Posted on

Políticas de seguridad de datos

3º Fase

Protección de datos e implantación de medidas de seguridad

Las empresas deben adoptar las medidas de carácter técnico, organizativo y/o juridico que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado.

Existen tres niveles de seguridad, se fijan en función del nivel de seguridad correspondiente al fichero, y en función del soporte del mismo (automatizado o no automatizado).

Elaborar el documento de seguridad, que recoge las medidas tecnicas y organizativas de obligado cumplimiento para el personal con acceso a los sistemas de información cuanto éstos incorporen datos de carácter personal.

Definir un responsable de seguridad.

El responsable de seguridad coordina y controla las medidas de seguridad implementadas en la empresa. Así, estará siempre informado acerca de cualquier suceso que pueda afectar a los ficheros con datos de carácter personal.

Divulgar la normativa de seguridad al personal.

Se deben adoptar las medidas necesarias para que todo el personal de la empresa conozca las normas de seguridad que afectan al desarrollo de sus funciones.

Establecer un procedimiento de notificación, gestión y respuesta ante incidencias.

El registro de incidencias permite disponer de un control completo, exacto y detallado de cualquier problema que pueda ocurrir dentro de los sistemas de información que traten datos de cáracter personal, con el fin de definir las responsabilidades y medidas correctivas a ejecutar en caso de ocurrir dichas irregularidades.

Definir y documentar los procedimientos de control

El acceso a los recursos informaticos y documentales dentro de la empresa debe estar restringido y autorizado, con el objetivo de asegurar que la información este disponible solo para los usuarios afectados o interesados.

Disponer de copias de respaldo

La copia de seguridad o copia de respaldo de un fichero es la copia de datos que permite restaurarlos en el caso de una pérdida de información.

Establecer mecanismos de control en el caso de traslado de documentación

Cuando haya de ser trasladada fuera de su ubicacín original, se han de aplicar medidas de seguridad que eviten el acceso a los datos por parte de terceras personas.

Realizar auditorías

Obligación de realizar una auditoría bienal a partir del tratamiento de ficheros automatizados y no automatizados de nivel medio, esto implica someterse, al menos, cada dos años a una auditoria interna o externa que verifique el cumplimiento de las medidas de seguridad previstas en el RDLOPD

 

Posted on

Legitimación de Datos

2º Fase

Legitimación de los datos

Esta fase prevé la observación de una serie de principios básicos y obligaciones que deben de regir el tratamiento y recogida de datos por parte de las pymes. 

Recogida de los datos:

Principios que debe ser observado por el responsable en el tratamiento de los datos

Los datos deben tratarse de manera leal y lícita, con fines determinados, explícitos y legítimos, deberán de ser exactos y mantenerse actualizados, sólo deben conservarse durante el tiempo necesario para las finalidades del tratamiento para el que han sido recogidos.

Para cumplir con éxito esta segunda fase de implementación de la normativa sobre protección de datos, por lo tanto deberá de cumplir con las siguientes obligaciones:

    • Informar al interesado sobre la recogida de datos
    • Solicitar el consentimiento del interesado para que la empresa pueda utilizar sus datos 
    • Atender los derechos de acceso, rectificación, cancelación, y oposición (derechos A.R.C.O) que ejerzan los ciudadanos titulares de los datos.
    • Observar las disposiciones previstas en lay en los casos en que se transmitan los datos fuera del Espacio Económico Europeo.
    • Deber de guardar secreto.

 

Posted on

Adaptación de los ficheros

1º Fase

Adaptación de los ficheros

El primer paso es identificar los ficheros con datos personales que estén siendo manejados por la empresa y que están sujetos a las disposiciones sobre protección de datos.

Una vez determinada la existencia efectiva de ficheros con datos de cáracter personales, el primer requisito es la notificación de los mismos ante el registro de la AEPD, tienen tres modalidades de presentación de la documentación: en papel, a tráves de Internet, y a tráves de Internet con certificado digital (firma electronica), en cualquier de los tres casos, las solicitiudes de inscripción de ficheros deberá de hacerse a tráves del formulario electronico de notificaciones telematicas a la AEPD (NOTA).

