Libro Lopd V2 Alta

La protección dedatos personales:Soluciones enentornos Microsoft

II

La protección de datos personales: Soluciones en entornos MicrosoftPublicado por:

Microsoft Ibérica S.R.L.Centro Empresarial La FincaEdificio 1Paseo del Club Deportivo, 128223 Pozuelo de Alarcón – Madrid (España)

Copyright © 2009 Microsoft Ibérica Unipersonal S.R.L.

Aviso Legal:

Los autores, colaboradores, organismos públicos y empresas mencionadas en este libro,no se hacen responsables de que lo contenido en este libro garantice el total cumpli-miento de los requisitos establecidos en la legislación española sobre protección dedatos personales. Este libro única y exclusivamente posee un propósito informativo enrelación con la legislación española sobre protección de datos de carácter personal.

La información sobre los productos de Microsoft representa la visión que los autores,colaboradores y empresas mencionadas en este libro tienen sobre los mismos, por loque no otorgan ninguna garantía, ni expresa ni implícita, en referencia a la informaciónincluida en este libro sobre los mencionados productos.

Es responsabilidad del usuario el cumplimiento de toda la legislación sobre derechosde autor y protección de datos de carácter personal que sean aplicables. Sin limitar losderechos que se deriven sobre propiedad intelectual, ninguna parte de este documentopuede ser reproducida, almacenada, ni introducida en ningún sistema de recuperación,ni transmitida de ninguna forma, ni por ningún medio, ya sea electrónico, mecánicopor fotocopia, grabación o de otro tipo, con ningún propósito, sin la autorización porescrito de los titulares de los derechos de propiedad intelectual de este libro. Quedanreservados todos los derechos.

Los nombres de las compañías y productos reales aquí mencionados pueden sermarcas comerciales de sus respectivos propietarios.

EJEMPLAR GRATUITO. PROHIBIDA SU VENTA.

Depósito Legal: M-14799-2009

Coordinador Editorial: Héctor Sánchez Montenegro

Diseño y maquetación: José Manual Díaz. Newcomlab S.L.L.

Revisión técnica: Newcomlab S.L.L.

Imprime:

Impreso en España – Printed in Spain

Realizado en papel reciclado.

III

Prólogo de María Garaña

El derecho a la intimidad resulta tan irrenunciable como cualquier otro de losderechos que nos asisten en nuestra Constitución. Su valor ya se encuentra recono-cido en el artículo 12 de la Declaración Universal de los Derechos Humanos (1944),así como en el artículo 18 de La Constitución Española, donde se recoge literalmen-te: “Se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia ima-gen”… “La Ley limitará el uso de la informática para garantizar el honor y la intimidadpersonal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”.

Sin perdernos en demasiados tecnicismos, el concepto de intimidad yprivacidad, quizá sea de los más cercanos a nuestra experiencia y sentimiento.Especialmente cuando es vulnerado nuestro derecho a poder excluir a las demáspersonas del conocimiento de nuestra vida personal, de nuestros sentimientos, denuestras emociones, de nuestros datos biográficos y personales etc. Así como elderecho a controlar el quién, cuándo y cómo puede tener acceso a estos aspectos dela vida personal de cada uno.

El tratamiento automatizado y masivo de datos constituye un pilar de laSociedad del Conocimiento, sobre la cual se ha cimentado el progreso de nuestrasempresas, de nuestras administraciones, e incluso de nuestro propio desarrollocomo individuos del siglo XXI. Pero es evidente que la facilidad inherente al trata-miento automatizado de datos requiere una especial atención que asegure la protec-ción efectiva de nuestro derecho a la intimidad. En este sentido, la legislaciónespecífica sobre Protección de Datos es la que establece los límites y condicionespara su tratamiento.

El presente libro, aunque de carácter divulgativo, está dirigido a los responsa-bles técnicos de empresas y administraciones, así como a los responsables de aplicarlas salvaguardas y procesos contemplados en el Reglamento de la LOPD para elmanejo de los datos de carácter personal de sus clientes, empleados, socios, etc... Ellibro busca su hueco en esa zona intermedia en la que necesitamos aplicar congarantías una serie de medidas técnicas, dictadas por un reglamento jurídico, perotrasladables al mundo real en la forma de conocimiento tecnológico.

Es por ello por lo que la guía toma como hilo conductor todos y cada uno delos artículos contemplados en el reglamento de la LOPD, con transcendencia en elámbito de las Tecnologías de la Información, para a continuación comentarlos deforma sencilla y detallar cual sería la configuración o recomendación técnica másadecuada para su cumplimiento desde la perspectiva de la tecnología Microsoft.

Aun reconociendo la naturaleza eminentemente técnica del manual, no deja deser una auténtica delicia el navegar por sus páginas de contenido reglamentario,que de forma amena y clara presenta con sencillez los conceptos más básicos ydelicados del reglamento.

La estructura del libro, aun manteniendo dos partes claramente diferenciadas(jurídica y técnica), establece un permanente vínculo entre ambas, y es en ese nexoprecisamente donde reside el principal valor para los responsables técnicos de

IV

La protección de datos personales: Soluciones en entornos Microsoft

aplicar las medidas del reglamento para los datos almacenados utilizando softwarede Microsoft.

Tenemos la esperanza que, este manual, en su segunda edición, sirva parafacilitar a los responsables de Seguridad/Privacidad/Sistemas, el cumplimiento delos aspectos tecnológicos derivados del cumplimiento de la Ley, así como servir devehículo de difusión de un conocimiento importante como es el relativo a nuestrosderechos y obligaciones en materia de Protección de Datos. Es un ejemplo más delcompromiso incuestionable de Microsoft por colaborar, decidida y eficazmente, conla administración española en el desarrollo de la Sociedad del Conocimiento ennuestro país.

María Garaña

Presidenta de Microsoft Ibérica S.R.L.

V

Prólogo de Artemi Rallo

Como Director de la Agencia Española de Protección de Datos, instituciónpública independiente, cuya labor primordial es la de velar por el cumplimiento dela normativa de protección de datos de carácter personal, supone para mí unaenorme satisfacción poder presentar este libro, “La Protección de Datos Personales:soluciones en entornos Microsoft”, fruto de los trabajos realizados por entidades dela talla de Microsoft, Helas Consultores, IPSCA, Informática64 y Red.es.

Debemos destacar el objetivo primordial que pretende conseguir una obracomo la que en estos momentos se edita y que viene a reforzar la labor de difusión ydivulgación del derecho fundamental a la protección de datos de carácter personalen nuestro país.

El libro que tengo la oportunidad de prologar, una vez adaptado a la normati-va vigente en materia de protección de datos personales debe, sin lugar a dudas,convertirse en una guía de consulta, no sólo para los responsables de ficheros ytratamientos de datos personales sino también para los posibles encargados detratamientos que pudieran contratarse como consecuencia de la necesaria presta-ción de un servicio determinado, tanto en el ámbito privado como público y que elpropio RLOPD regula de manera muy detallada en su articulado.

Los conceptos mencionados en este libro y las obligaciones que todo responsa-ble de un fichero o tratamiento deben cumplir dentro del marco de la protección dedatos personales, analizados de una forma muy detallada a lo largo del mismo,pretenden aportar una claridad y una seguridad jurídica valiosa a la hora de inter-pretar la normativa vigente. Sin lugar a dudas, la lectura del presente texto debeservir para resolver gran parte de las posibles dudas que pudieran tener los respon-sables de ficheros o tratamientos al interpretar las normas concernientes a la protec-ción de datos de carácter personal.

Principios como la calidad de los datos, la información previa que ha de serprestada al titular de los datos para recabar su consentimiento, el deber de secreto,la seguridad de los datos recabados, la proporcionalidad que debe regir acorde conla finalidad que justifica la recogida de la información personal o la veracidad yexactitud de los datos personales tratados, son principios que han de ser respetadosy considerados como una de las piedras angulares de la materia que nos ocupa.

El reconocimiento de los derechos ARCO (acceso, rectificación, cancelación yoposición) en relación con el tratamiento de datos de carácter personal es uno de lospilares fundamentales de la protección de datos personales, sin duda muy vincula-do al deber de información que en ocasiones los responsables de ficheros y trata-mientos no cumplen con la minuciosidad que establece la Ley.

Junto a la aplicación de los aspectos mencionados, los responsables de ficherosy tratamientos de datos personales deberán tener en cuenta las obligaciones relacio-nadas con la implementación de medidas de seguridad de índole técnica yorganizativa acordes con la información personal gestionada tanto en soportes

VI


automatizados como no automatizados y que de manera muy detallada regula elRLOPD.

Otras cuestiones, como la autorregulación o los movimientos internacionalesde datos, cuya ejecución requieren de la autorización previa del Director de laAgencia Española de Protección de Datos, salvo que se destinen a países queproporcionen un nivel adecuado de protección o se trate de los supuestosexcepcionados que la propia LOPD establece, deberán igualmente ser tenidas encuenta por los responsables de ficheros y tratamientos que pudieran verseinvolucrados en alguna de estas situaciones.

El presente libro hace alusión a los diferentes procedimientos que la AgenciaEspañola de Protección de Datos tramita y que el RD 1720/2007, de desarrollo de laLOPD, regula de manera muy detallada en relación con la notificación de losficheros y tratamientos por parte de sus responsables, los vinculados a la tutela delejercicio de los derechos ARCO, los posibles procedimientos sancionadores quepudieran iniciarse con motivo de la comisión de las infracciones tipificadas en laLOPD, así como otros procedimientos relacionados con la inscripción de códigostipo, las solicitudes de autorización para realizar una transferencia internacional dedatos y otros procedimientos más excepcionales relacionados con el deber deinformar y la conservación de datos para fines específicos (históricos, estadísticos ocientíficos).

El alto nivel de competencia que rige en determinados sectores del ámbitoempresarial no debe ser, de ninguna manera, una licencia que permita olvidar laexistencia de una información personal que, salvo las excepciones que la propia Leyestablece, son los propios titulares de esos datos personales quienes deben decidir eluso, las aplicaciones, cesiones y finalidades que se les puede dar a los mismos.

La actuación empresarial, conforme a lo regulado en la Ley, debe interpretarsecomo un valor añadido para la empresa y para su imagen, aportando una mayorcalidad y una mejor gestión de sus recursos y, en ningún caso, el cumplimiento de lanormativa vigente debe entenderse como un obstáculo de difícil superación.

La entidades e instituciones a las que va dirigida la normativa de protección dedatos no sólo deben colaborar en la defensa de los derechos de los ciudadanos, sinoque además deben ser conscientes de que el cumplimiento de la Ley redundará enuna mayor seguridad propia, de sus sistemas, de la información que registren, enocasiones muy valiosa y cuya pérdida puede suponer una secuencia irreparable dedaños económicos de gran envergadura.

Por todo ello, la implementación de medidas de seguridad, de carácter técnicoy organizativo, acorde con la información gestionada, debe ser una prioridad y unprocedimiento incorporado al quehacer diario del ámbito empresarial.

La aplicación de las nuevas tecnologías, en la sociedad en la que nos encontra-mos inmersos, debe tener en cuenta la existencia de distintas modalidades detratamiento de la información personal que permitan identificar a una personafísica, en todas sus variantes (dato identificativo, imagen, fotografía, datobiométrico, voz, etc.).

VII

Debemos ser conscientes de que en muchas ocasiones el incumplimiento de laLey se debe a una falta de conocimiento y de información de las normas, derechos yprocedimientos existentes.

He de destacar que la Agencia Española de Protección de Datos, como autori-dad garante de este derecho fundamental, apoyará siempre iniciativas como la queen esta ocasión han impulsado entidades como Microsoft, Helas Consultores, IPSCAy Red.es, que avanzan en el camino de una mayor concienciación y difusión de lanormativa de protección de datos de carácter personal, siempre desde la perspecti-va de la prevención e información.

Artemi Rallo

Director de la Agencia Española de Protección de Datos

VIII


Prólogo de Sebastián Muriel

Actualmente asistimos a un cambio del uso social de la tecnología sin prece-dentes en la historia de la humanidad. Sería difícil tratar de entender este repentinoaumento de la permeabilidad social hacia lo tecnificado, sin la ubicua presencia delas tecnologías de la información y de las comunicaciones (TIC) y de todos losservicios asociados a las mismas, hasta el punto de que lo que distingue a laseconomías avanzadas de las economías emergentes, es la intensidad en el uso deestas tecnologías.

Gracias a importantes logros como el Plan Avanza, puesto en marcha por laSecretaría de Estado de Telecomunicaciones y para la Sociedad de la Información en2005, se puede decir que España está ya en posición de liderazgo en muchos de losindicadores que miden el uso de las TIC.

Un uso que es creciente en todas las actividades y áreas que se nos puedanocurrir: en el plano profesional, en la esfera del ocio (cada vez más interactivo y másdigital, donde los contenidos digitales y las redes sociales juegan un papel cada vezmás relevante), en las maneras de acceder a las noticias y a la información en losmedios de comunicación, en la educación, en la sanidad, en la relación de losciudadanos y empresas con las diferentes administraciones, pero además, sobretodo, en las maneras de relacionarnos unos con otros, con nuestras familias, amigosy conocidos.

Es evidente que éste es el camino y que los esfuerzos realizados suponen unaventaja comparativa como país. En este entorno es importante educar y sensibilizara los usuarios en el buen uso de las TIC.

Porque la creciente expansión del mundo digital conlleva un reto a la gestiónadecuada de la privacidad. Por eso estoy convencido de que iniciativas como lasegunda edición de este manual realizado por Microsoft, van a servir, gracias a sucarácter divulgativo, a mejorar el cumplimiento de la LOPD y que derivará enbeneficios y ventajas de inmenso valor para la empresa y Administraciones Públi-cas, además de concienciar a todos los sectores (empresas, administraciones) y a losusuarios, especialmente a los más jóvenes, de que los datos personales son un bienque debe protegerse y, por ello, deben establecerse procedimientos, normas ymedidas para conseguir tal fin.

Sebastián Muriel.

Director General de red.es.

Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información

IX

Autores

El coordinador de los contenidos de esta obra es Héctor Sánchez Montenegro,National Technology Officer de Microsoft Ibérica, y los autores de este libro son:

José María Alonso Cebrián de Informática 64, Microsoft MVP en el área deSeguridad.

Juan Luís García Rambla de Informática 64, Microsoft MVP en el área deSeguridad.

Antonio Soto. Director de Solid Quality.

David Suz Pérez. Consultor de Microsoft Ibérica.

José Helguero Sainz. Director General de Helas Consultores. Economista.Miembro de la Comisión de Seguridad de ASIMELEC.

María Estrella Blanco Patiño, Responsable de publicaciones de Helas Consul-tores.

Miguel Vega Martín, Director de Marketing de IPS Certification Authority.Miembro de la Comisión de Seguridad de ASIMELEC.

Héctor Sánchez Montenegro. National Technology Officer de MicrosoftIbérica.

X


Agradecimientos

Los autores quieren agradecer a las siguientes personas, quienes sin su inesti-mable colaboración, hubiera resultado mucho más difícil la edición de este libro:

Dña. María Garaña, Presidenta de Microsoft Ibérica. D. Artemi Rallo, Director de la Agencia de Protección de Datos Española. D. Sebastián Muriel, Director General de Red.es. D. Alberto Amescua de Microsoft Ibérica, programa Technet. D Fernando Bocigas de Microsoft Ibérica. Dña. Barbara Olagaray de Microsoft Ibérica. D. Luis Miguel García de la Oliva de Microsoft Ibérica. D. Francisco Camina Álvarez. Gerente de Soluciones de Microsoft Ibérica. D. Fernando García Varela. Director Comercial de Industria. De Microsoft

Ibérica. D. Rodolfo Lomascolo Szittyay, Director General de IPS Certification

Authority, S.L. D. Ignacio de Bustos Martín, Director General de Newcomlab S.L.L. D. Manuel Sánchez Chumillas de Informática64. Los técnicos de la “guarida del sótano” de Informática64. Dña. María Martín Pardo de Vera, Responsable del Departamento de

Consultoría de Helas Consultores. Dña. Carmen de Prada Hernández, Responsable del Departamento de

Instituciones de Helas Consultores. Dña. María de la Rica Ortega, Responsable del Departamento de

Auditoría de Helas Consultores. Dña. Cristina Palomino Dávila, Consultora senior en el Departamento de

Consultoría de Helas Consultores. D. Miguel Prieto Quintana, Director Comercial de Helas Consultores. D. María Rita Helguero Sainz, Directora de Administración de Helas

Consultores. Dña. Mónica Pujadó Coll, Directora Financiera de ipsCA. Dña. Vera Sánchez - Carpintero Rodríguez, Responsable de Marketing

Internacional ipsCA. Dña. Irene Corral López, Departamento Marketing ipsCA. Dña. Marta Corral López, Departamento Marketing ipsCA. D. Guillermo Alcázar, Departamento Marketing ipsCA. D. Alfonso Dominguez, Departamento Marketing ipsCA.

XI

Índice de contenidos

Introducción .............................................................................................. XVII

Parte I Legal ................................................................................................... 1

1. Breve historia de la protección de datos de carácter personal ..................... 31.1. La protección de datos personales, un derecho fundamental .............. 4

2. Legislación vigente ........................................................................................... 72.1. Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos

de Carácter Personal (LOPD) ................................................................. 72.2. Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el

Reglamento de Desarrollo de la Ley Orgánica 15/1999, de 13 dediciembre, de Protección de Datos de Carácter Personal (RLOPD) ..... 72.2.1. Plazos de adaptación ................................................................... 8

3. Datos de carácter personal ............................................................................. 113.1. Tipos de datos personales ..................................................................... 123.2. Novedades RLOPD en la aplicación de algunas medidas

de seguridad (Artículo 81.5 y 81.6) ...................................................... 143.3. Otros datos personales .......................................................................... 15

4. Obligaciones básicas ...................................................................................... 174.1. Con carácter previo a la recogida de los datos .................................... 17

4.1.1. La creación y notificación de ficheros ....................................... 174.1.2. La calidad de los datos ............................................................... 254.1.3. La información al interesado ..................................................... 264.1.4. El consentimiento del interesado .............................................. 32

4.2. Durante el tratamiento de los datos ..................................................... 374.2.1. La calidad de los datos ............................................................... 374.2.2. El deber de secreto ..................................................................... 384.2.3. La seguridad de los datos .......................................................... 394.2.4. La cesión de los datos ................................................................ 544.2.5. El acceso a datos por cuenta de terceros ................................... 564.2.6. Prestaciones de servicios sin acceso a datos personales .......... 604.2.7. La modificación de ficheros ....................................................... 614.2.8. Las transferencias internacionales de datos .............................. 61

4.3. Una vez finalizado el tratamiento ........................................................ 634.3.1. La cancelación y el bloqueo de los datos .................................. 634.3.2. La supresión de ficheros ............................................................ 63

XII


5. Los derechos de los titulares de los datos .................................................... 655.1. La impugnación de valoraciones ......................................................... 655.2. El derecho de consulta al Registro General de Protección de Datos .. 655.3. El derecho de indemnización ............................................................... 665.4. Los derechos ARCO .............................................................................. 66

5.4.1. El derecho de acceso .................................................................. 685.4.2. El derecho de rectificación ......................................................... 685.4.3. El derecho de oposición ............................................................. 695.4.4. El derecho de cancelación .......................................................... 70

5.5. La tutela de los derechos ...................................................................... 706. Tratamientos especiales ................................................................................. 73

6.1. Prestación de servicios de información sobre solvencia patrimonialy crédito ................................................................................................. 736.1.1. Requisitos para la inclusión de los datos .................................. 746.1.2. Información previa a la inclusión .............................................. 746.1.3. Notificación de la inclusión ....................................................... 746.1.4. Conservación de los datos ......................................................... 756.1.5. Acceso a la información contenida en el fichero ...................... 756.1.6. Responsabilidad ......................................................................... 756.1.7. Ejercicio de los derechos ARCO ................................................ 75

6.2. Tratamientos con fines de publicidad y de prospección comercial .... 766.2.1. Campañas publicitarias ............................................................. 776.2.2. Depuración de bases de datos ................................................... 776.2.3. Exclusión del envío de comunicaciones comerciales ............... 776.2.4. Ejercicio de derechos .................................................................. 78

6.3. Sistemas de videovigilancia ................................................................. 787. La autorregulación: los códigos tipo ............................................................. 81

7.1. Objeto de los códigos tipo .................................................................... 837.2. Naturaleza de los códigos tipo ............................................................. 837.3. Sujetos habilitados para la adopción de códigos tipo ......................... 837.4. Procedimiento para la elaboración de códigos tipo ............................ 847.5. Contenido de los códigos tipo .............................................................. 847.6. Ventajas derivadas de la creación de códigos tipo .............................. 877.7. Garantías del cumplimiento de los códigos tipo ................................. 887.8. Obligaciones posteriores a la inscripción del código tipo .................. 887.9. Códigos tipo inscritos ........................................................................... 89

XIII

8. Infracciones y sanciones ................................................................................ 958.1. Los responsables ................................................................................... 958.2. Las infracciones: tipos ........................................................................... 95

8.2.1. Leves ........................................................................................... 958.2.2. Graves ......................................................................................... 968.2.3. Muy graves ................................................................................. 97

8.3. Prescripción ........................................................................................... 988.4. La infracción continuada ...................................................................... 988.5. Las sanciones ......................................................................................... 99

8.5.1. Las sanciones en el sector privado ............................................ 998.5.2. Las sanciones en el sector público ........................................... 101

8.6. El procedimiento sancionador ........................................................... 1028.6.1. Procedimiento sancionador ..................................................... 1028.6.2. Procedimiento de tutela de derechos ...................................... 103

9. Los órganos de control ................................................................................. 1059.1. La Agencia Española de Protección de Datos (AEPD) ..................... 1059.2. Las agencias de protección de datos de las comunidades

autónomas ........................................................................................... 1079.2.1. Agencia de Protección de Datos de la Comunidad

de Madrid (APDCM) ............................................................... 1079.2.2. Agencia Catalana de Protecció de Dades (APDCAT) ............ 1079.2.3. Agencia Vasca de Protección de Datos (AVPD) ...................... 108

9.3. Conclusiones ....................................................................................... 108

Parte II Técnico ............................................................................................ 111

10. La seguridad en sistemas Microsoft ........................................................... 11310.1. TrustWorthy Computing (TWC). La estrategia de Microsoft ........... 11410.2. Soluciones seguras .............................................................................. 114

10.2.1.Seguridad en el diseño ............................................................. 11510.2.2.Seguridad predeterminada ...................................................... 11510.2.3.Seguridad en el despliegue ...................................................... 11610.2.4.Comunicación ........................................................................... 117

10.3. ¿Que se ha conseguido con TWC? ..................................................... 11710.3.1.Common Criteria ..................................................................... 11810.3.2.Evaluación de FIPS 140 (Federal Information Processing

Standard) ........................................................................................ 12010.3.3.Iniciativa de recursos compartidos ......................................... 121

XIV


10.3.4.Programa para la cooperación de la seguridad (SCP) ........... 12210.3.5.Seminarios de seguridad ......................................................... 122

11. La aplicación del reglamento de seguridad en los sistemas Microsoft ... 12311.1. Tecnología de seguridad en Microsoft Windows .............................. 12411.2. Tecnologías aplicables a medidas de nivel básico ............................. 125

11.2.1. Ficheros temporales ................................................................. 12611.2.2. Artículo 89. Funciones y obligaciones del personal ............... 12711.2.3. Artículo 90. Registro de incidencias ........................................ 13011.2.4. Artículo 91. Control de acceso (puntos 1 y 3) ......................... 13011.2.5. Artículo 91. Control de acceso (punto 2) ................................. 14511.2.6. Artículo 91. Control de acceso (puntos 4 y 5) ......................... 14611.2.7. Artículo 92. Gestión de soportes y documentos ..................... 14611.2.8. Artículo 93. Identificación y autenticación (puntos 1 y 2) ..... 15311.2.9. Artículo 93. Identificación y autenticación (punto 3) ............. 16511.2.10. Artículo 93. Identificación y autentificación (punto 4) ........ 16711.2.11. Artículo 94. Copias de respaldo y recuperación .................. 169

11.3. Tecnología aplicable a medidas de nivel medio ................................ 17411.3.1. Artículo 98. Identificación y autenticación ............................. 175

11.4. Tecnología aplicable a medidas de nivel alto .................................... 17611.4.1. Artículo 101. Gestión y distribución de soportes ................... 17711.4.2. Artículo 102. Copias de respaldo y recuperación ................... 17711.4.3. Artículo 103. Registro de accesos ............................................ 17811.4.4. Artículo 104. Telecomunicaciones ........................................... 21511.4.5. Confidencialidad en Exchange 2007 ....................................... 218

12. La aplicación del reglamento de seguridad en SQL Server ..................... 22312.1. Artículo 91. Control de acceso ............................................................ 22312.2. Artículo 93. Identificación y autenticación ........................................ 22512.3. Artículo 94. Copias de respaldo y recuperación ............................... 22612.4. Artículo 98. Identificación y autenticación ........................................ 22912.5. Artículo 101. Gestión y distribución de soportes .............................. 23012.6. Artículo 103. Registro de accesos ....................................................... 231

12.6.1.Auditoría en SQL Server 2008 ................................................. 23112.7. Artículo 104. Telecomunicaciones ...................................................... 232

13. Implementación de la LOPD sobre SQL Server (SQL Server 2005-2008) 23513.1. Introducción ........................................................................................ 23513.2. Objetivos del documento .................................................................... 23513.3. Ejemplo teórico ................................................................................... 236

XV

13.4. Requisitos ............................................................................................ 23713.5. Implementación .................................................................................. 238

13.5.1.Implementación del proceso de Registro de Accesos ............ 23813.5.2.Acceso a la información de Registro de Accesos .................... 24513.5.3.Recomendaciones en casos especiales .................................... 248

13.6. Rendimiento ........................................................................................ 24813.6.1.Sobrecarga del proceso de traza .............................................. 24813.6.2.Almacenamiento físico de los ficheros de traza ..................... 250

13.7. Nuevas características en SQL Server 2008 ....................................... 25113.8. Apéndices ............................................................................................ 252

13.8.1.Implementación de trazas sobre SQL Server 2005 ................. 25213.8.2.Posibilidades de Backup y Restore en SQL Server 2005 ........ 25313.8.3.Seguridad en SQL Server 2005 ................................................ 25313.8.4.Seguridad en SQL Server 2008 ................................................ 253

14. Política de seguridad .................................................................................... 25514.1. Introducción ........................................................................................ 25514.2. Fases fundamentales ........................................................................... 255

14.2.1.Fase 1. Organización y análisis ................................................ 25614.2.2.Fase 2. Desarrollo de un estudio sobre las necesidades

de privacidad ............................................................................ 25814.2.3.Fase 3. Evaluación de las necesidades tecnológicas para

la protección de la privacidad ................................................. 260

Parte III Anexos ............................................................................................. 263

Anexo A. Ley Orgánica 15/1999, de 13 de diciembre, de protecciónde datos de carácter personal ................................................................................. 265

Anexo B. Real decreto por el que se aprueba el reglamento de desarrollode la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos decarácter personal .................................................................................................... .. 295

Glosario de términos ........................................................................................... 383

XVI


I

XVII

El Tribunal Constitucional, en su sentencia 292/2000, define la Protección deDatos de Carácter Personal como el derecho fundamental que garantiza a todapersona “un poder de control sobre sus datos personales, sobre su uso y destino, con elpropósito de impedir su tráfico ilícito y lesivo para la dignidad y derecho del afectado”.

La automatización del tratamiento de datos, fruto de la aplicación y desarrollode la informática, proporciona numerosas ventajas, aumentando la productividad yla competitividad, tanto de las personas como de las empresas. Los beneficiossobrepasan con mucho los problemas que se derivan del tratamiento de datospersonales, pero debemos de poner límite al grado de intrusión en nuestra intimi-dad que las nuevas tecnologías pueden generar.

La legislación sobre protección de datos establece esos límites y, por ello, afectaa todas las empresas y organismos públicos de nuestro país, porque todos -enmayor o menor medida- manejan datos de carácter personal de personas físicas(empleados, clientes, proveedores, accionistas, colaboradores…). Así pues, todosellos deben adecuarse a la legislación actual sobre protección de datos contemplan-do una doble perspectiva: por un lado, el respeto a los derechos de los ciudadanos y,por otro, su funcionamiento interno y la seguridad de su información.

Hoy en día la actividad empresarial y pública no se concibe sin el apoyo de lainformática, ya que gracias a programas y aplicaciones (software) podemos manejarun gran volumen de datos. Por tanto, no son discutibles las enormes ventajas de lainformática. Sin embargo, también es cierto que ésta puede conllevar cierta peligro-sidad si se hace un mal uso de ella. Pensemos en la cantidad de información que sepuede obtener de una persona si miramos sus movimientos bancarios: podemossaber qué tipo de restaurantes le gustan, a qué tipo de colegio lleva a sus hijos,dónde va de vacaciones, sus gustos y aficiones, qué deporte practica, si es una

Introducción

XVIII


persona solvente, etc. Este conocimiento ordenado de los datos puede arrojar unperfil de la persona, que quizás ni ésta misma conoce, y que puede ser utilizado,favorable o desfavorablemente, para todo tipo de actividades, como es, por ejem-plo, la selección de personal. No debemos tampoco olvidar los ficheros y los trata-mientos en formato papel, que adquieren una especial importancia con el NuevoReglamento aprobado mediante el Real Decreto 1720/2007 (RLOPD).

Por ello, ha sido necesario establecer una serie de mecanismos que protejan alindividuo de este tipo de actuaciones. La legislación actual desarrolla una serie deobligaciones que las empresas deben cumplir, y el objetivo de este libro es describir-las y facilitar a los responsables de ficheros y tratamientos la comprensión y elalcance de dichas obligaciones.

Cualquier empresa o institución que tenga, mantenga, utilice o trate datos decarácter personal, en soporte informático o papel, se encuentra obligada al cumpli-miento de la normativa vigente en materia de protección de datos; por tanto, en lapráctica todas las empresas e instituciones.

Pero además debemos tener en cuenta que la normativa aplicable protege altitular de los datos en cada una de las fases que conlleva la utilización de los mis-mos en una empresa, y que son básicamente tres:

1. Con carácter previo a la recogida de los datos.

2. Durante el tratamiento de los datos.

3. Una vez finalizado el tratamiento.

Por tanto, podemos concluir que las obligaciones de las organizaciones no sereducen a un momento en concreto; sino que el cumplimiento con la legislación esun proceso permanente que afecta a la actividad que desarrollan de manera cons-tante.

Las preguntas que siempre se hace el responsable de los ficheros cuando se leplantea la necesidad de adecuar su organización a una nueva legislación son: ¿Québeneficio obtengo de esa adecuación?, ¿No es otra vez un gasto de dinero inútil? Elcaso de la Protección de Datos de Carácter Personal no es ajeno a este tipo depreguntas.

Como premisa importante hay que tener en cuenta que la adaptación a lalegislación en materia de Protección de Datos de Carácter Personal no es, en ningúncaso, un problema del departamento de Informática o de Sistemas. Para que unaempresa tenga éxito en dicha adaptación debe implicar a todos los departamentosde la compañía, y si este proceso se afronta únicamente como un problemainformático, el fracaso está asegurado.

Las cinco principales causas por las que una empresa debe adaptarse a lalegislación en materia de Protección de Datos de Carácter Personal son:

XIX

Introducción

1. Cumplir con la legislación vigente: la adecuación a la realidad normativaes cada vez más un requisito del mercado para llevar a buen fin nuestrosnegocios. Las administraciones públicas y nuestros clientes demandan elcumplimiento de la legislación vigente, y el cumplimiento en materia deProtección de Datos se está ya exigiendo como un requisito indispensableen grandes áreas de negocio (informática, publicidad, sanidad, etc.).

2. Evitar sanciones de la Agencia Española de Protección de Datos (AEPD):éstas, las más elevadas de la Unión Europea, varían desde los 601,01 a los601.012,10 €, como analizaremos más adelante en este libro.

3. Evitar el deterioro de la imagen pública: la publicación en prensa denoticias relacionadas con de la aparición en la vía pública de expedientesmédicos abandonados o de currículos con anotaciones xenófobas comoresultado de la selección de personal de un supermercado, causan unenorme perjuicio para los responsables de esos ficheros, que en muchasocasiones es mayor que la sanción impuesta posteriormente por la AEPD.

4. Gestionar la información en la empresa: la adaptación a la normativa enmateria de Protección de Datos ayuda a iniciar una gestión moderna de lainformación dentro de la empresa. La empresa española tiene en la gestiónde la información una asignatura pendiente y la implementación de lasnormas a que nos obliga la protección de datos es, en la mayoría de loscasos, el inicio de la concienciación y de la toma de medidas destinadas ala salvaguarda de uno de los mayores activos de la empresa moderna: lainformación.

5. Mejorar la gestión de la calidad: la integración de las medidas aimplementar en materia de protección de datos en todos los departamen-tos de la empresa, debe realizarse como un proceso de mejora de nuestrossistemas de trabajo, y nunca como una traba o impedimento. Concebir laprotección de datos como un proceso más dentro de la calidad de laempresa es vital para el éxito de nuestra adaptación a la LOPD y es porello que debemos implicar a las fuerzas vivas de la empresa (Dirección,Administración, Recursos Humanos, Marketing, Informática, Comercial,Calidad, etc.), y en especial debemos tener en cuenta el factor humano,donde la formación debe tener un papel muy relevante.

Parte I

Legal

1. Breve historia de la protección de datos de carácter personal 3

2. Legislación vigente 7

3. Datos de carácter personal 11

4. Obligaciones básicas 17

5. Los derechos de los titulares de los datos 65

6. Tratamientos especiales 73

7. La autorregulación: los códigos tipo 81

8. Infracciones y sanciones 95

9. Los órganos de control 105

2


3

La evolución de la informática, que ha facilitado la gestión masiva de lainformación relativa a las personas, ha supuesto que se genere un nuevo derecho delas personas a la protección de los datos de carácter personal, que se ha desarrolladoen un tiempo récord.

Antes de adentrarnos en la evolución de la protección de datos en nuestro país,debemos hacer referencia a tres importantes declaraciones internacionales en lasque se ha reconocido el derecho a la intimidad y a la protección de datos de carácterpersonal.

Como punto de partida, el artículo 12 de la Declaración Universal de DerechosHumanos1 establece lo siguiente:

“Nadie será objeto de injerencias arbitrarias en su vida privada, su familia, sudomicilio o su correspondencia, ni de ataques a su honra o reputación. Toda personatiene derecho a la protección de la ley contra tales injerencias o ataques”.

Dos años después, el Convenio Europeo para la Protección de los DerechosHumanos y Libertades Fundamentales del Consejo de Europa2 establece en suartículo 8:

“Toda persona tiene derecho al respeto de su vida privada y familiar, de su domicilioy de su correspondencia”.

1

Breve historia de laprotección de datosde carácter personal

1. Proclamada por la Asamblea General de las Naciones Unidas el 10 de septiembre de 1948.2. Firmado en Roma por el Consejo de Europa el 4 de noviembre de 1950.

4


En tercer lugar, el Convenio 108 del Consejo de Europa3 establece en su artículo 1:

“…garantizar… a cualquier persona física… el respeto de sus derechos y libertadesfundamentales, concretamente su derecho a la vida privada, con respecto al trata-miento automatizado de los datos de carácter personal correspondientes a dichapersona”.

En España, la Ley Orgánica 5/1992, de 29 de octubre, de Regulación delTratamiento Automatizado de los Datos de Carácter Personal (LORTAD), desarrollalo recogido en el artículo 18 de la Constitución Española de 1978 y establece, porprimera vez, la limitación del uso de la informática para garantizar la intimidadpersonal.

Posteriormente, la Directiva 95/46/CE del Parlamento Europeo y del Consejode 24 de octubre de 1995 relativa a la Protección de las Personas Físicas en lo querespecta al Tratamiento de Datos Personales y a la libre circulación de estos datos(Directiva 95/46/CE), establece el marco jurídico en el que se desarrolla la actuallegislación española en Protección de Datos de Carácter Personal.

La LORTAD tardó siete años en disponer de su desarrollo reglamentario, quellegó con el Real Decreto 994/1999, de 11 de junio: Reglamento de Medidas deSeguridad de los Ficheros Automatizados que contengan Datos de Carácter Perso-nal (RMS).

Pocos meses después de la aprobación de dicho reglamento se promulgó laLey Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de CarácterPersonal (LOPD), vigente en la actualidad, y que adapta la legislación española a laDirectiva europea, desarrollando la protección de datos más allá de los datosinformatizados, incluyendo dentro de su ámbito de aplicación los datos de carácterpersonal registrados en soporte físico, que los haga susceptibles de tratamientoautomatizado o no, y toda modalidad de uso de los mismos.

Por fin, la LOPD, tras un periodo de ocho años conviviendo con el RMS, havisto cómo su desarrollo reglamentario ha sido plasmado mediante el Real Decreto1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de Desarrollode la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de CarácterPersonal (RLOPD).

1.1. La protección de datos personales, un derechofundamental

Si bien durante muchos años ha habido muchas y enfrentadas fuentes doctrinalesque discutían si el derecho a la protección de datos es un derecho independiente o seencuentra enmarcado dentro de la esfera del derecho a la intimidad, la Sentencia delTribunal Constitucional 292/2000 expone en su fundamento jurídico 7:

3. Firmado en Estrasburgo el 28 de enero de 1981.

5

“…el contenido del derecho fundamental a la protección de datos consiste en unpoder de disposición y de control sobre los datos personales que faculta a la personapara decidir cuáles de estos datos proporcionar a un tercero, sea el Estado o unparticular, o cuáles puede este tercero recabar, y que también permite al individuosaber quién posee esos datos personales y para qué, pudiendo oponerse a esaposesión o uso…”.

Así mismo, expone que este derecho se concreta en:

“…la facultad de consentir la recogida, la obtención y el acceso a los datos persona-les, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, porun tercero, sea el Estado o un particular…”

y considera indispensable para hacer efectivo este derecho:

“…el reconocimiento del derecho a ser informado de quién posee sus datos persona-les y con qué fin, y el derecho a poder oponerse a esa posesión y uso requiriendo aquien corresponda que ponga fin a la posesión y empleo de los datos”.

Por tanto, el derecho a la protección de datos es un derecho independienteporque se protege cualquier dato de carácter personal que identifique a la persona,y no sólo los datos de su esfera íntima.

Breve historia de la protección de datos de carácter personal

6


7

2

Legislación vigente

2.1. Ley Orgánica 15/1999, de 13 de diciembre,de Protección de Datos de Carácter Personal (LOPD)

Es la Ley vigente en la actualidad y que adapta la legislación española a laDirectiva europea. Su ámbito de aplicación comprende todos los ficheros quecontengan datos de carácter personal, con independencia de que se trate de ficherosautomatizados o en formato papel. Incluye como otras novedades principales ladefinición del Encargado del Tratamiento, la regulación de los tratamientos de datosy las relaciones entre Responsable del Fichero y Encargado del Tratamiento, ladefinición de fuentes accesibles al público, el censo promocional e incorpora elnuevo derecho de oposición.

2.2. Real Decreto 1720/2007, de 21 de diciembre, por el quese aprueba el Reglamento de Desarrollo de la Ley Orgánica15/1999, de 13 de diciembre, de Protección de Datos deCarácter Personal (RLOPD)

El RLOPD (que entró en vigor el día 19 de abril de 2008) desarrolla la LOPD yconsolida la doctrina reguladora establecida por la AEPD en sus instrucciones yexpedientes sancionadores, así como la interpretación que de la LOPD han efectua-do los Tribunales a través de la jurisprudencia.

El RLOPD incrementa la protección ofrecida a los datos de carácter personal,pero, por otra parte, establece ciertas especialidades para facilitar la implantaciónde medidas de seguridad, que inciden sobre todo en el ámbito de las PYMES.

Este nuevo Reglamento, que sustituye al RMS 994/99, establece, entre otrascosas, las medidas de seguridad para los ficheros no automatizados, regula las

8


relaciones entre el Responsable del Fichero y el Encargado del Tratamiento (permi-tiendo además la subcontratación), introduce novedades importantes con respecto alos ficheros sobre solvencia patrimonial y crédito y respecto al ejercicio de derechos,así como otras novedades que se desarrollan en detalle en este libro más adelante.

Las infracciones, sanciones o cuantía de las multas no se han modificado, pero síse ha introducido, con respecto a las actuaciones previas al Procedimiento Sancionadorde la AEPD, un límite temporal de doce meses a contar desde la fecha de la denuncia.El vencimiento del plazo sin que se haya dictado y notificado el acuerdo de inicio deprocedimiento sancionador producirá la caducidad de las actuaciones previas.

2.2.1. Plazos de adaptación

La Disposición transitoria segunda del RLOPD recoge los plazos de implanta-ción de las medidas de seguridad con arreglo a las siguientes reglas:

2.2.1.1. Respecto de los ficheros automatizados que existieran en la fecha deentrada en vigor del RLOPD (19 abril 2008):

a) En el plazo de un año desde su entrada en vigor (19 de abril de 2009),deberán implantarse las medidas de seguridad de nivel medio exigibles alos siguientes ficheros:

Aquéllos de los que sean responsables las Entidades Gestoras yServicios Comunes de la Seguridad Social y se relacionen con elejercicio de sus competencias.

Aquéllos de los que sean responsables las mutuas de accidentes detrabajo y enfermedades profesionales de la Seguridad Social.

Aquéllos que contengan un conjunto de datos de carácter personalque ofrezcan una definición de las características o de la personalidadde los ciudadanos y que permitan evaluar determinados aspectos dela personalidad o del comportamiento de los mismos.

b) En el plazo de un año (19 de abril de 2009) deberán implantarse lasmedidas de seguridad de nivel medio a aquéllos de los que sean responsa-bles los operadores que presten servicios de comunicaciones electrónicasdisponibles al público o exploten redes públicas de comunicacioneselectrónicas respecto a los datos de tráfico y a los datos de localización.

c) En el plazo de dieciocho meses (19 de octubre de 2009) las de nivel altoexigibles a los ficheros que contengan datos derivados de actos de violen-cia de género.

d) En los demás supuestos, cuando el RLOPD exija la implantación de unamedida adicional no prevista en el RMS. Dicha medida deberá implantar-se en el plazo de un año (19 de abril de 2009).

9

2.2.1.2. Respecto de los ficheros no automatizados que existieran en la fechade entrada en vigor del RLOPD:

a) Las medidas de seguridad de nivel básico deberán implantarse en el plazode un año desde su entrada en vigor (19 de abril de 2009).

b) Las medidas de seguridad de nivel medio deberán implantarse en el plazode dieciocho meses desde su entrada en vigor (19 de octubre de 2009).

c) Las medidas de seguridad de nivel alto deberán implantarse en el plazode dos años desde su entrada en vigor (19 de abril de 2010).

2.2.1.3. Respecto de los ficheros creados con posterioridad a la fecha deentrada en vigor del RLOPD:

Los ficheros, tanto automatizados como no automatizados, creados con poste-rioridad a la fecha de entrada en vigor del RLOPD deberán tener implantadas,desde el momento de su creación, la totalidad de las medidas de seguridad regula-das en el mismo.

Legislación vigente

10


11

3

Datos de carácter personal

El artículo 2.a de la Directiva 95/46/CE, relativa a la protección de las perso-nas físicas en lo que respecta al tratamiento de datos personales y a la libre circula-ción de esos datos, define el dato personal del siguiente modo:

“toda información sobre una persona identificada o identificable (...) se consideraráidentificable toda persona, directa o indirectamente, en particular mediante unnúmero de identificación o uno o varios elementos específicos, característicos de suidentidad física, fisiológica, psíquica, económica, cultural o social”.

El artículo 3 de la LOPD utiliza una definición muy genérica de Datos deCarácter Personal:

“cualquier información concerniente a personas físicas identificadas oidentificables”.

Esta definición ha sido ampliada por el artículo 5 del RLOPD al referirse a losmismos como:

“cualquier información numérica, alfabética, gráfica, fotográfica, acústica o decualquier otro tipo concerniente a personas físicas identificadas o identificables”.

Asimismo, el RLOPD ha incluido en el Glosario de Términos la definición depersona identificable, entendiendo como tal:

“toda persona cuya identidad pueda determinarse, directa o indirectamente,mediante cualquier información referida a su identidad física, fisiológica, psíquica,económica, cultural o social. Una persona física no se considerará identificable sidicha identificación requiere plazos o actividades desproporcionados”.

Aun así, el término sigue siendo poco preciso.

12


3.1. Tipos de datos personales

Una vez que la organización ha comprobado que tiene datos personales, hayque clasificarlos en función de su tipología, pues no es lo mismo tratar datos mera-mente identificativos (nombre y apellidos, teléfono, dirección...), que tratar datosque puedan comprometer a la persona (enfermedades, deudas, orientaciónsexual...). Esta clasificación determinará el nivel de medidas de seguridad queposteriormente tenemos que aplicar a los ficheros.

Legalmente, hay varios tipos de datos personales y la clasificación se puedellevar a cabo según dos criterios:

1. Según su importancia: clasifica a los datos personales en función de larelación que tienen esos datos personales con el derecho a la intimidad.Hay datos personales especialmente protegidos que están recogidos en losartículos 7 y 8 de la LOPD: los referidos a la ideología, religión, creencias,afiliación sindical, origen racial o étnico, salud, vida sexual, y comisión deinfracciones penales o administrativas. El RLOPD (Art. 81.3.c) consideraque también deben aplicarse medidas de seguridad de nivel Alto a losdatos derivados de actos de violencia de género. Al resto de datos perso-nales no se les concede una protección especial.

2. Según su seguridad: la clasificación se realiza basándose en las medidasde seguridad que se deben cumplir cuando se posean datos personales, yexisten tres niveles (Art. 81 RLOPD):

Datos de nivel Básico: Son aquellos datos personales que no seclasifican como de nivel Medio o de nivel Alto.

Datos de nivel Medio:

Los relativos a la comisión de infracciones administrativas openales.

Los relativos a prestación de servicios de información sobresolvencia patrimonial y crédito.

Aquellos de los que sean responsables Administracionestributarias y se relacionen con el ejercicio de sus potestadestributarias.

Aquellos de los que sean responsables las entidades financieraspara finalidades relacionadas con la prestación de serviciosfinancieros.

Aquellos de los que sean responsables las Entidades Gestoras yServicios Comunes de la Seguridad Social y se relacionen con elejercicio de sus competencias. De igual modo, aquellos de los quesean responsables las mutuas de accidentes de trabajo y enferme-dades profesionales de la Seguridad Social.

13


Aquellos que contengan un conjunto de datos de carácter perso-nal que ofrezcan una definición de las características o de lapersonalidad de los ciudadanos y que permitan evaluar determi-nados aspectos de la personalidad o del comportamiento de losmismos.

Datos de nivel Alto:

Los que se refieran a datos de ideología, afiliación sindical,religión, creencias, origen racial, salud o vida sexual.

Los que contengan o se refieran a datos recabados para finespoliciales sin consentimiento de las personas afectadas.

Aquellos que contengan datos derivados de actos de violencia degénero.

Datos de nivel Básico Datos de nivel Medio Datos de nivel Alto

Identificativos.

Características persona-les.

Circunstancias sociales.

Académicos y profesiona-les.

Empleo y puestos detrabajo.

Información comercial.

Económico-financieros.

Transacciones.

Hacienda Pública.

Los de las Administracio-nes tributarias relaciona-dos con el ejercicio de suspotestades tributarias.

Los de las EntidadesGestoras y ServiciosComunes de la SeguridadSocial y se relacionen conel ejercicio de suscompetencias.

Los de las mutuas deaccidentes de trabajo yenfermedades profesiona-les de la Seguridad Social.

Servicios financieros.

Solvencia patrimonial ycrédito.

Infracciones penales yadministrativas.

Los que permitan evaluardeterminados aspectos dela personalidad o delcomportamiento de losmismos.

Salud.

Vida sexual.

Ideología.

Creencias.

Afiliación sindical.

Religión.

Violencia de género.

14


3.2. Novedades RLOPD en la aplicación de algunasmedidas de seguridad (Artículo 81.5 y 81.6)

Los departamentos de RR.HH suelen tener ficheros a los que hay que aplicarlas medidas de seguridad de nivel alto ya que se pueden recoger datos de NivelAlto, como Afiliación sindical (por ejemplo, para cómputos de horas sindicales,pago de la cuota en el sindicato correspondiente, etc.) o de Salud (por ejemplo,datos de minusvalías a efectos de practicar las retenciones en el IRPF, reconocimien-tos médicos, etc.).

Ahora bien, en algunos casos puntuales, aunque esos datos se sigan conside-rando de Nivel Alto, pueden concurrir determinadas circunstancias que permitenadoptar las medidas de Nivel Básico:

Los ficheros o tratamientos de datos de ideología, afiliación sindical,religión, creencias, origen racial, salud o vida sexual cuando:

a) los datos se utilicen con la única finalidad de realizar una transferen-cia dineraria a las entidades de las que los afectados sean asociados omiembros.

b) se trate de ficheros o tratamientos no automatizados en los que deforma incidental o accesoria se contengan aquellos datos sin guardarrelación con su finalidad.

Los ficheros o tratamientos que contengan datos relativos a la salud,referentes exclusivamente al grado de discapacidad o la simple declara-ción de la condición de discapacidad o invalidez del afectado, con motivodel cumplimiento de deberes públicos.

Datos de salud

Como consecuencia de ello, los datos relativos a una minusvalía siguen siendodatos relativos a la salud (es decir, datos de nivel alto), pero se permite adoptarmedidas de seguridad de Nivel Básico cuando su uso se encuentre afectado ovinculado al cumplimiento de deberes públicos.

Los supuestos más habituales en relación con los ficheros de nóminas son:

Cuando aparece un porcentaje de minusvalía para calcular el nivel deretención aplicable en nómina.

Cuando contienen información relativa a apto/no apto de un reconocimien-to médico, discapacidad (sí o no), invalidez, incapacidad laboral (sí o no yfecha), enfermedad común, accidente laboral o enfermedad profesional.

Si, por el contrario, se describe, por ejemplo, la enfermedad o situación desalud concreta que la causa, o se incluye un código numérico que permita estable-cerla, hay que aplicar el Nivel Alto.

15

Datos relativos a la afiliación sindical

Aunque siguen siendo datos de Nivel Alto, se pueden proteger únicamentecon medidas de seguridad de Nivel Básico cuando se utilicen exclusivamente pararealizar la detracción de la cuota sindical o la domiciliación bancaria.

Por el contrario, si contiene, por ejemplo, datos de aquellos afiliados a unsindicato que han disfrutado de las llamadas “horas sindicales”, hay que aplicar elNivel Alto.

3.3. Otros datos personales

La AEPD a través de sus Resoluciones ha ido concretando qué debe entendersepor Datos de Carácter Personal, disipando dudas y ampliando los conceptos, por loque también deberemos considerar Datos Personales los siguientes:

La imagen (fija o grabación de vídeo): “…la grabación de la imagen de unapersona, ya sea trabajador o no de la empresa, es un dato personal, siendo éste elcriterio de la Agencia Española de Protección de Datos…” (Resolución R/00035/2006, Cuestiones Generales sobre Videovigilancia).

Datos biométricos (huella, iris, etc.): “los datos biométricos tenían la condiciónde datos de carácter personal y que, dado que los mismos no contienen ningúnaspecto concreto de la personalidad, limitando su función a identificar a un sujetocuando la información se vincula con éste, su tratamiento no tendrá mayortrascendencia que el de los datos relativos a un número de identificación personal,a una ficha que tan solo pueda utilizar una persona o a la combinación de ambos”.(Tratamiento de la huella digital de los trabajadores. Informe AEPD 1/1999.)

La dirección de correo electrónico: “…no existe duda de que la dirección decorreo electrónico identifica, incluso de forma directa, al titular de la cuenta, porlo que en todo caso dicha dirección ha de ser considerada como dato de carácterpersonal”. (Cribado de correo electrónico. Informe Jurídico 0391/2007.)

La dirección IP: “…las direcciones IP tanto fijas como dinámicas, con indepen-dencia del tipo de acceso, se consideran datos de carácter personal resultando deaplicación la normativa sobre protección de datos”. (Carácter de dato personalde la dirección IP. Informe AEPD 327/2003.)

El artículo 5 del RLOPD también define como Persona Identificable a todapersona cuya identidad pueda determinarse, directa o indirectamente, mediantecualquier información referida a su identidad física, fisiológica, psíquica, económi-ca, cultural o social. Una persona física no se considerará identificable si dichaidentificación requiere plazos o actividades desproporcionados. Por ello, cualquierdato que permita identificar a una persona deberá considerarse Dato Personal, y sunivel se establecerá en cada caso dependiendo de la tipología del dato y de lafinalidad del fichero.


16


Por otra parte, el RLOPD no se aplica a:

1. Tratamientos de datos referidos a personas jurídicas.

2. Ficheros que se limiten a incorporar datos de personas físicas que prestensus servicios en aquéllas (nombre y apellidos, las funciones o puestosdesempeñados, dirección postal o electrónica, teléfono y número de faxprofesionales).

3. Datos relativos a empresarios individuales, cuando hagan referencia aellos en su calidad de comerciantes, industriales o navieros.

4. Datos referidos a personas fallecidas.

17

4

Obligaciones básicas

En este apartado haremos una exposición de las obligaciones principales quela normativa de protección de datos impone a los responsables de los ficheros dedatos de carácter personal y demás personas que intervienen en algún momento enel tratamiento de los mismos.

Para ello, y con el objetivo de aportar una visión práctica en su desarrollo,hemos dividido el transcurso del tratamiento de los datos en tres momentos princi-pales:

con carácter previo a la recogida de los datos,

durante el tratamiento de los datos y

una vez finalizado el tratamiento.

De este modo, analizaremos cada una de las obligaciones, ubicándolas en elmomento en el que deben ser tenidas en cuenta para una correcta aplicación de lanormativa de protección de datos, ya que la propia LOPD establece en qué puntodel tratamiento deben ser apreciadas unas y otras.

4.1. Con carácter previo a la recogida de los datos

4.1.1. La creación y notificación de ficheros

¿Qué es un fichero de datos de carácter personal?

Debemos comenzar analizando qué es un fichero de datos de carácter personaly qué se entiende como tal a efectos de notificación.

La definición legal de fichero se encuentra recogida en el artículo 3.b) de laLOPD que se expresa en los siguientes términos:

18


“todo conjunto organizado de datos de carácter personal, cualquiera que fuere laforma o modalidad de su creación, almacenamiento, organización y acceso”,

definición que ha sido desarrollada por el RLOPD, en su artículo 5.1.k), quedandofinalmente como:

“todo conjunto organizado de datos de carácter personal, que permita el acceso a losdatos con arreglo a criterios determinados, cualquiera que fuere la forma o modali-dad de su creación, almacenamiento, organización y acceso”.

Nos encontramos ante una definición de carácter genérico y que puede resul-tar tan amplia que en la práctica no ha sido de gran ayuda, creando incluso confu-sión en numerosas ocasiones en las que, atendiendo a la misma, no queda claro sinos encontramos ante un fichero protegido por la normativa de protección de datospersonales y que, por consiguiente, debe ser declarado ante la AEPD para su ins-cripción en el RGPD o, por el contrario, podríamos estar ante varios ficheros cuyadeclaración debe hacerse de forma independiente. Dentro de esta definición pode-mos englobar muchos términos utilizados habitualmente, tales como base de datos,aplicación, programa, tabla, fichero... -en relación con el tratamiento informatizado-,o cajonera, armario, archivo... -si nos referimos a tratamientos no informatizados,sino manuales-. Estos términos vienen a identificar los denominados ficherosfísicos.

Frente a estos, existen los llamados ficheros lógicos, que podemos definir comoficheros o conjunto de ficheros físicos que contienen el mismo tipo de datos y sontratados para la misma finalidad.

La AEPD ha considerado que sólo los ficheros lógicos son objeto de declara-ción. Esto significa que, una vez identificados los ficheros físicos, el responsable delos mismos podrá agruparlos en ficheros lógicos atendiendo a los criterios indica-dos. Así por ejemplo, en una empresa pueden existir diversos ficheros físicos condatos de clientes (datos bancarios, gestión de la relación comercial, marketing,gestión de impagados). Todos estos tienen datos de clientes y comparten la finali-dad consistente en gestionar la relación con los mismos, de manera que se puedenagrupar en un único fichero lógico y declararse ante la AEPD, por ejemplo, bajo elnombre de clientes.

El concepto anteriormente indicado puede matizarse aún más teniendo encuenta lo establecido en el artículo 2.c) de la Directiva 95/46/CE, dado que elmismo aclara la referencia a la forma de creación, almacenamiento, organización yacceso del fichero al indicar que el conjunto de datos tendrá esa consideración “yasea centralizado, descentralizado o repartido de forma funcional o geográfica”.

En cuanto al reparto geográfico, podemos afirmar que el concepto de ficherono va directamente vinculado a la exigencia de que el mismo se encuentre en unaúnica ubicación. Es posible la existencia de ficheros distribuidos en lugares geográfi-cos remotos entre sí, siempre y cuando la organización y sistematización de losdatos responda a un conjunto organizado y uniformado de datos, sometido a algúntipo de gestión centralizada.

19


La AEPD se ha pronunciado en este sentido a través de un informe jurídico4

emitido en respuesta a una consulta planteada por una entidad que disponía dediversos centros, ubicados en distintos lugares y carentes de personalidad jurídicapropia, disponiendo de información sometida a tratamiento similar repartida enficheros idénticos y alojada en servidores diferentes, dada su ubicación en losdistintos centros, pero administrados y gestionados de forma centralizada.

En relación con este tema, el RLOPD -artículo 56- viene a aclarar que:“la notificación de un fichero de datos de carácter personal es independiente delsistema de tratamiento empleado en su organización y del soporte o soportes emplea-dos para el tratamiento de los datos” y que “cuando los datos de carácter personalobjeto de tratamiento estén almacenados en diferentes soportes, automatizados y noautomatizados, o exista una copia en soporte no automatizado de un fichero automati-zado, sólo será preciso una sola notificación, referida a dicho fichero”.

La creación de ficheros de datos de carácter personal.

Lo primero que debemos pensar si deseamos crear un fichero que contengadatos personales, es que tenemos que enfrentarnos a un requisito, establecido en elartículo 25 de la LOPD, en virtud del cual es imprescindible que el fichero “resultenecesario para el logro de la actividad u objeto legítimos de la persona, empresa o entidadtitular y se respeten las garantías que esta Ley establece para la protección de las personas”.

Si bien, del respeto de las garantías establecidas en la LOPD iremos hablando alo largo de todo este apartado, debemos analizar antes de seguir adelante el signifi-cado de la expresión “[...] resulte necesario para el logro de la actividad u objeto legítimos[...]”. Dicha “necesidad”, con frecuencia viene establecida o se deriva del cumpli-miento de la legislación aplicable a la actividad u objeto desarrollados por el res-ponsable, tanto en términos generales como fruto de alguna norma sectorial. De ahíque algunos ficheros resultan imprescindibles para el desarrollo de cualquieractividad u objeto legitimo (ya sea empresarial, comercial, profesional...) y otrosresultan específicos de cada sector. Incluso, al margen de los ficheros creados porimposición, cualquier persona, empresa o entidad, puede sentir la necesidad decrear ficheros con distintas finalidades, pero para su creación siempre ha de haberuna justificación directamente vinculada a la actividad u objeto legítimos, sin existirlimitación alguna en relación con el número de ficheros inscribibles.

En este orden de cosas, podemos poner como ejemplos más claros en los quese cumple este primer requisito para la creación de ficheros, aquellos en los que lanecesidad de su creación es consecuencia directa del cumplimiento de una Normaque el titular debe aplicar para el desarrollo de su actividad u objeto legítimos, de loque no cabe duda en ficheros como los que se describen a continuación:

A. Los ficheros tradicionalmente denominados personal, empleados, gestiónlaboral..., permiten llevar a cabo la gestión laboral de la actividad desarro-

4. Vid. AEPD, Informe Jurídico 368/2003 Inscripción de ficheros situados en múltiples ubicacio-nes, https://www.agpd.es/portalweb/canaldocumentacion/informes_juridicos/inscripcion_ficheros/common/pdfs/2003-0368_Inscripci-oo-n-de-ficheros-situados-en-m-uu-ltiples-ubicaciones.pdf.

20


llada por el responsable del fichero, así como un control detallado de lascuestiones relativas al personal laboral. En este sentido, la Ley 42/1997, de14 de noviembre, Ordenadora de la Inspección de Trabajo y SeguridadSocial, hace referencia a la conservación de información del personallaboral por parte del empleador, al disponer en su artículo 11 que “todapersona natural o jurídica estará obligada a proporcionar a la Inspección deTrabajo y Seguridad Social toda clase de datos, antecedentes o información contrascendencia en los cometidos inspectores, siempre que se deduzcan de susrelaciones económicas, profesionales, empresariales o financieras con tercerossujetos a la acción inspectora, cuando a ello sea requerida en forma”.

B. Otros de los ficheros más habitualmente declarados por los responsablesson los denominados gestión fiscal y contable, gestión económica, factura-ción... No cabe duda de la necesidad de estos ficheros para el logro de laactividad legítima de cualquier actividad económica. En este sentido, elartículo 142 de la Ley 58/2003, de 17 de diciembre, General Tributaria,que se expresa en los siguientes términos:

“Las actuaciones inspectoras se realizarán mediante el examen de documen-tos, libros, contabilidad principal y auxiliar, ficheros, facturas, justificantes,correspondencia con trascendencia tributaria, bases de datos informatizadas,programas, registros y archivos informáticos relativos a actividades económi-cas, así como mediante la inspección de bienes, elementos, explotaciones ycualquier otro antecedente o información que debe de facilitarse a la Adminis-tración o que sea necesario para la exigencia de las obligaciones tributarias”,justifica la creación de dichos ficheros.

C. Poniendo como ejemplo el sector sanitario, en el que los derechos a laintimidad y a la protección de datos tienen una relevancia especial,cualquier centro sanitario, desde las clínicas en las que un único profesio-nal desarrolla su actividad de forma autónoma hasta los grandes hospita-les, tienen la obligación de disponer de un fichero con las historias clínicasde sus pacientes, cuya finalidad es la gestión de la prestación sanitariaprestada a los mismos. Fruto de la obligación de conservación de ladocumentación clínica, establecida en el artículo 17.1 de la Ley 41/2002,de 14 de noviembre, reguladora básica de la autonomía del paciente y dederechos y obligaciones en materia de información y documentaciónclínica, se especifica que:

“los centros sanitarios tienen la obligación de conservar la documentaciónclínica en condiciones que garanticen su correcto mantenimiento y seguridad,aunque no necesariamente en el soporte original, para la debida asistencia alpaciente durante el tiempo adecuado a cada caso y, como mínimo, cinco añoscontados desde la fecha del alta de cada proceso asistencial”.

De lo anteriormente expuesto, podemos concluir que cualquiera de estosficheros cumple con el requisito de necesariedad para el logro de la actividad uobjeto legítimos de sus responsables. A pesar de que no siempre tiene que ser así, ni

21


es la única justificación para que un fichero cumpla el requisito de necesariedad quevenimos analizando, los más habituales surgen de la necesidad de cumplir conrequisitos impuestos por diferentes legislaciones. No podemos olvidar que, fuera deestos supuestos, cualquier persona, empresa o entidad, puede necesitar crear fiche-ros con distintas finalidades, lo que no supondrá ningún problema siempre queexista una justificación directamente vinculada a su actividad u objeto legítimos.

4.1.1.1. Ficheros de titularidad privada

Los ficheros de titularidad privada son definidos en el artículo 5.1.l) delRLOPD como aquellos de los que son responsables las personas, empresas o entida-des de derecho privado, independientemente de quien ostente la titularidad de sucapital o de la procedencia de sus recursos económicos, así como los ficheros de losque sean responsables las corporaciones de derecho público, pero no se encuentranestrictamente vinculados al ejercicio de potestades de derecho público atribuida porsu normativa específica.

Para la creación de estos ficheros hay que cumplir un procedimiento formalestablecido en el artículo 27 de la LOPD, siguiendo los pasos que se describen acontinuación:

A. Notificación previa a la AEPD, cumplimentando los modelos o formula-rios electrónicos aprobados al efecto por la AEPD en resolución de 12 dejulio de 2006 y publicados en el Boletín Oficial del Estado de 31 de julio2006, en los que se detallará necesariamente la identificación del responsa-ble del fichero, el nombre del fichero, sus finalidades y los usos previstos,el sistema de tratamiento empleado, el colectivo de personas sobre el quese obtienen los datos, el procedimiento y la procedencia de los datos, lascategorías de datos, el servicio o unidad de acceso, la identificación delnivel de medidas de seguridad básico, medio o alto exigible y, en su casola identificación del encargado de tratamiento donde se encuentre ubicadoel fichero y los destinatarios de cesiones y transferencias internacionales dedatos. Además, se declarará un domicilio a efectos de notificación. Enfunción de lo establecido en el RLOPD, esta notificación podrá realizarseen diferentes soportes, tal y como se explica a continuación:

En soporte electrónico -mediante comunicación electrónica o ensoporte informático-, utilizando el programa NOTA (NotificacionesTelemáticas a la Agencia) para la generación de notificaciones que laAEPD ha puesto a disposición de todos los ciudadanos.

En soporte papel, utilizando igualmente los modelos aprobados por laAEPD.

Estos formularios se pueden obtener gratuitamente en la página web de laAEPD (www.agpd.es).

B. Si la notificación se ajusta a los requisitos exigibles, el Director de la AEPD,a propuesta del Registro General de Protección de Datos (en adelante,RGPD), acordará la inscripción del fichero asignándole el correspondiente

22


código de inscripción. En caso contrario, dictará resolución denegando lainscripción, debidamente motivada y con indicación expresa de las causasque impiden la inscripción.

El art. 59.3 del RLOPD, introduce como novedad la posibilidad del Director dela AEPD de establecer procedimientos simplificados de notificación en atención alas circunstancias que concurran en el tratamiento o el tipo de fichero al que serefiere la notificación.

La notificación de la creación de ficheros de datos de carácter personal ante laAEPD es una obligación que corresponde al responsable de los mismos, de maneraque cuando se tenga previsto crear un fichero del que resulten responsables variaspersonas o entidades simultáneamente, cada una de ellas deberá notificar, a fin deproceder a su inscripción en el RGPD, la creación del correspondiente fichero.Además, esta obligación no conlleva coste económico alguno.

Es importante destacar que la inscripción de los ficheros debe encontrarseactualizada en todo momento y es meramente declarativa, sin calificar que se esténcumpliendo las restantes obligaciones derivadas de la LOPD. Como consecuencia,que el RGPD acepte la inscripción de un fichero no conlleva, en ningún caso, unreconocimiento por parte de la AEPD de cumplimiento de ninguna otra obligaciónestablecida en la normativa vigente en materia de protección de datos. Tal y comose expresa la propia AEPD en sus notificaciones:

“La inscripción de un fichero en el Registro General de Protección de Datos,únicamente acredita que se ha cumplido con la obligación de notificación dispuestaen la Ley Orgánica 15/1999, sin que se esta inscripción se pueda desprender elcumplimiento por parte del responsable del fichero del resto de las obligacionesprevistas en dicha Ley y demás disposiciones reglamentarias.”

No por ello, debemos restar importancia al cumplimiento de la obligación denotificar los ficheros ya que permite dar publicidad de su existencia, poniendo adisposición de todos los ciudadanos, los ficheros en los que podrían encontrarse susdatos personales, facilitándoles de este modo el conocimiento de lo siguiente:

La totalidad de ficheros en los que podrían encontrarse sus datos personales.

La identificación del fichero, sus finalidades y los usos previstos, el sistemade tratamiento empleado, el colectivo de personas sobre el que se obtienenlos datos, el procedimiento y procedencia de los datos, las categorías dedatos, el servicio o unidad de acceso, la identificación del nivel de medidasde seguridad básico, medio o alto exigible y, en su caso, la identificación delencargado de tratamiento donde se encuentre ubicado el fichero y losdestinatarios de cesiones y transferencias internacionales de datos.

Los responsables ante los que pueden ejercitar los derechos de acceso,rectificación, cancelación u oposición.

Pero las ventajas de la inscripción registral no alcanzan únicamente a losciudadanos, sino que se extienden tanto a la AEPD como a los propios responsablesde los ficheros.

23


En relación con la AEPD, podemos destacar que la inscripción de los ficheros lepermite disponer de una relación actualizada de los ficheros inscritos, facilitándole:

el cumplimiento de la obligación de velar por la publicidad de la existen-cia de los ficheros de datos con carácter personal5,

el conocimiento de todos los ficheros que deben cumplir con las obligacio-nes establecidas en la LOPD y su normativa de desarrollo,

el ejercicio de las actividades que la normativa le encomienda comoAutoridad de Control y

el ejercicio del derecho de consulta de los ciudadanos.

Desde la perspectiva del responsable de los ficheros, podemos apreciar lassiguientes ventajas respecto de la inscripción de ficheros en el RGPD:

Evitar la imposición de sanciones.

Mostrar el compromiso o la intención de cumplir con la normativa deprotección de datos.

Facilitar a los titulares de los datos contenidos en sus ficheros el ejerciciode los derechos de acceso, rectificación, cancelación y oposición.

Como resumen de lo expuesto hasta el momento, podemos hacernos eco de losprincipios que rigen la inscripción de ficheros, recogidos en la Memoria de la AEPDdel año 2000:

El responsable del fichero deberá efectuar una notificación de un trata-miento o de un conjunto de tratamientos.

La inscripción de un fichero de datos no prejuzga que se hayan cumplidoel resto de las obligaciones derivadas de la Ley.

La notificación de ficheros implica el compromiso por parte del responsa-ble de que el tratamiento de datos personales declarados para su inscrip-ción cumple con todas las exigencias legales.

La notificación de los ficheros al Registro supone una obligación de losresponsables del tratamiento, sin coste económico alguno para ellos, yfacilita que las personas afectadas puedan conocer quiénes son los titula-res de los ficheros ante los que deben ejercitar directamente los derechosde acceso, rectificación, cancelación y oposición.

Toda persona o entidad que proceda a la creación de ficheros de datos decarácter personal lo notificará previamente a la AEPD.

En la notificación deberán figurar necesariamente el responsable delfichero, la finalidad del mismo, las medidas de seguridad, con indicacióndel nivel básico, medio o alto exigible y las cesiones de datos de carácter

5. Artículo 37.1. j) LOPD.

24


personal que se prevean realizar y, en su caso, las transferencias de datosque se prevean a países terceros.

Deberá comunicarse a la APD cualquier cambio que se produzca conrespecto a la declaración inicial y particularmente en la finalidad delfichero, en su responsable y en la dirección de su ubicación.

El RGPD inscribirá el fichero si la notificación se ajusta a los requisitosexigibles. En caso contrario podrá pedir que se completen los datos quefalten o se proceda a su subsanación.

Transcurrido un mes desde la presentación de la solicitud de inscripciónsin que la AEPD hubiera resuelto sobre la misma, se entenderá inscrito elfichero a todos los efectos.

¿Deben inscribirse los ficheros temporales?

El RLOPD recoge la primera definición legal de ficheros temporales en suartículo 5.2.g). En virtud de esta se entienden como tales los “ficheros de trabajocreados por usuarios o procesos que son necesarios para un tratamiento ocasional o comopaso intermedio durante la realización de un tratamiento”.

Estos ficheros no tienen que inscribirse, pero sí tiene que estar inscrito elfichero de origen. En este sentido se ha pronunciado la AEPD6, facilitando ademásalgunos ejemplos:

“Ej. si se crea un fichero temporal para organizar las vacaciones del personal apartir del fichero de recursos humanos, tendrá que estar inscrito el fichero derecursos humanos. Respecto del fichero de vacaciones tendrán que adoptarse lasmedidas de seguridad correspondientes. Un fichero creado para realizar tratamien-tos de datos periódicos, SI que tendrá que inscribirse. Ej. censo agrario,preinscripción anual en un polideportivo, ….”7.

4.1.1.2. Ficheros de titularidad pública

Los ficheros de titularidad pública son definidos en el artículo 5.1.m) delRLOPD como “los ficheros de los que sean responsables los órganos constitucionales o conrelevancia constitucional del Estado o las instituciones autonómicas con funciones análogasa los mismos, las Administraciones públicas territoriales, así como las entidades u organis-mos vinculados o dependientes de las mismas y las Corporaciones de derecho público siempreque su finalidad sea el ejercicio de potestades de derecho público”, como por ejemplo loscolegios profesionales.

6. Vid. AEPD, I Sesión Anual Abierta de la AEPD “El nuevo reglamento de desarrollo de la ley orgánica deprotección de datos: problemática, interpretación y aplicación”, Madrid, 22 de abril de 2008.https://www.agpd.es/portalweb/jornadas/1_sesion_abierta/common/faqs_bloque_2.pdf.

7. Véase nota número 6 anterior.

25


En relación con estos ficheros hay que tener en cuenta las disposiciones secto-riales establecidas por la LOPD. Con base en las mismas, podemos afirmar que lacreación de los ficheros de las Administraciones Públicas sólo podrá hacerse pormedio de disposición general publicada en el Boletín Oficial del Estado o diariooficial correspondiente -artículo 22 LOPD-. Dicha disposición deberá indicar:

La finalidad del fichero y los usos previstos para el mismo.

Las personas o colectivos sobre los que se pretenda obtener datos decarácter personal o que resulten obligados a suministrarlos.

El procedimiento de recogida de los datos de carácter personal.

La estructura básica del fichero y la descripción de los tipos de datos decarácter personal incluidos en el mismo.

Las cesiones de datos de carácter personal y, en su caso, las transferenciasde datos que se prevean a países terceros.

Los órganos de las Administraciones responsables del fichero.

Los servicios o unidades ante los que pudiesen ejercitarse los derechos deacceso, rectificación, cancelación y oposición.

Las medidas de seguridad con indicación del nivel básico, medio o altoexigible.

El artículo 55 del RLOPD, establece un plazo de treinta días desde la publica-ción de su norma o acuerdo de creación en el diario oficial correspondiente, paraque todo fichero de datos de titularidad pública sea notificado a la AEPD para suinscripción en el RGPD.

Cuando la actividad relacionada con la finalidad del fichero no pueda serconsiderada como “pública” en sentido estricto, este se considerará privado, comopor ejemplo el fichero de formación de un colegio profesional, cuya finalidad es darformación a los colegiados o terceras personas.

