1.
INTRODUCCION
La Ley Orgánica de Protección de Datos de Carácter Personal (LOPD)
15/1999 de 13 de Diciembre, y demás normas de desarrollo, tienen
por objeto garantizar y proteger, en lo que concierne al tratamiento
de los datos personales, las libertades públicas y los derechos
fundamentales de las personas
físicas, y especialmente de su honor e intimidad personal y familiar.
Para ello se han establecido unos mecanismos de seguridad orientados
a garantizar la seguridad de los datos almacenados en diferentes
medios y limitar el uso de dichos datos a los fines previstos
y a posibilitar al titular de dichos datos (persona física) el
control de los mismos.
Esta Ley obliga a todas las personas, empresas y organismos, tanto
privados como públicos que dispongan de datos de carácter personal
a cumplir una serie de requisitos y aplicar determinadas medidas
de seguridad en función del tipo de datos que se posean.
Los principales datos sujetos a protección son:
- Identificativos
- Personales
- Académicos y
profesionales
- Comerciales
- Económicos
- Financieros
- Médicos
y de salud
- Etc.
Los datos relativos a ideología, afiliación sindical y política,
religión, creencias, origen racial, salud y vida sexual
gozan de una protección especial (Nivel Alto).
2.
PRINCIPALES OBLIGACIONES FORMALES
Del Responsable del Fichero
- El Responsable del Fichero deberá
comunicar a la APD por medio de la correspondiente inscripción,
la existencia de ficheros con datos personales y las posibles
modificaciones.
- Redactar el Documento
de Seguridad aplicable según el nivel de seguridad requerido
por los datos contenidos en el fichero. Aplicar su contenido
y mantenerlo actualizado a disposición de la APD.
Del Encargado del
Tratamiento
- Adoptar el mismo nivel de medidas
de seguridad que aplique
el Responsable del Fichero.
- Mantener secreto
profesional sobre los datos tratados.
- Suscribir un contrato con el Responsable de Fichero.
- A la finalización del contrato deberá destruir
o devolver al Responsable
del Fichero todos los soportes o documentos que contengan
algún tipo de dato personal objeto del tratamiento.
3.
MEDIDAS DE SEGURIDAD
El Reglamento que desarrolla
la LOPD obliga a la instalación y aplicación de determinadas medidas
de seguridad en función del tipos de datos manejados.
NIVEL BÁSICO
Todos los ficheros
a los que no sean aplicables los niveles Medio y Alto deberán
adoptar las medidas de nivel Básico.
Medidas:
- El Documento de Seguridad deberá
recoger las funciones y obligaciones
de todas y cada una de las persona con acceso a los ficheros
protegidos.
- Deberá existir un Registro
de Incidencias y estar
definido el procedimiento a seguir cuando estas ocurran.
- Se deberá establecer un control
de acceso a
los sistemas que se utilicen para el tratamiento de dichos
ficheros que permita identificar a los usuarios del sistema
y que garantice el acceso solo a personas autorizadas.
- Se deberá de establecer un
sistema de gestión e inventario
de los soportes que contengan datos protegidos y de las copias
de seguridad.
NIVEL MEDIO
Se aplicará esta protección,
entre otros, a los ficheros que contengan datos relativos a
solvencia patrimonial, operaciones financieras y de crédito
y sanciones administrativas.
Además de las medidas
de Nivel Básico debe de incorporar las siguientes:
- Nombrar uno o diversos Responsables
de Seguridad
encargados de coordinar y controlar las medidas establecidas
en el documento de Seguridad.
- Cada dos años se deberá realizar
una Auditoria
informática.
- Se debe establecer un sistema
de seguridad
que identifique a los usuarios que intenten acceder a un fichero
protegido y limitar el número de intentos fallidos de acceso.
- Se limitará
el acceso a los locales donde esté ubicada la instalación
informática a las personas autorizadas.
- Se creará un registro
de entrada y salida
de soportes con contenidos protegidos.
NIVEL ALTO
Son las que se aplican
a los ficheros que contienen datos especialmente protegidos
como los relativos a ideología, afiliación sindical y política,
religión y creencias, origen racial, salud y vida sexual.
Además de las medidas
de Nivel Básico y Medio debe de incorporar:
- Medidas de seguridad en el
transporte que eviten el acceso o recuperación de los datos.
- Creación de un Registro
de Acceso de las personas autorizadas que deberá de conservarse
al menos durante dos años.
- Las copias se guardaran en un local diferente al de donde esté ubicada
la instalación informática.
- El envío de datos por medios telemáticos se realizará de forma
cifrada
o por medios que garanticen
la ininteligibilidad e impidan cualquier manipulación.
4.
PLAZOS DE IMPLANTACION
-
Medidas de
seguridad de nivel básico
-
En
el caso de sistemas de información en funcionamiento a la
entrada en vigor del Reglamento de medidas de Seguridad con
datos personales a los que sea de aplicación el nivel básico
de seguridad, el plazo venció el 26 de Diciembre de 1999.
-
-
Medidas de
seguridad de nivel medio:
-
El plazo para
su implantación en sistemas en funcionamiento venció el 26
de Diciembre de 2000.
-
-
Medidas de
seguridad de nivel alto:
-
En un primer momento el plazo para su implantación
en sistemas en funcionamientos vencía el 26 de Junio de 2001
pero se ha visto prorrogado hasta el 26 de Junio
de 2002
-
-
Implantación
de las medidas de seguridad en sistemas nuevos:
-
A partir del 26
de junio de 1999
todo sistema informático que se ponga en funcionamiento por
primera vez debe de incorporar las medidas de seguridad que
le correspondan.
5.
INFRACCIONES Y SANCIONES
El régimen de sanciones previstas para las infracciones de acción
u omisión es muy alto y puede llegar hasta los 601.012, 10
E (Cien millones de pesetas)
Por ejemplo no
declarar la tenencia de
un fichero a la Agencia de Protección de Datos se considera una
falta leve que puede conllevar una sanción de 60.101,12 E (Diez
millones de pesetas)
Una cesión de datos sin consentimiento es una falta muy grave
que puede ser sancionada con hasta 601.012,10 E (Cien millones
de pesetas)
No disponer del Documento
de Seguridad y dejar de aplicar las medidas previstas en el mismo es una infracción
grave que puede ser sancionada con hasta 300.506,05 E (Cincuenta
millones de pesetas)
Leves:
100.000 a 10.000.000 ptas. (601,01 E a 60.101,21 E ) Prescribe
Graves: 10.000.001 a 50.000.000 ptas. ( 60.101,21
E a 300.506,05 E )
Muy Graves: 50.000.001 a 100.000.000 ptas. (300.506,05
E a 601.012,10 E )
La cuantía
de las sanciones se graduará atendiendo a la naturaleza de los
derechos personales afectados, al volumen de los tratamientos
efectuados, a los beneficios obtenidos, al grado de intencionalidad,
a la reincidencia, a los daños y perjuicios causados a las personas
interesadas y a terceras personas, y a cualquier otra circunstancia
que sea relevante para determinar el grado de antijuridicidad
y de culpabilidad presentes en la concreta actuación infractora.
En el caso de utilización
o cesión ilícita de datos que atenten contra los derechos fundamentales,
el Director de la A.P.D. podrá requerir a los responsables de
los ficheros, tanto públicos como privados, la cesación de la utilización o cesión ilícita de los datos. Si
se desatiende el requerimiento, se podrán inmovilizar
los ficheros mediante
resolución motivada.
Si desea más información,
escríbanos a
|