LOPD

583 views

Published on

Llei Orgànica de Protecció de Dades (LOPD))

0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
583
On SlideShare
0
From Embeds
0
Number of Embeds
53
Actions
Shares
0
Downloads
0
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

LOPD

  1. 1. Vicenç Llobet Novembre 2012
  2. 2. 1. Generalitats 2. Normativa 3. Dada de caràcter personal 4. Tractament de les dades 5. Fitxers 6. Notificació i inscripció de fitxers 7. Obligacions 8. Drets 9. Accés a les dades per compte de tercers 10. Cessió o comunicació de dades 11. Mesures de seguretat 12. Infraccions 13. Sancions 14. La Agència Espanyola de Protecció de Dades
  3. 3. L’aparició de la Llei Orgànica de Protecció de Dades de caràcter personal obliga a les empreses que operen amb aquest tipus de dades a que els protegeixin i informin de l’existència dels fitxers que les contenen. Aquesta Llei és d’aplicació a les dades de caràcter personal registrades en suport físic o automatitzat, que els facin susceptibles de tractament i a tota modalitat d’ús posterior d’aquestes dades pels sectors públics i privat. Es regeix per aquesta Llei el tractament de les dades de caràcter personal:  Quan el tractament sigui efectuat en territori espanyol en el marc de les activitats d’un establiment del responsable del tractament.  Quan el responsable del tractament no establert en territori espanyol, li sigui d’aplicació la legislació espanyola en aplicació de normes de Dret Internacional Públic.  Quan al responsable del tractament no estigui establert en territori de la Unió Europea i utilitzi en el tractament de dades mesures situades en territori espanyol, a excepció que tals mitjans s’utilitzin únicament amb finalitats de trànsit.
  4. 4. Aquest règim no serà d’aplicació:  Als fitxers mantinguts per persones físiques en l’exercici d’activitats exclusivament personals o domèstiques.  Als fitxers sotmesos a la normativa sobre protecció de matèries classificades.  Als fitxers establerts per a la investigació del terrorisme i de formes greus de delinqüència organitzada.
  5. 5. La principal normativa que actualment es troba en vigor a Espanya és la següent:  Llei Orgànica 15/1999, de 13 de desembre, de Protecció de Dades de Caràcter Personal (LOPD). Aquesta Llei és el resultat de la transposició de la Directiva 95/46/CE del Parlament Europeu i del Consell. Té per objectiu la garantia de les llibertats públiques i dels drets fonamentals de les persones físiques en el que fa referència al tractament de les dades personals. Amb ella s’aconsegueix que la protecció de dades abasti no només els que es trobin automatitzats sinó també als tractats de forma manual. És, sens dubte, la norma bàsica i principal que regula la protecció de dades de caràcter personal a Espanya.  Reial Decret 1720/2007, de 21 de desembre, pel que s’aprova el Reglament de desenvolupament de la Llei Orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal.
  6. 6.  Concepte  Una dada de caràcter general és qualsevol informació numèrica, alfabètica, gràfica, fotogràfica, acústica o de qualsevol altre tipus referent a persones físiques identificades o identificables.  D’aquesta forma, les dades de caràcter personal són elements que ens permeten determinar la identitat psíquica, econòmica, fisiològica o social d’una persona física.  Segons la Sentència del Tribunal Constitucional 292/2000, el dret a la protecció de dades no es refereix només a les dades íntimes d’una persona sinó a qualsevol dada personal en el que el coneixement o ús per tercers pugui afectar als seus drets.  L’LOPD és d’aplicació a totes aquestes dades registrades en suport físic o automatitzat que els faci susceptibles de tractament.  Són exemples de dades de caràcter personal el DNI, NIF, número de afiliació a la Seguretat Social, número de afiliació a mutualitats, nom i cognoms, adreça postal, adreça d’e-mail, empremta digital, signatura electrònica, adreça IP, imatge, veu, estat civil, dades familiars, aficions, formació, ...
  7. 7.  Dades especialment protegides  Són aquelles dades que, per estar lligades a l’àmbit més íntim de la persona, tenen atorgada una protecció legal més intensa. Són dades referents a les següents matèries:  Ideologia  Religió  Creences  Afiliació sindical  Origen racial o ètnic  Vida sexual  Salud  Infraccions penals o administratives
  8. 8. Tal i com estableix la pròpia Constitució, ningú pot ser obligat a declarar sobre la seva ideologia, religió o creences pel que quan es procedeix a demanar el consentiment exprés i per escrit de l’afectat s’haurà d’advertir sobre el seu dret a no prestar-lo. Només podran ser objecte de tractament les dades de caràcter personal que revelin la ideologia, afiliació sindical, religió i creences amb el consentiment exprés i per escrit de l’afectat. Existeixen excepcions a aquesta regla: Els fitxers mantinguts per partits polítics, sindicats, esglésies, confessions o comunitats religioses i associacions, fundacions i altres entitats sense ànim de lucre, que la seva finalitat sigui política, filosòfica, religiosa o sindical, en quan a les dades relatives als seus associats o membres, sense perjudici de que la cessió d’aquestes dades requerirà sempre del previ consentiment de l’afectat. En el cas de les dades que facin referència a l’origen racial, a la salut i a la vida sexual només podran ser recopilades, tractades i cedides quan, per raons d’interès general, així ho disposi una llei o l’afectat o consenti expressament.
  9. 9.  Concepte Són aquelles operacions o procediments tècnics, siguin o no automatitzats, que permetin la recollida, gravació, conservació, elaboració, modificació, consulta, utilització, modificació, cancel·lació, bloqueig o supressió, així com les cessions de dades que resultin de comunicacions, consultes, interconnexions i transferències. El tractament té que respectar tres principis de la protecció de dades:  Principi de qualitat  Principi d’informació  Principi de consentiment
  10. 10.  Principi de qualitat Gràcies a aquest principi s’obliga a que les dades de caràcter personal només puguin ser recollides i sotmeses al tractament quan siguin adequades, pertinents i no excessives amb respecte l’àmbit i finalitats determinades, explícites i legítimes per a les que s’hagin obtingut. Ja que la relació de dades i la finalitat per a les que van ser recopilades romanen en tot moment, passa que arriba un moment en el que deixen de ser necessàries o pertinents per a aquella finalitat. En aquest cas es procedirà a la seva cancel·lació. Tampoc seran conservades de forma que es pugui identificar a l’interessat durant un període de temps superior al necessari per a la finalitat per a la que foren recopilades. Reglamentàriament es determinarà el procediment pel que, atesos els valors històrics, estadístics o científics d’acord amb la legislació específica, es decideixi el manteniment íntegre de determinades dades. I, per suposat, està prohibit recopilar dades utilitzant mitjans fraudulents, deslleials o il·lícits.
  11. 11.  Principi d’informació A l’hora de recollir les dades, serà necessari informar als afectats abans de que prestin el seu consentiment. Només quan sigui informat de forma expressa, precisa i inequívoca de la finalitat de la recollida de les seves dades serà capaç de decidir si vol que aquests siguin o no emmagatzemats en un fitxer per a ser utilitzats amb una finalitat concreta. Amb aquesta informació a l’afectat li tenen que quedar clar els següents punts:  El caràcter obligatori o facultatiu de la seva resposta a les preguntes que se li plantegin.  Les conseqüències de l’obtenció de les seves dades o de la negativa a subministrarlos.  La possibilitat d’exercir els seus drets d’accés, rectificació, cancel·lació i oposició. (La informació comentada en aquests tres primers punts no serà necessària si el contingut es dedueix clarament de la naturalesa de les dades personals que es sol·liciten o de les circumstàncies en que es recopilen).  Que les seves van a ser emmagatzemades en un fitxer, la finalitat per la que han sigut recopilats i els destinataris d’aquesta informació.  La identitat i adreça del responsable del fitxer.
  12. 12. En el cas de que el responsable del tractament no estigui establert en el territori de la Unió Europea i utilitzi en el tractament de dades mitjans situats en territori espanyol, haurà de designar, a excepció de que tals mitjans s’utilitzin amb finalitats de tràmit, un representant a Espanya, sense perjudici de les accions que es poguessin emprendre contra el propi responsable del tractament. Tot això haurà d’estar advertit de forma clarament llegible en tots els qüestionaris o impresos (en format paper o electrònic) que siguin utilitzats en la recollida de dades.
