SlideShare une entreprise Scribd logo
1  sur  87
IMPLANTACIÓN
L.O.P.D. EN LA
EMPRESA
GUÍA PRÁCTICA
• Qué hacer para implantar la LOPD
• Pasos a seguir
IMPLANTACIÓN DE LA
LOPD EN LA EMPRESA
• Como inscribir un fichero en la AEPD
• Cumplimentar el formulario
INSCRIPCIÓN DE
FICHEROS
• Contenido del documento
• Apartados (5)
• Anexos (9)
ELABORACIÓN DEL
MANUAL DE SEGURIDAD
• Nivel alto
• Nivel medio
• Nivel básico
IDENTIFICAR LOS
NIVELES DE SEGURIDAD
•Derechos de los ciudadanos
•Tutela de derechos
GARANTIZAR LOS
DERECHOS DE LOS
CIUDADANOS
ÍNDICE
Con este curso se pretende, una vez alcanzados los conocimientos
teóricos, adquirir las habilidades prácticas para poder realizar la
implantación de las medidas de seguridad, técnicas y organizativas,
necesarias para garantizar los principales aspectos que han de tener en
cuenta las empresas a la hora de tratar los datos de carácter personal de
sus clientes, proveedores, personal, etc., respetando, en todo caso:
INTRODUCCIÓN
Los derechos de los
usuarios respecto a sus
propios datos
Las obligaciones, que como
responsable de los ficheros
han de tener en cuenta
IMPLANTACIÓN DE LA LOPD EN
LA EMPRESA
1. QUE HACER PARA IMPLANTAR LA LOPD EN LA EMPRESA
2. PASOS A SEGUIR
2.1. Determinar que ficheros contienen datos de carácter personal
2.2. Registrar todos los ficheros con datos personales en la AEPD
2.3. Elaborar el documento de seguridad
2.4. Identificar los niveles de seguridad que corresponden a los ficheros
2.5. Garantizar los derechos a los usuarios
1. QUÉ HACER PARA IMPLANTAR LA LOPD EN LA EMPRESA
Cumplir con la Ley de Protección de
Datos es obligatorio para cualquier
empresa o profesional
Desde el momento que se faciliten o
recopilen datos personales, deben
ser tratados y guardados con el mayor
rigor posible
La Agencia Española de Protección
de Datos es el Órgano competente
para velar por este derecho
fundamental
2. PASOS A SEGUIR
2. REGISTRAR TODOS
LOS FICHEROS CON
DATOS PERSONALES EN
LA AGENCIA ESPAÑOLA
DE PROTECCIÓN DE
DATOS
3. ELABORAR EL
DOCUMENTO DE
SEGURIDAD PARA
ESOS FICHEROS
4. IDENTIFICAR LOS
NIVELES DE
SEGURIDAD QUE
CORRESPONDEN A
LOS FICHEROS
5. GARANTIZAR LOS
DERECHOS A LOS
USUARIOS
1. DETERMINAR QUE
FICHEROS CONTIENEN
DATOS DE CARÁCTER
PERSONAL
Analizar qué tipo de datos personales se manipulan en el desarrollo
de su actividad
Identificar aquellos archivos susceptibles de ser inscritos en la
Agencia de Protección de Datos.
2.1. DETERMINAR QUE FICHEROS CONTIENEN DATOS DE
CARÁCTER PERSONAL
Dependiendo de la actividad de su empresa, deben:
LAS
EMPRESAS
LOS
AUTÓNOMOS
PERSONALYNÓMINAS En el momento
en el que se
contrate a un
trabajador
CLIENTES
Cuando haya
clientes, tanto
en soporte
papel como en
ordenador
PROVEEDORES
Sólo en el caso
de tratarse de
personas
físicas, es decir,
autónomos
CONTACTOS
Sólo de personas
físicas
CURRICULUM
En el caso de
recibir
curriculum,
entregados en
mano, por correo
electrónico, etc.
VIDEOVIGILANCIA
En el caso de
tener instaladas
cámaras de
videovigilancia
EJEMPLOS DE FICHEROS DE TITULARIDAD PRIVADA
2.2. REGISTRAR TODOS LOS FICHEROS CON DATOS
PERSONALES EN LA A.E.P.D
Identidad del responsable del fichero.
Nombre y descripción del fichero que tenga datos de carácter personal.
Ubicación donde se guarda el fichero.
Sistema de tratamiento de la información personal.
Medidas de seguridad para preservar la privacidad de los datos.
Estructura básica del fichero, es decir, tipos de datos que se contienen en el
fichero.
Finalidad del fichero y los usos previstos del mismo.
Procedencia de los datos y el procedimiento de recogida de los mismos.
Departamento ante el que los usuarios pueden ejercer sus derechos sobre
los datos.
El Formulario de Notificación de Ficheros (NOTA) con la siguiente
información
A través de internet
Una vez ha sido completada la información requerida, puede
enviarse la notificación a la Agencia Española de Protección de Datos
a través de internet
El proceso se puede
desarrollar totalmente online
La hoja de solicitud que se
genera al completar el
formulario hay que enviarla
(con el correspondiente
código de envío) firmada a la
AEPD
CON certificado
de firma
electrónica
SIN certificado
de firma
electrónica
Una vez inscrito el Fichero en
el Registro, la Agencia
Española de Protección de
Datos, lo comunicará
indicando el código de
inscripción (necesario para
posteriores modificaciones o
cancelación del fichero) que
se le ha asignado al Fichero.
Una vez reciban la
notificación del fichero y la
solicitud de inscripción en la
Agencia Española de
Protección de Datos,
evaluarán la información. Si
es correcta procederán a la
inscripción del Fichero, y si
por el contrario contiene
errores solicitarán al
Responsable del Fichero la
corrección de los mismos.
Si es correcta
proceden a la
inscripción del
Fichero
SOLICITUD DE
INSCRIPCIÓN
FICHERO
FICHERO
NOTIFICACIÓN A.E.P.D.
Evaluación de la
información recibida Si no es correcta
el responsable de
fichero procederá
a su corrección
Comunicación del código de inscripción que
se le ha asignado al Fichero
2.3. ELABORAR EL DOCUMENTO DE SEGURIDAD
El responsable del fichero elaborará y establecerá la normativa de
seguridad mediante un documento de obligado cumplimiento para el
personal de acceso a los datos automatizados de carácter personal y los
sistemas de información
Ámbito de aplicación del documento
con especificación detallada de los
recursos protegidos. Medidas, normas,
procedimientos, y reglas orientados a
garantizar el nivel de seguridad exigido
en el Reglamento de la LOPD
Funciones y obligaciones del personal
Estructura de los ficheros con datos de
carácter personal y descripción de los
sistemas de información que los tratan
Procedimiento de notificación, gestión
y respuesta ante las incidencias.
Los procedimientos de elaboración de
copias de seguridad y de recuperación
de datos
CONTENIDO DEL
DOCUMENTO DE
SEGURIDAD
Este documento será el que establezca la
normativa de seguridad de la empresa.
Deberá conocer y cumplir todo el personal con
acceso a los datos y a los sistemas de
información.
La Agencia de Protección de Datos dispone de un modelo de
Documento de seguridad editable y disponible para descargar en su
página web
Hay que señalar que la responsabilidad por las infracciones que se
cometan, será siempre del responsable del fichero y nunca del
responsable de seguridad
Si el nivel de seguridad a adoptar es medio o alto, el responsable del
fichero designará a un responsable o responsables de seguridad
Estos serán los encargados de velar por el
cumplimiento de las medidas, normas y
reglas de seguridad establecidas por el
Responsable del Fichero en el documento
de seguridad
2.4. IDENTIFICAR LOS NIVELES DE SEGURIDAD QUE
CORRESPONDEN A CADA FICHERO
Nivel Básico: si los ficheros que se guardan contienen
únicamente datos de identificación de las personas.
Nivel Medio: si se incluyen datos relativos a la comisión de
infracciones administrativas o penales, Hacienda Pública, sobre
Servicios Financieros, solvencia patrimonial y crédito...
Nivel Alto: si además de datos identificativos se guardan datos
con información médica, sobre creencias o religión, de
afiliaciones sindicales o políticas, origen racial…
La L.O.P.D., según los datos personales que se incluyan en el fichero,
contempla tres niveles de seguridad en función del carácter de la
información archivada y de su tratamiento
• Existencia de una lista actualizada de usuarios autorizados que tengan
acceso al sistema de información.
• Contraseñas: procedimiento de creación, asignación, conservación y
cambio periódico.
• Conocimiento por parte del personal de las normas y medidas de
seguridad que les son aplicables.
• Los usuarios tendrán únicamente acceso a los datos/recursos de
acuerdo a su puesto laboral y tareas definidas en el documento de
seguridad.
• Listado de personal con privilegios administrativos informáticos sobre
aplicaciones y ficheros.
• Deberán implantarse mecanismos que eviten el acceso no autorizado a
otros recursos: establecimiento de perfiles de usuario. Definición en el
Documento de Seguridad de las funciones y obligaciones de grupos de
usuarios y/o perfiles.
• Trabajo fuera de ubicación principal debe ser expresamente autorizado.
NIVEL BÁSICO
• Descripción y estructura informática del Fichero y del sistema
informático en el documento de seguridad.
• Identificación, inventariado y almacenamiento de los soportes.
Autorización necesaria para salida de soportes.
• Registro de incidencias. Contenido mínimo: tipo de incidencia,
momento en que se produce, efectos producidos, persona que
comunica, medidas adoptadas.
• Copias de Respaldo y Recuperación datos que garanticen la
restauración de los datos al momento anterior a producirse la pérdida.
• Realización de copias de Backup al menos con una frecuencia semanal.
• Revisión y actualización del Documento de Seguridad en función de
cambios relevantes en la Organización.
En caso de ficheros en soporte papel, además:
 Control de acceso a la documentación
 Medidas de conservación y almacenamiento
 Procedimientos y mecanismos de destrucción que impidan posterior
recuperación de la información que contienen.
NIVEL MEDIO
Las medidas mínimas de seguridad que se adoptarán serán las mismas que la
de nivel básico, más las siguientes:
 Identificación de usuario, de manera inequívoca y personalizada.
 Limitación de acceso incorrecto reiterado.
 Control de acceso físico a servidores y al centro de procesamiento de datos.
 Listado de personas con acceso a los mismos.
 Identificación y funciones del/los Responsables de Seguridad.
 Cifrado de soportes en caso de operaciones externas de mantenimiento.
Medidas y procedimientos para la destrucción de soportes. Registro de Entrada
y salida de Soportes.
 Contenido adicional en el registro de incidencias: Procedimiento de
restauración de datos, datos restaurados y datos grabados manualmente.
 Necesaria autorización para la ejecución de procedimientos de restauración de
datos.
 Deberá someterse a una Auditoria cada 2 años. Conservación de Informe a
disposición AEPD.
NIVEL ALTO
Las medidas mínimas de seguridad que se adoptarán serán las mismas
que la de nivel básico y nivel medio, más las siguientes:
• De cada acceso al fichero se guardarán: identificación usuario, fecha y
hora, fichero accedido, tipo de acceso y su autorización o denegación,
guardando la información que permita identificar registro accedido.
• Registro y conservación de accesos lógicos al fichero por un plazo no
inferior a 2 años.
• Los mecanismos de acceso estarán bajo el control directo del
Responsable de Seguridad, sin que pueda permitirse la desactivación.
• Distribución de soportes con mecanismos de cifrado de datos.
• Almacenamiento externo de copias de seguridad y procedimientos de
restauración de datos.
• Revisión periódica de la información de control de los accesos
informáticos a ficheros y aplicaciones.
5. GARANTIZAR LOS DERECHOS DE LOS USUARIOS
Derecho de Acceso. Todos los usuarios tienen derecho a conocer
qué datos se han almacenado sobre ellos. El plazo máximo para
dar respuesta tras la solicitud por parte del usuario: 30 días
Derecho de Rectificación. Cualquier usuario puede poder solicitar
que se modifiquen sus datos personales si no son correctos. El
plazo máximo para dar respuesta tras la solicitud por parte del
usuario: 10 días
Derecho de Cancelación. Todos los usuarios pueden solicitar la
cancelación de sus datos. El plazo máximo para dar respuesta tras
la solicitud por parte del usuario: 10 días
Derecho de Oposición. Cualquier usuario puede oponerse a que se
almacenen sus datos. El plazo máximo para dar respuesta tras la
solicitud por parte del usuario: 10 días
Los derechos que la LOPD contempla para los usuarios sobre la
recogida de datos de carácter personal, son:
INSCRIPCIÓN DE FICHEROS
1. INSCRIBIR UN FICHERO EN LA AGENCIA ESPAÑOLA DE
PROTECCIÓN DE DATOS
• Formulario NOTA
1. CÓMO INSCRIBIR UN FICHERO ANTE LA AGENCIA ESPAÑOLA DE
PROTECCIÓN DE DATOS (AEPD)
Para llevar a cabo la inscripción de ficheros la Agencia de Protección de
Datos proporciona una aplicación gratuita que se puede encontrar en su
página web www.agpd.es
Una de las obligaciones que marca la Ley 15/1999, de Protección de Datos
de Carácter Personal, es el declarar en el Registro General de la Agencia,
todos los ficheros que tenga en la empresa y que contengan datos de
carácter personal, tales como, empleados, clientes, proveedores,
videovigilancia, etc.
La aplicación está situada en la página principal, se llama NOTA y se
encuentra en la parte derecha de la página
Pinchar sobre él para acceder
El siguiente paso es seleccionar:
Obtención del formulario NOTA
Ojo!!! Hay que leer
El formulario electrónico NOTA incorpora funcionalidades de dinamismo que requieren la
instalación de Adobe Reader versión 7.0.8 o superior. En caso de utilizar versión anterior
de Adobe Reader se visualizará un mensaje que dice Archivo Dañado / File Damaged.
Si se utiliza la versión 8.1. de Adobe Reader, para cumplimentar los campos desplegados
(Actividad, Provincia, País, Países en el formulario de titularidad privada; Provincia,, País,
Diario Oficial de Publicación, Fecha de Publicación y Países en el formulario de titularidad
pública), se puede visualizar la lista de valores disponibles haciendo “click” con el ratón en
la parte derecha campo (donde en las versiones anteriores de Adobe se visualiza el botón
que realiza esa función), desplegándose la lista y permitiendo seleccionar un elemento de
la misma. También puede introducirse valores situando el cursor en uno de los campos
mencionados y utilizando las flechas arriba y abajo hasta encontrar el texto adecuado”.
AVISO IMPORTANTE PARA USUARIOS DE GOOGLE CHROME
Google Chrome ejecuta de forma predeterminada un complemento propio
(Chrome PDF Viewer) para visualizar documentos PDF, el cual no reconoce
las funcionalidades de dinamismo del formulario NOTA de forma que
únicamente muestra la primera pregunta y no permite avanzar en la
cumplimentación del mismo. Para poder usar adecuadamente el
formulario NOTA puede:
Configurar Google Chrome para que muestre los documentos PDF
ejecutando el complemento de Adobe Reader en lugar del complemento
Chrome PDF Viewer, para lo cual puede seguir estas instrucciones:
Ojo!!! Hay que leer
Continuación
• Pulsar el botón de Personalizar y configurar Google Chrome.
• Seleccionar "Mostrar opciones avanzadas..." al final de la página.
• Pulsar el botón "Configuración de contenido..." del apartado
"Privacidad".
• En el apartado "Complementos", seleccionar el enlace "Inhabilitar
complementos de forma individual"
• En el complemento Chrome PDF Viewer y seleccionar el enlace
"Inhabilitar"
• En el complemento Adobe Reader y seleccionar el enlace "Habilitar"
Usar otro navegador que tenga configurado el complemento de Adobe
Reader como predeterminado.
Descargar el formulario en su equipo pulsando el botón derecho del ratón
sobre el enlace y en el menú contextual seleccionar "Guardar enlace
como...". A continuación ejecutar la aplicación Adobe Reader y desde el
menú "Archivo / Abrir..." seleccionar el formulario guardado.
Ojo!!! Hay que leer
Ojo!!! Hay que leer
AVISO IMPORTANTE SOBRE COMPLEMENTO DE NAVEGADORES
Algunos navegadores pueden tener configurado por defecto un
complemento para visualizar documentos PDF que no es el complemento
de Adobe Reader, y que no reconoce las funcionalidades de dinamismo del
formulario NOTA. En ese caso, únicamente se muestra la primera pregunta
y al seleccionar una de las casillas no muestra la segunda pregunta y no
permite avanzar en la cumplimentación del formulario.
Para poder usar adecuadamente el formulario NOTA puede:
Usar otro navegador que tenga configurado el complemento de Adobe
Reader como predeterminado.
Continuación
Cambiar el complemento con el que el navegador abre el documento.
Así, por ejemplo:
 En Google Chrome se muestra un icono en la barra de direcciones
que al seleccionarlo ofrece la posibilidad de abrir el formulario con
Adobe Reader.
 En Mozilla Firefox se muestra la advertencia de que el documento
PDF podría no mostrarse correctamente junto con un botón "Abrir
con un visor diferente" que le permite seleccionar el complemento
de Adobe Reader para abrir el formulario.
Descargar el formulario en su equipo pulsando el botón derecho del
ratón sobre el enlace y en el menú contextual seleccionar "Guardar
enlace como...".
A continuación ejecutar la aplicación Adobe Reader y desde el menú
"Archivo / Abrir..." seleccionar el formulario guardado.
Ojo!!! Hay que leer
Una vez realizadas las configuraciones pertinentes bajar con el cursor
hasta la parte inferior de la página y seleccionar el enlace:
Formulario Nota de titularidad privada
Se accede al formulario disponible en formato PDF para comenzar la
declaración
La primera pregunta que se encuentra es, que tipo de solicitud queremos
realizar: un alta, una modificación de un fichero previamente declarado o
una supresión
En este caso marcaremos ALTA
A continuación aparece otro desplegable que pregunta que modelo de
declaración queremos realizar:
Normal o Tipo
En la declaración TIPO están los ficheros mas comunes