4.1.2. La calidad de los datos

El principio de calidad de los datos, establecido en el artículo 4 de la LOPD,regirá el tratamiento de los datos de carácter personal en todas sus fases, desde elmomento previo a la recogida de los mismos hasta que se cesa en su tratamiento.

Con carácter previo a la recogida de los datos el responsable del fichero o trata-miento debe tener en cuenta que, únicamente, podrá recogerlos para su tratamiento,así como someterlos al mismo, cuando sean adecuados, pertinentes y no excesivos enrelación con el ámbito y las finalidades determinadas, explícitas y legítimas de suobtención, estando prohibida su recogida por medios fraudulentos, desleales o ilícitos.

El artículo 8 del RLOPD desarrolla los principios relativos a la calidad de losdatos. En concreto, en relación con el momento previo al tratamiento de los datospodemos destacar los principios de lealtad y licitud y finalidad. En relación con

26


estos, no añade nada a lo ya dispuesto en la LOPD, recordando la prohibición derecoger datos por medios fraudulentos, desleales o ilícitos, así como la única cir-cunstancia que legitima su recogida, es decir, el cumplimiento de finalidadesdeterminadas, explícitas y legítimas del responsable del tratamiento.

4.1.3. La información al interesado

El artículo 5 de la LOPD establece uno de los principios fundamentales que,junto al consentimiento, regirá el tratamiento de los datos de carácter personal:“Derecho de información en la recogida de datos”.

El derecho establecido en este principio a favor de los titulares de los datos seconvierte en una obligación para los responsables de los ficheros, en virtud de lacual tiene que informar al interesado, con carácter previo a la recogida de sus datosde carácter personal sobre algunos aspectos relacionados con el tratamiento de losdatos, de manera que el interesado pueda tener la suficiente información como paraconsentir el tratamiento de forma consciente y libre. El legislador ha considerado,con buen criterio, que para ello es necesario conocer:

La existencia de un fichero o tratamiento de datos de carácter personal.

La finalidad de la recogida de los datos.

Los destinatarios de la información.

El carácter obligatorio o facultativo de la respuesta a las preguntas plan-teadas a los titulares de los datos.

Las consecuencias de la obtención de los datos o la negativa a suministrarlos.

La posibilidad de ejercitar los derechos de acceso, rectificación, cancela-ción y oposición.

La identidad y dirección del responsable del tratamiento o, en su caso, desu representante.

Debemos plantearnos que no siempre los datos son recabados del propio titular ointeresado, de manera que analizaremos a continuación las vías más habituales através de las cuales se obtienen datos personales para insertarlos en un fichero.

Del propio interesado

Cuando los datos son recabados de sus titulares, habrá que facilitar directa-mente a los mismos la información detallada anteriormente.

De terceros

Cuando los datos hayan sido facilitados por persona distinta al titular de losmismos, el responsable del fichero dispone de un plazo de tres meses desde elmomento del registro de los datos para facilitarle la información que le permitaconsentir el tratamiento de sus datos de forma libre y consciente. Como consecuen-cia, tendrá que informarle del contenido del tratamiento, la procedencia de los

27


datos, la existencia de un fichero o tratamiento, la finalidad para la que se hanrecabado los datos, los destinatarios de la información, la posibilidad de ejercitar losderechos de acceso, rectificación y oposición, así como de la identidad y direccióndel responsable del tratamiento o su representante. La propia LOPD estable excep-ciones a esta obligación, afirmando que no será de aplicación cuando:

A. El interesado ya hubiera sido informado con anterioridad.

B. Una Ley lo prevea expresamente.

Es preciso aclarar esta excepción, ya que, en ocasiones nos encontramos conprevisiones normativas que no tienen rango de Ley en las que se prevé el tratamien-to o cesión de datos de carácter personal o preceptos legales en los que la excepcióndel deber de informar no es fruto de la interpretación literal del artículo, ya que nose recoge expresamente. Para la correcta aplicación de esta excepción han de darsedos requisitos: que la norma en la que se prevé el tratamiento o la cesión de datostenga rango de Ley y, además, que dicho tratamiento o cesión haya sido recogidopor el legislador de forma expresa. Así se desprende de un Informe emitido por laAEPD en el año 20048, en el que concluye que la excepción del artí-culo 5.5 a la quevenimos haciendo referencia será aplicable a supuestos “en que el tratamiento o cesiónde los datos de carácter personal aparece recogido expresamente en una norma con rango deLey, pero no a aquellos supuestos en que la Ley “autorice” o “habilite” la cesión de datos,pero no la recoja de modo expreso y taxativo en su articulado, sin perjuicio de que en dichossupuestos la cesión se encontrará amparada por lo dispuestos en los artículos 6.2 u 11.2 a) dela Ley Orgánica 15/1999” 9.

C. El tratamiento tenga fines históricos, estadísticos o científicos.

D. La información al interesado resulte imposible o exija esfuerzosdesproporcionados, a criterio de la AEPD o del organismo autonómicoequivalente, en consideración al número de interesados, a la antigüedadde los datos y a las posibles medidas compensatorias.

Esta excepción sólo será posible a través de un acto administrativo de laAEPD en que se decida acerca de la procedencia o improcedencia de laexcepción alegada en cada caso concreto. Dicho acto implicará la tramita-

8. Vid. AEPD, Informe Jurídico 60/2004 Exención del deber de informar cuando el tratamiento o la cesiónestán expresamente previstos en una Ley, https://212.170.242.196/portalweb/canaldocumentacion/informes_juridicos/deber_informacion/common/pdfs/2004-0060_Exenci-oo-n-del-deber-de-informar-cuando-el-tratamiento-o-la-cesi-oo-n-est-aa-n-expresamente-previstos-en-una-Ley.pdf.

9. En el mismo sentido se pronunció la AEPD en una resolución de 8 de octubre de 2004: “El artículo 5.5.también exceptúa de la obligación de informar cuando expresamente una Ley lo Prevea. De lainterpretación literal del artículo resultaría que la obligación de informar debe estar expresamenteexceptuada en una Ley para que se cumplan las condiciones previstas en este supuesto. Sin embargo laDirectiva 95/46/CE, que ha sido traspuesta por la Ley 15/1999, en su artículo 11.2 especifica que noexiste el deber de informar en particular para el tratamiento con fines estadísticos o de investigaciónhistórica o científica, cuando la información al interesado resulte imposible o exija esfuerzosdesproporcionados o el registro o la comunicación a un tercero estén expresamente previstos por ley, porlo que ha de interpretarse este supuesto de exclusión en los términos previstos en la Directiva, quedandoexcluida la obligación de informar cuando la cesión esté expresamente prevista en una Ley”.

28


ción del correspondiente procedimiento administrativo, iniciado en todocaso por la propia solicitud del interesado10.

De fuentes de acceso público

Quizás convenga empezar preguntándose qué son fuentes de acceso público.Estas se encuentran definidas en el artículo 3.j) de la LOPD como aquellos ficheroscuya consulta puede ser realizada por cualquier persona, no impedida por unanorma limitativa o sin más exigencia que, en su caso, el abono de unacontraprestación. Son, exclusivamente:

El censo promocional.

Las guías de teléfonos.

Las listas de colegios profesionales que contengan únicamente los datosde nombre, título, profesión, actividad, grado académico, direcciónprofesional e indicación de su pertenencia al grupo.

El RLOPD, en su artículo 7 determina el alcance de las siguientes expresiones:

Dirección profesional: podrá incluir los datos del domicilio postalcompleto, número telefónico, número de fax y dirección electrónica.

Datos de pertenencia al grupo: considera como tales los de número decolegiado, fecha de incorporación y situación de ejercicio profesional.

Los diarios y boletines oficiales.

Los medios de comunicación social.

Ha planteado muchas dudas si Internet es una fuente de acceso público. Conbase en la definición, únicamente, podríamos considerarlo como tal si se encontraraincluido dentro de los medios de comunicación, pero a día de hoy los únicos mediosde comunicación legalmente reconocidos son la prensa, la radio y la televisión. Co-mo consecuencia de ello, podemos afirmar que Internet, como tal, no es una fuentede acceso público. No obstante, a través de Internet podemos acceder a fuentes deacceso público. Por ejemplo, la lista de los profesionales pertenecientes a un colegioprofesional no dejará de ser fuente de acceso público si accedemos a los datos através de la página web del mismo. La AEPD ha confirmado esta interpretación,afirmando que “Internet no es, a los efectos de protección de datos un “medio de comunica-ción social”, sino un “canal de comunicación”, por lo que no es fuente accesible al público”11.

Cuando los datos recabados en un fichero proceden de estas fuentes, el respon-sable tiene que informar al interesado de la procedencia de sus datos, la identidad ydirección del responsable del fichero o tratamiento y de la posibilidad de ejercitar

10. Vid. AEPD, Informe Jurídico2002-0000 Procedimiento para la exención del deber de informar, https://212.170.242.196/portalweb/canaldocumentacion/informes_juridicos/deber_informacion/common/pdfs/2002-0000_Procedimiento-para-la-exenci-oo-n-del-deber-de-informar.pdf.

11. Vid. AEPD, I Sesión Anual Abierta de la AEPD “El nuevo reglamento de desarrollo de la ley orgánica deprotección de datos: problemática, interpretación y aplicación”, Madrid, 22 de abril de 2008, https://www.agpd.es/portalweb/jornadas/1_sesion_abierta/common/faqs_bloque_1.pdf.

29


sus derechos de acceso, rectificación, cancelación y oposición. Información queacompañará cada comunicación que el responsable le realice.

En relación con el censo promocional o las listas de personas pertenecientes agrupos de profesionales, establece la LOPD (artículo 28) la limitación de incluir endichas fuentes los datos estrictamente necesarios para cumplir la finalidad a que sedestina cada listado, de manera que la inclusión de datos adicionales por las entida-des responsables del mantenimiento de las mismas requerirá el consentimiento delinteresado, que podrá ser revocado en cualquier momento.

Además, la LOPD establece los siguientes derechos a favor de los interesados:

Respecto de los datos que consten en el censo promocional, a exigirgratuitamente la exclusión de la totalidad de los mismos por las entidadesencargadas de su mantenimiento.

En relación con los listados de los colegios profesionales, a que la entidad respon-sable de su mantenimiento indique gratuitamente que sus datos personales nopodrán ser utilizados para fines de publicidad o prospección comercial.

La atención a la solicitud de exclusión de la información innecesaria o deinclusión de la objeción al uso de los datos para fines de publicidad o venta adistancia deberá realizarse en el plazo de diez días respecto de las informacionesque se realicen mediante consulta o comunicación telemática y en la siguienteedición del listado cualquiera que sea el soporte en que se edite.

Las fuentes de acceso público que se editen en forma de libro o algún otro soportefísico, perderán el carácter de fuente accesible con la nueva edición que se publique y,en el caso de que se obtenga telemáticamente una copia de la lista en formato electróni-co, en el plazo de un año, contado desde el momento de su obtención.

Una vez tratada la información que debemos facilitar al titular de los datos enlos supuestos más habituales de recogida de los mismos, podemos avanzar un pocomás profundizando de forma muy somera pero clarificadora los extremos que, porresultar menos precisos o haber sido expresados de una forma muy genérica por ellegislador, pueden dar lugar a dudas o interpretaciones erróneas.

En principio, parece que no tiene porqué generar problema alguno informaracerca de la identidad y dirección del responsable del tratamiento o su representante,la existencia de un fichero o tratamiento de datos de carácter personal, el carácterobligatorio o facultativo de la respuesta a las preguntas planteadas por el titular de losdatos, las consecuencias de la obtención de los datos o la negativa a suministrarlos o laposibilidad de ejercitar los derechos de acceso, rectificación, cancelación u oposición.Por el contrario, consideramos oportuno desarrollar las siguientes expresiones en arasa aportar una mayor claridad en relación con la intención del legislador.

La finalidad de la recogida de los datos

Cuando el responsable de un fichero recaba datos para una finalidad específi-ca, seguramente no le plantee ningún problema informar sobre la misma. No

30


obstante, en la vida comercial, empresarial o profesional, no son pocos los casos enlos que resulta muy importante para el responsable del fichero el uso de los datospara finalidades que exceden de una finalidad específica y fácil de definir. Desdeque se ha establecido la relación inicial con el titular de los datos, lo más habitual ycon tendencia ascendente, es que el responsable del fichero desee utilizar los datoscon finalidades diferentes a la inicial. Entre las más comunes se encuentran lafidelización de clientes -basada en acciones como el envío de felicitaciones en fechastan señaladas como Navidad, Año Nuevo o cumpleaños-, ofrecer otros productos oservicios que puedan resultar de interés -a través de campañas comerciales-, valorarla calidad de los productos o servicios prestados -utilizando encuestas de calidad osatisfacción-, enviar revistas informativas destinadas a lectores con un perfil prede-terminado y hacer estudios de mercado de los gustos de los clientes.

Para el uso de los datos facilitados inicialmente con todas estas finalidades, loque permitiría al responsable del fichero sacar un mayor aprovechamiento del mis-mo, traducido normalmente en un mayor beneficio económico, resulta imprescindi-ble haber informado correctamente. Es a la hora de informar del uso de los datospara todas estas finalidades cuando el responsable del fichero puede encontrarsecon problemas, principalmente, que el interesado se niegue a facilitar sus datos.

La experiencia nos ha aportado soluciones prácticas para solventar este proble-ma, basadas en el redacción de cláusulas que, sin saltar las fronteras de lo legítimo,nos permiten ampliar y generalizar la finalidad para la que se recaban los datos.

Los destinatarios de la información

A medida que evoluciona la industria, el comercio e, incluso, la prestación deservicios por los profesionales, se extiende la colaboración con diversas personas,empresas o entidades en el desarrollo de un objeto social o actividad legítima, frutode la necesidad de recurrir a personas o empresas especializadas para cubrir caren-cias propias o abordar proyectos de mayor envergadura a la que una sola compañíapuede hacer frente. En numerosas ocasiones, estas colaboraciones llevan implícita lanecesidad de facilitar datos de carácter personal que constan en un fichero propio.Si la LOPD no obligara a informar previamente al titular de los datos de los destina-tarios de los mismos, correríamos el grave riesgo de que esto se convirtiera en unacadena de cesiones desconocidas para el afectado, rompiéndose de este modo suposibilidad de decisión acerca del tratamiento de sus datos personales, quebrandoel derecho a la protección de los mismos. El ejemplo más claro en el que se produ-cen constantemente este tipo de cesiones es entre las empresas pertenecientes a unmismo grupo.

No obstante, tal y como ha ocurrido con la finalidad de la recogida de losdatos, en la práctica se han desarrollado soluciones que permiten que no resultenecesario dar una información detallada de cada destinatario de los datos quepuede llegar a intervenir en el tratamiento de los mismos -nombre o razón social-,resultando suficiente informar acerca de la categoría de los destinatarios de lainformación y la finalidad de las cesiones.

31


Esta posibilidad se ha visto reforzado por el RLOPD, en el que el legislador hamanifestado de forma expresa que:

“Cuando se solicite el consentimiento del afectado para la cesión de sus datos, éstedeberá ser informado de forma que conozca inequívocamente la finalidad a la que sedestinarán los datos respecto de cuya comunicación se solicita el consentimiento yel tipo de actividad desarrollada por el cesionario. En caso contrario, el consenti-miento será nulo”12.

Forma que se debe adoptar para facilitar la información y acreditación delcumplimiento del deber de informar

La LOPD no impone a los responsables de ficheros o tratamientos formaalguna para facilitar al titular de los datos la información necesaria para el trata-miento de los mismos.

Lo más habitual y sencillo, a priori, es utilizar el mismo medio que se utilizapara la recogida de los datos también para facilitar la información. Si nos traslada-mos a la práctica podemos afirmar que los sistemas de recogida de datos utilizadosmás frecuentemente son:

Oralmente. En principio, teniendo en cuenta que la LOPD no impone alos responsables de ficheros o tratamientos forma alguna para informar altitular de los datos, sería suficiente con prestarlo de forma oral. Unaalternativa es la colocación de carteles informativos en un lugar visiblepara las personas que facilitan los datos.

A través de formularios. El artículo 5.2 de la LOPD establece expresamen-te que cuando se usen formularios o impresos para la recogida, figuraráen los mismos la información necesaria, en forma claramente legible.

Contratos. Si el titular de los datos firma un contrato se debe incluir en elmismo la información relativa al tratamiento de sus datos.

Telefónicamente. Podría proporcionarse la información por el mismomedio, pero otra alternativa es enviar una comunicación posterior, apro-vechando por ejemplo la entrega del producto adquirido por teléfono.

En la práctica, se venía recomendando adoptar siempre medios que permitandisponer de una prueba del cumplimiento de dicha obligación con fundamento enun Informe jurídico de la AEPD13.

De este modo, a efectos de la Ley, será necesario que el responsable del trata-miento acredite la realización del envío, lo que sería posible tanto en el caso de queel envío se realice por el propio consultante como en caso de que el mismo seencomiende a una tercera empresa, que se certifique de algún modo la efectivarealización de los envíos, y exista un principio de prueba de que el envío efectiva-

12. Art. 12.2 RLOPD.13. Vid. AEPD, Informe Jurídico 0111/2005 Prueba en relación con el cumplimiento del deber de

información, https://www.agpd.es/portalweb/canaldocumentacion/informes_juridicos/deber_informacion/index-ides-idphp.php.

32


mente realizado ha llegado a su destino, lo que podría conseguirse, por ejemplo,mediante el acceso a las listas de devoluciones del servicio de correos.

El RLOPD -artículo 18- ha regulado de forma novedosa la acreditación deldeber de informar, estableciendo el deber de utilizar un medio que permita acredi-tar su cumplimiento, debiendo conservarse mientras persista el tratamiento de losdatos del afectado. Asimismo, el responsable deberá conservar el soporte en el queconste el cumplimiento del deber de informar, pudiendo utilizar medios informá-ticos o telemáticos para el almacenamiento de los soportes. Añade el legislador que,“en particular podrá proceder al escaneado de la documentación en soporte papel, siempre ycuando se garantice que en dicha automatización no ha mediado alteración alguna de lossoportes originales”.

La información dirigida a los menores de edad

Cuando el tratamiento se refiera a datos de menores de edad, la informacióndirigida a los mismos deberá expresarse en un lenguaje que sea fácilmente com-prensible por aquellos.

Supuestos especiales

El artículo 19 del RLOPD ha introducido como novedad lo siguiente:

“En los supuestos en que se produzca una modificación del responsable del ficherocomo consecuencia de una operación de fusión, escisión, cesión global de activos ypasivos, aportación o transmisión de negocio o rama de actividad empresarial, ocualquier operación de reestructuración societaria de análoga naturaleza, contem-plada por la normativa mercantil, no se producirá cesión de datos, sin perjuicio delcumplimiento por el responsable de lo dispuesto en el artículo 5 de la Ley Orgánica15/1999, de 13 de diciembre”.

Consecuencia de ello, podemos afirmar que en los supuestos indicados en elprecepto trascrito, habrá que informar al titular de los datos de los nuevos destina-tarios de la información, adquiriendo también especial importancia la informaciónrelativa a la finalidad, dado que en principio, el tratamiento debe limitarse a lafinalidad para la que se consintió inicialmente y ésta sólo podrá ampliarse en el casode que se facilite la información acerca de nuevas finalidades y el afectado consientael tratamiento de sus datos para las mismas.

4.1.4. El consentimiento del interesado

El principio del consentimiento del interesado, establecido en el artículo 6 de laLOPD, constituye una de las obligaciones principales en materia de protección dedatos. Como norma general, el tratamiento de los datos de carácter personal reque-rirá el consentimiento inequívoco del afectado. Antes de seguir adelante, resultaconveniente detenerse en la definición de consentimiento del interesado, recogidaen el artículo 3.K) de la LOPD: “toda manifestación de voluntad libre, inequívoca,específica e informada, mediante la que el interesado consienta el tratamiento de datos

33


personales que le conciernen” y analizar el significado de libre, inequívoco, específicoe informado. Para ello, nada mejor que recurrir a la interpretación de la AEPD,expresada en un Informe jurídico emitido en el año 200014.

Libre. Supone que el mismo deberá haber sido obtenido sin la interven-ción de vicio alguno del consentimiento en los términos regulados por elCódigo Civil.

Específico. Referido a una determinada operación de tratamiento y para unafinalidad determinada, explícita y legítima del responsable del tratamiento.

Inequívoco. Implica que no resulta admisible deducir el consentimientode los meros actos realizados por el afectado (consentimiento presunto),siendo preciso que exista expresamente una acción u omisión que impli-que la existencia del consentimiento.

Informado. Requiere que el afectado conozca con anterioridad al trata-miento la existencia del mismo y las finalidades para las que el mismo seproduce. Precisamente por ello, el artículo 5.1 de la LOPD impone eldeber de informar a los interesados de una serie de extremos que en elmismo se contienen. De este modo, el consentimiento se encuentra ínti-mamente relacionado con la información para la recogida de los datos, yaque para que se cumplan los requisitos del mismo el responsable delfichero o tratamiento debe informar previa y correctamente al titular delos datos de la existencia del fichero o tratamiento y de las finalidadespara las que se destinarán los datos. Como consecuencia de ello, la solici-tud de consentimiento debe referirse a un tratamiento o serie de trata-mientos concretos, con delimitación de la finalidad para la que se recabanlos datos y las restantes condiciones que concurran en el tratamiento oserie de tratamientos. Así lo ha recogido el RLOPD en su artículo 12.1.

No obstante, la propia LOPD establece excepciones a la obligación de obtenerel consentimiento para el tratamiento de los datos de carácter personal, en concreto:

A. Que la Ley disponga otra cosa.

B. Que los datos de carácter personal se recojan para el ejercicio de lasfunciones propias de las Administraciones Públicas en el ámbito de suscompetencias.

C. Que los datos se refieran a las partes de un contrato o precontrato de unarelación negocial, laboral o administrativa y sean necesarios para sumantenimiento o cumplimiento.

D. Que el tratamiento de los datos tenga por finalidad proteger un interésvital del interesado, cuando dicho tratamiento resulte necesario para laprevención o el diagnóstico médicos, la prestación de asistencia sanitaria

14. Vid. AEPD, Informe Jurídico 2000-0000 Caracteres del consentimiento definido por la LOPD, https://www.agpd.es/portalweb/canaldocumentacion/informes_juridicos/consentimiento/index-ides-idphp.php.

34


o tratamientos médicos o la gestión de servicios sanitarios, siempre quedicho tratamiento de datos se realice por un profesional sanitario sujeto alsecreto profesional o por otra persona sujeta asimismo a una obligaciónequivalente de secreto.

E. Que los datos figuren en fuentes accesibles al público y su tratamiento seanecesario para la satisfacción del interés legítimo perseguido por elresponsable del fichero o por el del tercero a quien se comuniquen losdatos, siempre que no se vulneren los derechos y libertades fundamenta-les del interesado.

En estos casos, en los que no sea necesario el consentimiento del afectado para eltratamiento de los datos de carácter personal y, siempre que una Ley no disponga lo contra-rio, la LOPD concede al mismo la posibilidad de oponerse a su tratamiento cuando existanmotivos fundados y legítimos relativos a una concreta situación personal.

Revocación del consentimiento

El derecho del titular de los datos a revocar el consentimiento prestado para eltratamiento de sus datos ha sido reconocido por el legislador en la LOPD, a travésde los artículos 6.3, en el que se recoge expresamente este derecho15 y 16.1, en el quese establece la obligación para el responsable del tratamiento de hacer efectivo elderecho del titular de los datos a que sean cancelados, lo que conlleva la imposibili-dad para el responsable de continuar en el tratamiento consentido anteriormente.

Asimismo, en el artículo 11.4 se reconoce expresamente el derecho del titularde los datos a revocar el consentimiento prestado para la cesión de los mismos16.

El RLOPD -artículo 17- ha desarrollado la revocación del consentimiento enrelación con la forma de llevarlo a cabo, estableciendo la posibilidad de realizarlo através de un medio sencillo, gratuito y que no implique ingreso alguno para elresponsable del fichero o tratamiento. En concreto, reconoce como medios adecua-dos un envío franqueado al responsable del tratamiento o, incluso, la llamada a unnúmero de teléfono gratuito o a los servicios de atención al público establecidos porel mismo.

Por el contrario, no se considerarán conformes a lo dispuesto en la LOPD, lossupuestos en que el responsable establezca como medio para que el interesadopueda manifestar su negativa al tratamiento el envío de cartas certificadas o envíossemejantes, la utilización de servicios de telecomunicaciones que implique unatarificación adicional al afectado o cualesquiera otros medios que impliquen uncoste adicional al interesado.

Las consecuencias que implica la revocación del consentimiento para el res-ponsable del tratamiento se detallan a continuación:

15. Art. 6.3 de la LOPD: “El consentimiento a que se refiere el artículo podrá ser revocado cuando existacausa justificada para ello y no se le atribuyan efectos retroactivos”.

16. Art. 11.4 de la LOPD: “El consentimiento para la comunicación de los datos de carácter personal tienetambién un carácter revocable”.

35


Cesar en el tratamiento de los datos del interesado en un plazo máximo dediez días a contar desde la fecha de la recepción de la revocación.

Si el interesado hubiera solicitado la confirmación del cese en el tratamien-to de sus datos, deberá responder expresamente a la solicitud.

Si los datos hubieran sido cedidos previamente, deberá comunicar larevocación del consentimiento a los cesionarios, en el plazo indicado en elpunto anterior, para que éstos cesen en el tratamiento de los datos en casode que aún lo mantuvieran.

Forma de prestar el consentimiento

Teniendo en cuenta que la LOPD establece la necesidad de manifestar elconsentimiento de forma expresa y por escrito, únicamente, para el tratamiento dealgunos tipos de datos, podemos afirmar que, como norma general, admite elconsentimiento tácito. Dentro del consentimiento inequívoco que exige para eltratamiento de los datos de carácter personal, distingue tres categorías de consenti-miento en función de los datos objeto de tratamiento:

Tácito. Suficiente para el tratamiento de todos los datos, salvo los espe-cialmente protegidos -ideología, afiliación sindical, religión, creencias,origen racial, salud y vida sexual-.

En este sentido se ha pronunciado la AEPD en un informe jurídico recien-te17 afirmando que:

“El consentimiento, salvo cuando el tratamiento se refiera a los datos especial-mente protegidos, regulados por el artículo 7 de la Ley Orgánica, podráobtenerse de forma expresa o tácita, es decir, tanto como consecuencia de unaafirmación específica del afectado en ese sentido, como mediante la falta deuna manifestación contraria al tratamiento, para la que se hayan concedidomecanismos de fácil adopción por el afectado y un tiempo prudencial para darla mencionada respuesta negativa”.

Expreso. En función de lo establecido en el artículo 7.2 de la LOPD, losdatos de carácter personal que revelan la ideología, afiliación sindical,religión y creencias del afectado sólo podrán ser tratados con su consenti-miento expreso y por escrito, salvo en los casos de ficheros mantenidospor los partidos políticos, sindicatos, iglesias, confesiones o comunidadesreligiosas y asociaciones, fundaciones y otras entidades sin ánimo delucro, cuya finalidad sea política, filosófica, religiosa o sindical, en cuantoa los datos relativos a sus asociados o miembros.

Expreso y por escrito. Los datos de carácter personal que hagan referenciaal origen racial, a la salud y a la vida sexual sólo podrán ser recabados,

17. Vid. AEPD, Informe Jurídico 93/2008 Formas de obtener el consentimiento mediante web:Consentimientos tácitos, https://www.agpd.es/portalweb/canaldocumentacion/informes_juridicos/consentimiento/index-ides-idphp.php.

36


tratados y cedidos cuando, por razones de interés general, así lo dispongauna Ley o el afectado consienta expresamente. Así se desprende delartículo 7.2 de la LOPD.

Teniendo en cuenta que corresponde al responsable del tratamiento la pruebade la existencia del consentimiento del titular de los datos para su tratamiento, porcualquier medio de prueba admisible en derecho, a pesar de no resultar necesario,lo más recomendable es disponer del consentimiento expreso y por escrito.

El responsable del tratamiento podrá solicitar el consentimiento del interesadopara el tratamiento de sus datos de carácter personal a través del procedimientoestablecido en el artículo 14 del RLOPD, salvo cuando la Ley exija al mismo laobtención del consentimiento expreso para el tratamiento de los datos, en virtud delcual, una vez que el responsable ha informado al afectado, deberá concederle unplazo de treinta días para manifestar su negativa al tratamiento, advirtiéndole deque en caso de no pronunciarse a tal efecto se entenderá que consiente el tratamien-to de sus datos de carácter personal. En concreto, cuando se trate de responsablesque presten al afectado un servicio que genere información periódica o reiterada, ofacturación periódica, la comunicación podrá llevarse a cabo de forma conjunta aesta información o a la facturación del servicio prestado, siempre que se realice deforma claramente visible.

En todo caso, será necesario que el responsable del tratamiento pueda conocersi la comunicación ha sido objeto de devolución por cualquier causa, en cuyo casono podrá proceder al tratamiento de los datos referidos a ese interesado.

Finalmente, el RLOPD establece que cuando se solicite el consentimiento delinteresado a través de este procedimiento, no será posible solicitarlo nuevamenterespecto de los mismos tratamientos y para las mismas finalidades en el plazo deun año a contar desde la fecha de la anterior solicitud.

Consentimiento para el tratamiento de los datos de menores de edad

Una novedad importante del RLOPD es la regulación del consentimiento para eltratamiento de los datos de menores de edad -ya que nada se regula al respecto en laLOPD-, estableciendo la edad de catorce años para poder consentir en el tratamientode los datos de carácter personal, salvo en aquellos casos en los que la Ley exija para suprestación la asistencia de los titulares de la patria potestad o tutela. En el caso de losmenores de catorce años se requerirá el consentimiento de los padres o tutores.

No obstante, se establece una limitación para el responsable del fichero otratamiento en relación con los datos que se pueden obtener del menor, ya que enningún caso podrán recabarse a través de este datos que permitan obtener informa-ción sobre los demás miembros del grupo familiar o las características del mismo,como los datos relativos a la actividad profesional de los progenitores, informacióneconómica, datos sociológicos o cualesquiera otros, sin el consentimiento de lostitulares de tales datos. Únicamente podrán recabarse los datos de identidad ydirección del padre, madre o tutor con la única finalidad de recabar la autorizaciónde los mismos para el tratamiento de los datos.

37


Finalmente, se impone al responsable del fichero o tratamiento la obligación dearticular los procedimientos que garanticen que se ha comprobado de modo efecti-vo la edad del menor y la autenticidad del consentimiento prestado en su caso, porlos padres, tutores o representantes legales. En algunos supuestos, como el de ob-tención de los datos a través de una página web, parece difícil articular un sistemaque permita al responsable disponer de esta garantía. Para este caso concreto laAEPD ha propuesto y admitido como válida la opción de poner una casilla en laque se deba indicar la edad en la que resulte imposible introducir una fecha másantigua a dieciocho años desde la fecha18.

4.2. Durante el tratamiento de los datos

4.2.1. La calidad de los datos

De nuevo está presente el principio de calidad de los datos que, si bien no sepuede olvidar en ninguna de las fases en las que hemos dividido el tratamiento delos mismos, adquiere especial relevancia en este momento.

En virtud de lo establecido en el artículo 4 de la LOPD, los datos personales:

no pueden usarse para finalidades incompatibles con aquellas para lasque se han recogido,

tienen que ser exactos y puestos al día, de forma que respondan converacidad a la situación actual de su titular y

tienen que ser almacenados de forma que permitan el ejercicio del derechode acceso.

El uso de los datos en relación con la finalidad para la que se obtuvieronEn virtud de lo establecido en el artículo 4 de la LOPD, los datos de carácter

personal objeto de tratamiento no pueden usarse para finalidades incompatibles conaquellas para las que los datos hubieran sido recogidos y no se considerarán comotales el tratamiento posterior de éstos con fines históricos, estadísticos o científicos.

Después de esta afirmación, parece casi inevitable detenerse a analizar laexpresión “finalidades incompatibles”, utilizada por primera vez en la LOPD, supo-niendo un cambio de redacción respecto del artículo 4 de la LORTAD, en el que seestablecía que los datos no podrían usarse para “finalidades distintas” a aquellas paralas que hubieran sido recogidos. La utilización del término incompatibles puedesuponer un peligro para el respeto al derecho a la protección de datos por parte delos responsables de los ficheros y tratamientos, ya que interpretando el términoincompatible en su sentido estricto, pocas finalidades resultarían incompatibles conaquella para la que se obtuvieron los datos.

18. Vid. AEPD, I Sesión Anual Abierta de la AEPD “El nuevo reglamento de desarrollo de la ley orgánica deprotección de datos: problemática, interpretación y aplicación”, Madrid, 22 de abril de 2008, https://www.agpd.es/portalweb/jornadas/1_sesion_abierta/index-ides-idphp.php.

38


Debemos seguir interpretando este principio como la imposibilidad de uso delos datos para finalidades distintas, tal y como se recogía en la LORTAD, ya que asílo ha interpretado el Tribunal Constitucional, en su Sentencia 292/2000, de 30 denoviembre, que viene a identificar el citado término con “fines distintos”.

Así, dispone la citada sentencia en su Fundamento Jurídico 5 que “La garantíade la vida privada de la persona y de su reputación poseen hoy una dimensión positiva queexcede el ámbito propio del derecho fundamental a la intimidad (art. 18.1 CE), y que setraduce en un derecho de control sobre los datos relativos a la propia persona. La llamada«libertad informática» es así derecho a controlar el uso de los mismos datos insertos en unprograma informático («habeas data») y comprende, entre otros aspectos, la oposición delciudadano a que determinados datos personales sean utilizados para fines distintos de aquellegítimo que justificó su obtención (SSTC 11/1998, F. 5, 94/1998, F. 4)”.

Asimismo, la sentencia vuelve a interpretar este precepto cuando indica que “lacesión de los mismos (datos) a un tercero para proceder a un tratamiento con fines distintos delos que originaron su recogida, aun cuando puedan ser compatibles con éstos (art. 4.2 LOPD),supone una nueva posesión y uso que requiere el consentimiento del interesado”19.

La AEPD reproduce esta interpretación en su informe jurídico 0078/2005:“Tratamiento de datos para fines incompatibles”20.

La propia LOPD afirma que no se considerará incompatible el tratamientoposterior de los datos con fines históricos, estadísticos o científicos y el artículo 9RLOPD desarrolla el tratamiento de los datos con estos fines, estableciendo quepara la determinación de los mismos se estará a la legislación que en cada casoresulte aplicable y, en particular, a lo dispuesto en la Ley 12/1989, de 9 de mayo,Reguladora de la función estadística pública, la Ley 16/1985, de 25 junio, delPatrimonio histórico español y la Ley 13/1986, de 14 de abril de Fomento y coordi-nación general de la investigación científica y técnica y sus respectivas disposicionesde desarrollo, así como a la normativa autonómica en estas materias.

Exactitud de los datos

Los datos de carácter personal objeto de tratamiento tienen que ser exactos ypuestos al día de forma que respondan con veracidad a la situación actual de su ti-tular, de manera que si los datos registrados resultan inexactos, en todo o en parte, oincompletos, el responsable del fichero o tratamiento se verá obligado a cancelarlosy sustituirlos de oficio por los correspondientes datos rectificados o completados21.

Ejercicio del derecho de acceso

Los datos de carácter personal tienen que ser almacenados de forma quepermitan el ejercicio del derecho de acceso, salvo que sean legalmente cancelados.Este derecho será desarrollado en el apartado 5.4.1.

19. Este argumento es reiterado en el posterior Fundamento Jurídico 14.20. Vid. AEPD, Informe Jurídico 0078/2005 Tratamiento de datos para fines incompatibles, https://

www.agpd.es/portalweb/canaldocumentacion/informes_juridicos/consentimiento/index-ides-idphp.php.

39


4.2.2. El deber de secretoEl deber de secreto es uno de los principios básicos en materia de protección

de datos de carácter personal, establecido en el artículo 10 de la LOPD.Al margen del deber de secreto profesional establecido en relación con algunas

profesiones, tales como la abogacía o la medicina, la LOPD establece una obligaciónde guardar secreto que afecta, no sólo al responsable del fichero, sino a todas laspersonas que intervienen en cualquier fase del tratamiento de los datos de carácterpersonal, con independencia de la actividad profesional de cada una de ellas. Enconcreto, establece el sometimiento al secreto profesional respecto de los datos decarácter personal y al deber de guardarlos.

Al margen de las sanciones en materia de protección de datos en las quepudiera derivar la vulneración de este principio, es importante tener en cuenta quela revelación de secretos se encuentra tipificada como delito en el Código Penal -artículos 197 a 200-, castigando el apoderamiento, utilización o modificación dedatos de carácter personal o familiar de un tercero que se encuentren registrados enficheros o soporte informáticos, electrónicos o telemáticos o en cualquier otro tipode archivo o registro público o privado, sin autorización y en perjuicio de tercero.Del mismo modo, se castiga a los que accedan a los mismos por cualquier medio,sin autorización, así como a quien los altere o utilice en perjuicio del titular de losdatos o de un tercero.

Para evitar sanciones de la AEPD como consecuencia de la vulneración de esteprincipio por parte de los usuarios de los datos, se recomienda al responsable delfichero o tratamiento establecer por escrito una política de información y formacióncon el objetivo de ponerles en conocimiento de sus funciones y obligaciones en materiade protección de datos personales.

4.2.3. La seguridad de los datosEste principio, establecido en el artículo 9 de la LOPD, impone al responsable del

fichero, todos los posibles encargados del tratamiento y todas las personas que inter-vienen en el mismo, la obligación de adoptar las medidas de índole técnica yorganizativas necesarias que garanticen la seguridad de los datos de carácter personaly eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta delestado de la tecnología, la naturaleza de los datos almacenados y los riesgos a queestán expuestos, ya provengan de la acción humana o del medio físico o natural. Deeste modo, no se podrán registrar datos de carácter personal en ficheros que no reúnan

21. La Jurisprudencia ha tenido ocasión de analizar el alcance de este principio en las siguientes sentencias:Sentencia de la Sala de lo Contencioso Administrativo de la Audiencia Nacional, de 6 de julio de 2001;Sentencia de la Sección Novena de la Sala de lo Contencioso Administrativo del Tribunal Superior deJusticia de Madrid, de 5 de noviembre de 1998; Sentencia de la Sección Octava de la Sala de loContencioso Administrativo del Tribunal Superior de Justicia de Madrid, de 18 de octubre de 2000;Sentencia de la Sección Octava de la Sala de lo Contencioso Administrativo del Tribunal Superior deJusticia de Madrid, de 26 de mayo de 1999; Sentencia de la Sala de lo Contencioso Administrativo de laAudiencia Nacional, de 19 de enero de 2001; Sentencia de la Sección Octava de la Sala de lo ContenciosoAdministrativo del Tribunal Superior de Justicia de Madrid, de 9 de febrero de 2000; Sentencia de la Salade lo Contencioso Administrativo de la Audiencia Nacional, de 9 de marzo de 2001.

40


las condiciones determinadas por el RLOPD con respecto a su integridad y seguridady a las de los centros de tratamiento, locales, equipos, sistemas y programas.

El RLOPD dedica todo su Título VIII al desarrollo de las medidas de seguridaden el tratamiento de datos de carácter personal, estableciendo unas disposicionesgenerales -relativas a todos los ficheros o tratamientos de datos de carácter perso-nal, independientemente del soporte en el que se encuentren- y las medidas deseguridad aplicables con carácter específico a los ficheros y tratamientos automati-zados y manuales, respectivamente.

Las medidas de seguridad exigibles a los ficheros y tratamientos se clasificanen tres niveles (básico, medio y alto), definidos en función del tipo de datos conteni-dos en dichos ficheros o sometidos a tratamiento.

Las medidas incluidas en cada uno de estos niveles tienen la condición demínimos exigibles, sin perjuicio de las disposiciones legales o reglamentariasespecíficas vigentes que pudieran resultar de aplicación en cada caso o las que porpropia iniciativa adoptase el responsable del fichero.

A. Nivel básico.

Todos los ficheros o tratamientos de datos de carácter personal deberán adop-tar las medidas de seguridad calificadas de nivel básico.

Las medidas de seguridad aplicables para los ficheros y tratamiento de datosde nivel básico son las que se detallan a continuación:

1. Para todos los ficheros (automatizados o no).

1.a. Personal.

Definir las funciones y obligaciones de los diferentes usuarios ode los perfiles de usuarios.

Definir las funciones de control y las autorizaciones delegadaspor el responsable.

Difundir entre el personal, de las normas que les afecten y lasconsecuencias por su incumplimiento.

1.b. Incidencias.

Llevar un registro de incidencias en el que se detalle: tipo,momento de su detección, persona que la notifica, efectos ymedidas correctoras.

Elaborar un procedimiento de notificación y gestión de lasincidencias.

1.c. Control de acceso.

Disponer de una relación actualizada de usuarios y accesosautorizados.

41


Controlar los accesos permitidos a cada usuario según las funcio-nes asignadas.

Implantar mecanismos que eviten el acceso a datos o recursoscon derechos distintos de los autorizados.

Conceder permisos de acceso sólo el personal autorizado.

Adoptar las mismas medidas para personal ajeno con acceso alos recursos de datos.

1.d. Gestión de soportes.

Crear un inventario de soportes.

Identificar el tipo de información que contienen los soportes.

Restringir el acceso al lugar de almacenamiento de los soportes.

Autorizar las salidas de soportes (incluidas a través de e-mail).

Implantar medidas para el transporte y el desecho de soportes.

2. Solo para ficheros automatizados.

2.a. Identificación y autenticación.

Implantar mecanismos de identificación y autenticaciónpersonalizada de los usuarios.

Crear un procedimiento de asignación y distribución de contraseñas.

Almacenar las contraseñas de forma ininteligible.

Cambiar las contraseñas con una periodicidad mínima de 1 año.

2.b. Copias de respaldo.

Hacer una copia de respaldo semanal.

Establecer procedimientos de generación de copias de respaldo yrecuperación de datos.

Verificar semestralmente los procedimientos.

Reconstruir los datos a partir de la última copia o grabarlosmanualmente en su caso, si existe documentación que lo permita.

Realizar copia de seguridad y aplicar el nivel de seguridadcorrespondiente, si se realizan pruebas con datos reales.

3. Solo para ficheros no automatizados.

3.a. Criterios de archivo.

El archivado de documentos debe realizarse según criterios quefaciliten su consulta y localización para garantizar el ejercicio delos derechos de acceso, rectificación, cancelación y oposición.

42


3.b. Almacenamiento.

Dotar a los dispositivos de almacenamiento de mecanismos queobstaculicen su apertura.

3.c. Custodia de soportes.

Establecer criterios de diligente y custodia de la documentaciónpor parte de la persona a cargo de la misma, durante su revisióno tramitación, para evitar accesos no autorizados.

B. Nivel medio.

Además de las medidas de seguridad de nivel básico, deberán implantarse las denivel medio, en los siguientes ficheros o tratamientos de datos de carácter personal:

Los relativos a la comisión de infracciones administrativas o penales.

Los relacionados con la prestación de servicios de información sobresolvencia patrimonial y crédito.

Aquellos de los que sean responsables Administraciones tributarias y serelacionen con el ejercicio de sus potestades tributarias.

Aquellos de los que sean responsables las entidades financieras parafinalidades relacionadas con la prestación de servicios financieros.

Aquellos de los que sean responsables las Entidades Gestoras y ServiciosComunes de la Seguridad Social y se relacionen con el ejercicio de suscompetencias. De igual modo, aquellos de los que sean responsables lasmutuas de accidentes de trabajo y enfermedades profesionales de laSeguridad Social.

Aquellos que contengan un conjunto de datos de carácter personal queofrezcan una definición de las características o de la personalidad de losciudadanos y que permitan evaluar determinados aspectos de la persona-lidad o del comportamiento de los mismos.

Las medidas de seguridad aplicables para los ficheros y tratamiento de datosde nivel medio son las que se detallan a continuación:

1. Para todos los ficheros (automatizados o no).

1.a. Personal.


Definir de las funciones de control y las autorizaciones delegadaspor el responsable


43


1.b. Incidencias.

Llevar un registro de incidencias en el que se detalle: tipo,momento de su detección, persona que la notifica, efectos ymedidas correctoras






Conceder permisos de acceso sólo el personal autorizado. Adoptar las mismas medidas para personal ajeno con acceso a

los recursos de datos.1.d. Gestión de soportes.

Crear un inventario de soportes. Identificar el tipo de información que contienen los soportes. Restringir el acceso al lugar de almacenamiento de los soportes. Autorizar las salidas de soportes (incluidas a través de e-mail). Implantar medidas para el transporte y el desecho de soportes.

1.e. Auditoría.

Realizar una auditoría, interna o externa, al menos cada dos años. Realizar una auditoría ante modificaciones sustanciales en los

sistemas de información con repercusiones en seguridad, pese ano haber transcurrido el plazo indicado en el punto anterior.

Verificar y controlar la adecuación de las medidas de seguridadimplantadas.

Emitir un informe de las detecciones de deficiencias y propuestascorrectoras.

Analizar el informe del responsable de seguridad y remitir lasconclusiones al responsable del fichero.

2. Sólo para ficheros automatizados.

2.a. Gestión de soportes.

Registrar la entrada y salida de soportes en el que se detalle:documento o soporte, fecha, emisor/destinatario, número, tipo

44


de información, forma de envío, responsable autorizada pararecepción/entrega.

2.b. Identificación y autenticación.


Crear un procedimiento de asignación y distribución de contraseñas. Almacenar las contraseñas de forma ininteligible. Cambiar las contraseñas con una periodicidad mínima de 1 año.

2.c. Copias de respaldo.

Hacer una copia de respaldo semanal. Establecer procedimientos de generación de copias de respaldo y

recuperación de datos. Verificar semestralmente los procedimientos. Reconstruir los datos a partir de la última copia o grabarlos

manualmente en su caso, si existe documentación que lo permita. Realizar copia de seguridad y aplicar el nivel de seguridad

correspondiente, si se realizan pruebas con datos reales.3. Solo para ficheros no automatizados.

3.a. Criterios de archivo.


3.b. Almacenamiento.


3.c. Custodia de soportes.


C. Nivel alto.

En los siguientes ficheros o tratamientos de datos de carácter personal, ade-más de las medidas de nivel básico y medio, se aplicarán las medidas de nivel alto:

Los que se refieran a datos de ideología, afiliación sindical, religión,creencias, origen racial, salud o vida sexual.

Los que contengan o se refieran a datos recabados para fines policiales sinconsentimiento de las personas afectadas.

45


Aquéllos que contengan datos derivados de actos de violencia de género.

Las medidas de seguridad aplicables para los ficheros y tratamiento de datosde nivel básico son las que se detallan a continuación:

1.- Para todos los ficheros (automatizados o no).

1.a. Personal.


Definir de las funciones de control y las autorizaciones delegadaspor el responsable


1.b. Incidencias.

Llevar un registro de incidencias en el que se detalle: tipo,momento de su detección, persona que la notifica, efectos ymedidas correctoras






Conceder permisos de acceso sólo el personal autorizado. Adoptar las mismas medidas para personal ajeno con acceso a

los recursos de datos.1.d. Gestión de soportes.

Crear un inventario de soportes.

Identificar el tipo de información que contienen los soportes,utilizando un sistema de etiquetado que dificulte la identifica-ción para las personas diferentes de los usuarios.

Restringir el acceso al lugar de almacenamiento de los soportes.

Autorizar las salidas de soportes (incluidas a través de e-mail).

Implantar medidas para el transporte y el desecho de soportes.

Cifrar los datos en la distribución de soportes.

46


Cifrar la información en dispositivos portátiles fuera de lasinstalaciones (evitar el uso de dispositivos que no permitancifrado, o adoptar medidas alternativas).

1.e. Auditoría. Realizar una auditoría, interna o externa, al menos cada dos años.

Realizar una auditoría ante modificaciones sustanciales en lossistemas de información con repercusiones en seguridad, pese ano haber transcurrido el plazo indicado en el punto anterior.

Verificar y controlar la adecuación de las medidas de seguridadimplantadas.

Emitir un informe de las detecciones de deficiencias y propuestascorrectoras.

Analizar el informe del responsable de seguridad y remitir lasconclusiones al responsable del fichero.

2.- Solo para ficheros automatizados.

2.a. Registro de accesos. (No resulta de aplicación si el responsable delfichero es una persona física y es el único usuario.) Llevar un registro de accesos en el que se haga constar: usuario,

hora, fichero, tipo de acceso, autorizado o denegado.

Revisar el responsable de seguridad el registro de accesos men-sualmente.

Conservar la información del registro de accesos al menos 2 años.

2.b. Gestión de soportes. Registrar la entrada y salida de soportes en el que se detalle:

documento o soporte, fecha, emisor/destinatario, número, tipode información, forma de envío, responsable autorizada pararecepción/entrega.

2.c. Identificación y autenticación.


Crear un procedimiento de asignación y distribución de contraseñas.

Almacenar las contraseñas de forma ininteligible.

Cambiar las contraseñas con una periodicidad mínima de 1 año.

2.d. Copias de respaldo.

Hacer una copia de respaldo semanal.

Establecer procedimientos de generación de copias de respaldo yrecuperación de datos.

47


Verificar semestralmente los procedimientos.

Reconstruir los datos a partir de la última copia o grabarlosmanualmente en su caso, si existe documentación que lo permita.

Realizar copia de seguridad y aplicar el nivel de seguridadcorrespondiente, si se realizan pruebas con datos reales.

Conservar una copia de respaldo en lugar diferente del que seencuentren los equipos informáticos que los tratan.

3. Solo para ficheros no automatizados.

3.a. Control de acceso.

Limitar el acceso al personal autorizado.

Establecer mecanismos que permitan identificar los accesos adocumentos accesibles por múltiples usuarios.

3.b. Criterios de archivo.


3.c. Almacenamiento.


Localizar los armarios, archivadores u otros elementos donde sealmacenen los ficheros en áreas con acceso protegido con puertascon llave u otro dispositivo equivalente.

3.d. Custodia de soportes.


3.e. Copia o reproducción.

Limitar la posibilidad de realización a los usuarios autorizados.

Destruir las copias desechadas.

Como resumen de las medidas de seguridad aplicables a los ficheros o trata-mientos de datos de carácter personal, haremos uso de un cuadro extraído de laGuía de Seguridad creada por la AEPD en abril de 200822.

22. Vid. AEPD Guía de Seguridad, https://www.agpd.es/portalweb/canalresponsable/guia_documento/common/pdfs/guia_seguridad.pdf.

48


NIVEL BÁSICONIVEL MEDIO

NIVEL ALTO

Responsableseguridad

El responsable delfichero tiene quedesignar a uno ovarios responsablesde seguridad (no esuna delegación deresponsabilidad).

El responsable deseguridad es elencargado decoordinar y controlarlas medidas deldocumento.

Personal Funciones y obliga-ciones de losdiferentes usuarios ode los perfiles deusuarios claramentedefinidas y documen-tadas.

Definición de lasfunciones de controly las autorizacionesdelegadas por elresponsable.

Difusión entre elpersonal, de lasnormas que lesafecten y de lasconsecuencias porincumplimiento.

Incidencias Registro de inciden-cias: tipo, momentode su detección,persona que lanotifica, efectos ymedidas correctoras.

Procedimiento denotificación y gestiónde las incidencias.

SOLO FICHEROSAUTOMATIZADOS

Anotar los procedi-mientos de recupera-ción, persona que loejecuta, datosrestaurados, y en sucaso, datos grabadosmanualmente.

Autorización delresponsable delfichero para larecuperación dedatos.

49


NIVEL ALTO

Control deacceso

Relación actualizadade usuarios y accesosautorizados.

Control de accesospermitidos a cadausuario según lasfunciones asignadas.

Mecanismos queeviten el acceso adatos o recursos conderechos distintos delos autorizados.

Concesión depermisos de accesosólo por personalautorizado.

Mismas condicionespara personal ajenocon acceso a losrecursos de datos.


Control de accesofísico a los localesdonde se encuentrenubicados los sistemasde información.


Registro de accesos:usuario, hora, fichero,tipo de acceso,autorizado odenegado.

Revisión mensual delregistro por elresponsable deseguridad.

Conservación 2 años.

No es necesario esteregistro si el respon-sable del fichero esuna persona física yes el único usuario.

SOLO FICHEROS NOAUTOMATIZADOS

Control de accesosautorizados.

Identificación accesospara documentosaccesibles pormúltiples usuarios.

Identificación yautenticación


Identificación yautenticaciónpersonalizada.

Procedimiento deasignación ydistribución decontraseñas.

Almacenamientoininteligible de lascontraseñas.

Periodicidad delcambio de contrase-ñas (>1 año).


Límite de intentosreiterados de accesono autorizado.


50



NIVEL ALTO

Gestión desoportes

Inventario desoportes.

Identificación del tipode información quecontienen, o sistemade etiquetado.

Acceso restringido allugar de almacena-miento.

Autorización de lassalidas de soportes(incluidas a través dee-mail).

Medidas para eltransporte y eldesecho de soportes.


Registro de entrada ysalida de soportes:documento o soporte,fecha, emisor/destinatario, número,tipo de información,forma de envío,responsable autoriza-da para recepción/entrega.


Sistema de etiquetadoconfidencial.

Cifrado de datos en ladistribución desoportes.

Cifrado de informa-ción en dispositivosportátiles fuera de lasinstalaciones (evitarel uso de dispositivosque no permitancifrado).

Copias derespaldo


Copia de respaldosemanal.

Procedimientos degeneración de copiasde respaldo yrecuperación dedatos.

Verificación semestralde los procedimien-tos.

Reconstrucción de losdatos a partir de laúltima copia.Grabación manual ensu caso, si existedocumentación quelo permita.

Pruebas con datosreales. Copia deseguridad y aplica-ción del nivel deseguridad correspon-diente.


Copia de respaldo yprocedimientos derecuperación en lugardiferente del que seencuentren losequipos.

51


NIVEL ALTO

Criterios dearchivo


El archivo de losdocumentos deberealizarse segúncriterios que facilitensu consulta ylocalización paragarantizar el ejerciciode los derechosARCO.

Almacenamiento SOLO FICHEROS NOAUTOMATIZADOS

Dispositivos dealmacenamientodotados de mecanis-mos que obstaculicensu apertura.


Armarios, archivado-res,… de documentosen áreas con accesoprotegido con puertascon llave.

Custodiasoportes


Durante la revisión otramitación de losdocumentos, lapersona a cargo delos mismos debe serdiligente y custodiar-la para evitar accesosno autorizados.

Copiao reproducción


Sólo puede realizarsepor los usuariosautorizados.

Destrucción de copiasdesechadas.


52



NIVEL ALTO

Auditoría Al menos cada dosaños, interna oexterna.

Debe realizarse antemodificacionessustanciales en lossistemas de informa-ción con repercusio-nes en seguridad.

Verificación y controlde la adecuación delas medidas.

Informe de detecciónde deficiencias ypropuestas correcto-ras.

Análisis del responsa-ble de seguridad yconclusiones alresponsable delfichero.

Telecomunica-ciones


Transmisión de datosa través de redeselectrónicas cifrada.


Medidas queimpidan el acceso omanipulación.

Traslado dedocumentación

El RLOPD establece, además, algunos supuestos especiales en relación con lasmedidas de seguridad aplicables a los ficheros o tratamientos, en concreto, relativasa los siguientes:

A. Ficheros de los que sean responsables los operadores que prestenservicios de comunicaciones electrónicas disponibles al público oexploten redes públicas de comunicaciones electrónicas. Respecto a losdatos de tráfico y a los datos de localización, se aplicarán, además de las

53


medidas de seguridad de nivel básico y medio, la medida de seguridad denivel alto contenida en el artículo 103 del RLOPD: “Registro de accesos”23.

B. Ficheros o tratamientos de datos de ideología, afiliación sindical,religión, creencias, origen racial, salud o vida sexual. En relación conestos, será suficiente la implantación de las medidas de seguridad de nivelbásico cuando:

Los datos se utilicen con la única finalidad de realizar una transferen-cia dineraria a las entidades de las que los afectados sean asociados omiembros. Por ejemplo, la detracción de la cuota sindical de la nómi-na a petición del empleado.

Se trate de ficheros o tratamientos no automatizados en los que deforma incidental o accesoria se contengan aquellos datos sin guardarrelación con su finalidad.

AEPD ha emitido un Informe Jurídico, relativo a las medidas de seguri-dad en los ficheros de nóminas y demás especialidades, en respuesta a laconsulta planteada por un responsable de ficheros24.

C. Ficheros o tratamientos que contengan datos relativos a la salud refe-rentes exclusivamente al grado de discapacidad o la simple declaraciónde la condición de discapacidad o invalidez del afectado. Del mismomodo que en el caso anterior, resultará suficiente la implantación de lasmedidas de seguridad de nivel básico, en los ficheros o tratamientos quecontengan este tipo de datos, únicamente, con motivo del cumplimientode deberes públicos (desarrollado en el apartado 3.2).

23. Artículo 103 del RLOPD: “Registro de accesos.1. De cada intento de acceso se guardarán, como mínimo, la identificación del usuario, la fecha y hora enque se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado.2. En el caso de que el acceso haya sido autorizado, será preciso guardar la información que permitaidentificar el registro accedido.3. Los mecanismos que permiten el registro de accesos estarán bajo el control directo del responsable deseguridad competente sin que deban permitir la desactivación ni la manipulación de los mismos.4. El período mínimo de conservación de los datos registrados será de dos años.5. El responsable de seguridad se encargará de revisar al menos una vez al mes la información de controlregistrada y elaborará un informe de las revisiones realizadas y los problemas detectados.6. No será necesario el registro de accesos definido en este artículo en caso de que concurran lassiguientes circunstancias:a) Que el responsable del fichero o del tratamiento sea una persona física.b) Que el responsable del fichero o del tratamiento garantice que únicamente él tiene acceso y trata losdatos personales.La concurrencia de las dos circunstancias a las que se refiere el apartado anterior deberá hacerse constarexpresamente en el documento de seguridad.”

24. Vid. AEPD, Informe Jurídico 0156/2008 Medidas de seguridad en los ficheros de nóminas y demásespecialidades, https://www.agpd.es/portalweb/canaldocumentacion/informes_juridicos/common/pdfs/2008-0156_Medidas-de-seguridad-en-los-ficheros-de-n-oo-minas-y-dem-aa-s-especialidades.pdf.

54


Con el fin de facilitar la implantación de las medidas de seguridad, cuando enun sistema de información existan ficheros o tratamientos que en función de sufinalidad o uso concreto o de la naturaleza de los datos que contengan, requieran laaplicación de un nivel de medidas de seguridad diferente al del sistema principal, elpropio RLOPD otorga al responsable del fichero la posibilidad de segregar esteúltimo, siendo de aplicación en cada caso el nivel de medidas de seguridad corres-pondiente y siempre que puedan delimitarse los datos afectados y los usuarios conacceso a los mismos.

Productos de software.

En relación con las medidas de seguridad aplicables a los ficheros de datos decarácter personal, la disposición adicional única del RLOPD introduce una nove-dad, imponiendo una obligación a las empresa que desarrollan productos desoftware destinados al tratamiento automatizado de datos personales, que deberánincluir en su descripción técnica el nivel de seguridad, básico, medio o alto, quepermitan alcanzar dichos productos.

Por ello, todas las aplicaciones de software que utilicemos en nuestras organi-zaciones para el tratamiento de ficheros de datos de carácter personal deberánacreditar el nivel de seguridad que permiten alcanzar y deberemos evaluar si elmismo es suficiente de acuerdo con el nivel de seguridad que requiera cada fichero.Si no es así, deberemos sustituir la aplicación por otra que sí nos permitaimplementar las medidas de seguridad adecuadas. Asimismo, esta materia deberáser incluida en la Auditoría bienal de aquellas organizaciones que posean ficherosde nivel medio o alto.

4.2.4. La cesión de los datos

Como punto de partida, debemos saber que la LOPD -artículo 3.i)- define lacesión o comunicación de datos como “toda revelación de datos realizada a una personadistinta del interesado”, regulándola en su artículo 11. Como principio rector, losdatos de carácter personal sólo podrán cederse si se cumplen dos requisitos:

Que se realice para el cumplimiento de fines directamente relacionadoscon las funciones legítimas del cedente y del cesionario.

Consentimiento previo del interesado.

No obstante, existen algunos supuestos en los que no se exige el segundorequisito: consentimiento del interesado. El apartado segundo del citado preceptolos recoge expresamente:

Cuando la cesión está autorizada en una Ley.

Tradicionalmente, se ha discutido mucho sobre la posibilidad de interpre-tar esta excepción en sentido amplio, considerando que la cesión de datospuede encontrarse amparada por una norma con rango inferior al de Ley,pero la AEPD ha sentado a través de numerosos informes y resoluciones el

55


criterio de que la interpretación de la misma ha de hacerse en sentidoestricto y, únicamente, admite la aplicación de esta excepción cuando lacesión se encuentra recogida en una norma con rango de Ley o superior.

El RLOPD -artículo 10.2.a)- ha desarrollado esta excepción añadiendo la posibili-dad de que se encuentra autorizada en una norma de derecho comunitario y, enparticular, cuando concurra uno de los supuestos siguientes:

“El tratamiento o la cesión tengan por objeto la satisfacción de un interéslegítimo del responsable del tratamiento o del cesionario amparado por dichasnormas, siempre que no prevalezca el interés o los derechos y libertadesfundamentales de los interesados previstos en el artículo 1 de la Ley Orgánica15/1999, de 13 de diciembre.

El tratamiento o la cesión de los datos sean necesarios para que el responsabledel tratamiento cumpla un deber que le imponga una de dichas normas.”

Cuando se trate de datos recogidos de fuentes accesibles al público.

En virtud de lo establecido en el artículo 10.2.b) del RLOPD podrá reali-zarse una cesión amparada en esta excepción cuando el tercero a quien secomuniquen los datos tenga un interés legítimo para su tratamiento oconocimiento, siempre que no se vulneren los derechos y libertadesfundamentales del interesado.

No obstante, las Administraciones públicas sólo podrán comunicar alamparo de la misma los datos recogidos de fuentes accesibles al público aresponsables de ficheros de titularidad privada cuando se encuentrenautorizadas para ello por una norma con rango de ley.

n Cuando el tratamiento responda a la libre y legítima aceptación de unarelación jurídica cuyo desarrollo, cumplimiento y control implique necesa-riamente la conexión de dicho tratamiento con ficheros de terceros. En estecaso la comunicación sólo será legítima en cuanto se limite a la finalidadque la justifique.

Cuando la comunicación que deba efectuarse tenga por destinatario alDefensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o elTribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas.Tampoco será preciso el consentimiento cuando la comunicación tengacomo destinatario a instituciones autonómicas con funciones análogas alDefensor del Pueblo o al Tribunal de Cuentas.

Cuando la cesión se produzca entre Administraciones Públicas y tengapor objeto el tratamiento posterior de los datos con fines históricos,estadísticos o científicos.

En relación con esta excepción, el RLOPD -artículo 10.4- ha recogido dosnuevos supuestos:

Que los datos de carácter personal hayan sido recogidos o elaboradospor una Administración pública con destino a otra.

56


Que la comunicación se realice para el ejercicio de competenciasidénticas o que versen sobre las mismas materias.

Cuando la cesión de datos de carácter personal relativos a la salud seanecesaria para solucionar una urgencia que requiera acceder a un ficheroo para realizar los estudios epidemiológicos en los términos establecidosen la legislación sobre sanidad estatal o autonómica.

Añade el artículo 10.5 del RLOPD que: “En particular, no será necesario elconsentimiento del interesado para la comunicación de datos personales sobre lasalud, incluso a través de medios electrónicos, entre organismos, centros yservicios del Sistema Nacional de Salud cuando se realice para la atención sanita-ria de las personas, conforme a lo dispuesto en el Capítulo V de la Ley 16/2003, de28 de mayo, de cohesión y calidad del Sistema Nacional de Salud.”

Es importante indicar que el destinatario o cesionario, definido en el propioRLOPD como la persona física o jurídica, pública o privada, órgano administrativoo ente sin personalidad jurídica que actúa en el tráfico como sujeto diferenciado alque se revelen los datos, se obliga, por el solo hecho de la comunicación, al cumpli-miento de la LOPD y su normativa de desarrollo.

Cesión o comunicación de datos entre empresas del mismo grupo.

Respecto de los grupos de empresas, es importante aclarar que la AEPDconsidera que las comunicaciones de datos realizadas entre las empresas integran-tes de un mismo grupo se consideran cesiones a terceros, sometidas a los requisitosdescritos. Como consecuencia, no se considera válido el consentimiento obtenidomediante cláusulas genéricas que se limiten a recoger el consentimiento para lacesión de datos a empresas del grupo.

La AEPD emitió en el año 2004 un informe jurídico25, como respuesta a unaconsulta en la que se planteaba si resultaba conforme a derecho el tratamiento ycomunicación de datos entre las empresas de un mismo grupo con fines de publici-dad y promoción, en el que tras analizar la cláusula utilizada para la obtención delconsentimiento, concluye considerar la cesión como ajustada a derecho porquedicha cláusula incluía todos los requisitos exigidos en el artículo 5.1 de la LOPD, loque implica que el consentimiento ha sido otorgado válidamente.

4.2.5. El acceso a datos por cuenta de terceros

La LOPD define al encargado de tratamiento en el artículo 3.g) como:

“La persona física o jurídica, autoridad pública, servicio o cualquier otro organismoque, solo o conjuntamente con otros, trate datos personales por cuenta del responsa-

25. Vid. AEPD, Informe Jurídico 325/2004 Comunicación de datos entre empresas de un mismo grupo, https://www.agpd.es/portalweb/canaldocumentacion/informes_juridicos/cesion_datos/common/pdfs/2004-0325_Comunicaci-oo-n-de-datos-entre-empresas-de-un-mismo-grupo.pdf.

57


ble del tratamiento” y el artículo 5.1.i) del RLOPD se expresa en los siguientestérminos: “La persona física o jurídica, pública o privada, u órgano administrativoque, solo o conjuntamente con otros, trate datos personales por cuenta del responsa-ble del tratamiento o del responsable del fichero, como consecuencia de la existenciade una relación jurídica que le vincula con el mismo y delimita el ámbito de suactuación para la prestación de un servicio”.

La AEPD reproduce la doctrina de la Audiencia Nacional sobre el alcance deeste concepto en su Informe jurídico 0309/200826, clarificando el significado deencargado de tratamiento y su alcance. Así, la Sentencia de 28 de septiembre de2005 recuerda que:

“La diferencia entre encargado del tratamiento y cesión en algunos casos revistecierta complejidad, pero como ha señalado esta Sección en la reciente sentencia de12 de abril de 2005 (recurso 258/2003) lo típico del encargo de tratamiento es queun sujeto externo o ajeno al responsable del fichero va a tratar datos de carácterpersonal pertenecientes a los tratamientos efectuados por aquél con objeto deprestarle un servicio en un ámbito concreto..... Siendo esencial para no desnaturali-zar la figura, que el encargado del tratamiento se limite a realizar el acto materialde tratamiento encargado, y no siendo supuestos de encargo de tratamiento aque-llos en los que el objeto del contrato fuese el ejercicio de una función o actividadindependiente del encargado. En suma, existe encargo de tratamiento cuando latransmisión o cesión de datos está amparada en la prestación de un servicio que elresponsable del tratamiento recibe de una empresa externa o ajena a su propiaorganización, y que ayuda en el cumplimiento de la finalidad del tratamiento dedatos consentida por el afectado”.

En consecuencia, para determinar si nos encontramos en presencia de unencargado del tratamiento deberá analizarse si su actividad se encuentra limitada ala mera prestación de un servicio al responsable, sin generarse ningún vínculo entreel afectado y el supuesto encargado. Además, será preciso que corresponda alresponsable el poder de decisión sobre la finalidad que justifica el tratamiento, demanera que si el tratamiento procede de la voluntad del encargado, este tendrá entodo caso la condición de responsable.

Se entenderá que una empresa es encargada del tratamiento cuando no puededecidir sobre el contenido, finalidad y uso del tratamiento y siempre que su activi-dad no le reporte otro beneficio que el derivado de la prestación de servicios propia-mente dicha, sin utilizar los ficheros generados en modo alguno en su provecho,puesto que en ese caso pasaría a ser responsable del fichero.

El artículo 12 de la LOPD regula el acceso a datos por cuenta de terceros. Encumplimiento de lo establecido en el mismo, las prestaciones de servicios al respon-

26. Vid. AEPD, Informe Jurídico 0309/2008 Los ensobrados y recepción de direcciones de personas físicaspara efectuar envíos configura a la empresa como encargado de tratamiento, https://212.170.242.196/portalweb/canaldocumentacion/informes_juridicos/conceptos/common/pdfs/2008-0309_Los-ensobrados-y-recepci-oo-n-de-direcciones-de-personas-f-ii-sicas-para-efectuar-env-ii-os-configura-a-la-empresa-como-encargado-del-tratamiento.pdf.

58


sable de los ficheros que impliquen un acceso a datos de carácter personal conteni-dos en los mismos, deben regularse a través de un contrato escrito en el que seestablezcan los términos en los que se producirá el citado acceso o tratamiento dedatos personales.

El servicio prestado podrá tener o no carácter remunerado y ser temporal oindefinido. El contrato deberá recoger, como mínimo, el siguiente contenido:

Obligación del encargado del tratamiento de tratar los datos conforme alas instrucciones del responsable del fichero o tratamiento.

Prohibición de utilizar los datos con fin distinto al que figura en el contrato.

Prohibición de comunicar los datos a terceras personas, ni siquiera para suconservación.

Medidas de seguridad que, en virtud del Real Decreto 1720/2007, de 21de diciembre, por el que se aprueba el Reglamento de desarrollo de laLOPD (en adelante, RLOPD), el encargado del tratamiento está obligado acumplir en el tratamiento de los datos personales.

Obligación de devolver los datos al responsable del fichero o destruirlosuna vez concluida la prestación contractual.

Responsabilidades del encargado del tratamiento por incumplimiento delas anteriores obligaciones, en cuyo caso será considerado también respon-sable del tratamiento, respondiendo de las infracciones en que hubieraincurrido personalmente.

El RLOPD recoge que se considerará que existe comunicación de datos cuandoel acceso tenga por objeto el establecimiento de un nuevo vínculo entre quienaccede a los datos y el afectado, así como la obligación del responsable del trata-miento de velar por que el encargado del mismo reúna las garantías para el cumpli-miento de lo dispuesto en dicho cuerpo normativo. Esto se traducirá en la prácticaen la necesidad de que el responsable del fichero articule algún sistema que lepermita llevar un control de la actividad desarrollada por su prestador de servicios.Por ejemplo, establecer en el contrato de acceso y tratamiento de datos la posibili-dad del responsable del fichero de solicitar el informe de las auditorías realizadas.

En el caso de que el encargado del tratamiento destine los datos a otra finali-dad, los comunique o los utilice incumpliendo las estipulaciones del contrato en elque se ha regulado el acceso a datos, se considerará responsable del tratamiento,respondiendo de las infracciones en que hubiera incurrido personalmente. Noobstante, el encargado del tratamiento no incurrirá en responsabilidad cuando,previa indicación expresa del responsable, comunique los datos a un tercero desig-nado por aquél, al que hubiera encomendado la prestación de un servicio.

Posibilidad de subcontratación de los servicios.

La LOPD no establece nada en relación con la posibilidad de subcontrataciónde los servicios por parte del encargado de tratamiento.

59


En su Memoria del año 2000, la AEPD realizaba la interpretación que se recogea continuación, al analizar la figura del encargado de tratamiento:

“En lo referente a la cesión de los datos, de lo establecido en la el artículo 12.2 sedesprende que no se producirá esa cesión, de forma que los datos habrán de serentregados única y exclusivamente al responsable del fichero. Ello implica, anuestro juicio, la posibilidad de proceder a una subcontratación de este tipo deservicios por parte del encargado del tratamiento, debiendo siembre el responsableser parte de la relación jurídica, ya que cualquier transmisión de los datos a untercero que no corresponda al responsable del fichero habrá de ser consideradacesión”.

No obstante, la AEPD consciente de que la subcontratación de servicios es unarealidad y que prohibirla originaría muchos problemas en la práctica, establece enla citada Memoria fórmulas a través de las cuales se podría realizar y, además, laMemoria de 2001 admitió la subcontratación cuando se cumplieran determinadosrequisitos.

El Artículo 21 del RLOPD regula por primera vez la posibilidad desubcontratar servicios por parte del encargado de servicios, sentando como reglageneral la prohibición del encargado del tratamiento de subcontratar con un tercerola realización de ningún tratamiento que le hubiera encomendado el responsabledel mismo, salvo que hubiera obtenido de éste autorización para ello. En este caso,la contratación se efectuará siempre en nombre y por cuenta del responsable deltratamiento.

No obstante, admite la posibilidad de subcontratar sin necesidad de autoriza-ción siempre y cuando se cumplan los siguientes requisitos:

Que se especifiquen en el contrato los servicios que puedan ser objeto desubcontratación y, si ello fuera posible, la empresa con la que se vaya asubcontratar.

Cuando no se identificase en el contrato la empresa con la que se vaya asubcontratar, será preciso que el encargado del tratamiento comunique alresponsable los datos que la identifiquen antes de proceder a lasubcontratación.

Que el tratamiento de datos de carácter personal por parte delsubcontratista se ajuste a las instrucciones del responsable del fichero.

Que el encargado del tratamiento y la empresa subcontratista formalicenel contrato, en los términos previstos en el artículo anterior.

En este caso, el subcontratista será considerado encargado del tratamiento y,como tal tendrá que cumplir las obligaciones que la normativa le impone.

Si durante la prestación del servicio resulta necesario subcontratar una partedel mismo y dicha circunstancia no hubiera sido prevista en el contrato, deberánsometerse al responsable del tratamiento los extremos señalados.

60


Conservación de los datos por el encargado del tratamiento.

Si bien el artículo 22 del RLOPD regula la conservación de los datos por elencargado de tratamiento, establece unas obligaciones que resultan sumamenteconfusas.

En su primer apartado establece que, una vez cumplida la prestación contrac-tual, los datos de carácter personal deberán ser destruidos o devueltos al responsa-ble del tratamiento o al encargado que éste hubiese designado, al igual que cual-quier soporte o documentos en que conste algún dato de carácter personal objetodel tratamiento y a continuación que no procederá la destrucción de los datoscuando exista una previsión legal que exija su conservación, en cuyo caso deberáprocederse a la devolución de los mismos garantizando el responsable del ficherodicha conservación. También establece la obligación para el encargado de trata-miento de conservar, debidamente bloqueados, los datos en tanto pudieran derivar-se responsabilidades de su relación con el responsable del tratamiento. Pensemosque aquí es donde se puede crear la confusión, dado que si se cumple esta obliga-ción, el encargado de tratamiento no podrá destruir o devolver los datos, cumplien-do la obligación impuesta en el primer apartado.