  13. 13. En el cas de que les dades recopilades provinguin de fonts accessibles al públic, com poden ser repertoris telefònics o les guies professionals, i aquestes es destinin a l’enviament de publicitat o prospecció comercial, es tindrà la obligació d’informar a l’interessat de:     L’origen de les dades La identitat i adreça del responsable del fitxer La finalitat del tractament La possibilitat de l’exercici dels drets d’accés, rectificació, cancel·lació i oposició
  14. 14.  Principi de consentiment El tractament de les dades de caràcter personal requereix el consentiment inequívoc de l’afectat, a no ser que la Llei disposi una altra cosa. El consentiment ha de ser:  Lliure: s’haurà d’haver obtingut sense la intervenció de vici algun del consentiment.  Específic: referit a una determinada operació de tractament i per una finalitat determinada, explícita i legítima del responsable del tractament.  Informat: l’usuari té que conèixer, amb anterioritat al tractament, l’existència i les finalitats per a les que es recullen les dades.  Inequívoc: és precís que existeixi expressament una acció o omissió que impliqui l’existència del consentiment (no és admissible el consentiment presumpte). Hi ha casos en els que el consentiment no és necessari:  Quan són recollits per a l’exercici de les funcions pròpies de les Administracions Públiques en l’àmbit de les seves competències.  Quan es refereix a les parts d’un contracte o precontracte d’una relació de negoci, laboral o administrativa i siguin necessàries per al seu manteniment o compliment.
  15. 15.  Quan el tractament de les dades tingui per finalitat protegir un interès vital de l’interessat, com succeeix en el cas de que l’afectat estigui física o jurídicament incapacitat per donar el seu consentiment.  Quan les dades que figurin en fonts accessibles al públic i el seu tractament sigui necessari per la satisfacció de l’interès legítim perseguit pel responsable del fitxer o pel tercer a qui es comuniquin les dades, sempre que no siguin vulnerats els drets i llibertats fonamentals de l’interessat. Malgrat tot, aquest consentiment pot ser revocat quan l’afectat tingui alguna causa justificada per a tal i no se li atribueixin efectes retroactius. I quan el consentiment no hagi estat necessari per tractar les dades, i sempre que una Llei no disposi del contrari, aquest podrà oposar-se al seu tractament quan existeixin motius fomentats i legítims relatius a una concreta situació personal. En aquest cas, el responsable del tractament ha d’excloure del tractament les dades relatives a l’afectat. Amb respecte als menors d’edat però majors de 14 anys, poden procedir al tractament de les seves dades a excepció dels casos en els que s'exigeixi per Llei l’assistència dels titulars de la pàtria potestat o tutela per prestar el consentiment.
  16. 16.  Concepte Es considera fitxer tot conjunt organitzat de dades de caràcter personal, que permeti l’accés a les dades amb acord a criteris determinats, qualsevol que sigui la forma o modalitat de la seva creació, emmagatzematge, organització i accés. Aquests fitxers poden estar tant en suport automatitzat com físic sempre i quan les dades contingudes en ells estiguin organitzades seguint un criteri que faci possible l’accés a les dades personals.  Tipus Els fitxers poden classificar-se en dos grups: Tipus de fitxers Segons el suport Físics, manuals o no automatitzats Automatitzats Segons el titular Titularitat pública Titularitat privada
  17. 17.  Depenent del suport en el que es trobin poden ser:  Físics, manuals o no automatitzats: els que es troben en suport paper.  Automatitzats: les dades estan en suport electrònic.  Tenint en compte la titularitat del fitxer, poden ser:  De titularitat privada: creat per persones físiques o jurídiques de caràcter privat.  De titularitat pública: són els que es troben gestionats per un òrgan de l’Administració Pública.
  18. 18.  Notificació, inscripció, modificació i supressió de fitxers Les persones físiques o jurídiques, de naturalesa pública o privada, o òrgan administratiu, que procedeixin a la creació de fitxers que continguin dades de caràcter personal estan obligades a notificar la creació, modificació o supressió de fitxers per a la seva inscripció al Registre General de Protecció de Dades, tal com estableix la LOPD. Si la notificació presentada davant l’Agència Espanyola de Protecció de Dades s’ajusta als requisits exigits, el Registre General de Protecció de Dades procedirà a inscriure el fitxers. La inscripció de fitxers és una de les obligacions bàsiques que es troben en l’LOPD. Consisteix en un procediment a través del qual es dóna legalitat a un fitxer de dades de caràcter personal. El Registre General de Protecció de Dades és l’òrgan de l’Agencia Espanyola de Protecció de Dades que s’ocupa de vetllar per la publicitat de l’existència dels fitxers i tractament d’aquests de caràcter personal, per així aconseguir que els afectats puguin fer efectius els seus drets d’accés, rectificació, cancel·lació i oposició de les seves dades.
  19. 19. Són objecte d’inscripció en el Registre General de Protecció de Dades:  Els fitxers de les Administracions Públiques  Els fitxers de titularitat privada  Les autoritzacions de transferències internacionals de dades de caràcter personal amb destí a Estats que no prestin un nivell de protecció equiparable al que presta l’LOPD  Els codis tipus  Les dades relatives a els fitxers que siguin necessaris per a l’exercici dels drets d’accés, rectificació, cancel·lació i oposició. Es podran crear fitxers de titularitat privada que continguin dades de caràcter personal quan resulti necessari per a l’assoliment de l’activitat i objecte legítims de la persona, empresa o entitat titular i es respectin les garanties que la Llei estableixi per a la protecció de les persones. En les notificacions tenen que figurar obligatòriament els següents extrems:  El responsable del fitxer  La finalitat del fitxer  La ubicació  El tipus de dades de caràcter personal que conté.  Les mesures de seguretat amb indicació del nivell exigible  Les cessions de dades que es prevegin realitzar  Les transferències de dades que es prevegin a països tercers.
  20. 20. Transcorregut un mes des de la presentació de la sol·licitud d’inscripció sense que l’Agència de Protecció de Dades hagués resolt sobre la mateixa, s’entendrà inscrit el fitxer automatitzat a tots els efectes.  Modalitats Per a realitzar les notificacions, existeix el sistema de Notificacions Telemàtiques a l’Agència Espanyola de Protecció de Dades (NOTA). Amb ell es poden realitzar no només notificacions sinó també conèixer l’estat de tramitació de les notificacions i consultar el contingut de la inscripció dels fitxers. Estan disponibles diferents modalitats de presentació de notificacions a través de NOTA: Format telemàtic NOTA Format paper i informàtic Format XML
  21. 21. Quan les notificacions es realitzen a través d’Internet amb signatura electrònica, s’envien al Registre Telemàtic de la AEPD. Quan aquest rep la notificació, emet un missatge de confirmació de la sol·licitud en el que apareixen les dades que han estat donades per l’interessat, la data i l’hora de recepció i una clau d’identificació de la transmissió. Si les notificacions són realitzades a través d’Internet sense signatura electrònica, la notificació i el full de sol·licitud han de ser enviades mitjançant el formulari electrònic del full de sol·licitud. Es farà una connexió amb el servidor de l’Agència i després el sistema envia el full de sol·licitud que confirma que la notificació ha estat enviada correctament. Aquest full, un cop signat per qui vagi a notificar el fitxer, és qui té que remetre-la a l’Agència. Les notificacions en suport paper i en suport informàtic (CDROM, per exemple) s’han d’enviar a l’adreça postal de l’Agència. El formulari NOTA es pot obtenir gratuïtament en la pàgina de l’Agència: www.agpd.es
  22. 22. En la normativa sobre protecció de dades de caràcter personal, sorgeixen un seguit d’obligacions per al responsable del fitxer i, en el seu cas, per a l’encarregat del tractament de les dades per garantir així la protecció dels afectats i l’exercici dels seus drets. • Notificació dels fitxers a l’AEPD. S’han de notificar els fitxers que es vagin a utilitzar en l’exercici de les seves competències. • Recull i tractament de qualitat de les dades. Tant el recull com el tractament de les dades s’han d’adequar al principi de qualitat. • Garantia de l’exercici dels drets dels afectats. Es té que facilitar l’exercici dels drets d’accés, rectificació, cancel·lació i oposició dels afectats. • Deure de secret. El responsable del fitxer i les persones que intervinguin en qualsevol fase del tractament de les dades de caràcter personal estan obligades al secret professional respecte de les mateixes i al deure de guardar-lo. Aquestes obligacions subsisteixen encara després de finalitzar les seves relacions amb el titular del fitxer o, en el seu cas, amb el responsable del mateix.