Al ser tipo parte de los formularios vienen ya rellenos
Si dentro de este desplegable no encontramos la opción que necesitamos,
elegiremos la opción NORMAL
La siguiente pregunta es como vamos a hacer la presentación del
formulario ante la Agencia.
Esta se puede hacer a través de:
- Correo postal
- Internet con firma digital
- Internet sin firma digital
Como ejemplo vamos a elegir la declaración TIPO y el fichero
CLIENTES/PROVEEDORES
Es la forma mas sencilla, para ello, hay que
rellenar un formulario, el cual debe ir firmado en
la última hoja de forma manuscrita y enviado por
fax o por correo postal a la Agencia Española de
Protección de datos
POR
Internet sin Firma
Electrónica
POR
Internet con Firma
Electrónica
Si se dispone de firma electrónica se puede
presentar directamente con medios electrónicos
sin necesidad de papel
Seleccionar Internet y cumplimentar
Se procede a cumplimentar el formulario
En el primer apartado se encuentran los datos del responsable del
fichero, es decir, de la empresa (nombre, dirección, CIF y actividad a la
que se dedica, que se selecciona mediante un desplegable).
En el segundo se debe indicar los datos de la empresa en los que un
usuario puede ejercer los derechos de acceso, rectificación,
cancelación y oposición.
Normalmente deben coincidir con el apartado uno
En el apartado cuatro se debe indicar los datos de la empresa que
realice el tratamiento de datos de carácter personal de este fichero,
en caso de que sea un tercero quien lo realice.
En el apartado quinto se indicará los datos del fichero que se va a
notificar.
Como se puede comprobar parte del fichero está relleno por haber
optado por la opción TIPO en el formulario
Aunque sea TIPO se puede modificar el nombre, la descripción o la
finalidad que aparece ya predeterminada.
En este supuesto se pueden elegir otras opciones de la izquierda si se
quiere ampliar la finalidad del fichero.
En el apartado sexto hay que marcar la casilla de la procedencia de los
datos, si es a través del propio interesado, de un registro público, etc., y
del colectivo al que pertenece, en este caso a CLIENTES que ya está
relleno por defecto,
En el caso que nos ocupa CLIENTES no hay datos de este tipo por lo que no se
selecciona ninguna casilla de estos apartados.
Si vienen mas abajo detalladas, al ser un fichero TIPO, las mas corrientes
(nombre, apellidos, teléfono, etc.)
Si se tuviera algún datos mas se seleccionaría la casilla correspondiente, o se
indicaría en otros de los de carácter identificativo
En el apartado siete se
seleccionan los datos
concretos que va a
incorporar el fichero que se
está notificando.
Si hay algún dato
especialmente protegido de
los que se especifican en el
formulario se debe marcar la
casilla correspondiente.
En el apartado sistema
de tratamiento se debe
indicar, si va a ser
manual, es decir, en
formato papel,
automatizado o mixto,
dependiendo de cómo
se gestionen los datos
de carácter personal
del fichero.
En el apartado medidas de seguridad viene marcado por defecto, NIVEL
BÁSICO, en función de los datos que se han introducido anteriormente.
En caso de que se hubiese marcado alguna de las casillas de datos
especialmente protegidos, seria de nivel alto
En el apartado nueve, se
indica si se va hacer alguna
cesión de datos de este
fichero, es decir, si se van a
ceder datos de los clientes a
algún Organismo o Entidad.
Si es así se seleccionan,
además, de los datos que
están predeterminados, los de
la columna de la izquierda.
Una vez cumplimentado el
formulario, hay varias
opciones: Guardar. Imprimir,
Limpiar, Validar, Volver a las
preguntas iníciales y
Cumplimentar hoja de
solicitud
CUMPLIMENTAR
HOJA DE SOLICITUD
CUMPLIMENTAR EL FORMULARIO
Una vez seleccionada CUMPLIMENTAR HOJA DE SOLICITUD para
terminar definitivamente (en este caso no se puede porque no se han
rellenado todos los campos correctamente, por ser un ejemplo) se debe
indicar los datos del responsable de seguridad, que es la persona
encargada dentro de la empresa de todo lo relativo a la protección de
datos. Así como, una dirección donde la Agencia pueda notificar la
inscripción de ese fichero y su código.
Una vez finalizada ésta última hoja, aparece una prescripción
cumplimentada con los datos de la empresa, el responsable de
seguridad, que deberá ser enviada a la Agencia mediante fax 914452529
o por correo postal a la dirección de la empresa
ELABORACIÓN DEL MANUAL DE
SEGURIDAD
1. INTRODUCCIÓN
2. ÁMBITO DE APLICACIÓN
3. MEDIDAS, NORMAS, PROCEDIMIENTOS, REGLAS Y ESTÁNDARES
ENCAMINADOS A GARANTIZAR LOS NIVELES DE SEGURIDAD
4. INFORMACIÓN Y OBLIGACIONES DEL PERSONAL
5. PROCEDIMIENTOS DE NOTIFICACIÓN, GESTIÓN Y RESPUESTA ANTE LAS
INCIDENCIAS
6. PROCEDIMIENTOS DE REVISIÓN
7. CONTENIDO DEL MANUAL DE SEGURIDAD
Las medidas de índole técnico y organizativo que los responsables de
los tratamiento o los ficheros y los encargados de tratamiento han de
implantar para garantizar la seguridad en los ficheros, los centros de
tratamiento, locales, equipos, sistemas, programas y las personas que
intervengan en el tratamiento de datos de carácter personal.
El artículo 9 de la LOPD establece que:
El “responsable del fichero”, y, en su caso, el “encargado del
tratamiento”, deberán adoptar las medidas de índole técnica y
organizativas necesarias que garanticen la seguridad de los datos de
carácter personal.
El Real Decreto 1720/2007, Reglamento de desarrollo de la LOPD,
establece que:
1. INTRODUCCIÓN
Entre estas medidas que
se deben adoptar, se
encuentra el DOCUMENTO
DE SEGURIDAD, cuya
misión es recoger las
medidas de índole técnica
y organizativa acorde a la
normativa de seguridad
vigente que será de
obligado cumplimiento
para el personal con
acceso a los datos de
carácter personal.
Cuando la elaboración del documento sea realizada por el propio personal
de la empresa, la Agencia Española de Protección de Datos pone a
disposición del ciudadano un MANUAL QUE DESARROLLA EL DOCUMENTO
DE SEGURIDAD, el cual se puede utilizar y adaptar a las peculiaridades de la
empresa en cuestión.
DOCUMENTO DE
SEGURIDAD
•MISIÓN
Recoger las
medidas de índole
técnica y
organizativa
•DE OBLIGADO
CUMPLIMIENTO
Para el personal
con acceso a los
datos de carácter
personal.
Para disponer de este documento hay que entrar en la página web de la
Agencia: https//www.agpd.es
Una vez en la página principal pinchar en Canal del Responsable, y
dentro de este en “Guía documento de seguridad”
En la pantalla que se abre pinchar en Guía modelo del Documento de
Seguridad (formato editable).
Se abre un documento Word, en el cual se puede trabajar.
APARTADOS
• Ámbito de aplicación del
documento.
• Medidas, normas,
procedimientos, reglas y
estándares encaminados a
garantizar los niveles de
seguridad exigidos en este
documento.
• Información y obligaciones del
personal.
• Procedimientos de notificación,
gestión y respuestas ante las
incidencias.
• Procedimientos de revisión.
ANEXOS
• ANEXO I. Descripción de ficheros.
• ANEXO II. Nombramientos.
• ANEXO III. Autorizaciones de salida
o recuperación de datos.
• ANEXO IV. Delegación de
autorizaciones.
• ANEXO V. Inventario de soportes.
• ANEXO VI. Registro de Incidencias.
• ANEXO VII. Encargados de
tratamiento
• ANEXO VIII. Registro de entrada y
salida de soportes.
• ANEXO IX. Medidas alternativas
El contenido del documento está organizado en:
- Cinco apartados
- Nueve anexos
Todo lo que hay dentro de estos signos son comentarios explicativos que
deben ser sustituidos por el contenido que se adapte a la empresa que
estamos tratando.
En la Guía modelo del Documento de Seguridad (formato editable) hay
que tener en cuenta los signos < >.
Ejemplos de datos que
deben desarrollarse
ÁMBITO DE APLICACIÓN
CONTENIDODELDOCUMENTO
El nombre del responsable del/os ficheros, es decir a quien
pertenece (nombre de la empresa)
La relación de ficheros de los que dispone la empresa con datos
de carácter personal, es decir, aquellos a los que hay que aplicar
la LOPD. Estos ficheros deben coincidir con los que se han
inscrito en la Agencia Española de Protección de Datos
Formas del sistema en las que se realiza la inscripción,
automatizadas, manuales o mixtas
El nivel de seguridad, si el contenido del fichero es
básico, medio o alto
2. ÁMBITO DE APLICACIÓN
En este apartado se tratan las distintas medidas de seguridad que se
deben tomar para cumplir con la LOPD, es decir, como se van a tomar
estas medidas en función de la categoría del fichero y en según el tipo de
fichero el reglamento especifica los puntos que hay que cumplir,
pudiendo haber mas o menos en función del mismo.
3. MEDIDAS, NORMAS, PROCEDIMIENTOS, REGLAS Y ESTÁNDARES
ENCAMINADOS A GARANTIZAR LOS NIVELES DE SEGURIDAD
En el se definen, entre otros, los siguientes aspectos
Cuando se
hacen las
copias de
seguridad
Cómo se
garantiza que
los usuarios
que están en el
sistema son los
que deberían
entrar
Cómo garantiza
la empresa que
un intruso no
pueda entra en
el sistema
Por ello, es importante tener protocolizado un procedimiento de actuación
para que cuando entre personal nuevo en la empresa, tenga claras las
normas de actuación.
4. INFORMACIÓN Y OBLIGACIONES DEL PERSONAL
Este apartado trata como ha de ser la información y las obligaciones que
deben cumplir el personal de la empresa.
Se especifica el procedimiento que se ha de llevar a cabo para que
los trabajadores queden informados de cuales son las normas que
debe cumplir a nivel de la LOPD y como deben aplicarse, es decir, se
deben indicar las obligaciones que tienen con respecto a los datos
de carácter personal y las funciones propias de su puesto de trabajo.
Si un trabajador no tiene especificadas cuales son sus obligaciones,
no será responsable de cualquier acción incorrecta con los datos que
maneja, siendo responsable la empresa que ha sido quien no ha
notificado correctamente al personal.
5. PROCEDIMIENTOS DE NOTIFICACIÓN, GESTIÓN Y RESPUESTA
ANTE LAS INCIDENCIAS
En este apartado
se explica como se
notifican las
distintas
incidencia que se
pueden presentar
y como han de
hacerse.
Una incidencia es una actuación de no
conformidad con respecto a los contenidos que la
LOPD propone, es decir, una actuación incorrecta o
que no responde a las exigencias de la ley.
El procedimiento a seguir es mediante una tabla
de registro donde se anoten todas las incidencias
explicando qué y cómo se ha hecho par
solventarlas y procurar que no vuelvan suceder.
Además, hay que definir una
metodología para revisar los cambios
que se produzcan
6. PROCEDIMIENTOS DE REVISIÓN
Cual es
el
Procedi
miento
•De revisión de
los contenidos
del Documento
de Seguridad
Cual es
el
criterio
•Para revisarlo
Como •Se revisa
Cuando •Se revisa
Cuales
•Son los puntos a
revisar
En este punto se tratan:
ANEXO I. DESCRIPCIÓN DE FICHEROS
Actualizado a: <fecha de la última actualización del anexo>.
<Se incluirá un anexo de este tipo por cada fichero incluido en el ámbito del
documento de seguridad, podrían denominarse ANEXO I a, b, c, etc.>.
• Nombre del fichero o tratamiento: <rellenar con nombre del fichero>.
• Unidad/es con acceso al fichero o tratamiento: <especificar departamento
unidad con acceso al fichero, si aporta alguna información>.
• Identificador y nombre del fichero en el Registro General de Protección de
Datos de la Agencia Española de Protección de Datos: <rellenar los
siguientes campos con los datos relativos a la inscripción del fichero en el
Registro General de Protección de Datos (RPGD)>.
 Identificador: <código de inscripción>
 Nombre: <nombre inscrito>
 Descripción: <descripción inscrita>
 Nivel de medidas de seguridad a adoptar: <básico, medio o alto>
7. CONTENIDO DEL DOCUMENTO
• Administrador: <persona designada para conceder, alterar, o anular el
acceso autorizado a los datos>.
• Leyes o regulaciones aplicables que afectan al fichero o tratamiento <si
existen>.
• Código Tipo Aplicable: <se indicará aquí si el fichero está incluido en el
ámbito de alguno de los códigos tipo regulados por el articulo 32 de la
LOPD>.
• Estructura del fichero principal: <incluir los tipos de datos personales
contenidos en el fichero, especificando aquellos que, por su naturaleza,
afectan al nivel de medidas de seguridad a adoptar, según lo indicado en
el artículo 81 del Reglamento de desarrollo de la LOPD >.
INFORMACIÓN SOBRE EL FICHERO O TRATAMIENTO
- Finalidad y usos previstos.
- Personas o colectivos sobre los que se pretenda obtener o que resulten
obligados a suministrar los datos personales, y procedencia de los datos:
<indicar procedencia de los datos, quién suministra los datos>.
- Procedimiento de recogida: <encuestas, formularios en papel, Internet. ..>.
- Cesiones previstas: <relacionar los destinatarios de los datos previstos>.
- Transferencias Internacionales: <relacionar las transferencias internacionales, especificando si
ha sido necesaria la autorización del Director de la Agencia Española de Protección de Datos>.
- Sistema de tratamiento: <automatizado, manual o mixto>.
- Servicio o Unidad ante el que puedan ejercitarse los derechos de acceso, rectificación,
cancelación y oposición: <indicar la unidad y/o dirección. Deben preverse además, los
procedimientos internos para responder a las solicitudes de ejercicio de derechos de los
interesados>.
- Descripción detallada de las copias de respaldo y de los procedimientos de recuperación
<Especificar la periodicidad de las copias (que debe ser al menos semanal). Si se trata de
ficheros manuales y tienen prevista alguna medida en este sentido, detallarla>.
- Información sobre conexión con otros sistemas: <Describir las posibles relaciones con otros
ficheros del mismo responsable>.
- Funciones del personal con acceso a los datos personales: <Especificar las diferentes funciones
y obligaciones de cada una de las personas con acceso a los datos de carácter personal y
sistema de información específicos de este fichero>.
- Descripción de los procedimientos de control de acceso e identificación: <Cuando sean
específicos para el fichero>.
- Relación actualizada de usuarios con acceso autorizado: <Relacionar todos los usuarios que
acceden al fichero, con especificación del tipo o grupo de usuarios al que pertenecen, su clave
de identificación, nombre y apellidos, unidad, fecha de alta y fecha de baja>.
<Si la relación se mantiene de forma informatizada, indicar aquí cual es el sistema
utilizado y la forma de obtener el listado. No obstante, siempre que sea posible, es
conveniente imprimir la relación de usuarios y adjuntarla periódicamente a este Anexo>.
En su caso, personas en las que el responsable del fichero ha delegado
<Indicar las autorizaciones, tales como: salida de dispositivos portátiles,
la copia o reproducción de documentos en soporte papel,…>.
<Adjuntar original o copia de los nombramientos que afecten a los
diferentes perfiles incluidos en este documento, como el del responsable de
seguridad>.
ANEXO III
AUTORIZACIONES DE SALIDA O RECUPERACIÓN DE DATOS
<Adjuntar las autorizaciones que el responsable del fichero ha firmado
para la salida de soportes que contengan datos de carácter personal,
incluyendo aquellas que se refieran a salidas que tengan un carácter
periódico o planificado. Incluir asimismo, las autorizaciones relativas a la
ejecución de los procedimientos de recuperación de datos>.
ANEXO II. NOMBRAMIENTOS
ANEXO IV
DELEGACIÓN DE AUTORIDADES
<Si el registro de incidencias no está informatizado, recoger en este
anexo la información al efecto, según lo indicado en el apartado de
"Procedimientos de notificación, gestión y respuesta ante las
incidencias" de este documento>.
<Si el registro de incidencias está informatizado, indicar la aplicación o
ruta de acceso del acceso del archivo de lo contiene>.
<Si el inventario de soportes no está informatizado, recoger en este
anexo la información al efecto, según lo indicado en el apartado de
“Gestión de soportes y Documentos” de este documento. Los soportes
deberán permitir identificar el tipo de información, que contienen, ser
inventariados y almacenarse en un lugar con acceso restringido al
personal autorizado para ello en este documento>.
<Si el inventario de soportes está informatizado, indicar la aplicación o
ruta de acceso del archivo que lo contiene>.
ANEXO VI
REGISTRO DE INCIDENCIAS
ANEXO V
INVENTARIO DE SOPORTES
<Cuando el acceso de un tercero a los datos del responsable del fichero
sea necesario para la prestación de un servicio a este último, no se
considera que exista comunicación de datos. Recoger aquí el contrato
que deberá constar por escrito o de alguna otra forma que permita
acreditar su celebración y contenido, y que establecerá expresamente
que el encargado de tratamiento tratará los datos conforme a las
instrucciones del responsable del tratamiento, que no los aplicará o
utilizará con fin distinto al que figure en dicho contrato, y que no los
comunicarán, ni siquiera para su conservación a otras personas.
El contrato estipulará las medidas de seguridad a que se refiere el
artículo 9 de la LOPD que el encargado del tratamiento está obligado a
implementar>.
ANEXO VII
ENCARGADOS DEL TRATAMIENTO
<En el caso de que no sea posible adoptar las medidas exigidas por el
