1. LOPD LEY ORGNICA DE PROTECCIN DE DATOS Autor: Santiago Galvn Snchez

2. Constitucin Espaola

... el artculo 18.4 de la Constitucin Espaola establece que la ley limitar el uso de la informtica para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos, para ello, se ha definido un marco legal dentro del que deben actuar las personas jurdicas o personas fsicas en el ejercicio de sus actividades profesionales.

3. Documentos relevantes

LEY ORGNICA 15/1999, de 13 de diciembre, deproteccin de datos de carcter personal .

4. REAL DECRETO 1720/2007, de 21 de diciembre, por el que se aprueba elReglamento de desarrollo de la Ley Orgnica15/1999, de 13 de diciembre, de proteccin de datos de carcter personal. 5. Gua de seguridadpublicada por la Agencia Espaola de Proteccin de datos. 6. LOPD

Tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades pblicas y los derechos fundamentales de las personas fsicas, y especialmente de su honor e intimidad personal y familiar.

7. Comprende por tanto el tratamiento automatizado y el no automatizado de los datos de carcter personal. 8. LODP

La actual Ley Orgnica 15/1999, de 13 de diciembre de Proteccin de datos de carcter personal adapt nuestro ordenamiento a lo dispuesto por la Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995, relativa a la proteccin de las personas fsicas en lo que respecta al tratamiento de datos personales y a la libre circulacin de estos datos,

9. derogando a su vez la hasta entonces vigente Ley Orgnica 5/1992, de 29 de octubre, de Regulacin del tratamiento automatizado de datos de carcter personal. 10. Derechos de las personas

Qu derechos tenemos con respecto a nuestra informacin personal que tiene registrada otras personas?

Acceso.

11. Rectificacin 12. Cancelacin 13. Oposicin 14. Derecho de acceso

El derecho de acceso es el derecho del afectado a obtener informacin sobre si sus propios datos de carcter personal estn siendo objeto de tratamiento, la finalidad del tratamiento que, en su caso, se est realizando, as como la informacin disponible sobre el origen de dichos datos y las comunicaciones realizadas o previstas de los mismos.

15. En virtud del derecho de acceso el afectado podr obtener del responsable del tratamiento informacin relativa a datos concretos, a datos incluidos en un determinado fichero, o a la totalidad de sus datos sometidos a tratamiento. 16. Derechos de rectificacin y cancelacin

Elderecho de rectificacines el derecho del afectado a que se modifiquen los datos que resulten ser inexactos o incompletos.

17. El ejercicio delderecho de cancelacindar lugar a que se supriman los datos que resulten ser inadecuados o excesivos, sin perjuicio del deber de bloqueo conforme al reglamento. 18. Derecho de oposicin

El derecho de oposicin es el derecho del afectado a que no se lleve a cabo el tratamiento de sus datos de carcter personal o se cese en el mismo en los siguientes supuestos:

Cuando no sea necesario su consentimiento para el tratamiento, como consecuencia de la concurrencia de un motivo legtimo y fundado, referido a su concreta situacin personal, que lo justifique, siempre que una Ley, no disponga lo contrario.

19. Cuando se trate de ficheros que tengan por finalidad la realizacin de actividades de publicidad y prospeccin comercial, en los trminos previstos en el artculo 51de este reglamento, cualquiera que sea la empresa responsable de su creacin 20. Cuando el tratamiento tenga por finalidad la adopcin de una decisin referida al afectado y basada nicamente en un tratamiento automatizado de sus datos de carcter personal, en los trminos previstos en el artculo 36 de este reglamento. 21. Definiciones

Datos de carcter personal : Cualquier informacin concerniente a personas fsicasidentificadasoidentificables .

22. Persona identificable : toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier informacin referida a su identidad fsica, fisiolgica, psquica, econmica, cultural o social.

Una persona fsica no se considerar identificable si dicha identificacin requiere plazos o actividades desproporcionados.

23. Definiciones

Responsable del fichero o tratamiento : Persona fsica o jurdica, de naturaleza pblica o privada, u rgano administrativo, quedecida sobre la finalidad, contenido y uso del tratamiento .

24. Responsable de seguridad:persona o personas a las que el responsable del fichero ha asignado formalmente lafuncin de coordinar y controlar las medidas de seguridad aplicables . 25. LOPD - Obligacin

El responsable del fichero, y, en su caso, el encargado del tratamiento,

debern adoptar las medidas de ndole tcnica y organizativas necesarias quegaranticen la seguridad de los datos de carcter personal y eviten su alteracin, prdida, tratamiento o acceso no autorizado ,

26. habida cuenta del estado de la tecnologa, la naturaleza de los datos almacenados y los riesgos a que estn expuestos, ya provengan de la accin humana o del medio fsico o natural. 27. LOPD - Exigencia

No se registrarn datos de carcter personal en ficheros que no renan las condiciones que se determinen por va reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas.

28. Agencia de proteccin de datos

... es un Ente de Derecho Pblico, con personalidad jurdica propia y plena capacidad pblica y privada. Acta con plena independencia de las Administraciones Pblicas en el ejercicio de sus funciones.

