LEY ORGÁNICA DE PROTECCIÓN DE DATOS 02

PARTE 02
¿Cómo hacer cumplir la LODP?
¿Debemos tener algún tipo de seguridad en nuestros ficheros de datos?
¿Debemos informar a los interesados de la existencia de estos ficheros de datos?
Una vez revisados los conceptos básicos relativos a la LODP, debemos ser conscientes de cómo afecta a nuestra empresa la existencia de un fichero que recoja los datos de carácter personal y cuáles son las instituciones encargadas de velar por el cumplimiento de todo lo que se dice en la citada ley.

2. Cumplimiento de la LOPD
2.1 Agencia Española de Protección de Datos (AEPD)
Es la encargada de velar por el cumplimiento de la LOPD e identificar tratamientos ilícitos de los datos de carácter personal.

Competencias principales de la AEPD:
- Divulgación a los ciudadanos sobre sus derechos y a las entidades sobre sus deberes en materia de protección de datos.
- Control y adopción de medidas para velar por el cumplimiento de la LOPD.
- Ejercer la potestad sancionadora, que se podrá graduar en función de la naturaleza de los datos, los beneficios, el volumen, el grado de intencionalidad o la reincidencia.
 
Algunas comunidades autónomas también han asumido competencias en materia de protección de datos: Madrid, Cataluña y el País Vasco.

2.2 Niveles de seguridad según tipos de datos
Las medidas de seguridad exigibles a los ficheros y tratamientos de datos personales se clasifican en tres niveles acumulativos, cuya aplicación dependerá de la naturaleza de la información tratada:
- Básico, requerido para todos los Datos de Carácter Personal.
- Medio, requerido para datos financieros, telecomunicaciones, tributarios, infracciones cometidas, definición de la personalidad o solvencia económica.
- Alto (datos especialmente protegidos), requerido para datos como la ideología, datos policiales, religión, salud, vida sexual, origen racial o afiliación sindical.

Los niveles medio y alto requieren unas medidas de seguridad adicionales respecto del nivel básico, tendiendo que certificar su cumplimiento mediante auditorías periódicas.

Las entidades han de controlar:
- El  acceso, mediante la identificación y autenticación de los usuarios.
- Los soportes de almacenamiento.
- Las copias de seguridad.
- La custodia, la copia y reproducción de los datos.
- La cesión a terceros

La AEPD dispone del test de autoevaluación EVALÚA para la verificación del cumplimiento de los requisitos legales


2.3 Soportes contenedores de datos
-Automatizados: se han de utilizar conforme a las instrucciones del responsable y se deben adoptar medidas básicas como el bloqueo de pantalla, el cierre de sesión, etc.
- No automatizados, cuyo tratamiento depende en mayor medida de los usuarios, al no tener un sistema de información que los controle o gestione.

2.4 Documento de seguridad
La formalización de todos los aspectos vistos en los apartados anteriores se realizará en el documento denominado Documento de Seguridad (o documentos de seguridad) de obligado cumplimiento y que deberá mantenerse actualizado y adecuado a las disposiciones vigentes.

Deberá contener como mínimo:
-    El ámbito de aplicación del documento.
-    Las medidas de seguridad disponibles.
-    Detalles sobre el sistema de información utilizado.
-    Las medidas requeridas para el transporte de datos.
-    Los procedimientos de copia y recuperación de datos.
-    Las respuestas ante incidencias surgidas.
-    Las funciones y obligaciones del personal.

Además, puede incluir:
-    Personas habilitadas en el sistema.
-    Detalles de la autorización previa.
-    Procedimiento de registro de personas.
-    Funciones y obligaciones de los usuarios.
-    Periodicidad de renovación de contraseñas.
-    Justificación de uso de datos en dispositivos móviles.
-    Medidas de seguridad ante entornos desprotegidos.
-    Registro de grabación manual de datos en caso de pérdida.

2.5 Alta de fichero de datos personalesLa LOPD obliga a las entidades a informar a la AEPD sobre la existencia de los ficheros con Datos de Carácter Personal, mediante el alta del mismo en el Registro General de Protección de Datos.

- El encargado de darlo de alta será el responsable del fichero.
- Se realizará con anterioridad al uso del fichero por primera vez o cuando se produzca algún cambio de estado en éste (actualización de condiciones generales o cese).
- No tiene ningún coste.
- Conlleva el compromiso por parte de la entidad responsable de que el fichero cumple con las exigencias legales.

La clasificación que hace la AEPD a la hora de dar de alta un fichero es la siguiente:
Según su titularidad:
- Pública.
- Privada.

Según el soporte de datos empleado:
- Automatizado.
- No automatizado.
- Mixto.

Para la comunicación con el Registro General y alta, supresión y modificación de ficheros la AEPD dispone del formulario de notificación NOTA. Ver la ayuda en el apartado 4 “Inscripción de ficheros en la AEPD” del presente documento.

2.6 Información al interesado
Para evitar cometer una infracción, habrá que informar al interesado, en relación al fichero de datos personales, de:
-    Su existencia.
-    La consecuencia de la obtención de sus datos.
-    La identidad del responsable del fichero.
-    El derecho de acceso, rectificación, cancelación y oposición.

Normalmente esta información se incluye en un apartado del formulario que recoge los datos personales mediante clausulas explicativas.


LOPD. Publicación BOE

No hay comentarios:

Si tienes algún comentario nos gustaría que nos lo hicieses llegar. Muchas gracias

¡Recomienda este blog!