RLOPD en relación con la identificación de los soportes, los dispositivos
de almacenamiento de los documentos o los sistemas de
almacenamiento de la información, indicar las causas que justifican que
ello no sea posible y las medias alternativas que se han adoptado>.
<Si el registro de entrada y salida de soportes al que se refiere el
apartado de "Gestión de soportes y documentos", y que es obligatorio a
partir del nivel medio, no está informatizado, recoger en este anexo la
información al efecto, según lo indicado el artículo 97 del RLOPD>.
<Si el registro de entrada y salida está informatizado, indicar la
aplicación o ruta de acceso del acceso del archivo de lo contiene>.
ANEXO VIII
REGISTRO DE ENTRADA Y SALIDA DE SOPORTES
ANEXO IX
MEDIDAS ALTERNATIVAS
IDENTIFICAR LOS NIVELES DE
SEGURIDAD
1. CLASIFICACIÓN DE LOS NIVELES DE SEGURIDAD
1.1. Nivel Alto
1.2. Nivel Medio
1.3. Nivel Básico
1. CLASIFICACIÓN DE LOS NIVELES DE SEGURIDAD
El reglamento de desarrollo de la LOPD fija tres niveles de seguridad
atendiendo a la naturaleza de la información.
Los niveles de seguridad son acumulativos de modo que un fichero de
nivel alto deberá aplicar también las medidas previstas en los niveles
básico y medio.
1.1. NIVEL ALTO
Ficheros o tratamientos que se refieran a:
Datos de ideología, afiliación sindical, religión, creencias,
origen racial, salud o vida sexual
Datos que contengan o se refieran a datos recabados
para fines policiales sin consentimiento de las
personas afectadas
Datos que contengan datos derivados de actos de
violencia de género
1.2. NIVEL MEDIO
Ficheros o tratamientos relativos a la comisión de infracciones
administrativas o penales
1
• Datos de carácter personal relativos a la comisión de infracciones penales
o administrativas incluidos en ficheros de las Administraciones pública
2
• Datos de los que sean responsables Administraciones tributarias y se
relacionen con el ejercicio de sus potestades tributarias
3
• Datos de los que sean responsables las entidades financieras para
finalidades relacionadas con la prestación de servicios financieros
4
• Datos de servicios de información sobre la solvencia patrimonial y el
crédito
5
• Entidades Gestoras y Servicios Comunes de la Seguridad Social
6
• Mutuas de accidentes de trabajo y enfermedades profesionales de la
Seguridad Social
7
• Datos de carácter personal que ofrezcan una definición de las
características o de la personalidad
1.3. NIVEL BÁSICO
Todos los ficheros que contengan datos de carácter personal
EXCEPCIONES
En caso de ficheros o tratamientos de datos de ideología, afiliación
sindical, religión, creencias, origen racial, salud o vida sexual será suficiente
la implantación de las medidas de seguridad de nivel básico cuando:
Los datos se utilicen con la
única finalidad de realizar una
transferencia dineraria a las
entidades de las que los
afectados sean asociados o
miembros
Se trate de ficheros o
tratamientos no automatizados
en los que de forma incidental
o accesoria se contengan
aquellos datos sin guardar
relación con su finalidad
Se trate de ficheros o tratamientos que
contengan datos relativos a la salud, referentes
exclusivamente al grado de discapacidad o la
simple declaración de la condición de
discapacidad o invalidez del afectado, con
motivo del cumplimiento de deberes públicos
GARANTIZAR LOS DERECHOS DE
LOS CIUDADANOS
1. DERECHOS DE LOS CIUDADANOS
1.1. Derecho de Acceso
1.2. Derecho de Rectificación
1.3. Derecho de Cancelación
1.4. Derecho de Oposición
2. TUTELA DE LOS DERECHOS
La LOPD, permite a cualquier ciudadano dirigirse al Registro General de
Protección de Datos (RGPD) con el fin de obtener información sobre:
 La existencia de tratamientos de datos de carácter personal
 De sus finalidades
 De la identidad del responsable del mismo.
La consulta al RGPD es pública y gratuita, y su objeto es hacer posible a
todo ciudadano el ejercicio sus derechos como ciudadanos. Dichos
derechos son:
1. DERECHOS DE LOS CIUDADANOS
Derecho de acceso
Derecho de
rectificación
Derecho de
cancelación
Derecho de
oposición
La AEPD NO dispone de los datos personales de los ciudadanos
incluidos en los ficheros declarados, pero SÍ puede, previa
solicitud de la persona afectada o bien de su representante,
facilitar la dirección de la oficina o dependencia del responsable
del fichero o tratamiento ante la que se pueden ejercer los
derechos de acceso, rectificación, cancelación u oposición,
siendo el citado responsable quien debe atender la petición
efectuada por la persona titular de los datos.
La consulta al RGPD puede realizarse:
- Por escrito
- A través de la página web de la Agencia www.agpd.es, en la
que mensualmente se actualiza la información sobre los
ficheros y tratamientos inscritos.
1.1. DERECHO DE ACCESO
El ejercicio del derecho de acceso permite controlar la exactitud de los
datos, y en caso de ser necesario:
- Hacerlos rectificar o cancelar
Ejerciendo el derecho de acceso, la persona puede informase:
- De las finalidades del tratamiento.
- Del tipo de datos registrados.
- De su origen.
- De los destinatarios de los datos
- De las posibles transferencias de datos a otros países
Toda persona tiene derecho a dirigirse al responsable o encargado de
un fichero o tratamiento para:
- Conocer la totalidad de los datos personales que le afecten así
mismo.
- Recibir una copia inteligible de los mismos
- Cualquier otra información sobre su origen
El ciudadano puede solicitar y obtener gratuitamente información sobre:
- Sus datos de carácter personal sometidos a tratamiento.
- La información disponible sobre el origen de dichos datos
- De las comunicaciones realizadas o que se prevean realizar.
Esta información puede obtenerse bien mediante la mera consulta de
los datos por medio de:
- Su visualización en pantalla
- O bien a través de escrito, copia, telecopia o fotocopia, certificada o
no, realizada en forma inteligible, sin utilizar claves o códigos que
requieran para su comprensión el uso de dispositivos mecánicos
específicos.
El derecho de acceso respecto de los tratamiento realizados por una
determinada entidad, persona u órgano administrativo, sólo podrá
ejercitarse a intervalos no inferiores a doce meses, salvo que el
ciudadano acredite un interés legítimo que posibilite su ejercicio con
anterioridad al cumplimiento de dicho período.
Cómo obtener la información
Para ejercer este derecho el ciudadano tiene que dirigirse al
responsable del fichero o tratamiento, aportando:
- Fotocopia del DNI o documento que acredite la identidad y sea
admitido en Derecho.
- Documento acreditativo en caso de que lo realice el representante
- Indicar el domicilio a efectos de notificaciones.
- Fecha y firma del solicitante.
Los ciudadanos deben utilizar cualquier medio que permita acreditar
el envío y la recepción de la solicitud.
Cómo ejercer el derecho de acceso
El responsable del fichero o tratamiento tiene que resolver la solicitud
de acceso en el plazo máximo de un mes a contar desde la fecha en
que haya recibido la solicitud.
En caso de estimar la solicitud, el acceso debe hacerse efectivo en el
plazo de los diez días siguientes a la notificación
Cómo resolver
La obligación de contestar a dicha
solicitud ha de producirse con
independencia de que figuren o no
datos personales del ciudadano en
sus ficheros.
La contestación al derecho de acceso
ha de practicarse utilizando cualquier
medio que permita acreditar el envío
y la recepción de la misma.
Puede denegarse el derecho de acceso cuando:
- Pueda suponer un peligro para la defensa del Estado o la seguridad
pública.
- Proteja los derechos y libertades de terceros o las necesidades de
las investigaciones que se estén realizando, o en el caso de
ficheros de la Hacienda Pública.
- Este derecho obstaculiza las actuaciones administrativas tendentes
a asegurar el cumplimiento de las obligaciones tributarias.
- El afectado esté siendo objeto de actuaciones inspectoras.
Denegación derecho
MODELO PARA EJERCER EL DERECHO DE ACCESO
https://www.agpd.es/portalwebAGPD/CanalDelCiudadano/derechos
/principales_derchos/acceso-ides-idphp.php
1.2. DERECHO DE RECTIFICACIÓN
La LOPD, reconoce al ciudadano el derecho a dirigirse al responsable de
un fichero o tratamiento para que rectifique sus datos personales.
- Si un ciudadano contrasta que sus datos personales son inexactos
tiene derecho a solicitar su rectificación ante el responsable.
La solicitud de rectificación debe indicar:
- El dato que se estima erróneo
- La corrección que debe realizarse
Debe ir acompañada de la documentación justificativa de la rectificación
solicitada.
Este derecho puede ejercitarse cuando:
- El tratamiento contenga datos inexactos o incompletos.
El responsable del fichero o tratamiento tiene el deber de atender el
derecho de rectificación en el plazo de diez días hábiles.
Deberá contestar de forma motivada a la solicitud que se le dirija, con
independencia de que figuren o no datos personales del afectado en
sus ficheros, debiendo utilizar cualquier medio que permita acreditar el
envío y la recepción de su respuesta.
Si los datos rectificados hubieran sido cedidos previamente a un
tercero, el responsable del fichero tiene la obligación de notificar al
cesionario la rectificación practicada.
Cómo resolver
MODELO PARA EJERCER EL DERECHO DE RECTIFICACIÓN
https://www.agpd.es/portalwebAGPD/CanalDelCiudadano/de
rechos/principales_derchos/rectificacion-ides-idphp.php
1.3. DERECHO DE CANCELACIÓN
Este derecho ofrece al ciudadano la posibilidad de dirigirse al
responsable para solicitar la cancelación de sus datos personales.
- Si un ciudadano verifica que sus datos personales son inexactos o se
han tratado ilegalmente, tiene derecho a solicitar su supresión.
Este derecho puede ejercerse cuando:
- El tratamiento no se ajuste a lo dispuesto en la LOPD
- Cuando los datos resulten inexactos o incompletos.
En la solicitud de cancelación, el interesado debe indicar la existencia del
dato erróneo o inexacto, en cuyo caso deberá acompañar la
documentación justificativa.
La cancelación dará lugar al bloqueo de los datos cuando:
- Sea preciso conservar éstos únicamente a disposición de las
Administraciones Públicas, Jueces y Tribunales, de cara a posibles
responsabilidades.
El responsable del fichero o tratamiento tiene la obligación de hacer
efectivo el derecho de cancelación en el plazo de diez días naturales.
Si los datos cancelados hubieran sido cedidos previamente a un
tercero, el responsable del fichero deberá notificar al cesionario la
cancelación efectuada.
Cómo resolver
Deberá contestar de forma motivada a la solicitud que se le dirija, con
independencia de que figuren o no datos personales del afectado en
sus ficheros, debiendo utilizar cualquier medio que permita acreditar
el envío y la recepción de su respuesta.
El responsable del fichero o tratamiento podrá denegar la cancelación,
tanto en el caso de ficheros privados como públicos, cuando:
- Exista un deber legal de conservación de los datos.
- Durante el plazo establecido en cada caso por la legislación aplicable.
Denegación derecho
Asimismo, podrá denegar la cancelación cuando:
- La conservación del dato sea necesaria para el cumplimiento de las
obligaciones contractuales que le vinculen con el interesado y
justifiquen el tratamiento de los datos.
- Su cancelación pudiese causar perjuicio al propio ciudadano titular
de los mismos o a terceros.
MODELO PARA EJERCER EL DERECHO DE CANCELACIÓN
https://www.agpd.es/portalwebAGPD/CanalDelCiudadano/dere
chos/principales_derchos/cancelacion-ides-idphp.php
1.4. DERECHO DE OPOSICIÓN
Toda persona tiene la posibilidad de oponerse, por un motivo legitimo y
fundado, referido a una situación personal concreta:
- A figurar en un fichero o al tratamiento de sus datos personales,
siempre que una ley no disponga lo contrario.
El ciudadano puede oponerse mediante su simple solicitud, a que :
- Sus datos sean tratados con fines de publicidad y de prospección
comercial
En principio, el ciudadano tiene la facultad de disponer y decidir sobre:
- Los usos de los datos personales que le conciernen, y por lo tanto,
puede oponerse a aparecer en un determinado fichero o a que sus
datos sean comunicados a terceros.
En relación a los tratamientos de datos con fines de publicidad y de
prospección comercial, los ciudadanos pueden ejercer el derecho de
oposición y, a su simple solicitud, el responsable ha de dar de baja sus
datos personales en el tratamiento, cancelando de este modo las
informaciones que figuraban en el mismo.
El responsable del fichero o tratamiento tiene un plazo máximo de un
mes a contar desde la recepción de la petición, para resolver la solicitud
de oposición.
Si transcurrido este plazo no se ha recibido de forma expresa una
respuesta a la petición de acceso, ésta puede entenderse desestimada a
los efectos de presentar una reclamación de tutela de derechos ante la
AEPD.
En el caso de que sea procedente acceder a la oposición, el responsable
del fichero ha de excluir del tratamiento los datos del ciudadano
solicitante.
Cómo resolver
El derecho de oposición puede ejercitarse:
- Cuando no es obligatoria la recogida de los datos renunciando a otorgar el
consentimiento para el tratamiento de datos especialmente protegidos de
ideología, religión o creencias, solicitando la eliminación de datos
contenidos en ficheros comerciales
- Señalando, en su caso, con una x la casilla destinada a indicar que no está
de acuerdo con la cesión o comercialización de sus datos.
Cómo ejercer el derecho de oposición
Mediante una solicitud por escrito dirigida al responsable del fichero o
tratamiento.
- En la que se hagan constar los motivos fundados y legítimos relativos a una
concreta situación personal del afectado, que justifican el ejercicio de este
derecho.
Puede ejercerse en el momento de la recogida de la información o
posteriormente, dirigiéndose al responsable del fichero.
No puede ejercerse ante muchos ficheros de titularidad pública, como por
ejemplo, los de Hacienda Pública, los ficheros policiales, Seguridad Social, etc.
Para ello, se puede ejercer el derecho de consulta al Registro General de
Protección de Datos, así como los derechos de acceso, rectificación,
cancelación y/u oposición, según sea el caso.
Si no obtienes un resultado satisfactorio con este procedimiento puedes
acudir a la Agencia Española de Protección de Datos.
Procedimiento es caso de ser violados los derechos en materia de
protección de datos:
- Hay que intentar determinar la identidad del responsable del
tratamiento
Las actuaciones contrarias al derecho
fundamental a la protección de datos de
carácter personal pueden ser
denunciadas por los ciudadanos ante la
AEPD y, en su caso, posteriormente ante
la jurisdicción contencioso-
administrativa.
Además, si de dichas actuaciones se derivase un perjuicio para los
interesados, los mismos podrán reclamar la correspondiente
indemnización, bien ante la jurisdicción civil, bien ante el Órgano
administrativo responsable, a través, en este caso, del procedimiento
establecido al efecto en la Ley 30/1992, de 26 de noviembre, de Régimen
Jurídico de las Administraciones Públicas y del Procedimiento
Administrativo Común.
Al ponerte en contacto con la AEPD se debe describir el problema con los
suficientes pormenores, para ello, se debe utilizar los formularios
disponibles en la página web de la AEPD www.agpd.es.
MODELO PARA EJERCER EL DERECHO DE OPOSICIÓN
https://www.agpd.es/portalwebAGPD/CanalDelCiudadano/der
echos/principales_derchos/oposicion-ides-idphp.php
2. TUTELA DE DERECHOS
El procedimiento de tutela tiene por finalidad garantizar el ejercicio
efectivo por parte del ciudadano de los derechos de:
• Acceso
• Rectificación
• Cancelación
• Oposición
El ciudadano al que le haya sido denegado el ejercicio de los derechos de
acceso, rectificación, cancelación y oposición puede ponerlo en
conocimiento de la AEPD, para que ésta constate la procedencia o
improcedencia de la denegación.
Para solicitar la tutela de derechos, el ciudadano tiene que presentar en
la AEPD un escrito, en el que se expresen con claridad sus datos, el
contenido de la reclamación y los preceptos de la LOPD que considere
vulnerados.
La Agencia, a continuación, da traslado de la reclamación al
responsable del fichero o tratamiento instándole para que, en el plazo
de quince días, formule las alegaciones que estime pertinentes
Las resoluciones del Director de la Agencia Española de Protección de
Datos son firmes en vía administrativa por lo que contra las mismas sólo
se podrá interponer recurso potestativo de reposición, o bien recurso
contencioso-administrativo ante la Audiencia Nacional.
Los procedimientos de tutela de derechos no tienen carácter
sancionador, limitándose a estimar o desestimar las reclamaciones
planteadas por los ciudadanos ante la Agencia.
Sin embargo, en algunas ocasiones, los hechos constatados en los
citados procedimientos pueden dar lugar a la iniciación de
procedimientos sancionadores.
La AEPD tramitará el correspondiente procedimiento administrativo y
resolverá el mismo en el plazo máximo de seis meses, dando traslado
de su resolución a las partes.