29. Su finalidad principal es velar por el cumplimiento de la legislacin sobre proteccin de datos personales y controlar su aplicacin, en especial en lo relativo a los derechos de informacin, acceso, oposicin, rectificacin y cancelacin de datos. 30. LOPD - Sanciones econmicas LEVES Multa de 601,01 a 60.101,21 (100.000 a 10.000.000 pesetas) GRAVES Multa de 60.101,21 a 300.506,05 (10.000.000 a 50.000.000 pesetas) MUY GRAVES Multa de 300.506,05 a 601.012,10 (50.000.000a 100.000.000 pesetas) 31. LOPD - Infracciones

Las infracciones se agrupan en el artculo 44 y 47 de la LOPD dentro del Ttulo VII que lleva por nombre Infracciones y Sanciones.

32. La LOPD distingue tres tipos de infracciones:

Leves

33. Graves 34. muy graves. 35. Infracciones Leves

La prescripcin de las infracciones leves es deun aodesde que se comete el hecho supuestamente infractor.

36. Las infracciones leves son las siguientes:

No atender la solicitud de rectificacin o cancelacin.

37. No facilitar a la Agencia de Proteccin de Datos la informacin que sta solicite. 38. No solicitar la inscripcin de un fichero con datos personales. 39. Recoger datos personales contraviniendo el derecho de informacin en la recogida de datos (artculo 5 LOPD). 40. Incumplir el deber de secreto recogido en el artculo 10 de la LOPD. 41. Infracciones graves I

La prescripcin de las infracciones graves es dedos aosdesde que se comete el hecho supuestamente infractor.

42. Las infracciones graves son las siguientes:

Crear un fichero de titularidad pblica o proceder a la recogida de datos personales sin autorizacin de disposicin general publicada en un Boletn Oficial.

43. Crear un fichero de titularidad privada o proceder a la recogida de datos con una finalidad distinta al objeto legtimo de la entidad que los recaba. 44. Recoger datos sin el consentimiento expreso de los afectados (siempre y cuando este sea exigible). 45. Tratar los datos personales en contra de los principios y las garantas recogidos en la LOPD. 46. Infracciones graves II

• El impedimento del ejercicio de los derechos de acceso o de oposicin y la negativa a facilitar la informacin requerida.

47. Mantener los datos de forma inexacta o no efectuar las rectificaciones o cancelaciones de los datos cuando legalmente haya que realizarlas.

48. Infringir del deber de secreto sobre datos de nivel medio atenuado o de nivel medio (segn el Reglamento de Seguridad). 49. No implantar las medidas que se correspondan segn el Reglamento de Seguridad. 50. Infracciones graves III

• No remitir a la Agencia de Proteccin de Datos las notificaciones que sean solicitadas o no proporcionarlas en el plazo requerido.

51. La obstruccin del ejercicio de la funcin inspectora de la Agencia de Proteccin de Datos.

52. No inscribir el fichero en el Registro General de Proteccin de Datos, cuando sea requerido por el director de la Agencia de Proteccin de Datos. 53. Incumplir el deber de informacin cuando los datos hayan sido recabados de persona distinta del afectado. 54. Infracciones muy graves I

La prescripcin de las infracciones muy graves es detres aosdesde que se comete el hecho supuestamente infractor.

55. Las infracciones muy graves son las siguientes:

Recoger datos personales de forma engaosa y fraudulenta.

56. Ceder datos personales fuera de los casos en los que est permitido. 57. Infracciones muy graves II

• Recabar y tratar datos especialmente protegidos sin el consentimiento expreso del afectado, cuando no lo disponga una ley o cuando se recaben con la nica finalidad de poseer este tipo de datos.

58. No cesar en el uso ilegtimo de un tratamiento de datos personal cuando as sea requerido por el director de la Agencia de Proteccin de Datos.

59. No recabar la autorizacin del director de la Agencia de Proteccin de Datos para realizar una transferencia internacional de datos cuando aquella sea necesaria. 60. Infracciones muy graves III

• Tratar los datos personales de manera ilegtima o contra los principios y las garantas aplicables, siempre que ello impida o vaya en contra de derechos fundamentales.

61. Vulnerar el deber de secreto (artculo 10 de la LOPD) de los datos especialmente protegidos.

62. No atender u obstaculizar sistemticamente el ejercicio de los derechos de acceso, rectificacin, cancelacin u oposicin. 63. No atender sistemticamente el derecho de informacin en la recogida de datos personales. 64. LOPD Niveles de seguridad

Las medidas de seguridad exigibles a los ficheros y tratamientos se clasifican en tres niveles: bsico, medio y alto.

