Apuntes Lopd

LOPD LEY ORGÁNICA DE PROTECCIÓN DE DATOS Autor: Santiago Galván Sánchez

Constitución Española
... el artículo 18.4 de la Constitución Española establece que “la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”, para ello, se ha definido un marco legal dentro del que deben actuar las personas jurídicas o personas físicas en el ejercicio de sus actividades profesionales.

Documentos relevantes
LEY ORGÁNICA 15/1999, de 13 de diciembre, de protección de datos de carácter personal .
REAL DECRETO 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.
Guía de seguridad publicada por la Agencia Española de Protección de datos.

LOPD
Tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar.
Comprende por tanto el tratamiento automatizado y el no automatizado de los datos de carácter personal.

LODP
La actual Ley Orgánica 15/1999, de 13 de diciembre de Protección de datos de carácter personal adaptó nuestro ordenamiento a lo dispuesto por la Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos,
derogando a su vez la hasta entonces vigente Ley Orgánica 5/1992, de 29 de octubre, de Regulación del tratamiento automatizado de datos de carácter personal.

Derechos de las personas
¿Qué derechos tenemos con respecto a nuestra información personal que tiene registrada otras personas?
Acceso.
Rectificación
Cancelación
Oposición

Derecho de acceso
El derecho de acceso es el derecho del afectado a obtener información sobre si sus propios datos de carácter personal están siendo objeto de tratamiento, la finalidad del tratamiento que, en su caso, se esté realizando, así como la información disponible sobre el origen de dichos datos y las comunicaciones realizadas o previstas de los mismos.
En virtud del derecho de acceso el afectado podrá obtener del responsable del tratamiento información relativa a datos concretos, a datos incluidos en un determinado fichero, o a la totalidad de sus datos sometidos a tratamiento.

Derechos de rectificación y cancelación
El derecho de rectificación es el derecho del afectado a que se modifiquen los datos que resulten ser inexactos o incompletos.
El ejercicio del derecho de cancelación dará lugar a que se supriman los datos que resulten ser inadecuados o excesivos, sin perjuicio del deber de bloqueo conforme al reglamento.

Derecho de oposición
El derecho de oposición es el derecho del afectado a que no se lleve a cabo el tratamiento de sus datos de carácter personal o se cese en el mismo en los siguientes supuestos:
Cuando no sea necesario su consentimiento para el tratamiento, como consecuencia de la concurrencia de un motivo legítimo y fundado, referido a su concreta situación personal, que lo justifique, siempre que una Ley, no disponga lo contrario.
Cuando se trate de ficheros que tengan por finalidad la realización de actividades de publicidad y prospección comercial, en los términos previstos en el artículo 51de este reglamento, cualquiera que sea la empresa responsable de su creación
Cuando el tratamiento tenga por finalidad la adopción de una decisión referida al afectado y basada únicamente en un tratamiento automatizado de sus datos de carácter personal, en los términos previstos en el artículo 36 de este reglamento.

Definiciones
Datos de carácter personal : Cualquier información concerniente a personas físicas identificadas o identificables .
Persona identificable : toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier información referida a su identidad física, fisiológica, psíquica, económica, cultural o social.
Una persona física no se considerará identificable si dicha identificación requiere plazos o actividades desproporcionados.

Definiciones
Responsable del fichero o tratamiento : Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento .
Responsable de seguridad: persona o personas a las que el responsable del fichero ha asignado formalmente la función de coordinar y controlar las medidas de seguridad aplicables .

LOPD - Obligación
El responsable del fichero, y, en su caso, el encargado del tratamiento,
deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado ,
habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.

LOPD - Exigencia
No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas.

Agencia de protección de datos
... es un Ente de Derecho Público, con personalidad jurídica propia y plena capacidad pública y privada. Actúa con plena independencia de las Administraciones Públicas en el ejercicio de sus funciones.
Su finalidad principal es velar por el cumplimiento de la legislación sobre protección de datos personales y controlar su aplicación, en especial en lo relativo a los derechos de información, acceso, oposición, rectificación y cancelación de datos.

LOPD - Sanciones económicas LEVES Multa de 601,01 € a 60.101,21 € (100.000 a 10.000.000 pesetas) GRAVES Multa de 60.101,21 € a 300.506,05 € (10.000.000 a 50.000.000 pesetas) MUY GRAVES Multa de 300.506,05 € a 601.012,10 € (50.000.000 a 100.000.000 pesetas)

LOPD - Infracciones
Las infracciones se agrupan en el artículo 44 y 47 de la LOPD dentro del Título VII que lleva por nombre “Infracciones y Sanciones”.
La LOPD distingue tres tipos de infracciones:
Leves
Graves
muy graves.