Contenu connexe

Similaire à Guia implantacion de lopd

Ley de Protección de Datos.
Ley de Protección de Datos.Ley de Protección de Datos.
Ley de Protección de Datos.Greace Grisales
 
Ensayo unidad4
Ensayo unidad4Ensayo unidad4
Ensayo unidad4mCarmen32
 
Indice documentos protección de datos
Indice documentos protección de datosIndice documentos protección de datos
Indice documentos protección de datosCristina Villavicencio
 
Tecnologías para garantizar autoría no adulteración y privacidad de los archi...
Tecnologías para garantizar autoría no adulteración y privacidad de los archi...Tecnologías para garantizar autoría no adulteración y privacidad de los archi...
Tecnologías para garantizar autoría no adulteración y privacidad de los archi...Mandirola, Humberto
 
Protección de datos #Bibliosalud2014 (Inés Fuentes Gil)
Protección de datos #Bibliosalud2014 (Inés Fuentes Gil)Protección de datos #Bibliosalud2014 (Inés Fuentes Gil)
Protección de datos #Bibliosalud2014 (Inés Fuentes Gil)jmedino
 
Presentación Lfpdppp Lina Ornelas
Presentación Lfpdppp Lina OrnelasPresentación Lfpdppp Lina Ornelas
Presentación Lfpdppp Lina OrnelasJuan Carlos Carrillo
 
5. proceso de archivo de un documento
5.  proceso de archivo de un documento5.  proceso de archivo de un documento
5. proceso de archivo de un documentoBalbino Rodriguez
 
Informatica forense
Informatica forenseInformatica forense
Informatica forenseDONALETE69
 
Articles 5482 g3-procedimiento_de_seguridad
Articles 5482 g3-procedimiento_de_seguridadArticles 5482 g3-procedimiento_de_seguridad
Articles 5482 g3-procedimiento_de_seguridadMonic Arguello
 
DERECHO DE ACCESO A LA INFORMACIÓN.pptx
DERECHO DE ACCESO A LA INFORMACIÓN.pptxDERECHO DE ACCESO A LA INFORMACIÓN.pptx
DERECHO DE ACCESO A LA INFORMACIÓN.pptxLaMay4
 
Presentación Lopd Cct 2009
Presentación Lopd Cct 2009Presentación Lopd Cct 2009
Presentación Lopd Cct 2009Andrés Romero
 
Proteccion de datos en centros educativos
Proteccion de datos en centros educativosProteccion de datos en centros educativos
Proteccion de datos en centros educativoslalonsolslide
 
ASPECTOS LEGALES Y TECNOLOGÍA PARA CLÍNICAS PRIVADAS
ASPECTOS LEGALES Y TECNOLOGÍA PARA CLÍNICAS PRIVADASASPECTOS LEGALES Y TECNOLOGÍA PARA CLÍNICAS PRIVADAS
ASPECTOS LEGALES Y TECNOLOGÍA PARA CLÍNICAS PRIVADASGinecólogos Privados Ginep
 

Similaire à Guia implantacion de lopd (20)

Ley de Protección de Datos.
Ley de Protección de Datos.Ley de Protección de Datos.
Ley de Protección de Datos.
 
Ensayo unidad4
Ensayo unidad4Ensayo unidad4
Ensayo unidad4
 
Documentos en protección de datos
Documentos en protección de datosDocumentos en protección de datos
Documentos en protección de datos
 
Indice documentos protección de datos
Indice documentos protección de datosIndice documentos protección de datos
Indice documentos protección de datos
 
090930 Presentacion Impulsem
090930 Presentacion Impulsem090930 Presentacion Impulsem
090930 Presentacion Impulsem
 
LOPD servicios
LOPD serviciosLOPD servicios
LOPD servicios
 
Tecnologías para garantizar autoría no adulteración y privacidad de los archi...
Tecnologías para garantizar autoría no adulteración y privacidad de los archi...Tecnologías para garantizar autoría no adulteración y privacidad de los archi...
Tecnologías para garantizar autoría no adulteración y privacidad de los archi...
 