Las medidas de seguridad en relación con el encargado del tratamiento.

El artículo 82 del RLOPD establece algunas obligaciones en relación con estetema, en concreto:

Cuando un encargado de tratamiento preste sus servicios en los localesdel responsable, esto deberá constar en el documento de seguridad delresponsable, comprometiéndose el personal del encargado al cumplimien-to de las medidas de seguridad previstas en el mismo.

Cuando el acceso sea remoto, habiéndose prohibido al encargado incorpo-rar los datos objeto de tratamiento a sistemas o soportes distintos de losdel responsable, este deberá dejar constancia de ello en su documento deseguridad, comprometiéndose el personal del encargado al cumplimientode las medidas de seguridad previstas en el citado documento.

Cuando un encargado de tratamiento preste los servicios contratados ensus propios locales, deberá elaborar un documento de seguridad o com-pletar el que ya tuviera, identificando el fichero o tratamiento y el respon-sable del mismo e incorporando las medidas de seguridad a implantar enrelación con dicho tratamiento.

En todo caso, el acceso a los datos por el encargado del tratamiento estarásometido a las medidas de seguridad contempladas en el RLOPD.

4.2.6. Prestaciones de servicios sin acceso a datos personales

El RLOPD regula una figura novedosa en materia de protección de datos: lasprestaciones de servicios sin acceso a datos personales, estableciendo la obligación

61


para el responsable del fichero o tratamiento de adoptar las medidas adecuadaspara limitar el acceso del personal a datos personales, a los soportes que los conten-gan o a los recursos del sistema de información, para la realización de trabajos queno impliquen el tratamiento de datos personales.

Dispone, además, que cuando se trate de personal ajeno, el contrato de presta-ción de servicios recogerá expresamente la prohibición de acceder a los datospersonales y la obligación de secreto respecto a los datos que el personal hubierapodido conocer con motivo de la prestación del servicio, no resultando necesariofirmar un contrato de acceso y tratamiento de datos, en los términos establecidos enel artículo 12 de la LOPD.

¿En las prestaciones sin acceso a datos existen obligaciones de seguridad?

La respuesta de la AEPD a esta pregunta se encuentra al alcance de todos losciudadanos a través de su página web27:

“Cualquier actividad que suponga un contacto directo o indirecto con el sistema deinformación y/o su entorno físico o lógico puede ser susceptible de poner en riesgola seguridad de los datos:

Limpieza.

Seguridad.

Mantenimiento o reparación de instalaciones (que no se refiera al propio sistemade información).

Incluye servicios de destrucción o almacenamiento de soportes cuando el prestadordesconozca el criterio de archivo o no pueda recuperar dato alguno.”

4.2.7. La modificación de ficheros

Siguiendo lo dispuesto en el artículo 58 del RLOPD y, dado que la inscripciónde un fichero de datos de carácter personal que obra en el RGPD debe encontrarseactualizada en todo momento, cualquier modificación que afecte al contenido de lamisma deberá ser previamente notificada a la AEPD o a las autoridades de controlautonómicas competentes, a fin de proceder a su inscripción en el RGPD. Cuando setrate de un fichero de titularidad pública debe adoptarse, con carácter previo a lanotificación, la correspondiente norma o acuerdo en los términos previstos al tratarla creación de ficheros.

4.2.8. Las transferencias internacionales de datos

La norma general no permite al responsable de los ficheros realizar transferen-cias internacionales de datos de carácter personal que hayan sido objeto de trata-

27. Vid. AEPD, I Sesión Anual Abierta de la AEPD “El nuevo reglamento de desarrollo de la ley orgánica deprotección de datos: problemática, interpretación y aplicación”, Madrid, 22 de abril de 2008, https://www.agpd.es/portalweb/jornadas/1_sesion_abierta/common/faqs_bloque_1.pdf.

62


miento o hayan sido recogidos para someterlos a dicho tratamiento con destino apaíses que no proporcionen un nivel de protección equiparable al que presta LOPD,salvo que cumplan los siguientes requisitos:

Se haya observado lo dispuesto en la LOPD.

Se obtenga autorización previa del Director de la AEPD.

El carácter adecuado del nivel de protección que ofrece el país de destino seevaluará por la AEPD atendiendo a todas las circunstancias que concurran en latransferencia o categoría de transferencia de datos.

En la actualidad se consideran países con nivel de protección adecuado al quepresta la LOPD los Estados Miembros de la Unión Europea, Islandia, Liechtenstein,Noruega y los Estados que la Comisión Europea ha declarado que garantizan unnivel de protección adecuado: Suiza, Argentina, Guernsey, Isla de Man, las entida-des estadounidenses adheridas a los principios de Puerto Seguro28, Canadá respectode las entidades sujetas al ámbito de aplicación de la ley canadiense de protecciónde datos y los datos personales incluidos en los registros de nombres de los pasaje-ros que se transfieren al Servicio de aduanas y protección de fronteras de los Esta-dos Unidos de América.

La propia LOPD reconoce algunas excepciones a la norma general, de maneraque no será necesaria la autorización previa del Director de la AEPD en los siguien-tes supuestos:

Cuando la transferencia internacional de datos de carácter personal resultede la aplicación de tratados o convenios en los que sea parte España.

Cuando la transferencia se haga a efectos de prestar o solicitar auxiliojudicial internacional.

Cuando la transferencia sea necesaria para la prevención o para el diag-nóstico médicos, la prestación de asistencia sanitaria o tratamiento médi-cos o la gestión de servicios sanitarios.

Cuando se refiera a transferencias dinerarias conforme a su legislación específica.

Cuando el afectado haya dado su consentimiento inequívoco a la transfe-rencia prevista.

Cuando la transferencia sea necesaria para la ejecución de un contratoentre el afectado y el responsable del fichero o para la adopción de medi-das precontractuales adoptadas a petición del afectado.

Cuando la transferencia sea necesaria para la celebración o ejecución deun contrato celebrado o por celebrar, en interés del afectado, por el res-ponsable del fichero y un tercero.

28. La lista de entidades estadounidenses adheridas a los principios de Puerto Seguro se encuentra accesible enwww.export.gov/safeharbor.

63


Cuando la transferencia sea necesaria o legalmente exigida para la salva-guarda de un interés público. Tendrá esta consideración la transferenciasolicitada por una Administración fiscal o aduanera para el cumplimientode sus competencias.

Cuando la transferencia sea precisa para el reconocimiento, ejercicio odefensa de un derecho en un proceso judicial.

Cuando la transferencia se efectúe, a petición de persona con interéslegítimo, desde un Registro Público y aquélla sea acorde con la finalidaddel mismo.

Cuando la transferencia tenga como destino un Estado miembro de laUnión Europea, o un Estado respecto del cual la Comisión de las Comuni-dades Europeas, en el ejercicio de sus competencias, haya declarado quegarantiza un nivel de protección adecuado.

El RLOPD introduce una novedad al definir la transferencia internacional dedatos como el “Tratamiento de datos que supone una transmisión de los mismos fuera delterritorio del Espacio Económico Europeo, bien constituya una cesión o comunicación dedatos, bien tenga por objeto la realización de un tratamiento de datos por cuenta del respon-sable del fichero establecido en territorio español.”

Esto supone un cambio ya que, si bien realizando una interpretación literal dela LOPD un movimiento de datos a países de la Unión Europea supone una transfe-rencia internacional de datos para la que no se necesita autorización previa delDirector de la AEPD, de la definición aportada por el RLOPD se desprende quedicho movimiento de datos no se considera transferencia internacional.

4.3. Una vez finalizado el tratamiento

4.3.1. La cancelación y el bloqueo de los datos

En función de lo establecido en el artículo 4.5. de la LOPD, el responsable deficheros se verá obligado a cancelar los datos de carácter personal cuando hayandejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sidorecabados o registrados, de manera que no podrá conservarlos en forma que permi-ta la identificación del interesado durante un período superior al necesario para losfines en base a los cuales los hubiera recabado o registrado.

El RLOPD recuerda la obligación de cancelar los datos cuando dejan de sernecesarios o pertinentes para la finalidad para la cual han registrados o recabados,añadiendo que, no obstante, podrán conservarse durante el tiempo en que puedaexigirse algún tipo de responsabilidad derivada de una relación u obligaciónjurídica o de la ejecución de un contrato o de la aplicación de medidasprecontractuales solicitadas por el interesado.

Una vez cumplido el período al que se refieren los párrafos anteriores, losdatos sólo podrán ser conservados previa disociación de los mismos, sin perjuicio

64


de la obligación de bloqueo prevista en la LOPD y el RLOPD. En este sentido,debemos saber que un procedimiento de disociación es todo tratamiento de datospersonales que permita la obtención de datos disociados.

4.3.2. La supresión de ficheros

Cuando el responsable de un fichero decida su supresión, deberá notificarla aAEPD o a las autoridades de control autonómicas competentes, a fin de proceder ala supresión del mismo en el RGPD.

Cuando se trate de un fichero de titularidad pública debe adoptarse concarácter previo a la notificación la correspondiente norma o acuerdo en los mismostérminos que en los casos de creación y modificación de ficheros, ya tratados ante-riormente. Una vez tramitado el procedimiento establecido, el Director de la AEPDdictará resolución acordando la cancelación de la inscripción del fichero.

Hasta ahora hemos hablado de la supresión de ficheros a instancia de parte,pero el artículo 61 del RLOPD establece la posibilidad de que sea el propio Directorde la AEPD quien, en ejercicio de sus competencias, acuerde de oficio la cancelaciónde la inscripción de un fichero. Para ello, han de concurrir circunstancias queacrediten la imposibilidad de que exista y ha de seguirse el mismo procedimientoque en los casos de supresión a instancia del responsable del fichero.

4.3.2.1. El deber de secreto

El deber de secreto, es una obligación que subsistirá en relación con los usua-rios de los datos, aun después de finalizar sus relaciones con el titular del fichero o,en su caso, con el responsable del mismo.

65

5

Los derechos de lostitulares de los datos

5.1. La impugnación de valoraciones

En función de lo establecido en el artículo 13.1 de la LOPD:“Los ciudadanos tienen derecho a no verse sometidos a una decisión con efectosjurídicos, sobre ellos o que les afecte de manera significativa, que se base únicamen-te en un tratamiento de datos destinados a evaluar determinados aspectos de supersonalidad”.Como consecuencia de ello, el titular de los datos puede impugnar los actos

administrativos o decisiones privadas que impliquen una valoración de su compor-tamiento, cuyo único fundamento sea un tratamiento de datos de carácter personalque ofrezca una definición de sus características o personalidad, disponiendo delderecho a obtener información del responsable del fichero sobre los criterios devaloración y el programa utilizados en el tratamiento que sirvió para adoptar ladecisión en que consistió el acto.

Finalmente, recoge que la valoración sobre el comportamiento de los ciudada-nos basada en un tratamiento de datos, únicamente podrá tener valor probatorio apetición del afectado.

5.2. El derecho de consulta al Registro General deProtección de Datos

El artículo 14 de la LOPD reconoce el derecho de consulta al RGPD, en virtuddel cual:

“Cualquier persona podrá conocer, recabando a tal fin la información oportuna delRegistro General de Protección de Datos, la existencia de tratamientos de datos de

66


carácter personal, sus finalidades y la identidad del responsable del tratamiento. ElRegistro General será de consulta pública y gratuita”.

5.3. El derecho de indemnización

El artículo 19 de la LOPD reconoce el derecho a indemnización. Con base eneste, todos los interesados que, como consecuencia del incumplimiento de lo dis-puesto en la LOPD por el responsable o el encargado del tratamiento, sufran daño olesión en sus bienes o derechos tendrán derecho a ser indemnizados.

Cuando se trate de ficheros de titularidad pública, la responsabilidad seexigirá de acuerdo con la legislación reguladora del régimen de responsabilidad delas Administraciones Públicas.

En el caso de los ficheros de titularidad privada, la acción se ejercitará ante losórganos de la jurisdicción ordinaria.

5.4. Los derechos ARCO

De acuerdo con lo dispuesto en los artículos 15, 16 y 17 de la LOPD y 23 a 26del RLOPD, los titulares de los datos de carácter personal tienen una serie dederechos personalísimos en relación con sus datos de carácter personal, que puedenejercitar ante el responsable del fichero o ante el encargado del tratamiento.

Ejercicio de los derechos

Los derechos podrán ser ejercitados por:

el afectado acreditando su identidad,

su representante legal que habrá de acreditar tal condición, cuando elafectado se encuentre en situación de incapacidad o minoría de edad quele imposibilite el ejercicio personal de estos derechos,

el representante voluntario expresamente designado para el ejercicio delderecho, junto con copia del Documento Nacional de Identidad o docu-mento equivalente del representado y la representación conferida poraquél. No es necesario poder notarial general o especial.

Atención a las solicitudes

Las solicitudes de acceso, rectificación, cancelación y oposición debenatenderse con independencia de que figuren o no datos personales del afectado enlos ficheros del responsable y aun cuando el afectado no hubiese utilizado el proce-dimiento establecido específicamente por el responsable del fichero siempre quehaya utilizado un medio que permita acreditar el envío y la recepción de la solicitudy ésta contenga lo siguiente:

67

Nombre y apellidos del interesado; fotocopia de su documento nacionalde identidad, o de su pasaporte u otro documento válido que lo identifi-que y, en su caso, de la persona que lo represente, o instrumentos electró-nicos equivalentes; así como el documento o instrumento electrónicoacreditativo de tal representación. La utilización de firma electrónicaidentificativa del afectado eximirá de la presentación de las fotocopias delDNI o documento equivalente.

Petición en que se concreta la solicitud.

Dirección a efectos de notificaciones, fecha y firma del solicitante.

Documentos acreditativos de la petición que formula, en su caso.

Cuando la solicitud no reúna alguno de los requisitos, el responsable delfichero solicitará la subsanación en un plazo de diez días. Una vez realizada lasubsanación, empieza el plazo para contestar por el responsable.

Cuando se hace referencia a plazos por días, son días hábiles y cuando el plazosea por meses, se computa de fecha a fecha.

Corresponde al responsable del tratamiento la prueba del cumplimiento deldeber de respuesta, debiendo conservar la acreditación del cumplimiento delmencionado deber (de la respuesta).

El responsable del fichero adoptará las medidas para garantizar que laspersonas de su organización con acceso a datos de carácter personal puedan infor-mar del procedimiento a seguir por el afectado para el ejercicio de sus derechos.

Cuando el responsable del fichero disponga de servicios de atención al públicoo el ejercicio de reclamaciones por el servicio prestado o productos ofertados, podráconcederse la posibilidad al afectado de ejercer dichos derechos a través de esosservicios. En tal caso, la identidad del interesado se considerará acreditada por losmedios establecidos para la identificación de los clientes del responsable en laprestación de sus servicios o contratación de sus productos.

Cuando se ejerciten los derechos ante un encargado del tratamiento, el encar-gado deberá dar traslado de la solicitud al responsable, a fin de que por el mismo seresuelva, a menos que en la relación existente con el responsable del tratamiento seprevea que el encargado atenderá, por cuenta del responsable, las solicitudes deejercicio por los afectados de sus derechos de acceso, rectificación, cancelación uoposición.

Los derechos se pueden ejercitar a través de correo electrónico y de llamadas ateléfonos gratuitos. Para comprobar la identidad del afectado se pueden pedir datosadicionales que sólo el afectado conozca o bien grabar las llamadas (informando deello) para comprobar que se trata de la misma persona.

Los derechos serán denegados cuando la solicitud sea formulada por personadistinta del afectado y no se acredite la representación.

Los derechos de los titulares de los datos

68


Estos derechos son los siguientes:

Derecho de acceso.

Derecho de rectificación.

Derecho de cancelación.

Derecho de oposición al tratamiento o cese en el tratamiento.

5.4.1. El derecho de acceso

El derecho de acceso es el derecho del afectado a obtener información sobre sisus propios datos de carácter personal están siendo objeto de tratamiento, la finali-dad del tratamiento que, en su caso, se esté realizando, así como la informacióndisponible sobre el origen de dichos datos y las comunicaciones realizadas o previs-tas de los mismos.

El afectado podrá obtener del responsable del tratamiento información relativaa datos concretos, a datos incluidos en un determinado fichero o a la totalidad desus datos sometidos a tratamiento.

El responsable del fichero responderá la solicitud de acceso en el plazo máxi-mo de un mes a contar desde la recepción de la solicitud. Transcurrido el plazo sinque de forma expresa se responda a la petición de acceso, el interesado podráinterponer una reclamación ante la AEPD y, en el caso de que no disponga de datosde carácter personal de los afectados, deberá igualmente comunicárselo en elmismo plazo.

Si la solicitud fuera estimada y el responsable no acompañase a su comunica-ción la información solicitada, el acceso se hará efectivo durante los diez díassiguientes a dicha comunicación.

La información que se proporcione comprenderá todos los datos de base delafectado, los resultantes de cualquier elaboración o proceso informático, así como lainformación disponible sobre el origen de los datos, los cesionarios de los mismos yla especificación de los concretos usos y finalidades para los que se almacenaron losdatos.

El responsable del fichero o tratamiento podrá denegar el acceso a los datos decarácter personal cuando el derecho ya se haya ejercitado en los doce meses anterio-res a la solicitud, salvo que se acredite un interés legítimo al efecto. En todo caso, elresponsable del fichero informará al afectado de su derecho a recabar la tutela de laAEPD o, en su caso, de las autoridades de control de las Comunidades Autónomas.

5.4.2. El derecho de rectificación

El afectado puede ejercitar su derecho de rectificación, solicitando la modifica-ción de los datos inexactos o incompletos relativos a su persona que estén incluidos

69

en ficheros. La solicitud debe indicar a qué datos se refiere, la corrección que hayade realizarse e ir acompañada de la documentación justificativa de lo solicitado.

El responsable del fichero resolverá sobre la solicitud en el plazo máximo de 10días a contar desde la recepción de la misma, tanto si se dispone de datos delafectado o no.

Si los datos rectificados han sido cedidos previamente, el responsable delfichero debe comunicar la rectificación efectuada al cesionario en el mismo plazopara que éste, también en 10 días contados desde la recepción de dicha comunica-ción, proceda a rectificar los datos.

5.4.3. El derecho de oposición

Mediante el derecho de oposición, el afectado solicita que no se lleve a cabo eltratamiento de sus datos personales o el cese en el mismo cuando:

no sea necesario su consentimiento para el tratamiento, como consecuen-cia de la concurrencia de un motivo legítimo y fundado, referido a suconcreta situación personal, que lo justifique, siempre que una Ley nodisponga lo contrario. La solicitud deberá recoger los motivos fundados ylegítimos que lo justifiquen.

se trate de ficheros que tengan por finalidad la realización de actividadesde publicidad y prospección comercial.

el tratamiento tenga por finalidad la adopción de una decisión referida alafectado y basada únicamente en un tratamiento automatizado de susdatos de carácter personal (destinado a evaluar determinados aspectos desu personalidad tales como su rendimiento laboral, crédito, fiabilidad oconducta).

El responsable del fichero resolverá sobre la solicitud de oposición en el plazomáximo de diez días a contar desde la recepción de la solicitud, tenga o no datospersonales del afectado.

El responsable del fichero o tratamiento deberá excluir del tratamiento losdatos relativos al afectado que ejercite su derecho de oposición o denegarmotivadamente la solicitud del interesado en el plazo de diez días a contar desde larecepción de la solicitud.

Se podrán conservar los mínimos datos imprescindibles de los afectados quehayan manifestado su negativa a recibir publicidad, con el fin de poder identificar-los y adoptar las medidas necesarias que eviten el envío de publicidad.

Cuando el afectado manifieste su oposición a recibir publicidad, se le deberáinformar de la existencia de ficheros comunes de exclusión generales o sectoriales,así como de la identidad de su responsable, su domicilio y la finalidad del trata-miento.


70


Antes de realizar un tratamiento de datos con fines publicitarios o de prospec-ción comercial, será necesario consultar los ficheros comunes de exclusión quepudieran afectar a esta actuación, con el fin de evitar que sean objeto de tratamientodatos de afectados que hubieran manifestado su oposición o negativa al mismo.

5.4.4. El derecho de cancelación

Mediante el ejercicio del derecho de cancelación el afectado solicita la cancela-ción de los datos que resulten ser inadecuados o excesivos indicando a qué datos serefiere, aportando en su caso, la documentación que lo justifique.

El responsable del fichero resolverá sobre la solicitud en el plazo máximo de 10días a contar desde la recepción de la solicitud, tanto si se dispone o no de datospersonales del afectado.

La cancelación implica el bloqueo de los datos, consistente en la identificacióny reserva de los datos con el fin de impedir su tratamiento excepto para su puesta adisposición de las Administraciones públicas, Jueces y Tribunales, para la atenciónde las posibles responsabilidades nacidas del tratamiento y sólo durante el plazo deprescripción de dichas responsabilidades. Transcurrido ese plazo deberá procedersea la supresión de los datos.

Si los datos cancelados hubieran sido cedidos previamente, el responsable delfichero comunicará la cancelación efectuada al cesionario, en idéntico plazo, paraque éste, también en el plazo de diez días contados desde la recepción de dichacomunicación, proceda a cancelar los datos.

Cancelación versus revocación del consentimiento

La cancelación de los datos se puede solicitar siempre y cuando los datosresulten inadecuados o excesivos, por lo que es necesario justificar o motivar dichainadecuación o exceso.

La revocación se puede pedir cuando se ha consentido previamente al tratamien-to de los datos y se quiere retirar dicho consentimiento; por lo que no es necesarioaportar justificación, se revoca sin más el consentimiento a tratar los datos y no se lepuede pedir al afectado más de lo que se le pidió para recabar su consentimiento.

Cancelación de datos relativos a personas fallecidas

Las personas vinculadas al fallecido, por razones familiares o análogas, podrándirigirse a los responsables de los ficheros o tratamientos que contengan datos deéste con la finalidad de notificar el óbito, aportando acreditación suficiente delmismo, y solicitar la cancelación de datos cuando haya lugar a ello.

5.5. La tutela de los derechosEl artículo 18 de la LOPD regula la tutela de derechos, estableciendo las

siguientes normas:

71

Las actuaciones contrarias a lo dispuesto en la presente Ley pueden serobjeto de reclamación por los interesados ante la AEPD.

El interesado al que se deniegue, total o parcialmente, el ejercicio de losderechos de oposición, acceso, rectificación o cancelación, podrá ponerloen conocimiento de la AEPD, en su caso, del Organismo competente decada Comunidad Autónoma, que deberá asegurarse de la procedencia oimprocedencia de la denegación.

El plazo máximo en que debe dictarse la resolución expresa de tutela dederechos será de seis meses y contra las resoluciones de la AEPD procederá recursocontencioso-administrativo.

En el apartado 8.6.2 veremos el procedimiento de tutela de los derechos deacceso, rectificación, cancelación y oposición.


72


73

6

Tratamientos especiales

La normativa de protección de datos de carácter personal regula determinadostratamientos de datos que se consideran especiales por la finalidad de los ficherosque los contienen y los requisitos necesarios para la inclusión de datos en los mis-mos.

6.1. Prestación de servicios de información sobre solvenciapatrimonial y crédito

Para comenzar a hablar del régimen aplicable a los ficheros de solvenciapatrimonial y crédito es necesario definir primero las partes intervinientes en estetipo de tratamiento de datos.

En primer lugar encontramos al “responsable del fichero común” que será aquellaentidad que acuerda la creación del fichero de información sobre solvencia patrimo-nial y crédito. Estos ficheros, según lo establecido en el artículo 29 de la LOPD,pueden incluir datos de carácter personal obtenidos de los registros y las fuentesaccesibles al público o procedentes de informaciones facilitadas por el interesado ocon su consentimiento. Asimismo, podrán incorporar datos relativos al cumplimien-to o incumplimiento de obligaciones dinerarias facilitados por el acreedor o porquien actúe por su cuenta o interés.

En segundo lugar, y enlazando con el párrafo anterior, tendríamos a las “enti-dades que facilitan los datos al fichero común”. Dichas entidades serán las acreedorasque comunican datos relativos al incumplimiento de obligaciones dinerarias.

En tercer lugar, es necesario hacer referencia a las “entidades participantes en elsistema” o terceros que serán aquellas que pueden consultar el fichero comúnaccediendo a datos suministrados por otras entidades o procedentes de registros,fuentes accesibles al público o del propio interesado.

74


Por último, estaría el “interesado” o deudor, que tendrá derecho a ser informa-do del tratamiento de sus datos así como a ejercitar sus derechos ARCO. De estaforma, cuando lo solicite, el responsable del fichero común le comunicará los datos, lasevaluaciones y apreciaciones que sobre el mismo hayan sido comunicadas durantelos últimos seis meses, y el nombre y dirección de la persona o entidad a quien sehayan revelado los datos. Sólo se podrán registrar y ceder los datos de carácterpersonal que sean determinantes para enjuiciar la solvencia económica de losinteresados y que no se refieran, cuando sean adversos, a más de seis años, siempreque respondan con veracidad a la situación actual de aquellos.

Los artículos 37 a 44 del RLOPD desarrollan las características especiales deestos ficheros, derechos de los interesados y obligaciones del responsable y entida-des participantes en el sistema.

6.1.1. Requisitos para la inclusión de los datos

Para poder incorporar datos de carácter personal en este tipo de ficheros seránecesario:

a) Que exista una deuda cierta, vencida, exigible, que haya resultado impa-gada y respecto de la cual no se haya entablado reclamación judicial,arbitral o administrativa, o tratándose de servicios financieros, no se hayaplanteado una reclamación en los términos previstos en el Reglamento delos Comisionados para la defensa del cliente de servicios financieros,aprobado por Real Decreto 303/2004, de 20 de febrero.

b) Que no hayan transcurrido seis años desde la fecha en que hubo deprocederse al pago de la deuda o del vencimiento de la obligación o delplazo concreto si aquélla fuera de vencimiento periódico.

c) Requerimiento previo de pago a quien corresponda el cumplimiento de laobligación.

En todo caso el acreedor, o quien actúe por su cuenta o interés, deberá conservara disposición del “responsable del fichero común” y de la AEPD la documentación queacredite el cumplimiento de estos requisitos.

6.1.2. Información previa a la inclusión

El acreedor deberá informar al deudor, en el momento en que se celebre elcontrato y, en todo caso, al tiempo de efectuar el requerimiento previo de pago, queen caso de no producirse el pago en el término previsto para ello, los datos relativosal impago podrán ser comunicados a ficheros relativos al cumplimiento o incumpli-miento de obligaciones dinerarias.

6.1.3. Notificación de la inclusión

El “responsable del fichero común” deberá enviar una notificación respecto de losdatos incluidos y la posibilidad de ejercitar los derechos ARCO, en el plazo de

75


treinta días desde el registro de los datos. Dicha notificación se deberá realizar através de un medio fiable, auditable e independiente de la entidad notificante, porcada deuda concreta y determinada con independencia de que ésta se tenga con elmismo o con distintos acreedores. Si la notificación ha sido objeto de devolución, nose podrá proceder al tratamiento de los datos referidos a ese interesado salvo que setrate de una devolución en la que el destinatario haya rehusado recibir el envío.

6.1.4. Conservación de los datos

Puesto que sólo podrán conservarse en el fichero común datos que respondancon veracidad a la situación de la deuda en cada momento concreto, el pago ocumplimiento de la deuda implicará la cancelación inmediata de todos los datosrelativos a la misma.

Con independencia de esta obligación, en todo caso, los datos deberán sercancelados cuando se hubieran cumplido seis años contados desde el vencimientode la obligación.

6.1.5. Acceso a la información contenida en el fichero

Los datos contenidos en el fichero común sólo podrán ser consultados porterceros cuando precisen enjuiciar la solvencia económica del afectado. Así pues elfichero podrá ser consultado en los siguientes supuestos:

a) Que el afectado mantenga con el tercero algún tipo de relación contractualque aún no se encuentre vencida.

b) Que el afectado pretenda celebrar con el tercero un contrato que impliqueel pago aplazado del precio.

c) Que el afectado pretenda contratar con el tercero la prestación de unservicio de facturación periódica.

No obstante, en los últimos dos supuestos los terceros deberán informar a losinteresados de su derecho a consultar el fichero

6.1.6. Responsabilidad

El acreedor deberá asegurarse de la concurrencia de los requisitos anterior-mente expuestos siendo responsable de la inexistencia o inexactitud de los datosque haya facilitado para su inclusión en el fichero.

6.1.7. Ejercicio de los derechos ARCO

A pesar de que existen disposiciones comunes que regulan el ejercicio de losderechos ARCO, en el caso de ficheros de solvencia patrimonial y crédito, el RLOPDha establecido algunas particularidades.

En relación con el ejercicio del derecho de acceso, habrá que distinguir dossupuestos:

76


1º La solicitud se dirige al responsable del fichero común, que deberá comu-nicar al interesado todos los datos relativos al mismo que obren en elfichero así como las evaluaciones y apreciaciones que sobre el afectado sehayan comunicado en los últimos seis meses y el nombre y dirección delos cesionarios.

2º La solicitud se dirige a cualquier otra entidad participante en el sistema,que deberá comunicar al interesado todos los datos relativos al mismo alos que ella pueda acceder, así como la identidad y dirección del responsa-ble del fichero común.

Sin embargo, en relación con el ejercicio de los derechos de rectificación ycancelación encontraríamos tres supuestos distintos:

1º La solicitud se dirige al responsable del fichero común, que debe trasladardicha solicitud a la entidad que haya facilitado los datos, para que ésta laresuelva. Si no recibiese contestación por parte de la entidad en el plazo desiete días, deberá proceder a la rectificación o cancelación cautelar de losmismos.

2º La solicitud se dirige a quien haya facilitado los datos al fichero comúnque procederá a la rectificación o cancelación de los mismos en sus fiche-ros y a notificarlo al responsable del fichero común en el plazo de diezdías, dando asimismo respuesta al interesado en los plazos establecidospor la LOPD.

3º La solicitud se dirige a otra entidad participante en el sistema, que nohubiera facilitado al fichero común los datos, por lo que deberá informaren el plazo máximo de diez días al interesado sobre este hecho, así comode la identidad y dirección del responsable del fichero común.

6.2. Tratamientos con fines de publicidady de prospección comercial

La LOPD es su artículo 30 establece que quienes se dediquen a la recopilaciónde direcciones, reparto de documentos, publicidad, venta a distancia, prospeccióncomercial y otras actividades análogas, utilizarán nombres y direcciones u otrosdatos de carácter personal cuando los mismos figuren en fuentes accesibles alpúblico o cuando hayan sido facilitados por los propios interesados u obtenidos consu consentimiento.

El RLOPD desarrolla este artículo estableciendo que sólo podrán utilizarnombres y direcciones u otros datos de carácter personal cuando los mismos seencuentren en uno de los siguientes casos:

a) Figuren en alguna de las fuentes accesibles al público definidas en laLOPD y el interesado no haya manifestado su negativa u oposición a que

77


sus datos sean objeto de tratamiento para las actividades descritas en esteapartado.

b) Hayan sido facilitados por los propios interesados u obtenidos con suconsentimiento para finalidades determinadas, explícitas y legítimasrelacionadas con la actividad de publicidad o prospección comercial,habiéndose informado a los interesados sobre los sectores específicos yconcretos de actividad respecto de los que podrá recibir información opublicidad.

En el primer supuesto, es decir, cuando los datos proceden de fuentes accesi-bles al público, habrá que informar al interesado en cada comunicación que se ledirija del origen de los datos y de la identidad del responsable del tratamiento asícomo de los derechos que le asisten.

6.2.1. Campañas publicitarias

Cuando una entidad quiere realizar una campaña publicitaria entre sus clien-tes, en principio será necesario el consentimiento de los mismos para recibir estetipo de comunicaciones. La campaña publicitaria puede ser realizada directamentepor la entidad pero en múltiples ocasiones la entidad decide contratar a un tercerola realización de la misma, encomendándole el tratamiento de determinados datos.Así nos podríamos encontrar con diferentes supuestos:

a) Cuando los parámetros identificativos de los destinatarios de la campañasean fijados por la entidad que contrate la campaña, ésta será Responsabledel tratamiento de los datos.

b) Cuando los parámetros fueran determinados únicamente por la entidad oentidades contratadas, dichas entidades serán las Responsables deltratamiento.

c) Cuando en la determinación de los parámetros intervengan ambas entida-des, serán ambas Responsables del tratamiento.

6.2.2. Depuración de bases de datos

El RLOPD ha regulado asimismo una práctica tan habitual como es la depura-ción de las bases de datos. De este modo, se considerará que existe una cesión ocomunicación de datos, cuando dos o más entidades decidan constatar, sin consenti-miento de los afectados, con fines de promoción o comercialización de sus produc-tos o servicios y mediante un tratamiento cruzado de sus ficheros, quiénes ostentanla condición de clientes de una u otra o de varios de ellos.

6.2.3. Exclusión del envío de comunicaciones comerciales

Tampoco se ha querido desaprovechar la oportunidad de regular la creaciónde ficheros de exclusión del envío de comunicaciones comerciales. De esta forma,

78


los responsables a los que el titular de los datos o interesado haya manifestado sunegativa a recibir publicidad podrán conservar los mínimos datos imprescindiblespara identificarlo y adoptar las medidas necesarias que eviten el envío de publici-dad. Asimismo, permite la creación de listas Robinson o ficheros comunes, decarácter general o sectorial, en los que sean objeto de tratamiento los datos decarácter personal que resulten necesarios para evitar el envío de comunicacionescomerciales a los interesados que manifiesten su negativa u oposición a recibirpublicidad.

6.2.4. Ejercicio de derechos

En los tratamientos para actividades de publicidad y prospección comercialtambién el Reglamento prevé algunas particularidades en el ejercicio de los dere-chos ARCO.

Los interesados tendrán derecho a oponerse, previa petición y sin gastos, altratamiento de los datos que les conciernan, en cuyo caso serán dados de baja deltratamiento, cancelándose las informaciones que sobre ellos figuren en aquél, a susimple solicitud. Deberá establecerse un medio sencillo y gratuito para oponerse altratamiento, admitiendo su ejercicio mediante la llamada a un número telefónicogratuito o la remisión de un correo electrónico, o mediante los servicios de cualquieríndole para la atención a sus clientes o el ejercicio de reclamaciones.

En relación con los derechos de acceso, rectificación, cancelación y oposición, siel derecho se ejercitase ante una entidad que hubiese encargado a un tercero larealización de una campaña publicitaria, aquélla estará obligada, en el plazo de diezdías, desde la recepción de la comunicación de la solicitud de ejercicio de derechosdel afectado, a comunicar la solicitud al responsable del fichero a fin de que elmismo otorgue al afectado su derecho en el plazo de diez días desde la recepción dela comunicación, dando cuenta de ello al afectado.

6.3. Sistemas de videovigilancia

El tratamiento de imágenes comprende la captación, grabación, transmisión,conservación y almacenamiento de las mismas, tanto a través de soportes físicos decarácter digital, como mediante soportes analógicos estructurados con arreglo acriterios personales.

Con el fin de cumplir con lo dispuesto en la legislación vigente en materia deprotección de datos de carácter personal en relación con el tratamiento de imágenesa través de cámaras o videocámaras con la finalidad de vigilancia, se seguirán lasindicaciones que se detallan a continuación:

Inscripción del fichero: la grabación y conservación de imágenes captadaspor cámaras o videocámaras de vigilancia, implica la creación de unfichero. Consecuencia de ello, se declarará ante la AEPD, con carácterprevio a su puesta en funcionamiento, y quedará inscrito en el RGPD.

79


Información a los interesados: se colocarán en emplazamientos claramentevisibles de las zonas videovigiladas tantos distintivos informativos comosean necesarios para garantizar que en todo momento los afectadosconocen la existencia de videocámaras. Asimismo, se deberá tener adisposición de los interesados ejemplares de la nota informativa deVIDEOVIGILANCIA.

Conservación de las imágenes: las imágenes captadas sólo podrán seralmacenadas hasta que termine la finalidad para la que fueron captadas ynunca por un plazo superior a un mes desde que fueron capturadas.

Facilitación del ejercicio de los derechos a los interesados: si el afectadoquiere ejercitar alguno de sus derechos (acceso, rectificación, cancelación uoposición), deberá remitir a la Compañía una solicitud en la que hagaconstar su identidad, a la que deberá adjuntar una fotografía reciente.

MODELO DE CARTEL DE VIDEOVIGILANCIA (con grabación)

NOMBRE ORGANIZACIÓN

ZONA VIDEOVIGILADA

LEY ORGÁNICA 15/1999, DE 13 DE DICIEMBRE, DE PROTECCIÓN DE DATOSDE CARÁCTER PERSONAL

NOMBRE ORGANIZACIÓN le informa de los siguientes aspectos:

1. Por motivos de seguridad se han instalado cámaras de seguridad enel recinto de NOMBRE ORGANIZACIÓN.

2. Las imágenes grabadas formarán parte de un fichero que ha sidodeclarado ante la Agencia Española de Protección de Datos, utilizándosecon la única finalidad de mantener la seguridad y controlar el acceso lasinstalaciones, cancelándose en el plazo máximo de un mes. Asimismo,sus datos podrán ser cedidos a las Fuerzas y Cuerpos de Seguridad delEstado.

3. Usted puede ejercitar sus derechos de acceso, rectificación,cancelación y oposición mediante solicitud por escrito y fotografíareciente dirigida a NOMBRE ORGANIZACIÓN, c/ XXXXXXXXXXX, CPXXXXX, CIUDAD.

NOMBRE ORGANIZACIÓN le agradece su colaboración.

Fecha, firma y sello

80


81

7

La autorregulación:los códigos tipo

La aplicación de las obligaciones impuestas por la normativa vigente enmateria de protección de datos de carácter personal no está resultando fácil. Lasempresas, independientemente de la actividad que desarrollan, y, dentro de éstas,tanto los responsables de los ficheros que contienen datos personales como sususuarios, se enfrentan, continuamente, a realidades complejas e importantes proble-mas a la hora de aplicar dicha normativa, suponiendo un gran esfuerzo hallarsoluciones prácticas que permitan el desarrollo eficaz de su actividad.

La autorregulación es una vía que puede resultar de gran ayuda para losresponsables de los ficheros o tratamientos de datos de carácter personal inmersosen este confuso panorama, tratando de adaptar la aplicación de la normativa deprotección de datos a las peculiaridades propias de cada sector de actividad a travésde los denominados códigos tipo. La elaboración de estos códigos, así como laadhesión a los mismos por parte de los responsables de tratamientos, debe ser cadadía más frecuente en todos los sectores. Pese a ello, en la actualidad, existe undesconocimiento generalizado en relación con estos códigos y, más en concreto, suexistencia, qué son realmente y su naturaleza.

Con carácter genérico y, en una primera aproximación, podríamos definir loscódigos tipo como conjunto de normas de buena conducta, adoptados por entida-des, generalmente pertenecientes al mismo sector, como modelos a seguir para eldesarrollo de sus actividades profesionales; asimilables a los códigos deontológicoso de buena práctica profesional. Éstos constituyen una forma de complementar laregulación o, en algunos casos, suplir las lagunas o carencias de aquella, establecien-do, normalmente, medidas que no sólo respetan las previsiones legales sino quesuponen garantías adicionales, reforzando el espíritu y finalidad de la Ley.

82


Las actividades objeto de regulación por los códigos pueden ser de muydiversa naturaleza, dado que el fin perseguido en su elaboración se centra enpredefinir pautas o estándares de actuación generales a tener en cuenta por lossujetos pertenecientes a un determinado sector.

Al margen de los códigos tipo reguladores de otras materias concretas, seanalizarán en este caso, aquellos que pretenden regular de forma unitaria, lostratamientos de datos de carácter personal realizados por personas físicas o jurídi-cas englobadas en el mismo sector de actividad.

En este ámbito, la Directiva 95/46/CE, utilizando la denominación de códigosde conducta, establece la posibilidad de adoptar este tipo de códigos, requiriendo ala Comisión Europea y a los Estados miembros para fomentar su desarrollo:

“los Estados miembros y la Comisión alentarán la elaboración de códigos deconducta destinados a contribuir, en función de las particularidades de cada sector,la correcta aplicación de las disposiciones nacionales adoptadas por los Estadosmiembros en aplicación de la presenta Directiva”.

El Grupo de Trabajo Sobre la Protección de las Personas Físicas, en un Docu-mento de Trabajo adoptado el 14 de enero de 199829, estableció una definición paraeste tipo de códigos, denominándolos, en ese caso, códigos de autorregulación yexpresándose en los siguientes términos:

“cualquier conjunto de normas de protección de datos que se apliquen a unapluralidad de responsables del tratamiento que pertenezcan a la misma profesión oal mismo sector industrial, cuyo contenido haya sido determinado fundamental-mente por miembros del sector industrial o profesión en cuestión”.

La LOPD, que contempla también la posibilidad de elaborar códigos tipo cuyoámbito de aplicación se circunscriba a una sola empresa, se refiere a los códigos tipoen su artículo 32, indicando que son aquellos en los que se “establezcan las condicio-nes de organización, régimen de funcionamiento, procedimientos aplicables, normas deseguridad del entorno, programas o equipos, obligaciones de los implicados en el tratamientoy uso de la información personal, así como las garantías en su ámbito, para el ejercicio de losderechos de las personas con pleno respeto de los principios y disposiciones de la presenta Leyy sus normas de desarrollo”.

Establece, además, la posibilidad de que contengan o no reglas operacionalesdetalladas de cada sistema particular y estándares técnicos de aplicación, de mane-ra que, en el supuesto de que tales reglas no se incorporen directamente a loscódigos, las instrucciones u órdenes que los establezcan deberán atenerse a losprincipios en ellos previstos.

29. Documento de Trabajo: Evaluación de la autorregulación industrial: ¿En qué casos realiza unacontribución significativa al nivel de protección de datos en un país tercero ?, http://europa.eu.int/comm/justice_home/fsj/privacy/docs/wpdocs/1998/wp7_es.pdf.

83

La autorregulación: los códigos tipo

Analizaremos a continuación el objeto, la naturaleza, los sujetos habilitadospara la adopción, el procedimiento de elaboración, el contenido, las ventajas, lasgarantías de cumplimiento, las obligaciones posteriores a su publicación, lasventajas que puede conllevar su adopción, así como los códigos que, a día de hoy, seencuentran registrados en el RGPD.

7.1. Objeto de los códigos tipo

Los códigos tipo en materia de protección de datos de carácter personal tienenpor objeto adecuar lo establecido en la normativa vigente en este ámbito a laspeculiaridades de los tratamientos efectuados por quienes se adhieren a los mismos.

A tal efecto, contendrán reglas o estándares específicos que permitan armoni-zar los tratamientos de datos efectuados por los adheridos, facilitar el ejercicio delos derechos de los afectados y favorecer el cumplimiento de lo dispuesto la LOPDy el RLOPD.

7.2. Naturaleza de los códigos tipo

En relación con esta cuestión, la propia LOPD establece, únicamente, la posibi-lidad de formular códigos tipo y reconoce el carácter de códigos deontológicos o debuena práctica profesional de los mismos. Con base en ello, ya podíamos afirmarque su implementación y la adscripción a los mismos por parte de los profesionalesson voluntarias. A pesar de constituir un instrumento de gran ayuda para cumplirla normativa vigente en materia de protección de datos, no son normas jurídicasvinculantes.

Por su parte, el RLOPD nos recuerda este carácter de códigos deontológicos ode buena práctica profesional y que, únicamente, serán vinculantes para quienes seadhieran a los mismos.

Debemos detenernos en este punto aclarando que los responsables de ficherosno están obligados a participar en la elaboración de este tipo de códigos y, una vezelaborados e inscritos, están, del mismo modo, facultados para elegir librementesobre su adhesión o suscripción, además de no implicar dicha adhesión el cumpli-miento de la LOPD y su normativa de desarrollo.

No obstante, si un responsable se adhiere a un código tipo concreto, a partir deese momento, queda obligado al cumplimiento de las disposiciones incluidas en elmismo y su incumplimiento podría ser sancionado por la entidad creada a estosefectos. Consecuencia de ello, el responsable suscriptor o adherido estará sometidoa un control periódico por parte del citado órgano, que deberá verificar que cadauna de las obligaciones aceptadas voluntariamente continúan siendo objeto decumplimiento, resultando frecuente la creación de comités de control orientados avelar por el buen funcionamiento y aplicabilidad del código tipo.

84


7.3. Sujetos habilitados para la adopción de códigos tipo

La Directiva 95/46/CE, además de autorizar a las asociaciones de profesiona-les, deja abierta la posibilidad a cualquier organización representante de otrascategorías de responsables de tratamientos y, en transposición de ésta, el legisladorespañol ha conferido dicha posibilidad a todos los responsables de tratamientos, yasean de titularidad pública o privada, así como a las organizaciones en las que seagrupen, siempre que lo efectúen mediante acuerdos sectoriales, convenios admi-nistrativos o decisiones de empresas. Esto ha supuesto un cambio fundamentalrespecto de lo establecido en la LORTAD, dado que, si bien ésta no hacía alusiónexpresa a los sujetos habilitados para la adopción de códigos tipo, sí hacía referenciaa los responsables de ficheros de titularidad privada, quedando excluidos, portanto, todos los responsables de tratamientos de titularidad pública.

El RLOPD no introduce ninguna novedad en este sentido, reconociendoigualmente la posibilidad de creación de códigos tipo por iniciativa de empresas,grupos de entidades pertenecientes a un mismo sector y Administraciones públicasy corporaciones de derecho público.

7.4. Procedimiento para la elaboración de códigos tipo

La LOPD no contempla ningún procedimiento específico para la adopción decódigos tipo, existiendo por ello una laguna en este punto, posiblemente motivadapor la propia naturaleza de estos códigos, cuya implementación es totalmentevoluntaria, laguna que no ha sido cubierta por el RLOPD. Como consecuencia deello, salvo los requisitos formales establecidos por la Ley 30/1992, de RégimenJurídico de las Administraciones Públicas y del Procedimiento AdministrativoComún (artículos 68 y 70) para la solicitud de inscripción de los códigos tipo, suprocedimiento de elaboración se ajustará, en cada caso, a la voluntad de los sujetosintervinientes en el mismo. No obstante, el artículo 32.3 de la LOPD establece unaobligación que se debe cumplir tras su elaboración, expresándose en los siguientestérminos: “ser depositados e inscritos en el RGPD y, cuando corresponda, en los creados aestos efectos por las Comunidades Autónomas”.

El Registro podrá denegar su inscripción cuando considere que no se ajusta alas disposiciones legales y reglamentarias sobre la materia, requiriendo, en estecaso, el Director de la AEPD a los solicitantes a fin de que efectúen las correccionesoportunas.

El RLOPD ha desarrollado la obligación de depósito y publicidad de los códigostipo, estableciendo que para que estos puedan considerarse como tales deberándepositarse e inscribirse en el RGPD o, cuando corresponda, en el registro que fueracreado por las comunidades autónomas, que darán traslado para su inclusión alRGPD, así como la obligación de la AEPD de dar publicidad a los códigos tipo inscri-tos, preferentemente a través de medios informáticos o telemáticos.

85


7.5. Contenido de los códigos tipo

La LOPD no regula el contenido que tienen que tener estos códigos. Ante estalaguna la AEPD recogió en su página web los aspectos de fondo del contenido deestos códigos30. Se relaciona a continuación el contenido mínimo que, a tenor de loexpresado por la AEPD, deberían recoger:

Introducción. Se expresarán las razones que han conducido al desarrollodel código, enumerando los valores añadidos que aporta su cumplimien-to, a través de una exposición de motivos.

Ámbito de aplicación. El ámbito de aplicación responderá a la actividadde los responsables de ficheros que los suscriben, debiendo quedar perfec-tamente delimitado.

Principios específicos del sector que representa. El código tipo deberáincluir la aplicación de principios específicos en el sector que mejoren lasprevisiones legales, acotando estos principios y desarrollando el procedi-miento de aplicación de los principios generales de protección de datos alcaso concreto del sector representado.

Definiciones específicas. Deberá incluir las definiciones que amplíenconceptos de la Ley y, especialmente, definiciones de carácter técnico delsector involucrado.

Condiciones de organización y procedimientos. Entre otros aspectos,deberá singularizar los datos personales a tratar, identificar los posiblesdestinatarios de cesiones o transferencias internacionales y las leyes oprevisiones que las amparan en el sector, delimitar las fuentes de recogidade los datos, permitir el ejercicio de los derechos de acceso, rectificación,cancelación y oposición en condiciones más favorables, estableciendo paraello el procedimiento que corresponda, así como incluir modelos para elejercicio de estos derechos y cláusulas informativas para su introducciónen los cuestionarios de recogida de los datos. Además, podrá incluir unsello de garantía identificativo del código tipo, que hará referencia a lavinculación al mismo.

Medidas de seguridad. Deberá indicar el nivel mínimo de medidas deseguridad que se van a aplicar y hacer una enumeración de las mismas,pudiendo establecer el compromiso de cumplimiento de un nivel demedidas de seguridad mas alto que el correspondiente a los ficherosobjeto de tratamiento en el sector que elabora el código tipo.

Comunicaciones y transferencias internacionales de datos. Deberáanalizar las diferentes situaciones que se puedan dar en el sector y elámbito legal en el que se producen.

30. Vid. AEPD, Aspectos de fondo del contenido de un código tipo, https://www.agpd.es/index.php?idSeccion=242.

86


Procedimiento de autorregulación y control. En relación con éste, resultadestacable el deber de aclarar que supone una vía opcional y que siemprese podrá acudir a la AEPD para presentar una reclamación ante el incum-plimiento de la LOPD.

Régimen sancionador. Tendrá que establecer el régimen de sanciones porincumplimiento del código tipo.

Relación de adheridos. Contendrá la relación de adheridos, así como elcompromiso del titular del código de comunicar altas, bajas o modificacio-nes de asociados a la Agencia.

Marco normativo. Deberá establecer el marco normativo general y elespecífico del sector, incluyendo todas las instrucciones y recomendacio-nes que sean aplicables al sector.

Conclusiones. Deberá contener un resumen de ventajas y/o garantías queofrece el código a los titulares de los datos, modelos para el ejercicio de losderechos y un resumen de obligaciones que deben cumplir los responsa-bles de los ficheros.

El RLOPD ha cubierto la laguna de la LOPD, regulando el contenido mínimoque deben incluir los códigos tipo, tal y se detalla a continuación:

La delimitación clara y precisa de su ámbito de aplicación, las actividadesa que el código se refiere y los tratamientos sometidos al mismo.

Las previsiones específicas para la aplicación de los principios de protec-ción de datos.

El establecimiento de estándares homogéneos para el cumplimiento porlos adheridos al código de las obligaciones establecidas en la Ley Orgánica15/1999, de 13 de diciembre.

El establecimiento de procedimientos que faciliten el ejercicio por losafectados de sus derechos de acceso, rectificación, cancelación y oposición.

La determinación de las cesiones y transferencias internacionales de datosque, en su caso, se prevean, con indicación de las garantías que debanadoptarse.

Las acciones formativas en materia de protección de datos dirigidas aquienes los traten, especialmente en cuanto a su relación con los afectados.

Los mecanismos de supervisión a través de los cuales se garantice elcumplimiento por los adheridos de lo establecido en el código tipo.

Cláusulas tipo para la obtención del consentimiento de los afectados altratamiento o cesión de sus datos.

87


Cláusulas tipo para informar a los afectados del tratamiento, cuando losdatos no sean obtenidos de los mismos.

Modelos para el ejercicio por los afectados de sus derechos de acceso,rectificación, cancelación y oposición.

Modelos de cláusulas para el cumplimiento de los requisitos formalesexigibles para la contratación de un encargado del tratamiento, en su caso.

Este contenido deberá estar redactado en términos claros y accesibles y consuficiente grado de precisión.

Al margen del contenido mínimo indicado, los códigos tipo podrán incluircualquier otro compromiso adicional que asuman los adheridos para un mejorcumplimiento de la legislación vigente en materia de protección de datos. Ademáspodrán contener cualquier otro compromiso que puedan establecer las entidadespromotoras y, en particular, sobre:

La adopción de medidas de seguridad adicionales a las exigidas por laLOPD y el RLOPD.

La identificación de las categorías de cesionarios o importadores de losdatos.

Las medidas concretas adoptadas en materia de protección de los menoreso de determinados colectivos de afectados.

El establecimiento de un sello de calidad que identifique a los adheridos alcódigo.

Finalmente, en virtud de lo establecido en el artículo 76 del RLOPD, se deberáincorporar a los códigos tipo un anexo con la relación de adheridos, que tendrá quemantenerse actualizada y a disposición de la AEPD.

En el plazo de un año desde la entrada en vigor del RLOPD deberánnotificarse a la AEPD las modificaciones que resulten necesarias en los códigos tipoinscritos en el RGPD para adaptar su contenido a lo expuesto anteriormente.

7.6. Ventajas derivadas de la creación de códigos tipo

Uno de los aspectos que debe tener en cuenta todo responsable de ficheros sonlas ventajas de distinta índole que la adopción de este tipo de códigos puede conlle-var, como garantía frente a los titulares de los datos de carácter personal y a lapropia AEPD, así como, de forma interna, a la organización del responsable deltratamiento.

En primer lugar, para los titulares de datos personales -ya consten en losficheros del responsable del tratamiento o se trate de sujetos que, potencialmente,pueden estar interesados en la actividad desarrollada por el mismo-, la adhesión a

88


un código tipo en materia de protección de datos podrá ser interpretada comosíntoma de conocimiento de las obligaciones impuestas por la normativareguladora de esta materia y el modo más adecuado de llevarlas a la práctica en susector concreto, demostrando el respeto por el derecho de los particulares a preser-var sus datos personales.

En aras a la consecución de la confianza de los titulares de los datos, lo másfrecuente es que la suscripción por parte de los responsables de tratamientos dedatos de carácter personal a estos códigos traiga como consecuencia la posibilidadde utilizar un sello de garantía que los identificará como tales, con la finalidad deque produzca en los titulares de los datos el efecto anteriormente expuesto.

En relación con la AEPD, dado que, como ya se ha reflejado anteriormente, loscódigos tipo deben ser inscritos en el RGPD, previa revisión de su adecuación a lasdisposiciones legales y reglamentarias sobre la materia, si con posterioridad laAgencia considera que una actuación acorde con lo establecido en el código tiposuscrito es sancionable, el responsable podrá argumentar la doctrina de los actospropios, a fin de que dicha práctica no sea considerada como contraria a la Ley.

Del mismo modo, la adhesión a un código tipo tiene repercusiones internaspara el propio responsable del tratamiento de datos, facilitándole informaciónacerca de la manera de actuar en el proceso de tratamiento de los datos personales,especialmente, en relación con aquellos aspectos que generan a todos los profesio-nales una mayor inseguridad en sus actuaciones.

7.7. Garantías del cumplimiento de los códigos tipo

El RLOPD establece la obligación de incluir en los códigos tipo procedimientosde supervisión independientes para garantizar el cumplimiento de las obligacionesasumidas por los adheridos, y establecer un régimen sancionador adecuado, eficazy disuasorio. Estos procedimientos deberán garantizar:

La independencia e imparcialidad del órgano responsable de la supervisión.

La sencillez, accesibilidad, celeridad y gratuidad para la presentación dequejas y reclamaciones ante dicho órgano por los eventuales incumpli-mientos del código tipo.

El principio de contradicción.

Una graduación de sanciones que permita ajustarlas a la gravedad delincumplimiento. Esas sanciones deberán ser disuasorias y podrán impli-car la suspensión de la adhesión al código o la expulsión de la entidadadherida. Asimismo, podrá establecerse, en su caso, su publicidad.

La notificación al afectado de la decisión adoptada.

Del mismo modo, podrán contemplar procedimientos para la determinaciónde medidas reparadoras en caso de haberse causado un perjuicio a los afectadoscomo consecuencia del incumplimiento del código tipo.

89


7.8. Obligaciones posteriores a la inscripción del código tipo

Una vez publicado un código tipo, las entidades promotoras o los órganos,personas o entidades que al efecto se designen en el mismo tendrán que cumplir lassiguientes obligaciones establecidas en el RLOPD:

Mantener accesible al público la información actualizada sobre las entida-des promotoras, el contenido del código tipo, los procedimientos deadhesión y de garantía de su cumplimiento y la relación de adheridos a laque se refiere el artículo anterior. Esta información deberá presentarse deforma concisa y clara y estar permanentemente accesible por medioselectrónicos.

Remitir a la AEPD una memoria anual sobre las actividades realizadaspara difundir el código tipo y promover la adhesión a éste, las actuacionesde verificación del cumplimiento del código y sus resultados, las quejas yreclamaciones tramitadas y el curso que se les hubiera dado y cualquierotro aspecto que las entidades promotoras consideren adecuado destacar.

Cuando se trate de códigos tipo inscritos en el registro de una autoridadde control de una comunidad autónoma, la remisión se realizará a dichaautoridad, que dará traslado al RGPD.

Evaluar periódicamente la eficacia del código tipo, midiendo el grado desatisfacción de los afectados y, en su caso, actualizar su contenido paraadaptarlo a la normativa general o sectorial de protección de datos exis-tente en cada momento.

7.9. Códigos tipo inscritos

A día de hoy, únicamente se han inscrito doce códigos tipo, constando dos deellos en el RGPD con anterioridad a la entrada en vigor de la LOPD y en su totali-dad con carácter previo a la entrada en vigor del RLOPD. A continuación, analizare-mos brevemente cada uno de ellos, centrándonos en su objeto y ámbito de aplica-ción, dado que es suficiente para conocer su espíritu y entrar en más detalles nosobligaría a extendernos demasiado. Para ello, se seguirá un orden cronológico porfecha de inscripción del más antiguo al más reciente.

Código Tipo de Telefónica de España, S.A.Fecha Inscripción: 20/12/1994 (modificado en diciembre de 2003).

Siendo el primer código inscrito en el RGPD, concretó su objeto en establecerlos principios a los que se sujeta la actuación de Telefónica de España en materia deprotección de datos, regulando las condiciones organizativas y técnicas de losficheros existentes en la actualidad o que puedan crearse en el futuro, así como lascondiciones para la recogida y utilización de los datos, determinando el procedi-miento a seguir en el ejercicio de los derechos de acceso, rectificación, cancelación y

90


oposición por los afectados, así como los derechos específicos de los usuarios en elsector de las telecomunicaciones.

Este código resulta aplicable a los tratamientos de datos de carácter personalque se efectúen en España por Telefónica de España, sirviendo de punto de referen-cia para el resto de las empresas del Grupo, como parámetros deseables a los que sedebe tender aun cuando no exista legislación de protección de datos en los países enlos que estén establecidas.

Código Tipo de Asociación Multisectorial de la Información (ASEDIE).Fecha de inscripción: 15/09/1999.

Constituye el objeto de este código establecer las condiciones de organización,régimen de funcionamiento, procedimientos aplicables, normas de seguridad delentorno, obligaciones de los implicados en el tratamiento y uso de la informaciónpersonal, así como las garantías para el ejercicio de los derechos de las personas, ensu ámbito; resultando de aplicación a las relaciones que mantengan las empresasasociadas a la ASEDIE (Sector de Información Comercial) con las personas objeto deinformes comerciales, con los usuarios de los mismos, así como a las relaciones quedichos asociados mantengan entre sí y con terceras personas, empresas, entidades uorganismos relacionados de forma directa o indirecta con el ejercicio de la actividadde información comercial.

Del mismo modo, se aplica a los ficheros automatizados que contengan datosde carácter personal y de los que sean responsables las empresas asociadas a ASE-DIE, cuya finalidad sea la prestación de servicios de información sobre la solvenciapatrimonial y crédito.

Código Tipo de Fichero Histórico de Seguros del Automóvil (UNESPA).Fecha de inscripción: 11/10/2000.

En relación con su objeto, este código se expresa en los términos que se recogena continuación:

“El Fichero Histórico, cumple con la finalidad descrita en el artículo 24.3, párrafosegundo de la Ley 33/1995 en cuanto a fichero de colaboración estadístico actuarialpara la tarificación y selección de riesgos, recogiendo información sobre los contra-tos de seguros del automóvil que el tomador ha suscrito en los últimos cinco añosasí como de los siniestros vinculados a dichos contratos.

Igualmente, el Fichero contribuirá a promover la transparencia en el mercado delseguro del automóvil y la aplicación equitativa y suficiente de las tarifas a losriesgos asegurados. Los asegurados tendrán un mayor acceso al conjunto de ofertasdel sector y podrán buscar la que más se adecue a sus necesidades al permitírseletener conocimiento de sus propios datos de siniestralidad, factor esencial para elcálculo de la prima del seguro. Por su parte las entidades aseguradoras tendrán unainformación exacta y precisa del riesgo que complementará la facilitada por eltomador en la solicitud de seguro, en su deber de declaración del riesgo.

91


Se entiende por siniestro el acaecimiento del hecho que, previsto en el contrato, essusceptible de dar lugar al pago de la indemnización por la entidad aseguradora concargo a la póliza suscrita por el tomador.”

Su ámbito de aplicación se extiende al responsable del fichero, la empresa deservicios de tratamiento automatizado y todas las entidades aseguradoras autoriza-das para operar en España en el ramo de responsabilidad civil de automóviles, seano no asociadas a UNESPA, teniendo como único requisito imprescindible que esténinscritas en el Registro Especial de la Dirección General de Seguros.

Código Tipo de La Asociación Nacional de Fabricantes (ANF).Fecha de inscripción: 21/12/2001.

El presente código arbitra un sistema, cuyo seguimiento asegura a los adheri-dos al mismo el pleno cumplimiento de sus obligaciones en materia de protecciónde datos de carácter personal. Podrán suscribir este código todas las empresas oprofesionales adheridos a la ANF, resultando aplicable a los datos de carácterpersonal contenidos en ficheros sobre clientes.

Código Tipo de Agrupación Catalana de Establecimientos Sanitarios (ACES).Fecha de inscripción: 28/12/2001.

La ACES es una asociación empresarial que tiene como finalidad el asesoramien-to, defensa y representación de sus miembros, procurando en todo momento laoptimización de métodos de trabajo y objetivos, en general, tendiendo fundamental-mente a la promoción de sus intereses sociales, laborales, profesionales y culturales.

Atendiendo a dicha finalidad se creó este código, cuyo ámbito de aplicaciónabarca tanto a sus socios de número -personas físicas o jurídicas que siendo detitularidad privada desarrollen su actividad principal dentro del sector sanitario-como a los socios de honor -personas o entidades que presten o hayan prestado a laAgrupación o a la Sanidad ayudas o colaboraciones destacadas-, siempre previoacuerdo de la Asamblea General de ACES a propuesta de la Junta Directiva.

Código Tipo de Unió Catalana D’Hospitals (UNIÓ).Fecha de inscripción: 12/07/2002 (modificado en julio de 2004).

La indiscutible y, legalmente reconocida, naturaleza sensible de los datospersonales concernientes a la salud unida a la posibilidad de establecer códigostipo, arrastraron a la UNIÓ a utilizar este instrumento con la finalidad de que losadheridos a este código preserven de cualquier violación la privacidad de laspersonas físicas y garanticen su autodeterminación informativa.

En relación con su ámbito subjetivo de aplicación, podemos afirmar que éste seextiende, no sólo a los asociados que manifiesten de forma expresa su adhesión almismo, sino también a aquellas entidades no asociadas pero que, reuniendo lascondiciones para poder serlo, con implantación territorial en cualquier territorio delestado, manifiesten su voluntad de adhesión al código de forma expresa.

92


Por su parte, el ámbito objetivo se centra en el tratamiento de datos de carácterpersonal contenidos en los ficheros de pacientes/historia clínica, sea cual sea susoporte y modalidad de tratamiento.

Código Tipo de Comercio Electrónico y Publicidad Interactiva(AUTOCONTROL-AECE-IAB SPAIN).Fecha Inscripción: 07/11/2002.

Nos encontramos ante un sector extremadamente dinámico y en permanenteevolución, donde las posibilidades de obsolescencia normativa son mayores que encualquier otro. Adaptarse a los cambios previendo soluciones a estos problemas deregulación es uno de los objetivos que inspiran el presente código, aplicable a lapublicidad y al comercio electrónico realizados a través de medios electrónicos decomunicación a distancia, por personas físicas o jurídicas con establecimientopermanente en España o dirigidos de forma específica al mercado español.

Código Tipo de Odontólogos y Estomatólogos de España.Fecha de inscripción: 12/07/2004.

Mediante la elaboración de este código el Ilustre Consejo de Colegios Oficialesde Odontólogos y Estomatólogos de España pretende ofrecer garantías para laspersonas cuyos datos de carácter personal se traten por los profesionales colegiadosen los Colegios Oficiales de Odontólogos y Estomatólogos de España, fijando reglasespecíficas para el tratamiento de datos de carácter personal en el ámbito delejercicio de esta profesión; todo ello, sin perjuicio de la aplicación de las obligacio-nes y deberes genéricos establecidos por las normas vigentes en materia de protec-ción de datos de carácter personal aplicables a todas las personas, entidades oempresas titulares de ficheros que contengan datos personales.

Su ámbito de aplicación se extiende a todos los servicios profesionales presta-dos por odontólogos y estomatólogos colegiados en los Colegios Oficiales deOdontólogos y Estomatólogos españoles, que se adhieran al código, ya sean presta-dos en clínicas y/o consultorios dentales individuales o colectivos.

Código Tipo Universidad de Castilla-La Mancha.Fecha de inscripción: 14/07/2004.

Esta institución académica, que ha mostrado siempre una especial sensibilidadpor los temas relacionados con la seguridad informática y el respeto a todo lorelacionado con la protección de datos de carácter personal, ha sido la primerainstitución pública en implementar un código tipo en esta materia, con la pretensiónde cumplir de la forma más sencilla y segura con la legislación, a través de undocumento único que reúna todos los documentos esenciales, y servir de referenteal resto de universidades españolas, contribuyendo, al mismo tiempo, al conoci-miento de este derecho fundamental.

Se ha establecido como objeto de éste código garantizar y proteger, en lo queconcierne al tratamiento de los datos personales, las libertades públicas y los dere-

93

chos fundamentales de las personas físicas y, especialmente, de su honor e intimi-dad personal y familiar, resultando de aplicación a los datos de carácter personalque figuren en ficheros automatizados de la Universidad de Castilla-La Mancha y atoda modalidad de uso posterior de estos datos.

Código Tipo de la Asociación Catalana de Recursos Asistenciales (ACRA).Fecha de inscripción: 27/12/2004.

Este código ha establecido la siguiente distinción en relación con su objeto:

A. Respecto a los responsables de los ficheros: las condiciones de utilización yconservación de los datos de carácter personal, el régimen de cesión ocomunicación, las directrices de la normativa interna de los asociadosadheridos al código, la creación de un Comité de protección de datos en elseno de la ACRA y un régimen de infracciones y sanciones.

B. Respecto a los titulares de los datos de carácter personal: definir y delimi-tar los procedimientos para ejercer los derechos de los titulares de losdatos de carácter personal en aras a obtener las mayores garantías de estosderechos, tanto en lo que ser refiere a su difusión como a su ejercicio y laprotección, en lo que concierne al tratamiento de los datos de carácterpersonal, de las libertades públicas y los derechos fundamentales de losresidentes en cualquiera de los centros o establecimientos asociados yadheridos al código, así como, su derecho al honor e intimidad personal yfamiliar.

En términos generales, es aplicable a los datos de carácter personal de losresidentes registrados en soportes automatizados o no, que los hagan susceptiblesde tratamiento, y a toda modalidad de uso posterior de los mismos, de los que seanresponsables los asociados de ACRA que se adhieran al código tipo.

Código Tipo del Sector de la Intermediación Inmobiliaria. Asociación Empre-sarial de Gestión Inmobiliaria (AEGI).Fecha de inscripción: 29/12/2004.

La AEGI, conocedora de la problemática que en cuanto al tratamiento de datosde carácter personal presenta el sector de la gestión inmobiliaria, consideró impres-cindible el establecimiento de un marco que recoja un conjunto de normas de auto-rregulación que garantice que el sector cumple con las previsiones que la LOPD ysus reglamentos establecen, lo que debe traducirse en un beneficio de imagen ygestión hacia el cliente, estableciendo como ámbito de aplicación, en general, lostratamientos efectuados por las empresas adheridas para la prestación de sus servi-cios de gestión inmobiliaria y, en concreto, los siguientes tratamientos: a) Tratamien-tos de datos destinados a captar clientes para compra, venta o alquiler de inmuebles(cliente potencial), b) tratamientos de datos involucrados directamente en operacio-nes de compraventa y/o alquiler de inmuebles o destinadas a la concreción futurade las mismas (fases previas o de reserva e intermediación concretada o no), c)tratamientos de datos relacionados en todo o en parte con la gestión inmobiliaria,


94


como pudieran ser la gestión de la contratación de los suministros necesarios parala vivienda, de la financiación necesaria para la adquisición o arrendamiento de uninmueble (sea como mera intermediación o servicio propio), prestación de serviciosde rehabilitación u obras en inmuebles, d) aquellos derivados de operaciones depromoción o construcción inmobiliaria en la parte que concierne a las accionesdestinadas a la venta o arrendamiento de las viviendas construidas y e) cualesquie-ra comprendidos en el ámbito de la gestión inmobiliaria.

Código Tipo Veraz-Persus. Soluciones Veraz ASNEF-EQUIFAX, S. L.Fecha de inscripción: 19/12/2006.

El objeto de este código tipo es establecer las condiciones de organización yrégimen de funcionamiento del fichero Veraz-Persus, con el objeto de ofrecer a losbeneficiarios unas garantías más amplias que las contenidas en la normativa dicta-da en materia de protección de datos de carácter personal.

El fichero Veraz-Persus, es un fichero de auto-inclusión en el que cualquierpersona, por si misma, o a través de su tutor legal, podrá solicitar su incorporacióncon el objeto de evitar el uso fraudulento de sus datos personales por terceros enperjuicio de su identidad, solvencia y patrimonio económico.

Después de este análisis de la figura de los códigos tipo en materia de protec-ción de datos y, ya para finalizar, debemos insistir en que, si bien éstos no tienencarácter normativo, sino, como ya se ha indicado, de códigos deontológicos o debuena práctica profesional, constituyen un importante instrumento para facilitar elcumplimiento de la normativa de protección de datos de carácter personal, quecomo decíamos al comienzo, está resultando muy complejo y requiriendo un granesfuerzo por parte de las entidades o personas físicas a las que les resulta de obliga-do cumplimiento la citada normativa.

95

8

Infracciones y sanciones

8.1. Los responsables

El artículo 5 de la LOPD define como Responsables a los Responsables de losFicheros y los Encargados de los Tratamientos, que estarán sujetos al régimensancionador. Es Responsable del Fichero o del Tratamiento la “persona física o jurídi-ca, de naturaleza pública o privada, u órgano administrativo, que sólo o conjuntamente conotros decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizasematerialmente. Podrán ser también responsables del fichero o del tratamiento los entes sinpersonalidad jurídica que actúen en el tráfico como sujetos diferenciados.”

Es Encargado del Tratamiento la “persona física o jurídica, de naturaleza pública oprivada, u órgano administrativo, que sólo o conjuntamente con otros, trate datos personalespor cuenta del responsable del tratamiento o responsable del fichero, como consecuencia de laexistencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de suactuación para la prestación de un servicio. Podrán ser también encargados del tratamientolos entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados.”

8.2. Las infracciones: tipos

En materia de Protección de Datos, la LOPD (Art. 44) define tres tipos deinfracciones: leves, graves y muy graves.

8.2.1. Leves

Son infracciones leves:

A. No atender, por motivos formales, la solicitud del interesado de rectifica-ción o cancelación de los datos personales objeto de tratamiento cuandolegalmente proceda.

96


B. No proporcionar la información que solicite la AEPD en el ejercicio de lascompetencias que tiene legalmente atribuidas, en relación con aspectos nosustantivos de la protección de datos.

C. No solicitar la inscripción del fichero de datos de carácter personal en elRGPD, cuando no sea constitutivo de infracción grave.

D. Proceder a la recogida de datos de carácter personal de los propios afecta-dos sin proporcionarles la información que señala el artículo 5 de laLOPD.

E. Incumplir el deber de secreto establecido en el artículo 10 de la LOPD,salvo que constituya infracción grave.

8.2.2. Graves

Son infracciones graves:

A. Proceder a la creación de ficheros de titularidad pública o iniciar la recogi-da de datos de carácter personal para los mismos, sin autorización dedisposición general, publicada en el «Boletín Oficial del Estado» o diariooficial correspondiente.

B. Proceder a la creación de ficheros de titularidad privada o iniciar larecogida de datos de carácter personal para los mismos con finalidadesdistintas de las que constituyen el objeto legítimo de la empresa o entidad.

C. Proceder a la recogida de datos de carácter personal sin recabar el consen-timiento expreso de las personas afectadas, en los casos en que éste seaexigible.

D. Tratar los datos de carácter personal o usarlos posteriormente con concul-cación de los principios y garantías establecidos en la LOPD o con incum-plimiento de los preceptos de protección que impone el RLOPD, cuandono constituya infracción muy grave.

E. El impedimento o la obstaculización del ejercicio de los derechos deacceso y oposición y la negativa a facilitar la información que sea solici-tada.

F. Mantener datos de carácter personal inexactos o no efectuar las rectifica-ciones o cancelaciones de los mismos que legalmente procedan cuandoresulten afectados los derechos de las personas que la LOPD ampara.

G. La vulneración del deber de guardar secreto sobre los datos de carácterpersonal incorporados a ficheros que contengan datos relativos a lacomisión de infracciones administrativas o penales, Hacienda Pública,servicios financieros, prestación de servicios de solvencia patrimonial y

97

crédito, así como aquellos otros ficheros que contengan un conjunto dedatos de carácter personal suficientes para obtener una evaluación de lapersonalidad del individuo.

H. Mantener los ficheros, locales, programas o equipos que contengan datosde carácter personal sin las debidas condiciones de seguridad que estable-ce el RLOPD.

I. No remitir a la AEPD las notificaciones previstas en esta Ley o en susdisposiciones de desarrollo, así como no proporcionar en plazo a la mismacuantos documentos e informaciones deba recibir o sean requeridos poraquél a tales efectos.