Infracciones Leves
La prescripción de las infracciones leves es de un año desde que se comete el hecho supuestamente infractor.
Las infracciones leves son las siguientes:
No atender la solicitud de rectificación o cancelación.
No facilitar a la Agencia de Protección de Datos la información que ésta solicite.
No solicitar la inscripción de un fichero con datos personales.
Recoger datos personales contraviniendo el derecho de información en la recogida de datos (artículo 5 LOPD).
Incumplir el deber de secreto recogido en el artículo 10 de la LOPD.

Infracciones graves I
La prescripción de las infracciones graves es de dos años desde que se comete el hecho supuestamente infractor.
Las infracciones graves son las siguientes:
Crear un fichero de titularidad pública o proceder a la recogida de datos personales sin autorización de “disposición general” publicada en un Boletín Oficial.
Crear un fichero de titularidad privada o proceder a la recogida de datos con una finalidad distinta al objeto legítimo de la entidad que los recaba.
Recoger datos sin el consentimiento expreso de los afectados (siempre y cuando este sea exigible).
Tratar los datos personales en contra de los principios y las garantías recogidos en la LOPD.

Infracciones graves II
El impedimento del ejercicio de los derechos de acceso o de oposición y la negativa a facilitar la información requerida.
Mantener los datos de forma inexacta o no efectuar las rectificaciones o cancelaciones de los datos cuando legalmente haya que realizarlas.
Infringir del deber de secreto sobre datos de nivel medio atenuado o de nivel medio (según el Reglamento de Seguridad).
No implantar las medidas que se correspondan según el Reglamento de Seguridad.

Infracciones graves III
No remitir a la Agencia de Protección de Datos las notificaciones que sean solicitadas o no proporcionarlas en el plazo requerido.
La obstrucción del ejercicio de la función inspectora de la Agencia de Protección de Datos.
No inscribir el fichero en el Registro General de Protección de Datos, cuando sea requerido por el director de la Agencia de Protección de Datos.
Incumplir el deber de información cuando los datos hayan sido recabados de persona distinta del afectado.

Infracciones muy graves I
La prescripción de las infracciones muy graves es de tres años desde que se comete el hecho supuestamente infractor.
Las infracciones muy graves son las siguientes:
Recoger datos personales de forma engañosa y fraudulenta.
Ceder datos personales fuera de los casos en los que está permitido.

Infracciones muy graves II
Recabar y tratar datos especialmente protegidos sin el consentimiento expreso del afectado, cuando no lo disponga una ley o cuando se recaben con la única finalidad de poseer este tipo de datos.
No cesar en el uso ilegítimo de un tratamiento de datos personal cuando así sea requerido por el director de la Agencia de Protección de Datos.
No recabar la autorización del director de la Agencia de Protección de Datos para realizar una transferencia internacional de datos cuando aquella sea necesaria.

Infracciones muy graves III
Tratar los datos personales de manera ilegítima o contra los principios y las garantías aplicables, siempre que ello impida o vaya en contra de derechos fundamentales.
Vulnerar el deber de secreto (artículo 10 de la LOPD) de los datos especialmente protegidos.
No atender u obstaculizar sistemáticamente el ejercicio de los derechos de acceso, rectificación, cancelación u oposición.
No atender sistemáticamente el derecho de información en la recogida de datos personales.

LOPD – Niveles de seguridad
Las medidas de seguridad exigibles a los ficheros y tratamientos se clasifican en tres niveles: básico, medio y alto.
Las medidas de un nivel incluyen las medidas de los niveles inferiores.
Medidas Nivel básico Medidas Nivel Medio Medidas Nivel Alto

Niveles de seguridad – Nivel alto
Ficheros o tratamientos con datos:
de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual y respecto de los que no se prevea la posibilidad de adoptar el nivel básico;
recabados con fines policiales sin consentimiento de las personas afectadas; y
derivados de actos de violencia de género.