Protección de datos #Bibliosalud2014 (Inés Fuentes Gil)
Protección de datos #Bibliosalud2014 (Inés Fuentes Gil)Protección de datos #Bibliosalud2014 (Inés Fuentes Gil)
Protección de datos #Bibliosalud2014 (Inés Fuentes Gil)
 
Presentación Lfpdppp Lina Ornelas
Presentación Lfpdppp Lina OrnelasPresentación Lfpdppp Lina Ornelas
Presentación Lfpdppp Lina Ornelas
 
5. proceso de archivo de un documento
5.  proceso de archivo de un documento5.  proceso de archivo de un documento
5. proceso de archivo de un documento
 
Modelo doc seguridad
Modelo doc seguridadModelo doc seguridad
Modelo doc seguridad
 
Seguridad en gestion documental: LOPD
Seguridad en gestion documental: LOPDSeguridad en gestion documental: LOPD
Seguridad en gestion documental: LOPD
 
Lopd
LopdLopd
Lopd
 
Informatica forense
Informatica forenseInformatica forense
Informatica forense
 
Articles 5482 g3-procedimiento_de_seguridad
Articles 5482 g3-procedimiento_de_seguridadArticles 5482 g3-procedimiento_de_seguridad
Articles 5482 g3-procedimiento_de_seguridad
 
DERECHO DE ACCESO A LA INFORMACIÓN.pptx
DERECHO DE ACCESO A LA INFORMACIÓN.pptxDERECHO DE ACCESO A LA INFORMACIÓN.pptx
DERECHO DE ACCESO A LA INFORMACIÓN.pptx
 
Ficha curso lopd. adecuacion practica en la empresa (online)
Ficha curso lopd. adecuacion practica en la empresa (online)Ficha curso lopd. adecuacion practica en la empresa (online)
Ficha curso lopd. adecuacion practica en la empresa (online)
 
Presentación Lopd Cct 2009
Presentación Lopd Cct 2009Presentación Lopd Cct 2009
Presentación Lopd Cct 2009
 
Proteccion de datos en centros educativos
Proteccion de datos en centros educativosProteccion de datos en centros educativos
Proteccion de datos en centros educativos
 
ASPECTOS LEGALES Y TECNOLOGÍA PARA CLÍNICAS PRIVADAS
ASPECTOS LEGALES Y TECNOLOGÍA PARA CLÍNICAS PRIVADASASPECTOS LEGALES Y TECNOLOGÍA PARA CLÍNICAS PRIVADAS
ASPECTOS LEGALES Y TECNOLOGÍA PARA CLÍNICAS PRIVADAS
 

Dernier

Kleros para Resolución de Disputas de Consumo
Kleros para Resolución de Disputas de ConsumoKleros para Resolución de Disputas de Consumo
Kleros para Resolución de Disputas de ConsumoFederico Ast
 
Documentacion electronica en los actos juridicos
Documentacion electronica en los actos juridicosDocumentacion electronica en los actos juridicos
Documentacion electronica en los actos juridicoscarlabarreto869
 
TIPO-B-y-F-Cuestionario.pdf LLSOOASLDASOD
TIPO-B-y-F-Cuestionario.pdf LLSOOASLDASODTIPO-B-y-F-Cuestionario.pdf LLSOOASLDASOD
TIPO-B-y-F-Cuestionario.pdf LLSOOASLDASODMartinaGuaman
 
mapa mental documentacion electrónica en los actos juridicos
mapa mental documentacion electrónica en los actos juridicosmapa mental documentacion electrónica en los actos juridicos
mapa mental documentacion electrónica en los actos juridicoscarlabarreto869
 
tarea administracion del estado 2024 .docx
tarea administracion del estado 2024 .docxtarea administracion del estado 2024 .docx
tarea administracion del estado 2024 .docxxiomaramarisio
 
Compilación Ordenada y Completa de la Legislación Cubana, Volumen II - 1937 a...
Compilación Ordenada y Completa de la Legislación Cubana, Volumen II - 1937 a...Compilación Ordenada y Completa de la Legislación Cubana, Volumen II - 1937 a...
Compilación Ordenada y Completa de la Legislación Cubana, Volumen II - 1937 a...Movimiento C40
 
mapa mental documentacion electronica en los actos juridicos
mapa mental documentacion electronica en los actos juridicosmapa mental documentacion electronica en los actos juridicos
mapa mental documentacion electronica en los actos juridicoscarlabarreto869
 
Los Tribunales Tutelares de Menores y las Instituciones Auxiliares
Los Tribunales Tutelares de Menores y las Instituciones AuxiliaresLos Tribunales Tutelares de Menores y las Instituciones Auxiliares
Los Tribunales Tutelares de Menores y las Instituciones AuxiliaresMovimiento C40
 
introducción al derecho la justicia pptx
 introducción al derecho la justicia pptx introducción al derecho la justicia pptx
introducción al derecho la justicia pptx9vnmh5dxkk
 

Dernier (9)

Kleros para Resolución de Disputas de Consumo
Kleros para Resolución de Disputas de ConsumoKleros para Resolución de Disputas de Consumo
Kleros para Resolución de Disputas de Consumo
 
Documentacion electronica en los actos juridicos
Documentacion electronica en los actos juridicosDocumentacion electronica en los actos juridicos
Documentacion electronica en los actos juridicos
 
TIPO-B-y-F-Cuestionario.pdf LLSOOASLDASOD
TIPO-B-y-F-Cuestionario.pdf LLSOOASLDASODTIPO-B-y-F-Cuestionario.pdf LLSOOASLDASOD
TIPO-B-y-F-Cuestionario.pdf LLSOOASLDASOD
 
mapa mental documentacion electrónica en los actos juridicos
mapa mental documentacion electrónica en los actos juridicosmapa mental documentacion electrónica en los actos juridicos
mapa mental documentacion electrónica en los actos juridicos
 
tarea administracion del estado 2024 .docx
tarea administracion del estado 2024 .docxtarea administracion del estado 2024 .docx
tarea administracion del estado 2024 .docx
 
Compilación Ordenada y Completa de la Legislación Cubana, Volumen II - 1937 a...
Compilación Ordenada y Completa de la Legislación Cubana, Volumen II - 1937 a...Compilación Ordenada y Completa de la Legislación Cubana, Volumen II - 1937 a...
Compilación Ordenada y Completa de la Legislación Cubana, Volumen II - 1937 a...
 
mapa mental documentacion electronica en los actos juridicos
mapa mental documentacion electronica en los actos juridicosmapa mental documentacion electronica en los actos juridicos
mapa mental documentacion electronica en los actos juridicos
 
Los Tribunales Tutelares de Menores y las Instituciones Auxiliares
Los Tribunales Tutelares de Menores y las Instituciones AuxiliaresLos Tribunales Tutelares de Menores y las Instituciones Auxiliares
Los Tribunales Tutelares de Menores y las Instituciones Auxiliares
 
introducción al derecho la justicia pptx
 introducción al derecho la justicia pptx introducción al derecho la justicia pptx
introducción al derecho la justicia pptx
 