J. La obstrucción al ejercicio de la función inspectora.

K. No inscribir el fichero de datos de carácter personal en el RGPD, cuandohaya sido requerido para ello por el Director de la AEPD.

L. Incumplir el deber de información que se establece en los artículos 5, 28 y29 de la LOPD, cuando los datos hayan sido recabados de persona distintadel afectado.

8.2.3. Muy graves

Son infracciones muy graves:

A. La recogida de datos en forma engañosa y fraudulenta.

B. La comunicación o cesión de los datos de carácter personal, fuera de loscasos en que estén permitidas.

C. Recabar y tratar datos de ideología, afiliación sindical, religión y creenciascuando no medie el consentimiento expreso del afectado; recabar y tratardatos de origen racial, a la salud y a la vida sexual cuando no lo dispongauna Ley o el afectado no haya consentido expresamente, o violentar laprohibición de crear ficheros con la finalidad exclusiva de almacenar datosde carácter personal que revelen la ideología, afiliación sindical, religión,creencias, origen racial o étnico, o vida sexual.

D. No cesar en el uso ilegítimo de los tratamientos de datos de carácterpersonal cuando sea requerido para ello por el Director de la AEPD o porlas personas titulares del derecho de acceso.

E. La transferencia temporal o definitiva de datos de carácter personal quehayan sido objeto de tratamiento o hayan sido recogidos para someterlos adicho tratamiento, con destino a países que no proporcionen un nivel deprotección equiparable sin autorización del Director de la AEPD.


98


F. Tratar los datos de carácter personal de forma ilegítima o con menospreciode los principios y garantías que les sean de aplicación, cuando con ello seimpida o se atente contra el ejercicio de los derechos fundamentales.

G. La vulneración del deber de guardar secreto sobre los datos de carácterpersonal de ideología, afiliación sindical, religión, creencias, origen racial,salud y vida sexual, así como los que hayan sido recabados para finespoliciales sin consentimiento de las personas afectadas.

H. No atender, u obstaculizar de forma sistemática el ejercicio de los dere-chos de acceso, rectificación, cancelación u oposición.

I. No atender de forma sistemática el deber legal de notificación de lainclusión de datos de carácter personal en un fichero.

8.3. Prescripción

El artículo 47 de la LOPD establece los plazos de prescripción:

Las infracciones muy graves prescribirán a los tres años, las graves a losdos años y las leves al año.

El plazo de prescripción comenzará a contarse desde el día en que lainfracción se hubiera cometido.

Interrumpirá la prescripción la iniciación, con conocimiento del interesa-do, del procedimiento sancionador, reanudándose el plazo de prescripciónsi el expediente sancionador estuviere paralizado durante más de 6 mesespor causa no imputable al presunto infractor.

8.4. La infracción continuada

Se considera Infracción Continuada aquella infracción en las que su consuma-ción se proyecta en el tiempo más allá de los hechos iniciales, extendiéndose hastalos finales. Es decir, que hasta que deja de producirse la lesión de los derechos delafectado que se comete mientras se mantienen datos de carácter personal inexactosen un registro, y el periodo de prescripción no comienza hasta que son eliminados orectificados.

Según la sentencia de la Audiencia Nacional de 7 de noviembre de 2002, lainfracción es la prevista en el artículo 44.3.f): “Mantener datos de carácter personalinexactos o no efectuar las rectificaciones o cancelaciones de los mismos que legal-mente procedan cuando resulten afectados los derechos de las personas que lapresente Ley ampara.”

El plazo de prescripción comienza a contarse desde el día en que la infracciónse hubiera cometido, y la Audiencia Nacional considera que “…la infracción se

99

comete mientras se mantienen los datos en el registro, quebrando la correspondencia quedebe mediar entre dichos datos y la situación real del afectado…”.

8.5. Las sanciones8.5.1. Las sanciones en el sector privado8.5.1.1.Las sanciones de la lopd

En materia de Protección de Datos, la LOPD (Art. 45) define 3 tipos de sanciones:

Las infracciones leves serán sancionadas con multa de 601,01 € a 60.101,20 €.

Las infracciones graves serán sancionadas con multa de 60.101,20 € a300.506,10 €.

Las infracciones muy graves serán sancionadas con multa de 300.506,10 €a 601.012,10 €.

La cuantía de las sanciones se graduará atendiendo a la naturaleza de losderechos personales afectados, el volumen de los tratamientos efectuados, losbeneficios obtenidos, el grado de intencionalidad, la reincidencia, los daños yperjuicios causados a las personas interesadas y a terceras personas, y a cualquierotra circunstancia que sea relevante para determinar el grado de antijuridicidad yde culpabilidad presentes en la concreta actuación infractora.

También hay que tener en cuenta que habitualmente en un ProcedimientoSancionador se recogen varias infracciones, por lo que las sanciones sonacumulativas, lo que implica que el importe total de las sanciones puede superar los601.012,10 €.

¿Cuándo se aplica la posible rebaja del Art. 45.5 de la LOPD?

Si, en razón de las circunstancias concurrentes, se apreciara una cualificadadisminución de la culpabilidad del imputado o de la antijuridicidad del hecho, elórgano sancionador establecerá la cuantía de la sanción aplicando la escala relativaa la clase de infracciones que preceda inmediatamente en gravedad a aquella enque se integra la considerada en el caso de que se trate.

La Audiencia Nacional31 establece que “sólo en los casos en los que la culpabilidad y laantijuricidad resulten sustancialmente atenuadas atendidas las circunstancias del caso concreto,de forma que repugne a la sensibilidad jurídica… la imposición de la sanción correspondiente algrado… lo cual puede darse, por excepción, en casos muy extremos y concretos.”

Inmovilización de ficheros.

Existe una sanción adicional desarrollada por el RLOPD (Art. 121) que estable-ce que en caso de infracción muy grave por la utilización o cesión ilícita de los datos


31. Sentencia de la Audiencia Nacional, Sala de lo Contencioso-Administrativo, Sección 1ª, de 15de noviembre 2002 (RJCA 2003, 16).

100


de carácter personal en la que se impida gravemente o se atente de igual modocontra el ejercicio de los derechos de los ciudadanos y el libre desarrollo de lapersonalidad que la Constitución y las leyes garantizan, el Director de la AEPDpodrá, en cualquier momento del procedimiento, requerir a los responsables deficheros o tratamientos de datos de carácter personal, tanto de titularidad públicacomo privada, la cesación en la utilización o cesión ilícita de los datos.

Este requerimiento deberá ser atendido en el plazo improrrogable de tres días,durante el cual el responsable del fichero podrá formular las alegaciones que tengapor convenientes en orden al levantamiento de la medida.

Si el requerimiento fuera desatendido, el Director podrá, mediante resoluciónmotivada, acordar la inmovilización de tales ficheros o tratamientos, a los solosefectos de restaurar los derechos de las personas afectadas.

TABLA EVOLUCIÓN DE LAS SANCIONES Y LOS PROCEDIMIENTOS 2002-2007.

Fuente: Memorias de la AEPD 2002-2007. Elaboración: HELAS CONSULTORES.

8.5.1.2.Las sanciones de la LSSICE

El artículo 6 de la Ley 56/2007, de 28 de diciembre, de Impulso de la Sociedadde la Información (LISI) establece como autoridad sancionadora del incumplimien-to de algunos preceptos de la Ley 34/2002, de 11 de julio, de Servicios de la Socie-dad de la Información y de Comercio Electrónico (LSSICE) a la AEPD. En particular,corresponderá a la AEPD la imposición de sanciones por la comisión de las infrac-ciones tipificadas en los artículos 38.3, c), d) i) y 38.4 d) g) h) de la LSSICE, que sedetallan a continuación:

101


Infracciones Graves:

El envío masivo de comunicaciones comerciales por correo electrónico uotro medio equivalente, o el envío en 1 año de más de 3 comunicacionescomerciales no solicitadas o consentidas.

El incumplimiento de establecer procedimientos para la revocación delconsentimiento.

El incumplimiento de las obligaciones de información o de establecimien-to de un procedimiento de rechazo de tratamiento de datos (Art. 22.2).

Infracciones Leves:

El envío de comunicaciones comerciales por correo electrónico u otromedio de comunicación electrónica equivalente cuando en dichos envíosno se cumplan los requisitos establecidos (derechos de los destinatarios decomunicaciones comerciales, Art. 21) y no constituya infracción grave.

El incumplimiento de las obligaciones de información o de establecimien-to de un procedimiento de rechazo del tratamiento de datos (validez yeficacia de los contratos celebrados por vía electrónica, Art. 22), cuando noconstituya una infracción grave.

El incumplimiento de la obligación del prestador de servicios en relacióncon los procedimientos para revocar el consentimiento prestado por losdestinatarios cuando no constituya infracción grave.

8.5.2. Las sanciones en el sector público

La LOPD (Art. 46) desarrolla las infracciones de las Administraciones Públicas,donde la peculiaridad principal es que no conllevan sanción económica, diferen-ciándose así de las entidades privadas.

Cuando las infracciones fuesen cometidas en ficheros de los que seanresponsables las Administraciones Públicas, el Director de la AEPD dictaráuna resolución estableciendo las medidas que procede adoptar para quecesen o se corrijan los efectos de la infracción. Esta resolución se notificaráal responsable del fichero, al órgano del que dependa jerárquicamente y alos afectados si los hubiera.

El Director de la AEPD podrá proponer también la iniciación de actuacio-nes disciplinarias, si procedieran. El procedimiento y las sanciones aaplicar serán las establecidas en la legislación sobre régimen disciplinariode las Administraciones Públicas.

El Director de la AEPD comunicará al Defensor del Pueblo las actuacionesque efectúe y las resoluciones que dicte al amparo de los apartados ante-riores.

102


8.6. El procedimiento sancionador

La LOPD establece que el procedimiento sancionador se desarrollará por víareglamentaria, y el RLOPD establece los procedimientos relativos al ejercicio de lapotestad sancionadora.

Cualquier actuación que sea contraria a las exigencias contenidas en la LOPDpuede ser objeto de reclamación ante la Agencia, sin perjuicio de que se puedainterponer denuncia ante los Tribunales de Justicia.

8.6.1. Procedimiento sancionador

El procedimiento sancionador se inicia normalmente como consecuencia deuna denuncia.

La práctica habitual es que previamente se informe a la empresa responsable delos ficheros de la inspección a realizar, indicando día y hora en que se personarán losinspectores, pero sin explicar el motivo de la denuncia ni identificar al denunciante.

En empresas pequeñas, para no favorecer la eliminación de información, lasinspecciones se realizan sin previo aviso. Los inspectores, que tienen la considera-ción de autoridad pública, deben acreditar su personalidad y mostrar la autoriza-ción de entrada expedida por el Director de la AEPD. Por su parte, el responsabledel fichero tiene la obligación de facilitar la actividad inspectora, siendo una infrac-ción grave su obstrucción.

También se han iniciado procedimientos sancionadores cuando tras unadenuncia que afecta a una administración pública, la AEPD ha recabado informa-ción de dicho organismo, sin realizar inspección presencial, y basándose en lasrespuestas ha deducido que se habían realizado actividades susceptibles de sersancionables.

Los inspectores (siempre dos, inspector y subinspector) podrán solicitar laexhibición de documentos, inspeccionar equipos físicos y lógicos, y acceder a loslocales donde se encuentren instalados. La inspección termina con el Acta deInspección que ha de firmar el responsable del fichero. Es importante revisar elcontenido de dicha acta, porque el expediente sancionador se basará en ella.

Si tras la inspección, se comprueba que se ha cometido alguna infracción, seabrirá procedimiento sancionador por acuerdo del Director de la Agencia Españolade Protección de Datos. El contenido de este acuerdo debe ser el siguiente:

Designación de instructor, con la indicación de la posibilidad de su recusa-ción.

Identificación el presunto responsable o responsables, concretando loshechos y la infracción que supuestamente ha cometido.

Las sanciones que se pudieran imponer.

Las medidas cautelares a adoptar, en su caso.

103


El acuerdo de inicio de expediente se comunica al instructor, se notifica aldenunciante y al presunto responsable informándole de su derecho a formular lasalegaciones que estime oportunas, así como a utilizar los medios de defensa proce-dentes.

El procedimiento sancionador concluye con la resolución del Director de laAgencia, contra la que cabe recurso de reposición potestativo ante él mismo. Contrasu resolución, cabe recurso contencioso-administrativo ante la Audiencia Nacional.

CUADRO EXPLICATIVO PROCEDIMIENTO SANCIONADOR DE LA AEPD.

8.6.2. Procedimiento de tutela de derechos

El procedimiento de tutela de derechos se inicia siempre a instancia del intere-sado, cuando éste considera que se ha vulnerado alguno de sus derechos, medianteun escrito de reclamación ante la Agencia. En este escrito se debe indicar cuál es elcontenido de la reclamación y los artículos de la Ley que se consideran vulnerados.La AEPD da traslado de la misma al responsable del fichero (empresa titular), paraque realice las alegaciones que estime oportunas en el plazo de 15 días. Después dedar audiencia al afectado y al responsable del fichero, el Director de la AEPD

104


resolverá en el plazo máximo de 6 meses, comunicándolo a los afectados.

La resolución puede ser:

“No ha lugar”, en cuyo caso se cierra el procedimiento.

“Sí ha lugar“, en cuyo caso se tutela el derecho vulnerado y se decide si seabre o no el procedimiento sancionador.

Contra esta decisión cabe recurso contencioso-administrativo.

105

9

Los órganos de control

9.1. La Agencia Española de Protección de Datos (AEPD)

Es el órgano que se encarga de velar por el control y cumplimiento de lanormativa sobre Protección de Datos. Es un ente de Derecho Público, con personali-dad jurídica propia y capacidad pública y privada, que actúa con independencia delas Administraciones Públicas en el ejercicio de sus funciones, pero dependiente delMinisterio de Justicia.

Actualmente se rige por lo dispuesto en la LOPD y en su Estatuto, aprobadopor Real Decreto 428/1993, de 26 de marzo. En defecto de lo que establezcan laLOPD y sus disposiciones de desarrollo, la AEPD actuará de conformidad con laLey de Procedimiento Administrativo.

Los ficheros de titularidad privada son de exclusiva competencia de la AgenciaEstatal.

La AEPD se estructura de la siguiente forma:

Director.

Consejo Consultivo.

Subdirección General del Registro General de Protección De Datos.

Subdirección General de Inspección de Datos.

Subdirección General de Secretaría General.

Entre sus competencias y funciones, cabe destacar las siguientes:

Vigilar en el territorio español del cumplimiento de la legislación sobreprotección de datos (excepto las funciones asumidas por las AgenciasAutonómicas de Protección de Datos).

106


Controlar la aplicación de la legislación sobre protección de datos y,especialmente, lo relativo a los derechos de acceso, rectificación, oposicióny cancelación (derechos ARCO).

Dictar Instrucciones sobre determinados aspectos de la protección dedatos de carácter personal.

Atender a las peticiones, reclamaciones y consultas que formulen lostitulares de los datos personales.

Proporcionar información a los titulares de datos personales sobre suslegítimos derechos en materia de protección de datos personales.

Señalar a las entidades que gestionen datos personales, las medidas quedeberían implantar para la adecuación de sus actuaciones con la legisla-ción sobre protección de datos personales.

Ordenar a las entidades que gestionen datos personales, el cese de deter-minadas actuaciones que no se ajustan a la legislación sobre protección dedatos.

Ejercer la potestad inspectora. El artículo 40 de la LOPD detalla lossiguientes:

La AEPD podrá inspeccionar los ficheros con datos personales de lasentidades que gestionan dichos tipos de datos.

Podrán solicitar e inspeccionar documentación, equipos físicos,lógicos y locales relacionados con datos personales.

Los funcionarios que actúen bajo esta función se consideran Autori-dad Pública y poseen, como obligación, deber de secreto.

Ejercer la potestad sancionadora (ver apartado 8.6).

Informar previamente los proyectos de disposiciones generales sobreprotección de datos personales.

Recabar de las entidades que gestionan datos personales la ayuda einformación que necesite para el ejercicio de sus funciones.

Comprobar la publicidad de los ficheros con datos personales. En estesentido, deberá publicar periódicamente la relación de ficheros con datospersonales inscritos en ella.

Controlar y autorizar movimientos internacionales de datos personales.

Velar por determinados aspectos de la Ley de la Función Estadística.

Cooperar internacionalmente en materia de protección de datos personales.

107


Redactar una Memoria anual y remitirla al Ministerio de Justicia.

Otras funciones que sean atribuidas a la Agencia por vía legal o por víareglamentaria (como por ejemplo las sancionadoras asignadas por laLSSICE).

Toda persona tiene derecho a consultar en el Registro General de la AEPD quéficheros existen inscritos. El Registro es de consulta pública y gratuita; se puedeejercitar cuantas veces se quiera, se puede realizar desde su página web(www.agpd.es) y nos proporcionará la identidad del responsable del fichero, ladirección y la finalidad. Si lo que queremos saber es qué datos tiene una empresa denosotros, tendremos que dirigirnos al responsable del fichero mediante el ejerciciodel derecho de acceso. Con la medida introducida en la Ley de Acompañamiento delos Presupuestos de 2004, la AEPD puede hacer públicas, a partir del 1 de enero de2004, las resoluciones que adopta.

9.2. Las agencias de protección de datos de lascomunidades autónomas

En la actualidad existen tres Agencias autonómicas de Protección de Datos(Agencia de Protección de Datos de la Comunidad de Madrid, Agencia Vasca deProtección de Datos y Agencia Catalana de Protección de Datos) aunque algunasComunidades Autónomas, como la de Valencia, ya han anunciado su voluntad deconstituir su propio organismo de control.

9.2.1. Agencia de Protección de Datos de la Comunidad de Madrid(APDCM)

Es la primera agencia autonómica en estar operativa y tiene su autoridad sobrelos organismos públicos e instituciones de la Comunidad de Madrid. Es la másactiva de las agencias autonómicas, tanto en su labor inspectora como en el desarro-llo normativo y edición de publicaciones en materia de Protección de Datos. Es dedestacar el Premio anual a las Mejores prácticas de las Administraciones Públicaseuropeas en materia de Protección de Datos.

La APDCM se rige por la Ley 8/2001, de 13 de julio, de Protección de Datos deCarácter Personal en la Comunidad de Madrid. (BO. Comunidad de Madrid 25julio 2001) y por el Decreto 40/2004, de 18 de marzo, por el que se aprueba elEstatuto de la Agencia de Protección de Datos de la Comunidad de Madrid (BO.Comunidad de Madrid 25 marzo 2004).

9.2.2. Agencia Catalana de Protecció de Dades (APDCAT)

La APDCAT se rige por la Llei 5/2002, de 19 d’abril, de L’Agència Catalana deProtecció de Dades y tiene su autoridad sobre los organismos públicos e institucio-nes de la Comunidad Autónoma de Cataluña.

108


9.2.3. Agencia Vasca de Protección de Datos (AVPD)

La AVPD se regula por la Ley 2/2004 del Parlamento Vasco, de 25 de febrero,de Ficheros de Datos de Carácter Personal de Titularidad Pública y de Creación dela Agencia Vasca de Protección de Datos, y tiene su autoridad sobre los organismospúblicos e instituciones de la Comunidad Autónoma del País Vasco.

9.3. Conclusiones

Cuando las organizaciones se enfrentan a un proceso de adaptación a unanueva concepción de la seguridad, la sensación es que falta tanto por hacer que nose sabe por dónde comenzar.

El punto de partida para la implantación de un sistema de gestión de laseguridad de la información y los datos personales, debe ser el conocimiento delriesgo al que la organización se está enfrentando.

Analizados los aspectos más importantes que afectan a las organizacionesespañolas a la hora de enfrentarse a medidas que la adapten a la legislación sobreProtección de Datos, podemos exponer un decálogo de conclusiones que ayuden alempresario a tomar las decisiones más acertadas:

El uso generalizado de la informática ha hecho que los estados legislenpara salvaguardar la intimidad de sus ciudadanos. España ha reaccionadoimponiendo estrictos requisitos y fuertes sanciones, por lo que las organi-zaciones, tanto públicas como privadas, deben de optar por una gestiónprudente de los datos personales que obran en su poder.

Debemos tener en cuenta que no sólo nos deben preocupar los datos decarácter personal procesados por nuestro sistemas informáticos, sino eluso y tratamiento que damos a los datos plasmados en papel, fuenteactual de las mayores infracciones en materia de protección de datos.

La necesidad de definir una Política de Seguridad para la empresa sehace imprescindible, siendo la protección de datos el mejor inicio de unagestión integral de la información en la empresa. Debemos ser activos enadecuar nuestra organización a la protección de datos, y evitar actuarcomo reacción a un incidente, porque entonces será demasiado tarde y elriesgo de sanción y de pérdida de imagen pública demasiado elevado.

Desde el momento en que la protección de datos implica a todos y cadauno de los departamentos de la organización, sabemos que nos enfrenta-mos a un proyecto complejo. La creación de una Comisión de Seguridadcon espíritu constructivo y formada por miembros con conocimiento en lamateria, es vital para el éxito en la protección de datos.

La seguridad sólo se consigue implementando medidas tecnológicas yorganizativas. Hay que huir del síndrome de la panacea: una medida

109


técnica puede quedar obsoleta en cuestión de minutos, por lo que nuncaes la solución definitiva de nuestros problemas.

Las medidas que implementemos en nuestra organización son parte de unproceso; no son un producto y no admiten excepciones. La excepción es lapuerta abierta a graves problemas.

Enfocar nuestra adaptación a la legislación en materia de protección dedatos como un proceso de mejora continuada de la calidad en nuestraorganización.

Sin la formación de nuestros empleados, cualquier medida que se intenteimplementar en la organización será papel mojado. La concienciación detodos los que forman la organización a es la base fundamental de unabuena adaptación a la protección de datos, y el primer escalón de unaPolítica de Seguridad en un nivel más amplio.

En una evaluación de nuestros riesgos de seguridad, hay que evaluartanto los riesgos externos (virus, hacking, craking, etc.) como los internos(usuarios autorizados). En la actualidad son los riesgos internos los queocasionan un mayor número de incidentes en materia de protección dedatos.

Por último, conviene tener siempre presente que los servicios deconsultoría externos complementan, asisten y ayudan al empresario a unamás rápida y personalizada adaptación a la legislación sobre Protecciónde Datos, pero nunca le sustituirán en su responsabilidad de cumplimien-to de la normativa implementada en su compañía.

Este Libro es una guía de actuaciones y, aunque los autores han tratado deelaborarla de la forma más rigurosa posible para tener la absoluta certeza de que suempresa está cumpliendo con la legislación en materia de Protección de Datos,verifique que cumple con lo que se especifica en la LOPD y el RLOPD.

110


Parte II

Técnico

10. La seguridad en sistemas Microsoft 113

11. La aplicación del reglamento de seguridad en los sistemasMicrosoft 123

12. La aplicación del reglamento de seguridad en SQL Server 223

13. Implementación de la LOPD sobre SQL Server(SQL Server 2005-2008) 235

14. Política de seguridad 255

112


113

10

La seguridaden sistemas Microsoft

En estos últimos años, el concepto de seguridad ha cambiado considerable-mente en las empresas. Ya nadie cuestiona la importancia que ésta implica para lossistemas y la información. Sin embargo, la falta de rigor y los malos hábitos hanprovocado que no se aplicasen adecuadamente las medidas, aún disponiendo demedios para ello.

Microsoft se ha planteado éste como uno de sus mayores retos: conseguir quelos medios disponibles para mejorar la seguridad sean aplicados correctamente y ala par ir fomentando esa necesaria cultura de la seguridad informática. Ha decidi-do romper definitivamente con frases incorrectas pero habituales, como “la seguri-dad informática es un mito”. Transmitir la necesidad de asegurar nuestros siste-mas e información son cuestiones importantes e imperativas. Para el profesional,todas estas cuestiones toman aún mayor peso cuando son otros los que depositansu confianza en nosotros para el mantenimiento de la seguridad de su informaciónen niveles apropiados.

Evidentemente, de todo lo anterior nace toda una serie de necesidades. Lanecesidad de proteger los datos, la de poder contar con ellos ante una eventuali-dad no deseada, o evitar que caigan en malas manos, así como que las comunica-ciones de datos sean seguras, son algunos ejemplos críticos de necesidades quedeben ser atendidas.

En muchas circunstancias, toda esa operativa es totalmente transparente parael usuario. Éste deposita la confianza en los desarrolladores de productos. Se partede la base de que ese primer escalón presenta una seguridad estable y apropiada.Lógicamente, éste no es más que un primer escalón, el resto se debe ir construyen-do con la participación de todos. Aunque se planifique y se disponga de los meca-nismos necesarios para aplicar la adecuada securización de los sistemas, es necesa-rio utilizarlos posteriormente con correspondencia.

114


Microsoft es consciente de estas cuestiones. Son muchos los usuarios quedepositan la confianza en sus productos. Su compromiso no puede ser otro que elde crear la solidez de la infraestructura desde ese primer peldaño, y facilitar lasherramientas para construir cualquier infraestructura, independientemente de sucomplejidad, con la solidez y seguridad apropiadas.

10.1. TrustWorthy Computing (TWC). La estrategiade Microsoft

Fruto de las necesidades que planteaban los usuarios, y con objeto de solidifi-car los mecanismos de seguridad, nace a principios de 2002 en Microsoft unainiciativa que modificará significativamente tanto la forma de ver como la deplantear los sistemas TI existentes: TrustWorthy Computing. Esta iniciativa presentalos pilares sobre los que se sustentan los mecanismos de Microsoft para proporcio-nar sistemas seguros. Abarca un amplio espectro de funciones que van desdedeterminar los ciclos de vida de desarrollo de seguridad de un software, a generar yestudiar tecnologías innovadoras que lideren iniciativas de prevención de nuevasformas de violaciones de seguridad (que pueden aparecer de las formas más insos-pechadas), junto otras muchas.

Desde el nacimiento de la iniciativa de TrustWorthy Computing, numerosasaplicaciones han nacido bajo su paraguas. Éstas se han establecido bajo las siguientecuatro directrices SD3+C: “Secure by Design”, “Secure by Default”, “Secure byDeployment” y “Communication” (Seguro por diseño, Seguro por definición,Seguro en distribución y Comunicaciones).

Desde el nacimiento de una aplicación existe un criterio para establecer elmayor nivel de seguridad exigible: implementar procesos que de una formaconfiable puedan establecer una mayor seguridad. Estos procesos deben ser diseña-dos con objeto de minimizar los fallos de seguridad presentes, tanto en el diseño deuna solución, como en su programación. Una vez puesta en marcha ésta, los proce-sos de trabajo deben igualmente establecer los mecanismos de depuración adecua-dos. En todos y cada uno de estos procedimientos y apartados, un grupo de especia-listas de Microsoft en seguridad se encuentran presentes en todas las fases del ciclode vida de desarrollo de la seguridad de los productos Microsoft. Además éstos noculminan la labor con el lanzamiento del producto, sino que continúan con el centrode respuestas de seguridad de Microsoft.

La tecnología de TrustWorthy Computing va aún más allá, puesto que definentambién los mecanismos para la inversión de seguridad en los equipos de desarro-llo, la formación de la comunidad TI, evaluaciones externas, y otros muchos aspec-tos relacionados.

10.2. Soluciones seguras

Como hemos comentado anteriormente, la necesidad de implementar elemen-tos de seguridad se debe abordar desde la perspectiva de plantear mecanismos que

115

observen la iniciativa SD3+C comentada. Bajo este marco de trabajo debe operarcada solución planteada en las diferentes fases por las que pasa un desarrollo, hastalos procesos de implantación del mismo, y la posterior puesta en práctica de losdiferentes elementos software necesarios para una empresa.

10.2.1. Seguridad en el diseñoDebemos considerar el objetivo de securización desde la parte inicial del

diseño. En esta etapa se establecen los mecanismos que nos permiten reducir lasposibles superficies de ataque en un contexto global a la hora de generar unasolución de Software.

Una consideración fundamental a tener en cuenta es que, aunque el softwareno consiga un entorno de seguridad total, todos aquellos elementos que sean utili-zados de forma habitual, se instalen y se ejecuten con el menor privilegio posible.Evitaremos con ello, antes que el producto vea la luz, que posteriormente puedanaparecer vulnerabilidades de seguridad. De igual modo, también esto nos permitiráir agregando otros elementos que incrementen la seguridad global del mismo.

Otra evolución significativa asociada a esta iniciativa, y que implica unamejora en cuanto a los niveles de securización, es evitar que determinados serviciosque antes requerían de privilegios administrativos muy elevados, ahora en susequivalentes actuales demandan un nivel de privilegios considerablemente inferior.Se minimizan, de este modo, las posibles amenazas de seguridad que la situaciónoriginal podía implicar.

10.2.2. Seguridad predeterminadaBajo este epígrafe abordamos la necesidad de que un sistema instalado “por

defecto” reduzca su posible superficie de ataque no habilitando aquellos serviciosque no sean necesarios. Evidentemente, esto requiere que un administrador quedesee una determinada función, y ésta se encuentre asociada a un servicio no insta-lado por defecto, la tenga que instalar a propósito. Esto no implica ninguna pérdidade funcionalidad; simplemente por seguridad se limita la automatización en eldespliegue de servicios que, sin embargo, no por ello dejan de estar disponibles.

Una mala práctica habitual por parte de los administradores cuando se lleva aefecto la instalación de una plataforma o solución es desconocer o no interesarse porlos elementos que han sido instalados. Si esta circunstancia se da, no se tendrá encuenta qué elementos demandan un mantenimiento y cuáles de ellos implicanriesgos de seguridad, o si es necesario aplicar medidas concretas de securización.Como ejemplo de la nueva filosofía que comentamos, la plataforma WindowsServer 2008 establece un sistema por defecto con las mínimas características yfunciones. A partir de éste, es tarea del administrador determinar los roles y lascaracterísticas que son necesarios para el servidor. Es por ello que aquellos adminis-tradores que no tengan la necesidad de hacer uso de determinados servicios notendrán que plantearse cómo mantener su seguridad, ni conocer cómodeshabilitarlos y en qué medida puede afectar al resto del entorno. Por otro lado,

La seguridad en sistemas Microsoft

116


aquel que sí necesite un determinado servicio deberá conocer cuál es su funciona-miento, preocupándose de mantener su seguridad, y de aplicar las mejores condi-ciones posibles para su entorno en explotación.

De esta forma, conociendo cómo vamos configurando una solución en funciónde nuestras necesidades y partiendo de una base predeterminada más segura,llegamos a un mejor conocimiento de la plataforma que implementamos. Estorevierte forzosamente en mejoras en la seguridad de la misma.

10.2.3.Seguridad en el despliegueUna de las fases operativas que se antoja como más crítica es la puesta en

producción de un producto y el inicio de la actividad continuada sobre el mismo.En función de esta consideración, Microsoft plantea determinadas iniciativas yprogramas dirigidos a la comunidad TI, con el objeto de que los profesionalesconozcan cómo adaptar y configurar los mecanismos de seguridad necesarios ydisponibles sobre sus elementos en explotación.

Desde los programas STPP (Strategic Technology Protection Program), hastalos actuales mecanismos de Forefront, Microsoft aporta herramientas y elementosque permiten beneficiarse de ellos y elevar el nivel de seguridad en los sistemas.Microsoft plantea estrategias en relación a tres elementos fundamentales:

Personas. La formación de los administradores y usuarios TI es un aspec-to crítico en los mecanismos de seguridad, que no debe descuidarse. Denada vale disponer de los sistemas más eficaces y seguros, si las malasprácticas o el desconocimiento crean huecos de seguridad que con losconocimientos oportunos no existirían.

Eventos, laboratorios de seguridad, o las diferentes formaciones plantea-dos en los Centros de Formación Microsoft, entre otros, se ofrecen comoalternativas cuyo objetivo es formar a administradores y usuarios en elmanejo de las características de seguridad de sus entornos, mostrandoademás posibles soluciones que pudieran ser desconocidas para ellos.

Procesos. Plantear procedimientos de aplicación de modelos de seguridady establecer los mecanismos de seguridad a utilizar son una referencia aconsiderar en todo momento. Estos procedimientos pueden establecerse yplantearse mediante diferentes guías de seguridad (http://www.microsoft.com/spain/technet/security/guidance/default.mspx), mediantemecanismos e instrucciones que permiten que los administradores gestio-nen sus sistemas con mayor facilidad, a través del centro de respuestas deseguridad de Microsoft (http://www.microsoft.com/spain/technet/security/bulletin/notify.mspx), o mediante procedimientos de alerta a los usuarios(http://alerts.live.com/Alerts/Default.aspx). Estas y otras series de medidas vana suministrar el apoyo necesario al profesional de TI que le permitaplantear procesos con los que aportar soluciones a cuestiones que sepuedan dar en sus entornos operativos.

117

Tecnología. Para completar los ciclos de seguridad, además de poseer losconocimientos, debe contarse con una serie de herramientas que facilitenla administración de la seguridad y sean capaces de reducir la dedicaciónde tiempos administrativos.

Microsoft proporciona diferentes herramientas y soluciones que facultan alos administradores para aplicar las correspondientes actualizaciones deseguridad mediante SCCM 2007 (System Center Configuration Manager),WSUS (Windows Server Update Services) o Microsoft Update. Suministra,de igual modo, herramientas para la evaluación de mecanismos de seguri-dad, tales como el MBSA 2.1 (Microsoft Baseline Security Analyzer), conlos que establecer una auditoría de caja blanca, herramientas de elimina-ción de software malintencionado, o los servicios de Windows RightsManagement, para aplicar gestión de derechos, entre otras posibilidades(http://www.microsoft.com/spain/technet/seguridad/herramientas/default.mspx).

10.2.4. ComunicaciónEl cuarto elemento dentro de la arquitectura SD3+C establece la necesidad de

crear un cauce de comunicaciones hacia el usuario de tal forma que se minimice elimpacto de las vulnerabilidades, proporcionando guías y soluciones que mitiguenlos posibles impactos en la seguridad.

10.3. ¿Que se ha conseguido con TWC?

La iniciativa empezó a dar sus frutos rápidamente, y el primer balance signifi-cativo y positivo lo podemos hacer un año después de la aparición de la plataformaWindows 2003. Comparando sus números de seguridad con el mismo período detiempo transcurrido desde la aparición de su antecesor Windows 2000, las mejorasson evidentes. Aunque por aquella época Microsoft no había categorizado lasvulnerabilidades, con posterioridad se han evaluado los boletines de seguridadaplicados a Windows 2000 para asemejarlos al período actual y poder realizar unacomparativa coherente. Durante el primer año de rodaje de ambos SistemasOperativos, Windows 2000 presentó 62 boletines de seguridad importantes ycríticos, frente a los 24 que tuvo Windows 2003. Además, el dato es más significati-vo aún si tenemos en cuenta que el índice de datos reportados al CERT (ComputerEmergency Response Team), fue considerablemente más alto en el año 2003-04 queen el período 2000-01 (www.cert.org/stats/cert_stats.html). La evolución de las cifras,hasta las actuales, implica una considerable mejora. Gran cantidad de productosMicrosoft presentan bajos índices de incidencias de seguridad desde su aparición.Internet Information Server 6.0 y 6.7, Windows Vista o Windows Server 2008, seencuentran dentro de estas tecnologías nacidos bajo el paraguas de TWC. Todosellos han demostrado su eficacia, y se encontrarían dentro de esos productos conbajos niveles de incidencia que mencionamos.


118


10.3.1. Common CriteriaUn gran problema subjetivo con el que nos encontramos en muchas circuns-

tancias, es el de cuantificar el nivel de seguridad de una determinada aplicación osistema operativo. Hablamos de subjetividad porque evidentemente cada cual loverá desde su punto de vista y en función de la experiencia propia. Además, nosencontramos con los famosos “mitos de la seguridad”, que en ningún momento sonanalizados ni con números, ni teniendo en cuenta los factores que pueden llegar adeducirse de los mismos.

Con objeto de determinar si un Sistema Operativo es o no seguro, éste debepoder ser cuantificado con datos objetivos y desde diversas perspectivas. El abanicode posibilidades es amplio, desde la perspectiva de una organización de tipoindependiente, hasta la que puede tener cualquier compañía desarrolladora, junto aotras. Este sistema cuantificado debe aportar unos factores objetivos pudiendomedir así el nivel de seguridad ofrecido por el sistema. Esto es Common Criteria(ISO_IEC 15408).

La importancia de encontrarse dentro del marco de Common Criteria quedaestablecida al ceñirse a una serie de parámetros de seguridad, aceptados en laactualidad por 24 de los países más industrializados en todo el mundo. Estoscriterios de seguridad se utilizan como elementos de medida en entornos tanimportantes como la administración y la banca, junto a otros. Dentro de esos 24países, España actualmente participa directamente dentro del Common Criteria, yademás es uno de los nueve miembros con capacidad de emisión, a través delCentro Nacional de Inteligencia, siendo el Centro Criptográfico el encargado deevaluarlo (http://www.commoncriteriaportal.org/members.html).

La certificación Common Criteria ha tenido un largo camino hasta llegar a serlo que conocemos hoy en día. Desde siempre, los diferentes estamentos administra-tivos han visto la necesidad de plantear una serie de juicios de valoración quepudieran dictaminar lo seguro que podían ser los sistemas. Desde principio de losaños 80 en Estados Unidos se recogen una serie de criterios de seguridad quequedan unificados bajo el epígrafe TCSEC (Trusted Computer System EvaluationCriteria), siendo publicados a través del famoso “Libro Naranja” en el año 1985. Laorganización europea homónima, el ITSEC (Information Technology SecurityEvaluation Criteria), publica en junio de 1991 una serie de normas de seguridadconsensuadas por Francia, Alemania, Holanda y el Reino Unido. A principios de1993 en Canadá se desarrollan los criterios CTCPEC (Canadian Trusted ComputerProduct Evaluation) aunando criterios tanto de TCSEC como de ITSEC, a la vez queen Estados Unidos el NIST (Nacional Institute of Standards and Technology) y laNSA (National Security Agency) desarrollaron conjuntamente los FC (FederalCriteria) para la seguridad en la Tecnología de la Información versión 1.0. Se preten-de combinar los conceptos tomando criterios de evaluación tanto de América delNorte como de Europa.

Era evidente que tal cantidad de criterios y asociaciones necesitaban estableceruna estandarización internacional para adoptar los criterios comunes que deben

119

normalizar la seguridad. Así nació la ISO-IEC 15408, que determina el marco de lanormalización para establecer pruebas y criterios que tienen como resultado laparametrización de sistemas seguros: Common Criteria.

La valoración que Common Criteria realiza de los diferentes sistemasinformáticos queda categorizada mediante Evaluation Assurance Level (EAL). Losniveles posibles van desde EAL1 a EAL7, en función de las diferentes pruebas a lasque se somete a los sistemas en una serie de laboratorios y escenarios. Dentro deesta graduación, los niveles comprendidos entre el EAL5 y EAL7 están orientadosprincipalmente a productos con técnicas y objetivos muy especializados, por lo queno suelen emitirse para productos que puedan ser distribuidos comercialmente.

Actualmente, los Sistemas Operativos Windows Vista y Windows Server 2008se encuentran en proceso de evaluación, para la adquisición del nivel “EAL4 conargumentos de certificación ALC_FLR.3, AVA_VLA.3” (http://www.niap-ccevs.org/cc-scheme/in_evaluation). Para este proceso de evaluación, es necesariodesarrollar una serie de trámites, así como superar múltiples pruebas realizadas enmás de 20 escenarios tipo, planteados por el SAIC (Science Aplications Internacio-nal Corp’s).

Con anterioridad a la puesta en marcha del proceso de evaluación deWindows Server 2008 o Windows Vista, otros productos Microsoft ya han superadoestas pruebas, adquiriendo la certificación EAL4:

Certificate Server 2003 (EAL4+).

Exchange Server 2003 Enterprise Edition (EAL4+).

Groove Workspace (EAL2+).

Internet Security and Acceleration Server 2004 (EAL4+).

Internet Security and Acceleration Server 2004 Enterprise Edition &Service Pack 2 (EAL4+).

ISA Server 2000 with Service Pack 1 and Feature Pack 1 (EAL2+).

SQL Server 2005 Database Engine Enterprise Edition (English) SP1(EAL1).

Windows 2000 Professional Server & Advanced Server (EAL4+).

Windows 2003 and Microsoft Windows XP (EAL4+).

Windows 2003/XP with x64 Hardware Support (EAL4+).

Windows Mobile 5.0 MSFP (EAL2+).

Windows Mobile 6 (EAL2+).

Windows Rights Management Services (RMS) 1.0 SP2 (EAL4+).


120


Windows Server 2003 and Microsoft Windows XP (EAL4+).

Windows Server 2003 Certificate Server (EAL4+).

Windows Server 2003 SP2 including R2 Standard, Enterprise & ItaniumEditions, Windows XP Professional SP2 & x64 SP2, Windows XPEmbedded SP2 (EAL4+).

Internet Security and Acceleration Server 2006 (EAL4+).

Windows Mobile 6.1 (EAL2+).

SQL Server 2005 SP2 Database Engine (EAL4+).

Exchange Server 2007 SP1 x64 (EAL4+).

SQL Server 2008 Database Engine (EAL1+).

Vista SP1/Windows Server 2008 (EAL1+).

Vista SP1/Windows Server 2008 (EAL4+).

OpenXML SDK v1.0 (EAL1).

La acreditación EAL4 es el nivel más elevado que puede ser otorgado a unsistema operativo de tipo comercial que no haya sido construido específicamentepara cumplir los niveles EAL5-7. El agregado ALC_FLR.3 certification, identificaque también quedan evaluados los procedimientos que establece el fabricante parael seguimiento y la corrección de defectos que pueden surgir con el paso del tiempo.En el caso de Microsoft, el MSRC (Microsoft Security Response Center).

La información de Sistemas Operativos y otros productos, así como el nivel deseguridad adquirido, puede ser consultada en la siguiente URL: http://www.commoncriteriaportal.org/products_OS.html.

Las guías de producto Common Criteria y los informes de Evaluación Técnica(ETR) para los productos Windows XP y Windows 2003, se encuentran disponiblesa través de la siguiente URL de TechNet: http://www.microsoft.com/technet/security/prodtech/windowsserver2003/ccc/default.mspx. Una vez que hayan sido evaluadosWindows Server 2008 y Windows Vista, serán generadas y publicadas también lasguías correspondientes.

10.3.2.Evaluación de FIPS 140 (Federal InformationProcessing Standard)

FIPS 140-1 y su sucesor FIPS 140-2 proporcionan una serie de estándares deEstados Unidos para la cuantificación de los servicios criptográficos del software.Aquí se establecen los procedimientos recomendados para implementar los algorit-mos de cifrado, el control de los búferes de datos y el manejo de material de clave,así como la integración con el sistema operativo. Determinadas agencias de los

121

Estados Unidos sólo compran productos que hayan superado las especificacionesde FIPS 140-1 o FIPS 140-2 (según proceda). En el año 2008, siete componentes deseguridad han completado y superado los componentes de evaluación FIPS 140-2:

Proveedor Criptográfico avanzado de Windows Vista DSS y Diffie-Hellman (DSSENH).

Proveedor Criptográfico avanzado de Windows Vista (RSAENH).

Librerías de Primitivas Criptográficas de Microsoft Windows (bcrypt.dll).

Interfaz Proveedor de soporte de seguridad del Modo del Kernell paraWindows Vista (ksecdd.sys).

Librería de Integridad de código (ci.dll).

Cargador de Sistema Operativo de Windows Vista (winload.exe).

Gestor de Arranque de Windows Vista (bootmgr).

A través de las siguientes direcciones, pueden obtenerse las políticas de seguri-dad de los diferentes componentes certificados:

http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140sp/140sp894.pdf







10.3.3. Iniciativa de recursos compartidosEsta iniciativa pretende establecer el equilibrio, haciendo disponible el código

fuente y defendiendo los derechos de propiedad intelectual. Cada uno de losprogramas de licencias del código fuente se adapta a las necesidades específicas decada una de las comunidades que comprende Microsoft.

Como evolución de esta iniciativa, y en la búsqueda de un compromiso con laseguridad, se genera el Programa de Seguridad para Gobiernos (GSP), con el que sepretende aportar a gobiernos e instituciones públicas la capacidad de acceder alcódigo fuente de Windows, pudiéndose así establecer una serie de procesos dedepuración y herramientas de criptografía, cuyo objetivo final no es otro queestablecer una mejor protección en los sistemas.

Frutos de estos acuerdos aparecen toda una serie de iniciativas conjuntas paramejorar aspectos de la seguridad informática. En España, a modo de ejemplo, el


122


Centro Nacional de Inteligencia y Microsoft colaboran conjuntamente para laelaboración de plantillas de seguridad para diferentes entornos de trabajo de laAdministración.

10.3.4.Programa para la cooperación de la seguridad (SCP)En el año 2005, Microsoft establece un acuerdo de cooperativa global, por el

que numerosas entidades públicas de 44 países reciben por parte de la corporacióninformación y colaboración para contribuir al aumento de la seguridad de losentornos informáticos públicos: desde información detallada sobre vulnerabilidadesinformáticas, nuevas actualizaciones de seguridad o políticas generales de seguri-dad de los productos de Microsoft, hasta un canal de comunicación directa y cons-tante con los expertos de la compañía en esta área, para la identificación conjunta deproblemas, así como el estudio de los mejores procesos de respuesta ante incidentes.

En el año 2007, a través de acuerdos con INTECO, y 2008, a través del CCN-CERT (Capacidad de respuesta ante Incidentes de Seguridad de la Información delCentro Criptológico Nacional), adscrito al Centro Nacional de Inteligencia, Españaentra en el programa constituyendo el país número 45 en este acuerdo de coopera-ción. Con este acuerdo de cooperación, se pretende prevenir, mitigar y anticipar losefectos de incidentes y ataques a los sistemas de la administración.

10.3.5.Seminarios de seguridadAdicionalmente a las guías y herramientas de seguridad, proporcionadas a

todos los usuarios de los sistemas de información, Microsoft planifica y ejecuta todauna serie de eventos, seminarios y sesiones técnicas cuyo objetivo es acercar lasdiferentes tecnologías al usuario final. A través de presentaciones y escenarios, sepretende aportar conocimientos, metodologías y posibilidades de resolución dediversas situaciones que pueden presentarse. Se capacitará a los asistentes a losdiversos eventos para poner en marcha las diferentes tecnologías tratadas de formasegura.

Aunque muchos de los seminarios son de tipo presencial, otros, como porejemplo los Webcasts, se encuentran disponibles en fórmulas no presenciales, tantoen formato online, como en modo offline, permitiendo este último un seguimientodel mismo aunque ya se haya realizado. Dentro de este tipo de seminarios y en elárea de seguridad, se incluye una serie de ellos donde se han evaluado desde unpunto de vista técnico diferentes normas y reglamentos aplicables a las Tecnologíasde la información. Entre ellos se encuentran los elementos de aplicación sobre la LeyOrgánica de Datos de Carácter Personal y su Reglamento en vigor.

El acceso a dichas sesiones técnicas puede realizarse a través de la siguientedirección: http://www.microsoft.com/spain/technet/jornadas/webcasts/webcasts_ant.aspx?id=13.

123

11

La aplicación del reglamentode seguridad en lossistemas Microsoft

Uno de los objetivos fundamentales a resolver por parte de los responsables deseguridad informática, es materializar el cumplimiento de las normas de seguridad.Sus soluciones deben observar múltiples factores, aunando la protección de datos,los sistemas de correo electrónico, las funcionalidades de los sistemas operativos,junto a otros criterios de actuación. Sin una referencia clave de cómo actuar, suscircunstancias operativas son realmente complejas.

El nuevo Reglamento de Seguridad de desarrollo de la Ley Orgánica deProtección de Datos de Carácter Personal se publica con fecha de 19 de enero de2008. Corresponde al Real Decreto 1720/2007 y entra en vigor el 19 de abril de 2008,fecha en la cuál los sistemas tendrán que haberse adaptado a las condiciones exigi-das en este nuevo reglamento, habiendo acometido los cambios técnicos necesarios.Este manual tiene como objetivo dar respuesta a esas incertidumbres, estableciendolos criterios básicos para el cumplimiento de la norma y los mecanismos técnicos deaplicación en escenarios de utilización de Sistemas Microsoft.

Abarcar en profundidad todos los aspectos de la seguridad demandaría untrabajo mucho más extenso. En el presente documento nos centraremos principal-mente en todos aquellos elementos que la norma cita y que deben cuidarse paraestablecer unos mecanismos de seguridad consecuentes, tales como ficheros quepuedan contener datos, la protección de los datos almacenados, el control de acce-sos y la protección de los medios de correo electrónicos, junto a otros.

Considerando que el elemento aglutinador fundamental de los entornos sonlos sistemas operativos, se contemplarán inicialmente las características de seguri-dad que aportan los mismos, centrándonos en un aspecto fundamental como son

124


las directivas de seguridad, para ir con posterioridad ampliando funcionalidadesque pueden reportar otros productos tales como Microsoft Exchange Server 2007 oMicrosoft Office 2007, como plataformas importantes dentro de las empresas yorganismos y que sustentan documentos e información objeto de atención para lanorma. En la actualidad, estas plataformas desempeñan labores críticas en lasempresas y su uso es exhaustivo, por lo que tenemos que tener en cuenta los facto-res que marcan la norma con respecto a ellas, considerando que éstas presentanmedidas propias que pueden ser utilizadas para salvaguardar la información y queserán tenidas en cuenta también en esta guía.

11.1.Tecnología de seguridad en Microsoft Windows

La norma establece una serie de criterios básicos y fundamentales a considerar.Evidentemente, a partir de ahí, aplicar más o menos medidas de seguridad será uncriterio del administrador, que dependerá también de los mecanismos disponiblesen las organizaciones.

La norma establece que debe ser salvaguardada aquella información “condatos de carácter personal”, indistintamente si ésta se encuentra almacenadalocalmente en un sistema o bien si la información se desplaza en cualquier procesode comunicación. También será necesario valorar la existencia de informacióntemporal generada por la utilización de ficheros, independientemente de cual sea suformato. La norma establece también que este tipo de ficheros temporales debendisponer de las mismas medidas de seguridad que el fichero original a partir delcuál se han creado.

Bajo el término de seguridad informática englobamos un amplio espectro deelementos que se observan tanto a nivel local de una máquina, como a la totalidadde un sistema de red. Evidentemente, ni la norma, ni esta guía de aplicación,pretenden establecer todas las medidas posibles (que podrían ser interminables),sino una serie de características básicas que deben tenerse en cuenta y que puedenafectar fundamentalmente a los datos personales. Desde este criterio podemosindicar para un entorno Windows, que la gestión básica de la seguridad parte de lasdirectivas de seguridad. Éstas establecen configuraciones para elementos críticos enla seguridad de un sistema y, por tanto, son parte fundamental para asegurar queestamos aplicando correctamente la norma. Tanto Windows Server 2008 comoWindows Vista cuentan con sus directivas de seguridad. Éstas realmente lo quehacen es modificar la base de datos de seguridad del sistema, que se encuentraubicada en la siguiente ruta: %systemroot%\security\Database\secedit.sdb.

Las directivas pueden definirse en un nivel local para una máquina concretamediante las políticas locales, o bien, cuando los sistemas se encuentran ubicados enel marco de un domino, desplegarse para todo un entorno de red, mediante unaestructura centralizada a través de las directivas de seguridad de dominio. Laventaja que nos aporta la utilización del Directorio Activo de Windows Server 2008es la de permitirnos definir una configuración de la seguridad más controlada paratodos los equipos de una red, minimizando los costes de administración. Esta

125

La aplicación del reglamento de seguridad en los sistemas Microsoft

administración centralizada puede desplegar la base de datos en diferentes contene-dores, sin necesidad de tener que desplazarse físicamente a cada uno de ellos.Además, la disposición jerarquizada dentro del Directorio Activo, basada en conte-nedores, permite establecer diferentes medidas de control de seguridad en funciónde los diferentes niveles que se quieran aplicar. Eso sí, no debe confundirse nuncalas Directivas de Seguridad con las Políticas de Grupo (GPO), ya que estas últimasson objetos aplicados sobre Sitios, Dominios o Unidades Organizativas, que modifi-can mediante las Directivas los estados de los usuarios y equipos de un domino.Hay que matizar que las directivas de seguridad son, por tanto, una parte más detodo el conjunto de una GPO.

Todo aquel que quiera llegar a aspectos más avanzados en la implementaciónde la seguridad cuenta con una serie de guías y procedimientos que Microsoft hadispuesto para tal fin, basados en buenas prácticas, fruto de experiencias reales.Estas guías abordan aspectos fundamentales como pueden ser la gestión de lasactualizaciones, la guía de administración de riesgos, y las guías de seguridad yoperaciones para diferentes sistemas operativos. El acceso a dicha informaciónpuede realizarse a través del siguiente enlace: http://www.microsoft.com/spain/technet/security/guidance/default.mspx.

11.2.Tecnologías aplicables a medidas de nivel básico

Como indicábamos anteriormente, uno de los elementos fundamentales parala aplicación de los mecanismos de seguridad en los entornos Windows, son lasdirectivas de seguridad. Agrupadas bajo el “Security Configuration Manager”,Microsoft ha establecido una serie de pautas, plantillas y mecanismos para estable-cer de forma conveniente la aplicación de estas medidas básicas de seguridad. Estánbasadas en el análisis de la configuración de seguridad y la aplicación de plantillastanto a nivel local como a nivel de dominio o unidades organizativas. También aquíse determinan aspectos fundamentales para establecer los criterios de auditoría y elestablecimiento de un patrón de seguridad para la asignación de permisos sobreobjetos a través de las plantillas de seguridad.

Para conocer las directivas de seguridad aplicadas sobre una máquina esnecesario considerar diversos factores para determinar cuáles están siendo efectivassobre la misma. Este resultante vendrá definido por la suma de directivas locales ylos posibles objetos de políticas de grupo que pudieran estar afectándole, tanto en elnivel de dominio, como de unidades organizativas de las que pudiera depender elobjeto equipo. En determinadas circunstancias, cuando no ha quedado muy claroqué directivas se encuentran aplicadas o realmente cómo ha quedado la seguridadde una máquina, podemos hacer uso de una herramienta denominada ConjuntoResultante de Directivas (RSoP, Resultant Set of Policy). Esta herramienta nospermite realizar esta comprobación o bien simular las configuraciones de directivasque se aplican a los equipos mediante directiva de grupo, evaluando así cómopodría quedar la seguridad si le aplicáramos otra directiva con anterioridad a hacerefectiva la nueva configuración.

126


A todos los efectos, la aplicación de directivas de seguridad en el nivel de GPOpor la inclusión de un equipo en Directorio Activo tiene dos efectos importantes. Lacentralización de la aplicación de directivas, que nos suministra la capacidad degenerar contenedores para la aplicación de seguridad en equipos con característicassimilares, y el avance en ciertas características de seguridad como el uso del proto-colo Kerberos para los mecanismos de autenticación en la red o la posibilidad deutilizar los mecanismos de PKI (Public Key Infraestructure), con el despliegueautomático de certificados a través de los mecanismos integrados en el DirectorioActivo.

Otro de los posibles mecanismos que modifican tanto aspectos básicos en laconfiguración como otros más avanzados, lo encontramos en Windows Server 2008con la utilidad del Asistente para la configuración de seguridad (SCW). Esta herra-mienta nos permite, a través de una serie de asistentes, establecer una configuraciónde seguridad más global para el fortalecimiento de los servidores. SCW, además deposibles configuraciones de funciones de directivas de seguridad, nos permite esta-blecer la configuración del Firewall, tanto de entrada como de salida, que incorporaWindows Server 2008, controlar los servicios que pudieran estar ejecutándose ycontrolar las autentificaciones y configuraciones de seguridad en el nivel de red.

11.2.1. Ficheros temporalesUn aspecto importante en la protección de datos consiste en tener controlados

todos aquellos ficheros que pudieran contener información que debe encontrarsesujeta a la norma. Recordemos que también están sujetos a la norma los ficherostemporales generados a partir de otros ficheros que pudiéramos tener abiertos.Estos temporales se generan con propósitos especiales, como el de mantener unacopia de la información ante posibles contingencias del fichero original; otras vecessupone un fichero para el paso y análisis de la información; y en otras circunstan-cias, cuando se está realizando algún proceso de implantación o instalación, suponeel proceso de descompresión de ficheros antes de que sean procesados finalmente.

En función de lo anterior, Microsoft, consciente de la importancia de mantenerla seguridad sobre los ficheros temporales en los entornos Windows, marca unaoperativa en la que cuando un fichero de este tipo se genera adquiere los mismospermisos del original. Esto asegura la garantía de confidencialidad, proporcionandosolamente derechos sobre el temporal a aquellos usuarios que los poseyeran sobre elfichero original.

Como medida de protección en esta misma línea, de forma automática cadavez que un fichero es cerrado, el fichero temporal desaparece, evitando de estaforma tener que estar pendiente de los temporales generados automáticamente.Aún así, puede suceder que algún suceso no controlado, como un corte de luz queocasiona un apagado inesperado, pudiera conllevar que el fichero temporal queda-se abierto. Este factor dependerá del tipo de aplicación sobre la que se estuvieratrabajando. De todas formas, la protección anterior basada en la herencia de permi-sos protege contra accesos no permitidos a este fichero temporal. Para eliminarestos posibles residuos de nuestra máquina, podemos utilizar una herramienta que

127


incorpora el sistema: Liberador de espacio en disco. Además, esta herramientapuede programarse para que realice las operaciones de forma periódica y automáti-ca, liberándonos de estar atentos a esta tarea administrativa.

Otro aspecto también observado es el uso de la memoria virtual y los datosque puedan quedar aquí almacenados. El fichero de paginación es realmente unaextensión de una parte del disco duro para ser utilizada como memoria RAMcuando se supera el tamaño de la memoria física instalada. Windows mueve partedel contenido a esta memoria virtual, liberando espacio y permitiendo disponer enmemoria RAM de nueva información. Los datos almacenados en la memoriavirtual son recuperables cuando sean necesarios. En todo ese movimiento de infor-mación de lectura y escritura sobre el fichero de paginación, es posible que quedentambién ficheros con datos personales aquí almacenados. Cuando el sistema está enactivo, no se permite el acceso al mismo, por lo que los datos que se puedan encon-trar estarían protegidos. El problema puede surgir cuando un atacante potencialtiene acceso físico a la máquina y ésta se encuentra apagada, pudiendo hacersemediante algún método con dicho fichero. Con objeto de evitar este problema,Windows plantea la posibilidad, mediante una directiva de seguridad, de borrar elcontenido del fichero de memoria virtual cuando se apaga la máquina. Para ello,dentro de las Directivas de Seguridad en Opciones de Seguridad deberíamos habi-litar la opción de apagado: “borrar el archivo de páginas de la memoria virtual”.

11.2.2. Artículo 89. Funciones y obligaciones del personal1. Las funciones y obligaciones de cada uno de los usuarios o perfiles de usuariocon acceso a los datos de carácter personal y a los sistemas de información estaránclaramente definidas y documentadas en el documento de seguridad.

También se definirán las funciones de control o autorizaciones delegadas por elresponsable del fichero o tratamiento.

Ficheros temporales.

128


2. El responsable del fichero o tratamiento adoptará las medidas necesarias para queel personal conozca de una forma comprensible las normas de seguridad que afectenal desarrollo de sus funciones, así como las consecuencias en que pudiera incurriren caso de incumplimiento.

Dentro de este articulado, el reglamento exige el cumplimiento de unos meca-nismos para que los usuarios que hagan uso de ficheros de datos de carácter perso-nal conozcan cómo deben manejar este tipo de datos, y cuáles serán sus derechos yobligaciones.

Evidentemente, parte del artículo, y concretamente el punto 1, establece queesta necesidad debe quedar plasmada en el documento de seguridad que la empre-sa generará con respecto a este tipo de datos. Adicionalmente, en el punto 2 seestablece la necesidad de que los usuarios puedan conocer de forma comprensiblelas normas de seguridad que afectan al desarrollo de sus funciones, y en estesentido la forma de comunicación puede ser de múltiples tipos.

Por tanto, queda claro que uno de los aspectos fundamentales para la protec-ción de datos es la necesidad de que los usuarios conozcan que existen unas normasde seguridad al respecto, y que de una u otra forma están supeditados a ellas. Sehace de este modo necesario que éstos estén debidamente informados. Una de lasposibilidades de asegurarse que los usuarios van ser conscientes de esta circunstan-cia, es la aparición de un texto con anterioridad al inicio de sesión de formainteractiva.

Mediante las directivas de seguridad, es posible establecer un título y un textoque será presentado antes de que el usuario pueda iniciar su sesión, tanto en eldominio como localmente. En dicho texto se puede establecer una información parael usuario de que existe una norma de seguridad que le afecta, así como informarlede una ubicación donde pueda localizar datos más exhaustivos que le permitanconocer con detalle, si lo creyera oportuno, lo establecido en dicha norma.

Funciones y obligaciones;directiva de aplicación.

129


La definición de dicho aviso legal se puede generar mediante la conjunción de lassiguientes directivas de seguridad, en sus opciones de seguridad correspondientes:

Inicio de sesión interactivo: título del mensaje para los usuarios queintentan iniciar una sesión.

Inicio de sesión interactivo: texto del mensaje para los usuarios queintentan iniciar una sesión.

En este texto podrían incluirse, además de la información preceptiva denotificación para el cumplimiento de la Ley Orgánica y de su correspondienteReglamento, las posibles direcciones URL de consulta en la página de la intranet. Enella, los usuarios podrán conocer de forma particular los textos donde se describenlas funciones y obligaciones que les atañen. También pueden quedar descritasaquellas acciones y procedimientos que deben acometer en caso de que se hayaproducido una incidencia.

Funciones y obligaciones;mensaje en pantalla.

Muchas empresas han optado por utilizar la solución de gestión documentalMs Office SharePoint 2007 como mecanismo para el almacenamiento y la publica-ción de textos y anexos, descritos en el documento de seguridad. Este servicioaporta dos funcionalidades importantes aplicables a éste y otros articulados delreglamento existente:

Publicación de documentos, como los planteados en este artículo, quepermitan que los afectados por el documento de seguridad conozcan susobligaciones y los procedimientos que pueden emplear, a quién dirigirse,o el canal de notificación a utilizar.

Flujo documental, que permite establecer un canal de gestión de docu-mentos, consiguiendo por ejemplo, que aquellos que detecten una inci-dencia en ficheros afectados por la LOPD, puedan notificar al responsable

130


del fichero dicha incidencia, mediante un procedimiento declarado através del mismo sistema Ms Office SharePoint 2007.

La aplicación de permisos en los diferentes documentos a través de MsSharepoint garantizará que sólo aquellos que se vean afectados por el documentode seguridad o participen en el sistema de gestión de datos de carácter personal,puedan acceder a la documentación existente.

11.2.3. Artículo 90. Registro de incidenciasDeberá existir un procedimiento de notificación y gestión de las incidencias queafecten a los datos de carácter personal y establecer un registro en el que se hagaconstar el tipo de incidencia, el momento en que se ha producido, o en su caso,detectado, la persona que realiza la notificación, a quién se le comunica, los efectosque se hubieran derivado de la misma y las medidas correctoras aplicadas.

A través de este artículo, el reglamento expresa la necesidad de plantear unprocedimiento para que los usuarios puedan notificar cualquier incidencia que hayapodido afectar a los ficheros que contengan datos de carácter personal. Por incidencia,el mismo reglamento establece su definición en el apartado i) dentro del artículo 5:

Incidencia: cualquier anomalía que afecte o pudiera afectar a la seguridad de losdatos.

Dentro de estas anomalías podremos incluir la eliminación, pérdida o modifi-cación de la información que contuviera un fichero de carácter personal.

Los mecanismos para el registro de la información deben quedar definidos enel documento de seguridad y ser comunicados a los usuarios, que de una u otraforma tendrán que notificar las incidencias para establecer por parte del responsa-ble del fichero las medidas correctoras oportunas. Al igual que en el caso anterior, elprocedimiento de notificación puede ser implementado a través del MicrosoftOffice SharePoint, que permitirá un flujo de trabajo de la información, permitiendodisponer una metodología bajo gestión documental para la notificación de dichasincidencias y su posterior resolución por parte del Responsable del Fichero.

Aunque existe la posibilidad de establecer un procedimiento para el descubri-miento de incidencias a través de los diferentes sistemas de auditoría existentespara los servicios y sistemas Windows, tal tratamiento sólo es exigible de formadirecta para los datos de nivel alto. En función de ello, los sistemas de registro deacceso serán tratados posteriormente en el capítulo dedicado a las tecnologíasaplicables a datos de nivel alto.

11.2.4. Artículo 91. Control de acceso (puntos 1 y 3)1. Los usuarios tendrán acceso únicamente a aquellos recursos que precisen para eldesarrollo de sus funciones.

3. El responsable del fichero establecerá mecanismos para evitar que un usuariopueda acceder a recursos con derechos distintos de los autorizados.

131


11.2.4.1. Control de acceso en Windows Vista y Windows Server 2008

Uno de los mecanismos más importantes que deben considerarse a la hora deestablecer un sistema de seguridad aplicable a ficheros sujetos a LOPD, es la deci-sión y puesta en práctica de procedimientos que garanticen el acceso de los usuariosexclusivamente a aquellos datos que les corresponden por sus funciones.

Evidente, el tratamiento de los datos dependerá de los sistemas de almacena-miento y servicios utilizados. Nosotros centraremos la valoración en los servidoresde ficheros, los servidores de correo y el sistema documental de Ms Office.

Cuando una aplicación bajo la acción de un usuario intenta acceder a unrecurso con objeto de realizar una operación (este factor dependerá del objeto:fichero, carpeta, impresora, objetos del directorio activo, etc.), intervienen una seriede mecanismos contemplados en los descriptores de seguridad. Estos descriptoresde seguridad los conforman por una parte las SACL (System Control Access List),de las que se tratarán posteriormente, y por otro lado un elemento importante, lasDACL (Discretionary Access Control List).

Cuando queremos establecer un control para acceder a un objeto, en WindowsServer 2008 y Windows Vista se realiza a nivel del objeto, estableciendo diferentesniveles de permisos y accesos. Cuando se quiere asignar un control a un objeto,estos se establecen sobre los descriptores de seguridad, de tal forma que cada vezque un usuario intenta acceder al objeto el subsistema de seguridad del sistemaoperativo comprueba las autorizaciones para realizar las acciones sobre dichoobjeto. Estos controles son asignados a través del descriptor de seguridad mediantela aplicación de DACL.

Realmente, un descriptor de seguridad es una estructura de datos binaria quecontiene los siguientes elementos:

Cabecera. Contiene un número de revisión y un conjunto de atributos quedescriben las características de seguridad del descriptor.

Propietario. Determina quién es el propietario del objeto mediante el SIDdel mismo. Este propietario puede modificar permisos y conceder a otrosprincipales de seguridad la posibilidad de tomar posesión.

Grupo Primario. Contiene el SID del grupo primario del propietario. Estedato para compatibilidad sólo tiene validez en subsistemas POSIX, peroen el resto de Windows Vista es ignorado.

DACL. Lista las entradas de control de acceso (ACEs), que permiten odeniegan a un SID una funcionalidad.

SACL. Si las anteriores controlaban los accesos a objetos, éstas auditan lasacciones efectuadas.

Cuando un proceso intenta acceder a un objeto asegurable, el sistema determi-na si se concede o no dicho acceso. Si el objeto no tuviera un DACL, el sistema

132


permite el acceso; para cualquier otra circunstancia, el sistema busca las ACEscorrespondientes para dicho objeto y determinará el resultado final. Cada ACEcontiene los derechos que se permiten o deniegan para un principal de seguridad ouna sesión validada. Cada ACE incluye la siguiente información:

Un SID que identifica a un usuario o grupo.

Una máscara de acceso que determina los derechos.

Unas marcas de atributo que determinan cuándo un objeto hijo puedeheredar esta ACE.

Un identificador que indica el tipo de ACE. Windows 2008 soporta 6 tiposde ACEs: 3 para todos los objetos (acceso denegado, acceso permitido ysistema auditado) y 3 específicos para objetos del directorio activo, dondese permiten, deniegan o auditar los accesos sobre propiedades, conjuntosde propiedades y herencias sobre los objetos del directorio activo.

Cuando se intenta realizar un acceso, el sistema compara cada ACE con elAccess Token que ha obtenido cada aplicación. Este Access Token contiene los SIDsque identifican al usuario y a los grupos a los que perteneciera, además del SID devalidación que identifica la sesión actual. El resultado final de un acceso quedadeterminado pues por la suma de derechos asignados al usuario más los derechosconcedidos a los grupos a los que perteneciera. Hay que tener en cuenta que lasdenegaciones prevalecen sobre la permisividad, por lo que si un usuario tiene todoslos permisos pero pertenece a un grupo al que le deniegan el acceso, este no accede-ría. De la misma forma ocurriría si todos los grupos a los que pertenece un usuariotienen concedidos los derechos pero al usuario se los han denegado.

Windows Vista y Windows Server 2008 implementan mecanismos para asegu-rar a nivel local el poder acceder a los datos mediante DACL. Para la utilización deestas DACL será necesario que el sistema de ficheros donde se aloja la informaciónesté establecido en NTFS. La utilización de este sistema de ficheros puede realizarsedurante la instalación del sistema operativo, o si en su momento fue instaladohaciendo uso de los sistemas FAT o FAT32, se puede llamar a la aplicaciónconvert.exe para convertir el sistema de fichero a NTFS. Este proceso es irreversible.

La asignación de los permisos en todo caso es labor del administrador o elpropietario de los ficheros y carpetas. El sistema operativo establece unos permisospredeterminados basados en la herencia sobre los objetos hijo. Habrá que tenersiempre en cuenta todos los factores para determinar los permisos reales que tendráun usuario sobre un objeto sumando los derechos tanto suyos como de los grupos alos que perteneciera. De cara a realizar una administración más cómoda, habría quepensar en establecer una administración de los permisos basados en los Grupos deSeguridad, de tal forma que el establecimiento de los mismos conlleve el menorcoste administrativo posible. No es lo mismo ir asignando un permiso de lectura a50 usuarios, permitirles imprimir a esos mismo 50 usuarios en una impresoradeterminada y concederles poder ver una serie de propiedades sobre otros objetos

133


del Directorio Activo, que incluirlos a todos en un grupo y conceder los derechossobre el grupo. No sólo es más fácil la administración, pues sólo bastaría con incluira un usuario en el grupo para obtener esos privilegios, sino que se gana en comodi-dad de cara a comprobar los permisos en los controles de seguridad. Si por algúnmotivo a uno de esos usuarios no quisiéramos concederle uno de los derechos,bastaría con denegarle el correspondiente permiso o sacarlo del grupo y concederleexplícitamente los permisos que necesitara.

Otro aspecto importante relacionado con los derechos de acceso es quién tienela posibilidad de concederlos. Hay que tener en cuenta que un usuario, por ser elpropietario de un objeto, tiene derechos para poder modificarlo aunque explícita-mente se le hubieran denegado, por lo cual hay que tener este dato en cuenta decara a conceder o no este derecho. Por defecto, el grupo de administradores tiene elderecho de toma de posesión, es decir, podría modificar el SID del elemento propie-tario del descriptor de seguridad correspondiente para sobrescribirlo por el suyo.Mediante directivas se puede conceder una directiva que permite tomar posesiónsobre ficheros u objetos a principales de seguridad. Sobre los derechos de usuariohabría que conceder el de tomar posesión de archivos y otros objetos en la máquinaque se deseara.

Aunque la implementación de los permisos de seguridad aplicables sobrecarpetas y ficheros para Windows Vista mantiene en su sistema básico el mismoplanteamiento asignable a los sistemas en Windows XP y 2003, existe una serie decambios que deben conocerse, puesto que condicionan algunos de los aspectosfuncionales de los permisos de seguridad.

Uno de los aspectos principales que se han modificado por defecto enWindows Vista son las ACL (Listas de control de acceso) predeterminadas paraWindows XP. En este sentido, uno de los elementos de cambio más notables es ladesaparición de los permisos asignados al grupo “Todos”, sustituidos por la asigna-ción al grupo de “Usuarios Autentificados”. Adicionalmente, en muchas de lasubicaciones originales, como por ejemplo las carpetas raíz de las particiones NTFSexistentes, se han mejorado notablemente dichas ACL. Otro elementosignificativamente diferente lo constituyen los permisos y propietario existentes enla carpeta Windows, así como todos los archivos y subcarpetas que ésta contiene. Enlas versiones anteriores a Windows Vista, el propietario de dicha carpeta era elgrupo de administradores. Esta condición ha cambiado, para lo que Microsoft hacreado una nueva figura: “TrustedInstalled”, que permite establecer mecanismosadicionales de integridad del sistema, siendo esta cuenta la propietaria de la carpetadel sistema. Esto posibilita que un proceso que trabaje como administrador o cuentadel sistema pueda sustituir o eliminar una librería o aplicación existente en lamáquina. Con los permisos asignados actualmente al grupo de administradores,éstos deben tomar posesión sobre un objeto, y aplicar unos nuevos permisos parapoder eliminar un fichero o carpeta existente.

También se han modificado algunas de las ACE (Access Control Entries,Entradas de control de acceso) funcionales de carpetas que han cambiado en sunomenclatura con respecto a las versiones anteriores. Aparece la carpeta “Usuarios”

134


que sustituye a la antigua carpeta “Documents and settings”. Por funcionalidad,ésta se mantiene, aunque sólo en aquella vista en la que habilitamos las carpetas yficheros ocultos del sistema. Igualmente, se ha mantenido por compatibilidad paraaquellas aplicaciones que utilizaban dicha ruta a través de la variable de entorno“%userprofile%”, manteniendo una ACE que permite el acceso a través del objeto“Documents and Settings”, actualmente no una carpeta sino un punto de unión, siun objeto buscado se encuentra realmente en la ruta buscada; en caso contrario,devolverá un mensaje de denegación del acceso. Por ejemplo, si solicitamos unfichero que se encuentra en la siguiente ruta:

“C:\documents and settings\jl\My Documents\fichero.doc”

el sistema nos permitirá abrir el fichero, cuando éste se encuentre en la ubicaciónreferida; de lo contrario, nos devolverá un mensaje de error, denegándonos elacceso. Obviando estas modificaciones, el sistema de asignación de permisos,aunque cambia la perspectiva de la generación y aplicación de ACE a través de laconsola, adaptándolo a la implementación del sistema de UAC (User AccountControl), en su base mantiene las mismas pautas de aplicación que en los sistemasanteriores. Por tanto, la asignación según la aplicación del reglamento viene deter-minada por lo dispuesto en el Documento de Seguridad de la organización. Serálabor del responsable del fichero que se establezcan de acuerdo a un criterio deasignación coherente para el desarrollo de las funciones del personal implicado.