  23. 23. • Seguretat de les dades. El responsable del fitxer i, en el seu cas, l’encarregat del tractament hauran d’adoptar les mesures de caire tècnica i organitzatives necessàries que garanteixin la seguretat de les dades de caràcter personal i evitin la seva alteració, pèrdua, tractament o accés no autoritzat. • Informar als titulars de les dades personals en la recollida d’aquestes. • Demanar el consentiment per al tractament de les dades personals. • Assegurar que en les seves relacions amb tercers que li prestin serveis, que comportin l’accés a dades personals, es compleixi el que es disposa en l’LOPD.
  24. 24. La persona protegida per la normativa de protecció de dades és denominada “afectada” o “interessat”. Es tracta de la persona física titular de les dades que són objecte del tractament. Aquest té a la seva disposició una sèrie de drets que podrà exercitar, depenent del tipus de dret, bé mitjançant petició al Registre General de Protecció de Dades, o bé mitjançant la presentació d’una sol·licitud al responsable del fitxer, que haurà de tenir caràcter gratuït o contenir els següents extrems: • Nom i cognoms de l’afectat. • Fotocòpia del seu D.N.I. o equivalent (en el cas d’existir representant legal, aquest haurà d’acompanyar, a més, fotocòpia del seu D.N.I. I del document acreditatiu de la representació). • Petició de la sol·licitud. • Domicili, data i signatura. • Documents acreditatius de la petició formulada, de mode que es pugui demostrar l’enviament i la recepció, per si l’afectat tingués que anar a la tutela de drets davant l’AEPD.
  25. 25. Els drets dels afectats són els següents: • Dret d’impugnació de valoracions. Els afectats tenen dret a no veure’s sotmesos a una decisió amb afectes jurídics sobre ells o qui els afecti de manera significativa que es basi únicament en un tractament de dades destinades a avaluar determinats aspectes de la seva personalitat. L’afectat podrà impugnar els actes administratius o decisions privades que impliquin una valoració del seu comportament, en el que l’únic fonament sigui un tractament de dades de caràcter personal que ofereixi una definició de les seves característiques o personalitat. L’interessat té dret a obtenir informació del responsable del fitxer sobre els criteris de valoració i el programa utilitzats en el tractament que va servir per adoptar la decisió en que va consistir l’acte. • Dret de consulta al Registre General de Protecció de Dades. Qualsevol persona podrà conèixer, demanant a tal finalitat la informació oportuna del Registre General de Protecció de Dades, l’existència de tractaments de dades de caràcter personal, les seves finalitats i la identitat del responsable del tractament. Aquesta consulta serà pública i de caràcter gratuït.
  26. 26. • Dret a l’accés. L’interessat tindrà dret a sol·licitar i obtenir gratuïtament informació de les seves dades de caràcter personal sotmeses a tractament, l’origen de les dades esmentades, així com les comunicacions realitzades o que es preveuen fer de les mateixes. Al ser un dret personalíssim, ha de ser exercitat pel propi interessat. Si l’afectat és menor d’edat o està incapacitat, podrà exercir aquest dret el seu representant legal. La informació es podrà obtenir mitjançant la simple consulta de les seves dades, còpia, telecòpia o fotocòpia, certificada o no, en forma llegible i intel·ligible sense utilitzar claus o codis que requereixin l’ús de dispositius mecànics específics. El dret d’accés al que es refereix aquest article només podrà ser exercitat a intervals no inferiors a dotze mesos a excepció que l’interessat acrediti un interès legítim a l’efecte, en qualsevol cas podran exercitar-lo abans.
  27. 27. • Dret de rectificació i cancel·lació. El responsable del tractament tindrà l’obligació de fer efectiu el dret de rectificació o cancel·lació de l’interessat en el termini de deu dies. Seran rectificades o cancel·lades, en el seu cas, les dades de caràcter personal en el que el tractament no s’ajusti al disposat en normativa de protecció de dades, en particular, quan les dades resultin inexactes o incompletes. La cancel·lació portarà a terme al bloqueig de les dades, conservant-se únicament a disposició de les Administracions Públiques, Jutges i Tribunals, per a l’atenció de les possibles responsabilitats nascudes del tractament, durant el termini de prescripció d’aquestes. Complert el citat termini, s’haurà de procedir a la supressió. Si les dades rectificades o cancel·lades haguessin estat comunicades prèviament, el responsable del tractament haurà de notificar la rectificació o cancel·lació efectuada a qui s’hagin comunicat, en el cas de que es mantingui el tractament per aquest últim, que haurà també de procedir a la cancel·lació. Les dades de caràcter personal hauran de ser conservades durant els terme previstos en les disposicions aplicables o, en el seu cas, en les relacions contractuals entre la persona o entitat responsable del tractament i l’interessat.
  28. 28. • Dret a l’oposició. En determinades situacions personals, en les que s’hagi elaborat un fitxer de dades personals, en el que el tractament no exigeixi consentiment de l’afectat i una Llei no disposi el contrari, aquest tindrà dret a oposar-se al tractament de les mateixes en el cas de que es donin motius fonamentats i legítims.
  29. 29. Les actuacions contràries al disposat en la normativa de protecció de dades poden ser objecte de reclamació pels interessats davant l’Agència Espanyola de Protecció de Dades, en la forma que reglamentàriament es determini. L’interessat al que es denegui, total o parcialment, l’exercici dels drets d’oposició, accés, rectificació o cancel·lació, podrà posar-lo en coneixement de l’Agència de Protecció de Dades o, en el seu cas, de l’organisme competent de cada Comunitat Autònoma, que s’haurà d’assegurar de la prudència o improcedència de la denegació. En el termini màxim en que s’haurà de dictar resolució expressa de tutela de drets serà de sis mesos. Contra les resolucions de l’Agència de protecció de Dades procedirà recurs contenciós-administratiu.
  30. 30. Fa referència a la possibilitat de que el responsable del fitxers ordeni el tractament de les dades personals que estiguin en el seu poder a un tercer per mitjà d’un contracte de prestació de serveis. Aquest contracte és un lloguer de serveis en el que una de les parts presta un servei a l’altra rebent a canvi un preu. Això comporta que el prestador del servei, que actua per compte de qui li va encarregar el tractament, s’eximeixi de responsabilitat sempre i quan hagi seguit les instruccions del prestatari. En aquest encàrrec, qui contracta el servei és el responsable del fitxer i qui el realitza és l’encarregat del tractament. S’ha de tenir clar que l’accés d’un tercer a les dades personals per prestar un servei no pot considerar-se una cessió de dades. La relació entre el responsable del fitxer i l’encarregat del tractament serà regulada a través de l’anomenat contracte d’encàrrec. Té que constar per escrit o per qualsevol altre mitjà que acrediti el seu contingut i efectiva relació.
  31. 31. L’encarregat del tractament no podrà donar les dades de caràcter personal als que hi tingui accés un destí diferent al que figuri en el contracte, ni podrà comunicar-los a tercers. En el contracte s’ha d’establir que si s’incompleixen aquestes premisses l’encarregat serà considerat com el responsable del tractament i haurà de respondre de les infraccions que puguin correspondre’l com a tal. També serà considerat com responsable per fer front a les infraccions en que hagi incorregut per incomplir les pautes establertes pel responsable del fitxer. L’encarregat té l’obligació d’implementar les mesures de seguretat que corresponguin segons els tipus de dades. Una vegada que finalitzi la relació entre el responsable del fitxers i l’encarregat del tractament, aquest haurà de fer lliurament de les dades al responsable o destruir-les, garantint que la informació no pugui ser recuperada per un tercer aliè. No es destruiran dades quan existeixi una previsió legal que exigeixi la seva conservació, havent de tornar-los garantint el responsable del fitxer aquesta conservació.
  32. 32. En resum, l’encarregat té una sèrie d’obligacions: • Tractar les dades segons les instruccions del responsable del fitxer. • No tractar les dades per a finalitats diferents de les encarregades en virtut del contracte. • No cedir ni facilitar les dades a terceres persones, ni tant sols per a la seva conservació. • Implementar les mesures de seguretat. • Destruir o tornar les dades una vegada finalitzada la prestació contractual. Cap la possibilitat de que l’encarregat del tractament subcontracti un servei amb un altre encarregat. En aquest cas, es té que obtenir l’autorització del responsable del tractament. Així, la contractació s'haurà de fer sempre a nom i per compte del responsable del tractament.