 

Posted on

¿Qué es la seguridad de la información?

Medidas de seguridad de la LOPD 

Adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y emiten su alteración, perdida, tratamiento, o acceso no autorizado.

El artículo 9 de la LOPD  condiciona estas medidas al estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural. La aplicación de las medidas de seguridad se ordena a garantizar la confidencialidad, integridad, y disponibilidad de los datos. La seguridad constituye un instrumento esencial para garantizar el derecho fundamental a la protección de datos.

Las medidas de seguridad se aplican tanto a los ficheros como a los tratamientos.

Las medidas de seguridad deben aplicarse tanto por el responsable del fichero, como por el encargado del tratamiento.

Deben aplicarse medidas de seguridad a ficheros y tratamientos en soportes no automatizados.

De conformidad con lo dispuesto en el artículo 44.3.h) de la Ley Orgánica 15/1999, constituye  infracción grave mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen.

Con el objeto de facilitar a los responsables de ficheros y a los encargados de tratamientos de datos personales la adopción de las medidas de seguridad establecidas en el Reglamento de la LOPD, la Agencia Española de Datos pone a su disposición esta Guía de Seguridad que incluye:

Guía modelo del documento de Seguridad (Cuadro Resumen de Medidas de Seguridad y Relación de comprobaciones para la realización de la Auditoría de Seguridad

Guía modelo del documento de seguridad

Guía modelo del documento de seguridad (formato editable)

Posted on

Sanciones LOPD

 

La LOPD prevé la posibilidad de aplicar sanciones, que pueden variar desde los 600€ hasta los 600.000 €, a quienes no cumplan con la Ley. Estas sanciones se dividen en tres categorías dependiendo del tipo de falta cometida. Algunos ejemplos de sanciones son los siguientes.

Infracciones leves – Sanciones desde 601,01€ hasta 60.101,21€

No solicitar la inscripción del fichero en la AGPD

No atender a las solicitudes de rectificación o cancelación

Infracciones graves – Sanciones desde 60.101,21€ hasta 300.506,25€

No inscribir los ficheros en la AGPD

No disponer de Documento de Seguridad

No disponer acuerdos con las empresas externas que garanticen la seguridad de los datos

Infracciones muy graves – Sanciones desde 300.506,25€ hasta 601.012,1€

No atender u obstaculizar de forma sistemática el ejercicio de los derechos de acceso, rectificación, cancelación u oposición

No atender de forma sistemática el deber legal de notificación de la inclusión de datos de carácter personal en un fichero

 

Posted on

¿Qué es la protección de datos personales?

Tu derecho fundamental a la protección de datos

¿Qué es un dato de carácter personal?

Cualquier información que permita identificarte o hacerte identificable.

 ¿Qué es la protección de datos personales?

Es la garantía de que como persona física, ya sea como cliente o usuario, podemos controlar nuestra información personal frente a su tratamiento automatizado o manual, no sólo en Internet si no en cualquier soporte que permita su almacenamiento y acceso.

 ¿Qué finalidad tiene el derecho fundamental a la protección de datos?

Reconoce al ciudadano la facultad de controlar sus datos personales y la capacidad para disponer y decidir sobre los mismos.

¿Cuándo se tratan datos personales?

Si se recogen y tratan el nombre, los apellidos, la fecha de nacimiento, la dirección postal o la dirección de correo electrónico, el número de teléfono, el número de identificación fiscal, la huella digital, el ADN, una fotografía, el número de seguridad social, se están usando datos que identifican a una persona, ya sea directa o indirectamente.

Se están tratando datos personales y se deben cumplir las obligaciones que impone la LOPD salvo que sea en el ejercicio de actividades exclusivamente personales o domésticas.

 ¿Qué es la Agencia Española de Protección de Datos?

La AEPD es la autoridad de control independiente que vela por el cumplimiento de la normativa sobre protección de datos y garantiza y tutela el derecho fundamental a la protección de datos personales

INFORMA y AYUDA al ciudadano a ejercitar sus derechos y a las entidades públicas y privadas a cumplir las obligaciones que establece la Ley.