En muchas circunstancias, las anidaciones de grupos y los sistemas demembresía existentes en una organización pueden hacer complejo el conocer quépermisos finales tiene un usuario sobre un fichero que pudiera contener datos decarácter personal. Para dar una solución a esta posible problemática, tenemos laposibilidad de utilizar la herramienta de permisos efectivos que nos proporciona lavisión de derechos finales que tendrá concedido un usuario o un grupo específicosobre un determinado objeto. Para iniciar este proceso se accederá a las propiedadesde seguridad del objeto en cuestión.

Permisos efectivos.

135


11.2.4.2. Control de acceso en Microsoft Exchange 2003

Exchange Server 2007 cambia el modelo de permisos con respecto a versionesanteriores y crea nuevos roles de administración que permiten delegar de unaforma más flexible. En Exchange Server 2003 existían tres tipos de administradores:

Exchange Full Administrator.

Exchange Administrator.

Exchange View Only Administrator.

Ahora, con Exchange 2007 se crean los siguientes roles de administradores:

Exchange Organization Administrators.

Exchange Recipient Administrators.

Exchange View-Only Administrators.

Exchange Public Folder Administrators.

Durante la fase de preparación de Directorio Activo y de los dominios, elasistente de instalación crea los roles de administrador en una nueva unidadorganizativa de Exchange denominada Microsoft Exchange Security Group.

Exchange Server 2007 implementa los llamados conjuntos de propiedades, loscuales son agrupaciones de atributos de Directorio Activo y cuyo control de accesose realiza mediante ACE (entrada de control de acceso) al grupo, en lugar de confi-gurar una ACE por cada propiedad. Gracias a estos conjuntos de propiedades, sepuede realizar una delegación de acceso más detallado y flexible que en versionesanteriores. Además, Exchange 2007 incluye varias mejoras:

Los conjuntos de propiedades han dejado de basarse en los conjuntos depropiedades de Directorio Activo, por lo que se elimina la incertidumbrede cambios en las versiones futuras de los conjuntos de propiedades deDirectorio Activo.

Los atributos creados por la extensión de esquema de Exchange son losúnicos miembros de los conjuntos de propiedades específicos deExchange.

Los conjuntos de propiedades específicos de Exchange permiten la crea-ción y la implementación de un modelo de permisos de seguridad delega-do, que es específico para la administración de los datos de destinatariosde correo de Exchange.

Dado que los atributos se trasladan entre conjuntos de propiedades, se debeactualizar la estructura de permisos de destinatarios de Exchange 2003 alimplementar Exchange 2007 en un entorno heredado. Esto se hace ejecutando elcomando setup.exe /PrepareLegacyExchangePermissions.

136


Los administradores de Exchange 2007 pueden administrar tres tipos de datos:

Datos globales. Los datos globales se encuentran almacenados en uncontenedor de configuración de Directorio Activo y no están asociados aningún servidor en particular. Entre los datos que se incluyen dentro deeste grupo están las directivas de buzón, listas de direcciones y la configu-ración de mensajería unificada y, en general, los datos globales de organi-zación de Exchange, por lo que se recomienda que sólo a los usuarios deconfianza se les permita el acceso a esta información.

Datos de destinatarios. En este grupo se incluye información de destina-tarios, grupos de distribución, contactos habilitados para correo, buzonesy otros tipos de destinatarios como carpetas públicas.

Datos de servidor. Se encuentran almacenados en los nodos de cada unode los servidores Exchange en el Directorio Activo. En este grupo seencuentra la información particular de conectores de recepción, directo-rios virtuales, configuraciones por servidor y datos de grupos de almace-namiento y buzones.

La función de administradores de la organización de Exchange ofrece a losadministradores acceso completo a todas las propiedades y objetos de Exchange enla organización de Exchange. Cuando se instala Exchange 2007, se agrega la funciónAdministradores de la organización de Exchange como miembro del grupo local deadministradores en el equipo donde esté instalando Exchange.

La función de administradores de destinatarios de Exchange tiene permisospara modificar cualquier propiedad de Exchange en un usuario, contacto, grupo,lista de distribución dinámica u objeto de carpeta pública de Directorio Activo. Losusuarios que son miembros de esta función de administrador de destinatarios deExchange no tienen permisos sobre los dominios en los que no se ha ejecutadoSetup.exe /PrepareDomain.

La función de administradores de servidores de Exchange sólo tiene acceso alos datos de configuración de Exchange del servidor local, ya sea en DirectorioActivo o en el equipo físico en el cual está instalado Exchange 2007.

La función de administradores de sólo vista de Exchange tiene permiso de sólolectura en todo el árbol de la organización de Exchange en el contenedor de configu-ración de Directorio Activo y permiso de sólo lectura en todos los contenedores dedominio de Windows que tienen destinatarios de Exchange.

La función de Administradores de carpetas públicas de Exchange tiene permi-sos administrativos para administrar todas las carpetas públicas. Esta función deadministrador tiene concedido el derecho extendido “Crear carpeta pública de altonivel”.

Los miembros de esta función pueden crear y eliminar carpetas públicas yadministrar configuraciones de carpeta pública como réplicas, cuotas, límites deedad, permisos administrativos y permisos de cliente.

137


Con respecto a los destinatarios de correo, Exchange otorga de forma predeter-minada permisos completos y permiso de enviar como al propietario del buzón.Ningún otro destinatario tiene permisos en otro buzón que no sea el suyo propio, nisiquiera el administrador de la organización. Estos permisos se gestionan en dosniveles: permisos del buzón y permisos de Directorio Activo.

Permisos del buzón

Dentro de los permisos del buzón se encuentra el permiso de acceso completoal buzón (Full Access). Cuando se le otorga a un usuario el acceso completo al buzónde otro usuario, éste adquiere la capacidad de abrir y leer el contenido de todo elbuzón; sin embargo, no puede enviar mensajes como si fuera el otro usuario.

Este diseño de seguridad lo implementa por defecto Exchange Server 2007para evitar que, debido a la necesidad de acceder a un buzón, se pueda suplantar laidentidad de otra persona, garantizando así la procedencia de los mensajes en laorganización Exchange.

Para otorgar permisos de enviar como otro usuario, existe el permiso indepen-diente ReceiveAs a nivel de Directorio Activo.

La lista de permisos aplicables a nivel de buzón es la siguiente:

FullAccess.

SendAs.

ExternalAccount.

DeleteItem.

ReadPermission.

ChangePermission.

ChangeOwner.

Permisos de Directorio Activo

El permiso SendAs o enviar como permite que un usuario envíe mensajes desdeel buzón de otro usuario como si fuera el propietario del buzón. En ocasiones,algunos roles de personas requieren disponer de esta capacidad. Sin embargo, si serealiza sin el consentimiento del propietario se podría estar vulnerando suprivacidad y confidencialidad.

Otro de los permisos importantes es el de ReceiveAs o recibir como. Este permisootorga privilegios de inicio de sesión en todos los buzones de la base de datos endonde se aplica el permiso. También se puede otorgar a nivel de grupo de almace-namiento; en este caso se heredaría a todas las bases de datos del grupo. Por ejem-plo, es posible que desee conceder acceso a la base de datos de buzones para elacceso móvil o para una revisión legal.

138


La lista de permisos aplicables a nivel de Directorio Activo es la siguiente:

CreateChild.

DeleteChild.

ListChildren.

Self.

ReadProperty.

WriteProperty.

DeleteTree.

ListObject.

ExtendedRight.

Delete.

ReadControl.

GenericExecute.

GenericWrite.

GenericRead.

WriteDacl.

WriteOwner.

GenericAll.

Synchronize.

AccessSystemSecurity.

11.2.4.3. Control de acceso a archivos de Microsoft Office 2007

Normalmente consideramos los ficheros generados a través de Ms OfficeSystem como ficheros convencionales, y como tal podemos emplear mecanismos através de las DACL, descritas anteriormente. Éstos permiten extender dichafuncionalidad, asignando derechos digitales mediante el uso de la tecnología IRM(Information Rights Management). IRM supone una extensión de RMS (RightsManagement Services). Este sistema se basa en conexiones de confianza que estable-ce una implementación basada en el uso de certificados. Los mecanismos de seguri-dad quedan establecidos mediante reglas de uso, donde los usuarios reciben unalicencia capaz de interpretar dichas reglas.

139


Para la realización de la protección y autentificación de los documentos RMSemite una serie de certificados de cuenta de permisos que se encuentran asociados acuentas de usuario y equipos específicos. Las licencias de uso van a permitir que losusuarios puedan utilizar contenido protegido con RMS. Los certificados de cuentade permisos contienen la clave pública del usuario, que se utiliza para cifrar losdatos que irán destinados a un usuario específico.

Los elementos que intervienen en todo el proceso de funcionalidad de losmecanismos de RMS son:

Certificados emisores de licencias de servidor. Se expiden a servidorespara que puedan emitir licencias para la publicación, de uso, certificadosemisores de licencia de clientes y la generación de plantillas de permisos.El certificado emisor de licencias de servidor que se concede a un servidorde licencias contiene la clave pública del servidor de licencias, mientrasque el certificado emisor de licencias de servidor que se concede al servi-dor de certificación raíz contiene la clave pública del servidor de certifica-ción raíz.

Certificados emisores de licencias de clientes. Se utilizan para otorgar aun usuario que pueda publicar contenido protegido mediante los meca-nismos de RMS sin estar conectado a la red corporativa. Contiene lasclaves pública y privada del certificado; esta última cifrada con la clavepública del usuario que solicitó el certificado. Contiene, asimismo, la clavepública del servidor que emitió el certificado.

Certificados de equipo RMS. Otorga la confianza a equipos o dispositi-vos para el servicio de RMS. Contiene la clave pública del equipo activa-do. La clave privada correspondiente se encuentra en la caja de seguridaddel equipo. Esta caja de seguridad es única para cada equipo y se recibe

IRM: aplicación derestricción.

140


cuando se instala y activa el cliente RMS. Se basa en un identificadorhardware y contiene la clave privada del equipo activado.

Certificados de cuentas de permiso. Identifica a un usuario con unequipo o dispositivo específico. Contiene las claves pública y privada delusuario, esta última cifrada con la clave pública del equipo activado.

Licencias de publicación. Contienen los permisos específicos que seaplican a los datos protegidos mediante RMS. Contiene la clave de conte-nido simétrica necesaria para descifrar el contenido que está cifrado con laclave pública del servidor que ha emitido la licencia.

Licencias de uso. Especifica los permisos que se aplican a contenidoprotegido con RMS en el contexto de un usuario autenticado. Contiene laclave de contenido simétrica necesaria para descifrar el contenido, que seencuentra cifrada con la clave pública del usuario.

Los certificados que se pueden emitir pueden ser en función del tiempo devalidez de utilización para el certificado. Estos tipos de certificados son permanen-tes, donde de forma predeterminada el valor de validez es de 365 y los certificadostemporales presentan una duración de 15 minutos, y están especificados paraequipos de uso múltiple y evitar que se pueda tener acceso a la información dedicho equipo.

En la operativa de funcionalidad del sistema, cuando un usuario intentaacceder por primera vez a un documento que presenta asignados derechos digita-les, el sistema se conecta al servidor de Licencias, donde se verifican las credencialesy se permite la descarga de una licencia para su uso. Ésta, como hemos comentadoanteriormente, puede ser permanente o temporal. Mientras no dispongamos de estalicencia, no podremos acceder al documento. Una vez que la información se en-cuentra disponible, Microsoft Office envía las credenciales al servidor RMS, dondese comprobará si éstas son las necesarias para la apertura del documento.

En el caso de que ya tuviéramos el certificado instalado en la máquina, seríanecesario solamente comprobar si tenemos las credenciales correspondientes paraacceder al documento, libro o presentación, así como qué derechos de los existentestendremos sobre el mismo.

Microsoft Office 2007 puede garantizar los derechos a diferentes tipos dedocumentos, así como a mensajes de correo electrónico mediante la tecnología IRM.Los documentos que admiten una posible implementación de la tecnología de IRMson los siguientes:

Ficheros de Word

Tipo de fichero Extensión

Documento .doc

Documento .docx

141


Documento con macros habilitadas .docm

Plantilla .dot

Plantilla .dotx

Plantilla con macros habilitadas .dotm

Ficheros de Excel


Libro .xls

Libro .xlsx

Libro con macros habilitadas .xlsm

Plantilla .xlt

Plantilla .xltx

Plantilla con macros habilitadas .xltm

Libro binario No-XML .xlsb

Complemento .xla

Complemento con macros habilitadas .xlam

Ficheros de PowerPoint


Presentación .ppt

Presentación .pptx

Presentación con macros habilitadas .pptm

Plantilla .pot

Plantilla .potx

Plantilla con macros habilitadas .potm

Presentación .pps

Presentación .ppsx

Presentación con macros habilitadas .ppsm

Tema de Office .thmx

Adicionalmente a la información antes citada, Ms Outlook 2007 tambiénpresenta una extensión para la tecnología IRM, con objeto de asignar derechosdigitales sobre los correos gestionados a través de este cliente de correo, ofreciendoademás soporte de IRM para los diferentes archivos anteriormente citados.

142


En caso de querer implantar esta tecnología, hay que tener presente que comomínimo es necesario que se encuentre instalado el cliente RMS Service Pack 1. Estacondición no es demandada en Windows Vista, puesto que dicha extensión ya seencuentra instalada por defecto.

Para Word 2007, Excel 2007 y PowerPoint 2007, IRM permite que una cuentaasociada al servicio pueda asignar 3 tipos de permisos básicos a los documentos:lectura, cambio y control total. Una vez asignados estos derechos, sólo aquellos quetengan privilegios pueden acceder a dicho documento independientemente dedonde pueda encontrarse o a donde haya podido llegar. Un usuario con permiso delectura puede abrir el fichero, pero no modificarlo, copiar o imprimir el contenido.Un usuario con permisos de cambio puede leer, editar y guardar cambios en elfichero, pero no imprimirlo. Adicionalmente a estos tres permisos básicos, IRMpermite la asignación de otros más especiales:

Establecer una fecha de caducidad para el documento.

Permitir imprimir el documento.

Permitir que usuarios con sólo lectura puedan copiar el contenido.

Permitir acceder al contenido del documento mediante programación.

IRM: propiedades depermiso restringido.

Cuando los permisos se establecen a mensajes de correo electrónico a través deOutlook 2007, se pueden controlar los destinatarios de estos, y que puedan sercopiados, reenviados o impresos. Además, una de las características que consiguenlos mensajes de correo mediante el uso de IRM es el cifrado automático de losmismos, mediante los mecanismos de clave pública-privada de los destinatarios.

El sistema permite, mediante un complemento para Internet Explorer, quedocumentos protegidos mediante la tecnología de IRM puedan ser visibles a través

143


del navegador, siempre y cuando el receptor de los mismos tuviera permisos delectura sobre los documentos.

El uso de esta tecnología en un escenario de aplicación de normativas deLOPD, garantizará el control del acceso independientemente del lugar desde dondehaya podido llegar la información, y garantizará no solamente el control de acceso,sino la confidencialidad de los datos mediante el cifrado de los mismos.

IRM: permiso restringido.

La tecnología IRM puede combinarse con el uso de una solución comoMicrosoft Office SharePoint Server 2007 (MOSS 2007), permitiendo esta arquitecturael mantenimiento de la infraestructura y uso de la gestión de Derechos Digitales. Eneste sentido, MOSS 2007 permite el establecimiento de IRM para listas o bibliotecas,incluyendo protectores para los siguientes tipos de archivos:

Formularios de Microsoft Office InfoPath.

Formatos de archivo 97 a 2003 para los siguientes programas de MicrosoftOffice: Word, Excel y PowerPoint.

Formatos XML abiertos de Office para Microsoft Office Word 2007,Microsoft Office Excel 2007 y Microsoft Office PowerPoint 2007.

Formato XPS (XML Paper Specification).

Las siguientes URLs presentan guías donde se describen paso a paso los proce-dimientos y mecanismos para implementar una solución de RMS con MicrosoftOffice SharePoint Server 2007. La primera en un escenario con RMS Service Pack 2 yla segunda con el servicio de Windows Server 2008 de Directorio Activo RMS.

http://www.microsoft.com/downloads/details.aspx?FamilyID=7bab2321-71e6-4cf2-8bcd-0880e0d1cda3&DisplayLang=en

144


http://technet2.microsoft.com/windowsserver2008/en/library/07133490-20fe-4bb3-9870-ced0cd01f5f61033.mspx?mfr=true

Adicionalmente a los mecanismos que permiten realizar las implementacionesde derechos con IRM, Office 2007 proporciona otros mecanismos de seguridad paragarantizar los accesos sobre los documentos. Entre estas características podemoscitar como importantes la posibilidad de establecer procedimientos de cifrado paraOffice Access, Excel, Powerpoint y Word 2007, como trataremos con posterioridad,y la aplicación de listas de publicadores de confianza y firmas digitales, que permi-ten garantizar la integridad de la información disponible.

Además de esta capacidad común, las diferentes aplicaciones de Office presen-tan funcionalidades específicas para la protección de documentos. En el caso deWord 2007, estas características para la protección de documentos se pueden activardesde el menú Revisar bajo el epígrafe de “proteger documento”. La activación ydesactivación de estas configuraciones se establece bien por contraseña, bien porusuarios autentificados. Éstas son las diferentes restricciones que pueden aplicarse:

Restricción de formato. Limita los estilos que pueden aplicarse al docu-mento.

Restricción de edición. El sistema admite sólo determinados tipos deedición: para cambios realizados (permite que los usuarios efectúencambios pero los resalta para que el autor los controle y determine si sonaceptados o los rechaza), comentarios (permite que un revisor especifiquecomentarios para cambiar el contenido del documento), formularios(protege el documento ante cambios, excepto en aquellos formularios osecciones no protegidos) o sin cambios (modo de solo lectura). Estasrestricciones pueden aplicarse a usuarios y grupos, pudiendo establecersecombinaciones.

Excel 2007 presenta también funcionalidades para la protección de elementos.Los elementos que son posibles proteger son:

Proteger hoja. Protege celdas seleccionadas dentro de una hoja de cálculo,impidiendo la modificación de las celdas estén o no bloqueadas. Estaprotección permite también otorgar acceso a operaciones específicasdentro de la hoja.

Permitir que los usuarios modifiquen rangos. Establece rangos quepueden ser desprotegidos mediante contraseña para que puedan sermodificados. Se permitirá además que usuarios, grupos y equipos puedanmodificar una celda sin necesidad de establecer la contraseña.

Proteger libro. Especifica los elementos dentro del libro que deben serprotegidos: estructuras y ventanas. Adicionalmente se puede especificaruna contraseña que debe ser utilizada para quitar esta protección.

Proteger y compartir libro. Esta función hace que el libro sea compartidoy activa el control de cambios. Se pueden realizar modificaciones sobre el

145


libro, pero se requiere el control de los mismos. Adicionalmente se puedeespecificar una contraseña que debe ser utilizada para quitar esta protec-ción.

Access 2007 incluye un conjunto de funcionalidad para establecer protecciónsobre la base de datos y los objetos contenidos en ella.

Mostrar u ocultar objeto en la Base de datos. Permite ocultar objetos perono va a impedir que un usuario pueda mostrar objetos que se encuentranocultos.

Seguridad a nivel de usuario. Access 2007 permite el establecimiento dediferentes niveles de acceso a objetos sensibles. Para ello se establece unacontraseña y un identificador para cada usuario. Cuando los usuariosabren la base de datos tendrán que introducir la contraseña, que junto conel identificador asigna las credenciales necesarias para acceder a determi-nados objetos únicamente.

Access 2007 admite el cifrado de la base de datos, haciendo ilegible sucontenido. El cifrado se establece mediante contraseña y se puede invertirel procedimiento. Aunque el mecanismo es seguro, debería combinarsecon la asignación de derechos, puesto que cualquiera que conociera lacontraseña podría acceder a todos los objetos que tuviera.

También se admite el firmado digital en Access 2007. Cuando un usua-rio firma una base de datos se genera un hash para el proyecto VBA y lasmacros contenidas en la base de datos.

El sistema permite garantizar mediante el uso de contraseñas la apertura o node un documento, libro, presentación o base de datos, o bien si ésta es posible lle-varla a efecto en modo sólo lectura exclusivamente. Aunque esta protección es váli-da en muchos escenarios, nos encontramos que no podemos implementarla obser-vando la LOPD. En este sentido, el reglamento exige actualmente la existencia decuentas diferenciadas para cada usuario que tenga acceso a la información de carác-ter personal, cuestión que no cumpliríamos mediante la aplicación de esta contrase-ña simplemente, por ser única para todo aquel que intentara abrir el documento.

11.2.5. Artículo 91. Control de acceso (punto 2)2. El responsable del fichero se encargará de que exista una relación actualizada deusuarios y perfiles de usuarios, y los accesos autorizados para cada uno de ellos.

Desde la ventana de seguridad, tanto en Windows Server 2008 como enWindows Vista, para cada uno de los objetos fruto del control de acceso, el sistemaproporciona la capacidad para ver cuáles son los usuarios y grupos que tienenacceso y cuáles serán los derechos asignados.

Debido a que el resultado final de los derechos resulta de la suma de permisosasignados al usuario más a aquellos grupos a los que perteneciera, en Windows

146


Server 2008 y Windows Vista se pueden examinar los permisos efectivos quequedan sobre el objeto para los usuarios o grupos que se especifiquen. Dentro de lasutilidades externas a Microsoft, Dumpsec de SystemTools es una herramientagratuita que nos va a permitir realizar volcados de las ACL de objetosadministrables, con lo que nos permite además facilitar la información de cara a larealización de informes o un dossier de seguridad.

11.2.6. Artículo 91. Control de acceso (puntos 4 y 5)4. Exclusivamente el personal autorizado para ello en el documento de seguridadpodrá conceder, alterar o anular el acceso autorizado sobre los recursos, conforme alos criterios establecidos por el responsable del fichero.

5. En caso de que exista personal ajeno al responsable del fichero que tenga acceso alos recursos, deberá estar sometido a las mismas condiciones y obligaciones deseguridad que el personal propio.

Como ya definimos en su momento, la asignación de los permisos se establecea través de las DACL, y será una capacidad inherente al creador del fichero o aquelpara el que se establezca, tanto el control como la asignación de dichos permisos.Esta labor de asignación de permisos se realiza desde la pestaña de seguridad conlas capacidades para cambiar los permisos y tomar la posesión si correspondiera.

11.2.7. Artículo 92. Gestión de soportes y documentos1. Los soportes y documentos que contengan datos de carácter personal deberánpermitir identificar el tipo de información que contienen, ser inventariados y sólodeberán ser accesibles por el personal autorizado para ello en el documento deseguridad.

Se exceptúan estas obligaciones cuando las características físicas del soporteimposibiliten su cumplimiento, quedando constancia motivada de ello en el docu-mento de seguridad.

2. La salida de soportes y documentos que contengan datos de carácter personal,incluidos los comprendidos y/o anejos a un correo electrónico, fuera de los localesbajo el control del responsable del fichero o tratamiento deberá ser autorizada por elresponsable del fichero o encontrarse debidamente autorizada en el documento deseguridad.

3. En el traslado de la documentación se adoptarán las medidas dirigidas a evitar lasustracción, pérdida o acceso indebido a la información durante su transporte.

4. Siempre que vaya a desecharse cualquier documento o soporte que contengadatos de carácter personal deberá procederse a su destrucción o borrado, mediantela adopción de medidas dirigidas a evitar el acceso a la información contenida en elmismo o su recuperación posterior.

Para el control de la información y teniendo en cuenta la posibilidad existentede que los datos puedan salir fuera de la organización, hay que tener previstos unaserie de mecanismos que permitan:

147


Establecer los procedimientos de comunicación y autorización de datosfuera del control del responsable del fichero.

Garantizar que en el transporte no se pueda producir un acceso o manipu-lación de la información contenida en los soportes.

Al igual que ya hemos comentado anteriormente, MOSS 2007 puede estable-cerse como mecanismo para garantizar los procesos de comunicación de estosprocedimientos, así como para el almacenamiento de la información correspondien-te a la salida de los soportes.

En el otro sentido, cuando determinamos la seguridad que establece el uso demecanismos de autentificación y acceso controlado a recursos, estamos establecien-do procedimientos para asegurar esta información mediante los métodos conven-cionales que permiten llegar a los datos compartidos. Pero si alguien tuviera accesofísico, bien al depósito de datos o incluso a las copias de seguridad o las máquinasfísicas que guardarán la información, podrían llegar a acceder a dicha informaciónno utilizando los métodos convencionales, por lo cual la información se encontraríacomprometida.

Cómo evitar estos mecanismos de acceso físicos en muchas ocasiones puedeser complejo o inviable; se puede realizar un proceso de cifrado para los datos quegaranticen que éstos, independientemente de quien haya podido obtenerlos, van aencontrarse salvaguardados por los mecanismos de encriptación. En los diferentespuntos que hemos ido viendo, nos hemos encontrado ya algunas de estasfuncionalidades de cifrado, como el caso de la tecnología IRM, que perfectamentepodrían servir para cubrir las necesidades para cumplir este artículo. Aunque deforma más generalizada para todo tipo de archivos, tanto Windows Vista comoWindows Server 2008 nos ofrecen dos procedimientos que garantizan laconfidencialidad de los ficheros:

El Sistema de ficheros cifrados (EFS o Encripted File System).

Bitlocker.

EFS es un mecanismo que proporciona un sistema de cifrado totalmentetransparente para el usuario y no ofrece integridad en los datos o autentificación,por lo que no deberán obviarse otros mecanismos de seguridad. EFS utiliza elsistema de certificados estándar X509 para las credenciales de acceso. Cada ficheroque se protege es encriptado con una clave de encriptación de fichero (FEK) genera-da aleatoriamente mediante algoritmo AES. EFS posteriormente utilizará mecanis-mos de clave pública para cifrar la FEK. Cada usuario que accede a un ficheroprotegido mediante EFS debería tener una clave privada que corresponda a una delas claves públicas con las que se cifra la FEK, y así poder acceder a él. EFS presenta4 operaciones: abrir, leer, escribir y convertir ficheros, que utilizan como cualquierotra aplicación las APIs Win32.

Abrir. La aplicación que intenta acceder a los ficheros comprimidos utilizala API CreateFile() u Openfile(). Cuando el fichero es abierto, EFS estable-

148


ce los mecanismos para proporcionar la clave de encriptación y crea losdiferentes elementos para la desencriptación y encriptación de los datos.

EFS: esquema de cifrado.

Lectura. Las aplicaciones utilizan las APIs ReadFile(), ReadFileEx() yRealFileScatter() para leer los ficheros encriptados. Cuando se lee unfichero cifrado, los datos son cargados en memoria y EFS los desencripta.Los datos descifrados son devueltos a la aplicación. Cuando la aplicaciónrequiere que un fichero encriptado sea mapeado en memoria, los datosson desencriptados antes de ser mapeados en memoria.

Escritura. Las aplicaciones utilizan las APIs WriteFile(), WriteFileEx() yWriteFileScatter(). Cuando se escribe sobre un fichero cifrado, EFSencripta los datos donde se encuentren y posteriormente se escriben en eldisco. Cuando una aplicación requiere que un fichero deje de estarmapeado en memoria, los datos mapeados son encriptados antes de serescritos en el disco.

Convertir. Cuando se realiza el proceso de conversión de un fichero, serealizan una serie de procedimientos que comienzan con un chequeo delos datos y la comprobación de si existe espacio de disco suficiente. EFSgenera posteriormente la clave de encriptación y realiza el cifrado con laclave pública del usuario activo. Una vez creada la FEK, EFS genera losmetadatos que contienen el campo de desencriptación de datos (DDF), elcual mantendrá las claves públicas de los usuarios que puedan acceder alfichero. EFS genera un fichero temporal donde copia los datos del ficherode origen para propósitos de recuperación. Cada dato en el fichero origi-nal es truncado a longitud cero, devolviendo la longitud original y elimi-nando los datos. EFS escribe los metadatos en el fichero original que seencuentra vacío y marcado como encriptado y los datos en el ficherotemporal. Para finalizar, EFS lee los datos del fichero temporal y los

149


escribe en el original de forma encriptada, realiza las comprobacionespara la coherencia de datos y elimina el fichero temporal. Si por algúnmotivo dado la encriptación no fuera satisfactoria, EFS devolvería elfichero al estado original.

En caso de necesitar establecer una recuperación para los ficheros cifrados,debido a que el usuario propietario o la clave de desencriptación se han eliminado,existen mecanismos para la recuperación de dichos datos. Ésta dependerá de si elequipo se encuentra o no integrado en el dominio.

EFS: agente recuperadorde datos cifrados.

Si la máquina está integrada en el dominio, se establece una política de recupe-ración que es automáticamente habilitada para todas las máquinas en el dominio,siendo distribuida a través de las políticas de grupo. Cuando se genera una políticade recuperación, todas las FEKs son cifradas con las claves públicas de los agentesde recuperación de claves. EFS reescribe el campo de recuperación de datos (DRF)cada vez, para asegurarse que se utiliza la política de recuperación más actualizada.

Cuando el administrador del dominio se valida por primera vez, en el contro-lador de dominio se genera un certificado de recuperación de EFS y se almacena enel perfil local, siendo además añadido a la política de recuperación. Además, cual-quier administrador de dominio puede crear agentes de recuperación de datos en eldominio y generar certificados de EFS para estos agentes de recuperación pudiendoser añadidos a las políticas de recuperación.

En el caso de utilizar una máquina que no es miembro del dominio, el sistema nocrea ningún agente recuperador de datos cifrados inicialmente y requiere que sea eladministrador el que modifique la política y realice los procedimientos necesarios.

Cuando estemos utilizando los mecanismos de cifrado de EFS tendremos quetener en cuenta que si una aplicación genera un temporal en base a un ficherocifrado mediante EFS, éste no se encontrará necesariamente encriptado, si no quedependerá de si hemos establecido el cifrado sobre la carpeta donde se creara. Paraasegurarnos de que los ficheros temporales de ficheros cifrados mediante EFS tienen

150


la misma seguridad, deberíamos habilitar EFS sobre la carpeta y no solamente sobrelos ficheros.

Con objeto de preservar los mecanismos de seguridad en las copias de seguri-dad, cuando se realice una copia de seguridad de ficheros cifrados mediante meca-nismos de EFS, con herramientas certificadas por Microsoft, se garantiza que estosficheros de respaldo mantienen su condición de cifrado mediante EFS. Esto tambiénsucederá con los sistemas de medios extraíbles que utilicen NTFS y que son gestio-nados por el sistema operativo. Como estos medios no migran ni las claves decifrado ni la de los agentes de recuperación de datos cifrados, la garantía de seguri-dad es muy alta.

EFS: propiedades de unfichero cifrado.

EFS: copia de seguridadde clave de cifrado.

El otro mecanismo de implementación de sistemas de cifrado, viene proporcio-nado por el uso de la tecnología Bitlocker. Este nuevo sistema, disponible únicamen-te en los Sistemas Operativos Windows Vista (en sus versiones Enterprise yUltimate) y Windows Server 2008, implementa mecanismos para el cifrado de

151


disco, a diferencia de EFS que basaba su funcionalidad en el cifrado de ficheros.Bitlocker utiliza AES (Advance Encription Standard) como algoritmo de cifrado enmodo CBC (Cypher Block Chaining) y con objeto de evitar los ataques por manipu-lación de datos cifrados incorpora un difusor adicional independiente de AES-CBC.

Los mecanismos de seguridad implementados por Bitlocker se complementanmediante unas nuevas especificaciones de seguridad hardware: Trusted PlatformModule (TPM). Este nuevo chip TPM proporciona una plataforma segura para elalmacenamiento de claves, contraseñas o certificados, dificultando el ataque contralas mismas. Aunque nuestros equipos no dispusieran de este mecanismo de seguri-dad, las especificaciones de Bitlocker admiten su funcionalidad sin el chip TPM.

Bitlocker: configuraciónde cifrado.

Bitlocker proporciona un filtro en el stack del sistema de Windows Vista encar-gado de realizar los procesos de cifrado y descifrado de una forma totalmente trans-parente, cuando se escribe o se lee en un volumen protegido. Este mismo mecanis-mo interviene también cuando el equipo entra en el modo de hibernación. De estemodo se garantiza también la seguridad del fichero de paginación, los ficherostemporales y el resto de elementos que puedan contener información sensible. Unavez que el mecanismo de cifrado ha sido puesto en marcha, la clave de cifrado eseliminada del disco y posteriormente almacenada en el Chip TPM. Con objeto deevitar un posible ataque al sistema hardware por posibles vulnerabilidades, se pro-porcionan mecanismos de autentificación mediante sistemas adicionales tales comoel uso de Token (llave USB) o una password (PIN) para evitar esta posibilidad.

El uso combinado de mecanismos hardware y software evita determinadosataques que tienen como objetivo la modificación de datos que, aunque cifrados,podrían provocar una vulnerabilidad en el sistema, siendo explotada posteriormen-te para disponer de acceso al sistema. La implementación de Bitlocker requiere de laexistencia de condiciones para ello. Un factor importante es que el sistema necesitados particiones NTFS, una de las cuales, la partición activa, que albergará el sistemade arranque, no se encontrará cifrada. Bitlocker también proporciona mecanismospara garantizar que no se han producido modificaciones en el arranque del sistema,tales como aquellas que pueden proceder de ataques tipo malware, que pudieranproducir una agresión colateral o el control del acceso al sistema.

152


A la hora de establecer un sistema de implementación para el cifrado de launidad de disco para Bitlocker, Microsoft tuvo en cuenta determinados factores yevaluó la posibilidad de incorporar algunos sistemas de implementación de cifrado.Uno de los elementos que se tuvieron en cuenta es que Bitlocker no debería consistirsolamente en un elemento de cifrado, sino que debería garantizar, gracias a laautenticación de datos, el evitar que mediante una manipulación de los datoscifrados pudiera introducirse una modificación a ciegas en el código del sistemaoperativo, provocando una debilidad en el mecanismo de arranque con Bitlocker oconseguirse una escalada de privilegios en el sistema. Además, debería evitar lapredicción de la función de cifrado mediante la manipulación de datos cifrados y laobtención de datos en texto plano.

El mecanismo natural de implementación de cifrado para evitar estos mecanis-mos de ataque es la utilización de MAC (Message Autenthication Code) para cadabloque de datos del disco. El problema que plantea el uso de este mecanismo es quenecesitaríamos establecer una reserva de sectores para almacenar el MAC, con locual tendríamos un uso limitado en la capacidad de almacenamiento de hasta un 50%. Además, bajo las condiciones actuales de implementación de este mecanismo ensistemas de alto procesamiento de datos con accesos de lectura y escritura, podre-mos encontrarnos con problemas de rendimiento o corrupción de sectores. Si noqueremos escribir en sectores x, sin dañar x+1 x-1 en procesos de caída del sistemano controlados o por pérdida de energía, tendremos que tener en cuenta que en elcaso de escribir en un sector x el sistema deberá leer el sector, desencriptarlo,encriptarlo y nuevamente escribir todos los sectores que correspondan al bloque. Sifalla el sistema cuando se escriben sectores en el bloque nuevo pero quedan pen-dientes otros, todo el bloque puede quedar corrompido.

Poor-man consiste en otro de los posibles mecanismos para la implementaciónde seguridad que permite generar bloques cifrados con un tamaño que oscila entrelos 512 bytes y los 8192 bytes, de tal forma que una leve modificación en uno de loscaracteres del bloque modifica de forma aleatoria todo el bloque. Con objeto deevitar el mecanismo de secuenciación moviendo datos cifrados de un sector a otro,se generan cambios del algoritmo para cada sector.

De esta forma, aunque el potencial atacante tuviera acceso a los datos tantocifrados como en texto plano, la variedad del mecanismo de secuenciación y loscambios en el algoritmo evitan posibilidades de predicción del sistema de cifrado.

Por mecanismos de rendimiento el mejor sistema que se puede emplear parael cifrado de datos de disco es AES-CBC, pero ya advertimos anteriormente elriesgo de posibles ataques al utilizar únicamente este mecanismo. La decisiónfinalmente establecía la utilización de AES-CBC para la encriptación primaria y unaclave difusora independiente para texto plano. Este difusor tiene como objetivofortificar frente a los ataques de manipulación, mejor que lo que puede realizar deforma única el algoritmo de AES-CBC.

Inicialmente, la implementación de Bitlocker en Windows Vista sólo admitía elcifrado de la partición donde estaba instalado el Sistema Operativo, aunque desde

153


la salida de Windows Vista SP1, el sistema admite además el cifrado de otrasparticiones de datos, siempre y cuando no sea la de arranque.

11.2.8. Artículo 93. Identificación y autenticación (puntos 1 y 2)1. El responsable del fichero o tratamiento deberá adoptar las medidas que garanti-cen la correcta identificación y autenticación de los usuarios.

2. El responsable del fichero o tratamiento establecerá un mecanismo que permita laidentificación de forma inequívoca y personalizada de todo aquel usuario queintente acceder al sistema de información y la verificación de que está autorizado.

11.2.8.1. Autentificación Windows Vista y Windows Server 2008

Cuando definimos la capacidad para acceder a un objeto, lo realizamos claroestá en función de los usuarios especificados para ello. Con objeto de evitar laconfusión de usuarios, los sistemas presentan diferentes mecanismos con objeto deidentificar quienes son. Tanto Windows Server 2008 como Windows Vista, utilizanpara los procedimientos cuentas de usuario con diferentes procedimientos para laautentificación, sin que existan para ello procedimientos anónimos. Por tanto,independientemente de si los usuarios acceden a un recurso a través de la red o lohacen localmente, ejecutan un proceso en una máquina o mediante un servicio deTerminal; cada una de estas acciones estará controlada y auditada para el usuarioque la realizó.

Una de las modificaciones más importante que ha tenido el Reglamento deSeguridad viene definida precisamente en este artículo. Por un lado, la necesidad deidentificar de forma inequívoca y personalizada aquellos usuarios que accedan alsistema, y por otro la obligatoriedad del cambio de contraseña que como mínimoserá anual. En este sentido, el reglamento limita el uso de cuentas genéricas (cues-tión que en el anterior reglamento sólo era requerido para los Datos de Nivel Me-dio), impidiendo su uso y requiriendo que cada usuario tenga su cuenta y la utilicecon los fines para las que fue generada verificando por lo tanto su autorización.

De cara a coordinar este proceso de identificación de los usuarios, Windowspresenta una serie de mecanismos para poder autentificar los usuarios que intentaniniciar un proceso de validación de cuenta. En este sentido, este procedimientopodrá variar si el procedimiento es local o bien se realiza en un dominio. Cuando elprocedimiento de autentificación se realiza localmente, existe un archivo localdonde se depositan los datos para cotejar los datos de autentificación: SAM(Security Account Manager). Cuando la validación se realiza en un dominio, éste seestablece contra los Controladores de Dominio. Aunque en ambos sistemas seofrecen mecanismos para el control de usuarios, la administración en un sistema dered basado solo en cuentas locales, sería mucho más complicado de administrar queutilizando los mecanismos proporcionados en el Directorio Activo.

Como en toda base de datos, y no debemos perder el punto de vista que tantola SAM como el Directorio Activo lo son, existen una serie de identificadores con

154


objeto de evitar incongruencias en los datos que se manejan. De cara a estas cuentasde usuario ambos sistemas presentan un único identificador de seguridad (SID)para cada cuenta de usuario, aunque hay que tener presente que el DirectorioActivo presenta una flexibilidad de la que carece la base de datos local de un equi-po. Este SID, que identifica inequívocamente a un usuario, presenta una serie deatributos que se asociarán al mismo, tales como nombres, contraseñas, descripcio-nes, etc. La definición de los atributos para los objetos usuarios definen muchas máspropiedades para el Directorio Activo que para la SAM, por lo que se permiteasociar un mayor número de datos a una cuenta. Otra de las ventajas que ofrecenlos mecanismos del Directorio Activo es poder capacitar o delegar a otros usuariosacceder a determinadas o todas las propiedades de otra cuenta; por ejemplo, cono-cer las extensiones del teléfono del trabajo u otro dato que pudiera ser necesario.

Los sistemas Windows Server 2008 y Windows Vista utilizan dentro de losprocedimientos de autentificación un sistema basado en el modelo de autentifica-ción local: LSA (Local Security Authority). La LSA es la encargada de recoger lascredenciales facilitadas para el inicio de sesión. Para ello, soporta unos paquetes deautentificación personalizables, que son los encargados de inicializar las subrutinasde autentificación. Estos paquetes admiten la extensión en los mecanismos deautentificación, por ejemplo para utilizar una tarjeta tipo ATM y un número deidentificación personal (PIN), como mecanismos para presentar las credencialesnecesarias con las que iniciar una sesión sustituyendo al clásico sistema de valida-ción basado en usuario y contraseña. Además, estos paquetes de autentificación sonlos encargados a través de la LSA de inicializar unos mecanismos que tendrán comoresultado cotejar la información facilitada con las bases de datos que le pudierancorresponder. Estos mecanismos pueden ser tan variados como utilizar ticket desesión Kerberos o utilizar certificados de sesión de cliente.

Una vez que se ha realizado satisfactoriamente este proceso de autentificación,el correspondiente paquete de autentificación crea un inicio de sesión y devuelve lainformación a la LSA que la utilizará para crear un testigo para el nuevo usuario.Este testigo, entre otras características, incluye un identificador único local (LUID)que se llama formalmente LogonID.

La sesión de validación (Logon Session) comienza cuando la autentificación seha realizado satisfactoriamente y finalizará cuando el usuario cierra la sesión. En elcaso de que la autentificación no haya sido satisfactoria, el paquete de autentifica-ción no creará la sesión de validación.

Como hemos dicho anteriormente, la LSA nos facilita los mecanismos para elproceso de validación. Estos procedimientos quedan divididos según el tipo deautentificación que se intente:

Autentificación interactiva.

Autentificación no interactiva.

La autentificación interactiva se produce cuando a un usuario se le solicita queproporcione las credenciales para la autentificación. En este procedimiento para los

155


sistemas anteriores a Windows Vista, intervenían dos componentes esenciales:Winlogon y GINA (Graphical Identification aNd Authentication). Los sistemasactuales han cambiado GINA por un nuevo proveedor de servicios de credencialesde seguridad (CredSSP) disponible a través del SSPI (Security Support ProviderInterface). En el nuevo modelo de autentificación, los módulos LogonUI y Winlogonhablan entre ellos directamente. Si en el sistema tenemos un Módulo de Proveedorde Credenciales (como un servicio de autentificación basado en SmartCard) externo,la información de autentificación es requerida por LogonUI para comunicarse con elProveedor de autentificación externa. Después de que el proveedor de autentifica-ción devuelve las credenciales de validación al módulo de LogonUI, éstas sonenviadas a Winlogon. En este sentido, el proveedor de credenciales es totalmentetransparente para Winlogon.

En Windows Vista, al contrario que en versiones anteriores, no es necesariocambiar la pantalla de autentificación y se admite que puedan implementarsemúltiples proveedores de servicio de autentificación, pudiendo ser seleccionadospor el usuario. Por defecto, Windows proporciona proveedores de autentificaciónpara acceso mediante usuario/password y la autenticación mediante Smartcard.

Adicionalmente, mediante el Proveedor de seguridad, el sistema permitereutilizar las credenciales mediante el módulo CredUI.

Sistema de autentificaciónen Windows Vista.

La autentificación no interactiva se produce cuando ya previamente se haproducido una sesión interactiva, con lo cual no se solicitan nuevamente credencia-les, sino que se utilizan aquellas previamente proporcionadas. Este tipo de autentifi-cación es la típica cuando se produce un acceso a un recurso de red.

Cuando una aplicación intenta acceder a un recurso de red, entonces en elproceso de autentificación no intervienen ni los procesos del nuevo proveedorCredSSP ni del módulo de Winlogon, sino que el proceso que interviene es la SSPI(Security Support Provider Interface) y el paquete de seguridad encargado deestablecer la conexión segura a la red. La SSPI es una interfaz que se posiciona entre

156


la capa de transporte y de aplicación que permite hacer las llamadas a los proveedo-res de seguridad. Un ejemplo lo tenemos con la SSPI que interviene en los procesosde envíos de datos entre Microsoft Remote Procedure Call (RPC), y el proveedor deseguridad Windows Distributed Security.

El procedimiento de trabajo sería el siguiente: una aplicación de un clienteinicia la llamada a la SSPI que requiere la autentificación a través de la conexión dered. La petición del cliente es procesada por un paquete de seguridad. Éste autenti-fica al usuario mediante una llamada a la LSA y el paquete de autentificaciónespecífico proporcionando las credenciales de Usuario existente. El resultado de laautentificación se pasa a través de la LSA al paquete de seguridad y finalmente a laSSPI. Ésta finalmente notifica a la aplicación cliente el resultado de la petición.

Una vez que hemos visto los dos tipos de procedimientos para la autentifica-ción, solicitando o no credenciales, y los mecanismos que la implementan, el otrofactor importante es dónde se produce la confrontación de la autentificación y losmecanismos utilizados para asegurar el paso de los datos de autentificación. Losmecanismos en este caso dependerán de si accedemos mediante cuentas locales o,por el contrario, utilizamos los mecanismos de dominio.

Cuando se produce una validación contra la base de datos de seguridad local,la cuenta que se valida debe estar en la SAM de la máquina en la que se intentaautentificar. La SAM local se encuentra protegida en el registro de la máquina ycomo paquete de autentificación es utilizado MSV1_0. La LSA llama al MSV1_0para recoger los datos proporcionados a través de GINA para el proceso deWinlogon. MSV1_0 realiza la comprobación en la base de datos SAM. Si los datosproporcionados son satisfactorios, se genera un Principal de Seguridad válido y sedevuelve el resultado de validación a la LSA. Cuando se produce el paso de lacontraseña para la verificación, ésta no se realiza directamente, sino mediante unaclave secreta generada mediante una función Hash. Se trata de una fórmula mate-mática mediante la cual, a través de una cadena de caracteres, se obtiene un resulta-do único. La modificación de un carácter implica la generación de una nuevacadena, con lo cual no puede calcularse la cadena de caracteres que lo genera.Cuando la SAM recibe una petición de autentificación de un usuario, genera unafunción Hash sobre la contraseña que tiene almacenada, comparando el resultadocon el hash recibido de la autentificación. El resultado es devuelto a la LSA quedevuelve el resultado del procedimiento de verificación de la contraseña.

Cuando la autentificación se realiza en un dominio Windows 2008, la metodo-logía cambia con respecto a lo expuesto anteriormente. En este caso se utiliza comoSSP Kerberos V.5, aunque soporta la autentificación NTLM para clientes anteriores aWindows 2000. Para utilizar Kerberos V5 como protocolo de autentificación,Windows 2008 presenta una librería que es la encargada de elegir la autentificación:Kerberos.dll. Después de que la LSA establece un contexto de seguridad para laautentificación interactiva del usuario, se carga otra instancia de Kerberos paraprocesar en el contexto de seguridad del usuario, la firma y el envío de los mensa-jes. Kerberos es utilizado como metodología para la autentificación mutua entre elcliente y el servidor. Para todo el procedimiento de autentificación en Kerberos

157


intervienen los siguientes elementos: claves simétricas, objetos encriptados yservicios Kerberos.

En el caso de Kerberos, los mecanismos de autentificación están basados entickets necesarios para tener acceso a los servicios de red. Estos Tickets mantienenlas claves de sesión para establecer comunicaciones cifradas cliente-servidor quegarantizan la seguridad en los procesos de autentificación. La ventaja es que losservidores no tienen que almacenar la clave de sesión, sino que es el cliente elresponsable de guardar el ticket en su caché y lo presentará cuando desee accederal servidor. Cuando el servidor recibe el ticket utiliza la clave secreta paradesencriptar el ticket y extraer la clave de sesión necesaria.

El servicio encargado de mantener los mecanismos de funcionalidad deKerberos son los Centros de Distribución de Claves (KDC). Este servicio se ejecutaen cada controlador de dominio de un Directorio Activo. El mecanismo de autenti-ficación Kerberos tiene los siguientes mecanismos de funcionalidad:

1. El usuario realiza un proceso de autentificación en el KDC mediante unacontraseña o una tarjeta inteligente, a través de una trama de solicitud deautentificación que contiene los datos de pre-autenticación (PADATA).Este sistema de PADATA generada a partir de un algoritmo de cifrado,contiene una clave derivada de la contraseña, además de un sello detiempo que evita determinados ataques de predicción de la contraseña.

2. El KDC se encarga de emitir un Ticket especial para la concesión de Ticket(TGT). Este ticket que sólo puede ser leído por un KDC, presenta elobjetivo de tener acceso a las credenciales de un usuario, las claves desesión y otros servicios. Se utiliza para el servicio de autentificación ypara la petición de tickets de servicios; para ello, contiene una copia de laclave de sesión para el servicio de comunicación del KDC con el cliente.

3. Mediante el TGT, el cliente tendrá acceso al Servicio de Concesión deTicket (TGS). Éste concede un Ticket de Servicio que va a permitir enviarlas credenciales de usuario al servidor o servicio correspondiente deforma segura.

4. Los tickets solicitados también van a facultar el poder acceder a los servi-cios locales de la máquina en la cual se está o ha validado un usuario.

5. El servicio de Seguridad Genérico (GSS) establecerá posteriormente, através de la Interfaz de programación de aplicación GSS (GSS-API) y elProveedor de Soporte de negociación (GSS_SPNEGO), los mecanismospara la negociación segura que establecen el envío de mensajes entrecliente y servidor utilizando las claves derivadas del intercambio deTickets Previos.

Cuando se está realizando una validación en el dominio, la LSA será la encar-gada de recoger este Ticket y validarlo, creando un Token de seguridad asociándolocon el SID del usuario.

158


Una de las mejoras introducidas en Windows Vista y Windows Server 2008respecto al sistema de Autentificación Kerberos, es la implementación mejorada delos sistemas de cifrado, mediante el uso de AES (Advanced Encription Standard).

Soporte base de implementación Kerberos. AES es utilizado para laencriptación de TGTs, Tickets de Servicios y Claves de sesión.

Soporte AES para GSS (Generic Security Services). Además del usobase, los mensajes GSS para la comunicación entre cliente Windows Vistay servidor son protegidos mediante AES.

Puesto que los sistemas previos no implementaban tal mecanismo, sino RC4 oDES, el siguiente cuadro establece qué mecanismos de encriptación se definen enfunción del Cliente, Servidor y Centro de Distribución de Tickets Kerberos existente.

Cliente Servidor KDC Encriptación

Sistema Operativoprevio a WindowsVista

Sistema Operativoprevio a WindowsServer 2008

Windows Server 2008 TGT puede encriptarcon una políticabasada en AES


Windows Server 2008 Windows Server 2008 Ticket de Serviciocifrado con AES

Windows Vista Windows Server 2008 Windows Server 2008 Todos los tickets yGSS cifrados con AES

Windows Vista Windows Server 2008 Sistema Operativoprevio a WindowsServer 2008

GSS cifrado con AES

Windows Vista Sistema Operativoprevio a WindowsServer 2008

Windows Server 2008 AS-REQ/REP y TGS-REQ/REP cifrado conAES


Windows Server 2008 Sistema Operativoprevio a WindowsServer 2008

Sin soporte AES

Windows Vista Sistema Operativoprevio a WindowsServer 2008


Sin soporte AES




Sin soporte AES

159


Otra de las mejoras de implementación en Windows Server 2008 con respectoal sistema de autentificación Kerberos, corresponde al mecanismo implementadocon los Controladores de Dominio de Sólo Lectura (RODC) de Windows Server2008. Puesto que se considera que en este escenario el procedimiento puede entra-ñar riesgo por la exposición posible, los RODC tienen una única cuenta KRBTGTque no tiene todas las capacidades de las cuentas estándar de un Controlador deDominio. Lo que en caso de compromiso de dicha cuenta, estaría limitada a serutilizada en este servidor RODC exclusivamente.

En el caso de que las metodologías anteriormente expuestas para establecer losmecanismos de autentificación en el dominio no fueran posibles, alternativamenteexiste la posibilidad de utilizar las credenciales cacheadas localmente para iniciaruna sesión local en la máquina con cuentas de usuario del dominio. Este mecanismoes utilizado en clientes itinerantes para facultarles el acceso localmente con creden-ciales de dominio. Como opción a través de las directivas de seguridad puedelimitarse el uso de este mecanismo impidiendo que se guarden las credencialeslocalmente o limitarlas a un número determinado. Para realizar estas operacionesdentro de las opciones de seguridad podremos modificar el inicio de sesióninteractivo y el número de inicios de sesión previos en la caché (en caso de que loscontroladores de dominio no estén disponibles). El valor predeterminado es de 10inicios de sesión.

11.2.8.2. Autentificación en Microsoft Office 2007

Poco a poco, los sistemas ofimáticos han ido adquiriendo un valor muy impor-tante en las empresas y por correspondencia en la aplicación de mecanismos deseguridad para asegurar la protección documental. Microsoft Office 2007 presentala tecnología IRM (Information Right Management), como una medida para contro-lar los usuarios que pueden o no acceder a los documentos así como la forma en lacual pueden utilizarla.

Además, como ya se incluía desde Microsoft Office XP, el sistema presenta laposibilidad de firmar digitalmente la tecnología Microsoft Authenticode parapermitirle firmar digitalmente un archivo mediante el uso de certificados. Estecertificado utilizado para crear esta firma garantiza que la macro o el documento sehan originado por el firmante y la firma establece que no se ha modificado. Al esta-blecer el nivel de seguridad de las macros, se pueden ejecutar macros en función deque estén firmadas digitalmente por un programador de la lista de confianza.

El sistema funciona generando una huella digital (hash) única que representaun bloque de datos. Este hash se cifra con la clave privada de quien lo firma, de talforma que todo aquel que posea la clave pública del que establece la firma puedadescifrarlo. Esta huella se genera mediante un algoritmo de cifrado en base a losdatos que se desean firmar. La ventaja que ofrece es que es imposible modificar losdatos sin cambiar el valor de hash. Además, el sistema genera una suma de compro-bación de los datos (CRC) con objeto de comprobar si los datos han sido modifica-dos, que al ser firmados digitalmente se refuerza el mecanismo de seguridad.

160


Cuando se quiere establecer el control de la firma, el destinatario comprueba elcertificado del remitente para comprobar el período de caducidad y la validez delas firmas. Se realiza la comprobación mediante la clave pública del remitente delCRC obtenido del certificado del cliente. Si la comprobación es válida, se puedeaseverar que los datos no han sido modificados desde el origen. Este mecanismo deseguridad permite establecer seguridad sobre archivos, documentos, presentacio-nes, plantillas y otros archivos de datos. Si el archivo entero es firmado, la firmagarantiza que el archivo no sea modificado desde su aplicación.

Además, el sistema admite la firma de código. Este término se refiere al uso defirmas en código ejecutable (incluyendo controladores de Microsoft ActiveX ymacros). La firma de código se utiliza cuando se firman controladores para verificarque el código no haya sido cambiado desde el momento original de su creación. Losmecanismos de funcionalidad son similares a los utilizados para las firmasdigitales. En el caso de que se desee firmar las macros y los archivos, estos procedi-mientos pueden realizarse por separado.

11.2.8.3. Autentificación en Exchange 2007

El correo electrónico constituye un modelo de intercambio de información,entre la que habitualmente pueden figurar datos de carácter personal. El problemalo encontramos en el hecho no sólo de que pueda ser utilizado como mecanismo deintercambio, sino también como sistema de almacenamiento, con lo cual tiene quecumplir unas pautas de seguridad al igual que tenemos en el resto de elementosque conforman los sistemas informáticos involucrados por la LOPD.

Existen mejoras importantes de seguridad en los procesos de comunicaciónentre los diferentes roles de servidor disponibles en Exchange Server 2007.

En una organización Exchange Server 2007 se pueden implantar los siguientesroles de servidor:

Servidor concentrador de transporte.

Servidor de acceso de clientes.

Servidor de mensajería unificada.

Servidor de buzones.

Servidor de transporte perimetral.

La comunicación entre todos estos roles de servidor se realiza de formaautenticada y cifrada por defecto, incluso en un sistema recién instalado. Estoquiere decir que el administrador o responsable de seguridad puede garantizardesde el primer momento que las comunicaciones entre servidores están completa-mente securizadas.

Para garantizar esta seguridad, Microsoft Exchange Server 2007 se apoya enKerberos como protocolo de autenticación para aquellos equipos que son miembros

161


del dominio de Directorio Activo. De hecho, ninguno de estos roles acepta conexio-nes que no vayan previamente autenticadas, con la excepción del servidor detransporte perimetral.

El servidor de transporte perimetral se encarga del envío y recepción demensajes desde y hacia Internet; por tanto, debe estar configurado para aceptarconexiones anónimas de sesiones SMTP. Para incrementar el nivel de seguridad,este servidor no forma parte del dominio ni tiene comunicación con el DirectorioActivo. Al no formar parte del dominio, no puede utilizar el protocolo Kerberoscomo protocolo de autenticación. Entonces, ¿cómo es capaz de autenticarse cuandova a iniciar una conexión contra un servidor concentrador de transporte?

Arquitectura de comunica-ción entre roles deservidor Exchange 2007.

Este problema lo resuelve la utilización de certificados X.509v3 de autentica-ción de máquina. Cuando se instala Exchange Server 2007, tanto el rol deconcentrador de transporte como el rol de transporte perimetral, generan un certifi-cado autofirmado que se utiliza en las comunicaciones del protocolo SMTP. Dichocertificado incluye el nombre del equipo y la clave pública que se enviará al servi-dor que lo solicite. Posteriormente, el administrador, mediante el proceso de sus-cripción perimetral, hace que el certificado del concentrador de transporte y eltransporte perimetral se intercambien, estableciendo lo que se denomina confianza

162


mutua por certificados. Esto se realiza durante el proceso EdgeSync o sincronizaciónde perímetro.

El procedimiento de suscripción se realiza mediante cmdlet de PowerShell new-edgesuscription, tanto en el servidor de transporte perimetral, para generar el fichero.XML de suscripción, como en el servidor concentrador de transporte para importardicho fichero de suscripción.

Procedimiento desuscripción del servidor

perimetral.

De esa forma, el servidor concentrador de transporte comienza a confiar en elequipo cuyo certificado ha sido incluido en la lista de confianza, y viceversa. Cadavez que el servidor de transporte perimetral necesita iniciar una nueva conexióncon el servidor concentrador de transporte, utiliza su certificado para autenticarse yenviar su identidad de máquina.

Además, aprovechando la capacidad que aportan los certificados X.509 pararealizar un intercambio de claves simétricas, se crea un canal seguro basado en TLSen todas las comunicaciones SMTP entre servidores de transporte en general.

Replicación de datoshacia ADAM.

11.2.8.4. Autenticación de clientes en Exchange Server 2007

Otros mecanismos de autenticación se dan cuando un cliente accede a subuzón o envía un mensaje de correo electrónico. En este caso, hay que diferenciar siel cliente se conecta a través de una aplicación web como el caso de OWA, un clientePOP3/SMTP o con el cliente nativo Outlook 2007.

Autenticación de clientes OWA, ActiveSync y Outlook Anywhere.

Todos estos tipos de cliente tienen algo en común y es que todos utilizanaplicaciones web para acceder al buzón del usuario. Estas aplicaciones se

163


instalan en el rol de servidor de Acceso de Cliente o CAS. El CAS actúacomo un proxy para este tipo de conexiones y, por defecto, utiliza elprotocolo https.

Al igual que con el rol de servidor anterior, el proceso de instalación delservidor de acceso de cliente genera un certificado autofirmado paracomprobar la identidad del servidor y cifrar las comunicaciones con SSL.Si bien este certificado es técnicamente totalmente válido, funcionalmenteno es viable para entornos en producción, ya que al ser autofirmado, losclientes no confían en dicho certificado y, por tanto, no ofrece las garantíasde seguridad adecuadas.

Para resolver este problema es necesario utilizar en todas las conexionesde clientes OWA, ActiveSync y Outlook Anywhere, certificados que hayansido previamente emitidos por entidades de certificación (CA) de confian-za para los usuarios. De esta forma, al iniciar una nueva conexión, elservidor nos envía su certificado y el usuario puede verificar la validez eidentidad del equipo al cual se está conectando.

Para este propósito, se pueden emplear tanto entidades públicas comer-ciales, como entidades privadas de la propia organización.

Además, si la entidad de certificación privada de la organización es deempresa, es decir, integrada en Directorio Activo, podremos disponer deventajas adicionales de administración y reducción de TCO ya que todoslos equipos y usuarios del dominio van a confiar automáticamente endicha entidad y las solicitudes de nuevos certificados se van a tramitar deforma transparente y utilizando la seguridad integrada de Kerberos ygrupos de seguridad del Directorio Activo.

Los usuarios también deben autenticarse contra el servidor para poderacceder a los servicios publicados. Esta labor la realiza la aplicación web oel propio servidor Internet Information Services.

Los usuarios de OWA utilizan por defecto la autenticación basada enformularios, introduciendo sus credenciales en un formulario de inicio desesión en la aplicación. En este escenario, es la propia aplicación la querealiza el proceso de autenticación contra el Directorio Activo.

El formulario de inicio de sesión utiliza una cookie donde se almacenanlas credenciales cifradas del usuario en el navegador del cliente. El segui-miento de esta cookie permite que Exchange monitorice la actividad deOWA en equipos públicos y privados. Si la sesión estuviera inactivadurante más tiempo del permitido, se solicitarían nuevamente las creden-ciales. Para los equipos públicos, la sesión se establece en 15 minutos,mientras que para los equipos privados es de 24 horas.

Para mejorar la seguridad, cuando el usuario cierra el navegador o pulsacerrar sesión en OWA, la cookie se elimina automáticamente. Las creden-

164


ciales se envían al servidor únicamente durante el primer inicio de sesión;posteriormente se utiliza la cookie para continuar con la sesión iniciada.

Aunque los tiempos máximos de inactividad reducen el riesgo de accesono autorizado en escenarios como por ejemplo equipos compartidos, noeliminan dichos riesgos por completo; por tanto, es recomendable que losusuarios tomen precauciones adicionales como asegurarse de cerrar lasesión una vez finalizada su actividad con OWA.

En el caso de disponer de un servidor avanzado de seguridad, comoMicrosoft ISA Server 2006, éste se puede configurar para que sea el propioISA Server el que realice la autenticación del usuario, antes incluso deiniciar una conexión al servidor CAS. De este modo reducimos el riesgode explotación de vulnerabilidades utilizando conexiones directas y nocontroladas al servidor CAS.

Este modo de publicación de servicios se denomina Protocolo de PuenteSSL en terminología de ISA Server y se puede utilizar para cualquiera delos servicios web disponibles en Microsoft Exchange Server 2007.

Los clientes que utilizan PDAs con ActiveSync u Outlook Anywhere envíansus credenciales al servidor IIS, el cual se encarga de autenticarlas contrael Directorio Activo. En ambos casos, es habitual utilizar autenticaciónbásica, por motivos de compatibilidad con cualquier escenario de movili-dad y red de acceso. Por ello, durante el proceso de instalación del servi-dor CAS, se configura automáticamente la opción de requerir canal seguroSSL para todas las conexiones de cliente en el sitio web predeterminado deInternet Information Services.

Una forma de incrementar la seguridad para los usuarios móviles consisteen solicitar certificados de cliente al establecer nuevas conexiones. Loscertificados de cliente actúan de forma similar a los certificados de servi-dor, salvo que en esta ocasión sirven para identificar al usuario. Porejemplo, los usuarios de ActiveSync podrían enviar su certificado decliente almacenado en el dispositivo móvil en el momento en que elservidor lo solicita, y mediante autenticación EAP – TLS se procede ainiciar sesión en el servicio ActiveSync.

Autenticación de clientes Outlook 2007.

Los clientes que utilicen Outlook 2007 para conectarse a su buzón y esténen la intranet utilizan por defecto conexiones MAPI/RPC y autenticaciónbasada en Kerberos. Además, si se ha iniciado sesión en el dominio en elequipo cliente, se utiliza el TGT obtenido desde el centro de distribuciónKerberos para realizar un proceso de inicio de sesión único (Single SignOn); por tanto, no se requiere que el usuario introduzca de nuevo suscredenciales.

165


Los procesos de inicio de sesión únicos reducen el envío de credencialesen la red y, en consecuencia, el riesgo de captura de dichas credenciales.Además, mejoran la experiencia del usuario al no requerir recordarmúltiples credenciales de autenticación para diferentes servicios.

Si en algún escenario no estuviera disponible el servicio Kerberos para laautenticación del cliente Outlook, entonces se utilizaría como alternativael protocolo NTLM v2, aunque estas opciones son configurables en elperfil de conexión del cliente.

11.2.9. Artículo 93. Identificación y autenticación (punto 3)3. Cuando el mecanismo de autenticación se base en la existencia de contraseñas,existirá un procedimiento de asignación, distribución y almacenamiento quegarantice su confidencialidad e integridad.

Como veremos posteriormente, los sistemas salvaguardan la informaciónrelativa a la contraseña para evitar que pueda ser robada. Estos mecanismos deprotección evitarán el robo de la misma, pero será necesario que los usuariosestablezcan esa contraseña de forma que sólo ellos sean conocedores de la mismapara evitar que nadie pueda usurpar sus funcionalidades si la conocen.

Con tal motivo, cuando se crea una nueva cuenta de usuario, el administradorpodrá asignarle una contraseña, pero le podrá obligar a cambiarla en el primerinicio de sesión y de esta forma establecer una que solo él conocerá. Este procedi-miento podrá también establecerse si el usuario olvida la contraseña y solicita queel administrador se la cambie, quedando siempre como objetivo principal que sea elusuario el único conocedor de la misma. También mediante los mecanismos prede-terminados del sistema, la información de las contraseñas es cifrada mediante losmecanismos de Syskey que se analizarán con posterioridad. Este mecanismo sacafuera del sistema de ficheros la clave utilizada para realizar el cifrado de las contra-señas haciendo más inaccesible esta información.

Nivel de autenticaciónde red.

166


Cuando la información viaja por la red, ésta también debe encontrarse protegi-da. Cuando estamos en el marco de un dominio y utilizamos los mecanismos deKerberos, ya vimos en el apartado anterior los mecanismos de defensa para salva-guardar dicha información, a la vez que se garantiza la integridad de los datos. Peroen función del tipo de cliente, si no tenemos un directorio activo, o se ha efectuadouna autentificación local o entre dominios donde no se ha efectuado una relación deconfianza, entonces las autentificaciones en la red vienen implementadas por elNTLMSSP (NTLM Security Support Provider). Este proveedor de seguridad pro-porciona mecanismos para el cifrado mediante desafío-respuesta y la firma digitalde mensajes haciendo uso de una firma simétrica llamada MAC (MessageAuthentication Code).

Con objeto de mantener la compatibilidad con sistemas más antiguos pero sindespreciar los avances en seguridad, el paquete NTLMSSP admite la autentificacióncon tres tipos de protocolos:

LM (Lan Manager).

NTLM.

NTLMv2.

Cada uno estos protocolos presenta diferentes mecanismos de protección enlos procesos de autentificación, siendo NTLMv2 el más robusto de los 3. En elsistema de LM no se distinguen mayúsculas de minúsculas y se puede generar unacontraseña de un máximo de 14 caracteres. NTLM supone una evolución de LMdonde se genera un hash a partir de una contraseña de un máximo de 128 caracte-res, diferenciándose entre mayúsculas y minúsculas. NTLMv2 supone una mejoraen la protección del tráfico de red frente a NTLM.

La elección y limitación de los mecanismos de autentificación para el paqueteNTLMSSP en Windows Server 2008 y Windows Vista pueden configurarse mediantelas directivas locales. Las posibilidades que nos ofrece el sistema son las siguientes:

Nivel 0. Enviar respuestas de LM y NTLM: los clientes utilizan autentica-ción LM y NTLM, y nunca usan seguridad de sesión NTLMv2; los servi-dores aceptan autenticación LM, NTLM y NTLMv2.

Nivel 1. Enviar LM y NTLM. Usar la seguridad de sesión NTLMv2 si senegocia: los clientes utilizan autenticación LM y NTLM, y seguridad desesión NTLMv2 si lo admite el servidor; los servidores aceptan autentica-ción LM, NTLM y NTLMv2.

Nivel 2. Enviar sólo respuesta NTLM: los clientes utilizan autenticaciónNTLM únicamente y seguridad de sesión NTLMv2 si lo admite el servi-dor; acepta autenticación LM, NTLM y NTLMv2.

Nivel 3. Enviar sólo respuesta NTLMv2: los clientes utilizan autenticaciónNTLMv2 únicamente y seguridad de sesión NTLMv2 si lo admite elservidor; los servidores aceptan autenticación LM, NTLM y NTLMv2.

167


Nivel 4. Enviar sólo respuestas NTLMv2 y rechazar LM: los clientesutilizan autenticación NTLMv2 únicamente y seguridad de sesiónNTLMv2 si lo admite el servidor; rechazan LM (sólo aceptan autentica-ción NTLM y NTLMv2).

Nivel 5. Enviar sólo respuestas NTLMv2 y rechazar LM y NTLM: losclientes utilizan autenticación NTLMv2 únicamente y seguridad de sesiónNTLMv2 si lo admite el servidor; rechazan LM y NTLM (sólo aceptanautenticación NTLMv2).

Evidentemente, de todas las posibles configuraciones, el Nivel 5 proporcionalos métodos más seguros, pero el uso de estos mecanismos dependerá del tipo desistema operativo que estemos utilizando. El sistema predeterminado paraWindows Vista y Windows Server 2008 es utilizar NTLMv2.

11.2.10. Artículo 93. Identificación y autentificación (punto 4)4. El documento de seguridad establecerá la periodicidad, que en ningún caso serásuperior a un año, con la que tienen que ser cambiadas las contraseñas que, mien-tras estén vigentes, se almacenarán de forma ininteligible.

Cuando planteamos como objetivo securizar un entorno empresarial, uno delos primeros aspectos que se tratan de cubrir es plantear los mecanismos necesariospara asegurar que los usuarios utilicen contraseñas, forzando a que laimplementación de la misma se base en una serie de características definidas parala empresa.

Tanto en la figura de las cuentas locales, como las cuentas de dominio, pode-mos plantear a través del establecimiento de las políticas de seguridad el estableci-miento de un patrón de seguridad para las cuentas de usuarios de la empresa.Como en otras funcionalidades, el uso del Directorio Activo reduce los costes deadministración cuando queremos establecer estos valores a un número importantede cuentas.

Estas características de las contraseñas son aplicables a nivel de las directivasde cuenta en la subcarpeta correspondiente a las directivas de contraseña: entre lascaracterísticas encontramos la longitud mínima en caracteres para la misma, laposibilidad de forzar a utilizar complejidad para la misma, y la necesidad decambiarla periódicamente a la vez que se puede establecer un tiempo mínimo antesde que pueda ser cambiada, para evitar junto al histórico de contraseña que sepueda establecer un ciclo corto de cambio de contraseña para reiterarla.

Aunque por seguridad el sistema mantiene el almacenamiento de hash paralas contraseñas, en circunstancias y por motivos de compatibilidad con las aplica-ciones que utilizan protocolos que requieren conocer la contraseña del usuario parala autenticación, será necesario activar la directiva que permite el almacenamientode contraseñas con cifrado reversible; equivale básicamente a establecer el almace-namiento de versiones de texto simple de las contraseñas. Esta directiva no debe

168


habilitarse nunca, a excepción de aquellas circunstancias para los que los requisitosde la aplicación sean más importantes que la necesidad de proteger la informaciónde las contraseñas.

Como habíamos definido con anterioridad, la información de las contraseñasquedará almacenada bien en el registro de la base de datos de la SAM cuando seestablezca una autenticación local o en los controladores de dominio cuando realice-mos la autenticación a través del Servicio de Directorio. Uno de los objetivos pri-mordiales será el establecer aquellas medidas que permitan proporcionar una líneade defensa adicional para evitar los ataques. Microsoft proporciona la utilidad Sys-key para proporcionar una seguridad mayor al almacenamiento de las contraseñas.

Contraseñas de directivade dominio.

Syskey tiene como objetivo realizar una encriptación de los datos importantesde la máquina mediante una clave denominada “startup key”. Este sistema que yaviene habilitado por defecto puede ser invocado ejecutando el comando Syskey, ynos permitirá definir en qué modo es almacenada dicha clave. Para realizar elcambio en la operación del Syskey hay que pulsar el botón de actualización, con loque nos aparece una plantilla donde podremos elegir las siguientes opciones:

Inicio con contraseña. Para este mecanismo, el sistema genera una clavealeatoria que se almacena de forma cifrada en el equipo local. Además,esta clave estará protegida por una contraseña que proporciona el admi-nistrador. Durante el arranque de la máquina se solicitará también estaclave para continuar con el proceso de arranque.

Contraseña generada por el sistema y almacenada la clave de iniciolocalmente. Se genera una clave aleatoria y se almacena una versióncifrada de la clave en el equipo local. En el inicio de la máquina no serequiere ninguna contraseña para iniciar los procesos de arranque.

Contraseña generada por el sistema y almacenada la clave de inicio enun disco. Mediante este mecanismo se genera nuevamente una clave de

169


forma aleatoria, pero es almacenada en un disco, de tal forma que no serásolicitada durante el proceso de inicio de la máquina. Si se utiliza estemecanismo, se recomienda realizar una copia de respaldo del mismo paraevitar posibles contingencias no previstas.

En caso de que el sistema protegido por contraseña o disco nos fallara por faltade ese elemento necesario para inicializar el sistema, nos quedaría la posibilidad derestaurar el registro a un estado anterior de la utilización de la protección delsistema mediante uno de esos mecanismos.

Una de las novedades significativas incorporadas en dominios nativosWindows Server 2008 es el establecimiento de granularidad para las contraseñas.Este sistema nos permite evitar una restricción existente hasta ahora, que impedíaque usuarios de un mismo dominio fueran obligados a implementar tipos decontraseñas diferenciados en función de sus características, utilización de recursos osimplemente del valor de los datos manejados.

A una empresa le podría interesar que el personal informático u otros usuarioscon privilegios administrativos tuvieran, por ejemplo, una longitud de contraseñamayor que otros usuarios de la organización. Esta posibilidad no se encontrabadisponible hasta Windows Server 2008, que a través del objeto de Configuración deContraseñas en el Directorio Activo permite esta granularidad de las contraseñas.Inicialmente, el procedimiento para establecer esta característica seguía un procesoque implicaba la creación del objeto a nivel del Editor de Objetos ADSI, aunqueactualmente ya se están desarrollando herramientas gráficas como “Specops Pass-word Policy Basic” que permiten una implementación más sencilla de la misma.