  33. 33. Es pot realitzar la subcontractació sense necessitat d’autorització quan es compleixin una sèrie de requisits: • Que s’especifiquin en el contracte els serveis que puguin ser objecte de subcontractació i, si fos possible, l’empresa amb la que es vagin a subcontractar. Quan no s’identifiqui en el contracte l’empresa amb la que es vagi a subcontractar, serà necessari que l’encarregat del tractament comuniqui al responsable de les dades que la identifiquin abans de procedir a la subcontractació. • Que el tractament de dades de caràcter personal per part subcontractista s’ajusti a les instruccions del responsable del fitxer. • Que l’encarregat del tractament i l’empresa subcontractista formalitzin el contracte. del
  34. 34.  Concepte És la comunicació o revelació de dades personals realitzada a persona diferent de l’interessat o titular de les mateixes. Les dades de caràcter personal objecte de tractament només poden ser comunicades a un tercer per la compliment de mitjans directament relacionats amb les funcions legítimes de l’interessat, si bé, en algunes ocasions no serà necessari aquest consentiment previ:  Quan la cessió estigui autoritzada en una Llei.  Quan es tracti de dades recollides de fonts accessibles al públic.  Quan el tractament respongui a la lliure i legítima acceptació d’una relació jurídica, en la que el seu desenvolupament i control impliqui necessàriament la connexió d’aquest tractament amb fitxers de tercers. En aquest cas la comunicació només serà legítima en quan es limiti a la finalitat que la justifiqui.  Quan la comunicació que s’hagi d’efectuar tingui per destinatari al Defensor del Poble, el Ministeri Fiscal o els Jutges o Tribunals o el Tribunal de Comptes, en l’exercici de les funciones que té atribuïdes. Tampoc serà necessari el consentiment quan la comunicació tingui com a destinatari les institucions autonòmiques amb funcions anàlogues al Defensor del Poble o al Tribunal de Comptes.
  35. 35.  Quan la cessió es produeixi entre Administracions Públiques i tingui per objectiu finalitats històriques, estadístiques o científiques.  Quan la cessió de dades de caràcter personal relatives a la salut sigui necessària per a solucionar una urgència que requereixi accedir a un fitxer o per a realitzar els estudis epidemiològics en els termes establerts en la legislació sobre sanitat estatal o autonòmica. Es considerarà nul el consentiment per a la comunicació de les dades de caràcter personal a un tercer quan la informació que es faciliti a l’interessat no el permeti conèixer la finalitat a que destinaran les dades, en la que la seva comunicació s'autoritza o el tipus d’activitat d’aquell o qui es pretengui comunicar. Per poder portar a terme la cessió s’ha de recordar que és necessari el compliment, a més, de les obligacions establertes per l’LOPD per al cedent, com és portar a terme el deure d’informació al titular de les dades, depenent d’això la legalitat de la comunicació de dades.
  36. 36.  Concepte Transmissió de dades fora del territori espanyol. Les empreses poden realitzar transmissions de dades personals amb entitats d’altres Estats, però per això tenen que assegurar la protecció de la intimitat i la privacitat dels afectats per aquests tractaments. La normativa pretén un equilibri entre mantenir àgil el trànsit econòmic i protegir als titulars de les dades i el seu dret a tenir el control sobre les seves dades. La Norma I de la Instrucció 1/2000, d’1 de desembre, de l’Agència Espanyola de Protecció de Dades defineix la transferència internacional de dades com tota transmissió de les mateixes fora del territori espanyol. En particular, es consideraran com a tals les que constitueixin una cessió o comunicació de dades i les que tinguin per objecte la realització d’un tractament de dades per compte del responsable del fitxer. Els elements claus, per tant, en aquest tipus de tractament són:  L’element extraterritorial de les dades que beneficia a la possible desprotecció dels drets dels afectats.  Que hi ha dos modalitats diferents de tractament: la cessió o comunicació de dades i el tractament de dades per compte del responsable del fitxer.  Com a conseqüència de la comunicació o de l’encàrrec apareix la intervenció de tercers que són aliens al titular i al responsable del tractament.
  37. 37. Les transferències que les empreses declaren més freqüentment a l’AEPD són les referents als candidats participants en els processos de selecció i a la prestació de serveis de hosting. En les transferències subjectes: internacionals de dades intervenen dos • El transmitent, que és la persona física o jurídica, pública o privada, responsable del fitxer o tractament de les dades de caràcter personal que són objecte de transferència internacional. • El destinatari, que és la persona física o jurídica, pública o privada, situada fora del territori espanyol que rep les dades transferides. Aquest, al mateix temps, pot tenir funcions diferents depenent del tipus de tractament: • Si estem davant una cessió o comunicació de dades, el destinatari serà un cessionari. • Si es tracta d’una prestació de serveix com a conseqüència del tractament de dades per compte del responsable del fitxer, serà un encarregat de tractament.
  38. 38. Per portar a terme la transmissió de les dades a nivell internacional s’ha de garantir que els nivells de protecció dels drets dels afectats són equivalents en el lloc d’origen i en el de destí. No es podran realitzar transferències temporals ni definitives de dades de caràcter personal que hagin estat objecte de tractament o hagin estat recollides per a sotmetre-les a l’esmentat tractament amb destí a països que no proporcionin un nivell de protecció equiparable al que presta la present Llei, a excepció que, a més d’haver-se observat el que disposa aquesta, s’obtingui autorització prèvia del Director de l’Agència Espanyola de Protecció de Dades, que només podrà atorgar-la si s’obtenen garanties adequades.
  39. 39. El caràcter adequat del nivell de protecció que ofereix el país de destí s’avaluarà per l’Agència Espanyola de Protecció de Dades atenent a totes les circumstàncies que concorrin en la transferència o categoria de la transferència de dades i en particular: • La naturalesa de les dades. • La finalitat i durada del tractament o dels tractaments previstos. • El país d’origen. • El país de destí. • Les normes de Dret generals o sectorials vigents en el país de destí. • Les normes professionals i les mesures de seguretat vigents. • El contingut dels informes elaborats per la Comissió Europea.
  40. 40. Quan es tracti de un país diferent que no compti amb un nivell de protecció adequat és necessari obtenir l’autorització prèvia del Director de l’Agència Espanyola de Protecció de Dades. No serà d’aplicació quan: • Quan la transferència internacional de dades de caràcter personal resulti de l’aplicació de tractats o convenis en els que sigui part Espanya. • Quan la transferència es faci a efectes de prestar o sol·licitar auxili judicial internacional. • Quan la transferència sigui necessària per a la prevenció o per al diagnòstic mèdic, la prestació d’assistència sanitària o tractaments mèdics o la gestió de serveis sanitaris. • Quan es refereixi a transferències dineràries conforme a la seva legislació específica.
  41. 41. • Quan l’afectat hagi donat el seu consentiment inequívoc a la transferència prevista. • Quan la transferència sigui necessària per a l’execució d’un contracte entre l’afectat i el responsable del fitxer o per a l’adopció de mesures precontractuals adoptades a petició de l’afectat. • Quan la transferència sigui necessària per a la celebració o execució d’un contracte celebrat o per celebrar, en interès de l’afectat, pel responsable del fitxer i un tercer. • Quan la transferència sigui necessària o legalment exigida per a la salvaguarda d’un interès públic. • Quan la transferència sigui precisa per al reconeixement, exercici o defensa d’un dret en un procés judicial. • Quan la transferència es realitzi, a petició d’una persona amb interès legítim, des d’un Registre públic i sigui d’acord amb la finalitat del mateix.
  42. 42. No serà necessària l’autorització del Director de l’Agència per a la realització d’una transferència internacional de dades que tingués per importador una persona o entitat situada en el territori d’un Estat respecte del que s’hagi declarat per la Comissió Europea l’existència d’un nivell adequat de protecció.