Guia implantacion de lopd

  • 2. • Qué hacer para implantar la LOPD • Pasos a seguir IMPLANTACIÓN DE LA LOPD EN LA EMPRESA • Como inscribir un fichero en la AEPD • Cumplimentar el formulario INSCRIPCIÓN DE FICHEROS • Contenido del documento • Apartados (5) • Anexos (9) ELABORACIÓN DEL MANUAL DE SEGURIDAD • Nivel alto • Nivel medio • Nivel básico IDENTIFICAR LOS NIVELES DE SEGURIDAD •Derechos de los ciudadanos •Tutela de derechos GARANTIZAR LOS DERECHOS DE LOS CIUDADANOS ÍNDICE
  • 3. Con este curso se pretende, una vez alcanzados los conocimientos teóricos, adquirir las habilidades prácticas para poder realizar la implantación de las medidas de seguridad, técnicas y organizativas, necesarias para garantizar los principales aspectos que han de tener en cuenta las empresas a la hora de tratar los datos de carácter personal de sus clientes, proveedores, personal, etc., respetando, en todo caso: INTRODUCCIÓN Los derechos de los usuarios respecto a sus propios datos Las obligaciones, que como responsable de los ficheros han de tener en cuenta
  • 4. IMPLANTACIÓN DE LA LOPD EN LA EMPRESA 1. QUE HACER PARA IMPLANTAR LA LOPD EN LA EMPRESA 2. PASOS A SEGUIR 2.1. Determinar que ficheros contienen datos de carácter personal 2.2. Registrar todos los ficheros con datos personales en la AEPD 2.3. Elaborar el documento de seguridad 2.4. Identificar los niveles de seguridad que corresponden a los ficheros 2.5. Garantizar los derechos a los usuarios
  • 5. 1. QUÉ HACER PARA IMPLANTAR LA LOPD EN LA EMPRESA Cumplir con la Ley de Protección de Datos es obligatorio para cualquier empresa o profesional Desde el momento que se faciliten o recopilen datos personales, deben ser tratados y guardados con el mayor rigor posible La Agencia Española de Protección de Datos es el Órgano competente para velar por este derecho fundamental
  • 6. 2. PASOS A SEGUIR 2. REGISTRAR TODOS LOS FICHEROS CON DATOS PERSONALES EN LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS 3. ELABORAR EL DOCUMENTO DE SEGURIDAD PARA ESOS FICHEROS 4. IDENTIFICAR LOS NIVELES DE SEGURIDAD QUE CORRESPONDEN A LOS FICHEROS 5. GARANTIZAR LOS DERECHOS A LOS USUARIOS 1. DETERMINAR QUE FICHEROS CONTIENEN DATOS DE CARÁCTER PERSONAL
  • 7. Analizar qué tipo de datos personales se manipulan en el desarrollo de su actividad Identificar aquellos archivos susceptibles de ser inscritos en la Agencia de Protección de Datos. 2.1. DETERMINAR QUE FICHEROS CONTIENEN DATOS DE CARÁCTER PERSONAL Dependiendo de la actividad de su empresa, deben: LAS EMPRESAS LOS AUTÓNOMOS
  • 8. PERSONALYNÓMINAS En el momento en el que se contrate a un trabajador CLIENTES Cuando haya clientes, tanto en soporte papel como en ordenador PROVEEDORES Sólo en el caso de tratarse de personas físicas, es decir, autónomos CONTACTOS Sólo de personas físicas CURRICULUM En el caso de recibir curriculum, entregados en mano, por correo electrónico, etc. VIDEOVIGILANCIA En el caso de tener instaladas cámaras de videovigilancia EJEMPLOS DE FICHEROS DE TITULARIDAD PRIVADA
  • 9. 2.2. REGISTRAR TODOS LOS FICHEROS CON DATOS PERSONALES EN LA A.E.P.D Identidad del responsable del fichero. Nombre y descripción del fichero que tenga datos de carácter personal. Ubicación donde se guarda el fichero. Sistema de tratamiento de la información personal. Medidas de seguridad para preservar la privacidad de los datos. Estructura básica del fichero, es decir, tipos de datos que se contienen en el fichero. Finalidad del fichero y los usos previstos del mismo. Procedencia de los datos y el procedimiento de recogida de los mismos. Departamento ante el que los usuarios pueden ejercer sus derechos sobre los datos. El Formulario de Notificación de Ficheros (NOTA) con la siguiente información A través de internet
  • 10. Una vez ha sido completada la información requerida, puede enviarse la notificación a la Agencia Española de Protección de Datos a través de internet El proceso se puede desarrollar totalmente online La hoja de solicitud que se genera al completar el formulario hay que enviarla (con el correspondiente código de envío) firmada a la AEPD CON certificado de firma electrónica SIN certificado de firma electrónica
  • 11. Una vez inscrito el Fichero en el Registro, la Agencia Española de Protección de Datos, lo comunicará indicando el código de inscripción (necesario para posteriores modificaciones o cancelación del fichero) que se le ha asignado al Fichero. Una vez reciban la notificación del fichero y la solicitud de inscripción en la Agencia Española de Protección de Datos, evaluarán la información. Si es correcta procederán a la inscripción del Fichero, y si por el contrario contiene errores solicitarán al Responsable del Fichero la corrección de los mismos. Si es correcta proceden a la inscripción del Fichero SOLICITUD DE INSCRIPCIÓN FICHERO FICHERO NOTIFICACIÓN A.E.P.D. Evaluación de la información recibida Si no es correcta el responsable de fichero procederá a su corrección Comunicación del código de inscripción que se le ha asignado al Fichero
  • 12. 2.3. ELABORAR EL DOCUMENTO DE SEGURIDAD El responsable del fichero elaborará y establecerá la normativa de seguridad mediante un documento de obligado cumplimiento para el personal de acceso a los datos automatizados de carácter personal y los sistemas de información Ámbito de aplicación del documento con especificación detallada de los recursos protegidos. Medidas, normas, procedimientos, y reglas orientados a garantizar el nivel de seguridad exigido en el Reglamento de la LOPD Funciones y obligaciones del personal Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan Procedimiento de notificación, gestión y respuesta ante las incidencias. Los procedimientos de elaboración de copias de seguridad y de recuperación de datos CONTENIDO DEL DOCUMENTO DE SEGURIDAD
  • 13. Este documento será el que establezca la normativa de seguridad de la empresa. Deberá conocer y cumplir todo el personal con acceso a los datos y a los sistemas de información. La Agencia de Protección de Datos dispone de un modelo de Documento de seguridad editable y disponible para descargar en su página web
  • 14. Hay que señalar que la responsabilidad por las infracciones que se cometan, será siempre del responsable del fichero y nunca del responsable de seguridad Si el nivel de seguridad a adoptar es medio o alto, el responsable del fichero designará a un responsable o responsables de seguridad Estos serán los encargados de velar por el cumplimiento de las medidas, normas y reglas de seguridad establecidas por el Responsable del Fichero en el documento de seguridad
  • 15. 2.4. IDENTIFICAR LOS NIVELES DE SEGURIDAD QUE CORRESPONDEN A CADA FICHERO Nivel Básico: si los ficheros que se guardan contienen únicamente datos de identificación de las personas. Nivel Medio: si se incluyen datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, sobre Servicios Financieros, solvencia patrimonial y crédito... Nivel Alto: si además de datos identificativos se guardan datos con información médica, sobre creencias o religión, de afiliaciones sindicales o políticas, origen racial… La L.O.P.D., según los datos personales que se incluyan en el fichero, contempla tres niveles de seguridad en función del carácter de la información archivada y de su tratamiento
  • 16. • Existencia de una lista actualizada de usuarios autorizados que tengan acceso al sistema de información. • Contraseñas: procedimiento de creación, asignación, conservación y cambio periódico. • Conocimiento por parte del personal de las normas y medidas de seguridad que les son aplicables. • Los usuarios tendrán únicamente acceso a los datos/recursos de acuerdo a su puesto laboral y tareas definidas en el documento de seguridad. • Listado de personal con privilegios administrativos informáticos sobre aplicaciones y ficheros. • Deberán implantarse mecanismos que eviten el acceso no autorizado a otros recursos: establecimiento de perfiles de usuario. Definición en el Documento de Seguridad de las funciones y obligaciones de grupos de usuarios y/o perfiles. • Trabajo fuera de ubicación principal debe ser expresamente autorizado. NIVEL BÁSICO
  • 17. • Descripción y estructura informática del Fichero y del sistema informático en el documento de seguridad. • Identificación, inventariado y almacenamiento de los soportes. Autorización necesaria para salida de soportes. • Registro de incidencias. Contenido mínimo: tipo de incidencia, momento en que se produce, efectos producidos, persona que comunica, medidas adoptadas. • Copias de Respaldo y Recuperación datos que garanticen la restauración de los datos al momento anterior a producirse la pérdida. • Realización de copias de Backup al menos con una frecuencia semanal. • Revisión y actualización del Documento de Seguridad en función de cambios relevantes en la Organización. En caso de ficheros en soporte papel, además:  Control de acceso a la documentación  Medidas de conservación y almacenamiento  Procedimientos y mecanismos de destrucción que impidan posterior recuperación de la información que contienen.
  • 18. NIVEL MEDIO Las medidas mínimas de seguridad que se adoptarán serán las mismas que la de nivel básico, más las siguientes:  Identificación de usuario, de manera inequívoca y personalizada.  Limitación de acceso incorrecto reiterado.  Control de acceso físico a servidores y al centro de procesamiento de datos.  Listado de personas con acceso a los mismos.  Identificación y funciones del/los Responsables de Seguridad.  Cifrado de soportes en caso de operaciones externas de mantenimiento. Medidas y procedimientos para la destrucción de soportes. Registro de Entrada y salida de Soportes.  Contenido adicional en el registro de incidencias: Procedimiento de restauración de datos, datos restaurados y datos grabados manualmente.  Necesaria autorización para la ejecución de procedimientos de restauración de datos.  Deberá someterse a una Auditoria cada 2 años. Conservación de Informe a disposición AEPD.
  • 19. NIVEL ALTO Las medidas mínimas de seguridad que se adoptarán serán las mismas que la de nivel básico y nivel medio, más las siguientes: • De cada acceso al fichero se guardarán: identificación usuario, fecha y hora, fichero accedido, tipo de acceso y su autorización o denegación, guardando la información que permita identificar registro accedido. • Registro y conservación de accesos lógicos al fichero por un plazo no inferior a 2 años. • Los mecanismos de acceso estarán bajo el control directo del Responsable de Seguridad, sin que pueda permitirse la desactivación. • Distribución de soportes con mecanismos de cifrado de datos. • Almacenamiento externo de copias de seguridad y procedimientos de restauración de datos. • Revisión periódica de la información de control de los accesos informáticos a ficheros y aplicaciones.
  • 20. 5. GARANTIZAR LOS DERECHOS DE LOS USUARIOS Derecho de Acceso. Todos los usuarios tienen derecho a conocer qué datos se han almacenado sobre ellos. El plazo máximo para dar respuesta tras la solicitud por parte del usuario: 30 días Derecho de Rectificación. Cualquier usuario puede poder solicitar que se modifiquen sus datos personales si no son correctos. El plazo máximo para dar respuesta tras la solicitud por parte del usuario: 10 días Derecho de Cancelación. Todos los usuarios pueden solicitar la cancelación de sus datos. El plazo máximo para dar respuesta tras la solicitud por parte del usuario: 10 días Derecho de Oposición. Cualquier usuario puede oponerse a que se almacenen sus datos. El plazo máximo para dar respuesta tras la solicitud por parte del usuario: 10 días Los derechos que la LOPD contempla para los usuarios sobre la recogida de datos de carácter personal, son:
  • 21. INSCRIPCIÓN DE FICHEROS 1. INSCRIBIR UN FICHERO EN LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS • Formulario NOTA
  • 22. 1. CÓMO INSCRIBIR UN FICHERO ANTE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS (AEPD) Para llevar a cabo la inscripción de ficheros la Agencia de Protección de Datos proporciona una aplicación gratuita que se puede encontrar en su página web www.agpd.es Una de las obligaciones que marca la Ley 15/1999, de Protección de Datos de Carácter Personal, es el declarar en el Registro General de la Agencia, todos los ficheros que tenga en la empresa y que contengan datos de carácter personal, tales como, empleados, clientes, proveedores, videovigilancia, etc.
  • 23. La aplicación está situada en la página principal, se llama NOTA y se encuentra en la parte derecha de la página Pinchar sobre él para acceder
  • 24. El siguiente paso es seleccionar: Obtención del formulario NOTA
  • 25. Ojo!!! Hay que leer El formulario electrónico NOTA incorpora funcionalidades de dinamismo que requieren la instalación de Adobe Reader versión 7.0.8 o superior. En caso de utilizar versión anterior de Adobe Reader se visualizará un mensaje que dice Archivo Dañado / File Damaged. Si se utiliza la versión 8.1. de Adobe Reader, para cumplimentar los campos desplegados (Actividad, Provincia, País, Países en el formulario de titularidad privada; Provincia,, País, Diario Oficial de Publicación, Fecha de Publicación y Países en el formulario de titularidad pública), se puede visualizar la lista de valores disponibles haciendo “click” con el ratón en la parte derecha campo (donde en las versiones anteriores de Adobe se visualiza el botón que realiza esa función), desplegándose la lista y permitiendo seleccionar un elemento de la misma. También puede introducirse valores situando el cursor en uno de los campos mencionados y utilizando las flechas arriba y abajo hasta encontrar el texto adecuado”.
  • 26. AVISO IMPORTANTE PARA USUARIOS DE GOOGLE CHROME Google Chrome ejecuta de forma predeterminada un complemento propio (Chrome PDF Viewer) para visualizar documentos PDF, el cual no reconoce las funcionalidades de dinamismo del formulario NOTA de forma que únicamente muestra la primera pregunta y no permite avanzar en la cumplimentación del mismo. Para poder usar adecuadamente el formulario NOTA puede: Configurar Google Chrome para que muestre los documentos PDF ejecutando el complemento de Adobe Reader en lugar del complemento Chrome PDF Viewer, para lo cual puede seguir estas instrucciones: Ojo!!! Hay que leer Continuación
  • 27. • Pulsar el botón de Personalizar y configurar Google Chrome. • Seleccionar "Mostrar opciones avanzadas..." al final de la página. • Pulsar el botón "Configuración de contenido..." del apartado "Privacidad". • En el apartado "Complementos", seleccionar el enlace "Inhabilitar complementos de forma individual" • En el complemento Chrome PDF Viewer y seleccionar el enlace "Inhabilitar" • En el complemento Adobe Reader y seleccionar el enlace "Habilitar" Usar otro navegador que tenga configurado el complemento de Adobe Reader como predeterminado. Descargar el formulario en su equipo pulsando el botón derecho del ratón sobre el enlace y en el menú contextual seleccionar "Guardar enlace como...". A continuación ejecutar la aplicación Adobe Reader y desde el menú "Archivo / Abrir..." seleccionar el formulario guardado. Ojo!!! Hay que leer
  • 28. Ojo!!! Hay que leer AVISO IMPORTANTE SOBRE COMPLEMENTO DE NAVEGADORES Algunos navegadores pueden tener configurado por defecto un complemento para visualizar documentos PDF que no es el complemento de Adobe Reader, y que no reconoce las funcionalidades de dinamismo del formulario NOTA. En ese caso, únicamente se muestra la primera pregunta y al seleccionar una de las casillas no muestra la segunda pregunta y no permite avanzar en la cumplimentación del formulario. Para poder usar adecuadamente el formulario NOTA puede: Usar otro navegador que tenga configurado el complemento de Adobe Reader como predeterminado. Continuación
  • 29. Cambiar el complemento con el que el navegador abre el documento. Así, por ejemplo:  En Google Chrome se muestra un icono en la barra de direcciones que al seleccionarlo ofrece la posibilidad de abrir el formulario con Adobe Reader.  En Mozilla Firefox se muestra la advertencia de que el documento PDF podría no mostrarse correctamente junto con un botón "Abrir con un visor diferente" que le permite seleccionar el complemento de Adobe Reader para abrir el formulario. Descargar el formulario en su equipo pulsando el botón derecho del ratón sobre el enlace y en el menú contextual seleccionar "Guardar enlace como...". A continuación ejecutar la aplicación Adobe Reader y desde el menú "Archivo / Abrir..." seleccionar el formulario guardado. Ojo!!! Hay que leer
  • 30. Una vez realizadas las configuraciones pertinentes bajar con el cursor hasta la parte inferior de la página y seleccionar el enlace: Formulario Nota de titularidad privada
  • 31. Se accede al formulario disponible en formato PDF para comenzar la declaración La primera pregunta que se encuentra es, que tipo de solicitud queremos realizar: un alta, una modificación de un fichero previamente declarado o una supresión
  • 32. En este caso marcaremos ALTA A continuación aparece otro desplegable que pregunta que modelo de declaración queremos realizar: Normal o Tipo