Así, todos aquellos usuarios que de una u otra forma pudieran verse afecta-dos, por una implementación de seguridad del Reglamento de Seguridad de laLOPD, podrían tener un tipo de contraseñas diferentes del resto de la empresa.

11.2.11. Artículo 94. Copias de respaldo y recuperación1. Deberán establecerse procedimientos de actuación para la realización comomínimo semanal de copias de respaldo, salvo que en dicho período no se hubieraproducido ninguna actualización de los datos.

2. Asimismo, se establecerán procedimientos para la recuperación de los datos quegaranticen en todo momento su reconstrucción en el estado en que se encontrabanal tiempo de producirse la pérdida o destrucción.

Únicamente, en el caso de que la pérdida o destrucción afectase a ficheros o trata-mientos parcialmente automatizados, y siempre que la existencia de documentaciónpermita alcanzar el objetivo al que se refiere el párrafo anterior, se deberá proceder agrabar manualmente los datos quedando constancia motivada de este hecho en eldocumento de seguridad.

3. El responsable del fichero se encargará de verificar cada seis meses la correctadefinición, funcionamiento y aplicación de los procedimientos de realización decopias de respaldo y de recuperación de los datos.

170


4. Las pruebas anteriores a la implantación o modificación de los sistemas deinformación que traten ficheros con datos de carácter personal no se realizarán condatos reales, salvo que se asegure el nivel de seguridad correspondiente al trata-miento realizado y se anote su realización en el documento de seguridad.

Si está previsto realizar pruebas con datos reales, previamente deberá haberserealizado una copia de seguridad.

Tan importante a veces es tener la información, como recuperarla en caso dedesastres, y eso es uno de los elementos que más cuida el reglamento de seguridad.Los procedimientos de copia de seguridad y restauración quedan contempladosdentro del reglamento como una de las operaciones importantes a tener en cuenta.Windows Server 2008 y Windows Vista incorporan herramientas para la realizaciónde copias de seguridad y la restauración en caso de contingencias no previstas. Parala realización tanto de las tareas de copia de seguridad como de la restauración delos datos, los usuarios deben tener los derechos correspondientes para su realiza-ción. Estos privilegios se conceden a través de las directivas asignables en losderechos de usuario. En principio, sólo los usuarios pertenecientes a los grupos deoperadores de copia, de servidor y de administradores poseen esta capacidad.Desde el punto de vista más formal en el documento trataremos el sistema de copiade seguridad implementado en Windows Server 2008, por considerar que el alma-cenamiento de datos y, por tanto, el establecimiento de la copia de seguridad seefectuarán normalmente en un sistema servidor.

Copia de seguridad.Instalación de la herra-

mienta en WindowsServer 2008.

El sistema de copia de seguridad ha sufrido una profunda reestructuración conrespecto al sistema empleado en las anteriores versiones de Windows Server. Elsistema de copia de seguridad de Windows Server 2008 proporciona mecanismosde copiado basados en bloques y volúmenes, que lo diferencian de las versionesanteriores que estaban basadas en la copia de ficheros. Esta nueva característica

171


permite una mejor integración con la funcionalidad de las Instantáneas de Volumen,que comentaremos posteriormente, y que además limita el impacto en los sistemasde almacenamiento. La desventaja, sin embargo, es que la aplicación no permite lacopia de ficheros o carpetas individuales.

Copia de seguridad.

La herramienta Copia de seguridad permite el volcado de copias sobre unida-des de disco, unidades de red y DVD, pero no admite el almacenamiento directo ensistemas de cinta. Para esto último necesitaremos alguna aplicación de terceros, quevuelque las copias de seguridad en cintas.

La herramienta de copia de seguridad está compuesta además de la propiaaplicación, de funcionalidades controlables a través de PowerShell. Ambas caracte-rísticas no vienen implementadas por defecto y requieren ser activadas en WindowsServer 2008. La consola de administración de copias de seguridad no permite lagestión de copias realizadas por NTBackup, aunque Microsoft ha desarrollado unaherramienta que se puede implementar en Windows Server 2008 para la gestión delas copias de seguridad realizadas con dicha herramienta.

http://www.microsoft.com/downloads/details.aspx?displaylang=es&FamilyID=7da725e2-8b69-4c65-afa3-2a53107d54a7

En cuanto a las tareas de administración y gestión, además de las funcionalida-des aportadas por la consola y PowerShell, se ha definido una implementaciónmediante comandos con la aplicación Wbadmin. Además de estas herramientas, laaplicación cuenta con el servicio WBengine.exe que corresponde a la función servi-dor de la herramienta, siendo las anteriores citadas los componentes clientes delservicio. La herramienta Copia de seguridad de Windows permite realizar copias deseguridad programadas o manuales. Independientemente de la opción deseada, elsistema nos permite configurar mediante un asistente el tipo de copia a realizar:

172


Volúmenes a copiar.

Para el volumen de sistema o aquellos que contengan componentes delsistema operativo, se puede implementar también la recuperación delsistema.

Destino de la copia: local o remota. El destino de la copia nunca puede serun volumen que contenga datos del sistema operativo.

Para finalizar, en opciones avanzadas nos permite determinar el sistemade Instantánea de Volumen (VSS) que queremos utilizar.

Copia de seguridad completa de VSS.

Copia de seguridad de copia de VSS. Compatible con otras herra-mientas de copia de seguridad de servicios y aplicaciones.

En todas las circunstancias, Windows Server utiliza el servicio de instantáneasde volumen. Cuando determinamos que queremos realizar una copia completa, loprimero que hace el sistema es una instantánea de todos los volúmenes. Posterior-mente, realiza la copia de los bloques del volumen, en el destino, creando unaimagen VHD (Virtual Hard Disk) de cada volumen. Este sistema de VHD es elmismo que emplean los sistemas de virtualización de Virtual Server y Virtual PC;de hecho, podrían montarse directamente en una máquina virtual.

Copia de seguridad defichero VHD.

Una vez realizada la copia completa, el sistema se basa en la generación deinstantáneas incrementales, que permite realizar un seguimiento de los bloquesdentro del volumen que han sido modificados. Puesto que el uso de copiasincrementales es más rápido pero puede impactar en el rendimiento general, nospermite establecer mecanismos de optimización de rendimiento, mediante 3 posi-

173


bles opciones relacionadas con VSS que pueden ser implementadas en función de lacarga del volumen a copiar.

Copia completa. Sistema de copia más lento pero no impacta en el rendi-miento general.

Copia incremental. El sistema de copia es más rápido pero tiene mayorimpacto en el rendimiento.

Copia personalizada. Permite determinar qué tipo de copia queremospara cada volumen de disco.

Copia de seguridad:optimización delrendimiento.

El proceso de restauración mediante esta nueva herramienta es más rápido quelos implementados anteriormente, pues al utilizar las instantáneas no es necesario quese carguen todas las copias incrementales como sucedía con la herramienta de copia deseguridad anterior. La restauración de una copia permite desde la restauración comple-ta a la restauración de un único fichero.

Para el proceso de restauración, se utiliza un asistente que nos guía en el procesode recuperación de datos. Dicho asistente consta de una serie de pasos:

En primer lugar, seleccionaremos la fecha de la copia de seguridad quequeremos utilizar para la restauración.

Determinaremos posteriormente qué deseamos restaurar: ficheros o carpetas,aplicaciones registradas con la herramienta de copia de seguridad o volúme-nes completos.

En función de la opción anterior, se establece qué elementos deseamosrecuperar.

174


Para finalizar, determinaremos el destino de la restauración, sisobrescribimos los posibles ficheros existentes, los mantenemos y sideseamos además mantener la configuración de seguridad.

Copia de seguridad:restauración.

A través de la consola de copia de seguridad de Windows, se mantienen losmensajes de estado y un histórico de procedimientos de copia de seguridad yrestauraciones, donde quedan detallados todos los elementos copiados o recupera-dos. Adicionalmente, el servicio de copia genera una serie de registros detallados enla siguiente ruta:

%systemroot%\logs\WindowsServerBackup

Aunque queda establecido para las copias de seguridad un sistema de ACL,que impide el acceso a usuarios no administradores, se puede complementarmediante un mecanismo de cifrado de carpeta a través de EFS, que impediría queun acceso de tipo Offline fuera utilizado para la recuperación de los datos almace-nados. Además de esta herramienta de copia de seguridad, Microsoft a través de lagama de productos System Center, proporciona otra herramienta para la realizaciónde copias de seguridad de ficheros y carpetas y también de diferentes serviciosMicrosoft como SQL Server, Exchange Server o SharePoint. Esta funcionalidad laaporta Data Protection Manager.

http://www.microsoft.com/spain/dpm/default.mspx

11.3.Tecnología aplicable a medidas de nivel medio

Para el establecimiento de las medidas de seguridad a datos en un nivelmedio, además de aquellas de carácter básico que hemos valorado con anterioridad,deberán disponerse otros controles adicionales. A diferencia de lo que ocurría en el

175


anterior reglamento en vigor, las medidas incluidas en este nivel son menores,principalmente porque la mayoría de requerimientos han sido ya incluidos en lasmedidas de seguridad de tipo básico.

La mayoría de las condiciones que se demandan actualmente a datos decarácter personal que afecten al tipo medio, lo constituyen medidas orgánicas y elestablecimiento de controles, mecanismos y registros de la información. Clarosejemplos de ello son los artículos 97 de Gestión de Soporte y Documentos y el 100de Registro de Incidencias. Para el flujo de dicha información, es óptima la utiliza-ción de Microsoft Office SharePoint Server 2007, como sistema de registro y almace-namiento de la información.

A continuación se comentarán aquellos mecanismos técnicos exigibles paradatos de tipo medio.

11.3.1. Artículo 98. Identificación y autenticaciónEl responsable del fichero o tratamiento establecerá un mecanismo que limite laposibilidad de intentar reiteradamente el acceso no autorizado al sistema de infor-mación.

Con objeto de evitar aquellos ataques por reintentos que pudieran dar con lacontraseña de un usuario, el sistema ofrece la posibilidad de establecer el bloqueode cuentas para evitar esta amenaza. Este mecanismo se habilita mediante directi-vas, bien con ámbito local, bien mediante políticas de grupo en un dominio deDirectorio Activo. Cuando se habilitan los bloqueos de cuenta, se decide el númerode intentos a disponer por parte del “supuesto” usuario, antes de que dicha cuentaquede bloqueada dentro de un tiempo específico, también configurable.

Directiva de bloqueode cuenta.

Una vez que la cuenta se encuentre bloqueada no se podrá acceder a ellaaunque se proceda a introducir de forma correcta la contraseña. Los mecanismos dedesbloqueo se establecerán por espacio temporal, o bien el desbloqueo deberá

176


realizarse manualmente por un administrador. A pesar de que el coste administrati-vo es más elevado cuando el desbloqueo es manual, el administrador tendrá cons-tancia de que se ha intentado un ataque por reiteración y podrá establecer otrasmedidas adicionales, enfocadas a detectar posibles usos fraudulentos de cuentas. Siel desbloqueo se produce automáticamente transcurrido un tiempo, es posible queel ataque quede disfrazado y ni el usuario propietario de la cuenta ni un adminis-trador sean conscientes con absoluta certeza de dicho intento de acceso reiterado yno autorizado.

La implementación de estas características puede realizarse mediante laaplicación de Políticas de grupo, aunque esto, como en otras circunstancias, lo haríaextensible a otros usuarios de la organización. Al igual que pasaba con aquellosaspectos referentes a los mecanismos de autentificación en Windows Server 2008para usuarios y contraseñas, ya citados en el artículo 93 de Identificación y Autenti-ficación, puede establecerse también un sistema de Granularidad que permitaafectar de forma independiente a todos los usuarios de una organización. Estopermitirá asimismo adecuar las necesidades de implementación de defensa frente aataques reiterados, en función de las diferentes características de los usuarios uorganizativas que pudiera determinar la empresa.

Cabe destacar que aunque el bloqueo de cuentas se establece como un meca-nismo para el cumplimiento de este articulado, la agencia no nos limita al usoexclusivo de este mecanismo, sino que permite el uso de otros, siempre que impi-dan los intentos reiterados.

En entornos web pueden implementarse procedimientos que sin llegar anecesitar el bloqueo de las cuentas (cuestión importante en caso de acceso externo,para evitar otro tipo de ataque que pudiera conllevar a una denegación del servi-cio), pueden imponerse criterios automatizados para el filtrado de direcciones IP osesiones en caso de la existencia de un ataque por reiteración, como es el empleadopor las técnicas de fuerza bruta, para la obtención de cuentas y contraseñas con lasque acceder a la organización.

Aunque no se cita en el presente articulado, debemos considerar la necesidadde considerar esta amenaza de forma global. Aunque un servicio que presta unmecanismo de acceso a datos de tipo medio o alto pudiera estar securizado frente aataques por reiteración, las cuentas podrían encontrarse en situación de riesgo encaso de que otro servicio, aunque no estuviera relacionado con datos de carácterpersonal pero que sí fuera utilizado por las mismas cuentas, no se encontraseprotegido frente a ataques de fuerza bruta. La seguridad de los datos de carácterpersonal, aunque de forma indirecta, pueden ser accesibles a personas ajenas a laorganización.

11.4.Tecnología aplicable a medidas de nivel altoDentro de las tecnologías para la adopción de medidas de seguridad, éstas son

lógicamente las que exigen un mayor esfuerzo por parte del personal de TI y lasque pueden llevar un mayor coste de administración y de implantación. Aunque

177


algunas medidas como las de la auditoría ya fueron comentadas con anterioridadcomo una posibilidad de control, es ahora cuando se apliquen las medidas de nivelalto cuando es exigible su aplicación.

11.4.1. Artículo 101. Gestión y distribución de soportes1. La identificación de los soportes se deberá realizar utilizando sistemas de etique-tado comprensibles y con significado que permitan a los usuarios con accesoautorizado a los citados soportes y documentos identificar su contenido, y quedificulten la identificación para el resto de personas.

2. La distribución de los soportes que contengan datos de carácter personal serealizará cifrando dichos datos o bien utilizando otro mecanismo que garantice quedicha información no sea accesible o manipulada durante su transporte.

Asimismo, se cifrarán los datos que contengan los dispositivos portátiles cuandoéstos se encuentren fuera de las instalaciones que están bajo el control del responsa-ble del fichero.

3. Deberá evitarse el tratamiento de datos de carácter personal en dispositivosportátiles que no permitan su cifrado. En caso de que sea estrictamente necesario, sehará constar motivadamente en el documento de seguridad y se adoptarán medidasque tengan en cuenta los riesgos de realizar tratamientos en entornosdesprotegidos.

Unificando los clásicos mecanismos de EFS para el cifrado de ficheros ensoportes que admitan el sistema de ficheros NTFS y la tecnología IRM en documen-tos de Office y correo electrónico podremos asegurar que esta información seainteligible una vez que ha salido de nuestros sistemas. A estos mecanismos hay quesumarles el sistema Bitlocker ya mencionado anteriormente, que garantizará elcifrado de disco en sistemas, tanto para Windows Vista como para Windows Server2008, garantizando la máxima confidencialidad de la información.

Adicionalmente, en los sistemas de correo podremos utilizar los mecanismosde S-Mime para el cifrado y la firma del correo electrónico.

También Office presenta los mecanismos necesarios, para que a través de laficha de seguridad podamos establecer el cifrado de los documentos mediantecualquier proveedor CriptoApi que se encuentre instalado en el sistema, pudiendopara los diferentes tipos de proveedores especificar la longitud de la clave y siquedan cifradas también las propiedades del documento.

11.4.2. Artículo 102. Copias de respaldo y recuperaciónDeberá conservarse una copia de respaldo de los datos y de los procedimientos derecuperación de los mismos en un lugar diferente de aquel en que se encuentren losequipos informáticos que los tratan, que deberá cumplir en todo caso las medidas deseguridad exigidas en este título, o utilizando elementos que garanticen la integri-dad y recuperación de la información, de forma que sea posible su recuperación.

178


Como ya vimos anteriormente, los mecanismos de copia de seguridad permi-ten realizar copias de seguridad sobre diferentes medios, permitiendo laportabilidad de los mismos que a su vez podrán se protegidos mediante los meca-nismos de implementación de EFS o Bitlocker.

11.4.3. Artículo 103. Registro de accesos1. De cada intento de acceso se guardarán, como mínimo, la identificación delusuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y siha sido autorizado o denegado.

2. En el caso de que el acceso haya sido autorizado, será preciso guardar la informa-ción que permita identificar el registro accedido.

3. Los mecanismos que permiten el registro de accesos estarán bajo el controldirecto del responsable de seguridad competente sin que deban permitir ladesactivación ni la manipulación de los mismos.

4. El período mínimo de conservación de los datos registrados será de dos años.

5. El responsable de seguridad se encargará de revisar al menos una vez al mes lainformación de control registrada y elaborará un informe de las revisiones realiza-das y los problemas detectados.

6. No será necesario el registro de accesos definido en este artículo en caso de queconcurran las siguientes circunstancias:

a) Que el responsable del fichero o del tratamiento sea una persona física.

b) Que el responsable del fichero o del tratamiento garantice que únicamente éltiene acceso y trata los datos personales.

La concurrencia de las dos circunstancias a las que se refiere el apartado anteriordeberá hacerse constar expresamente en el documento de seguridad.

Para la aplicación de los mecanismos de auditoría, las empresas deben serconscientes de que tal registro debe ser observado tanto en un nivel informáticocomo en la documentación no informatizada. Tanto Windows Server 2008 comoWindows Vista garantizan medidas de auditorías para elementos únicamenteinformáticos; por tanto, debería preverse la necesidad de plantear otro sistemaadicional para los elementos no informatizados.

Tanto Windows Server 2008 como Windows Vista poseen un potente sistemade registro de información asociable a diferentes auditorías que deben contemplarsepara el cumplimiento de la norma. Aunque la norma no establece cuál debe ser elnivel de registro para todos los posibles sucesos que pueden repercutir en la infor-mación de tipo personal, sí lo hace para los niveles más restrictivos.

Además de los sistemas de auditoría e información recogida de los diferentestipos de eventos relativos al registro de Windows accesibles a través del Visor desucesos, tanto Windows Vista como Windows Server 2008 ofrecen otro potentesistema de registro de aplicaciones y servicios que proporcionan información

179


adicional para la resolución de incidencias. Aspectos tan importantes como elestado del Kernell, servicios como UAC o Terminal Services, pueden ser controla-dos a través de estos registros.

El establecimiento de estas auditorías lo llevamos a efecto nuevamente me-diante las directivas de seguridad, pudiendo realizarse tanto a nivel local como anivel de dominio. El resultado final de estas auditorías quedará registrado en logsaccesibles mediante la herramienta Visor de sucesos que acompaña a ambos siste-mas operativos. Es necesario indicar que cada máquina tendrá constancia de lossucesos que le corresponden. Por ejemplo, si estamos interesados en conocer posi-bles inicios de sesión erróneos de determinados usuarios del dominio, dicha infor-mación quedará registrada en los controladores y no en las máquinas locales,puesto que la autentificación en el dominio se realiza ante la base de datos delmismo situada en los mencionados controladores.

Ante la necesidad de auditar alguna acción, se nos ofrecen dos posibilidades:auditorías correctas y auditorías erróneas.

Una auditoría correcta es aquella que emite resultados satisfactorioscuando se han cumplido todas las condiciones para que el hecho sepudiera dar. Por ejemplo, un usuario que inicia una sesión utiliza correcta-mente el usuario para el inicio de la sesión y su contraseña correspondien-te, o cuando un usuario modifica un fichero porque tiene los permisoscorrespondientes para poder hacerlo.

Una auditoría errónea es aquella que emite resultados cuando no se danlas condiciones establecidas. Siguiendo los ejemplos anteriores, cuando lacontraseña o el nombre de inicio de sesión no son los correctos y el sistemanos deniega el inicio de sesión, se habrá producido una auditoría errónea,o cuando el usuario intenta modificar un fichero y no tiene la posibilidadde hacerlo al no disponer de los permisos correspondientes, se produciránuevamente una auditoría errónea.

Windows Server 2008 y Windows Vista incorporan el nuevo sistema de even-tos, Windows Eventing 6.0, que permite una mejora para la gestión de eventos deseguridad y establecer mecanismo de correlación para los mismos. Entre los ele-mentos destacados, Windows Eventing presenta una nueva consola, que permite lageneración de vistas personalizadas y un texto descriptivo mejorado.

El sistema de Windows Eventing 6.0 basa su funcionalidad en un motor deXML, lo que permite una mayor escalabilidad y accesibilidad. Almacenar la infor-mación en formato XML permite que soluciones particulares puedan acceder adicha información aprovechando las características y potencia del sistema en XML.Otra de las características que otorgan una potencia mayor al servicio consiste en lacapacidad de establecer asociaciones administrativas frente a eventos específicos.Esto nos permite disponer de un sistema reactivo ante determinados tipos deincidencias. El sistema que permite estos desencadenadores es una integración delServicio Recopilador de Eventos y el nuevo sistema del Programador de tareas.

180


A través del nuevo asistente contextual para cualquier evento generado en el Visorde sucesos, se permite iniciar un programa, enviar un correo electrónico o generarun mensaje, cuando se da un tipo de evento específico.

Cuando establecemos auditorías a través de directivas, se especifican una seriede categorías para determinar diferentes evaluadores en lo referente a la seguridad,de tal forma que debemos plantear si necesitamos o no habilitar las auditoríascorrectas y erróneas para cada una de las circunstancias que se pudiesen producir.Tanto Windows Server 2008 como Windows Vista presentan las siguientes catego-rías para establecer registros:

Inicio de sesión.

Inicio de sesión de cuenta.

Administración de cuentas.

Acceso a objetos.

Accesos del servicio de directorio.

Usos de privilegios.

Seguimiento de procesos.

Sucesos del sistema.

Cambio de directivas.

Auditoría política.

Un problema frecuente que planteaban las auditorías de los sistemasoperativos anteriores a Windows Vista, es que las nueve categorías que puedenhabilitarse respecto de los sistemas de control establecían condiciones genéricas a

181


elementos aglutinados, no permitiendo realizar auditorías de elementos específicos.Por ejemplo, cuando establecíamos una auditoría para los eventos de inicio desesión, no podía establecerse una diferenciación entre el inicio o el cierre de sesión,estando obligados a auditar ambas subcategorías.

Para los sistemas operativos actuales, se establece una nueva funcionalidad:las directivas de auditoría granular (GAP), de tal forma que pueden habilitarse odeshabilitarse diferentes subcategorías, para los elementos principales de auditoría.Este sistema permite sobre todo filtrar la información importante de la que no lo espara la empresa, limitando la cantidad de información recibida a la estrictamentenecesaria.

Las diferente subcategorías en las que han quedado definidas las categoríasprincipales son:

Sistema.

Cambio de estado de seguridad.

Extensión del sistema de seguridad.

Integridad del sistema.

Controlador IPsec.

Otros eventos del sistema.

Inicio/cierre de sesión.

Inicio de sesión.

Cierre de sesión.

Bloqueo de cuenta.

Modo principal de IPsec.

Modo rápido de IPsec.

Modo extendido de IPsec.

Inicio de sesión especial.

Otros eventos de inicio y cierre de sesión.

Servidor de directivas de redes.

Acceso de objetos.

Sistema de archivos.

Registro.

Objeto de kernel.

SAM.

Servicios de certificación.

182


Aplicación generada.

Manipulación de identificadores.

Recurso compartido de archivos.

Filtrado de paquetes.

Filtrados de conexión.

Otros eventos de acceso a objetos.

Uso de privilegios.

Uso de privilegio confidencial.

Uso de privilegio no confidencial.

Otros eventos de uso de privilegio.

Seguimiento detallado.

Creación del proceso.

Finalización del proceso.

Actividad DPAPI.

Eventos de RPC.

Cambio de plan.

Cambio en la directiva de auditoría.

Cambio de la directiva de autenticación.

Cambio de la directiva de autorización.

Cambio de la directiva del nivel de reglas de MPSSVC.

Cambio de la directiva de Filtering Platform.

Otros eventos de cambio de directivas.

Administración de cuentas.

Administración de cuentas de usuario.

Administración de cuentas de equipo.

Administración de grupos de seguridad.

Administración de grupos de distribución.

Administración de grupos de aplicaciones.

Otros eventos de administración de cuentas.

Acceso Servicio de Directorio.

Acceso del servicio de directorio.

183


Cambios de servicio de directorio.

Replicación de servicio de directorio.

Replicación de servicio de directorio detallada.

Inicio de sesión de la cuenta.

Validación de credenciales.

Operaciones de vales de servicio Kerberos.

Otros eventos de inicio de sesión de cuentas.

Servicio de autenticación Kerberos.

El control de las categorías y las auditorías que se activarán o no se realiza através de la aplicación auditpol.exe, ejecutada a través del símbolo del sistema conprivilegios administrativos. Entre otras posibilidades, la herramienta permiterealizar una copia de seguridad de la directiva de auditoría, así como una recupera-ción posterior en caso de una manipulación incorrecta de los parámetros asignables.En el caso de querer vaciar la configuración de directivas de la auditoría predeter-minada se utilizará la siguiente sentencia:

Auditpol /clear

Para habilitar una auditoría o deshabilitarla se utilizará esta otra sentencia:

Auditpol /set /subcategory:”subcategoría” /success:enable /failure:enable

En el caso de querer establecer una acción que implemente los mecanismos degestión de auditorías, basados en categorías y subcategorías, en dominios existentesde Windows 2000 y Windows 2003, Microsoft ha generado un procedimiento quepuede consultarse a través de la siguiente dirección:

http://support.microsoft.com/kb/921469/

Auditoría de fichero.

184


A continuación pasaremos a detallar los diferentes tipos de identificadores y sucorrespondencia con cada una de las categorías.

11.4.3.1. Eventos de inicio de sesiónEl resultado de auditar este evento tiene como objetivo determinar cuándo una

instancia de un inicio o cierre de sesión se ha establecido en un equipo determinado.Existe una diferencia importante entre este tipo de eventos con los que veremosposteriormente referidos al inicio de sesión de cuenta. Los eventos de sesión decuenta establecen los sucesos de cuentas para el dominio, quedando reflejados enlos controladores de dominio. Por tanto, si tenemos habilitadas ambas categorías,cuando un usuario establezca un inicio de sesión, quedará registrado como unevento de inicio de sesión en la máquina local, y como un inicio de sesión de cuentaen los controladores de dominio. Cuando se establece la auditoría tanto a nivelcorrecto como erróneo, se generan una serie de identificadores que determinan laacción bajo la que queda establecida la auditoría. Se detallan a continuación todoslos sucesos agrupados por las subcategorías correspondientes.

Auditoría de evento deinicio de sesión y cuenta.

Categoría: Inicio/Cierre

Subcategoría: Bloqueo de cuentas

4625 Una cuenta falló al iniciar sesión.

Subcategoría: Modo extendido IPsec

4978 Durante negociación del Modo Extendido, IPsec recibió un paquete denegociación no válida.

4979 Se estableció una asociación de seguridad del Modo principal de IPsecy del Modo Extendido.

185





4983 Una negociación Modo Extendido de IPsec falló. Se ha eliminado laasociación de seguridad correspondiente del modo principal.

4984 Una negociación Modo Extendido de IPsec falló. Se ha eliminado laasociación de seguridad correspondiente del modo principal.

Subcategoría: Modo principal de IPsec

4646 Modo iniciado IKE DoS-prevention.

4650 Se estableció una asociación de seguridad Modo principal de IPsec. Elmodo extendido no está habilitado. No se utilizó la autenticación decertificados.

4651 Se estableció una asociación de seguridad del Modo principal de IPsec.El modo extendido no está habilitado. Un certificado se utilizó para laautenticación.

4652 Una negociación del Modo principal de IPsec falló.

4653 Una negociación del Modo principal de IPsec falló.

4655 Una asociación de seguridad del Modo principal de IPsec finalizó.

4976 Durante la negociación del modo principal, IPsec recibió un paquete denegociación no válido.

5049 Se eliminó un Asociación de seguridad de IPsec.

5453 Una negociación IPsec con un equipo remoto fracasó porque no seinicia el servicio IKE y los Módulos de IPsec de AuthIP (IKEEXT).

Subcategoría: Modo Rápido de IPsec

4654 Una negociación Modo rápido de IPsec falló.

4977 Durante la negociación de Modo rápido, IPsec recibió un paquete denegociación no válida.

5451 Se estableció una asociación de seguridad Modo rápido de IPsec.

5452 Una asociación de seguridad Modo rápido de IPsec finalizó.

Subcategoría: Cierre de sesión

4634 Se cerró la sesión de una cuenta.

4647 Un usuario inició el cierre de sesión.

186


Subcategoría: Inicio de sesión

4624 Una cuenta inició una sesión correctamente.

4625 Una cuenta falló al iniciar sesión.

4648 Se intentó un inicio de sesión utilizando credenciales explícitas.

4675 Se filtró el SID.

Subcategoría: Servidor de red de directiva

6272 Servidor de Directiva de red concedió acceso a un usuario.

6273 Servidor de Directiva de red denegó acceso a un usuario.

6274 Servidor de Directiva de red descartó la solicitud para un usuario.

6275 Servidor de Directiva de red descartó la solicitud de administración decuentas para un usuario.

6276 Servidor de Directiva de red puso un usuario en cuarentena.

6277 Servidor de Directiva de red concedió acceso a un usuario pero locolocó en pruebas porque el host no cumplió con la directiva de estadodefinido.

6278 Servidor de Directiva de red concedió acceso total a un usuario porqueel host cumplió la directiva de estado definido.

6279 Servidor de Directiva de red bloqueó la cuenta de usuario debido aintentos de error repetidos de autenticación.

6280 Servidor de Directiva de red desbloqueó la cuenta de usuario.

Los eventos de la subcategoría Servidor de Directiva de Red están disponiblessolamente para Windows Vista Service Pack 1 y Windows Server 2008.

Subcategoría: Otros eventos Inicio/Cierre

4649 Se detectó un ataque de reiteración.

4778 Se volvió a conectar una sesión de Windows.

4779 Se desconectó una sesión de Windows.

4800 Se bloqueó la estación de trabajo.

4801 Se desbloqueó la estación de trabajo.

4802 Se llamó al protector de pantalla.

4803 Se canceló el protector de pantalla.

5378 La delegación de credenciales solicitadas no fue permitida por directiva.

5632 Se realizó una solicitud autenticada en una red inalámbrica.

5633 Se realizó una solicitud que autentica una red cableada.

187


Subcategoría: Inicio de sesión especial

4964 Los grupos especiales se han asignado a un inicio de sesión nuevo.

Los identificadores anteriores nos van a permitir visualizar diferentes circuns-tancias, como pueden ser intentos de acceso no autorizados con cuentas de usuariosque pueden no encontrarse en la empresa o se encuentran en desuso, intentos devalidación con la cuenta de administrador, o accesos a recursos de red no autoriza-dos. También pueden determinarse otras posibles restricciones como intentos deconexión en equipos no autorizados o restricciones horarias. También cobra impor-tancia en lo relacionado con los ataques por reiteración, contra los que es necesarioimplementar a partir del nivel medio todos los eventos relacionados con este tema através de la Subcategoría: Servidor de red de directiva, además de la correspondien-te a la Subcategoría: bloqueo de cuentas. Determinados eventos, como los relaciona-dos con IPSEC, será solo necesario habilitarlos en caso de utilizarlo para el cifradode las comunicaciones.

En el caso de uso de conectividad inalámbrica también es importante laidentificación de determinados eventos que podemos encontrar en la Subcategoría:Otros eventos Inicio/Cierre.

11.4.3.2. Eventos de inicio de sesión de cuenta

Estos identificadores establecen las instancias de inicio o cierre de sesión decuenta en otro equipo distinto del utilizado para validar la cuenta. Cuando unusuario establece una validación en un dominio, se genera un evento de inicio desesión de cuenta en un controlador de dominio.

En el caso de que se quiera establecer un control global de los inicios de sesiónde cuenta, procederemos a la visualización de los identificadores de sesión de lasauditorías de todos los controladores de dominio, ya que la autentificación de unacuenta de dominio se puede haber realizado en cualquiera de ellos.

Adicionalmente, el sistema nos reportará todos aquellos sucesos relacionadoscon la autentificación tipo Kerberos, mostrando aquellos sucesos críticos relaciona-dos con este servicio para la autentificación y gestión de credenciales en un dominioWindows Server 2008.

Subcategoría: Validación de credenciales

4774 Una cuenta se asignó para inicio de sesión.

4775 Una cuenta no se puede asignar para inicio de sesión.

4776 El controlador intentó validar las credenciales de una cuenta.

4777 El controlador de dominio no puede validar las credenciales de unacuenta.

Subcategoría: Servicio de autenticación Kerberos

4768 Se solicitó un ticket (TGT) de autenticación Kerberos.

188


4771 La preautenticación Kerberos falló.

4772 Una solicitud de ticket de autenticación Kerberos produjo un error.

Subcategoría: Kerberos atiende operaciones de Tickets

4769 Se solicitó un Ticket de servicio Kerberos.

4770 Se renovó un Ticket de servicio Kerberos.

Estos sucesos, al igual que ocurre con los de inicios de sesión, pueden indicarintentos de acceso no autorizados en el dominio y los controles en los servicios determinal.

También se pueden indicar desajustes horarios de más de cinco minutos (valorpredeterminado) entre las estaciones clientes y los controladores de dominio. Esnecesario controlar especialmente los eventos 4774 y 4771 que indicarán los sucesoscorrectos y erróneos de autentificación en el dominio.

11.4.3.3. Eventos de administración de cuenta

Cuando se establece una auditoria es importante saber quién está realizandocambios en los planes de cuenta con objeto de determinar posibles eliminaciones dehuellas ante posibles ataques, cambios en la pertenencia de grupos de seguridad ouso indebido de credenciales de tipo administrativo. Aunque específicamente elreglamento de seguridad no establece la obligatoriedad de realizar este control decuentas, el uso de las buenas prácticas y la necesidad de controlar el acceso acuentas críticas, hacen recomendables la activación de este mecanismo de auditoría.Los siguientes eventos identifican cambios en las cuentas de usuarios, grupos yequipos, así como posibles bloqueos.

Subcategoría: Aplicación Administración de Grupo

4783 Se creó un grupo de aplicación básica.

4784 Se cambió un grupo de aplicación básica.

4785 Un miembro se agregó a un grupo de aplicación básica.

4786 Un miembro se quitó de un grupo de aplicación básica.

4787 Un no-miembro se agregó a un grupo de aplicación básica.

4788 Un no-miembro se quitó de un grupo de aplicación básica.

4789 Se eliminó un grupo de aplicación básica.

4790 Se creó un grupo de consulta LDAP.

Subcategoría: Administrar cuenta de equipo

4742 Se modificó una cuenta de equipo.

4743 Se eliminó una cuenta de equipo.

189


Subcategoría: Administración de grupo de distribución

4744 Se creó un grupo local con seguridad deshabilitada.

4745 Se cambió un grupo local con seguridad deshabilitada.

4746 Un miembro se agregó a un grupo local con seguridad deshabilitada.

4747 Un miembro se quitó de un grupo local con seguridad deshabilitada.

4748 Se eliminó un grupo local con seguridad deshabilitada.

4749 Se creó un grupo global con seguridad deshabilitada.

4750 Se cambió un grupo global con seguridad deshabilitada.

4751 Un miembro se agregó a un grupo global con seguridad deshabilitada.

4752 Un miembro se quitó de un grupo global con seguridad deshabilitada.

4753 Se eliminó un grupo global con seguridad deshabilitada.

4759 Se creó un grupo universal con seguridad deshabilitada.

4760 Se cambió un grupo universal con seguridad deshabilitada.

4761 Un miembro se agregó a un grupo universal con seguridaddeshabilitada.

4762 Un miembro se quitó de un grupo universal con seguridaddeshabilitada.

Subcategoría: Otros sucesos de administración de cuentas

4739 Se cambió Directiva de dominio.

4782 Se tuvo acceso al hash de contraseña de una cuenta.

4793 Se llamó a la API Comprobar de Directiva de contraseñas.

Subcategoría: Administración de grupo de seguridad

4727 Se creó un grupo global con seguridad habilitada.

4728 Un miembro se agregó a un grupo global con seguridad habilitada.

4729 Un miembro se quitó de un grupo global con seguridad habilitada.

4730 Se eliminó un grupo global con seguridad habilitada.

4731 Se creó un grupo local con seguridad habilitada.

4732 Un miembro se agregó a un grupo local con seguridad habilitada.

4733 Un miembro se quitó de un grupo local con seguridad habilitada.

4734 Se eliminó un grupo local con seguridad habilitada.

4735 Se cambió un grupo local con seguridad habilitada.

4737 Se cambió un grupo global con seguridad habilitada.

190


4754 Se creó un grupo universal con seguridad habilitada.

4755 Se cambió un grupo universal con seguridad habilitada.

4756 Un miembro se agregó a un grupo universal con seguridad habilitada.

4757 Un miembro se quitó de un grupo universal con seguridad habilitada.

4758 Se eliminó un grupo universal con seguridad habilitada.

4764 Se cambió un tipo groupÆs.

Subcategoría: Administración de cuentas de usuario

4720 Se creó una cuenta de usuario.

4722 Una cuenta de usuario se ha habilitado.

4723 Se intentó cambiar la contraseña de una cuenta.

4724 Se intentó restablecer la contraseña de una cuenta.

4725 Una cuenta de usuario se ha deshabilitado.

4726 Se eliminó una cuenta de usuario.

4738 Se cambió una cuenta de usuario.

4740 Se bloqueó una cuenta de usuario.

4765 Se agregó Historial SID a una cuenta.

4766 Al intentar agregar un Historial SID a una cuenta se produjo un error.

4767 Se desbloqueó una cuenta de usuario.

4780 La ACL se estableció en cuentas que son los miembros de grupo deadministradores.

4781 Se cambió el nombre de una cuenta:

4794 Se intentó establecer al Modo de restauración de servicios de directorio.

5376 Se modificaron las credenciales de Administrador de credenciales.

5377 Las credenciales de Administrador de credenciales se restauraron apartir de una copia de seguridad.

A través de estos identificadores, procederemos a controlar los cambios en lascuentas (contraseñas, pertenencias a grupos, eliminación de las mismas, etc.). Porotro lado, también sería aconsejable no olvidar los posibles bloqueos de cuenta quepudieran identificar intentos de prueba-fallo sobre las cuentas de dominio, comoposibles intentos para hacerse con cuentas de usuario o elevar privilegios adminis-trativos a una cuenta para realizar operaciones, enmascaradas bajo cuentas noprivilegiadas. Los usos indebidos de cuenta pueden ser descubiertos bajo procedi-mientos como los que resultan de habilitar una cuenta deshabilitada, establecer unanueva contraseña para la misma, realizar posteriormente una validación con lamisma y finalmente volver a deshabilitar la cuenta.

191


Son especialmente importantes en este sentido tanto la Subcategoría: Adminis-trar grupo de seguridad, como la Subcategoría: Administración de cuentas deusuario. La primera es crítica, puesto que muchas empresas basarán la administra-ción para el acceso a objetos relacionados con Datos de Carácter Personal, en unsistema de grupos y membresía. De esta manera podremos controlar si algúnusuario es agregado o eliminado de un grupo que disponga de acceso a datosaunque originalmente no era así. En el caso de la administración de cuentas estodavía más obvia, ya que aquí radica el control de las cuentas con privilegios deaccesos importantes para una organización.

11.4.3.4. Eventos de acceso a objetos

El sistema habilita mediante la auditoría de acceso a objetos la posibilidad desupervisar cuándo se produce un acceso a un objeto del sistema siempre y cuandose tengan habilitadas las Listas de control de acceso al sistema (SACL). Antes dehaber habilitado las SACL, se necesita que previamente se hayan habilitado lasauditorías sobre los accesos a objetos. Este sistema de control queda encuadradodentro de las clases del espacio de nombres System.Security.AccessControl que nosvan a permitir, mediante programación, establecer las listas de control de accesodiscrecionales (DACL), los accesos a recursos mediante permisos, y las SACL, queestablecen las auditorías del sistema.

Estos controles deben ser considerados como un tema crítico a tratar, ya quenos van a servir para poder controlar los procedimientos de trabajo realizados sobreficheros, carpetas, impresoras, registro, el servicio de certificados o el directorioactivo, pudiendo así poder determinar quién realiza una acción determinada, de talforma que, cuando un usuario acceda a un objeto que tiene asociada una SACL segenere una auditoría correcta, y si el usuario no logra tener acceso al objeto segenere una auditoría errónea.

Auditoría de manipuladorde objeto; apertura yacceso.

192


En este sentido es muy importante determinar qué tipos de acceso deben serauditados, puesto que en muchas circunstancias unos llevan implícitos a otros,aunque cada uno de ellos generará sus propios eventos con lo que emitirá demasia-da información, que en la mayor parte de circunstancias será superflua. Observadosdesde el punto de vista de registro de la información se deberían auditar para elacceso a carpetas y ficheros los siguientes elementos a través de las SACL asociadas:

Recorrer carpeta / Ejecutar archivos.

Crear archivos / Escribir datos.

Eliminar subcarpetas y archivos.

Eliminar.

Cambiar permisos.

Tomar posesión.

Los dos últimos elementos de la auditoría no constituyen una exigencia desdeel punto de vista del reglamento de seguridad, pero proporcionan una ayudaadministrativa importante enfocada a evitar cambios en los planes de seguridadplanteados por la organización. El resultado de las diferentes auditorías quedaráreflejado en el Visor de sucesos a través de los siguientes identificadores.

Auditoría del evento deeliminación de fichero.

Estos mecanismos de control van a permitirnos también determinar qué es loque sucede con los objetos del Directorio Activo. Cada objeto del Directorio Activolleva también asociada una SACL que puede ser controlada desde las propiedadesavanzadas de seguridad de los objetos. Lo único que hay que tener presente es quedeterminados objetos pueden generar un volumen tal de datos normales de control,que podrían llegar a enmascarar sucesos realmente importantes.

193


Subcategoría: Aplicación generada

4665 Se intentó crear un contexto de aplicaciones cliente.

4666 Una aplicación intentó una operación.

4667 Se eliminó un contexto de aplicaciones cliente.

4668 Se inicializó una aplicación.

Subcategoría: Servicios de certificación

4868 El administrador de certificados denegó una petición de certificadopendiente.

4869 El Servicio de Certificados recibió una solicitud de certificado reenvia-da.

4870 El Servicio de Certificados revocó un certificado.

4871 El Servicio de Certificados recibió una solicitud para publicar la listade revocaciones de certificados (CRL).

4872 El Servicio de Certificados publicó la lista de revocaciones de certifica-dos (CRL).

4873 Se cambió una extensión de solicitud de certificado.

4874 Uno o más atributos de solicitud de certificado cambió.

4875 El Servicio de Certificados recibió una solicitud para cerrarse.

4876 Se inició una copia de seguridad del Servicio de Certificados.

4877 Copia de seguridad completada del Servicio de Certificados.

4878 Se inició la restauración del Servicio de Certificados.

4879 Restauración completada del Servicio de Certificados.

4880 Se inició el Servicio de Certificados.

4881 Se detuvo el Servicio de Certificados.

4882 Se cambiaron los permisos de seguridad para el Servicio de Certifica-dos.

4883 El Servicio de Certificados recuperó una clave archivada.

4884 El Servicio de Certificados importó un certificado en su base de datos.

4885 Se cambió el filtro de auditoría para el Servicio de Certificados.

4886 El Servicio de Certificados recibió una solicitud de certificado.

4887 El Servicio de Certificados aprobó una solicitud de certificado y emitióun certificado.

4888 El Servicio de Certificados denegó una petición de certificado.

194


4889 El Servicio de Certificados estableció el estado de una solicitud decertificado a pendiente.

4890 Las configuraciones de administrador de certificados para el Serviciode Certificados cambiaron.

4891 Una entrada de configuración se cambió en el Servicio de Certificados.

4892 Una propiedad en el Servicio de Certificados cambió.

4893 El Servicio de Certificados archivó una clave.

4894 El Servicio de Certificados importó y archivó una clave.

4895 El Servicio de Certificados publicó el certificado de entidad emisora enel Servicio de Dominios de Directorio Activo.

4896 Una o más filas se han eliminado de la base de datos de certificados.

4897 Habilitada la separación de funciones.

4898 El Servicio de Certificados cargó una plantilla.

Subcategoría: Compartido de archivos5140 Se tuvo acceso a un objeto de recurso compartido de red.

Subcategoría: Sistema de archivos4664 Se intentó crear un vínculo fuerte.

4985 El estado de una transacción ha cambiado.

5051 Un archivo fue virtualizado.

Subcategoría: Filtrado de conexión

5031 El servicio Servidor de seguridad de Windows bloqueó una aplicaciónpara no aceptar conexiones entrantes en la red.

5154 El Firewall de Windows ha permitido conexiones entrantes a unaaplicación o a un servicio.

5155 El Firewall de Windows ha bloqueado a una aplicación o a un servicio.

5156 El Firewall de Windows ha permitido una conexión.

5157 El Firewall de Windows ha bloqueado una conexión.

5158 El Firewall de Windows ha permitido un enlace a un puerto local.

5159 El Firewall de Windows ha bloqueado un enlace a un puerto local.

Subcategoría: Filtrado de paquetes5152 El Firewall de Windows bloqueó un paquete.

5153 Un filtro más restrictivo del Firewall de Windows ha bloqueado unpaquete.

195


Subcategoría: Manipulación de identificadores

4656 Se solicitó un identificador de un objeto.

4658 Se cerró el identificador de un objeto.

4690 Se realizó un intento que duplica un identificador de un objeto.

Subcategoría: Otros eventos de acceso a objetos

4671 Una aplicación intentó obtener acceso a un ordinal bloqueado a travésdel TBS.

4691 Se solicitó el acceso indirecto a un objeto.

4698 Se creó una tarea programada.

4699 Se eliminó una tarea programada.

4700 Una tarea programada se ha habilitado.

4701 Una tarea programada se ha deshabilitado.

4702 Se actualizó una tarea programada.

5888 Se modificó un objeto en el catálogo COM+.

5889 Se eliminó un objeto del catálogo COM+.

5890 Un objeto se agregó al catálogo COM+.

Subcategoría: Registro

4657 Se modificó un valor de Registro.

5039 Una clave de Registro fue virtualizada.

Subcategoría: Subcategoría de uso especial múltiple

4659 Se solicitó un identificador de un objeto con intención para eliminar.

4660 Se eliminó un objeto.

4661 Se solicitó un identificador de un objeto.

4663 Se intentó que se tenga el acceso a un objeto.

El control de ficheros y carpetas en una organización que pueda manejar datoscríticos consignados como de tipo alto reviste de una gran importancia, por lo quepara los sucesos que se relacionen con los mismos debe prestarse una gran atención.En este sentido es importante conocer cómo Windows Vista y Windows Server 2008nos indican a través del Visor de sucesos la información relativa a sucesos con losobjetos implicados.

Tienen para ello especial significación todos los eventos relacionados con laSubcategoría: Manipulación de identificadores, que indica el inicio de un procesosobre un fichero o carpeta, así como su finalización.

196


Entre ambos procesos se realizan una serie de eventos relacionados con laeliminación, escritura, etc. Aunque significativamente estos últimos eventos son losque revelan las acciones realizadas, nos encontramos con las circunstancias que norevelan el fichero o carpeta sujeta a la acción, sino la aplicación que ha llevado aefecto dicho procedimiento (generalmente la utilidad explorer.exe). Es por eso queserá necesario correlacionar a través del mismo identificador el proceso que abre elevento y la acción realizada, así como conocer cuándo se cierra el evento y, portanto, queda libre el identificador para poder ser utilizado posteriormente paraotros procesos.

El valor, por tanto, que es necesario controlar a través de estos eventos es el Id.de identificador que correlacionará un mismo proceso. En caso de utilizar unaherramienta para la consolidación de logs, será necesario utilizar reglas de correla-ción para un seguimiento correcto de la información.

11.4.3.5. Eventos de uso de privilegios

Con el fin de realizar operaciones, los usuarios tienen concedidos una serie dederechos y privilegios para poder interactuar con el sistema. Los siguientes eventosrelacionan cuándo se ha utilizado o se ha intentado utilizar un privilegio

Subcategoría: Uso de privilegios confidencial.

4672 Los privilegios especificados se agregaron a un token de acceso delusuario. Este suceso se genera cuando un usuario inicia una sesión.

4673 Se ha utilizado un privilegio sobre un objeto.

4674 Un usuario intentó realizar una operación de servicio del sistema conprivilegios.

11.4.3.6. Eventos de seguimiento de procesos

En ciertas circunstancias, y con objeto de tener control y de utilizarse endepuraciones de aplicaciones, es necesario habilitar la auditoría de seguimiento deprocesos con objeto de determinar cuándo se inician o cierran los procesos quepuede utilizar una aplicación. Hay que tener cuidado al habilitar esta auditoría,pues genera una gran cantidad de datos que pueden saturar la base de datos. Lasauditorías para el seguimiento de procesos deberían habilitarse solamente paradepuración de aplicaciones u obtención de información de control sobre procesos.Una vez que se haya establecido el control de los procesos, puede ser recomendabledeshabilitarlas nuevamente.

Subcategoría: Actividad DPAPI

4692 Se intentó una copia de seguridad de la clave maestra de protección dedatos.

4693 Se intentó recuperar la clave maestra de protección de datos.

4694 Se intentó la protección de datos protegidos auditables.

197


4695 Se intentó una protección de datos protegidos auditables.

Subcategoría: Creación de proceso

4688 Se ha creado un proceso

4696 Un identificador primario se asignó al procesarlo.

Subcategoría: Terminación de proceso

4689 Ha terminado un proceso

Subcategoría: Eventos RPC

5712 Se intentó llamar a un procedimiento remoto.

11.4.3.7. Eventos de sucesos del sistema

Esta auditoría controla cuándo se inicia o se apaga un equipo o todos aquellossucesos relacionados con la seguridad del sistema o el propio registro de seguridad.Este último cobra una gran importancia, ya que nos proporciona informaciónrelativa a la limpieza del registro de seguridad y qué usuario la ha realizado.

Frente a otros tipos de sucesos, se aconseja en este caso que las auditorías,tanto correctas como erróneas para estos eventos, se encuentren siempre habilitadasde cara a las buenas prácticas de la seguridad, aunque no son requeridas desde elpunto de vista de la LOPD.

Subcategoría: Controlador IPsec

4960 IPsec eliminó un paquete entrante que no superó una comprobación deintegridad.

4961 IPsec eliminó un paquete entrante que no superó una comprobación dereproducción.

4962 IPsec eliminó un paquete entrante que no superó una comprobación dereproducción.

4963 IPsec eliminó un paquete de texto sin cifrar entrante que se deberíahaber asegurado.

4965 IPsec recibió un paquete desde un equipo remoto con un Índice deParámetro de Seguridad (SPI) incorrecto.

5478 El servicio de IPsec se ha iniciado correctamente.

5479 Se ha cerrado el servicio de IPsec satisfactoriamente.

5480 El servicio de IPsec no puede obtener la lista completa de interfaz dered en el equipo.

5483 El servicio de IPsec no puede inicializar el servidor RPC.

5484 El servicio de IPsec ha experimentado un error crítico y se ha cerrado.

198


5485 El servicio de IPsec no puede procesar algunos filtros IPsec sobre unevento plug-and-play para la interfaz de red.

Subcategoría: Otros sucesos de sistema

5024 El servicio Servidor de seguridad de Windows se ha iniciado correcta-mente.

5025 Se ha detenido el servicio Servidor de seguridad de Windows.

5027 El servicio Servidor de seguridad de Windows no puede recuperar ladirectiva de seguridad del almacenamiento local. El servicio continua-rá utilizando la directiva actual.

5028 El servicio Servidor de seguridad de Windows no puede analizar ladirectiva de seguridad nueva. El servicio continuará con la directivaactualmente utilizada.

5029 El servicio Servidor de seguridad de Windows no puede inicializar elcontrolador. El servicio continuará utilizando la directiva actual.

5030 No se puede iniciar el servicio Servidor de seguridad de Windows.

5032 Firewall de Windows no pudo notificar qué bloqueó una aplicación deconexiones entrantes en la red al usuario.

5033 El Controlador de Windows Firewall se ha iniciado correctamente.

5034 Se ha detenido el Controlador de Windows Firewall.

5035 El Controlador de Windows Firewall no se ha podido iniciar.

5037 El Controlador de Windows Firewall detectó errores de tiempo deejecución críticos. Se interrumpe.

5058 Operación de archivo de clave.

5059 Operación de migración clave.

Subcategoría: Cambio de estado de la seguridad

4608 Se está iniciando Windows.

4609 Se está cerrando Windows.

4616 La hora de sistema se cambió.

4621 El Administrador recuperó un sistema de fallo de auditoría. Se permi-tirá ahora que los usuarios que no son los administradores iniciensesión. No se puede registrar ninguna actividad auditable.

Subcategoría: Extensión de sistema de seguridad

4610 Un paquete de autenticación ha sido cargado por la Autoridad deseguridad local.

199


4611 Un proceso de inicio de sesión de confianza se ha registrado en laAutoridad de seguridad local.

4614 Un paquete de notificación ha sido cargado por el Administrador decuentas de seguridad.

4622 Un paquete de seguridad ha sido cargado por la Autoridad de seguri-dad local.

4697 Un servicio se ha instalado en el sistema.

Subcategoría: Integridad de sistema

4612 Los recursos internos asignados para la cola de mensajes de auditoríase han saturado resultando la pérdida de algunas auditorías.

4615 Uso no válido de puerto LPC.

4618 Se ha producido un patrón de eventos de seguridad supervisada.

4816 RPC detectó una infracción de integridad en un mensaje entrante.

5038 La integridad de código determinó que el hash de imagen de unarchivo no es válido

5056 Se realizó una prueba criptográfica.

5057 En una operación de primitiva criptográfica se produjo un error.

5060 En una operación de comprobación se produjo un error.

5061 Operación criptográfica.

5062 Se realizó una prueba del modo de núcleo criptográfico.

Son especialmente útiles en seguridad todos los eventos relativos al módulo defirewall, que permiten reportar intentos de ataque o accesos de aplicaciones nopermitidos. A destacar también las operaciones reportadas por los diferentes even-tos de la subcategoría de cambio de estado de la seguridad, que reflejan los inicios ycierres de Windows y cuándo el administrador ha permitido que se inicie sesión delos usuarios, aunque no puedan realizarse auditorías por hallarse llenos los ficherosde eventos, ya que no se permite sobreescribirlos.

11.4.3.8. Eventos de cambios de directivas

Para establecer un control más exhaustivo sobre los derechos otorgados a losusuarios del sistema es importante tener controlados los cambios en las directivasde asignación de derechos de usuario, de auditoría o de confianza que se puedanrealizar. Esto nos va a reportar información de cuándo se ha podido producir unincidente que puede estar enmascarado mediante algún cambio en las directivas,bien a nivel de dominio o en la máquina local.

Los procedimientos de control de directivas son un núcleo principal de laseguridad de una organización. Muchos de los controles establecidos se refieren a

200


directivas, y en especial a las directivas de auditoría. Un buen sistema de auditoríapodría quedar muy mermado si alguien pudiera deshabilitarlo y habilitarlo, sin quese hubiese generado ninguna acción que reportara dicho proceso.

Subcategoría: Cambio de directiva de auditoría4715 Se cambió la directiva de auditoría (SACL) en un objeto.

4719 Se cambió directiva de auditoría de sistema.

4902 Se creó la tabla de usuario de directiva de auditoría.

4904 Se realizó un intento que registra un origen de evento de seguridad.

4905 Se realizó un intento que anula el registro de un origen de eventos deseguridad.

4906 El valor de CrashOnAuditFail ha cambiado.

4907 Se cambiaron las configuraciones de auditoría en objeto.

4908 Tabla modificada especial de Inicio de sesión de Grupos.

4912 Se cambió la Directiva de auditoría por usuario.

Subcategoría: Cambio de directiva de autenticación4706 Una confianza nueva se creó en un dominio.

4707 Se quitó una confianza a un dominio.

4713 Se cambió la directiva Kerberos.

4716 Se modificó la información de dominio de confianza.

4717 El acceso de seguridad a sistema se concedió a una cuenta.

4718 Se eliminó acceso de seguridad a sistema de una cuenta.

4864 Se detectó una colisión de espacio de nombres.

4865 Se agregó una entrada de información de bosque de confianza.

4866 Se quitó una entrada de información de bosque de confianza.

4867 Se modificó una entrada de información de bosque de confianza.

Subcategoría: Cambio de directiva de autorización4704 Se asignó un derecho de usuario.

4705 Se quitó un derecho a un usuario.

4714 Se cambió la directiva de recuperación de datos cifrados.

Subcategoría: Filtrar cambio de directiva de plataforma4709 Se iniciaron los Servicios de IPsec.

4710 Se deshabilitaron los Servicios de IPsec.

201


4711 Puede contener cualquiera de los siguientes:

Motor PAStore almacenó una copia de almacenamiento de ladirectiva IPsec del Directorio Activo en la caché del equipo.

Motor PAStore aplicó un almacenamiento de la directiva IPsec delDirectorio Activo en el equipo.

Motor PAStore almacenó en el Registro local la directiva de IPsec enel equipo.

Motor PAStore no puede copiar la directiva IPsec de DirectorioActivo en la caché del equipo local.

Motor PAStore no almacenó en el Registro local la directiva de IPsecen el equipo.

Motor PAStore no aplicó un almacenamiento de la directiva IPsecdel Directorio Activo en el equipo.

Motor PAStore no puede aplicar algunas reglas de la directiva IPsecactiva en el equipo.

Motor PAStore no puede cargar el directorio de directivas IPsec enel equipo.

Motor PAStore cargó el directorio de directivas IPsec en el equipo.

Motor PAStore no puede cargar el almacenamiento local de directi-vas IPsec en el equipo.

Motor PAStore cargó el almacenamiento local de directivas IPsec enel equipo.

Motor PAStore realizó un sondeo de cambios de la directiva IPsecactiva y no detectó ningún cambio.

4712 El servicio de IPsec encontró un error potencialmente grave.

5040 Se ha hecho un cambio en la configuración IPsec. Se agregó una Auten-ticación.

5041 Se ha hecho un cambio en la configuración IPsec. Se modificó unaAutenticación.

5042 Se ha hecho un cambio en la configuración IPsec. Se eliminó unaAutenticación.

5043 Se ha hecho un cambio en la configuración IPsec. Se agregó una Reglade Seguridad de Conexión.

5044 Se ha hecho un cambio en la configuración IPsec. Se modificó unaRegla de Seguridad de Conexión.

5045 Se ha hecho un cambio en la configuración IPsec. Se eliminó una Reglade Seguridad de Conexión.

202


5046 Se ha hecho un cambio en la configuración IPsec. Se agregó una entra-da Criptográfica.

5047 Se ha hecho un cambio en la configuración IPsec. Se modificó unaentrada Criptográfica.

5048 Se ha hecho un cambio en la configuración IPsec. Se eliminó unaentrada Criptográfica.

5440 La llamada siguiente estuvo presente cuando se inició el Motor deFirewall de Windows.

5441 El filtro siguiente estuvo presente cuando se inició el Motor de Firewallde Windows.

5442 El proveedor siguiente estuvo presente cuando se inició el Motor deFirewall de Windows.

5443 El contexto siguiente de proveedor estuvo presente cuando se inició elMotor de Firewall de Windows.

5444 La sub-capa siguiente estuvo presente cuando se inició el Motor deFirewall de Windows.

5446 Se ha cambiado una llamada al Proveedor de filtrado de Windows.

5448 Se ha cambiado el Proveedor de filtrados de Windows.

5449 Se ha cambiado un contexto del Proveedor de filtrado de Windows.

5450 Se ha cambiado una sub-capa del Proveedor de Filtrado de Windows.

5456 El motor PAStore aplicó un almacenamiento de la directiva IPsec delDirectorio Activo en el equipo.

5457 El motor PAStore no aplicó un almacenamiento de la directiva IPsecdel Directorio Activo en el equipo.

5458 El motor PAStore almacenó localmente una copia de almacenamientode la directiva IPsec del Directorio Activo en la caché del equipo.

5459 El motor PAStore no pudo almacenar una copia de almacenamiento dela directiva IPsec del Directorio Activo en la caché del equipo.

5460 El motor PAStore almacenó en el Registro local la directiva IPsec delequipo.

5461 El motor PAStore no almacenó en el Registro local la directiva IPsec delequipo.

5462 El motor PAStore no pudo aplicar algunas reglas de la directiva IPsecactiva en el equipo.

5463 El motor PAStore realizó un sondeo de cambios de la directiva IPsecactiva y no detectó ningún cambio.

203


5464 El motor PAStore realizó un sondeo de cambios de la directiva IPsecactiva, detectó cambios y los aplicó al Servicio de IPsec.

5465 El motor PAStore recibió un control para volver a cargar la directivaIPsec y procesó el control correctamente.

5466 El motor PAStore realizó un sondeo de cambios de la directiva ydeterminó que no se puede alcanzar el Directorio Activo y que en sulugar utilizará la copia almacenada en la caché de la directiva IPsec delDirectorio Activo.

5467 El motor PAStore realizó un sondeo de cambios de la directiva ydeterminó que no se puede alcanzar el Directorio Activo y no se puedeutilizar la copia almacenada en la caché de la directiva IPsec delDirectorio Activo.

5468 El motor PAStore realizó un sondeo de cambios de la directiva IPsec,determinó que se puede alcanzar el Directorio Activo, que encontrócambios de la directiva y que aplicó aquellos cambios. Ya no se utilizala copia almacenada en caché de la directiva IPsec del DirectorioActivo.

5471 El motor PAStore cargó el almacenamiento local de directivas IPsec enel equipo.

5472 El motor PAStore no puede cargar el almacenamiento local de directi-vas IPsec en el equipo.

5473 El motor PAStore cargó el almacenamiento de directorio de directivasIPsec en el equipo.

5474 El motor PAStore no pudo cargar el almacenamiento de directorio dedirectivas IPsec en el equipo.

5477 Motor PAStore no pudo agregar un filtro de modo rápido.

Subcategoría: Cambio de directiva a nivel de regla MPSSVC

4944 La directiva siguiente estuvo activa cuando se inició el Firewall deWindows.

4945 Una regla se mostró cuando se inició el Firewall de Windows.

4946 Un cambio se ha realizado en la lista de excepciones del Firewall deWindows. Se agregó una regla.

4947 Un cambio se ha realizado en la lista de excepciones del Firewall deWindows. Se modificó una regla.

4948 Un cambio se ha realizado en la lista de excepciones del Firewall deWindows. Se eliminó una regla.

4949 Las configuraciones del Firewall de Windows se han restaurado a losvalores predeterminados.

204


4950 Se ha cambiado una configuración del Firewall de Windows.

4951 Una regla se ha omitido porque su número de versión principal no fuereconocido por el Firewall de Windows.

4952 Las partes de una regla se han omitido porque su número de versiónsecundaria no fue reconocido por el Firewall de Windows. Se exigiránlas otras partes de la regla.

4953 Una regla ha sido omitida por el Firewall de Windows porque nopodía analizar la regla.

4954 Las configuraciones de Directiva de grupo de Firewall de Windowshan cambiado. Se han aplicado las nuevas configuraciones.

4956 El Firewall de Windows ha cambiado el perfil activo.

4957 El Firewall de Windows no aplicó la regla siguiente:

4958 El Firewall de Windows no aplicó la regla siguiente porque la reglahizo referencia a elementos no configurados en este equipo.

Subcategoría: Otros eventos de cambio de directiva

4909 Se cambiaron las configuraciones de directiva local para el TBS.

4910 Se cambiaron las configuraciones de directiva de grupo para el TBS.

5063 Se intentó una operación del proveedor de cifrado.

5064 Se intentó una operación de contexto de cifrado.

5065 Se intentó una modificación de contexto de cifrado.

5066 Se intentó una operación de función criptográfica.

5067 Se intentó una modificación de función criptográfica.

5068 Se intentó una operación de proveedor de función criptográfica.

5069 Se intentó una operación de propiedad de función criptográfica.

5070 Se intentó una modificación de propiedad de función criptográfica.

5447 Se ha cambiado un filtro del la Plataforma de filtrado de Windows.

6144 La directiva de seguridad en los objeto de directiva de grupo se haaplicado correctamente.

6145 Se encontró uno o más errores mientras se procesaban las directivas deseguridad en los objetos de directiva de grupo.

Subcategoría: Subcategoría de uso special

Nota. El suceso siguiente puede ser generado por cualquier adminis-trador de recursos cuando su subcategoría está habilitada. Por ejemplo,el suceso siguiente puede ser generado por el administrador de recur-

205


sos de Registro o por el administrador de recursos del sistema dearchivos.

4670 Se cambiaron los permisos de un objeto.

11.4.3.9. Protección de los registros

Como hemos visto, las auditorías presentan una valiosa información de cara adescubrir posibles incidencias relacionadas con la seguridad. Con objeto de impedirproblemas con los datos y que alguien los pudiera borrar, el sistema aplica unospermisos predeterminados sobre el fichero de registro SecEvent.Evt, fichero dondequeda almacenada dicha información. Estos permisos pueden ajustarse según lasnecesidades de la empresa.

Sobre este fichero se va a poder efectuar también un registro de auditoría conobjeto de determinar accesos y modificaciones. Otro aspecto a tener en cuentatambién, es el relacionado con su tamaño y la cantidad de sucesos que puedealmacenar. Este fichero, al igual que todos los de registro, tiene un tamaño específi-co que se puede modificar. Si se alcanza el tamaño máximo para dicho fichero, elsistema no permite:

Sobrescribir los sucesos cuando sean necesarios. Se irían eliminando lossucesos según su antigüedad.

Sobrescribir los sucesos que tengan más de un número de días. Sólo seeliminarán sucesos si es necesario que hayan superado el número de díasespecificados.

No sobrescribir sucesos. Los sucesos no se eliminarán automáticamente,sino que se requiere la intervención manual del administrador.

En caso que se hubiera alcanzado el tamaño máximo del fichero y no sepudieran sobrescribir sucesos, el sistema impediría el acceso local a usuarios que nosean administradores, con objeto de impedir que un problema de seguridad queda-ra enmascarado por no sobrescribir los sucesos que los relaciona. Para proceder a larealización de cambios en estas configuraciones, tendremos que recurrir a laspropiedades del registro de seguridad en el visor de sucesos.

De cara a mejorar la administración y mediante la configuración de políticasde grupo en el Directorio Activo, se puede gestionar toda la configuración delfichero de registro mediante directivas de grupo.

Al objeto de asegurar la información que genera la auditoría, se determina quela responsabilidad queda depositada en el administrador para evitar incidentessobre los datos de auditoría. En el caso de los sistemas operativos Windows Vista yWindows Server 2008, el sistema protege por defecto el fichero secevent.evt dondese depositan las auditorías del sistema, permitiendo que sólo los administradores yla cuenta de sistema tengan acceso a dicho fichero. En el caso de que alguna perso-na más tuviera que tener acceso a este fichero, habría que concederle permisosexplícitos.

206


Otro problema que se puede plantear es qué pasaría si el registro de seguridadse llena. Evidentemente, este hecho podría ocasionar que no se registraran eventosimportantes, o bien que se acabaran eliminando otros. Para evitar estas posiblescircunstancias, el sistema prevé que se pueda apagar el sistema en caso de que sellene el registro de seguridad; esta capacidad puede ser habilitada desde las directi-vas de seguridad en las opciones de seguridad en auditoría: apagar el sistema deinmediato si no puede registrar auditorías de seguridad.

De todas formas, con el fin de evitar este procedimiento en sistemas quenecesiten una alta disponibilidad, se debería establecer la necesidad de ampliar eltamaño para el almacenamiento de registros y plantear una estrategia para realizaruna copia de seguridad de los datos contenidos en el fichero (estableciendo protec-ción sobre el mismo), y vaciando posteriormente el contenido del mismo.

11.4.3.10. Consolidación de Logs

Aunque los datos recogidos evidentemente reflejan una importante informa-ción, nos podemos encontrar que ésta puede ser tan ingente que puede ser difícildistinguir los datos realmente relevantes de aquellos que puedan resultar super-fluos. Por tanto, debería adoptarse algún tipo de metodología para la gestión dedichos logs y la información que queda reflejada en ellos.

Diferentes empresas han implementado herramientas que en este sentidopermiten la recopilación de logs de los diferentes tipos de registros y, por tanto,hacer un seguimiento más exacto de la información y permitir la generación deinformes de acuerdo a las incidencias detectadas.

La solución Microsoft, Ms. System Center Operation Manager 2007, cumple deforma óptima la funcionalidad para la consolidación de logs y generación deinformes con los datos recopilados. ACS Collector (Audit Collection Service),

Auditoría: propiedades delregistro.

207


constituye el Rol, encargado de la recogida de la información procedente de losagentes correspondientes (ACS Forwarder) y de almacenar la información en elservicio de Base de Datos correspondiente (ACS Database).

Además de la gestión de la información, el servicio presenta una serie de infor-mes pregenerados, proporcionando algunos de los datos más importantes relaciona-dos con la seguridad general de los sistemas de información de una empresa:

Gestión de cuentas.

Accesos no autorizados.

Cambios en la política.

Integridad del sistema.

No obstante, el servicio permite la generación de nuevos informes que puedenajustarse a las necesidades de informes mensuales estipulados por el Reglamento deSeguridad que debe elaborar el responsable de seguridad.

11.4.3.11. Auditoría en Exchange 2007

Hoy en día, la auditoría de sistemas Exchange se considera una tarea crucialdentro de las labores de administración y gestión diarias, y como tal no sólo esaplicable en escenarios donde sea de aplicación la normativa LOPD. La auditoríanos permite conocer cómo se están comportando nuestros servidores y detectarposibles problemas o fallos de seguridad. Además, las organizaciones requieren quesus sistemas sean auditables, con el fin de cumplir con la legislación vigente onormativas internas de la propia organización. Aunque existen diversos programasde terceros en el mercado para realizar auditorías tanto de sistema operativo comode Exchange Server, en este apartado se exponen las herramientas que el propioExchange Server 2007 proporciona para realizar una auditoría de su organización.Exchange Server 2007 incluye importantes mejoras en el ámbito de la recolección dedatos y auditoría .Podemos dividir las áreas de auditoría en las siguientes:

Eventos de aplicación.

Auditoría de cambios de configuración.

Registro de Diario.

Logs de transporte.

Seguimiento de mensajes.

Acceso a buzones e inicios de sesión.

Eventos de aplicación

Exchange Server 2007 registra de forma predeterminada los eventos básicoscomo aquellos que son críticos para el sistema o alertas de funcionamiento. Si se

208


requiere elevar el nivel de registro para realizar un seguimiento detallado, auditar eladecuado funcionamiento o comprobar fallos del sistema, se puede realizar median-te el cmdlet de Powershell Set-EventLogLevel.

Elevar el nivel de registro puede ayudar a resolver un problema o auditar eluso que los usuarios realizan de la mensajería. Se pueden establecer los niveles 0(inferior), 1 (bajo), 3 (medio), 5 (alto) y 7 (experto). El nivel de registro predetermi-nado es 0 (inferior).

Prácticamente todos los procesos de Exchange se pueden configurar con otrosniveles de registro diferentes al predeterminado. La lista completa de procesos sepuede consultar en la siguiente dirección: http://technet.microsoft.com/es-es/library/bb201661(EXCHG.80).aspx

Auditoría de cambios de configuración

Es importante controlar los cambios que re realizan en la configuración de laorganización Exchange, quién los ha realizado y en qué momento. Para ello debe-mos apoyarnos en las capacidades de auditoría de Windows Server mediante lafuncionalidad de auditoría de los cambios en los objetos del Directorio Activo, debi-do a que la mayor parte de la configuración de Exchange se almacena en la parti-ción de configuración del Directorio Activo. Por tanto, se replica en todos los contro-ladores de dominio y se puede cambiar en cualquier Controlador de Dominio.

Mediante una GPO, se debe habilitar la directiva de auditoría denominadaAuditoría del acceso al servicio de Directorio en los Controladores de Dominio. Paraobtener toda la información de acceso, se debe habilitar tanto el error como el éxito.Una vez hecho esto, se registrarán en el visor de eventos de seguridad de losControladores de Dominio los cambios y accesos realizados a los objetos de Directo-rio Activo, entre los que se encuentran los de Exchange Server.

Registro de diario

El registro en diario facilita que las organizaciones cumplan con la legislación ynormas de control de la información. Además, Exchange Server 2007 ayuda aproteger la información que contienen los informes de registro en diario del accesono autorizado.

El registro en diario es la capacidad de registrar todas las comunicaciones,incluyendo las de correo electrónico. Debido a las nuevas normativas, muchasorganizaciones se ven obligadas a mantener los registros de la comunicación entrelos empleados cuando realizan las tareas de administración diarias. Entre estasnormativas se encuentran la Directiva de protección de datos de la Unión Europea(EUDPD) o la propia Ley Orgánica de Protección de Datos que estamos tratando.

Exchange cuenta con un agente de transporte denominado agente de registroen diario, el cual se encarga de cumplir con las reglas configuradas de registro cuan-do el mensaje cumple con las condiciones establecidas. Exchange 2007 proporcionados opciones de registro en diario para satisfacer los requisitos de la organización:

209


Diario estándar. Se configura a nivel de base de datos y hace que el agenteregistre en el diario todos los mensajes enviados y procedentes de losdestinatarios y remitentes ubicados en una base de datos de buzonesespecífica.

Registro en diario Premium. Se configura con reglas de diario y permiteque se especifique el destinatario o grupo del cual se registrarán losmensajes enviados o recibidos. Para utilizar esta característica se requiereuna licencia CAL.

Los buzones de registro en diario contienen información muy confidencial; porello, se deben proteger los buzones de registro en diario porque reúnen mensajesque se envían hacia y desde destinatarios de su organización, y porque estos mensa-jes pueden formar parte de procedimientos legales o estar sujetos a requisitosnormativos. Hay varias leyes que requieren que los mensajes permanezcan sinmanipulación antes de que se envíen a una autoridad de investigación.