  43. 43.  Concepte Mesures de caire tècnic i organitzatives necessàries que garanteixin la seguretat de les dades de caràcter personal i evitin la seva alteració, pèrdua, tractament o accés no autoritzat. El responsable del tractament i l’encarregat del tractament hauran d’adoptar les mesures de caire tècnic i organitzatives necessàries que garanteixin la seguretat de les dades de caràcter personal i evitin la seva alteració, pèrdua, tractament o accés no autoritzat, tenint en compte de l’estat de la tecnologia, la naturalesa de les dades emmagatzemades i els riscos a que estan exposades, ja provinguin de l’acció humana o del medi físic o natural. Això és el que es denomina mesures de seguretat. Si els fitxers no reuneixen les mesures de seguretat oportunes no podran enregistrar dades de caràcter personal en les mateixes. Segons la informació tractada, en relació amb la major o menor necessitat de garantir la confidencialitat i la integritat de la informació, les mesures de seguretat es classifiquen en tres nivells:  Nivell bàsic.  Nivell medi.  Nivell alt.
  44. 44. Tots els fitxers de caràcter personal tenen que adoptar les mesures de seguretat qualificades de nivell bàsic. Les mesures de nivell medi s’aplicaran, a més de les de nivell bàsic, en els següents fitxers: • Els relatius a la comissió d’infraccions administratives o penals. • Les que informin de serveis de solvència patrimonial i crèdit. • Aquells dels que siguin responsable Administracions tributàries i es relacionin amb l’exercici de les seves potestats tributàries. • Aquells dels que siguin responsables entitats relacionades amb la prestació de serveis financers. • Aquells dels que siguin responsables les Entitats Gestores i Serveis Comuns de la Seguretat Social i es relacionin amb l’exercici de les seves competències. També aquells dels que siguin responsables les mútues d’accidents de treball i malalties professionals de la Seguretat Social. • Aquells que continguin un conjunt de dades de caràcter personal que ofereixin una definició de les característiques o de la personalitat dels ciutadans i que permetin avaluar determinats aspectes de la personalitat o del comportament dels mateixos. financeres per a finalitats
  45. 45. A més de les mesures de nivell bàsic i mitjà, les mesures de nivell alt s’han d’aplicar als següents fitxers: • Els que es refereixin a dades de ideologia, afiliació sindical, religió, creences, origen racial, salut o vida sexual. • Les que continguin o es refereixin a dades recollides per a finalitats policials sense consentiment de les persones afectades. • Aquells que continguin dades derivades d’actes de violència de gènere. Als fitxers dels que siguin responsables els operadors que prestin serveis de comunicacions electròniques disponibles al públic o explotin xarxes públiques de comunicacions electròniques respecte a les dades de trànsit i a les dades de localització, s'aplicaran, a més de les mesures de seguretat de nivell bàsic i mitjà, la mesura de seguretat de nivell alt referent al registre d’accessos.
  46. 46. En cas de fitxers o tractaments de dades de ideologia, afiliació sindical, religió, creences, origen racial, salut o vida sexual hi haurà prou amb la implantació de les mesures de seguretat de nivell bàsic quan: • Les dades que s’utilitzin com a única finalitat de realitzar una transferència dinerària a les entitats de les que els afectats siguin associats o membres. • Es tracti de fitxers o tractaments no automatitzats en els que de forma incidental o accessòria es continguin aquelles dades sense guardar relació amb la seva finalitat. Podran implantar-se les mesures de seguretat de nivell bàsic en els fitxers o tractaments que continguin dades relatives a la salut, referents exclusivament al grau de discapacitat o la simple declaració de la condició de discapacitat o invalidesa de l’afectat, amb motiu del compliment de deures públics.
  47. 47.  Mesures de seguretat de nivell bàsic Per fitxers i tractaments automatitzats, les mesures de nivell bàsic són les següents: • Document de seguretat El responsable del fitxer té que elaborar i implantar la normativa de seguretat mitjançant un document d’obligat compliment per al personal amb accés a les dades de caràcter personal. El contingut mínim del document és el següent: • Àmbit d’aplicació del document amb especificació detallada dels recursos protegits. • Mesures, normes, procediments, regles i estàndards encaminats a garantir el nivell de seguretat exigit en aquest Reglament. • Funcions i obligacions del personal. • Estructura dels fitxers amb dades de caràcter personal i descripció dels sistemes d’informació que els tracten. • Procediment de notificació, gestió i resposta davant les incidències. • Els procediments de realització de còpies de seguretat i de recuperació de dades. Aquest document ha d’estar actualitzat i té que ser revisat sempre que es produeixin canvis rellevants.
  48. 48. • Funcions o obligacions del personal Totes les funcions i obligacions dels usuaris o perfils d’usuaris amb accés a les dades de caràcter personal i als seus sistemes d’informació estaran clarament definides i documentades en el document de seguretat, així com també es definiran les funcions de control o autoritzacions delegades pel responsable del fitxer o tractament. El responsable del fitxer té que prendre les mesures que siguin necessàries per què el personal conegui les normes de seguretat que afecten al desenvolupament de les seves funcions i les conseqüències de l’incompliment de les mateixes.
  49. 49. • Registre d’incidències El procediment de notificació i gestió d’incidències té que contenir un registre en el que consti el tipus d’incidència, el moment en que s’ha produït, la persona que ho notifica, a qui es comunica i els efectes que es deriven de la mateixa. • Control d’accés El responsable del fitxer s’ha d’encarregar de que existeixi una relació actualitzada d’usuaris i perfils d’usuaris, i els accessos autoritzats per a cadascú d’ells. Els usuaris tindran accés autoritzat únicament a aquelles dades i recursos que sigui necessaris per al desenvolupament de les seves funcions. El responsable del fitxer establirà mecanismes per evitar que un usuari pugui accedir a dades o recursos amb drets diferents als autoritzats. Exclusivament el personal autoritzat per a tal efecte en el document de seguretat podrà concedir, alterar o anular l’accés autoritzat sobre les dades i recursos, conforme als criteris establerts pel responsable del fitxer. En cas de que existeixi personal aliè al responsable del fitxer que tingui accés als recursos haurà d’estar sotmès a les mateixes condicions i obligacions de seguretat que el personal propi.
  50. 50. • Gestió de suports i documents Els suports i documents que continguin dades de caràcter personal hauran de permetre identificar el tipus d’informació que contenen, ser inventariats i només hauran de ser accessibles pel personal autoritzat per a tal efecte en el document de seguretat. S'exceptuen aquestes obligacions quan les característiques físiques del suport impossibiliten el seu compliment, quedant constància motivada d’això en el document de seguretat. La sortida de suports i documents que continguin dades de caràcter personal, inclosos els compresos i/o annexos a un correu electrònic, fora dels locals sota el control del responsable del fitxer o tractament haurà de ser autoritzada pel responsable del fitxer o trobar-se degudament autoritzada en el document de seguretat. En el trasllat de la documentació s’adoptaran les mesures dirigides a evitar la sostracció, pèrdua o accés indegut a la informació durant el seu transport. Sempre que vagi a rebutjar qualsevol document o suport que contingui dades de caràcter personal s’haurà de procedir a la seva destrucció o esborrat, mitjançant l’adopció de mesures dirigides a evitar l’accés a la informació continguda en el mateix o a la seva posterior recuperació. La identificació dels suports que continguin dades de caràcter personal que l’organització consideri especialment sensibles es podrà realitzar utilitzant sistemes d’etiquetat comprensibles i amb significat que permetin als usuaris amb accés autoritzat als esmentats suports i documents identificar el seu contingut, i que dificultin la identificació per a la resta de persones.
  51. 51. • Identificació i autenticació El responsable del fitxer o tractament haurà d’adoptar les mesures que garanteixin la correcta identificació i autenticació dels usuaris. El responsable del fitxer o tractament establirà un mecanisme que permeti la identificació de forma inequívoca i personalitzada de tot aquell usuari que intenti accedir al sistema d’informació i la verificació de que està autoritzat. Quan el mecanisme d’autenticació es basi en l’existència de contrasenyes existirà un procediment d’assignació, distribució i emmagatzematge que garanteixi la seva confidencialitat i integritat. El document de seguretat establirà la periodicitat, que en ningun cas serà superior a un any, amb la que tenen que ser canviades les contrasenyes que, mentre estiguin vigents, s’emmagatzemaran de forma inintel·ligible.