TUTELA al ciudadano en el ejercicio de los derechos de acceso, rectificación, cancelación y oposición cuando no han sido adecuadamente atendidos. Y GARANTIZA el derecho a la protección de datos investigando y sancionando aquellas actuaciones que puedan ser contrarias a la ley

A continuación os dejamos la guía del derecho fundamental a la protección de datos de caracter personal:

Guía del derecho fundamental a la protección de datos de caracter personal

 

 

 

Posted on

Preguntas frecuentes

A continuación os enseñamos las preguntas más frecuentes sobre la Ley Orgánica de Protección de Datos.

¿Se aplica la LOPD a los empresarios individuales o autónomos? ¿Y a las personas jurídicas? ¿Y a los datos de personas ya fallecidas?

Con carácter general, el objeto de la Ley está regulado en los artículos 1 y 2.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, que establece:

Artículo 1. Objeto: La presente Ley Orgánica tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar.

Artículo 2. Ámbito de aplicación: La presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado.

Por ello, no le es de aplicación la Ley Orgánica 15/1999

    • A los datos de personas jurídicas.

    • A los datos de las personas fallecidas.

Por el contrario, sí le es de aplicación

    • A los datos de los empresarios individuales – personas físicas (por ejemplo, autónomos).
    • A la grabación de datos de voz e imágenes, siempre que las mismas permitan la identificación de las personas que aparecen en dichas voces o imágenes y se hallen incorporadas a ficheros informáticos.
    • A los ficheros de empresas que tengan una relación de personas físicas de contacto, como Administradores, Gerentes, Directores Generales, Comerciales, etc

¿Que puede suceder si mi empresa no cumple con la LOPD? ¿Hay sanciones?

La LOPD prevé la posibilidad de aplicar sanciones, que pueden variar desde los 600€ hasta los 600.000€, a quienes no cumplan con la Ley. Estas sanciones se dividen en tres categorías dependiendo del tipo de falta cometida. Algunos ejemplos de sanciones son los siguientes.

Infracciones leves – Sanciones desde 601,01€ hasta 60.101,21€

    • No solicitar la inscripción del fichero en la AGPD

    • No atender a las solicitudes de rectificación o cancelación

Infracciones graves – Sanciones desde 60.101,21€ hasta 300.506,25€

    • No inscribir los ficheros en la AGPD

    • No disponer de Documento de Seguridad

    • No disponer acuerdos con las empresas externas que garanticen la seguridad de los datos

Infracciones muy graves – Sanciones desde 300.506,25€ hasta 601.012,1€

    • No atender u obstaculizar de forma sistemática el ejercicio de los derechos de acceso, rectificación, cancelación u oposición

    • No atender de forma sistemática el deber legal de notificación de la inclusión de datos de carácter personal en un fichero

¿Que es un fichero de datos de carácter personal?

 El concepto de fichero está descrito en el artículo 3.b) de la Ley Orgánica 15/1999, de 13 de diciembre, según el cual, definimos el fichero como “todo conjunto organizado de datos de carácter personal, cualquiera que fuera la forma o modalidad de su creación, almacenamiento, organización y acceso”. En consecuencia, se debe de inscribir en el Registro General de Protección de Datos todos los ficheros que contengan datos de carácter personal (nóminas, clientes, pacientes, informes), aunque solamente el nombre y los apellidos de la persona de contacto, el administrador o gerente de la empresa.

¿ Debo obligatoriamente inscribir los ficheros manuales o en papel (listados, fichas, etc..)?

El soporte papel (como son listados o las fichas) entra dentro de la definición de soportes físicos en general.

Los ficheros manuales (no automatizados), creados con posterioridad a la fecha de entrada en vigor de la LOPD (14 de enero de 2000), deberán ser notificados para su inscripción en el Registro General de Protección de Datos. Sin embargo, los ficheros manuales que ya existieran antes de la entrada en vigor de la LOPD, no será obligatoria la notificación para su inscripción hasta octubre de 2007, de conformidad con lo establecido en el último párrafo de la Disposición Adicional Primera.