  • 33. En la declaración TIPO están los ficheros mas comunes Al ser tipo parte de los formularios vienen ya rellenos Si dentro de este desplegable no encontramos la opción que necesitamos, elegiremos la opción NORMAL
  • 34. La siguiente pregunta es como vamos a hacer la presentación del formulario ante la Agencia. Esta se puede hacer a través de: - Correo postal - Internet con firma digital - Internet sin firma digital Como ejemplo vamos a elegir la declaración TIPO y el fichero CLIENTES/PROVEEDORES
  • 35. Es la forma mas sencilla, para ello, hay que rellenar un formulario, el cual debe ir firmado en la última hoja de forma manuscrita y enviado por fax o por correo postal a la Agencia Española de Protección de datos POR Internet sin Firma Electrónica POR Internet con Firma Electrónica Si se dispone de firma electrónica se puede presentar directamente con medios electrónicos sin necesidad de papel Seleccionar Internet y cumplimentar
  • 36. Se procede a cumplimentar el formulario En el primer apartado se encuentran los datos del responsable del fichero, es decir, de la empresa (nombre, dirección, CIF y actividad a la que se dedica, que se selecciona mediante un desplegable). En el segundo se debe indicar los datos de la empresa en los que un usuario puede ejercer los derechos de acceso, rectificación, cancelación y oposición. Normalmente deben coincidir con el apartado uno
  • 37. En el apartado cuatro se debe indicar los datos de la empresa que realice el tratamiento de datos de carácter personal de este fichero, en caso de que sea un tercero quien lo realice.
  • 38. En el apartado quinto se indicará los datos del fichero que se va a notificar. Como se puede comprobar parte del fichero está relleno por haber optado por la opción TIPO en el formulario Aunque sea TIPO se puede modificar el nombre, la descripción o la finalidad que aparece ya predeterminada. En este supuesto se pueden elegir otras opciones de la izquierda si se quiere ampliar la finalidad del fichero.
  • 39. En el apartado sexto hay que marcar la casilla de la procedencia de los datos, si es a través del propio interesado, de un registro público, etc., y del colectivo al que pertenece, en este caso a CLIENTES que ya está relleno por defecto,
  • 40. En el caso que nos ocupa CLIENTES no hay datos de este tipo por lo que no se selecciona ninguna casilla de estos apartados. Si vienen mas abajo detalladas, al ser un fichero TIPO, las mas corrientes (nombre, apellidos, teléfono, etc.) Si se tuviera algún datos mas se seleccionaría la casilla correspondiente, o se indicaría en otros de los de carácter identificativo En el apartado siete se seleccionan los datos concretos que va a incorporar el fichero que se está notificando. Si hay algún dato especialmente protegido de los que se especifican en el formulario se debe marcar la casilla correspondiente.
  • 41. En el apartado sistema de tratamiento se debe indicar, si va a ser manual, es decir, en formato papel, automatizado o mixto, dependiendo de cómo se gestionen los datos de carácter personal del fichero. En el apartado medidas de seguridad viene marcado por defecto, NIVEL BÁSICO, en función de los datos que se han introducido anteriormente. En caso de que se hubiese marcado alguna de las casillas de datos especialmente protegidos, seria de nivel alto
  • 42. En el apartado nueve, se indica si se va hacer alguna cesión de datos de este fichero, es decir, si se van a ceder datos de los clientes a algún Organismo o Entidad. Si es así se seleccionan, además, de los datos que están predeterminados, los de la columna de la izquierda. Una vez cumplimentado el formulario, hay varias opciones: Guardar. Imprimir, Limpiar, Validar, Volver a las preguntas iníciales y Cumplimentar hoja de solicitud CUMPLIMENTAR HOJA DE SOLICITUD
  • 43. CUMPLIMENTAR EL FORMULARIO Una vez seleccionada CUMPLIMENTAR HOJA DE SOLICITUD para terminar definitivamente (en este caso no se puede porque no se han rellenado todos los campos correctamente, por ser un ejemplo) se debe indicar los datos del responsable de seguridad, que es la persona encargada dentro de la empresa de todo lo relativo a la protección de datos. Así como, una dirección donde la Agencia pueda notificar la inscripción de ese fichero y su código. Una vez finalizada ésta última hoja, aparece una prescripción cumplimentada con los datos de la empresa, el responsable de seguridad, que deberá ser enviada a la Agencia mediante fax 914452529 o por correo postal a la dirección de la empresa
  • 44. ELABORACIÓN DEL MANUAL DE SEGURIDAD 1. INTRODUCCIÓN 2. ÁMBITO DE APLICACIÓN 3. MEDIDAS, NORMAS, PROCEDIMIENTOS, REGLAS Y ESTÁNDARES ENCAMINADOS A GARANTIZAR LOS NIVELES DE SEGURIDAD 4. INFORMACIÓN Y OBLIGACIONES DEL PERSONAL 5. PROCEDIMIENTOS DE NOTIFICACIÓN, GESTIÓN Y RESPUESTA ANTE LAS INCIDENCIAS 6. PROCEDIMIENTOS DE REVISIÓN 7. CONTENIDO DEL MANUAL DE SEGURIDAD
  • 45. Las medidas de índole técnico y organizativo que los responsables de los tratamiento o los ficheros y los encargados de tratamiento han de implantar para garantizar la seguridad en los ficheros, los centros de tratamiento, locales, equipos, sistemas, programas y las personas que intervengan en el tratamiento de datos de carácter personal. El artículo 9 de la LOPD establece que: El “responsable del fichero”, y, en su caso, el “encargado del tratamiento”, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal. El Real Decreto 1720/2007, Reglamento de desarrollo de la LOPD, establece que: 1. INTRODUCCIÓN
  • 46. Entre estas medidas que se deben adoptar, se encuentra el DOCUMENTO DE SEGURIDAD, cuya misión es recoger las medidas de índole técnica y organizativa acorde a la normativa de seguridad vigente que será de obligado cumplimiento para el personal con acceso a los datos de carácter personal. Cuando la elaboración del documento sea realizada por el propio personal de la empresa, la Agencia Española de Protección de Datos pone a disposición del ciudadano un MANUAL QUE DESARROLLA EL DOCUMENTO DE SEGURIDAD, el cual se puede utilizar y adaptar a las peculiaridades de la empresa en cuestión. DOCUMENTO DE SEGURIDAD •MISIÓN Recoger las medidas de índole técnica y organizativa •DE OBLIGADO CUMPLIMIENTO Para el personal con acceso a los datos de carácter personal.
  • 47. Para disponer de este documento hay que entrar en la página web de la Agencia: https//www.agpd.es Una vez en la página principal pinchar en Canal del Responsable, y dentro de este en “Guía documento de seguridad”
  • 48. En la pantalla que se abre pinchar en Guía modelo del Documento de Seguridad (formato editable). Se abre un documento Word, en el cual se puede trabajar.
  • 49. APARTADOS • Ámbito de aplicación del documento. • Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar los niveles de seguridad exigidos en este documento. • Información y obligaciones del personal. • Procedimientos de notificación, gestión y respuestas ante las incidencias. • Procedimientos de revisión. ANEXOS • ANEXO I. Descripción de ficheros. • ANEXO II. Nombramientos. • ANEXO III. Autorizaciones de salida o recuperación de datos. • ANEXO IV. Delegación de autorizaciones. • ANEXO V. Inventario de soportes. • ANEXO VI. Registro de Incidencias. • ANEXO VII. Encargados de tratamiento • ANEXO VIII. Registro de entrada y salida de soportes. • ANEXO IX. Medidas alternativas El contenido del documento está organizado en: - Cinco apartados - Nueve anexos
  • 50. Todo lo que hay dentro de estos signos son comentarios explicativos que deben ser sustituidos por el contenido que se adapte a la empresa que estamos tratando. En la Guía modelo del Documento de Seguridad (formato editable) hay que tener en cuenta los signos < >. Ejemplos de datos que deben desarrollarse
  • 51. ÁMBITO DE APLICACIÓN CONTENIDODELDOCUMENTO El nombre del responsable del/os ficheros, es decir a quien pertenece (nombre de la empresa) La relación de ficheros de los que dispone la empresa con datos de carácter personal, es decir, aquellos a los que hay que aplicar la LOPD. Estos ficheros deben coincidir con los que se han inscrito en la Agencia Española de Protección de Datos Formas del sistema en las que se realiza la inscripción, automatizadas, manuales o mixtas El nivel de seguridad, si el contenido del fichero es básico, medio o alto 2. ÁMBITO DE APLICACIÓN
  • 52. En este apartado se tratan las distintas medidas de seguridad que se deben tomar para cumplir con la LOPD, es decir, como se van a tomar estas medidas en función de la categoría del fichero y en según el tipo de fichero el reglamento especifica los puntos que hay que cumplir, pudiendo haber mas o menos en función del mismo. 3. MEDIDAS, NORMAS, PROCEDIMIENTOS, REGLAS Y ESTÁNDARES ENCAMINADOS A GARANTIZAR LOS NIVELES DE SEGURIDAD En el se definen, entre otros, los siguientes aspectos Cuando se hacen las copias de seguridad Cómo se garantiza que los usuarios que están en el sistema son los que deberían entrar Cómo garantiza la empresa que un intruso no pueda entra en el sistema
  • 53. Por ello, es importante tener protocolizado un procedimiento de actuación para que cuando entre personal nuevo en la empresa, tenga claras las normas de actuación. 4. INFORMACIÓN Y OBLIGACIONES DEL PERSONAL Este apartado trata como ha de ser la información y las obligaciones que deben cumplir el personal de la empresa. Se especifica el procedimiento que se ha de llevar a cabo para que los trabajadores queden informados de cuales son las normas que debe cumplir a nivel de la LOPD y como deben aplicarse, es decir, se deben indicar las obligaciones que tienen con respecto a los datos de carácter personal y las funciones propias de su puesto de trabajo. Si un trabajador no tiene especificadas cuales son sus obligaciones, no será responsable de cualquier acción incorrecta con los datos que maneja, siendo responsable la empresa que ha sido quien no ha notificado correctamente al personal.
  • 54. 5. PROCEDIMIENTOS DE NOTIFICACIÓN, GESTIÓN Y RESPUESTA ANTE LAS INCIDENCIAS En este apartado se explica como se notifican las distintas incidencia que se pueden presentar y como han de hacerse. Una incidencia es una actuación de no conformidad con respecto a los contenidos que la LOPD propone, es decir, una actuación incorrecta o que no responde a las exigencias de la ley. El procedimiento a seguir es mediante una tabla de registro donde se anoten todas las incidencias explicando qué y cómo se ha hecho par solventarlas y procurar que no vuelvan suceder.
  • 55. Además, hay que definir una metodología para revisar los cambios que se produzcan 6. PROCEDIMIENTOS DE REVISIÓN Cual es el Procedi miento •De revisión de los contenidos del Documento de Seguridad Cual es el criterio •Para revisarlo Como •Se revisa Cuando •Se revisa Cuales •Son los puntos a revisar En este punto se tratan:
  • 56. ANEXO I. DESCRIPCIÓN DE FICHEROS Actualizado a: <fecha de la última actualización del anexo>. <Se incluirá un anexo de este tipo por cada fichero incluido en el ámbito del documento de seguridad, podrían denominarse ANEXO I a, b, c, etc.>. • Nombre del fichero o tratamiento: <rellenar con nombre del fichero>. • Unidad/es con acceso al fichero o tratamiento: <especificar departamento unidad con acceso al fichero, si aporta alguna información>. • Identificador y nombre del fichero en el Registro General de Protección de Datos de la Agencia Española de Protección de Datos: <rellenar los siguientes campos con los datos relativos a la inscripción del fichero en el Registro General de Protección de Datos (RPGD)>.  Identificador: <código de inscripción>  Nombre: <nombre inscrito>  Descripción: <descripción inscrita>  Nivel de medidas de seguridad a adoptar: <básico, medio o alto> 7. CONTENIDO DEL DOCUMENTO
  • 57. • Administrador: <persona designada para conceder, alterar, o anular el acceso autorizado a los datos>. • Leyes o regulaciones aplicables que afectan al fichero o tratamiento <si existen>. • Código Tipo Aplicable: <se indicará aquí si el fichero está incluido en el ámbito de alguno de los códigos tipo regulados por el articulo 32 de la LOPD>. • Estructura del fichero principal: <incluir los tipos de datos personales contenidos en el fichero, especificando aquellos que, por su naturaleza, afectan al nivel de medidas de seguridad a adoptar, según lo indicado en el artículo 81 del Reglamento de desarrollo de la LOPD >. INFORMACIÓN SOBRE EL FICHERO O TRATAMIENTO - Finalidad y usos previstos. - Personas o colectivos sobre los que se pretenda obtener o que resulten obligados a suministrar los datos personales, y procedencia de los datos: <indicar procedencia de los datos, quién suministra los datos>. - Procedimiento de recogida: <encuestas, formularios en papel, Internet. ..>. - Cesiones previstas: <relacionar los destinatarios de los datos previstos>.
  • 58. - Transferencias Internacionales: <relacionar las transferencias internacionales, especificando si ha sido necesaria la autorización del Director de la Agencia Española de Protección de Datos>. - Sistema de tratamiento: <automatizado, manual o mixto>. - Servicio o Unidad ante el que puedan ejercitarse los derechos de acceso, rectificación, cancelación y oposición: <indicar la unidad y/o dirección. Deben preverse además, los procedimientos internos para responder a las solicitudes de ejercicio de derechos de los interesados>. - Descripción detallada de las copias de respaldo y de los procedimientos de recuperación <Especificar la periodicidad de las copias (que debe ser al menos semanal). Si se trata de ficheros manuales y tienen prevista alguna medida en este sentido, detallarla>. - Información sobre conexión con otros sistemas: <Describir las posibles relaciones con otros ficheros del mismo responsable>. - Funciones del personal con acceso a los datos personales: <Especificar las diferentes funciones y obligaciones de cada una de las personas con acceso a los datos de carácter personal y sistema de información específicos de este fichero>. - Descripción de los procedimientos de control de acceso e identificación: <Cuando sean específicos para el fichero>. - Relación actualizada de usuarios con acceso autorizado: <Relacionar todos los usuarios que acceden al fichero, con especificación del tipo o grupo de usuarios al que pertenecen, su clave de identificación, nombre y apellidos, unidad, fecha de alta y fecha de baja>. <Si la relación se mantiene de forma informatizada, indicar aquí cual es el sistema utilizado y la forma de obtener el listado. No obstante, siempre que sea posible, es conveniente imprimir la relación de usuarios y adjuntarla periódicamente a este Anexo>.
  • 59. En su caso, personas en las que el responsable del fichero ha delegado <Indicar las autorizaciones, tales como: salida de dispositivos portátiles, la copia o reproducción de documentos en soporte papel,…>. <Adjuntar original o copia de los nombramientos que afecten a los diferentes perfiles incluidos en este documento, como el del responsable de seguridad>. ANEXO III AUTORIZACIONES DE SALIDA O RECUPERACIÓN DE DATOS <Adjuntar las autorizaciones que el responsable del fichero ha firmado para la salida de soportes que contengan datos de carácter personal, incluyendo aquellas que se refieran a salidas que tengan un carácter periódico o planificado. Incluir asimismo, las autorizaciones relativas a la ejecución de los procedimientos de recuperación de datos>. ANEXO II. NOMBRAMIENTOS ANEXO IV DELEGACIÓN DE AUTORIDADES
  • 60. <Si el registro de incidencias no está informatizado, recoger en este anexo la información al efecto, según lo indicado en el apartado de "Procedimientos de notificación, gestión y respuesta ante las incidencias" de este documento>. <Si el registro de incidencias está informatizado, indicar la aplicación o ruta de acceso del acceso del archivo de lo contiene>. <Si el inventario de soportes no está informatizado, recoger en este anexo la información al efecto, según lo indicado en el apartado de “Gestión de soportes y Documentos” de este documento. Los soportes deberán permitir identificar el tipo de información, que contienen, ser inventariados y almacenarse en un lugar con acceso restringido al personal autorizado para ello en este documento>. <Si el inventario de soportes está informatizado, indicar la aplicación o ruta de acceso del archivo que lo contiene>. ANEXO VI REGISTRO DE INCIDENCIAS ANEXO V INVENTARIO DE SOPORTES
  • 61. <Cuando el acceso de un tercero a los datos del responsable del fichero sea necesario para la prestación de un servicio a este último, no se considera que exista comunicación de datos. Recoger aquí el contrato que deberá constar por escrito o de alguna otra forma que permita acreditar su celebración y contenido, y que establecerá expresamente que el encargado de tratamiento tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, y que no los comunicarán, ni siquiera para su conservación a otras personas. El contrato estipulará las medidas de seguridad a que se refiere el artículo 9 de la LOPD que el encargado del tratamiento está obligado a implementar>. ANEXO VII ENCARGADOS DEL TRATAMIENTO