Un informe de diario es el mensaje que genera Microsoft Exchange cuando unmensaje coincide con una regla de diario y debe enviarse al buzón de registro endiario. Exchange 2007 admite sólo el registro en diario de sobres. Mediante elregistro en diario de sobres, el mensaje original que coincide con la regla de diariose incluye sin modificaciones como dato adjunto al informe de diario. El cuerpo deun informe de diario contiene la dirección de correo electrónico del remitente, elasunto, el Id. de mensaje y las direcciones de correo electrónico de los destinatarioscontenidos en el mensaje original.

Cuando el agente de registro en diario registra un mensaje, dicho agenteintenta capturar todos los detalles posibles sobre el mensaje original. Esta informa-ción es muy importante a la hora de determinar la intención del mensaje, susdestinatarios y sus remitentes.

Logs de transporte

Los registros de transporte están disponibles en los servidores con la funciónde transporte perimetral o concentrador de transporte. Se pueden dividir en lassiguientes categorías:

Registro de conectividad. Registro de la actividad de conexión SMTP delas colas de entrega de mensajes salientes al servidor de buzones, hostinteligente o dominio de destino. De forma predeterminada, el registro deconectividad está deshabilitado.

Registro de protocolo. Registro de la actividad de los conectores de envíoSMTP entre servidores de mensajería. De forma predeterminada, elregistro de protocolo está deshabilitado.

Registro de seguimiento de mensajes. Registro detallado de la actividadde transporte de mensajes durante la transferencia de un equipo Exchangea otro. Por defecto, el seguimiento de mensajes está habilitado.

210


Registro de agente. Registro de las acciones que los agentes antivirus ycontra correo electrónico no deseado de Exchange 2007 realizan en unmensaje. De forma predeterminada, el registro de agente está habilitado.

Registro de tabla de enrutamiento. Registro de las tablas de enrutamientoque los servidores de transporte utilizan para entregar mensajes. De formapredeterminada, el registro de tabla de enrutamiento está habilitado.

Seguimiento de mensajes

La herramienta de seguimiento de mensajes que incorpora Exchange Server2007 ha sido mejorada para permitir búsquedas con criterios de filtrado más flexi-bles y potentes. El seguimiento de mensajes es fundamental para realizar auditoríasde transporte de mensajes o resolver incidencias de usuarios en el envío o recepciónde mensajes.

El seguimiento de mensajes está habilitado por defecto en los servidores detransporte y de buzones de la organización Exchange, por lo que pueden realizarseconsultas en cualquiera de estos roles de servidor.

La convención de nomenclatura de los archivos de registro del directorio deregistro de seguimiento de mensajes depende de la función del servidor que estéinstalada. En un servidor de transporte de concentradores o en un servidor detransporte perimetral, los archivos de registro se denominan MSGTRKyyyymmdd-nnnn.log. En un servidor Buzón de correo, los archivos de registro se denominanMSGTRKMyyyymmdd-nnnn.log.

De forma predeterminada, los archivos de registro de seguimiento de mensajesse encuentran en C:\Archivos de programa\Microsoft\ExchangeServer\TransportRoles\Logs\MessageTracking.

La herramienta de seguimiento de mensajes se encuentra en la sección delcentro de herramientas de la consola de Administración Exchange, aunque tambiénse pueden ejecutar utilizando el Shell de Administración con el cmdlet Get-MessageTrackingLog.

El seguimiento de mensajes depende del servicio de búsqueda de registros detransporte de Microsoft Exchange, por lo que si éste se deshabilita, no se registraránlos eventos de transporte de los mensajes. Con la herramienta de seguimiento, sepueden consultar los siguientes eventos de transporte:

BADMAIL Se ha enviado un mensaje mediante el directorio de recogida o eldirectorio de repetición que no se puede entregar o devolver.

DELIVER Se ha entregado un mensaje a un buzón.

DEFER Se ha retrasado la entrega del mensaje.

D S N Se ha generado una notificación de estado de entrega (DSN).

EXPAND Se ha ampliado un grupo de distribución.

FAIL Error al entregar el mensaje.

211


POISONMESSAGE Se ha incluido o quitado un mensaje de la cola demensajes dudosos.

RECEIVE Se ha recibido un mensaje y se ha confirmado para la base dedatos.

REDIRECT Se ha redirigido un mensaje a un destinatario alternativo trasuna búsqueda en el servicio de directorio de Directorio Activo.

RESOLVE Los destinatarios de un mensaje se han resuelto para una direc-ción de correo electrónico distinta tras una búsqueda en Directo-rio Activo.

SEND Se ha enviado un mensaje mediante el Protocolo simple detransferencia de correo (SMTP) a otro servidor.

SUBMIT Se ha enviado un mensaje mediante un equipo de Exchange2007 que tiene instalada la función del servidor Buzón de correoa un equipo Exchange 2007 con la función del servidor Transpor-te de concentradores o la función del servidor Transporteperimetral. Los registros de seguimiento de mensajes que segeneran con la función del servidor Buzón de correo sólo contie-nen eventos de ENVÍO.

TRANSFER Los destinatarios se han movido a un mensaje bifurcado debidoa la conversión del contenido, los límites de destinatarios demensajes o los agentes.

Asimismo, los filtros de consultas más comunes son:

Recipients: campo de dirección del destinatario.

Sender: campo de remitente.

Server: servidor Exchange 2007 que contiene los registros de seguimientode mensajes que se van a buscar.

EventID: Id. de evento, especificado en la tabla anterior.

MessageID: Id. de mensaje que se especifica en el encabezado Message-ID.

InternalMessageID: Id. de mensaje interno. Es un número enteroidentificador de mensaje que asigna el servidor de Exchange 2007 que estáprocesando el mensaje.

Subject: Asunto del mensaje.

Reference: (referencia) contiene información adicional para tipos deeventos específicos. Para un evento DSN, el campo de referencia contieneel MessageID: del mensaje que provocó el DSN. Para un evento SEND, elcampo de referencia contiene el MessageID: de cualquier mensaje DSN.

212


Para un evento TRANSFER, el campo de referencia contiene elMessageID: del mensaje que se transfiere.

Inicio y Fin: intervalo de fecha y hora para buscar entradas de seguimien-to.

De forma predeterminada, no se almacena ningún contenido de mensaje en elregistro de seguimiento de mensajes; sin embargo, sí se almacena el asunto delmensaje. Es posible deshabilitar este registro si la organización lo requiere medianteel cmdlet de PowerShell Set-MailboxServer.

Acceso a buzones e inicios de sesión

Otra de las áreas de auditoría que se debe tener en cuenta es el acceso a losbuzones que realizan los usuarios y los procesos de inicio de sesión, en los que seincluyen los inicios de sesión MAPI, POP e IMAP.

Mediante el cmdlet de PowerShell get-mailboxstatistics se puede extraer informa-ción valiosa como el tamaño del buzón, el número de mensajes que contiene y laúltima vez que se inició sesión en él.

Si se requiere tener una visualización en tiempo real de la actividad de losusuarios que se conectan vía MAPI a sus buzones, se pude descargar la herramientaMicrosoft Exchange Server User Monitor desde http://www.microsoft.com/downloads/details.aspx?FamilyID=9a49c22e-e0c7-4b7c-acef-729d48af7bc9&DisplayLang=en.

Exchange: Exchange User Monitor.

ExMon recopila de forma predeterminada información a intervalos de unminuto y se almacena en trazas de actividad en formato ETL (Event Trace Log) en eldirectorio de instalación de ExMon.

Posteriormente se puede exportar la información contenida en la Traza deauditoría a un archivo de texto separado por comas (CSV) mediante línea de co-mandos con la propia utilidad Exmon.exe –SU.

213


Pero ExMon sólo registra los accesos realizados mediante clientes MAPI. Paraotro tipo de accesos como POP o IMAP, Exchange dispone de registros internos quese pueden habilitar. Por defecto, el registro de conexiones POP e IMAP estádeshabilitado. Mientras que los accesos MAPI se realizan y se registran directamen-te en los servidores de buzones, los accesos POP e IMAP se realizan y se registran enlos servidores de Acceso de Cliente (CAS). Para ello se deben modificar los siguien-tes archivos:

Microsoft.Exchange.Pop3.exe.config.

IMAP4 Microsoft.Exchange.Imap4.exe.config.

Los dos archivos se encuentran en C:\Archivos de programa\Microsoft\Exchange Server\ClientAccess\PopImap.

Se trata de dos archivos en formato XML que definen el comportamiento decada uno de los protocolos a los que hacen referencia. Para habilitar el registro delprotocolo se debe cambiar el valor de la entrada ProtocoLog de False a True.

La información que se registra de los protocolos POP3 e IMAP4 se divide encampos separados por comas, e incluye los siguientes campos:

Date-time La fecha y hora del evento del protocolo. El valor tiene laforma aaaa-mm-ddhh:mm:ss.fffZ, donde aaaa = año, mm = mes, dd = día,hh = hora, mm = minuto, ss = segundo, fff = fracciones de segundo, y Zindica Zulú. Zulú es otra forma de indicar la Hora universal coordina-da (UTC).

Connector-id Este campo no se usa en el registro de los protocolos POP3e IMAP4.

Session-id Un GUID que es exclusivo para cada sesión de SMTP,pero que es el mismo para cada evento que está asociado a la sesión deSMTP.

Sequence-number Contador que se inicia en 0 y que aumenta para cadaevento dentro de la misma sesión.

Local-endpoint El extremo local de una sesión de POP3 o IMAP4. Secompone de una dirección IP y un número de puerto TCP que estáformateado como <Dirección IP>:<puerto>.

Remote-endpoint El extremo remoto de una sesión de POP3 o IMAP4. Secompone de una dirección IP y un número de puerto TCP que estáformateado como <Dirección IP>:<puerto>.

Evento Un único carácter que representa el evento del protocolo.Los valores posibles para el evento son los siguientes:

+ Conectar.

- Desconectar.

> Enviar.

214


< Recibir.

* Información.

Datos Información de texto asociada al evento de POP3 o IMAP4.

Contexto No se usa en el registro de los protocolos POP3 e IMAP4.

Otra posibilidad de registro de protocolo está disponible en los conectores deenvío y recepción del protocolo SMTP. Por defecto, el registro del protocolo endichos conectores está deshabilitado. El registro de protocolo graba las conversacio-nes del Protocolo simple de transferencia de correo (SMTP) que se producen entreservidores de correo electrónico como parte de la entrega de mensajes y se produceen los servidores de transporte de la organización.

Tanto los clientes POP3/IMAP, los cuales envían sus mensajes a través deSMTP, como el transporte entre servidores, se registran habilitando el logging de losconectores. Los archivos del registro de protocolo se encuentran en las siguientesubicaciones:

Archivos del registro de protocolo del conector de recepción: C:\Archivosde programa\Microsoft\ExchangeServer\TransportRoles\Logs\ProtocolLog\SmtpReceive.

Archivos del registro de protocolo del conector de envío: C:\Archivos deprograma\Microsoft\ExchangeServer\TransportRoles\Logs\ProtocolLog\SmtpSend.

Los archivos de registro de protocolos, tanto SMTP como POP3 e IMAP, sonarchivos de texto que contienen datos en el formato de valores separados por comas(CSV).

Además, en cada servidor con la función de concentrador de transporte existeun conector de envío especial denominado conector de envío dentro de la organiza-ción. Este conector se crea implícitamente, es invisible y no necesita administración.El conector de envío dentro la organización se usa para retransmitir mensajes a lossiguientes destinos:

A los demás servidores de transporte de concentradores de la organiza-ción de Exchange.

A servidores Exchange Server 2003 de la organización de Exchange.

A servidores de transporte perimetral de la organización de Exchange.

De forma predeterminada, el registro de protocolo del conector de envíodentro de la organización también está deshabilitado. Con el cmdlet Set-TransportServer y el parámetro IntraOrgConnectorProtocolLoggingLevel, se habilita elregistro de este conector de envío. El registro tendrá lugar en los registros de proto-colo del conector de envío que estén configurados en el servidor transporte deconcentradores.

215


11.4.4. Artículo 104. TelecomunicacionesCuando, conforme al artículo 81.3 deban implantarse las medidas de seguridad denivel alto, la transmisión de datos de carácter personal a través de redes públicas oredes inalámbricas de comunicaciones electrónicas se realizará cifrando dichosdatos o bien utilizando cualquier otro mecanismo que garantice que la informaciónno sea inteligible ni manipulada por terceros.

Los planteamientos de seguridad, cuando se realiza una transmisión de datos,deben quedar también reflejados cuando se establecen los envíos de datos. Evitarque se puedan robar los datos en tránsito es algo complejo, pero sí se puedendisponer para que los datos queden cifrados y para cualquiera que pudiera robar-los, resulten totalmente ininteligibles.

Windows Vista y Windows Server 2008 implementan una serie de mecanismosque va a hacer posible esos mecanismos de cifrado, pudiendo realizarse a diferentesniveles y en función de los elementos empleados.

IPSEC, directiva decifrado.

En caso de cualquier tipo de comunicación, tanto a nivel local como en co-nexiones a través de Internet, los mecanismos de Seguridad IP (IPSEC) garantizanla integridad, la confidencialidad y la autentificación para los datos transmitidos.Enrutado como tráfico IP quedan establecidos los mecanismos de funcionamientodel sistema de seguridad mediante unas series de reglas y de filtros que son aplica-das mediante las directivas de seguridad, bien a nivel local o a través del dominio.Windows Vista y Windows Server 2008 utiliza 3DES como algoritmo de cifrado dedatos.

IPSEC implementa dos posibles mecanismos de seguridad: cabecera de auten-tificación (AH) y cabecera ESP (Encapsulation Security Payload).

AH permite garantizar la integridad de los datos y la autentificación, aunqueno va a garantizar que no se pueda ver el contenido de la transmisión. De cara a la

216


integridad de datos, el ICV (Integrity Check Value) se calcula mediante algoritmosSHA-1 y MD5. Los mecanismos de autentificación admiten el uso de Kerberos,mecanismos de PKI o claves compartidos.

ESP garantiza la confidencialidad de los datos mediante algoritmos 3DES,aunque admite DES por compatibilidad. ESP puede combinarse con AH paraestablecer niveles más altos de seguridad, garantizando así el envío de datos alsistema correcto e impidiendo que si estos son modificados en tránsito sean admiti-dos como válidos. La funcionalidad de IPSEC entre dos máquinas quedará determi-nada por el proceso de negociación (ISAKMP) entre ambos sistemas, donde seestablecen en función de las directivas, los mecanismos de autentificación, defirmado y de cifrado.

IPSEC: captura de conversación con IPsec.

IPSEC: captura de conversación sin IPsec.

217


Este sistema de implementación es admitido entre sistemas independiente-mente de si pertenecen o no a un dominio, puesto que los mecanismos de autentifi-cación basados en secreto compartido o los de certificados permiten esa compatibili-dad. IPsec proporciona además mecanismos para el envío de datos en modo túnelque permiten el envío de datos cifrados entre redes a través de Internet, cifrando losdatos únicamente en la parte pública de la comunicación.

Aunque para los procedimientos de configuración de IPSec pueden utilizarselos mecanismos tradicionales de configuración, en las nuevas versiones de lossistemas operativos, esta funcionalidad queda integrada en el módulo de Firewall,con lo cual pueden combinarse ambas características para dar una mayor consisten-cia general en la seguridad. Por consiguiente, IPsec puede ganar las funcionalidadesaportadas por el Firewall en las características avanzadas, como por ejemplo,determinar el comportamiento para el cifrado en base al tipo de red en el que puedaencontrarse la máquina: pública, privada o dominio.

Además de los mecanismos de comunicación basados en IPsec, WindowsServer 2008 soporta la funcionalidad de servidor VPN para establecer comunicacio-nes remotas a través de túneles de encapsulamiento en la capa 2 a través del Servi-cio NAS (Network Access Service) o bien la implementación con ISA Server 2006 declientes VPN y conexiones entre sitios. Windows Server 2008 e ISA Server 2006permiten implementar túneles de VPN mediante PPTP y L2TP. En el caso de L2TP,se utilizan las implementaciones de IPSEC para establecer un sistema de túnelesmejorados, estableciendo de esta forma los túneles L2TP/IPSEC donde se utilizanlos mecanismos de ESP como medida de seguridad. Windows Vista funciona comocliente VPN dentro de la arquitectura.

VPN: propiedades deconexión.

Un mecanismo adicional y complementario, sólo disponible en WindowsServer 2008, permite garantizar el estado de salud de las máquinas, previniendouna posible intrusión de máquinas que no se encuentren dentro de unos criterios de

218


seguridad que haya establecido la organización. Este servicio, denominado NAP(Network Access Protection), implica una arquitectura cliente (Windows Vista,Windows XP SP3) y servidor (Windows Server 2008), donde basándose en unosdiferentes patrones de control, se establece a través de diferentes servicios, entre losque figuran los Servicios NAS y de autenticación Wireless, si una máquina seincorpora a una red de cuarentena cuando no ha cumplido los criterios previamenteestablecidos.

Las comunicaciones inalámbricas que cada vez están cobrando una importan-cia mayor, también permiten mecanismos de seguridad que permiten tanto elcifrado de los datos como garantizar los mecanismos de autentificación. Además dela adopción de mecanismos tipo WEP o WPA, Microsoft presenta dos soluciones deseguridad para estos tipos de redes:

Solución EAP-TLS donde se utilizan los mecanismos de certificados declientes para autenticar clientes inalámbricos.

Solución PEAP donde se utilizan contraseñas y el protocolo de autentica-ción extensible protegido (PEAP) para autenticar clientes inalámbricos.

Microsoft proporciona una guía para la implantación de sistemas de comuni-caciones seguros a través de redes inalámbricas. Dicha guía puede obtenerse en lasiguiente URL: http://www.microsoft.com/spain/technet/security/guidance/cryptographyetc/peap_1.mspx.

11.4.5. Confidencialidad en Exchange 2007Cuando hablamos de confidencialidad en un sistema de mensajería, no sólo

nos referimos a las conexiones, sino también al contenido de la transmisión y lospropios mensajes. Bajo tal perspectiva, podemos definir confidencialidad como lacaracterística que tiene un mensaje para que solamente sea leído por las personas oservicios autorizados. Si dicho mensaje pudiera ser leído o accedido en algúnmomento del transporte, depósito o con posterioridad, se estaría vulnerando suconfidencialidad.

Exchange Server 2007 proporciona tecnologías para mantener laconfidencialidad de la información, las cuales van desde el establecimiento deconexiones seguras con TLS/SSL, hasta el soporte para formato S/MIME y gestiónde derechos de información (WRM).

Los permisos de acceso a los buzones en un organización Exchange Server2007 preservan el derecho a la confidencialidad. Por defecto, sólo los propiosusuarios pueden acceder a su buzón en donde se encuentran sus mensajes de correoelectrónico. Ni siquiera el administrador del sistema tiene permisos establecidospara visualizar el contenido de los buzones de los usuarios.

Si bien es cierto que dichos permisos se pueden modificar para ajustarse a lasnecesidades de cada organización, por ejemplo, la relación entre un director y susecretaria, este proceso para otorgar acceso a un buzón de otro usuario debe ser

219


previamente solicitado y autorizado mediante un procedimiento oficial de la propiaorganización. A pesar de ello, la información como tal, por defecto no se almacenacifrada en las bases de datos de mensajes de los servidores Exchange. Resultaría unacarga de trabajo adicional para los servidores si tuvieran que estar cifrando ydescifrando continuamente el contenido de cientos o miles de usuarios de unaorganización.

Es posible que no todos los usuarios requieran los mismos criterios de seguri-dad y confidencialidad. Para aquellos buzones sensibles, los cuales requierenmedidas adicionales para preservar la confidencialidad, se puede implantar elformato S/MIME para cifrar los mensajes que se envían o reciben.

Cuando un usuario envía un mensaje a otro destinatario en Internet, no puedecontrolar de qué forma se va a transmitir, ni si los canales de comunicación estáncifrados o no. Ya sabemos que el transporte entre servidores Exchange dentro de lamisma organización sí está cifrado por defecto; sin embargo, una vez que el mensa-je sale del servidor perimetral, no es posible saber de antemano cómo se transmitirádicho mensaje. Por ello, el usuario que necesite un nivel de confidencialidad másalto, puede configurar su cliente de correo para que cifre el mensaje y se transmitacifrado independientemente del medio de transmisión.

Para ello se requiere un certificado de cliente, emitido por una Entidad Certifi-cadora de confianza. El certificado se utilizará para firmar el mensaje con la claveprivada del usuario y para descifrar los mensajes que le lleguen al usuario, loscuales deben haber sido cifrados con su clave pública por el remitente del mensaje.

Tanto la firma digital como el cifrado de mensajes de correo electrónico mejo-ran la seguridad y la confidencialidad, ya que permite garantizar que el mensajeprocede de quien dice ser (validación de firma) y que sólo lo podrá leer el destinata-rio del mensaje (cifrado).

Respecto a este último punto, cabe señalar que el mensaje se guarda cifrado enla base de datos de buzones de Exchange y que sólo el usuario que posea el certifi-cado correspondiente con la clave privada podrá acceder a dicho mensaje.

El proceso de cifrado y firma digital es el siguiente:

Cifrado y firma digital de unmensaje de correo.

220


El proceso de descifrado y validación de la firma digital es el siguiente:

Descifrado y comprobaciónde la firma digital.

Una de las mejoras de S/MIME versión 3 que merece la pena destacar es el“triple envoltorio”. Un mensaje S/MIME con triple envoltorio es aquel que se firma,se cifra y se firma de nuevo. Este nivel adicional de cifrado proporciona un niveladicional de seguridad. Cuando los usuarios firman y cifran mensajes con OutlookWeb Access con el control S/MIME, el mensaje tiene triple envoltorioautomáticamente. Outlook y Outlook Express no aplican triple envoltorio a losmensajes, pero pueden leer este tipo de mensajes.

S/MIME es una tecnología estándar implantada en numerosos productos demensajería; sin embargo, su principal debilidad es que la configuración de laseguridad recae en el usuario final. En muchas organizaciones, los usuarios nodisponen de los conocimientos necesarios para identificar mensajes firmados deaquellos no firmados, para realizar una solicitud de certificado de usuario, o sim-plemente para hacer una gestión adecuada de los certificados digitales de suscontactos. Además, una desventaja clara de los mensajes cifrados desde el cliente es

Correo cifrado medianteS-MIME.

221


que no se pueden escanear para detectar virus o filtrar según el contenido delmensaje, y tal y como están las cosas con el SPAM hoy en día, esto puede ser unproblema para algunas organizaciones.

Es por ello que Exchange Server 2007 implanta un modelo nuevo de confiden-cialidad cuya responsabilidad recae en los servidores perimetrales y no en el usua-rio final. Dicho modelo se denomina Message Layer Security (Seguridad a nivel demensajes), donde el servidor perimetral es el que se encarga de cifrar y firmar elmensaje antes de ser enviado al destinatario. Esta tecnología se apoya en clavespúblicas y privadas. Las claves públicas se publican en los servidores DNS, desdedonde se consultan por parte de los servidores destinatarios. El modelo es muysimilar a S/MIME, con la diferencia que todo el trabajo se realiza en el perímetro.

Debido a que el remitente debe autenticarse para poder enviar el mensajehacia Internet, el servidor perimetral es capaz de garantizar la autenticidad delremitente. Cuando el destinatario abra el mensaje, desde OWA u Outlook 2007, semostrará un mensaje indicando que se ha transmitido de forma segura entre organi-zaciones Exchange Server 2007 y que la autenticidad ha sido comprobada.

Proceso de transporte con MLS.

Además, aquellas organizaciones con versiones anteriores de Exchange oincluso aplicaciones de mensajería diferentes, si tienen el soporte para TLS habilita-do, ahora los servidores perimetrales de Exchange Server 2007 van a iniciar unaconexión TLS predeterminada para la transmisión de los mensajes de correo. Estamejora se denomina Oportunistic TLS (TLS Oportunista). Por tanto, se garantiza laconfidencialidad del mensaje mientras viaja por Internet, incluso entre organizacio-nes que no tienen ningún tipo de relación, asegurando de esta forma que el inter-cambio externo de correo con datos de carácter personal conserve ese nivel de segu-ridad exigido por el Reglamento de Medidas de Seguridad que desarrolla la LOPD.

222


223

12

La aplicación del reglamentode seguridad en SQL Server

12.1. Artículo 91. Control de acceso

En el caso de SQL Server, podemos especificar la seguridad de control deacceso a nivel de cada uno de los objetos dentro de una base datos, llegando inclusoa nivel de detalle de columna. El proceso de control de acceso en SQL Server sedivide en dos pasos:

1. En primer lugar, el usuario inicia una sesión en la instancia de SQL Server,para lo cual debe disponer de un inicio de sesión asignado, como veremosen la sección de autenticación. Una vez conectado a la instancia, el usuarioaccederá a una determinada base de datos dentro de esa instancia, para locual, su inicio de sesión tendrá que tener asociado un usuario en esa basede datos. En el caso de que el inicio de sesión no tenga un usuario de basede datos asociado, SQL Server buscará si existe el usuario guest, que es elusuario invitado de SQL Server. SQL Server no crea el usuario guest deforma predeterminada, y no se considera buena práctica su utilización. Através de este funcionamiento, ya nos aseguramos de que los usuarios tansolo podrán acceder a aquellas bases de datos a las que específicamenteles proporcionemos acceso.

2. Una vez que el usuario tiene acceso a una determinada base de datos,cada vez que ejecute una sentencia en esa base de datos se comprobaránlos permisos de que dispone el usuario para asegurarse de que dispone delos permisos necesarios para su ejecución. Como se puede apreciar en lafigura, podemos asignar permisos a los usuarios desde las propiedades

224


del objeto en cuestión o desde las propiedades del usuario, para cada unade las operaciones, o bien podemos denegar ese permiso. Al mismotiempo, podemos ver no solo los permisos específicos asignados a eseusuario, sino también los permisos efectivos por pertenencia a grupos(funciones o roles en la terminología de SQL Server).

Control de accesoa bases de datos.

Todas estas operaciones pueden realizarse también utilizando sentenciasTransact-SQL, de modo que podamos generar scripts para asignación de permisosque sean fáciles de reutilizar.

Asignación de permisosa usuarios de bases

de datos.

225

Como hemos comentado anteriormente, desde las propiedades de un objeto ousuario podemos obtener información acerca de los permisos específicos de esosusuarios sobre los objetos, y del mismo modo, desde las propiedades de un usuariopodemos obtener información sobre los permisos específicos de dicho usuario sobreun determinado objeto. A través de la pertenencia a determinados roles de servidor,concretamente sysadmin y securityadmin, podemos controlar qué inicios de sesiónpueden cambiar las configuraciones de seguridad y otorgar o denegar acceso adeterminadas bases de datos. A nivel ya de base de datos, disponemos de lasfunciones db_accessadmin, db_securityadmin y db_owner, que nos permiten controlarqué usuarios tienen privilegios para cambiar los permisos de los objetos de cadabase de datos. Del mismo modo, cuando se asigna un permiso a un determinadousuario, disponemos de la opción WITH GRANT, a través de la cual, no sólo otorga-mos el permiso al usuario, sino que le proporcionamos también la posibilidad deotorgar esos permisos a otros usuarios.

12.2. Artículo 93. Identificación y autenticaciónPara gestionar la autenticación de usuarios a las instancias de SQL Server,

podemos utilizar dos mecanismos de autenticación:

1. Autenticación de Windows. En este caso, tan solo se permite acceso a lainstancia de SQL Server a usuarios previamente autenticados a nivel delsistema operativo. SQL Server no se encarga de validar la contraseña delusuario, tan solo revisa en la tabla de inicios de sesión si le hemos otorga-do acceso a dicho usuario Windows a la instancia de SQL Server. Es elmecanismo recomendado, puesto que no viajan contraseñas, ni se almace-nan en SQL Server, y podemos reutilizar todos los mecanismos comenta-dos sobre la autenticación y gestión de usuarios a nivel del sistema opera-tivo Windows.

2. Autenticación mixta. En algunos escenarios, por ejemplo cuando tenga-mos clientes que no sean Windows o no formen parte de nuestro dominio,debemos emplear la autenticación mixta. En esta configuración, ademásde usuarios del sistema operativo, podemos crear inicios de sesión especí-ficos de SQL Server, a los que deberemos asignarles una contraseña.

El mecanismo de autenticación predeterminado en la instalación, y recomen-dado, es la Autenticación Windows. De este modo, podemos reutilizar todas lasfuncionalidades de seguridad que el sistema operativo Windows proporciona a suscuentas, y SQL Server no necesita almacenar dichas cuentas ni sus contraseñas. Enaquellos escenarios de autenticación mixta, en los que creemos inicios de sesión deSQL Server, disponemos de mecanismos para hacer que el usuario modifique lacontraseña en su primer inicio de sesión. Lo que SQL Server almacena de estascontraseñas es su Hash, no se almacenan en texto plano, de modo que disponemosde mecanismos para asegurar su confidencialidad e integridad, puesto que SQLServer cifra los inicios de sesión de estos usuarios, por lo que también viajan prote-gidos por la red.

La aplicación del reglamento de seguridad en SQL Server

226


Tal y como acabamos de comentar en el apartado anterior, SQL Server almace-na el Hash de las contraseñas, por lo que éstas son ininteligibles. Del mismo modo,cuando creamos inicios de sesión de SQL Server, en una configuración de autentica-ción mixta, podemos configurar sobre estos inicios de sesión las siguientes opciones:

1. Forzar la política de contraseña. Seleccionando esta opción, nos asegura-mos de que SQL Server aplicará la misma configuración de política decontraseña que la configurada a nivel del sistema operativo.

2. Forzar caducidad de contraseña. Al igual que en el apartado anterior,seleccionando esta opción, SQL Server aplicará la política de caducidad decontraseña configurada a nivel del sistema operativo del servidor en elque esté instalado SQL Server.

A través de estas dos opciones, disponibles desde SQL Server 2005, podemosaplicar un mayor nivel de seguridad que nos permita controlar los inicios de sesiónde SQL Server.

12.3. Artículo 94. Copias de respaldo y recuperación

SQL Server dispone de mecanismos de control que permiten proteger lainformación almacenada en sus bases de datos, además de capacidades de copia deseguridad y restauración. El primero de estos mecanismos es el denominado Mode-lo de recuperación. SQL Server mantiene un registro de transacciones por cada unade las bases de datos, en el que se registran las operaciones realizadas con los datosde esa base de datos. EL Modelo de recuperación especifica las operaciones que seregistran en dicho log de transacciones y cómo se registran. Disponemos de tresopciones de configuración:

Selección del mecanismode autenticación.

227

1. Simple. En el modo de recuperación simple, SQL Server registramínimamente determinadas operaciones, y trunca el registro de transac-ciones después de cada Checkpoint. Esta configuración está recomendada,en principio, sólo para escenarios de pruebas o desarrollo, puesto que enesta configuración no podremos realizar copias de seguridad del registrode transacciones.

2. Carga masiva. Es un modelo de recuperación que se considera temporal, yestá pensado para aquellos escenarios en los que, teniendo configurado unmodelo de recuperación completo, queremos optimizar un proceso decarga masiva de registros, registrando mínimamente esa operación.

3. Completo. Es el modelo predeterminado y el recomendado para las basesde datos en producción. En este modelo de recuperación, todas las tran-sacciones se registran completamente en el log de transacciones, y el logno se trunca en ningún momento. Este modelo nos añade una tareaadicional de mantenimiento para el registro de transacciones, puesto quedebemos asegurarnos de que se trunca en algún momento, idealmente,cuando realicemos copia de seguridad del mismo, tal y como comentare-mos a continuación.

Los cambios de un modelo de recuperación a otro, pueden realizarse encaliente en cualquier momento, desde las propiedades de la base de datos o me-diante el comando ALTER DATABASE. Sin embargo, se aconseja realizar una copia deseguridad, antes y después de realizado el cambio, para asegurarnos de no romperla secuencia de copias de seguridad.

Por lo que respecta a los tipos de copias de seguridad, SQL Server proporcionalos siguientes tipos:

Configuración de lasopciones de política decuenta y contraseña.


228


Modelo de recuperaciónde base de datos.

1. Completa. En una copia de seguridad completa, SQL Server realiza copiade seguridad de todo el contenido de la base de datos, incluido el registrode transacciones. Además, como la copia de seguridad es una operaciónque puede realizarse en línea, mientras otros usuarios están trabajandocon los datos, SQL Server realiza copia de la parte activa del registro detransacciones, por lo que la copia de seguridad contendrá las operacionesrealizadas durante la copia de seguridad.

2. Diferencial. Tomando como base una copia completa, SQL Server recorrelas cabeceras de los ficheros en busca del mapa de páginas que marca lasextensiones que se han modificado desde la copia completa. Asimismo,como ocurría con la copia completa, se copia la parte activa del registro detransacciones, que contendrá las operaciones realizadas durante el proce-so de copia de seguridad diferencial.

3. Registro de transacciones. Realiza copia de seguridad del registro detransacciones, desde una copia completa o desde la anterior copia delregistro de transacciones.

4. Copia de seguridad de ficheros o grupos de ficheros. Nos proporciona laposibilidad de realizar copias de seguridad sólo de determinados ficheroso grupos de ficheros de la base de datos.

Estos diferentes tipos de copias de seguridad nos proporcionan la flexibilidadsuficiente como para crear un plan de copias de seguridad que cumpla con losrequisitos tanto funcionales como legales, por muy complicado que sea el entornode trabajo.

229

A la hora de realizar la restauración de estas copias de seguridad, debemostener en cuenta que:

1. Las copias de seguridad completas, diferenciales y del registro de transac-ciones nos permiten realizar una restauración a un punto determinado deltiempo. Esta característica es útil en aquellos escenarios en los que se hadetectado una operación no deseada que no queremos que se restaure. Enestos casos, podemos incluso realizar la copia de seguridad después derealizada la operación y detener la restauración en el momento anterior adicha operación.

2. En la versión empresarial de SQL Server, también las restauracionespueden ser parciales. Para que una base de datos SQL Server pueda serabierta, la instancia de SQL Server debe tener acceso al fichero .mdf y alregistro de transacciones. En aquellos escenarios en los que disponemosde varios grupos de ficheros para organizar los archivos de datos, pode-mos ir restaurando parcialmente dichos grupos de ficheros, de modo quevayamos poniendo a disposición de las aplicaciones y usuarios aquellaspartes más críticas. Esta característica permite reducir el tiempo de paradaen escenarios de bases de datos de gran tamaño.

Restauración de la basede datos.

12.4. Artículo 98. Identificación y autenticación

Tal y como hemos mencionado, disponemos de la opción, a nivel de inicio desesión, de hacer que SQL Server aplique las políticas de cuentas de Windows a losinicios de sesión de SQL Server.


230


12.5. Artículo 101. Gestión y distribución de soportesExisten diferentes mecanismos que nos permiten distribuir la información de

bases de datos, tales como copia de seguridad y restauración, o la des-asociación yasociación de bases de datos entre instancias. En SQL Server 2008 disponemos deuna nueva funcionalidad, denominada Cifrado Transparente de Datos (TDE segúnsus iniciales en inglés), que nos permite cifrar todos los ficheros de una base dedatos. Cuando tenemos habilitada esta opción, SQL Server no sólo cifra los ficherosde base de datos, sino que si realizamos una copia de seguridad, esta última tam-bién se cifra, quedando protegida. Del mismo modo, al realizarse el cifrado a nivelde entrada/salida a disco, si desasociamos la base de datos, esos ficheros permane-cerán cifrados, por lo que si distribuimos esa base de datos en algún soporte, esosdatos irán cifrados.

Activación del cifrado anivel de base de datos.

A la hora de configurar este cifrado transparente deberemos especificar losiguiente:

1. El algoritmo de cifrado que deseamos utilizar. Disponemos de las siguien-tes opciones:

AES 128. AES 192. AES 256. TRIPLE DES.

2. Mecanismo que deseamos utilizar para dicho cifrado. Podemos utilizarbien un certificado de servidor o bien una clave asimétrica. En ambos

231

casos, debemos crear esos objetos en nuestra instancia SQL Server antes deconfigurar el cifrado.

A partir del momento en el que configuremos el cifrado, SQL cifrará y desci-frará el contenido de los ficheros de base de datos (tanto de datos, como de registrode transacciones) en cada operación de lectura y escritura.

12.6. Artículo 103. Registro de accesos

A la hora de disponer de un registro de los accesos a una base de datos de SQLServer 2008, disponemos de diferentes mecanismos para obtener dicha información:

1. Utilizando trazas de SQL Server Profiler. Es la más antigua de las opcio-nes, puesto que existe desde las primeras versiones de SQL Server, y nosproporciona la posibilidad de capturar cualquier sentencia que se envíe auna instancia de SQL Server.

2. Captura de datos modificados. La Captura de datos modificados (ChangeData Capture) es una de las novedades introducidas por SQL Server 2008,y nos permite llevar un control de todos los cambios realizados en aque-llas tablas que configuremos. La principal restricción de esta opción es quesólo podemos controlar las transacciones ejecutadas, no las consultas a losdatos.

3. Auditoría. Probablemente es una de las características más demandadaspor los profesionales de bases de datos y que aparece en SQL Server 2008para permitirnos la auditoría en instancias de SQL Server 2008 y queanalizaremos a continuación.

12.6.1. Auditoría en SQL Server 2008Para configurar la auditoría, en primer lugar debemos crear un objeto

Auditoría, tal y como muestra la Figura 8. Básicamente definiremos el destino de laauditoría (Fichero, Registro de seguridad o Registro de aplicación) y cómo SQLServer gestionará los tamaños de la auditoría. Deberemos de asegurarnos de habili-tar el objeto Auditoría, antes de poder utilizarlo, puesto que por defecto, estosobjetos se crean deshabilitados.

Una vez definida la auditoría, deberemos crear la Especificación de laauditoría, en la que básicamente configuraremos cuáles son los eventos que desea-mos auditar. Llegados a este punto, podemos crear especificaciones a nivel deinstancia de SQL Server, para aquellos eventos que se generen a ese nivel, talescomo inicios de sesión, por ejemplo; o a nivel de base de datos, para los eventos queocurren dentro de cada base de datos, tales como los accesos a los datos. Estasespecificaciones, a nivel de base de datos, son las que nos interesan en este caso.Para crear dicha especificación, deberemos acceder a la carpeta Especificaciones deauditoría de base de datos, dentro de la carpeta Seguridad de la base de datos, tal y


232


como podemos apreciar en la primera figura de la siguiente página. En esta especi-ficación debemos configurar lo siguiente:

1. La auditoría en la que almacenaremos el resultado de la especificación.

2. El tipo de acción a auditar, tal como SELECT, UPDATE o DELETE.

3. El objeto, esquema o base de datos, sobre el que queremos aplicar laespecificación.

4. La entidad (usuario o rol) que deseamos auditar.

Al igual que ocurría con las auditorías, debemos habilitar la especificaciónpara que entre en funcionamiento. A partir de ese momento, se irán registrando lasacciones auditadas en el destino seleccionado en la auditoría. Si hemos configuradoque la auditoría almacene los datos en fichero, podremos acceder al contenido delmismo a través de la función sys.fn_get_audit_file(), por ejemplo:

SELECT * FROM sys.fn_get_audit_file(‘C:\Temp\Audit_Test_E5CF6565-8052-46C3-A8D4-51D26698F5B5_0_128640862326190000.sqlaudit’,DEFAULT,DEFAULT)

12.7. Artículo 104. TelecomunicacionesEn el caso de que realicemos el acceso a datos de carácter personal de nivel

alto y almacenados en SQL Server a través de una red pública, deberemos configu-rar el cifrado de dichas comunicaciones, puesto que de forma predeterminada SQLServer tan sólo cifra los inicios de sesión de los usuarios, pero no las comunicacio-

Creación de un objetoAuditoría.

233

nes cliente/servidor posteriores. Para ello, deberemos disponer de un certificado anivel de sistema operativo que nos permita forzar el cifrado de las comunicaciones.Dicho certificado debe cumplir con los siguientes requisitos:

1. La propiedad Subject del certificado debe ser igual al nombre FQDN de lainstancia de SQL Server. Como alternativa, podemos configurar, a travésdel registro de Windows, el nombre del certificado a utilizar. El valor delregistro se denomina Certificate y se encuentra en la clave del registroHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQLServer\MSSQL10.xx\MSSQLServer\SuperSocketNetLib, donde xx hace referen-cia al nombre de la instancia de SQL Server 2008.

Especificación de laauditoría de base dedatos.

Cómo habilitar el cifradoen las comunicaciones deSQL Server.


234


2. El certificado debe contener, como uno de sus usos, la autenticación deservidor.

3. El certificado debe estar instalado para la cuenta de usuario que inicia elservicio de SQL Server.

Para que los cambios surtan efecto, debemos reiniciar la instancia de SQLServer. De este modo nos aseguramos de que todas las comunicaciones con esainstancia de SQL Server se cifren.

235

13

Implementación de la LOPDsobre SQL ServerSQL Server 2005-2008

13.1. Introducción

Actualmente, los sistemas de información de empresas y profesionales almace-nan y manejan datos de carácter personal en el desarrollo de su actividad. La leyOrgánica de Protección de Datos de carácter personal del año 1999 genera unconjunto de obligaciones relacionadas con la recogida de datos, acceso, auditoria,consentimiento, uso, almacenamiento, comunicación, cesión de datos, copia de lainformación, rectificación y acceso.

El presente documento muestra las posibilidades que SQL Server tanto en suversión de 2005 como de 2008 ofrece (la filosofía de implementación es aplicable aambas versiones) para desarrollar los casos de Registro de Accesos que el RealDecreto 994/1999 de 11 de Junio (Reglamento de Medidas de Seguridad de losficheros automatizados que contengan datos de carácter personal) contempla.

Para ello se incluyen en este documento los apartados de requisitos necesarios,modo de implementación y recomendaciones para llevar a cabo este propósito.

13.2. Objetivos del documento

Con este documento, se pretende:

Presentar el método para llevar el control de acceso a la información.

Requisitos para la implementación.

236


Acuse de rendimiento debido a la actuación del proceso de acceso a lainformación.

Recomendaciones.

13.3. Ejemplo teórico

Se propone un caso teórico para establecer la base sobre la cual se desarrollaráel siguiente apartado, el ejemplo práctico:

Partiendo de la premisa que según indica el Real Decreto 994/1999 de 11 deJunio en su capítulo IV (MEDIDAS DE SEGURIDAD DE NIVEL ALTO), en elArtículo 24 (Registro de Accesos) en los puntos 1 y 2:

1. “De cada acceso se guardarán, como mínimo, la identificación del usuario, lafecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sidoautorizado o denegado.”

2. “En el caso de que haya sido autorizado, será preciso guardar la información quepermita identificar el registro accedido.”

Se plantea el caso que se detalla a continuación.

Para un conjunto de datos que contienen información de carácter personal yque residen almacenados sobre SQL Server 2005, se necesita registrar el lugar en eltiempo, los accesos a los mismos por usuarios que explotan los datos y posterior-mente, si fuera necesario, en caso que el acceso haya sido positivo, recuperar lainformación a la cual estos usuarios accedieron en el momento deseado.

El caso real consistiría en almacenar la información correspondiente a losaccesos (identificación del usuario, fecha y hora, consulta realizada y permisividaden el acceso), realizados sobre tablas o vistas específicas, por usuarios que tenganposibilidad mediante aplicaciones o herramientas a los datos que las contienen.

Esto será posible mediante la ejecución de trazas específicas y dedicadas (lastrazas contendrán los filtros necesarios para no penalizar en rendimiento la activi-dad diaria de la aplicación) en el servidor de datos SQL Server que registrarán lainformación anteriormente citada en ficheros de traza.

De tal modo que es posible reproducir el comportamiento del tratamiento deinformación que el usuario realizó recuperando las sentencias ejecutadas en elmotor de datos junto con la copia de los datos sobre los cuales el usuario interactuócon ellos. Anotar que en la información que contiene la traza existe informaciónsuficiente para verificar si el usuario tuvo acceso permitido o no en la ejecución.

Para obtener el conjunto de datos sobre los cuales el usuario interactuó conellos, el método consiste, en primera fase, en generar una copia de seguridad de losdatos y otra de la información residente en el fichero de Log de manera periódica.

En segunda fase, para la recuperación de la información en un momentopuntual en el tiempo, se procederá con la restauración de los datos desde el backup

237

completo y posteriormente la restauración de los backups de Log hasta el instanteque se requiera, pues existen cláusulas específicas en las sentencias de restauraciónincluidas en SQL Server 2005 que permiten llevar a cabo este propósito.

Una vez que se ha obtenido la consulta a reproducir y se ha recuperado lainformación hasta el momento pedido, basta con ejecutar la sentencia y recoger lainformación resultante de ella.

13.4. Requisitos

En el siguiente apartado se presentan los requisitos para poder llevar a cabo laimplementación propuesta:

Modo de recuperación de la Base de Datos. Para llevar a cabo la recupe-ración de la información de los datos en un instante específico, el modo derecuperación de la BDD ha de estar configurada en modo completo, pueses el modo que permite la generación de copias de seguridad tanto de losficheros de datos como del fichero de log.

Permisos de seguridad para la creación y manipulación de componen-tes. Definir roles distintos para el acceso a información resultante delproceso de Registro de Accesos y para la creación de componentes (proce-dimientos almacenados y permisos para la modificación de los ficheros detraza generados), de tal modo que se distingan las capacidades de crea-ción y manipulación de registros de accesos, de las capacidades de explo-tación de la información resultante.

Almacenamiento de la información en tablas contenidas dentro de SQLServer 2005. Para poder realizar la captura de las sentencias y posteriorreproducción de la explotación de la información, los datos deberán estarpersistidos en tablas de SQL Server.

Enumeración de las tablas y vistas a filtrar. Para evitar que las trazasrecuperen y almacenen más información de la necesaria, se ha de conocerel conjunto de tablas y vistas sobre las cuales se requieren los procesos deseguimiento de acceso a la información, minimizándose tanto el posibleimpacto de crecimiento de los ficheros de trazas, como la pérdida derendimiento originada por un alto consumo en las necesidades de almace-namiento de información durante el proceso de Registro de Accesos.

Definición de seguridad. Para poder definir quién accedió a qué informa-ción, el modo de acceso al motor ha de estar definido de tal modo que sepueda identificar al usuario que realizó la consulta-actualización contra elmotor.

Así pues, por ejemplo, no será válida la posibilidad de identificar los accesos,en los casos que se trate de aplicaciones, componentes que impersonen credencialesde acceso para consultar al motor de datos.

Implementación LOPD sobre SQL Server

238


13.5. Implementación

Las bases sobre las cuales se sustenta el proceso para el control del Registro deAccesos son:

Trazas de SQL Server. Mediante la configuración, ejecución y control detrazas sobre SQL Server 2005, se permite la trazabilidad de sentenciasejecutadas contra el motor de datos, base principal para el control delRegistro de Accesos.

Procedimientos almacenados. Para la automatización del proceso deRegistro de Accesos, será necesario crear procedimientos que aglutinen lassentencias necesarias para la creación, inicio, y parada de trazas definidas.

Política de copia de seguridad y restauración. Para las situaciones en quese requiera recuperar la información a la cual accedió un usuario específi-co en un momento dado, se habrá de haber realizado copia de seguridadtanto del fichero de datos como de los correspondientes ficheros de log(mediante sentencias específicas de SQL Server que permiten llevar a caboeste propósito).

Una vez realizada esta operativa con la periodicidad que marque el usode la aplicación, se podrá restaurar la información hasta el momentodeseado, utilizando las sentencias específicas que SQL Server provee.

13.5.1. Implementación del proceso de Registro de AccesosIndicar que el código que aquí se presenta es un mero ejemplo de la posibili-

dad de crear trazas de modo programático y cómo se pueden iniciar de modoautomático o manual para llevar a cabo los propósitos del Registro de Accesos.

Por tanto, la codificación dependerá de los entornos y las necesidades de cadasituación.

Creación del modelo de tablas sobre el cual se efectuará el seguimientode Registro de Accesos. Se plantea el siguiente conjunto de tablas pararealizar los ejemplos prácticos del proceso de Registro de Accesos. Tanto latabla tbPersonas como la tabla tbCcBancarias son candidatas para el proce-so de Registro de Accesos.

CREATE TABLE dbo.tbPersonas

(

ID INT NOT NULL,

Nombre NVARCHAR(50),

Apellido1 NVARCHAR(50),

Apellido2 NVARCHAR(50),

Direccion NVARCHAR(100),

Sexo BIT,

239

Fx_Insercion DATETIME DEFAULT GETDATE()

)

go

CREATE TABLE dbo.tbCcBancarias

(

ID INT NOT NULL,

FK_tbPersonas_ID INT NOT NULL,

FK_tbBancos_ID INT NOT NULL,

CCuentaB NVARCHAR(50),


)

go

CREATE table dbo.tbBancos

(

ID INT NOT NULL,

Nombre_Corto NVARCHAR(15),

Nombre_Largo NVARCHAR(50) NOT NULL,


)

Go

Creación de la tabla sobre la cual se reflejará el estado actual de ejecu-ción de la traza encargada del Registro de Accesos. A modo deimplementar un registro de actividad del estado de la traza en ejecución, yde modo que la información persista de modo que sea consultable, seplantea una tabla tbSeguimientoTraza, sobre la cual se almacenará la infor-mación de identificador de traza, fichero sobre el cual se almacenará lainformación, fecha de inicio y estado de la misma.

CREATE TABLE dbo.tbSeguimientoTraza

(

Idtraza INT NOT NULL,

Fichero NVARCHAR(128) NULL,

Inicio DATETIME NULL DEFAULT (getdate()),

Detencion DATETIME NULL,

ElemTraza NVARCHAR(128) NULL,

ID INT IDENTITY(1,1) NOT NULL

)

GO

Procedimiento almacenado encargado de la creación y el lanzamientode la traza de Registro de Accesos. El procedimiento que a continuaciónse propone, Crea_Traza_LOPD, presenta la creación de una traza con loseventos de SQL:BatchCompleted, SQL:StmtCompleted y SP:StmtCompleted,junto con los filtros de nombre de tabla y/o vista a tratar (los filtros de losobjetos a trazar se envían en formato XML). Además de esto, el procedi-miento almacenado se encargará de iniciar la traza definida.


240


Para más información consultar los BOL de SQL Server 2005.

create PROCEDURE [dbo].[Crea_Traza_LOPD]

@EspacioMaximo bigint, --- Espacio máx. del fichero de traza en MB

@FicheroTraza nvarchar(128), --- Unidad y ruta del fichero de

--- traza; el nombre del fichero será LOPD

--- concatenado con la fecha y hora

@XML_Objetos xml, --- Identificadores de los objetos a auditar

--- en formato XML

-- <IDENTIFICADORES><ID>tbpersonas</ID> .. .. ..<ID>tbccbancarias</ID></IDENTIFICADORES>

@DB_ID int --- Identificador de la base de datos sobre la

--- cual se audita

as

declare @Traza int

declare @IdTraza int

select@FicheroTraza=@FicheroTraza+REPLACE(REPLACE(‘\LOPD’+convert(nchar(24),getdate(),113),’:’,’’),’ ‘,’’)

select @FicheroTraza

exec @Traza = sp_trace_create @IdTraza output, 2, @FicheroTraza,@EspacioMaximo, NULL

if (@Traza != 0) goto error

-- Eventos

declare @on bit

set @on = 1

-- SQL:BatchCompleted

-- SQL:StmtCompleted(41)

-- SP:StmtCompleted(45)

exec sp_trace_setevent @IdTraza, 12, 1, @on










241







































-- Filtros

declare @salida as bit

declare @conta as int

declare @XML_Nodo as xml

declare @cadena as nvarchar(256)


242


select @conta= 1

select @salida=0

while (@salida =0)

begin

set @XML_Nodo = @XML_Objetos.query(‘

for $DE in /IDENTIFICADORES[1]/ID[sql:variable(“@conta”)],

$ELEM in $DE

return

$ELEM’)

if (@XML_Nodo.exist(‘(ID[1])’)=1)

begin

select @cadena = ‘%’ +@XML_Nodo.value(‘ID[1]’,’varchar(12)’) + ‘%’

exec sp_trace_setfilter @IdTraza, 1, 1, 6, @cadena

set @conta= @conta+1

end

else select @salida=1

end

exec sp_trace_setfilter @IdTraza, 3, 0, 0, @DB_ID

exec sp_trace_setfilter @IdTraza, 10, 0, 7, N’SQL Profiler’

-- Set the trace status to start

exec sp_trace_setstatus @IdTraza, 1

select TraceID=@IdTraza

declare @dat_param as varchar(max)

SELECT @dat_param= cast(T.c.query(‘.’) as varchar(max))

FROM @xml_objetos.nodes(‘/IDENTIFICADORES’) T(c)

exec (‘insert into LOPD.dbo.tbSeguimientoTraza (Idtraza, fichero,ElemTraza) values (‘+

@IdTraza+’,’’’+ @FicheroTraza+’’’’+’,’’’+ @dat_param + ‘’’)’)

goto finish

error:

select ErrorCode=@Traza

finish:

GO

Procedimiento almacenado para la parada de ejecución de la trazainiciada con el procedimiento anterior. El procedimiento almacenadoque se presenta a continuación, procede a la parada y eliminación delproceso de traza (no se elimina la información recopilada).

CREATE Procedure [dbo].[Para_Traza_Espec_LOPD]

@ID_Traza_STOP int,

@out int output

as

243

declare @IdTrazaTabla int

select @idTrazaTabla=t.id from tbSeguimientoTraza t

WHERE (t.IdTraza = @ID_TRAZA_STOP) and t.detencion is null

BEGIN TRY

exec sp_trace_setstatus @ID_Traza_STOP, 0 -- Detiene la traza

exec sp_trace_setstatus @ID_Traza_STOP, 2 -- Elimina la traza

update tbSeguimientoTraza set detencion = getdate() where id =@idtrazaTabla

select @out =0

END TRY

BEGIN CATCH

— Execute error retrieval routine.

SELECT

ERROR_NUMBER() AS Error,

ERROR_PROCEDURE() as Procedimiento,

ERROR_MESSAGE() as Mensaje;

select @out=1

END CATCH;

GO

Sentencias para la ejecución de modo manual de la traza de Registro deAccesos. Para la ejecución manual del proceso de inicio de trazas sedeberá ejecutar la siguiente instrucción.

exec dbo.Crea_Traza_LOPD_

1,

‘C:\Trabajo\LOPD’,

‘<IDENTIFICADORES>

<ID>tbpersonas</ID>

<ID>tbccbancarias</ID>

</IDENTIFICADORES>’,

29

exec BDD.SCHEMA.Crea_Traza_LOPD 1, ‘C:\Trabajo\LOPD’, ‘LOPD_0’,‘%tbPersonas%’,’’

Los parámetros a utilizar corresponden por orden a lo siguiente:

1: tamaño en Mb del fichero de traza a generar.

C:\Trabajo\LOPD: directorio sobre el cual se generarán los correspon-dientes ficheros de trazas.

<IDENTIFICADORES><ID>tbpersonas</ID><ID>tbccbancarias</ID></IDENTIFICADORES>: XML que contiene los objetos a trazar.

29: identificador de la base de datos sobre la cual se procederá acoleccionar información, basada en los filtros de objetos delparámetro anterior.


244


Sentencias para la ejecución de modo automático al inicio de la instan-cia de SQL Server 2005. Para el inicio del proceso de Registro de Accesosdesde el arranque del motor de modo automatizado, se plantean lassiguientes instrucciones.

CREATE PROCEDURE InicioLOPD

as

exec LOPD.dbo.Crea_Traza_LOPD 1, ‘C:\Trabajo\LOPD’,‘<IDENTIFICADORES><ID>tbpersonas</ID><ID>tbccbancarias</ID></IDENTIFICADORES>’,29

go

— Alta del procedimiento en arranque del motor

sp_procoption ‘InicioLOPD’, ‘startup’, ‘true’

go

Con la creación de los objetos anteriormente citados obtendríamos el resultadode ficheros de trazas que contienen la información filtrada de los datos referentes alos accesos, junto con información suficiente para poder determinar el usuario, lasentencia que se produjo y el momento de ejecución que generó el acceso sobre elmodelo de información.

Procedimiento para la parada de ejecuciones del proceso de Registro deAccesos. Para el proceso de parada de Registro de Accesos, se han defini-do dos modos diferentes:

1. Ejecución del procedimiento almacenado Para_Traza_Espec_LOPDdesde el arranque del motor de modo automatizado; se plantean lassiguientes instrucciones:CREATE PROCEDURE [dbo].[Para_Traza_Espec_LOPD]

@ID_Traza_STOP INT,

@out INT OUTPUT

AS

DECLARE @IdTrazaTabla INT

SELECT @idTrazaTabla=t.id FROM tbSeguimientoTraza t

WHERE (t.IdTraza = @ID_TRAZA_STOP) and t.detencion is null

BEGIN TRY

EXEC sp_trace_setstatus @ID_Traza_STOP, 0 -- Detiene la traza

EXEC sp_trace_setstatus @ID_Traza_STOP, 2 -- Elimina la traza

UPDATE tbSeguimientoTraza SET detencion = GETDATE() WHERE id =@idtrazaTabla

SELECT @out =0

END TRY

BEGIN CATCH

-- Retorno de error ocurrido.

SELECT

ERROR_NUMBER() AS Error,

ERROR_PROCEDURE() AS Procedimiento,

245

ERROR_MESSAGE() AS Mensaje;

SELECT @out=1

END CATCH;

GO

2. O bien, desde un conjunto de informes, ejecutables desde la consolade SQL Server Management Studio:

13.5.2. Acceso a la información de Registro de AccesosUna vez llevadas a cabo las tareas de creación y ejecución anteriormente

citadas, se plantea la necesidad de poder replicar el comportamiento que se produ-jo, de modo que se pueda recuperar la información tratada por un usuario específi-co en un momento dado, con los datos que estaban en vigor en ese instante. Asípues, los pasos necesarios serán:

Recuperación de la consulta realizada en el momento pedido. Se plan-tean dos modos de acción para recuperar la información almacenada enlos ficheros de traza:

1. Apertura de la traza mediante la aplicación “SQL Server Profiler”(véase la primera figura de la siguiente página).

2. Recuperación de la información de traza mediante comandos SQL:SELECT LoginName, NtUsername, Textdata, StartTime, EndTime,EventClass, Error

INTO tabla_traza_LOPD

FROM ::fn_trace_gettable(‘C:\Trabajo\LOPD\LOPD31_May_2007_09_12_13_217.trc’, DEFAULT)

WHERE textdata IS NOT NULL


246


Esta sentencia T-SQL se encarga de leer el fichero de traza especifica-do por parámetro en la función ::fn_trace_gettable y volcar la informa-ción contenida en él, a la tabla tabla_traza_LOPD, la cual no seránecesaria haberla creado con antelación pues de ese propósito seencarga la propia sentencia SELECT … INTO.

Una vez insertada la información, podremos consultar la tablatabla_traza_LOPD consiguiendo la operación a replicar.

Recuperación del estado de la información hasta el momento pedido. Esel momento de recuperar la información mediante RESTORE. Para poderrealizar esta tarea, el modo de recuperación de la base de datos se ha deencontrar en modo FULL, el cual permite la restauración de la informacióndel Log de transacciones hasta un momento específico. (Véase la primerafigura de la siguiente página.)

Para llevar a cabo la restauración en un momento específico se deberáejecutar el siguiente conjunto de instrucciones:

Use MASTER

RESTORE DATABASE [LOPD_1] FROM

DISK = N’C:\Trabajo\LOPD\BCK_LOPD_FULL.bak’

247

WITH FILE = 1,

MOVE N’0_LOPD’ TO N’C:\trabajo\lopd\0_LOPD.mdf’,

MOVE N’0_LOPD_log’ TO N’C:\trabajo\lopd\0_LOPD_log.ldf’,

NORECOVERY

GO

RESTORE LOG [LOPD_1] FROM

DISK = N’C:\Trabajo\LOPD\BCK_LOPD_LOG.trn’

WITH FILE = 1,

STOPAT=’Jun 01, 2007 15:22:00 PM’,

RECOVERY

GO

En este caso ejecutaremos la recuperación de la información, hasta el día yhora indicada en la cláusula STOPAT (01-06-2007 a las 15:22:00).

La recuperación la realizaremos sobre una nueva base de datos (LOPD_1).

Recuperación de los datos sobre la consulta y la información restaurada.Una vez restaurada la información, y con la sentencia a tratar, ejecutamosésta en el sistema restaurado recuperando la información deseada.


248


13.5.3. Recomendaciones en casos especiales No es necesaria la restauración en un entorno espejo al de producción

para el proceso de restauración, pues los requerimientos de aplicación(carga de usuarios, concurrencia) no estarán presentes.

Para la recuperación de tablas con un gran volumen de información y quese encuentren definidas en “files”, existe la posibilidad de recuperarlasdesde copias de seguridad mediante la instrucción RESTORE DATABASE<nombre_basedatos> <fichero_o_grupoficheros> [n] ... WITH NORECOVERY ....

13.6. RendimientoPara evitar que el rendimiento del proceso de traza penalice en rendimiento a

la operativa diaria de la aplicación, es recomendable almacenar los ficheros resul-tantes de la traza en unidades de disco que no interfieran en el proceso de losficheros.

13.6.1. Sobrecarga del proceso de trazaPara probar la carga efectiva del proceso de Registro de accesos, se ha plantea-

do el siguiente marco de pruebas:

Sobre el conjunto de tablas definidas en este documento con anterioridad,se ha procedido a realizar las siguientes ejecuciones de modo que se puedasimular la carga de ejecución sobre una aplicación tipo que consulta datosen un 75% de los casos y actualiza e inserta en el 25% restante:

Datos en la BDD restaura-da LOPD_1.

Datos en la BDD originalLOPD_0.

249

Consulta Simple. Acceso mediante join a la tabla de personas y cuentasbancarias, devolviendo 1000 filas por cada ejecución.

Consulta Media. Acceso mediante join a las tablas de personas, cuentasbancarias y bancos con ordenación específica, devolviendo 500 filas porejecución.

Consulta Compleja. Acceso dentro de la misma ejecución a las dosconsultas anteriormente citadas.

Actualizaciones e inserciones. Proceso que realiza 10 inserciones sobre latabla Bancos, 5 inserciones sobre la tabla Personas y 10 inserciones sobre latabla tbCcBancarias.

Después de realizar las mediciones referentes a consumo de CPU, semuestra que el consumo medio extra se refiere en torno a un 2%, la diferen-cia entre las dos mediciones realizadas, consumo medio de CPU en casoúnicamente de proceso de carga 62,357 y consumo medio de CPU en el casode proceso de carga y trazas activas 64,185.

Ejecución de procesode carga.

Ejecución de proceso decarga más trazas activadas.

Anotar que para el proceso de Registro de Accesos sólo se han registradolas consultas que realizaban llamadas a la tabla tbPersonas y tbccBancarias.


250


13.6.2. Almacenamiento físico de los ficheros de trazaOtro parámetro a tener en cuenta es el almacenamiento físico de las trazas,

pues la información que éstas arrojan es almacenada físicamente en ficheros conextensión “.trz”.

A continuación se muestra una tabla con información de espacio resultante deprocesos de pruebas de registro de actividad:

Tiempode ejecución

Número desentenciasrecogidas

Sentenciaspor segundo

Espaciorequerido

10 minutos 6.168 10,3 2.304 Kb

10 minutos 10.387 17,3 3.712 Kb

10 minutos 88.548 147,6 27.520 Kb

Para los datos mostrados se ha utilizado el modelo de datos citado en anterio-res apartados con las consultas utilizadas durante la prueba de “Sobrecarga deproceso” y recogiendo información de las consultas accedidas sobre las tablastbPersonas y tbBancos.

El número de ficheros de traza generados fue de cuatro, ya que el tamañodefinido para el “rollover” de ficheros de traza automática se situó en 1Mb, corres-pondiendo a dos ficheros de 1024 Kb para el caso de la traza sobre la tablatbPersonas y otros dos ficheros más, con tamaños 1024 Kb y 640 Kb respectivamente,para el proceso de traza sobre la tabla tbBancos.

Debido al espacio físico que pueden llegar a acumular las trazas durante elproceso de Registro de Accesos (una gran cantidad de objetos a trazar, aumentará elcontenido del fichero “.trz” correspondiente) es recomendable:

Establecer una política de almacenamiento y RollOver de ficheros:

Durante la creación de los ficheros de traza mediante la instrucciónsp_create_trace, se permite definir tanto el tamaño de fichero como elcomportamiento en caso que éste llegue al máximo de la capacidaddefinida, en el caso de activación/creación de la traza mediante elparámetro RollOver. La propia instrucción se encargará de generarficheros de traza con una numeración consecutiva.

Si la característica RollOver se encuentra activada, establecer untamaño máximo de fichero de traza, por ejemplo de 100 Mb, de talmodo que sean manejables y fácilmente accesibles para la búsquedade información sobre ellos.

Establecer un sistema cíclico de volcado de información a histórico,como por ejemplo de carácter semanal.

251

Tratar la información resultante comprimiéndola:

Debido a la naturaleza de la información contenida por los ficherosde traza, ésta es transformada en una relación aproximadamente de1/30 después de realizar procesos de compresión sobre ella. Esto per-mite reducir el almacenamiento de un modo bastante considerable.

13.7. Nuevas características en SQL Server 2008

El proceso anteriormente descrito es posible llevarlo a cabo sobre la versiónSQL Server 2008.

No obstante, hay que tener en cuenta que esta última versión goza de mejorasorientadas al control de registro de accesos al motor de datos mediante las opcionesEnable Common Criteria compliance y Enable C2 audit tracing, así como el conjunto deauditoría de acceso.

Tamañode traza

Tamañocomprimido

2.304 Kb

3.712 kB

27.520 kB

67 kB

94 kB

739 kB


252


Otro de los puntos de interés que trae consigo SQL Server 2008 es Change DataCapture, que permite el registro de cambios de datos en tablas sin necesidad deutilizar triggers u otros mecanismos de intercepción de los cambios.

Para información más detallada de todas las mejoras de esta última versión,remitirse a BOL o http://msdn.microsoft.com/es-es/library/cc280526.aspx.

13.8. Apéndices

13.8.1. Implementación de trazas sobre SQL Server 2005 Introducción a las trazas de SQL

http://msdn2.microsoft.com/es-es/library/ms191006.aspx

Visualización y análisis de trazas con el Analizador de SQL Server

http://msdn2.microsoft.com/es-ES/library/ms175848.aspx

Reproducción de trazas


253

13.8.2. Posibilidades de Backup y Restore en SQL Server 2005 RESTORE Statements for Restoring, Recovering, and Managing

Backups

http://msdn2.microsoft.com/en-us/library/ms190372.aspx

BACKUP (Transact-SQL)


Working with Transaction Log Backups


13.8.3. Seguridad en SQL Server 2005 Consideraciones de seguridad para SQL Server


Permisos necesarios para ejecutar el Analizador de SQL Server


13.8.4. Seguridad en SQL Server 2008 Seguridad y protección (motor de base de datos)

http://technet.microsoft.com/es-es/library/bb510589.aspx

Mejoras de seguridad (motor de base de datos)

http://msdn.microsoft.com/es-es/library/cc645578.aspx


254


255

14

Política de seguridad

14.1. Introducción

La necesidad de definir una política de seguridad es algo absolutamenteindiscutible. Las actuaciones voluntaristas de un departamento de TI en materia deseguridad siempre estarán lejos de conseguir muchos de los objetivos que nosmarcamos en esa visión multidimensional del problema. Ni la tecnología es el únicoproblema, ni evidentemente es la única solución.

El cumplimiento de la LOPD representa un indiscutible impulsor del sector dela seguridad en España. Aprovechar la necesidad legal de su cumplimiento paraextender el alcance de las iniciativas tomadas hacia una política de seguridadgeneral mas allá del estricto dato personal, es una decisión tomada por numerosasempresas.

Resultará interesante hablar de qué pasos podemos dar para conseguir unapolítica de seguridad correcta. Existen numerosos procedimientos que determinanla calidad de un sistema en este aspecto, BS, ISO, AENOR, etc., cuyos aspectos estánfuera del alcance de este capítulo. Sin embargo, todos aquellos responsables deponer en marcha una política de seguridad saben de la dificultad innata a la tareade ajustar una iniciativa como ésta a la idiosincrasia de la empresa. Desde el mo-mento en el que una política de seguridad afecta a toda la compañía, a todos y cadauno de sus departamentos, ya sabemos que nos enfrentamos a una tarea complejacuyo éxito depende en gran medida del compromiso de los implicados en sudefinición fundamentalmente, pero de toda la compañía en general.

14.2. Fases fundamentales

Sin pretender dar un recetario, exponemos unos puntos de reflexión extraídosde experiencias de profesionales de la seguridad, y que recogen algunas de las

256


dificultades y métodos para la definición inicial de una política de seguridad yacercarnos a ese compromiso deseado de la compañía. Son puntos muy prácticosque arrojan algo de luz sobre los pasos previos necesarios a dar en su definición.

Establecemos cinco fases fundamentales con objetivos muy definidos, aunquesólo comentaremos las tres primeras por ser las más orientadas a dar esos primerospasos organizativos:

Fase 1. Organización y análisis.

Fase 2. Desarrollo de un estudio sobre las necesidades de privacidad.

Fase 3. Evaluación de las necesidades tecnológicas para la protección de laprivacidad.

Fase 4. Desarrollo de la política y planes.

Fase 5. Implementación del plan.

14.2.1. Fase 1. Organización y análisisEsta fase supone la puesta en marcha de la iniciativa y requiere una toma de

datos básica, así como estructurar un grupo de trabajo capaz de ponerla en marcha.Podemos definir ocho puntos a tener en cuenta en esta fase:

Desarrollo de una filosofía general de privacidad. Es decir, establecer unequilibrio de consenso entre las perspectivas de bajo y alto riesgo. Unaperspectiva de bajo riesgo es aquella en la que una política de seguridadestá en marcha, la diseminación de información está fuertemente controla-da, las políticas se establecen por tipo de dato, todas las salidas de infor-mación fuera de la empresa necesitan ser previamente aprobadas, etc. Porel contrario, una perspectiva de alto riesgo es aquella en la que políticasno severas están en marcha, la información se controla débilmente, existenpolíticas globales poco específicas y se permite a las unidades de negocioy departamentos el tomar sus propias decisiones sobre el uso de la infor-mación. Ambos extremos delimitan una filosofía de privacidad llena degrises. Definir a priori la filosofía más cercana a nuestras necesidades esmuy conveniente y complicado pues, dentro de la misma compañía,existirán departamentos más decididos por una política de bajo riesgo,mientras otros abogarán por una de alto riesgo.

Responsable de privacidad. Los más elevados niveles de la direccióndeben apoyar los planes de privacidad ante toda la compañía. Es unindicador de la importancia que este asunto tiene para la compañía.Aunque el apoyo es fundamental, no es lo más recomendable que estenivel esté involucrado en el día a día del desarrollo del plan de seguridad.Simplemente por no ser lo más efectivo. Un director de nivel medio esmás adecuado para coordinar la tarea. La persona encargada deberá

257


dedicar gran parte de su tiempo a esta tarea que, en ocasiones, requeriráuna dedicación total. Debe mantener una buena relación con todos losdepartamentos de la empresa y con los recursos externos.

Creación del Grupo de trabajo de privacidad (Privacity Task Force). Esnecesario crear un grupo de trabajo interdepartamental liderado por elresponsable de privacidad y con representación de todos los departamen-tos de la compañía (dos por departamento, uno principal y otro suplente).El mejor rol posible del CEO sería asegurarse de que el grupo de trabajode seguridad obtiene los recursos, la participación y la cooperaciónnecesarios para este desempeño. La función del CEO en este sentido es lade dejar constancia de la importancia del grupo en todos sus reportesdirectos, así como dar el apoyo necesario para situar la importancia de latarea asignada al grupo creado.

Organización a nivel departamental .Cada departamento deberá tener supropio equipo de privacidad que desarrolle los trabajos de investigación,evaluación o implementación, liderados por su representante en el Grupode trabajo. Debería constituirse con niveles de supervisión y técnicos.

Evaluación de la capacidad del Grupo de trabajo. Es necesario evaluarlas capacidades y conocimientos del grupo de trabajo, formación, expe-riencia en asuntos relacionados con la privacidad, etc. Igualmente, es unatarea a desarrollar por cada miembro del grupo de trabajo en su grupodepartamental. Identificar correctamente esto permitirá identificar necesi-dades de formación y/o contratación de ayuda externa (legal, consultoría,etc.). El objetivo es cubrir las carencias detectadas en el apartado anterior.

Establecer el calendario de trabajo. Será imprescindible desarrollar unaagenda de reuniones periódicas desde el primer momento, con objetivosconcretos. Una reunión de frecuencia fija será necesaria, además de lasque el proceder vaya marcando. Serán necesarias para formar subcomités,identificar responsabilidades, asignar tareas interdepartamentales, etc. Losgrupos departamentales deberán reunirse con la frecuencia necesaria pararespetar las agendas y compromisos del Grupo de trabajo global.

Campaña de concienciación. La iniciativa necesita ser apoyada y conoci-da por toda la compañía. Los distintos grupos de trabajo tendrán escasoéxito sin el apoyo y conocimiento de todos los empleados. Se debenutilizar todos los medios de comunicación interna: newsletters, intranets,reuniones, marketing interno, etc.; así como plantear planes de formaciónal respecto para las nuevas incorporaciones y para los empleados.

Establecer el escenario para el inicio del estudio de necesidades deprivacidad. Notificar a los empleados el tipo de información que seránecesaria recoger en el inicio del estudio (a acometer en la siguiente fase).

258


14.2.2. Fase 2. Desarrollo de un estudio sobre las necesidadesde privacidad

La compañía debe comenzar a conocer los diferentes tipos de datos e informa-ción que almacena y utiliza. Esta fase ayuda a la compañía a identificar esos datos,determinar su origen, establecer cómo deben ser utilizados, identificar de qué formay cómo se diseminan. Además, este proceso ha de identificar aquellas leyes yregulaciones gubernamentales y requerimientos internos que pueden gobernar laforma en la que se recogen y difunden esos datos.

14.2.2.1. Establecer un sistema de inventario de datos

Apoyarse en una base de datos es una herramienta útil para almacenar lainformación recogida. Probablemente, los campos indicados constituyan una buenabase de partida para la construcción de dicha base. El inventario ha de ser lo másprofundo posible. Ninguna compañía debería tener una falsa percepción de seguri-dad como fruto de un inventario de datos incompleto. Es muy común leer en elperiódico un caso concreto sobre problemas de privacidad de un determinado tipode datos y prematuramente concluir con que no somos vulnerables. Los campos deesta base de datos bien podrían ser: descripción del dato, departamento responsa-ble, fuente, sistema donde reside, dónde residen copias en papel, cómo y dónde seutilizan internamente, cómo y dónde se distribuyen, política existente sobre el usode datos, leyes al respecto del uso de esos datos, incidentes previos respecto a suuso, notas del grupo de seguridad sobre esos datos, etc.