65. Las medidas de un nivel incluyen las medidas de los niveles inferiores. MedidasNivel bsico Medidas Nivel Medio Medidas Nivel Alto 66. Niveles de seguridad Nivel alto

Ficheros o tratamientos con datos:

de ideologa, afiliacin sindical, religin, creencias, origen racial, salud o vida sexual y respecto de los que no se prevea la posibilidad de adoptar el nivel bsico;

67. recabados con fines policiales sin consentimiento de las personas afectadas; y 68. derivados de actos de violencia de gnero. 69. Niveles de seguridad Nivel medio

Ficheros o tratamientos con datos:

relativos a la comisin de infracciones administrativas o penales;

70. que se rijan por el artculo 29 de la LOPD (prestacin de servicios de solvencia patrimonial y crdito); 71. de Administraciones tributarias, y que se relacionen con el ejercicio de sus potestades tributarias; 72. de entidades financieras para las finalidades relacionadas con la prestacin de servicios financieros; 73. de Entidades Gestoras y Servicios Comunes de Seguridad Social, que se relacionen con el ejercicio de sus competencias; 74. de mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social; 75. que ofrezcan una definicin de la personalidad y permitan evaluar determinados aspectos de la misma o del comportamiento de las personas; y 76. de los operadores de comunicaciones electrnicas, respecto de los datos de trfico y localizacin 77. Niveles de seguridad Nivel bsico

Cualquier otro fichero que contenga datos de carcter personal.

78. Tambin aquellos ficheros que contengan datos de ideologa, afiliacin sindical, religin, creencias, salud, origen racial o vida sexual, cuando:

los datos se utilicen con la nica finalidad de realizar una transferencia dineraria a entidades de las que los afectados sean asociados o miembros;

79. se trate de ficheros o tratamientos no automatizados o sean tratamientos manuales de estos tipos de datos de forma incidental o accesoria, que no guarden relacin con la finalidad del fichero; 80. en los ficheros o tratamientos que contengan datos de salud, que se refieran exclusivamente al grado o condicin de discapacidad o la simple declaracin de invalidez, con motivo del cumplimiento de deberes pblicos. 81. Medidas a aplicar I Incidencia : cualquier anomala que afecte o pudiera afectar a la seguridad de los datos. 82. Medidas a aplicar II Autenticacin : procedimiento de comprobacin de la identidad de un usuario. Identificacin : procedimiento de reconocimiento de la identidad de un usuario. Control de acceso:mecanismo que en funcin de la identificacin ya autenticada permite acceder a datos o recursos. 83. Medidas a aplicar III Copia de respaldo : copia de los datos de un fichero automatizado en un soporte que posibilite su recuperacin. 84. Medidas a aplicar IV 85. Medidas a aplicar V 86. Medidas a aplicar VI 87. Medidas a aplicar VII

Los accesos a travs de redes de telecomunicaciones deben garantizar un nivel de seguridad equivalente al de los accesos en modo local.

88. La ejecucin de trabajos fuera de los locales del responsable o del encargado del tratamiento debe ser previamente autorizada por el responsable del fichero, constando en el documento de seguridad, y garantizar el nivel de seguridad. 89. Los ficheros temporales debern cumplir el nivel de seguridad correspondiente y sern borrados una vez que hayan dejado de ser necesarios. 90. Acceso facilitado a un encargado del tratamiento deber constar en el documento de seguridad y deber comprometerse al cumplimiento de las medidas de seguridad previstas. 91. Documento de seguridad

El documento de seguridad es un documento interno de la organizacin , que debe mantenerse siempre actualizado.

92. Disponer del documento de seguridad es una obligacinpara todos los responsables de ficheros y, en su caso, para los encargados del tratamiento, con independencia del nivel de seguridad que sea necesario aplicar. 93. Apartados mnimos del documento de seguridad

mbito de aplicacin: especificacin detallada de los recursos protegidos.

94. Medidas, normas, procedimientos, reglas y estndares de seguridad. 95. Funciones y obligaciones del personal. 96. Estructura y descripcin de los ficheros y sistemas de informacin. 97. Procedimiento de notificacin, gestin y respuesta ante incidencias. 98. Procedimiento de copias de respaldo y recuperacin de datos. 99. Medidas adoptadas en el transporte, destruccin y/o reutilizacin de soportes y documentos. 100. Apartados mnimos del documento de seguridad

A partir del nivel medio de medidas de seguridad, adems de los apartados anteriores, debern incluirse los siguientes:

Identificacin del responsable de seguridad.

101. Control peridico del cumplimiento del documento 102. Elaboracin del documento de seguridad

La Agencia de Proteccin de Datos ha publicado una gua de seguridad en donde se adjunta una plantilla para la redaccin del documento de seguridad.

103. LOPD en la enseanza reglada no universitaria

PLAN SECTORIAL DE OFICIO A LA ENSEANZA REGLADA NO UNIVERSITARIA

104. Referencias

LEY ORGNICA 15/1999, de 13 de diciembre, deproteccin de datos de carcter personal .

105. REAL DECRETO 1720/2007, de 21 de diciembre, por el que se aprueba elReglamento de desarrollo de la Ley Orgnica15/1999, de 13 de diciembre, de proteccin de datos de carcter personal. 106. Gua de seguridadpublicada por la Agencia Espaola de Proteccin de datos. 107. La proteccin de datos personales. Microsoft. 108. LOPD. Ecomputer.