  52. 52. • Còpies de seguretat i recuperació S’hauran d’establir procediments d’actuació per a la realització, com a mínim setmanal, de còpies de seguretat, a excepció que en l’esmentat període no s’hagués produït cap actualització de les dades. Així mateix, s’establiran procediments per a la recuperació de les dades que garanteixin en tot moment la seva reconstrucció en l’estat en que es trobaven al temps de produirse la pèrdua o destrucció. Únicament, en el cas de que la pèrdua o destrucció afectés a fitxers o tractaments parcialment automatitzats, i sempre que l’existència de documentació permeti assolir l’objectiu al que es refereix el paràgraf anterior, s’haurà de procedir a gravar manualment les dades quedant constància motivada d’aquest fet en el document de seguretat. El responsable del fitxer s’encarregarà de verificar cada sis mesos la correcta definició, funcionament i aplicació dels procediments de realització de còpies de seguretat i de recuperació de les dades.
  53. 53. Les proves anteriors a la implantació o modificació dels sistemes d’informació que tractin fitxers amb dades de caràcter personal no es realitzaran amb dades reals, a excepció de que s’asseguri el nivell de seguretat corresponent al tractament realitzat i que s’anoti de la seva realització en el document de seguretat. Si està previst realitzar proves amb dades reals, prèviament s’haurà d'haver realitzat una còpia de seguretat.
  54. 54.  Mesures de seguretat de nivell bàsic Per fitxers i tractaments no automatitzats, les mesures de nivell bàsic són les següents: • Document de seguretat El responsable del fitxer té que elaborar i implantar la normativa de seguretat mitjançant un document d’obligat compliment per al personal amb accés a les dades de caràcter personal. El contingut mínim del document és el següent: • Àmbit d’aplicació del document amb especificació detallada dels recursos protegits. • Mesures, normes, procediments, regles i estàndards encaminats a garantir el nivell de seguretat exigit en aquest Reglament. • Funcions i obligacions del personal. • Estructura dels fitxers amb dades de caràcter personal i descripció dels sistemes d’informació que els tracten. • Procediment de notificació, gestió i resposta davant les incidències. • Els procediments de realització de còpies de seguretat i de recuperació de dades. Aquest document ha d’estar actualitzat i té que ser revisat sempre que es produeixin canvis rellevants.
  55. 55. • Funcions o obligacions del personal Totes les funcions i obligacions dels usuaris o perfils d’usuaris amb accés a les dades de caràcter personal i als seus sistemes d’informació estaran clarament definides i documentades en el document de seguretat, així com també es definiran les funcions de control o autoritzacions delegades pel responsable del fitxer o tractament. El responsable del fitxer té que prendre les mesures que siguin necessàries per què el personal conegui les normes de seguretat que afecten al desenvolupament de les seves funcions i les conseqüències de l’incompliment de les mateixes.
  56. 56. • Registre d’incidències El procediment de notificació i gestió d’incidències té que contenir un registre en el que consti el tipus d’incidència, el moment en que s’ha produït, la persona que ho notifica, a qui es comunica i els efectes que es deriven de la mateixa. • Control d’accés El responsable del fitxer s’ha d’encarregar de que existeixi una relació actualitzada d’usuaris i perfils d’usuaris, i els accessos autoritzats per a cadascú d’ells. Els usuaris tindran accés autoritzat únicament a aquelles dades i recursos que sigui necessaris per al desenvolupament de les seves funcions. El responsable del fitxer establirà mecanismes per evitar que un usuari pugui accedir a dades o recursos amb drets diferents als autoritzats. Exclusivament el personal autoritzat per a tal efecte en el document de seguretat podrà concedir, alterar o anular l’accés autoritzat sobre les dades i recursos, conforme als criteris establerts pel responsable del fitxer. En cas de que existeixi personal aliè al responsable del fitxer que tingui accés als recursos haurà d’estar sotmès a les mateixes condicions i obligacions de seguretat que el personal propi.
  57. 57. • Gestió de suports i documents Els suports i documents que continguin dades de caràcter personal hauran de permetre identificar el tipus d’informació que contenen, ser inventariats i només hauran de ser accessibles pel personal autoritzat per a tal efecte en el document de seguretat. S'exceptuen aquestes obligacions quan les característiques físiques del suport impossibiliten el seu compliment, quedant constància motivada d’això en el document de seguretat. La sortida de suports i documents que continguin dades de caràcter personal, inclosos els compresos i/o annexos a un correu electrònic, fora dels locals sota el control del responsable del fitxer o tractament haurà de ser autoritzada pel responsable del fitxer o trobar-se degudament autoritzada en el document de seguretat. En el trasllat de la documentació s’adoptaran les mesures dirigides a evitar la sostracció, pèrdua o accés indegut a la informació durant el seu transport. Sempre que vagi a rebutjar qualsevol document o suport que contingui dades de caràcter personal s’haurà de procedir a la seva destrucció o esborrat, mitjançant l’adopció de mesures dirigides a evitar l’accés a la informació continguda en el mateix o a la seva posterior recuperació. La identificació dels suports que continguin dades de caràcter personal que l’organització consideri especialment sensibles es podrà realitzar utilitzant sistemes d’etiquetat comprensibles i amb significat que permetin als usuaris amb accés autoritzat als esmentats suports i documents identificar el seu contingut, i que dificultin la identificació per a la resta de persones.
  58. 58. • Criteris d’arxivament Aquests criteris hauran de garantir la correcta conservació dels documents, la localització i consulta de la informació i possibilitar l’exercici dels drets d’oposició al tractament, accés, rectificació i cancel·lació. • Dispositius d’emmagatzematge Els dispositius d’emmagatzematge dels documents que continguin dades de caràcter personal hauran de disposar de mecanismes que obstaculitzin la seva apertura. • Custòdia dels suports Es té que custodiar la documentació quan no es trobi arxivada en els dispositius d’emmagatzematge.
  59. 59.  Mesures de seguretat de nivell mitjà Per fitxers i tractaments automatitzats, les mesures de nivell mitjà són les següents: • Document de seguretat El document de seguretat haurà de contenir, a més del que es disposa en les mesures de nivell bàsic, la identificació del responsable o responsables de seguretat, els controls periòdics que s’hagin de realitzar per verificar el compliment del disposat en el propi document i les mesures que siguin necessàries adoptar quan un suport vagi a ser destruït o reutilitzat. • Responsable de seguretat En el document de seguretat s’hauran de designar un o varis responsables de seguretat encarregats de coordinar i controlar les mesures definides en ell. Aquesta designació pot ser única per a tots els fitxers o tractaments de dades de caràcter personal o diferenciada segons els sistemes de tractament utilitzats. En cap cas aquesta designació suposa una exoneració de la responsabilitat que correspongui al responsable del fitxer o a l’encarregat del tractament.
  60. 60. • Auditoria Els sistemes d’informació i instal·lacions de tractament de dades es sotmetran a una auditoria interna o externa, que verifiqui el compliment del Reglament de Mesures de Seguretat dels procediments i instruccions vigents en matèria de seguretat de dades, al menys, cada dos anys. L’informe d’auditoria haurà de dictaminar sobre l’adequació de les mesures i controls, identificar les seves deficiències i proposar les mesures correctores o complementàries necessàries. Haurà, igualment, incloure les dades, fets i observacions en que es basin els dictàmens assolits i recomanacions proposades. Els informes d’auditoria seran analitzats pel responsable de seguretat competent, que elevarà les conclusions al responsable del fitxer per a que adopti les mesures correctores adequades i quedaran a disposició de l’Agència de Protecció de Dades. • Gestió de suports i documents Existeix un registre d’entrada i sortida de suports que permeti conèixer el tipus de suport o document, la data i hora, l’emissor o receptor, el tipus d’informació, la forma d’enviament i la persona responsable.
  61. 61. • Identificació i autenticació S’estableix un mecanisme que limiti el nombre d’intents reiterats d’accés no autoritzat. • Control d’accés físic Es realitza un control d’accés físic als locals on es trobin ubicats els sistemes d’informació. • Registre d’incidències Es té que enregistrar la realització de procediments de recuperació de les dades, persona que els executa, dades restaurades i gravades manualment. El responsable del fitxers autoritza l’execució dels procediments de recuperació de dades.
  62. 62.  Mesures de seguretat de nivell mitjà Per fitxers i tractaments següents: • no automatitzats, les mesures de nivell mitjà són les Responsable de seguretat En el document de seguretat s’hauran de designar un o varis responsables de seguretat encarregats de coordinar i controlar les mesures definides en ell. Aquesta designació pot ser única per a tots els fitxers o tractaments de dades de caràcter personal o diferenciada segons els sistemes de tractament utilitzats. En cap cas aquesta designació suposa una exoneració de la responsabilitat que correspongui al responsable del fitxer o a l’encarregat del tractament.