Niveles de seguridad – Nivel medio
Ficheros o tratamientos con datos:
relativos a la comisión de infracciones administrativas o penales;
que se rijan por el artículo 29 de la LOPD (prestación de servicios de solvencia patrimonial y crédito);
de Administraciones tributarias, y que se relacionen con el ejercicio de sus potestades tributarias;
de entidades financieras para las finalidades relacionadas con la prestación de servicios financieros;
de Entidades Gestoras y Servicios Comunes de Seguridad Social, que se relacionen con el ejercicio de sus competencias;
de mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social;
que ofrezcan una definición de la personalidad y permitan evaluar determinados aspectos de la misma o del comportamiento de las personas; y
de los operadores de comunicaciones electrónicas, respecto de los datos de tráfico y localización

Niveles de seguridad – Nivel básico
Cualquier otro fichero que contenga datos de carácter personal.
También aquellos ficheros que contengan datos de ideología, afiliación sindical, religión, creencias, salud, origen racial o vida sexual, cuando:
los datos se utilicen con la única finalidad de realizar una transferencia dineraria a entidades de las que los afectados sean asociados o miembros;
se trate de ficheros o tratamientos no automatizados o sean tratamientos manuales de estos tipos de datos de forma incidental o accesoria, que no guarden relación con la finalidad del fichero;
en los ficheros o tratamientos que contengan datos de salud, que se refieran exclusivamente al grado o condición de discapacidad o la simple declaración de invalidez, con motivo del cumplimiento de deberes públicos.

Medidas a aplicar I Incidencia : cualquier anomalía que afecte o pudiera afectar a la seguridad de los datos.

Medidas a aplicar II Autenticación : procedimiento de comprobación de la identidad de un usuario. Identificación : procedimiento de reconocimiento de la identidad de un usuario. Control de acceso: mecanismo que en función de la identificación ya autenticada permite acceder a datos o recursos.

Medidas a aplicar III Copia de respaldo : copia de los datos de un fichero automatizado en un soporte que posibilite su recuperación.

Medidas a aplicar IV

Medidas a aplicar V

Medidas a aplicar VI

Medidas a aplicar VII
Los accesos a través de redes de telecomunicaciones deben garantizar un nivel de seguridad equivalente al de los accesos en modo local.
La ejecución de trabajos fuera de los locales del responsable o del encargado del tratamiento debe ser previamente autorizada por el responsable del fichero, constando en el documento de seguridad, y garantizar el nivel de seguridad.
Los ficheros temporales deberán cumplir el nivel de seguridad correspondiente y serán borrados una vez que hayan dejado de ser necesarios.
Acceso facilitado a un encargado del tratamiento deberá constar en el documento de seguridad y deberá comprometerse al cumplimiento de las medidas de seguridad previstas.

Documento de seguridad
El documento de seguridad es un documento interno de la organización , que debe mantenerse siempre actualizado.
Disponer del documento de seguridad es una obligación para todos los responsables de ficheros y, en su caso, para los encargados del tratamiento, con independencia del nivel de seguridad que sea necesario aplicar.

Apartados mínimos del documento de seguridad
Ámbito de aplicación: especificación detallada de los recursos protegidos.
Medidas, normas, procedimientos, reglas y estándares de seguridad.
Funciones y obligaciones del personal.
Estructura y descripción de los ficheros y sistemas de información.
Procedimiento de notificación, gestión y respuesta ante incidencias.
Procedimiento de copias de respaldo y recuperación de datos.
Medidas adoptadas en el transporte, destrucción y/o reutilización de soportes y documentos.

Apartados mínimos del documento de seguridad
A partir del nivel medio de medidas de seguridad, además de los apartados anteriores, deberán incluirse los siguientes:
Identificación del responsable de seguridad.
Control periódico del cumplimiento del documento

Elaboración del documento de seguridad
La Agencia de Protección de Datos ha publicado una guía de seguridad en donde se adjunta una plantilla para la redacción del documento de seguridad.

LOPD en la enseñanza reglada no universitaria
PLAN SECTORIAL DE OFICIO A LA ENSEÑANZA REGLADA NO UNIVERSITARIA

Referencias
LEY ORGÁNICA 15/1999, de 13 de diciembre, de protección de datos de carácter personal .
REAL DECRETO 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.
Guía de seguridad publicada por la Agencia Española de Protección de datos.
La protección de datos personales. Microsoft.
LOPD. Ecomputer.

http://diarioaula.blogspot.com	175
http://formacionlopdgratuita.blogspot.com	36
http://legislacionyrecursoslopd.blogspot.com	35
http://www.slideshare.net	31
http://ultimasnoticiassobreafinsa.blogspot.com	19
http://diarioaula.blogspot.com.es	9
http://culturalopd.blogspot.com	5
http://www.ies-provenzana.com	3
http://www.legislacionyrecursoslopd.blogspot.com	1

Apuntes Lopd

by sgalvan on Sep 07, 2009

Accessibility

Categories

Upload Details

Usage Rights

9 Embeds 314

Statistics

Apuntes Lopd — Presentation Transcript