¿Se considera dentro del ámbito de aplicación de la LOPD revelar datos de carácter personal en una pagina web?

De acuerdo con la definición de tratamiento de datos prevista en el artículo 3 c) de la LOPD, hacer referencia en una pagina web a una persona e identificarla por su nombre o por otros medios, como su número de teléfono o información relativa a sus condiciones de trabajo y a sus aficiones, constituye un tratamiento de datos de carácter personal, por lo tanto es necesario cumplir las previsiones establecidas en la Ley.

¿Cómo cumplir con la LOPD? Proceso de implantación

¿Qué es la protección de datos personales?

 

Posted on

¿Mi empresa debe cumplir con la LOPD?

Si su empresa recoge datos personales deberá cumplir con la LOPD o Ley de Protección de Datos.

Está obligada: Cualquier empresa que recoga datos de personas físicas, ya sea en papel, por ejemplo en archivos o carpetas, o ya sea a través de Internet, páginas web y otros soportes digitales. Dependiendo del sector de nuestra empresa, por ejemplo el sector salud, los datos personales pueden requerir un mayor nivel de seguridad y protección.

No están obligadas: Aquellas empresas que sólo recojan datos de personas jurídicas, es decir empresas, sociedades, fundaciones, asocaciones. Los datos de las personas jurídicas son públicos y por tanto no se requiere la protección de datos. En caso de que no recojamos ninguna información sobre persona físicas, entonces no necesitaremos proteger sus datos.

Posted on

Niveles de seguridad para proteger datos personales

El reglamento de desarrollo de la LOPD fija tres niveles de seguridad atendiendo a la naturaleza de la información, dependiendo de la necesidad de garantizar la confidencialidad,integridad y sensibilidad de los datos personales. Esto es independiente de la finalidad del tratamiento de los datos personales.

Los niveles de seguridad son acumulativos de modo que un fichero de nivel alto deberá aplicar también las medidas previstas en los niveles básico y medio.

NIVEL ALTO: Ficheros o tratamientos que se refieran a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual.

Que contengan o se refieran a datos recabados para fines policiales sin consentimiento de las personas afectadas.

Que contengan datos derivados de actos de violencia de género.

NIVEL MEDIO: Ficheros o tratamientos relativos a la comisión de infracciones administrativas o penales.

Aquellos cuyo funcionamiento se rija por el artículo 29 de la Ley Orgánica 15/1999, de 13 de diciembre.

Aquellos de los que sean responsables las Administraciones Tributarias y se relacionen con el ejercicio de sus potestades tributarias.

Aquellos de los que sean responsables las entidades financieras para finalidades relacionadas con la prestación de servicios financieros.

Aquellos de los que sean responsables las Entidades Gestoras y Servicios Comunes de la Seguridad Social y se relacionen con el ejercicio de sus competencias, y aquellos de los que sean responsables las mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social.

Aquellos de los que sean responsables los operadores que presten servicios de comunicaciones electrónicas disponibles al público o exploten redes públicas de comunicaciones electrónicas respecto a los datos de tráfico y a los de localización. Estos ficheros aplicarán además lo previsto en el artículo 103 RDLOPD respecto del registro de accesos.

Aquellos que contengan un conjunto de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos.

NIVEL BÁSICO: Para todos los ficheros que contengan datos de carácter personal.

En caso de ficheros o tratamientos de datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual será suficiente la implantación de las medidas de seguridad de nivel básico cuando:

Los datos se utilicen con la única finalidad de realizar una transferencia dineraria a las entidades de las que los afectados sean asociados o miembros.

Se trate de ficheros o tratamientos no automatizados en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad.

Se trate de ficheros o tratamientos que contengan datos relativos a la salud, referentes exclusivamente al grado de discapacidad o la simple declaración de la condición de discapacidad o invalidez del afectado, con motivo del cumplimiento de deberes públicos.

¿Debe mi empresa cumplir con la ley de protección de datos?