  63. 63. • Auditoria Els sistemes d’informació i instal·lacions de tractament de dades es sotmetran a una auditoria interna o externa, que verifiqui el compliment del Reglament de Mesures de Seguretat dels procediments i instruccions vigents en matèria de seguretat de dades, al menys, cada dos anys. L’informe d’auditoria haurà de dictaminar sobre l’adequació de les mesures i controls, identificar les seves deficiències i proposar les mesures correctores o complementàries necessàries. Haurà, igualment, incloure les dades, fets i observacions en que es basin els dictàmens assolits i recomanacions proposades. Els informes d’auditoria seran analitzats pel responsable de seguretat competent, que elevarà les conclusions al responsable del fitxer per a que adopti les mesures correctores adequades i quedaran a disposició de l’Agència de Protecció de Dades.
  64. 64.  Mesures de seguretat de nivell alt Per fitxers i tractaments automatitzats, les mesures de nivell alt són les següents: • Gestió i distribució de suports La identificació dels suports s’haurà de realitzar utilitzant sistemes d’etiquetat comprensibles i amb significat que permeti als usuaris amb accés autoritzat als esmentats suports i documents identificar el seu contingut, i que dificultin la identificació per a la resta de persones. La distribució dels suports que continguin dades de caràcter personal es realitzarà xifrant aquestes dades o bé utilitzant un altre mecanisme que garanteixi que aquesta informació no sigui accessible o manipulada durant el seu transport. Així mateix, es xifraran les dades que continguin els dispositius portàtils quan aquests es trobin fora de les instal·lacions que estan sota el control del responsable del fitxer. S’haurà d’evitar el tractament de dades de caràcter personal en dispositius portàtils que no permetin el seu xifrat. En cas de que sigui estrictament necessari es farà constar motivadament en el document de seguretat i s'adoptaran mesures que tinguin en compte els riscos de realitzar tractaments en entorns desprotegits.
  65. 65. • Còpies de seguretat i recuperació S’haurà de conservar una còpia de seguretat de les dades i dels procediments de recuperació de les mateixes en un lloc diferent a aquells on es trobin els equips informàtics que les tracten, que haurà de complir en tot cas les mesures de seguretat exigides en aquest títol, o utilitzant elements que garanteixin la integritat i recuperació de la informació, de forma que sigui possible la seva recuperació. • Registre d’accessos De cada intent d’accés es guardaran, com a mínim, la identificació de l’usuari, la data i hora en que va realitzar l’accés al fitxer, el tipus d’accés i si ha estat autoritzat o denegat. En el cas de que l’accés hagi estat autoritzat, serà necessari guardar informació que permeti identificar el registre accedit. Els mecanismes que permeten el registre d’accessos estaran sota control directe del responsable de seguretat competent sense que hagin de permetre la desactivació ni la manipulació de les mateixes. El període mínim de conservació de les dades registrades serà de dos anys.
  66. 66. El responsable de seguretat s’encarregarà de revisar, al menys un cop al mes, la informació de control enregistrada i elaborarà un informe de les revisions realitzades i els problemes detectats. No serà necessari el registre d’accessos definit en aquest article en cas de que concorrin les següents circumstàncies: • Que el responsable del fitxer o del tractament sigui una persona física. • Que el responsable del fitxer o del tractament garanteixi que únicament ell té accés i tracta les dades personals. La concurrència de les dues circumstàncies a les que es refereix l’apartat anterior s’haurà de fer constar expressament en el document de seguretat.
  67. 67. • Telecomunicacions La transmissió de dades a través de xarxes públiques o de xarxes sense fils haurà de ser xifrada.
  68. 68.  Mesures de seguretat de nivell alt Per fitxers i tractaments no automatitzats, les mesures de nivell alt són les següents: • Emmagatzematge de la informació Els armaris, arxivadors o altres elements en els que s’emmagatzemin els fitxers no automatitzats amb dades de caràcter personal hauran de trobar-se en àrees en les que l’accés estigui protegit amb portes d’accés dotades de sistemes d’apertura mitjançant clau o altre dispositiu equivalent. Aquetes àrees hauran de romandre tancades quan no sigui necessari l’accés als documents inclosos en el fitxer. Si ateses les característiques dels locals que disposi el responsable del fitxer o tractament, no fos possible complir l’establert en l’apartat anterior, el responsable adoptarà mesures alternatives que, degudament motivades, s’inclouran en el document de seguretat. • Còpia o reproducció La generació de còpies o la reproducció de documents únicament podrà ser realitzada sota el control del personal autoritzat en el document de seguretat. S’haurà de procedir a la destrucció de les còpies o reproduccions refusades de forma que s’eviti l’accés a la informació continguda en les mateixes o la seva recuperació posterior.
  69. 69.  Mesures de seguretat de nivell alt • Accés a la documentació L’accés a la documentació es limitarà exclusivament al personal autoritzat. S’establiran mecanismes que permetin identificar els accessos realitzats en el cas de documents que poguessin ser utilitzats per múltiples usuaris. L’accés de personal no autoritzat haurà de quedar adequadament enregistrat d’acord amb el procediment establert a l’efecte en el document de seguretat. • Trasllat de documentació Sempre que es procedeixi al trasllat físic de la documentació continguda en un fitxer, s’hauran d’adoptar mesures dirigides a impedir l’accés o manipulació de la informació objecte del trasllat.
  70. 70. Les infraccions es qualificaran com lleus, greus o molt greus. Amb respecte a la prescripció: • Les infraccions lleus. Prescriuen passat un any. • Les infraccions greus. Prescriuen passats dos anys. • Les infraccions molt greus. Prescriuen passats tres anys. El termini de prescripció de les infraccions començarà a comptar des del dia en que la infracció s’hagués comès. Interromprà la prescripció la iniciació, amb coneixement de l’interessat, del procediment sancionador, tornant-se a reprendre el termini de prescripció si l’expedient sancionador estigués paralitzat durant més de sis mesos per causes no imputables al presumpte infractor.
  71. 71.  Infraccions lleus  No atendre, per motius formals, la sol·licitud de l’interessat de rectificació o cancel·lació de les dades personals objecte de tractament quan legalment procedeixi.  No proporcionar la informació que sol·liciti l’AEPD en l’exercici de les competències que tenen legalment atribuïdes, en relació amb aspectes no substantius de la protecció de dades.  No sol·licitar la inscripció del fitxer de dades de caràcter personal en el Registre General de Protecció de Dades, quan no sigui constitutiu d’infracció greu.  Procedir a la recollida de dades de caràcter personal dels propis afectats sense proporcionar la informació estipulada per la Llei.  Incomplir el deure de secret establert en l’LOPD, a excepció que constitueixi una infracció greu.
  72. 72.  Infraccions greus  Procedir a la creació de fitxers de titularitat pública o iniciar la recollida de dades de caràcter personal per als mateixos, sense autorització de disposició general, publicada en el Butlletí Oficial de l’Estat o Diari Oficial corresponent.  Procedir a la creació de fitxers de titularitat privada o iniciar la recollida de dades de caràcter personal per als mateixos amb finalitats diferents de les que constitueixen l’objecte legítim de l’empresa o entitat.  Procedir a la recollida de dades de caràcter personal sense recollir el consentiment exprés de les persones afectades, en els casos en que aquest sigui exigible.  Tractar les dades de caràcter personal o utilitzar-los posteriorment amb conculcació dels principis i garanties establertes en la present Llei o amb incompliment dels preceptes de protecció que imposin les disposicions reglamentàries de desenvolupament, quan no constitueixi infracció molt greu.  L’impediment o la obstaculització de l’exercici dels drets d’accés i oposició i la negativa a facilitar la informació que sigui sol·licitada.  Mantenir dades de caràcter personal inexactes o no efectuar les rectificacions o cancel·lacions de les mateixes que legalment procedeixin quan resultin afectats els drets de les persones que la Llei empara.