  • 62. <En el caso de que no sea posible adoptar las medidas exigidas por el RLOPD en relación con la identificación de los soportes, los dispositivos de almacenamiento de los documentos o los sistemas de almacenamiento de la información, indicar las causas que justifican que ello no sea posible y las medias alternativas que se han adoptado>. <Si el registro de entrada y salida de soportes al que se refiere el apartado de "Gestión de soportes y documentos", y que es obligatorio a partir del nivel medio, no está informatizado, recoger en este anexo la información al efecto, según lo indicado el artículo 97 del RLOPD>. <Si el registro de entrada y salida está informatizado, indicar la aplicación o ruta de acceso del acceso del archivo de lo contiene>. ANEXO VIII REGISTRO DE ENTRADA Y SALIDA DE SOPORTES ANEXO IX MEDIDAS ALTERNATIVAS
  • 63. IDENTIFICAR LOS NIVELES DE SEGURIDAD 1. CLASIFICACIÓN DE LOS NIVELES DE SEGURIDAD 1.1. Nivel Alto 1.2. Nivel Medio 1.3. Nivel Básico
  • 64. 1. CLASIFICACIÓN DE LOS NIVELES DE SEGURIDAD El reglamento de desarrollo de la LOPD fija tres niveles de seguridad atendiendo a la naturaleza de la información. Los niveles de seguridad son acumulativos de modo que un fichero de nivel alto deberá aplicar también las medidas previstas en los niveles básico y medio.
  • 65. 1.1. NIVEL ALTO Ficheros o tratamientos que se refieran a: Datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual Datos que contengan o se refieran a datos recabados para fines policiales sin consentimiento de las personas afectadas Datos que contengan datos derivados de actos de violencia de género
  • 66. 1.2. NIVEL MEDIO Ficheros o tratamientos relativos a la comisión de infracciones administrativas o penales 1 • Datos de carácter personal relativos a la comisión de infracciones penales o administrativas incluidos en ficheros de las Administraciones pública 2 • Datos de los que sean responsables Administraciones tributarias y se relacionen con el ejercicio de sus potestades tributarias 3 • Datos de los que sean responsables las entidades financieras para finalidades relacionadas con la prestación de servicios financieros 4 • Datos de servicios de información sobre la solvencia patrimonial y el crédito 5 • Entidades Gestoras y Servicios Comunes de la Seguridad Social 6 • Mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social 7 • Datos de carácter personal que ofrezcan una definición de las características o de la personalidad
  • 67. 1.3. NIVEL BÁSICO Todos los ficheros que contengan datos de carácter personal EXCEPCIONES En caso de ficheros o tratamientos de datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual será suficiente la implantación de las medidas de seguridad de nivel básico cuando: Los datos se utilicen con la única finalidad de realizar una transferencia dineraria a las entidades de las que los afectados sean asociados o miembros Se trate de ficheros o tratamientos no automatizados en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad Se trate de ficheros o tratamientos que contengan datos relativos a la salud, referentes exclusivamente al grado de discapacidad o la simple declaración de la condición de discapacidad o invalidez del afectado, con motivo del cumplimiento de deberes públicos
  • 68. GARANTIZAR LOS DERECHOS DE LOS CIUDADANOS 1. DERECHOS DE LOS CIUDADANOS 1.1. Derecho de Acceso 1.2. Derecho de Rectificación 1.3. Derecho de Cancelación 1.4. Derecho de Oposición 2. TUTELA DE LOS DERECHOS
  • 69. La LOPD, permite a cualquier ciudadano dirigirse al Registro General de Protección de Datos (RGPD) con el fin de obtener información sobre:  La existencia de tratamientos de datos de carácter personal  De sus finalidades  De la identidad del responsable del mismo. La consulta al RGPD es pública y gratuita, y su objeto es hacer posible a todo ciudadano el ejercicio sus derechos como ciudadanos. Dichos derechos son: 1. DERECHOS DE LOS CIUDADANOS Derecho de acceso Derecho de rectificación Derecho de cancelación Derecho de oposición
  • 70. La AEPD NO dispone de los datos personales de los ciudadanos incluidos en los ficheros declarados, pero SÍ puede, previa solicitud de la persona afectada o bien de su representante, facilitar la dirección de la oficina o dependencia del responsable del fichero o tratamiento ante la que se pueden ejercer los derechos de acceso, rectificación, cancelación u oposición, siendo el citado responsable quien debe atender la petición efectuada por la persona titular de los datos. La consulta al RGPD puede realizarse: - Por escrito - A través de la página web de la Agencia www.agpd.es, en la que mensualmente se actualiza la información sobre los ficheros y tratamientos inscritos.
  • 71. 1.1. DERECHO DE ACCESO El ejercicio del derecho de acceso permite controlar la exactitud de los datos, y en caso de ser necesario: - Hacerlos rectificar o cancelar Ejerciendo el derecho de acceso, la persona puede informase: - De las finalidades del tratamiento. - Del tipo de datos registrados. - De su origen. - De los destinatarios de los datos - De las posibles transferencias de datos a otros países Toda persona tiene derecho a dirigirse al responsable o encargado de un fichero o tratamiento para: - Conocer la totalidad de los datos personales que le afecten así mismo. - Recibir una copia inteligible de los mismos - Cualquier otra información sobre su origen
  • 72. El ciudadano puede solicitar y obtener gratuitamente información sobre: - Sus datos de carácter personal sometidos a tratamiento. - La información disponible sobre el origen de dichos datos - De las comunicaciones realizadas o que se prevean realizar. Esta información puede obtenerse bien mediante la mera consulta de los datos por medio de: - Su visualización en pantalla - O bien a través de escrito, copia, telecopia o fotocopia, certificada o no, realizada en forma inteligible, sin utilizar claves o códigos que requieran para su comprensión el uso de dispositivos mecánicos específicos. El derecho de acceso respecto de los tratamiento realizados por una determinada entidad, persona u órgano administrativo, sólo podrá ejercitarse a intervalos no inferiores a doce meses, salvo que el ciudadano acredite un interés legítimo que posibilite su ejercicio con anterioridad al cumplimiento de dicho período. Cómo obtener la información
  • 73. Para ejercer este derecho el ciudadano tiene que dirigirse al responsable del fichero o tratamiento, aportando: - Fotocopia del DNI o documento que acredite la identidad y sea admitido en Derecho. - Documento acreditativo en caso de que lo realice el representante - Indicar el domicilio a efectos de notificaciones. - Fecha y firma del solicitante. Los ciudadanos deben utilizar cualquier medio que permita acreditar el envío y la recepción de la solicitud. Cómo ejercer el derecho de acceso
  • 74. El responsable del fichero o tratamiento tiene que resolver la solicitud de acceso en el plazo máximo de un mes a contar desde la fecha en que haya recibido la solicitud. En caso de estimar la solicitud, el acceso debe hacerse efectivo en el plazo de los diez días siguientes a la notificación Cómo resolver La obligación de contestar a dicha solicitud ha de producirse con independencia de que figuren o no datos personales del ciudadano en sus ficheros. La contestación al derecho de acceso ha de practicarse utilizando cualquier medio que permita acreditar el envío y la recepción de la misma.
  • 75. Puede denegarse el derecho de acceso cuando: - Pueda suponer un peligro para la defensa del Estado o la seguridad pública. - Proteja los derechos y libertades de terceros o las necesidades de las investigaciones que se estén realizando, o en el caso de ficheros de la Hacienda Pública. - Este derecho obstaculiza las actuaciones administrativas tendentes a asegurar el cumplimiento de las obligaciones tributarias. - El afectado esté siendo objeto de actuaciones inspectoras. Denegación derecho MODELO PARA EJERCER EL DERECHO DE ACCESO https://www.agpd.es/portalwebAGPD/CanalDelCiudadano/derechos /principales_derchos/acceso-ides-idphp.php
  • 76. 1.2. DERECHO DE RECTIFICACIÓN La LOPD, reconoce al ciudadano el derecho a dirigirse al responsable de un fichero o tratamiento para que rectifique sus datos personales. - Si un ciudadano contrasta que sus datos personales son inexactos tiene derecho a solicitar su rectificación ante el responsable. La solicitud de rectificación debe indicar: - El dato que se estima erróneo - La corrección que debe realizarse Debe ir acompañada de la documentación justificativa de la rectificación solicitada. Este derecho puede ejercitarse cuando: - El tratamiento contenga datos inexactos o incompletos.
  • 77. El responsable del fichero o tratamiento tiene el deber de atender el derecho de rectificación en el plazo de diez días hábiles. Deberá contestar de forma motivada a la solicitud que se le dirija, con independencia de que figuren o no datos personales del afectado en sus ficheros, debiendo utilizar cualquier medio que permita acreditar el envío y la recepción de su respuesta. Si los datos rectificados hubieran sido cedidos previamente a un tercero, el responsable del fichero tiene la obligación de notificar al cesionario la rectificación practicada. Cómo resolver MODELO PARA EJERCER EL DERECHO DE RECTIFICACIÓN https://www.agpd.es/portalwebAGPD/CanalDelCiudadano/de rechos/principales_derchos/rectificacion-ides-idphp.php
  • 78. 1.3. DERECHO DE CANCELACIÓN Este derecho ofrece al ciudadano la posibilidad de dirigirse al responsable para solicitar la cancelación de sus datos personales. - Si un ciudadano verifica que sus datos personales son inexactos o se han tratado ilegalmente, tiene derecho a solicitar su supresión. Este derecho puede ejercerse cuando: - El tratamiento no se ajuste a lo dispuesto en la LOPD - Cuando los datos resulten inexactos o incompletos. En la solicitud de cancelación, el interesado debe indicar la existencia del dato erróneo o inexacto, en cuyo caso deberá acompañar la documentación justificativa. La cancelación dará lugar al bloqueo de los datos cuando: - Sea preciso conservar éstos únicamente a disposición de las Administraciones Públicas, Jueces y Tribunales, de cara a posibles responsabilidades.
  • 79. El responsable del fichero o tratamiento tiene la obligación de hacer efectivo el derecho de cancelación en el plazo de diez días naturales. Si los datos cancelados hubieran sido cedidos previamente a un tercero, el responsable del fichero deberá notificar al cesionario la cancelación efectuada. Cómo resolver Deberá contestar de forma motivada a la solicitud que se le dirija, con independencia de que figuren o no datos personales del afectado en sus ficheros, debiendo utilizar cualquier medio que permita acreditar el envío y la recepción de su respuesta.
  • 80. El responsable del fichero o tratamiento podrá denegar la cancelación, tanto en el caso de ficheros privados como públicos, cuando: - Exista un deber legal de conservación de los datos. - Durante el plazo establecido en cada caso por la legislación aplicable. Denegación derecho Asimismo, podrá denegar la cancelación cuando: - La conservación del dato sea necesaria para el cumplimiento de las obligaciones contractuales que le vinculen con el interesado y justifiquen el tratamiento de los datos. - Su cancelación pudiese causar perjuicio al propio ciudadano titular de los mismos o a terceros. MODELO PARA EJERCER EL DERECHO DE CANCELACIÓN https://www.agpd.es/portalwebAGPD/CanalDelCiudadano/dere chos/principales_derchos/cancelacion-ides-idphp.php
  • 81. 1.4. DERECHO DE OPOSICIÓN Toda persona tiene la posibilidad de oponerse, por un motivo legitimo y fundado, referido a una situación personal concreta: - A figurar en un fichero o al tratamiento de sus datos personales, siempre que una ley no disponga lo contrario. El ciudadano puede oponerse mediante su simple solicitud, a que : - Sus datos sean tratados con fines de publicidad y de prospección comercial En principio, el ciudadano tiene la facultad de disponer y decidir sobre: - Los usos de los datos personales que le conciernen, y por lo tanto, puede oponerse a aparecer en un determinado fichero o a que sus datos sean comunicados a terceros.
  • 82. En relación a los tratamientos de datos con fines de publicidad y de prospección comercial, los ciudadanos pueden ejercer el derecho de oposición y, a su simple solicitud, el responsable ha de dar de baja sus datos personales en el tratamiento, cancelando de este modo las informaciones que figuraban en el mismo. El responsable del fichero o tratamiento tiene un plazo máximo de un mes a contar desde la recepción de la petición, para resolver la solicitud de oposición. Si transcurrido este plazo no se ha recibido de forma expresa una respuesta a la petición de acceso, ésta puede entenderse desestimada a los efectos de presentar una reclamación de tutela de derechos ante la AEPD. En el caso de que sea procedente acceder a la oposición, el responsable del fichero ha de excluir del tratamiento los datos del ciudadano solicitante. Cómo resolver
  • 83. El derecho de oposición puede ejercitarse: - Cuando no es obligatoria la recogida de los datos renunciando a otorgar el consentimiento para el tratamiento de datos especialmente protegidos de ideología, religión o creencias, solicitando la eliminación de datos contenidos en ficheros comerciales - Señalando, en su caso, con una x la casilla destinada a indicar que no está de acuerdo con la cesión o comercialización de sus datos. Cómo ejercer el derecho de oposición Mediante una solicitud por escrito dirigida al responsable del fichero o tratamiento. - En la que se hagan constar los motivos fundados y legítimos relativos a una concreta situación personal del afectado, que justifican el ejercicio de este derecho. Puede ejercerse en el momento de la recogida de la información o posteriormente, dirigiéndose al responsable del fichero. No puede ejercerse ante muchos ficheros de titularidad pública, como por ejemplo, los de Hacienda Pública, los ficheros policiales, Seguridad Social, etc.
  • 84. Para ello, se puede ejercer el derecho de consulta al Registro General de Protección de Datos, así como los derechos de acceso, rectificación, cancelación y/u oposición, según sea el caso. Si no obtienes un resultado satisfactorio con este procedimiento puedes acudir a la Agencia Española de Protección de Datos. Procedimiento es caso de ser violados los derechos en materia de protección de datos: - Hay que intentar determinar la identidad del responsable del tratamiento Las actuaciones contrarias al derecho fundamental a la protección de datos de carácter personal pueden ser denunciadas por los ciudadanos ante la AEPD y, en su caso, posteriormente ante la jurisdicción contencioso- administrativa.
  • 85. Además, si de dichas actuaciones se derivase un perjuicio para los interesados, los mismos podrán reclamar la correspondiente indemnización, bien ante la jurisdicción civil, bien ante el Órgano administrativo responsable, a través, en este caso, del procedimiento establecido al efecto en la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común. Al ponerte en contacto con la AEPD se debe describir el problema con los suficientes pormenores, para ello, se debe utilizar los formularios disponibles en la página web de la AEPD www.agpd.es. MODELO PARA EJERCER EL DERECHO DE OPOSICIÓN https://www.agpd.es/portalwebAGPD/CanalDelCiudadano/der echos/principales_derchos/oposicion-ides-idphp.php
  • 86. 2. TUTELA DE DERECHOS El procedimiento de tutela tiene por finalidad garantizar el ejercicio efectivo por parte del ciudadano de los derechos de: • Acceso • Rectificación • Cancelación • Oposición El ciudadano al que le haya sido denegado el ejercicio de los derechos de acceso, rectificación, cancelación y oposición puede ponerlo en conocimiento de la AEPD, para que ésta constate la procedencia o improcedencia de la denegación. Para solicitar la tutela de derechos, el ciudadano tiene que presentar en la AEPD un escrito, en el que se expresen con claridad sus datos, el contenido de la reclamación y los preceptos de la LOPD que considere vulnerados.
  • 87. La Agencia, a continuación, da traslado de la reclamación al responsable del fichero o tratamiento instándole para que, en el plazo de quince días, formule las alegaciones que estime pertinentes Las resoluciones del Director de la Agencia Española de Protección de Datos son firmes en vía administrativa por lo que contra las mismas sólo se podrá interponer recurso potestativo de reposición, o bien recurso contencioso-administrativo ante la Audiencia Nacional. Los procedimientos de tutela de derechos no tienen carácter sancionador, limitándose a estimar o desestimar las reclamaciones planteadas por los ciudadanos ante la Agencia. Sin embargo, en algunas ocasiones, los hechos constatados en los citados procedimientos pueden dar lugar a la iniciación de procedimientos sancionadores. La AEPD tramitará el correspondiente procedimiento administrativo y resolverá el mismo en el plazo máximo de seis meses, dando traslado de su resolución a las partes.