1. INTRODUCCION

          La Ley Orgánica de Protección de Datos de Carácter Personal (LOPD) 15/1999 de 13 de Diciembre, y demás normas de desarrollo, tienen por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar. Para ello se han establecido unos mecanismos de seguridad orientados a garantizar la seguridad de los datos almacenados en diferentes medios y limitar el uso de dichos datos a los fines previstos y a posibilitar al titular de dichos datos (persona física) el control de los mismos.

          Esta Ley obliga a todas las personas, empresas y organismos, tanto privados como públicos que dispongan de datos de carácter personal a cumplir una serie de requisitos y aplicar determinadas medidas de seguridad en función del tipo de datos que se posean.

          Los principales datos sujetos a protección son:

  • Identificativos
  • Personales
  • Académicos y profesionales
  • Comerciales
  • Económicos
  • Financieros
  • Médicos y de salud
  • Etc.

          Los datos relativos a ideología, afiliación sindical y política, religión, creencias, origen racial, salud y vida sexual gozan de una protección especial (Nivel Alto).

 2. PRINCIPALES OBLIGACIONES FORMALES


Del Responsable del Fichero

  • El Responsable del Fichero deberá comunicar a la APD por medio de la correspondiente inscripción, la existencia de ficheros con datos personales y las posibles modificaciones.
  • Redactar el Documento de Seguridad aplicable según el nivel de seguridad requerido por los datos contenidos en el fichero. Aplicar su contenido y mantenerlo actualizado a disposición de la APD.

Del Encargado del Tratamiento

  • Adoptar el mismo nivel de medidas de seguridad que aplique el Responsable del Fichero.
  • Mantener secreto profesional sobre los datos tratados.
  • Suscribir un contrato con el Responsable de Fichero.
  • A la finalización del contrato deberá destruir o devolver al Responsable del Fichero todos los soportes o documentos que contengan algún tipo de dato personal objeto del tratamiento.

3. MEDIDAS DE SEGURIDAD

         El Reglamento que desarrolla la LOPD obliga a la instalación y aplicación de determinadas medidas de seguridad en función del tipos de datos manejados.

NIVEL BÁSICO

 

Todos los ficheros a los que no sean aplicables los niveles Medio y Alto deberán adoptar las medidas de nivel Básico.

 

Medidas:

  • El Documento de Seguridad deberá recoger las funciones y obligaciones de todas y cada una de las persona con acceso a los ficheros protegidos.
  • Deberá existir un Registro de Incidencias y estar definido el procedimiento a seguir cuando estas ocurran.
  • Se deberá establecer un control de acceso a los sistemas que se utilicen para el tratamiento de dichos ficheros que permita identificar a los usuarios del sistema y que garantice el acceso solo a personas autorizadas.
  • Se deberá de establecer un sistema de gestión e inventario de los soportes que contengan datos protegidos y de las copias de seguridad.

NIVEL MEDIO

Se aplicará esta protección, entre otros, a los ficheros que contengan datos relativos a solvencia patrimonial, operaciones financieras y de crédito y sanciones administrativas.

 

Además de las medidas de Nivel Básico debe de incorporar las siguientes:

  • Nombrar uno o diversos Responsables de Seguridad encargados de coordinar y controlar las medidas establecidas en el documento de Seguridad.
  • Cada dos años se deberá realizar una Auditoria informática.
  • Se debe establecer un sistema de seguridad que identifique a los usuarios que intenten acceder a un fichero protegido y limitar el número de intentos fallidos de acceso.
  • Se limitará el acceso a los locales donde esté ubicada la instalación informática a las personas autorizadas.
  • Se creará un registro de entrada y salida de soportes con contenidos protegidos.

NIVEL ALTO

Son las que se aplican a los ficheros que contienen datos especialmente protegidos como los relativos a ideología, afiliación sindical y política, religión y creencias, origen racial, salud y vida sexual.

 

Además de las medidas de Nivel Básico y Medio debe de incorporar:

  • Medidas de seguridad en el transporte que eviten el acceso o recuperación de los datos.
  • Creación de un Registro de Acceso de las personas autorizadas que deberá de conservarse al menos durante dos años.
  • Las copias se guardaran en un local diferente al de donde esté ubicada la instalación informática.
  • El envío de datos por medios telemáticos se realizará de forma cifrada o por medios que garanticen la ininteligibilidad e impidan cualquier manipulación.

 4. PLAZOS DE IMPLANTACION

Medidas de seguridad de nivel básico
En el caso de sistemas de información en funcionamiento a la entrada en vigor del Reglamento de medidas de Seguridad con datos personales a los que sea de aplicación el nivel básico de seguridad, el plazo venció el 26 de Diciembre de 1999.
 
Medidas de seguridad de nivel medio:
El plazo para su implantación en sistemas en funcionamiento venció el 26 de Diciembre de 2000.
 
Medidas de seguridad de nivel alto:
En un primer momento el plazo para su implantación en sistemas en funcionamientos vencía el 26 de Junio de 2001 pero se ha visto prorrogado hasta el 26 de Junio de 2002
 
Implantación de las medidas de seguridad en sistemas nuevos:
A partir del 26 de junio de 1999 todo sistema informático que se ponga en funcionamiento por primera vez debe de incorporar las medidas de seguridad que le correspondan.

5. INFRACCIONES Y SANCIONES

          El régimen de sanciones previstas para las infracciones de acción u omisión es muy alto y puede llegar hasta los 601.012, 10 E (Cien millones de pesetas)

          Por ejemplo no declarar la tenencia de un fichero a la Agencia de Protección de Datos se considera una falta leve que puede conllevar una sanción de 60.101,12 E (Diez millones de pesetas)

          Una cesión de datos sin consentimiento es una falta muy grave que puede ser sancionada con hasta 601.012,10 E (Cien millones de pesetas)

          No disponer del Documento de Seguridad y dejar de aplicar las medidas previstas en el mismo es una infracción grave que puede ser sancionada con hasta 300.506,05 E (Cincuenta millones de pesetas)

Leves: 100.000 a 10.000.000 ptas. (601,01 E a 60.101,21 E ) Prescribe
Graves: 10.000.001 a 50.000.000 ptas. ( 60.101,21 E a 300.506,05 E )
Muy Graves: 50.000.001 a 100.000.000 ptas. (300.506,05 E a 601.012,10 E )

          La cuantía de las sanciones se graduará atendiendo a la naturaleza de los derechos personales afectados, al volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de intencionalidad, a la reincidencia, a los daños y perjuicios causados a las personas interesadas y a terceras personas, y a cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora.

          En el caso de utilización o cesión ilícita de datos que atenten contra los derechos fundamentales, el Director de la A.P.D. podrá requerir a los responsables de los ficheros, tanto públicos como privados, la cesación de la utilización o cesión ilícita de los datos. Si se desatiende el requerimiento, se podrán inmovilizar los ficheros mediante resolución motivada.


Si desea más información, escríbanos a lopd@igm.es