  73. 73.  La vulneració del deure de guardar secret sobre les dades de caràcter personal incorporades a un fitxer que continguin dades relatives a la comissió d’infraccions administratives o penals, Hisenda Pública, serveis financers, prestació de serveis de solvència patrimonial i crèdit, així com aquells altres fitxers que continguin un conjunt de dades de caràcter personal suficients per obtenir una avaluació de la personalitat de l'individu.  Mantenir els fitxers, locals, programes o equips que continguin dades de caràcter personal sense les degudes condicions de seguretat que per via reglamentària es determinin.  No remetre a l’Agència les notificacions previstes en aquesta Llei o en les seves disposicions de desenvolupament, així com no proporcionar en el termini de la mateixa quants documents i informacions hagi de rebre o siguin requerits per aquell a tals efectes.  La obstrucció a l’exercici de la funció inspectora.  No inscriure el fitxer de dades de caràcter personal en el Registre General de Protecció de Dades, quan hagi estat requerit pel Director de l’Agència de Protecció de Dades.  Incomplir el deure d’informació, quan les dades hagin estat recollides de persona diferent de l’afectat.
  74. 74.  Infraccions molt greus  La recollida de dades en forma enganyosa i fraudulenta.  La comunicació o cessió de les dades de caràcter personal, fora dels casos que estiguin permeses.  Recollir informació i tractar les dades de caràcter personal als que es refereix l’apartat 2 de l’article 7 quan no hi hagi el consentiment exprés de l’afectat; recollir i tractar les dades referides en l’apartat 3 de l’article 7 quan no ho disposi una Llei o l’afectat no hagi consentit expressament, o violentar la prohibició continguda en l’apartat 4 de l’article 7.  No cessar en l’ús legítim dels tractaments de dades de caràcter personal quan siguin requerits per això pel Director de l’Agència de Protecció de Dades o per les persones titulars del dret d’accés.  La transferència temporal o definitiva de dades de caràcter personal que hagin estat objecte de tractament o hagin estat recollides per a sotmetre-les a l’esmentat tractament, amb destí a països que no proporcionin un nivell de protecció equiparable sense autorització del Director de l’Agència de Protecció de Dades.  Tractar les dades de caràcter personal de forma il·legítima o amb menyspreu dels principis i garanties que els sigui d’aplicació, quan amb tot s’impedeixi o s’atempti contra l’exercici dels drets fonamentals.
  75. 75.  La vulneració del deure de guardar secret sobre les dades de caràcter personal a que fan referència els apartats 2 i 3 de l’article 7, així com els que hagin estat recollits per a finalitats policials sense consentiment de les persones afectades.  No atendre, o obstaculitzar de forma sistemàtica l’exercici dels drets d’accés, rectificació, cancel·lació o oposició.  No atendre de forma sistemàtica el deure legal de notificació de la inclusió de dades de caràcter personal en un fitxer.
  76. 76.  Lleus. Les infraccions lleus seran sancionades amb multa de 601,01 a 60.101,21 Euros.  Greus. Les infraccions greus seran sancionades amb multa de 60.101,21 a 300.506,05 Euros.  Molt greus. Les infraccions molt greus seran sancionades amb multa de 300.506,05 a 601.012,10 Euros. La quantia de les sancions serà graduada atenent a la naturalesa dels drets personals afectats, al volum dels tractaments efectuats, als beneficis obtinguts, al grau d’intencionalitat, a la reincidència, a les dades i perjudicis causats a les persones interessades i a terceres persones, i a qualsevol altra circumstància que sigui rellevant per a determinar el grau d’antijuricitat i de culpabilitat presents en la concreta actuació infractora. Si, en raó del es circumstàncies concurrents, s’apreciés una qualificada disminució de la culpabilitat de l’imputat o de la antijuricitat del fet, l'òrgan sancionador establirà la quantia de la sanció aplicant l’escala relativa a la classe d’infraccions que precedeixi immediatament en gravetat a aquella en que s’integra la considerada en el cas de que es tracti.
  77. 77. No podrà imposar-se una sanció més greu que la fixada en la Llei per a la classe d’infracció en la que s’integri la que es pretén sancionar. El Govern actualitzarà periòdicament la quantia de les sancions d’acord amb les variacions que experimentin els índex de preus. Quan les infraccions fossin comeses en fitxers dels que siguin responsables les Administracions Públiques, el Director de l’Agència de Protecció de Dades dictarà una resolució establint les mesures que procedeixi adoptar per a que cessin o es corregeixin els efectes de la infracció. Aquesta resolució es notificarà al responsable del fitxer, a l’òrgan del qui depengui jeràrquicament i als afectats si els hagués. El Director de l’Agència podrà proposar també la iniciació d’actuacions disciplinàries. El procediment i les sancions a aplicar seran les establertes en la legislació sobre règim disciplinari de les Administracions Públiques.
  78. 78. Amb respecte a la prescripció de les sancions:  Les sancions lleus. Prescriuen a l’any.  Les sancions greus. Prescriuen als dos anys.  Les sancions molt greus. Prescriuen als tres anys. El termini de prescripció de les sancions començarà a comptar des del dia següent a aquell en que adquireixi fermesa la resolució per la que s’imposa la sanció. La prescripció s'interromprà per la iniciació, amb coneixement de l’interessat, del procediment d’execució, tornant a transcórrer el termini si el mateix està paralitzat durant més de sis mesos per causa no imputable a l’infractor.
  79. 79.  L’Agència de Protecció de Dades L’Agència Espanyola de Protecció de Dades és un ens de dret públic que actua amb plena independència de les Administracions Públiques en l’exercici de les seves funcions relacionant-se amb el Govern a través del Ministeri de Justícia. La causa de la independència es per a defendre els drets dels afectats i garantir l’aplicació de la Llei. La legislació espanyola preveu la coexistència d’una Agència Espanyola de Protecció de Dades amb caràcter estatal amb altres Agències de Protecció de Dades de les Comunitats Autònomes. Actualment, només la Comunitat de Madrid, Catalunya i País Basc tenen les seves pròpies Agències de Protecció de Dades.  Òrgans  El Director.  El Consell Consultiu.  El Registre General de Protecció de Dades.  La Inspecció de Dades.  La Secretaria General de l’Agència.
  80. 80.  Funcions  Vetllar pel compliment de la legislació sobre protecció de dades i controlar la seva aplicació, en especial en el relatiu als drets d’informació, accés, rectificació, oposició i cancel·lació de dades.  Emetre les autoritzacions reglamentàries. previstes en la Llei o en les seves disposicions  Dictar, en el seu cas i sense perjudici de les competències d’altres òrgans, les instruccions precises per adequar els tractaments als principis de la Llei.  Atendre les peticions i reclamacions formulades per les persones afectades.  Proporcionar informació a les persones sobre els seus drets en matèria de tractament de les dades de caràcter personal.  Requerir als responsables i encarregats dels tractaments l’adopció de les mesures necessàries per a l’adequació del tractament de dades a les disposicions de la Llei i, en el seu cas, ordenar el cessament dels tractaments i la cancel·lació dels fitxers, quan no s’ajusti a les seves disposicions.  Exercir la potestat sancionadora en els termes previstos per la Llei.  Informar, amb caràcter preceptiu, els projectes de disposicions generals que desenvolupin la Llei.
  81. 81.  Recopilar, dels responsables dels fitxers, quanta ajuda i informació consideri necessària per el desenvolupament de les seves funcions.  Vetllar per la publicitat de l’existència dels fitxers de dades amb caràcter personal, per la que publica periòdicament una relació d’aquests fitxers.  Redactar una memòria anual i remetre-la al Ministeri de Justícia.  Exercir el control i adoptar les autoritzacions que procedeixin en relació amb els moviments internacionals de dades, així com desenvolupar les funcions de cooperació internacional en matèria de protecció de dades personals.  Vetllar pel compliment de les disposicions que la Llei de la Funció Estadística Pública estableixi respecte al recull de dades estadístiques i al secret estadístic, així com dictar les instruccions precises, dictaminar sobre les condicions de seguretat dels fitxers constituïts amb finalitats exclusivament estadístiques i dictar resolucions per les infraccions comeses per les Administracions Públiques, així com proposar també la iniciació d’actuacions disciplinàries, si procedeixen.  I quantes altres li siguin atribuïdes per normes legals o reglamentàries.  Les competències atribuïdes a l’Agència que vinguin introduïdes per la Llei 32/2003 de 3 de novembre, General de Telecomunicacions.
  82. 82. Vicenç Llobet correu@llobet.eu.com Novembre 2012

×