPD es una obligación que corresponde al responsable de los mismos, de manera que cuando se tenga previsto crear un fichero del que resulten responsables varias personas o entidades simultáneamente, cada una de ellas deberá notificar, a fin de proceder a su inscripción en el RGPD, la creación del correspondiente fichero. Además, esta obligación no conlleva coste económico alguno. Es importante destacar que la inscripción de los ficheros debe encontrarse actualizada en todo momento y es meramente declarativa, sin calificar que se estén cumpliendo las restantes obligaciones derivadas de la LOPD. Como consecuencia, que el RGPD acepte la inscripción de un fichero no conlleva, en ningún caso, un reconocimiento por parte de la AEPD de cumplimiento de ninguna otra obligación establecida en la normativa vigente en materia de protección de datos. Tal y como se expresa la propia AEPD en sus notificaciones: “La inscripción de un fichero en el Registro General de Protección de Datos, únicamente acredita que se ha cumplido con la obligación de notificación dispuesta en la Ley Orgánica 15/1999, sin que se esta inscripción se pueda desprender el cumplimiento por parte del responsable del fichero del resto de las obligaciones previstas en dicha Ley y demás disposiciones reglamentarias.” No por ello, debemos restar importancia al cumplimiento de la obligación de notificar los ficheros ya que permite dar publicidad de su existencia, poniendo a disposición de todos los ciudadanos, los ficheros en los que podrían encontrarse sus datos personales, facilitándoles de este modo el conocimiento de lo siguiente:  La totalidad de ficheros en los que podrían encontrarse sus datos personales.  La identificación del fichero, sus finalidades y los usos previstos, el sistema de tratamiento empleado, el colectivo de personas sobre el que se obtienen los datos, el procedimiento y procedencia de los datos, las categorías de datos, el servicio o unidad de acceso, la identificación del nivel de medidas de seguridad básico, medio o alto exigible y, en su caso, la identificación del encargado de tratamiento donde se encuentre ubicado el fichero y los destinatarios de cesiones y transferencias internacionales de datos.  Los responsables ante los que pueden ejercitar los derechos de acceso, rectificación, cancelación u oposición. Pero las ventajas de la inscripción registral no alcanzan únicamente a los ciudadanos, sino que se extienden tanto a la AEPD como a los propios responsables de los ficheros. 22
  43. 43. Obligaciones básicas En relación con la AEPD, podemos destacar que la inscripción de los ficheros le permite disponer de una relación actualizada de los ficheros inscritos, facilitándole:  el cumplimiento de la obligación de velar por la publicidad de la existen- cia de los ficheros de datos con carácter personal5,  el conocimiento de todos los ficheros que deben cumplir con las obligacio- nes establecidas en la LOPD y su normativa de desarrollo,  el ejercicio de las actividades que la normativa le encomienda como Autoridad de Control y  el ejercicio del derecho de consulta de los ciudadanos. Desde la perspectiva del responsable de los ficheros, podemos apreciar las siguientes ventajas respecto de la inscripción de ficheros en el RGPD:  Evitar la imposición de sanciones.  Mostrar el compromiso o la intención de cumplir con la normativa de protección de datos.  Facilitar a los titulares de los datos contenidos en sus ficheros el ejercicio de los derechos de acceso, rectificación, cancelación y oposición. Como resumen de lo expuesto hasta el momento, podemos hacernos eco de los principios que rigen la inscripción de ficheros, recogidos en la Memoria de la AEPD del año 2000:  El responsable del fichero deberá efectuar una notificación de un trata- miento o de un conjunto de tratamientos.  La inscripción de un fichero de datos no prejuzga que se hayan cumplido el resto de las obligaciones derivadas de la Ley.  La notificación de ficheros implica el compromiso por parte del responsa- ble de que el tratamiento de datos personales declarados para su inscrip- ción cumple con todas las exigencias legales.  La notificación de los ficheros al Registro supone una obligación de los responsables del tratamiento, sin coste económico alguno para ellos, y facilita que las personas afectadas puedan conocer quiénes son los titula- res de los ficheros ante los que deben ejercitar directamente los derechos de acceso, rectificación, cancelación y oposición.  Toda persona o entidad que proceda a la creación de ficheros de datos de carácter personal lo notificará previamente a la AEPD.  En la notificación deberán figurar necesariamente el responsable del fichero, la finalidad del mismo, las medidas de seguridad, con indicación del nivel básico, medio o alto exigible y las cesiones de datos de carácter 5. Artículo 37.1. j) LOPD. 23

×