14.2.2.2. Puesta en marca del proceso de inventario

Son muchas las fuentes de datos que hay que considerar. Cada departamentodebe determinar qué tipo de datos recoge, crea o utiliza. El grupo departamentaldebe proporcionar esta información al grupo de seguridad. Las compañías nodeben presuponer que el departamento de TI conoce todos los datos utilizados porlos demás departamentos o unidades de negocio.

Los almacenes de datos surgen “como setas” en las compañías. Por ejemplo,ficheros de los usuarios, ficheros de los proveedores, del canal de partners, registrosdesde el web site, registros de empleados, ficheros de I+D, ficheros de suscripciónpara newsletters corporativas, etc. En cualquier caso, las compañías deben ser muyrealistas en este aspecto, ya que todos los departamentos y unidades de negocio sesienten como propietarios absolutos de esos datos. Hay una barrera cultural alcambio. Existe una tendencia observada en el tiempo a no cooperar totalmente conlas iniciativas de ámbito global. La mejor herramienta para conseguir esa profundi-dad en el análisis de los datos puede que no sea enviar un formulario enorme acada supervisor para que sea completado, sino una aproximación más deconcienciación en la que tanto supervisores clave como expertos técnicos sonencuestados sobre cómo son manejados los datos.

Tres puntos de la estrategia global puesta en marcha pueden ayudar a vencerresistencias:

259


1. Campaña de información interna sobre la importancia de la privacidad,realizada en la fase anterior, proporcionando al empleado una forma deproporcionar feedback sobre vulnerabilidades potenciales de laprivacidad.

2. Comenzar el proceso formal de inventario de datos.

3. Crear y distribuir una encuesta a los empleados clave para recoger susinputs sobre la vulneración de la privacidad.

La compañía puede triangular estas tres fuentes de información y obtenervaliosa información mientras construye el inventario de datos.

14.2.2.3. Existencia de políticas previas

¿Existe ya alguna política previa asociada a determinado tipo de dato? ¿Inclu-so cuando no se haya identificado como política? Si existe, es el momento de reco-gerla, ya esté escrita o no, para su posterior análisis por el grupo de seguridad. Esteproceso debe examinar si las políticas existentes no contradicen las nuevas. No sedeben cambiar las existentes si se adaptan bien a las nuevas.

14.2.2.4. Leyes actuales. LOPD

¿Existe una normativa especial que gobierne el manejo de los datos quemanipulamos? La asesoría legal es un aspecto muy importante para evitar posiblesmalas interpretaciones o acciones incorrectas en lo que respecta a la normativaexistente.

14.2.2.5. Asesoría y cobertura de seguros

Se deben estudiar las ofertas de compañías de seguros en materia de cobertu-ras por interrupción de actividad y/o violación de privacidad. Las grandes compa-ñías suelen tener un departamento de análisis de riesgos, bajo cuyo paraguas caeríala responsabilidad de evaluar los riesgos y las coberturas de los seguros asociados.

14.2.2.6. Identificar problemas de privacidad pasados y presentes

Desafortunadamente, muchas compañías no comienzan a tomarse en serio laseguridad hasta que existe algún incidente. El grupo de trabajo debe ser informadosobre cómo se actuó en este sentido. El mayor obstáculo se presenta cuando serecurre a la “memoria institucional” y vemos que los implicados en el problema yano están en la compañía o que la memoria tiende a ser muy selectiva.

14.2.2.7. Revisar políticas de seguridad y problemas de los partners de negocio

¿ Podríamos ser vulnerables por las prácticas de nuestros proveedores, canal,etc.? Estos partners de negocio deben ser informados de la puesta en marcha delplan. El mayor obstáculo es conseguir su cooperación, la que dependerá en granmedida del número de partners y la capacidad de influencia en sus procesos.

260


14.2.2.8. Chequear la reputación entre organismos jurídicos especializados

Las compañías deberían contactar directamente con organizaciones jurídicas ono jurídicas, pero con algún interés existente en indagar en la privacidad con la quetratamos nuestros datos, y chequear si han encontrado algún problema. De paso,aprovechar para informar sobre el desarrollo de un nuevo plan de privacidad.

14.2.2.9. Consolidación de resultados y clasificación de datos

Una vez recogida toda la información, es la hora de consolidar en informestodo lo correspondiente a esta fase, con especial atención a la clasificación de losdatos recogidos en base a criterios de sensibilidad e importancia de su privacidad. Apartir de esto, puede comenzarse a adelantar un borrador sobre la política deseguridad y procedimiento en el manejo de ese tipo de datos. Como resultado deesta fase, deberíamos tener muy claro el inventariado de datos y su clasificaciónsegún su sensibilidad e importancia, así como toda la normativa legal que les afecta.

En este apartado, un subcomité del grupo de seguridad debería iniciar lasiguiente fase, en estrecha colaboración con el departamento de TI o un consultorexterno de tecnologías de la información, para llevar a cabo una evaluación de latecnología que puede ayudar a mantener el nivel de privacidad deseado.

14.2.3. Fase 3. Evaluación de las necesidades tecnológicas parala protección de la privacidad

Es necesario evaluar las capacidades existentes en la empresa para operar eimplantar la tecnología necesaria para asegurar la privacidad de la informacióncorporativa. Esta evaluación requiere un detenido análisis de tecnologías, personalde seguridad, fondos para seguridad y planes de seguridad. Este estudio deberíaser llevado a cabo por un subcomité de la Task Force, en trabajo conjunto con eldepartamento IT y, si fuera necesario, contar con una consultoría externa.

Las funciones de este subcomité irían orientadas a:

Asesorar al Grupo de trabajo sobre aspectos tecnológicos.

Preparar reuniones sobre problemas tecnológicos específicos.

Educar al Grupo de trabajo sobre el potencial y limitaciones de la tecnología.

Examinar las capacidades en materia de seguridad en las tecnologías de lainformación.

Revisar problemas tecnológicos derivados de las necesidades deprivacidad detectadas en la fase anterior.

Revisar los procedimientos y planes de seguridad de la informaciónexistentes.

Testear la seguridad de la tecnología de la información.

261


Ayudar en las pruebas sobre las debilidades existentes en los procedi-mientos en torno a la privacidad.

Las tecnologías sobre las que tenemos que reflexionar en cada uno de losaspectos necesarios se pueden clasificar perfectamente en:

1. Tecnologías para la protección de la información almacenada en sistemas.

2. Tecnología para la protección de los datos en tránsito.

3. Tecnología para la protección de las comunicaciones de voz.

4. Tecnologías para la protección física de las copias de información.

5. Tecnología para el cumplimiento de las especificaciones de “PuertoSeguro” (Safe Harbor).

En este punto resulta fundamental conocer lo que la tecnología nos ofrece yseleccionar los elementos que nos permitan afrontar cada uno de estos aspectos.

Microsoft es el fabricante de software que más soluciones de seguridad aportaa sus productos. El objetivo es la “democratización” del acceso a la seguridad, quela seguridad no se convierta en algo inalcanzable .

En cualquier caso, es IMPRESCINDIBLE que el subcomité tecnológico delGrupo de trabajo revise las capacidades, conocimientos y certificaciones de todo elstaff responsable de la gestión de la red y control de los productos de software, yrecomendar formación adicional si fuera necesario. En términos tecnológicos, lossistemas se constituyen tan seguros como los conocimientos de las personas que losoperan. No caigamos en el repetido error de dar la operación de determinadossistemas a personas inexpertas o sin la debida formación. Todos los sistemas requie-ren ser operados por personal cualificado y certificado. No descuidemos esteaspecto que la experiencia nos enseña, ya que puede ser fuente de posterioresproblemas o vulnerabilidades en la integridad del sistema.

262


Parte III

Anexos

Anexo A. Ley Orgánica 15/1999, de 13 de diciembre, de protección dedatos de carácter personal 265

Anexo B. Real decreto por el que se aprueba el reglamento de desarrollode la Ley Orgánica 15/1999, de 13 de diciembre, de protecciónde datos de carácter personal 295

Glosario de términos 383

264


265

A

Ley Orgánica 15/1999,de 13 de diciembre,de protección de datosde carácter personal

(Cambio denominación por artículo 79 Ley 62/2003, de 30 de noviembre: Lasreferencias a la Agencia de Protección de Datos deberán entenderse realizadas a laAgencia Española de Protección de Datos.)

TÍTULO I. Disposiciones generales

Artículo 1. ObjetoLa presente Ley Orgánica tiene por objeto garantizar y proteger, en lo que

concierne al tratamiento de los datos personales, las libertades públicas y los dere-chos fundamentales de las personas físicas, y especialmente de su honor e intimi-dad personal y familiar.

Artículo 2. Ámbito de aplicación1. La presente Ley Orgánica será de aplicación a los datos de carácter perso-

nal registrados en soporte físico que los haga susceptibles de tratamiento,y a toda modalidad de uso posterior de estos datos por los sectores públi-co y privado. Se regirá por la presente Ley Orgánica todo tratamiento dedatos de carácter personal:

a) Cuando el tratamiento sea efectuado en territorio español en el marcode las actividades de un establecimiento del responsable del trata-miento.

266


b) Cuando al responsable del tratamiento no establecido en territorioespañol, le sea de aplicación la legislación española en aplicación denormas de Derecho Internacional público.

c) Cuando el responsable del tratamiento no esté establecido en territo-rio de la Unión Europea y utilice en el tratamiento de datos mediossituados en territorio español, salvo que tales medios se utilicenúnicamente con fines de tránsito.

2. El régimen de protección de los datos de carácter personal que se estable-ce en la presente Ley Orgánica no será de aplicación:

a) A los ficheros mantenidos por personas físicas en el ejercicio deactividades exclusivamente personales o domésticas.

b) A los ficheros sometidos a la normativa sobre protección de materiasclasificadas.

c) A los ficheros establecidos para la investigación del terrorismo y deformas graves de delincuencia organizada. No obstante, en estossupuestos el responsable del fichero comunicará previamente laexistencia del mismo, sus características generales y su finalidad a laAgencia de Protección de Datos.

3. Se regirán por sus disposiciones específicas, y por lo especialmente previs-to, en su caso, por esta Ley Orgánica los siguientes tratamientos de datospersonales:

a) Los ficheros regulados por la legislación de régimen electoral.b) Los que sirvan a fines exclusivamente estadísticos, y estén

amparados por la legislación estatal o autonómica sobre lafunción estadística pública.

c) Los que tengan por objeto el almacenamiento de los datos contenidosen los informes personales de calificación a que se refiere la legisla-ción del Régimen del personal de las Fuerzas Armadas.

d) Los derivados del Registro Civil y del Registro Central de penados yrebeldes.

e) Los procedentes de imágenes y sonidos obtenidos mediante la utiliza-ción de videocámaras por las Fuerzas y Cuerpos de Seguridad, deconformidad con la legislación sobre la materia.

Artículo 3. DefinicionesA los efectos de la presente Ley Orgánica se entenderá por:a) Datos de carácter personal: Cualquier información concerniente a perso-

nas físicas identificadas o identificables.

b) Fichero: Todo conjunto organizado de datos de carácter personal, cual-quiera que fuere la forma o modalidad de su creación, almacenamiento,organización y acceso.

267

Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal

c) Tratamiento de datos: Operaciones y procedimientos técnicos de carácter au-tomatizado o no, que permitan la recogida, grabación, conservación, elabo-ración, modificación, bloqueo y cancelación, así como las cesiones de datosque resulten de comunicaciones, consultas, interconexiones y transferencias.

d) Responsable del fichero o tratamiento: Persona física o jurídica, de natura-leza pública o privada, u órgano administrativo, que decida sobre lafinalidad, contenido y uso del tratamiento.

e) Afectado o interesado: Persona física titular de los datos que sean objetodel tratamiento a que se refiere el apartado c) del presente artículo.

f) Procedimiento de disociación: Todo tratamiento de datos personales demodo que la información que se obtenga no pueda asociarse a personaidentificada o identificable.

g) Encargado del tratamiento: La persona física o jurídica, autoridad pública,servicio o cualquier otro organismo que, solo o conjuntamente con otros,trate datos personales por cuenta del responsable del tratamiento.

h) Consentimiento del interesado: Toda manifestación de voluntad, libre,inequívoca, específica e informada, mediante la que el interesado consien-ta el tratamiento de datos personales que le conciernen.

i) Cesión o comunicación de datos: Toda revelación de datos realizada a unapersona distinta del interesado.

j) Fuentes accesibles al público: Aquellos ficheros cuya consulta puede serrealizada por cualquier persona, no impedida por una norma limitativa, osin más exigencia que, en su caso, el abono de una contraprestación.Tienen la consideración de fuentes de acceso público, exclusivamente, elcenso promocional, los repertorios telefónicos en los términos previstospor su normativa específica y las listas de personas pertenecientes agrupos de profesionales que contengan únicamente los datos de nombre,título, profesión, actividad, grado académico, dirección e indicación de supertenencia al grupo. Asimismo, tienen el carácter de fuentes de accesopúblico, los Diarios y Boletines oficiales y los medios de comunicación.

TÍTULO II. Principios de la protección de datos

Artículo 4. Calidad de los datos1. Los datos de carácter personal sólo se podrán recoger para su tratamiento,

así como someterlos a dicho tratamiento, cuando sean adecuados, perti-nentes y no excesivos en relación con el ámbito y las finalidades determi-nadas, explícitas y legítimas para las que se hayan obtenido.

2. Los datos de carácter personal objeto de tratamiento no podrán usarsepara finalidades incompatibles con aquellas para las que los datos hubie-ran sido recogidos. No se considerará incompatible el tratamiento poste-rior de éstos con fines históricos, estadísticos o científicos.

268


3. Los datos de carácter personal serán exactos y puestos al día de forma querespondan con veracidad a la situación actual del afectado.

4. Si los datos de carácter personal registrados resultaran ser inexactos, entodo o en parte, o incompletos, serán cancelados y sustituidos de oficiopor los correspondientes datos rectificados o completados, sin perjuicio delas facultades que a los afectados reconoce el artículo 16.

5. Los datos de carácter personal serán cancelados cuando hayan dejado deser necesarios o pertinentes para la finalidad para la cual hubieran sidorecabados o registrados.

No serán conservados en forma que permita la identificación del interesa-do durante un período superior al necesario para los fines en base a loscuales hubieran sido recabados o registrados.

Reglamentariamente se determinará el procedimiento por el que, porexcepción, atendidos los valores históricos, estadísticos o científicos deacuerdo con la legislación específica, se decida el mantenimiento íntegrode determinados datos.

6. Los datos de carácter personal serán almacenados de forma que permitanel ejercicio del derecho de acceso, salvo que sean legalmente cancelados.

7. Se prohibe la recogida de datos por medios fraudulentos, desleales o ilícitos.

Artículo 5 . Derecho de información en la recogida de datos.1. Los interesados a los que se soliciten datos personales deberán ser previa-

mente informados de modo expreso, preciso e inequívoco:

a) De la existencia de un fichero o tratamiento de datos de carácterpersonal, de la finalidad de la recogida de éstos y de los destinatariosde la información.

b) Del carácter obligatorio o facultativo de su respuesta a las preguntasque les sean planteadas.

c) De las consecuencias de la obtención de los datos o de la negativa asuministrarlos.

d) De la posibilidad de ejercitar los derechos de acceso, rectificación,cancelación y oposición.

e) De la identidad y dirección del responsable del tratamiento o, en sucaso, de su representante.

Cuando el responsable del tratamiento no esté establecido en el territoriode la Unión Europea y utilice en el tratamiento de datos medios situadosen territorio español, deberá designar, salvo que tales medios se utilicencon fines de tránsito, un representante en España, sin perjuicio de lasacciones que pudieran emprenderse contra el propio responsable deltratamiento.

269

2. Cuando se utilicen cuestionarios u otros impresos para la recogida, figura-rán en los mismos, en forma claramente legible, las advertencias a que serefiere el apartado anterior.

3. No será necesaria la información a que se refieren las letras b), c) yd) del apartado 1 si el contenido de ella se deduce claramente de lanaturaleza de los datos personales que se solicitan o de las circuns-tancias en que se recaban.

4. Cuando los datos de carácter personal no hayan sido recabados delinteresado, éste deberá ser informado de forma expresa, precisa e inequí-voca, por el responsable del fichero o su representante, dentro de los tresmeses siguientes al momento del registro de los datos, salvo que yahubiera sido informado con anterioridad, del contenido del tratamiento,de la procedencia de los datos, así como de lo previsto en las letras a), d) ye) del apartado 1 del presente artículo.

5. No será de aplicación lo dispuesto en el apartado anterior cuando expre-samente una Ley lo prevea, cuando el tratamiento tenga fines históricos,estadísticos o científicos, o cuando la información al interesado resulteimposible o exija esfuerzos desproporcionados, a criterio de la Agencia deProtección de Datos o del organismo autonómico equivalente, en conside-ración al número de interesados, a la antigüedad de los datos y a lasposibles medidas compensatorias.

Asimismo, tampoco regirá lo dispuesto en el apartado anterior cuando losdatos procedan de fuentes accesibles al público y se destinen a la activi-dad de publicidad o prospección comercial, en cuyo caso, en cada comuni-cación que se dirija al interesado se le informará del origen de los datos yde la identidad del responsable del tratamiento así como de los derechosque le asisten.

Artículo 6. Consentimiento del afectado1. El tratamiento de los datos de carácter personal requerirá el consentimien-

to inequívoco del afectado, salvo que la Ley disponga otra cosa.

2. No será preciso el consentimiento cuando los datos de carácter personal serecojan para el ejercicio de las funciones propias de las AdministracionesPúblicas en el ámbito de sus competencias; cuando se refieran a las partes deun contrato o precontrato de una relación negocial, laboral o administrativay sean necesarios para su mantenimiento o cumplimiento; cuando el trata-miento de los datos tenga por finalidad proteger un interés vital del interesa-do en los términos del artículo 7 apartado 6 de la presente Ley, o cuando losdatos figuren en fuentes accesibles al público y su tratamiento sea necesariopara la satisfacción del interés legítimo perseguido por el responsable delfichero o por el del tercero a quien se comuniquen los datos, siempre que nose vulneren los derechos y libertades fundamentales del interesado.


270


3. El consentimiento a que se refiere el artículo podrá ser revocado cuandoexista causa justificada para ello y no se le atribuyan efectos retroactivos.

4. En los casos en los que no sea necesario el consentimiento del afectadopara el tratamiento de los datos de carácter personal, y siempre que unaLey no disponga lo contrario, éste podrá oponerse a su tratamientocuando existan motivos fundados y legítimos relativos a una concretasituación personal. En tal supuesto, el responsable del fichero excluirá deltratamiento los datos relativos al afectado.

Artículo 7. Datos especialmente protegidos1. De acuerdo con lo establecido en el apartado 2 del artículo 16 de la Consti-

tución, nadie podrá ser obligado a declarar sobre su ideología, religión ocreencias. Cuando en relación con estos datos se proceda a recabar elconsentimiento a que se refiere el apartado siguiente, se advertirá alinteresado acerca de su derecho a no prestarlo.

2. Sólo con el consentimiento expreso y por escrito del afectado podrán serobjeto de tratamiento los datos de carácter personal que revelen la ideolo-gía, afiliación sindical, religión y creencias. Se exceptúan los ficherosmantenidos por los partidos políticos, sindicatos, iglesias, confesiones ocomunidades religiosas y asociaciones, fundaciones y otras entidades sinánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical,en cuanto a los datos relativos a sus asociados o miembros, sin perjuiciode que la cesión de dichos datos precisará siempre el previo consentimien-to del afectado.

3. Los datos de carácter personal que hagan referencia al origen racial, a lasalud y a la vida sexual sólo podrán ser recabados, tratados y cedidoscuando, por razones de interés general, así lo disponga una Ley o elafectado consienta expresamente.

4. Quedan prohibidos los ficheros creados con la finalidad exclusiva dealmacenar datos de carácter personal que revelen la ideología, afiliaciónsindical, religión, creencias, origen racial o étnico, o vida sexual.

5. Los datos de carácter personal relativos a la comisión de infraccionespenales o administrativas sólo podrán ser incluidos en ficheros de lasAdministraciones Públicas competentes en los supuestos previstos en lasrespectivas normas reguladoras.

6. No obstante lo dispuesto en los apartados anteriores podrán ser objeto detratamiento los datos de carácter personal a que se refieren los apartados 2y 3 de este artículo, cuando dicho tratamiento resulte necesario para laprevención o para el diagnóstico médicos, la prestación de asistenciasanitaria o tratamientos médicos o la gestión de servicios sanitarios,siempre que dicho tratamiento de datos se realice por un profesionalsanitario sujeto al secreto profesional o por otra persona sujeta asimismo auna obligación equivalente de secreto.

271

También podrán ser objeto de tratamiento los datos a que se refiere el pá-rrafo anterior cuando el tratamiento sea necesario para salvaguardar elinterés vital del afectado o de otra persona, en el supuesto de que el afec-tado esté física o jurídicamente incapacitado para dar su consentimiento.

Artículo 8. Datos relativos a la saludSin perjuicio de lo que se dispone en el artículo 11 respecto de la cesión, las ins-

tituciones y los centros sanitarios públicos y privados y los profesionales correspon-dientes podrán proceder al tratamiento de los datos de carácter personal relativos ala salud de las personas que a ellos acudan o hayan de ser tratados en los mismos,de acuerdo con lo dispuesto en la legislación estatal o autonómica sobre sanidad.

Artículo 9. Seguridad de los datos1. El responsable del fichero, y, en su caso, el encargado del tratamiento, debe-

rán adoptar las medidas de índole técnica y organizativas necesarias que ga-ranticen la seguridad de los datos de carácter personal y eviten su alteración,pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de latecnología, la naturaleza de los datos almacenados y los riesgos a que estánexpuestos, ya provengan de la acción humana o del medio físico o natural.

2. No se registrarán datos de carácter personal en ficheros que no reúnan lascondiciones que se determinen por vía reglamentaria con respecto a suintegridad y seguridad y a las de los centros de tratamiento, locales,equipos, sistemas y programas.

3. Reglamentariamente se establecerán los requisitos y condiciones quedeban reunir los ficheros y las personas que intervengan en el tratamientode los datos a que se refiere el artículo 7 de esta Ley.

Artículo 10. Deber de secretoEl responsable del fichero y quienes intervengan en cualquier fase del trata-

miento de los datos de carácter personal están obligados al secreto profesionalrespecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aundespués de finalizar sus relaciones con el titular del fichero o, en su caso, con elresponsable del mismo.

Artículo 11. Comunicación de datos1. Los datos de carácter personal objeto del tratamiento sólo podrán ser

comunicados a un tercero para el cumplimiento de fines directamenterelacionados con las funciones legítimas del cedente y del cesionario conel previo consentimiento del interesado.

2. El consentimiento exigido en el apartado anterior no será preciso:

a) Cuando la cesión está autorizada en una Ley.


272


b) Cuando se trate de datos recogidos de fuentes accesibles al público.

c) Cuando el tratamiento responda a la libre y legítima aceptación deuna relación jurídica cuyo desarrollo, cumplimiento y control impli-que necesariamente la conexión de dicho tratamiento con ficheros deterceros. En este caso la comunicación sólo será legítima en cuanto selimite a la finalidad que la justifique.

d) Cuando la comunicación que deba efectuarse tenga por destinatarioal Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales oel Tribunal de Cuentas, en el ejercicio de las funciones que tieneatribuidas. Tampoco será preciso el consentimiento cuando la comu-nicación tenga como destinatario a instituciones autonómicas confunciones análogas al Defensor del Pueblo o al Tribunal de Cuentas.

e) Cuando la cesión se produzca entre Administraciones Públicas ytenga por objeto el tratamiento posterior de los datos con fines históri-cos, estadísticos o científicos.

f) Cuando la cesión de datos de carácter personal relativos a la salud seanecesaria para solucionar una urgencia que requiera acceder a unfichero o para realizar los estudios epidemiológicos en los términosestablecidos en la legislación sobre sanidad estatal o autonómica.

3. Será nulo el consentimiento para la comunicación de los datos de carácterpersonal a un tercero cuando la información que se facilite al interesado no lepermita conocer la finalidad a que destinarán los datos cuya comunicaciónse autoriza o el tipo de actividad de aquél a quien se pretenden comunicar.

4. El consentimiento para la comunicación de los datos de carácter personaltiene también un carácter de revocable.

5. Aquél a quien se comuniquen los datos de carácter personal se obliga, porel solo hecho de la comunicación, a la observancia de las disposiciones dela presente Ley.

6. Si la comunicación se efectúa previo procedimiento de disociación, no seráaplicable lo establecido en los apartados anteriores.

Artículo 12. Acceso a los datos por cuenta de terceros1. No se considerará comunicación de datos el acceso de un tercero a los

datos cuando dicho acceso sea necesario para la prestación de un servicioal responsable del tratamiento.

2. La realización de tratamientos por cuenta de terceros deberá estar regula-da en un contrato que deberá constar por escrito o en alguna otra formaque permita acreditar su celebración y contenido, estableciéndose expresa-mente que el encargado del tratamiento únicamente tratará los datosconforme a las instrucciones del responsable del tratamiento, que no losaplicará o utilizará con fin distinto al que figure en dicho contrato, ni loscomunicará, ni siquiera para su conservación, a otras personas.

273

En el contrato se estipularán, asimismo, las medidas de seguridad a que serefiere el artículo 9 de esta Ley que el encargado del tratamiento estáobligado a implementar.

3. Una vez cumplida la prestación contractual, los datos de carácter personaldeberán ser destruidos o devueltos al responsable del tratamiento, al igualque cualquier soporte o documentos en que conste algún dato de carácterpersonal objeto del tratamiento.

4. En el caso de que el encargado del tratamiento destine los datos a otrafinalidad, los comunique o los utilice incumpliendo las estipulaciones delcontrato, será considerado, también, responsable del tratamiento, respon-diendo de las infracciones en que hubiera incurrido personalmente.

TÍTULO III. Derechos de las personasArtículo 13. Impugnación de valoraciones

1. Los ciudadanos tienen derecho a no verse sometidos a una decisión conefectos jurídicos, sobre ellos o que les afecte de manera significativa, quese base únicamente en un tratamiento de datos destinados a evaluardeterminados aspectos de su personalidad.

2. El afectado podrá impugnar los actos administrativos o decisiones priva-das que impliquen una valoración de su comportamiento, cuyo únicofundamento sea un tratamiento de datos de carácter personal que ofrezcauna definición de sus características o personalidad.

3. En este caso, el afectado tendrá derecho a obtener información del responsa-ble del fichero sobre los criterios de valoración y el programa utilizados en eltratamiento que sirvió para adoptar la decisión en que consistió el acto.

4. La valoración sobre el comportamiento de los ciudadanos basada en untratamiento de datos, únicamente podrá tener valor probatorio a peticióndel afectado.

Artículo 14. Derecho de Consulta al Registro General de Protecciónde Datos

Cualquier persona podrá conocer, recabando a tal fin la información oportunadel Registro General de Protección de Datos, la existencia de tratamientos de datosde carácter personal, sus finalidades y la identidad del responsable del tratamiento.El Registro General será de consulta pública y gratuita.

Artículo 15. Derecho de acceso1. El interesado tendrá derecho a solicitar y obtener gratuitamente informa-

ción de sus datos de carácter personal sometidos a tratamiento, el origende dichos datos así como las comunicaciones realizadas o que se prevénhacer de los mismos.


274


2. La información podrá obtenerse mediante la mera consulta de los datospor medio de su visualización, o la indicación de los datos que son objetode tratamiento mediante escrito, copia, telecopia o fotocopia, certificada ono, en forma legible e inteligible, sin utilizar claves o códigos que requie-ran el uso de dispositivos mecánicos específicos.

3. El derecho de acceso a que se refiere este artículo sólo podrá ser ejercitadoa intervalos no inferiores a doce meses, salvo que el interesado acredite uninterés legítimo al efecto, en cuyo caso podrá ejercitarlo antes.

Artículo 16. Derecho de rectificación y cancelación1. El responsable del tratamiento tendrá la obligación de hacer efectivo el

derecho de rectificación o cancelación del interesado en el plazo de diez días.

2. Serán rectificados o cancelados, en su caso, los datos de carácter personalcuyo tratamiento no se ajuste a lo dispuesto en la presente Ley y, enparticular, cuando tales datos resulten inexactos o incompletos.

3. La cancelación dará lugar al bloqueo de los datos, conservándose única-mente a disposición de las Administraciones Públicas, Jueces y Tribunales,para la atención de las posibles responsabilidades nacidas del tratamiento,durante el plazo de prescripción de éstas. Cumplido el citado plazodeberá procederse a la supresión.

4. Si los datos rectificados o cancelados hubieran sido comunicados previa-mente, el responsable del tratamiento deberá notificar la rectificación ocancelación efectuada a quien se hayan comunicado, en el caso de que semantenga el tratamiento por este último, que deberá también proceder ala cancelación .

5. Los datos de carácter personal deberán ser conservados durante los plazosprevistos en las disposiciones aplicables o, en su caso, en las relacionescontractuales entre la persona o entidad responsable del tratamiento y elinteresado.

Artículo 17. Procedimiento de oposición, acceso, rectificacióno cancelación

1. Los procedimientos para ejercitar el derecho de oposición, acceso, así comolos de rectificación y cancelación serán establecidos reglamentariamente.

2. No se exigirá contraprestación alguna por el ejercicio de los derechos deoposición, acceso, rectificación o cancelación.

Artículo 18. Tutela de los derechos1. Las actuaciones contrarias a lo dispuesto en la presente Ley pueden ser

objeto de reclamación por los interesados ante la Agencia de Protección deDatos, en la forma que reglamentariamente se determine.

275

2. El interesado al que se deniegue, total o parcialmente, el ejercicio de losderechos de oposición, acceso, rectificación o cancelación, podrá ponerloen conocimiento de la Agencia de Protección de Datos o, en su caso, delOrganismo competente de cada Comunidad Autónoma, que deberáasegurarse de la procedencia o improcedencia de la denegación.

3. El plazo máximo en que debe dictarse la resolución expresa de tutela dederechos será de seis meses.

4. Contra las resoluciones de la Agencia de Protección de Datos procederárecurso contencioso-administrativo.

Artículo 19. Derecho a indemnización1. Los interesados que, como consecuencia del incumplimiento de lo dis-

puesto en la presente Ley por el responsable o el encargado del tratamien-to, sufran daño o lesión en sus bienes o derechos tendrán derecho a serindemnizados.

2. Cuando se trate de ficheros de titularidad pública, la responsabilidad seexigirá de acuerdo con la legislación reguladora del régimen de responsa-bilidad de las Administraciones Públicas.

3. En el caso de los ficheros de titularidad privada, la acción se ejercitará antelos órganos de la jurisdicción ordinaria.

TÍTULO IV. Disposiciones sectorialesCapítulo Primero. Fichero de titularidad pública

Artículo 20. Creación, modificación o supresión1. La creación, modificación o supresión de los ficheros de las Administracio-

nes Públicas sólo podrán hacerse por medio de disposición general publi-cada en el “Boletín Oficial del Estado” o diario oficial correspondiente.

2. Las disposiciones de creación o de modificación de ficheros deberán indicar:

a) La finalidad del fichero y los usos previstos para el mismo.

b) Las personas o colectivos sobre los que se pretenda obtener datos decarácter personal o que resulten obligados a suministrarlos.

c) El procedimiento de recogida de los datos de carácter personal.

d) La estructura básica del fichero y la descripción de los tipos de datosde carácter personal incluidos en el mismo.

e) Las cesiones de datos de carácter personal y, en su caso, las transfe-rencias de datos que se prevean a países terceros.

f) Los órganos de las Administraciones responsables del fichero.

g) Los servicios o unidades ante los que pudiesen ejercitarse los dere-chos de acceso, rectificación, cancelación y oposición.


276


h) Las medidas de seguridad con indicación del nivel básico, medio oalto exigible.

3. En las disposiciones que se dicten para la supresión de los ficheros seestablecerá el destino de los mismos o, en su caso, las previsiones que seadopten para su destrucción.

Artículo 21. Comunicación de datos entre Administraciones Públicas1. Los datos de carácter personal recogidos o elaborados por las Administra-

ciones Públicas para el desempeño de sus atribuciones no serán comunica-dos a otras Administraciones Públicas para el ejercicio de competenciasdiferentes o de competencias que versen sobre materias distintas, salvocuando la comunicación tenga por objeto el tratamiento posterior de losdatos con fines históricos, estadísticos o científicos. (Resultado STC 292/2000, de 30 de noviembre.)

2. Podrán, en todo caso, ser objeto de comunicación los datos de carácter per-sonal que una Administración Pública obtenga o elabore con destino a otra.

3. No obstante lo establecido en el artículo 11.2 b), la comunicación de datosrecogidos de fuentes accesibles al público no podrá efectuarse a ficherosde titularidad privada, sino con el consentimiento del interesado o cuandouna Ley prevea otra cosa.

4. En los supuestos previstos en los apartados 1 y 2 del presente artículo noserá necesario el consentimiento del afectado a que se refiere el artículo 11de la presente Ley.

Artículo 22. Ficheros de las Fuerzas y Cuerpos de Seguridad1. Los ficheros creados por las Fuerzas y Cuerpos de Seguridad que conten-

gan datos de carácter personal que, por haberse recogido para finesadministrativos, deban ser objeto de registro permanente, estarán sujetosal régimen general de la presente Ley.

2. La recogida y tratamiento para fines policiales de datos de carácter perso-nal por las Fuerzas y Cuerpos de Seguridad sin consentimiento de laspersonas afectadas están limitados a aquellos supuestos y categorías dedatos que resulten necesarios para la prevención de un peligro real para laseguridad pública o para la represión de infracciones penales, debiendoser almacenados en ficheros específicos establecidos al efecto, que deberánclasificarse por categorías en función de su grado de fiabilidad.

3. La recogida y tratamiento por las Fuerzas y Cuerpos de Seguridad de losdatos a que hacen referencia los apartados 2 y 3 del artículo 7, podránrealizarse exclusivamente en los supuestos en que sea absolutamentenecesario para los fines de una investigación concreta, sin perjuicio delcontrol de legalidad de la actuación administrativa o de la obligación deresolver las pretensiones formuladas en su caso por los interesados quecorresponden a los órganos jurisdiccionales.

277

4. Los datos personales registrados con fines policiales se cancelarán cuando nosean necesarios para las averiguaciones que motivaron su almacenamiento.A estos efectos, se considerará especialmente la edad del afectado y elcarácter de los datos almacenados, la necesidad de mantener los datoshasta la conclusión de una investigación o procedimiento concreto, laresolución judicial firme, en especial la absolutoria, el indulto, la rehabili-tación y la prescripción de responsabilidad.

Artículo 23. Excepciones a los derechos de acceso, rectificacióny cancelación

1. Los responsables de los ficheros que contengan los datos a que se refierenlos apartados 2, 3 y 4 del artículo anterior podrán denegar el acceso, larectificación o cancelación en función de los peligros que pudieran deri-varse para la defensa del Estado o la seguridad pública, la protección delos derechos y libertades de terceros o las necesidades de las investigacio-nes que se estén realizando.

2. Los responsables de los ficheros de la Hacienda Pública podrán, igual-mente, denegar el ejercicio de los derechos a que se refiere el apartado an-terior cuando el mismo obstaculice las actuaciones administrativas ten-dentes a asegurar el cumplimiento de las obligaciones tributarias y, en to-do caso, cuando el afectado esté siendo objeto de actuaciones inspectoras.

3. El afectado al que se deniegue, total o parcialmente, el ejercicio de losderechos mencionados en los apartados anteriores podrá ponerlo enconocimiento del Director de la Agencia de Protección de Datos o delOrganismo competente de cada Comunidad Autónoma en el caso deficheros mantenidos por Cuerpos de Policía propios de éstas, o por lasAdministraciones Tributarias Autonómicas, quienes deberán asegurarsede la procedencia o improcedencia de la denegación.

Artículo 24. Otras excepciones a los derechos de los afectados1. Lo dispuesto en los apartados 1 y 2 del artículo 5 no será aplicable a la

recogida de datos cuando la información al afectado impida o dificultegravemente el cumplimiento de las funciones de control y verificación delas Administraciones Públicas o cuando afecte a la Defensa Nacional, a laseguridad pública o a la persecución de infracciones penales. (ResultadoSTC 292/2000, de 30 de noviembre.)

CAPÍTULO II. Ficheros de titularidad privada

Artículo 25. CreaciónPodrán crearse ficheros de titularidad privada que contengan datos de carácter

personal cuando resulte necesario para el logro de la actividad u objeto legítimos dela persona, empresa o entidad titular y se respeten las garantías que esta Ley esta-blece para la protección de las personas.


278


Artículo 26. Notificación e inscripción registral1. Toda persona o entidad que proceda a la creación de ficheros de

datos de carácter personal lo notificará previamente a la Agenciade Protección de Datos.

2. Por vía reglamentaria se procederá a la regulación detallada de los distin-tos extremos que debe contener la notificación, entre los cuales figuraránnecesariamente el responsable del fichero, la finalidad del mismo, suubicación, el tipo de datos de carácter personal que contiene, las medidasde seguridad, con indicación del nivel básico, medio o alto exigible y lascesiones de datos de carácter personal que se prevean realizar y, en sucaso, las transferencias de datos que se prevean a países terceros.

3. Deberán comunicarse a la Agencia de Protección de Datos los cambios quese produzcan en la finalidad del fichero automatizado, en su responsabley en la dirección de su ubicación.

4. El Registro General de Protección de Datos inscribirá el fichero si lanotificación se ajusta a los requisitos exigibles. En caso contrario podrápedir que se completen los datos que falten o se proceda a su subsanación.

5. Transcurrido un mes desde la presentación de la solicitud de inscripciónsin que la Agencia de Protección de Datos hubiera resuelto sobre la mis-ma, se entenderá inscrito el fichero automatizado a todos los efectos.

Artículo 27. Comunicación de la cesión de datos1. El responsable del fichero, en el momento en que se efectúe la primera

cesión de datos, deberá informar de ello a los afectados, indicando, asimis-mo, la finalidad del fichero, la naturaleza de los datos que han sidocedidos y el nombre y dirección del cesionario.

2. La obligación establecida en el apartado anterior no existirá en el supuestoprevisto en los apartados 2, letras c), d), e) y 6 del artículo 11, ni cuando lacesión venga impuesta por Ley.

Artículo 28. Datos incluidos en las fuentes de acceso público1. Los datos personales que figuren en el censo promocional o las listas de

personas pertenecientes a grupos de profesionales a que se refiere elartículo 3 j) de esta Ley deberán limitarse a los que sean estrictamentenecesarios para cumplir la finalidad a que se destina cada listado. Lainclusión de datos adicionales por las entidades responsables del manteni-miento de dichas fuentes requerirá el consentimiento del interesado, quepodrá ser revocado en cualquier momento.

2. Los interesados tendrán derecho a que la entidad responsable del mante-nimiento de los listados de los Colegios profesionales indique gratuita-mente que sus datos personales no pueden utilizarse para fines de publici-

279

dad o prospección comercial. Los interesados tendrán derecho a exigirgratuitamente la exclusión de la totalidad de sus datos personales queconsten en el censo promocional por las entidades encargadas del mante-nimiento de dichas fuentes.

La atención a la solicitud de exclusión de la información innecesaria o deinclusión de la objeción al uso de los datos para fines de publicidad oventa a distancia deberá realizarse en el plazo de diez días respecto de lasinformaciones que se realicen mediante consulta o comunicacióntelemática y en la siguiente edición del listado cualquiera que sea elsoporte en que se edite.

3. Las fuentes de acceso público que se editen en forma de libro o algún otrosoporte físico, perderán el carácter de fuente accesible con la nueva ediciónque se publique. En el caso de que se obtenga telemáticamente una copia dela lista en formato electrónico, ésta perderá el carácter de fuente de accesopúblico en el plazo de un año, contado desde el momento de su obtención.

4. Los datos que figuren en las guías de servicios de telecomunicacionesdisponibles al público se regirán por su normativa específica.

Artículo 29. Prestación de servicios de información sobre solvenciapatrimonial y crédito

1. Quienes se dediquen a la prestación de servicios de información sobre lasolvencia patrimonial y el crédito sólo podrán tratar datos de carácterpersonal obtenidos de los registros y las fuentes accesibles al públicoestablecidos al efecto o procedentes de informaciones facilitadas por elinteresado o con su consentimiento.

2. Podrán tratarse también datos de carácter personal relativos al cumpli-miento o incumplimiento de obligaciones dinerarias facilitados por elcreedor o por quien actúe por su cuenta o interés. En estos casos se notifi-cará a los interesados respecto de los que hayan registrado datos decarácter personal en ficheros, en el plazo de treinta días desde dichoregistro, una referencia de los que hubiesen sido incluidos y se les infor-mará de su derecho a recabar información de la totalidad de ellos, en lostérminos establecidos por la presente Ley.

3. En los supuestos a que se refieren los dos apartados anteriores cuando elinteresado lo solicite, el responsable del tratamiento le comunicará losdatos, así como las evaluaciones y apreciaciones que sobre el mismohayan sido comunicadas durante los últimos seis meses y el nombre ydirección de la persona o entidad a quien se hayan revelado los datos.

4. Sólo se podrán registrar y ceder los datos de carácter personal que seandeterminantes para enjuiciar la solvencia económica de los interesados yque no se refieran, cuando sean adversos, a más de seis años, siempre querespondan con veracidad a la situación actual de aquellos.


280


Artículo 30. Tratamientos con fines de publicidad y prospección comercial1. Quienes se dediquen a la recopilación de direcciones, reparto de docu-

mentos, publicidad, venta a distancia, prospección comercial y otrasactividades análogas, utilizarán nombres y direcciones u otros datos decarácter personal cuando los mismos figuren en fuentes accesibles alpúblico o cuando hayan sido facilitados por los propios interesados uobtenidos con su consentimiento.

2. Cuando los datos procedan de fuentes accesibles al público, de conformi-dad con lo establecido en el párrafo segundo del artículo 5.5 de esta Ley,en cada comunicación que se dirija al interesado se informará del origende los datos y de la identidad del responsable del tratamiento, así como delos derechos que le asisten.

3. En el ejercicio del derecho de acceso los interesados tendrán derecho aconocer el origen de sus datos de carácter personal, así como del resto deinformación a que se refiere el artículo 15.

4. Los interesados tendrán derecho a oponerse, previa petición y sin gastos,al tratamiento de los datos que les conciernan, en cuyo caso serán dadosde baja del tratamiento, cancelándose las informaciones que sobre ellosfiguren en aquél, a su simple solicitud.

Artículo 31. Censo promocional1. Quienes pretendan realizar permanente o esporádicamente la actividad de

recopilación de direcciones, reparto de documentos, publicidad, venta a dis-tancia, prospección comercial u otras actividades análogas, podrán solicitardel Instituto Nacional de Estadística o de los órganos equivalentes de lasComunidades Autónomas una copia del censo promocional, formado conlos datos de nombre, apellidos y domicilio que constan en el censo electoral.

2. El uso de cada lista de censo promocional tendrá un plazo de vigencia deun año. Transcurrido el plazo citado, la lista perderá su carácter de fuentede acceso público.

3. Los procedimientos mediante los que los interesados podrán solicitar noaparecer en el censo promocional se regularán reglamentariamente. Entreestos procedimientos, que serán gratuitos para los interesados, se incluiráel documento de empadronamiento. Trimestralmente se editará una listaactualizada del censo promocional, excluyendo los nombres y domiciliosde los que así lo hayan solicitado.

4. Se podrá exigir una contraprestación por la facilitación de la citada lista ensoporte informático.

Artículo 32. Códigos tipo1. Mediante acuerdos sectoriales, convenios administrativos o decisiones de

empresa, los responsables de tratamientos de titularidad pública y priva-

281

da así como las organizaciones en que se agrupen, podrán formular códi-gos tipo que establezcan las condiciones de organización, régimen de fun-cionamiento, procedimientos aplicables, normas de seguridad del entorno,programas o equipos, obligaciones de los implicados en el tratamiento yuso de la información personal, así como las garantías, en su ámbito, parael ejercicio de los derechos de las personas con pleno respeto a los princi-pios y disposiciones de la presente Ley y sus normas de desarrollo.

2. Los citados códigos podrán contener o no reglas operacionales detalladasde cada sistema particular y estándares técnicos de aplicación.

En el supuesto de que tales reglas o estándares no se incorporen directa-mente al código, las instrucciones u órdenes que los establecieran deberánrespetar los principios fijados en aquél.

3. Los códigos tipo tendrán el carácter de códigos deontológicos o de buenapráctica profesional, debiendo ser depositados o inscritos en el RegistroGeneral de Protección de Datos y, cuando corresponda, en los creados aestos efectos por las Comunidades Autónomas, de acuerdo con el artículo41. El Registro General de Protección de Datos podrá denegar la inscrip-ción cuando considere que no se ajusta a las disposiciones legales yreglamentarias sobre la materia, debiendo, en este caso, el Director de laAgencia de Protección de Datos requerir a los solicitantes para que efec-túen las correcciones oportunas.

TÍTULO V. Movimiento internacional de datos

Artículo 33. Norma general1. No podrán realizarse transferencias temporales ni definitivas de datos de

carácter personal que hayan sido objeto de tratamiento o hayan sidorecogidos para someterlos a dicho tratamiento con destino a países que noproporcionen un nivel de protección equiparable al que presta la presenteLey, salvo que, además de haberse observado lo dispuesto en ésta, seobtenga autorización previa del Director de la Agencia de Protección deDatos, que sólo podrá otorgarla si se obtienen garantías adecuadas.

2. El carácter adecuado del nivel de protección que ofrece el país de destinose evaluará por la Agencia de Protección de Datos atendiendo a todas lascircunstancias que concurran en la transferencia o categoría de transferen-cia de datos. En particular, se tomará en consideración la naturaleza de losdatos de finalidad y la duración del tratamiento o de los tratamientosprevistos, el país de origen y el país de destino final, las normas de Dere-cho, generales o sectoriales, vigentes en el país tercero de que se trate, elcontenido de los informes de la Comisión de la Unión Europea, así comolas normas profesionales y las medidas de seguridad en vigor en dichospaíses.


282


Artículo 34. ExcepcionesLo dispuesto en el artículo anterior no será de aplicación:a) Cuando la transferencia internacional de datos de carácter personal resul-

te de la aplicación de tratados o convenios en los que sea parte España.b) Cuando la transferencia se haga a efectos de prestar o solicitar auxilio

judicial internacional.c) Cuando la transferencia sea necesaria para la prevención o para el diag-

nóstico médicos, la prestación de asistencia sanitaria o tratamiento médi-cos o la gestión de servicios sanitarios.

d) Cuando se refiera a transferencias dinerarias conforme a su legislaciónespecífica.

e) Cuando el afectado haya dado su consentimiento inequívoco a la transfe-rencia prevista.

f) Cuando la transferencia sea necesaria para la ejecución de un contratoentre el afectado y el responsable del fichero o para la adopción de medi-das precontractuales adoptadas a petición del afectado.

g) Cuando la transferencia sea necesaria para la celebración o ejecución deun contrato celebrado o por celebrar, en interés del afectado, por el res-ponsable del fichero y un tercero.

h) Cuando la transferencia sea necesaria o legalmente exigida para la salva-guarda de un interés público. Tendrá esta consideración la transferenciasolicitada por una Administración fiscal o aduanera para el cumplimientode sus competencias.

i) Cuando la transferencia sea precisa para el reconocimiento, ejercicio odefensa de un derecho en un proceso judicial.

j) Cuando la transferencia se efectúe, a petición de persona con interéslegítimo, desde un Registro Público y aquélla sea acorde con la finalidaddel mismo.

k) Cuando la transferencia tenga como destino un Estado miembro de laUnión Europea, o un Estado respecto del cual la Comisión de las Comuni-dades Europeas, en el ejercicio de sus competencias, haya declarado quegarantiza un nivel de protección adecuado.

TÍTULO VI. Agencia de Protección de Datos

Artículo 35. Naturaleza y régimen jurídico1. La Agencia de Protección de Datos es un Ente de Derecho público, con

personalidad jurídica propia y plena capacidad pública y privada, queactúa con plena independencia de las Administraciones Públicas en elejercicio de sus funciones. Se regirá por lo dispuesto en la presente Ley yen un Estatuto propio, que será aprobado por el Gobierno.

283

2. En el ejercicio de sus funciones públicas, y en defecto de lo que dispongala presente Ley y sus disposiciones de desarrollo, la Agencia de Protecciónde Datos actuará de conformidad con la Ley 30/1992, de 26 de noviembre,de Régimen Jurídico de las Administraciones Públicas y del Procedimien-to Administrativo Común. En sus adquisiciones patrimoniales y contrata-ción estará sujeta al Derecho privado.

3. Los puestos de trabajo de los órganos y servicios que integren la Agenciade Protección de Datos serán desempeñados por funcionarios de lasAdministraciones Públicas y por personal contratado al efecto, según lanaturaleza de las funciones asignadas a cada puesto de trabajo. Estepersonal está obligado a guardar secreto de los datos de carácter personalde que conozca en el desarrollo de su función.

4. La Agencia de Protección de Datos contará, para el cumplimiento de susfines, con los siguientes bienes y medios económicos:

a) Las asignaciones que se establezcan anualmente con cargo a losPresupuestos Generales del Estado.

b) Los bienes y valores que constituyan su patrimonio, así como losproductos y rentas del mismo.

c) Cualesquiera otros que legalmente puedan serle atribuidos.5. La Agencia de Protección de Datos elaborará y aprobará con carácter

anual el correspondiente anteproyecto de presupuesto y lo remitirá alGobierno para que sea integrado, con la debida independencia, en losPresupuestos Generales del Estado.

Artículo 36. El Director1. El Director de la Agencia de Protección de Datos dirige la Agencia y osten-

ta su representación. Será nombrado, de entre quienes componen el Con-sejo Consultivo, mediante Real Decreto, por un período de cuatro años.

2. Ejercerá sus funciones con plena independencia y objetividad, y no estarásujeto a instrucción alguna en el desempeño de aquéllas.

En todo caso, el Director deberá oír al Consejo Consultivo en aquéllaspropuestas que éste le realice en el ejercicio de sus funciones.

3. El Director de la Agencia de Protección de Datos sólo cesará antes de laexpiración del período a que se refiere el apartado 1 a petición propia opor separación acordada por el Gobierno, previa instrucción de expedien-te, en el que necesariamente serán oídos los restantes miembros delConsejo Consultivo, por incumplimiento grave de sus obligaciones,incapacidad sobrevenida para el ejercicio de su función, incompatibilidado condena por delito doloso.

4. El Director de la Agencia de Protección de Datos tendrá la consideraciónde alto cargo y quedará en la situación de servicios especiales si con ante-


284


rioridad estuviera desempeñando una función pública. En el supuesto deque sea nombrado para el cargo algún miembro de la carrera judicial o fis-cal, pasará asimismo a la situación administrativa de servicios especiales.

Artículo 37. Funciones1. Son funciones de la Agencia de Protección de Datos:

a) Velar por el cumplimiento de la legislación sobre protección de datosy controlar su aplicación, en especial en lo relativo a los derechos deinformación, acceso, rectificación, oposición y cancelación de datos.

b) Emitir las autorizaciones previstas en la Ley o en sus disposicionesreglamentarias.

c) Dictar, en su caso y sin perjuicio de las competencias de otros órga-nos, las instrucciones precisas para adecuar los tratamientos a losprincipios de la presente Ley.

d) Atender las peticiones y reclamaciones formuladas por las personasafectadas.

e) Proporcionar información a las personas acerca de sus derechos enmateria de tratamiento de los datos de carácter personal.

f) Requerir a los responsables y los encargados de los tratamientos,previa audiencia de éstos, la adopción de las medidas necesarias parala adecuación del tratamiento de datos a las disposiciones de esta Leyy, en su caso, ordenar la cesación de los tratamientos y la cancelaciónde los ficheros, cuando no se ajuste a sus disposiciones.

g) Ejercer la potestad sancionadora en los términos previstos por elTítulo VII de la presente Ley.

h) Informar, con carácter preceptivo, los proyectos de disposicionesgenerales que desarrollen esta Ley.

i) Recabar de los responsables de los ficheros cuanta ayuda e informa-ción estime necesaria para el desempeño de sus funciones.

j) Velar por la publicidad de la existencia de los ficheros de datos concarácter personal, a cuyo efecto publicará periódicamente una rela-ción de dichos ficheros con la información adicional que el Directorde la Agencia determine.

k) Redactar una memoria anual y remitirla al Ministerio de Justicia.l) Ejercer el control y adoptar las autorizaciones que procedan en

relación con los movimientos internacionales de datos, así comodesempeñar las funciones de cooperación internacional en materia deprotección de datos personales.

m) Velar por el cumplimiento de las disposiciones que la Ley de laFunción Estadística Pública establece respecto a la recogida de datosestadísticos y al secreto estadístico, así como dictar las instrucciones

285

precisas, dictaminar sobre las condiciones de seguridad de los fiche-ros constituidos con fines exclusivamente estadísticos y ejercer lapotestad a la que se refiere el artículo 46.

n) Cuantas otras le sean atribuidas por normas legales o reglamentarias.

2. Las resoluciones de la Agencia de Protección de Datos se harán públicas,una vez hayan sido notificadas a los interesados. La publicación se realiza-rá preferentemente a través de medios informáticos o telemáticos.

Reglamentariamente podrán establecerse los términos en que se lleve a cabo lapublicidad de las citadas resoluciones. Lo establecido en los párrafos anteriores noserá aplicable a las resoluciones referentes a la inscripción de un fichero o tratamien-to en el Registro General de Protección de Datos ni a aquéllas por las que se resuel-va la inscripción en el mismo de los Códigos tipo, regulados por el artículo 32 deesta Ley Orgánica. (Artículo 82.1 Ley 62/2003, de 30 de diciembre.)

Artículo 38. Consejo ConsultivoEl Director de la Agencia de Protección de Datos estará asesorado por un

Consejo Consultivo compuesto por los siguientes miembros: Un Diputado, propuesto por el Congreso de los Diputados.

Un Senador, propuesto por el Senado.

Un representante de la Administración Central, designado por el Gobierno.

Un representante de la Administración Local, propuesto por la FederaciónEspañola de Municipios y Provincias.

Un miembro de la Real Academia de la Historia, propuesto por la misma.

Un experto en la materia, propuesto por el Consejo Superior de Universidades.

Un representante de los usuarios y consumidores, seleccionado del modoque se prevea reglamentariamente.

Un representante de cada Comunidad Autónoma que haya creado unaAgencia de Protección de Datos en su ámbito territorial, propuesto deacuerdo con el procedimiento que establezca la respectiva ComunidadAutónoma.

Un representante del sector de ficheros privados, para cuya propuesta seseguirá el procedimiento que se regule reglamentariamente.

El funcionamiento del Consejo Consultivo se regirá por las normas reglamen-tarias que al efecto se establezcan.

Artículo 39. El Registro General de Protección de Datos1. El Registro General de Protección de Datos es un órgano integrado en la

Agencia de Protección de Datos.


286


2. Serán objeto de inscripción en el Registro General de Protección de Datos

a) Los ficheros de que sean titulares las Administraciones Públicas.b) Los ficheros de titularidad privada.c) Las autorizaciones a que se refiere la presente Ley.d) Los códigos tipo a que se refiere el artículo 32 de la presente Ley.e) Los datos relativos a los ficheros que sean necesarios para el ejercicio

de los derechos de información, acceso, rectificación, cancelación yoposición.

3. Por vía reglamentaria se regulará el procedimiento de inscripción de losficheros, tanto de titularidad pública como de titularidad privada, en elRegistro General de Protección de Datos, el contenido de la inscripción ,su modificación, cancelación, reclamaciones y recursos contra las resolu-ciones correspondientes y demás extremos pertinentes.

Artículo 40. Potestad de inspección1. Las autoridades de control podrán inspeccionar los ficheros a que hace

referencia la presente Ley, recabando cuantas informaciones precisen parael cumplimiento de sus cometidos. A tal efecto, podrán solicitar la exhibi-ción o el envío de documentos y datos y examinarlos en el lugar en que seencuentren depositados, así como inspeccionar los equipos físicos ylógicos utilizados para el tratamiento de los datos, accediendo a los localesdonde se hallen instalados.

2. Los funcionarios que ejerzan la inspección a que se refiere el apartadoanterior tendrán la consideración de autoridad pública en el desempeñode sus cometidos. Estarán obligados a guardar secreto sobre las informa-ciones que conozcan en el ejercicio de las mencionadas funciones, inclusodespués de haber cesado en las mismas.

Artículo 41. Órganos correspondientes de las Comunidades Autónomas1. Las funciones de la Agencia de Protección de Datos reguladas en el

artículo 37, a excepción de las mencionadas en los apartados j), k) y l), y enlos apartados f) y g) en lo que se refiere a las transferencias internacionalesde datos, así como en los artículos 46 y 49, en relación con sus específicascompetencias serán ejercidas, cuando afecten a ficheros de datos decarácter personal creados o gestionados por las Comunidades Autónomasy por la Administración local de su ámbito territorial, por los órganoscorrespondientes de cada Comunidad, que tendrán la consideración deautoridades de control, a los que garantizarán plena independencia yobjetividad en el ejercicio de su cometido.

2. Las Comunidades Autónomas podrán crear y mantener sus propiosregistros de ficheros para el ejercicio de las competencias que se les reco-noce sobre los mismos.

287

3. El Director de la Agencia de Protección de Datos podrá convocar regular-mente a los órganos correspondientes de las Comunidades Autónomas aefectos de cooperación institucional y coordinación de criterios o procedi-mientos de actuación. El Director de la Agencia de Protección de Datos ylos órganos correspondientes de las Comunidades Autónomas podránsolicitarse mutuamente la información necesaria para el cumplimiento desus funciones.

Artículo 42. Ficheros de las Comunidades Autónomas en materia de suexclusiva competencia

1. Cuando el Director de la Agencia de Protección de Datos constate que elmantenimiento o uso de un determinado fichero de las ComunidadesAutónomas contraviene algún precepto de esta Ley en materia de suexclusiva competencia podrá requerir a la Administración correspondien-te que se adopten las medidas correctoras que determine en el plazo queexpresamente se fije en el requerimiento.

2. Si la Administración Pública correspondiente no cumpliera el requeri-miento formulado, el Director de la Agencia de Protección de Datos podráimpugnar la resolución adoptada por aquella Administración.

TÍTULO VII. Infracciones y sancionesArtículo 43. Responsables

1. Los responsables de los ficheros y los encargados de los tratamientosestarán sujetos al régimen sancionador establecido en la presente Ley.

2. Cuando se trate de ficheros de los que sean responsables las Administra-ciones Públicas se estará, en cuanto al procedimiento y a las sanciones, a lodispuesto en el artículo 46, apartado 2.

Artículo 44. Tipos de infracciones1. Las infracciones se calificarán como leves, graves o muy graves.

2. Son infracciones leves:

a) No atender, por motivos formales, la solicitud del interesado derectificación o cancelación de los datos personales objeto de trata-miento cuando legalmente proceda.

b) No proporcionar la información que solicite la Agencia de Protección deDatos en el ejercicio de las competencias que tiene legalmente atribui-das, en relación con aspectos no sustantivos de la protección de datos.

c) No solicitar la inscripción del fichero de datos de carácter personal enel Registro General de Protección de Datos, cuando no sea constituti-vo de infracción grave.


288


d) Proceder a la recogida de datos de carácter personal de los propiosafectados sin proporcionarles la información que señala el artículo 5de la presente Ley.

e) Incumplir el deber de secreto establecido en el artículo 10 de esta Ley,salvo que constituya infracción grave.

3. Son infracciones graves:

a) Proceder a la creación de ficheros de titularidad pública o iniciar larecogida de datos de carácter personal para los mismos, sin autoriza-ción de disposición general, publicada en el “Boletín Oficial delEstado” o diario oficial correspondiente.

b) Proceder a la creación de ficheros de titularidad privada o iniciar larecogida de datos de carácter personal para los mismos con finalida-des distintas de las que constituyen el objeto legítimo de la empresa oentidad.

c) Proceder a la recogida de datos de carácter personal sin recabar elconsentimiento expreso de las personas afectadas, en los casos en queéste sea exigible. d) Tratar los datos de carácter personal o usarlosposteriormente con conculcación de los principios y garantías estable-cidos en la presente Ley o con incumplimiento de los preceptos deprotección que impongan las disposiciones reglamentarias de desa-rrollo, cuando no constituya infracción muy grave.

e) El impedimento o la obstaculización del ejercicio de los derechos deacceso y oposición y la negativa a facilitar la información que seasolicitada.

f) Mantener datos de carácter personal inexactos o no efectuar lasrectificaciones o cancelaciones de los mismos que legalmente proce-dan cuando resulten afectados los derechos de las personas que lapresente Ley ampara.

g) La vulneración del deber de guardar secreto sobre los datos decarácter personal incorporados a ficheros que contengan datos relati-vos a la comisión de infracciones administrativas o penales, HaciendaPública, servicios financieros, prestación de servicios de solvenciapatrimonial y crédito, así como aquellos otros ficheros que contenganun conjunto de datos de carácter personal suficientes para obteneruna evaluación de la personalidad del individuo.

h) Mantener los ficheros, locales, programas o equipos que contengandatos de carácter personal sin las debidas condiciones de seguridadque por vía reglamentaria se determinen.

i) No remitir a la Agencia de Protección de Datos las notificacionesprevistas en esta Ley o en sus disposiciones de desarrollo, así como noproporcionar en plazo a la misma cuantos documentos e informacio-nes deba recibir o sean requeridos por aquél a tales efectos.

289

j) La obstrucción al ejercicio de la función inspectora.k) No inscribir el fichero de datos de carácter personal en el Registro

General de Protección de Datos, cuando haya sido requerido para ellopor el Director de la Agencia de Protección de Datos.

l) Incumplir el deber de información que se establece en los artículos 5,28 y 29 de esta Ley, cuando los datos hayan sido recabados de perso-na distinta del afectado.

4. Son infracciones muy graves:

a) La recogida de datos en forma engañosa y fraudulenta.b) La comunicación o cesión de los datos de carácter personal, fuera de

los casos en que estén permitidas.c) Recabar y tratar los datos de carácter personal a los que se refiere el

apartado 2 del artículo 7 cuando no medie el consentimiento expresodel afectado; recabar y tratar los datos referidos en el apartado 3 delartículo 7 cuando no lo disponga una Ley o el afectado no hayaconsentido expresamente, o violentar la prohibición contenida en elapartado 4 del artículo 7.

d) No cesar en el uso ilegítimo de los tratamientos de datos de carácterpersonal cuando sea requerido para ello por el Director de la Agencia deProtección de Datos o por las personas titulares del derecho de acceso.

e) La transferencia temporal o definitiva de datos de carácter personalque hayan sido objeto de tratamiento o hayan sido recogidos parasometerlos a dicho tratamiento, con destino a países que no propor-cionen un nivel de protección equiparable sin autorización del Direc-tor de la Agencia de Protección de Datos.

f) Tratar los datos de carácter personal de forma ilegítima o con menos-precio de los principios y garantías que les sean de aplicación, cuandocon ello se impida o se atente contra el ejercicio de los derechosfundamentales.

g) La vulneración del deber de guardar secreto sobre los datos decarácter personal a que hacen referencia los apartados 2 y 3 delartículo 7, así como los que hayan sido recabados para fines policialessin consentimiento de las personas afectadas.

h) No atender, u obstaculizar de forma sistemática el ejercicio de losderechos de acceso, rectificación, cancelación u oposición.

i) No atender de forma sistemática el deber legal de notificación de lainclusión de datos de carácter personal en un fichero.

Artículo 45. Tipo de sanciones1. Las infracciones leves serán sancionadas con multa de 100.000 a

10.000.000 de pesetas.


290


2. Las infracciones graves serán sancionadas con multa de 10.000.000 a50.000.000 de pesetas.

3. Las infracciones muy graves serán sancionadas con multa de 50.000.000 a100.000.000 de pesetas.

4. La cuantía de las sanciones se graduará atendiendo a la naturaleza de losderechos personales afectados, al volumen de los tratamientos efectuados,a los beneficios obtenidos, al grado de intencionalidad, a la reincidencia, alos daños y perjuicios causados a las personas interesadas y a terceraspersonas, y a cualquier otra circunstancia que sea relevante para determi-nar el grado de antijuridicidad y de culpabilidad presentes en la concretaactuación infractora.

5. Si, en razón de las circunstancias concurrentes, se apreciara una cualifica-da disminución de la culpabilidad del imputado o de la antijuridicidaddel hecho, el órgano sancionador establecerá la cuantía de la sanciónaplicando la escala relativa a la clase de infracciones que precedainmediantamente en gravedad a aquella en que se integra la consideradaen el caso de que se trate.

6. En ningún caso podrá imponerse una sanción más grave que la fijada enla Ley para la clase de infracción en la que se integre la que se pretendasancionar.

7. El Gobierno actualizará periódicamente la cuantía de las sanciones deacuerdo con las variaciones que experimenten los índices de precios.

Artículo 46. Infracciones de las Administraciones Públicas1. Cuando las infracciones a que se refiere el artículo 44 fuesen cometidas en

ficheros de los que sean responsables las Administraciones Públicas, elDirector de la Agencia de Protección de Datos dictará una resoluciónestableciendo las medidas que procede adoptar para que cesen o secorrijan los efectos de la infracción. Esta resolución se notificará al respon-sable del fichero, al órgano del que dependa jerárquicamente y a losafectados si los hubiera.

2. El Director de la Agencia podrá proponer también la iniciación de actua-ciones disciplinarias, si procedieran. El procedimiento y las sanciones aaplicar serán las establecidas en la legislación sobre régimen disciplinariode las Administraciones Públicas.

3. Se deberán comunicar a la Agencia las resoluciones que recaigan enrelación con las medidas y actuaciones a que se refieren los apartadosanteriores.

4. El Director de la Agencia comunicará al Defensor del Pueblo las actuacio-nes que efectúe y las resoluciones que dicte al amparo de los apartadosanteriores.

291

Artículo 47. Prescripción1. Las infracciones muy graves prescribirán a los tres años, las graves a los

dos años y las leves al año.

2. El plazo de prescripción comenzará a contarse desde el día en que lainfracción se hubiera cometido.

3. Interrumpirá la prescripción la iniciación, con conocimiento del interesa-do, del procedimiento sancionador, reanudándose el plazo de prescripciónsi el expediente sancionador estuviere paralizado durante más de seismeses por causas no imputables al presunto infractor.

4. Las sanciones impuestas por faltas muy graves prescribirán a los tresaños, las impuestas por faltas graves a los dos años y las impuestas porfaltas leves al año.

5. El plazo de prescripción de las sanciones comenzará a contarse desde eldía siguiente a aquel en que adquiera firmeza la resolución por la que seimpone la sanción.

6. La prescripción se interrumpirá por la iniciación, con conocimiento delinteresado, del procedimiento de ejecución, volviendo a transcurrir elplazo si el mismo está paralizado durante más de seis meses por causa noimputable al infractor.

Artículo 48. Procedimiento sancionador1. Por vía reglamentaria se establecerá el procedimiento a seguir para la

determinación de las infracciones y la imposición de las sanciones a quehace referencia el presente Título.

2. Las resoluciones de la Agencia de Protección de Datos u órgano corres-pondiente de la Comunidad Autónoma agotan la vía administrativa.

3. Los procedimientos sancionadores tramitados por la Agencia de Protec-ción de Datos, en ejercicio de las potestades que a la misma atribuyan estau otras Leyes, salvo los referidos a infracciones de la Ley 32/2003, de 3 denoviembre, General de Telecomunicaciones, tendrán una duración máxi-ma de seis meses. (Artículo 82.2 Ley 62/2003, de 30 de diciembre.)

Artículo 49. Potestad de inmovilización de ficherosEn los supuestos, constitutivos de infracción muy grave, de utilización o cesión

ilícita de los datos de carácter personal en que se impida gravemente o se atente deigual modo contra el ejercicio de los derechos de los ciudadanos y el libre desarrollode la personalidad que la Constitución y las leyes garantizan, el Director de laAgencia de Protección de Datos podrá, además de ejercer la potestad sancionadora,requerir a los responsables de ficheros de datos de carácter personal, tanto detitularidad pública como privada, la cesación en la utilización o cesión ilícita de losdatos. Si el requerimiento fuera desatendido, la Agencia de Protección de Datos


292


podrá, mediante resolución motivada, inmovilizar tales ficheros a los solos efectosde restaurar los derechos de las personas afectadas.

Disposiciones adicionales

Primera. Ficheros preexistentesLos ficheros y tratamientos automatizados, inscritos o no en el Registro Gene-

ral de Protección de Datos deberán adecuarse a la presente Ley Orgánica dentro delplazo de tres años, a contar desde su entrada en vigor. En dicho plazo, los ficherosde titularidad privada deberán ser comunicados a la Agencia de Protección deDatos y las Administraciones Públicas, responsables de ficheros de titularidadpública, deberán aprobar la pertinente disposición de regulación del fichero oadaptar la existente. En el supuesto de ficheros y tratamientos no automatizados, suadecuación a la presente Ley Orgánica y la obligación prevista en el párrafo anteriordeberá cumplimentarse en el plazo de doce años a contar desde el 24 de octubre de1995, sin perjuicio del ejercicio de los derechos de acceso, rectificación y cancelaciónpor parte de los afectados.

Segunda. Ficheros y Registro de Población de las AdministracionesPúblicas.

1. La Administración General del Estado y las Administraciones de las Co-munidades Autónomas podrán solicitar al Instituto Nacional de Estadísti-ca, sin consentimiento del interesado, una copia actualizada del ficheroformado con los datos del nombre, apellidos, domicilio, sexo y fecha denacimiento que constan en los padrones municipales de habitantes y en elcenso electoral correspondientes a los territorios donde ejerzan sus compe-tencias, para la creación de ficheros o registros de población.

2. Los ficheros o registros de población tendrán como finalidad la comunica-ción de los distintos órganos de cada administración pública con losinteresados residentes en los respectivos territorios, respecto a las relacio-nes jurídico administrativas derivadas de las competencias respectivas delas Administraciones Públicas.

Tercera. Tratamiento de los expedientes de las derogadas Leyes deVagos y Maleantes y de Peligrosidad y Rehabilitación Social.

Los expedientes específicamente instruidos al amparo de las derogadas Leyesde Vagos y Maleantes, y de Peligrosidad y Rehabilitación Social, que contengandatos de cualquier índole susceptibles de afectar a la seguridad, al honor, a laintimidad o a la imagen de las personas, no podrán ser consultados sin que medieconsentimiento expreso de los afectados, o hayan transcurrido 50 años desde lafecha de aquéllos. En este último supuesto, la Administración General del Estado,salvo que haya constancia expresa del fallecimiento de los afectados, pondrá adisposición del solicitante la documentación, suprimiendo de la misma los datos

293

aludidos en el párrafo anterior, mediante la utilización de los procedimientostécnicos pertinentes en cada caso.

Cuarta. Modificación del artículo 112.4 de la Ley General Tributaria.El apartado cuarto del artículo 112 de la Ley General Tributaria pasa a tener la

siguiente redacción:4. La cesión de aquellos datos de carácter personal, objeto de tratamiento

que se debe efectuar a la Administración tributaria conforme a lo dispues-to en el artículo 111, en los apartados anteriores de este artículo o en otranorma de rango legal, no requerirá el consentimiento del afectado. En esteámbito tampoco será de aplicación lo que respecto a las AdministracionesPúblicas establece el apartado 1 del artículo 21 de la Ley Orgánica deProtección de Datos de carácter personal.

Quinta . Competencias del Defensor del Pueblo y órganos autonómicossemejantes.

Lo dispuesto en la presente Ley Orgánica se entiende sin perjuicio de lascompetencias del Defensor del Pueblo y de los órganos análogos de las Comunida-des Autónomas.

Sexta. Modificación del artículo 24.3 de la Ley de Ordenación ySupervisión de los Seguros Privados.

Se modifica el artículo 24.3, párrafo 2º de la Ley 30/1995, de 8 de noviembre,de Ordenación y Supervisión de los Seguros Privados con la siguiente redacción:

“Las entidades aseguradoras podrán establecer ficheros comunes que contengan datosde carácter personal para la liquidación de siniestros y la colaboración estadísticoactuarial con la finalidad de permitir la tarificación y selección de riesgos y la elabora-ción de estudios de técnica aseguradora. La cesión de datos a los citados ficheros norequerirá el consentimiento previo del afectado, pero sí la comunicación al mismo de laposible cesión de sus datos personales a ficheros comunes para los fines señalados conexpresa indicación del responsable para que se puedan ejercitar los derechos de acceso,rectificación y cancelación previstos en la Ley. También podrán establecerse ficheroscomunes cuya finalidad sea prevenir el fraude en el seguro sin que sea necesario elconsentimiento del afectado. No obstante, será necesaria en estos casos la comunica-ción al afectado, en la primera introducción de sus datos, de quién sea el responsabledel fichero y de las formas de ejercicio de los derechos de acceso, rectificación y cancela-ción. En todo caso, los datos relativos a la salud sólo podrán ser objeto de tratamientocon el consentimiento expreso del afectado”.

Disposiciones transitoriasPrimera. Tratamientos creados por Convenios Internacionales.

La Agencia de Protección de Datos será el organismo competente para laprotección de las personas físicas en lo que respecta al tratamiento de datos de


294


carácter personal respecto de los tratamientos establecidos en cualquier ConvenioInternacional del que sea parte España que atribuya a una autoridad nacional decontrol esta competencia, mientras no se cree una autoridad diferente para estecometido en desarrollo del Convenio.

Segunda. Utilización del Censo Promocional.Reglamentariamente se desarrollarán los procedimientos de formación del

Censo Promocional, de oposición a aparecer en el mismo, de puesta a disposiciónde sus solicitantes, y de control de las listas difundidas. El Reglamento establecerálos plazos para la puesta en operación del Censo Promocional.

Tercera. Subsistencia de normas preexistentes.Hasta tanto se lleven a efecto las previsiones de la Disposición Final Primera de

esta Ley, continuarán en vigor, con su propio rango, las normas reglamentarias existen-tes y, en especial, los Reales Decretos 428/1993, de 26 de marzo, 1332/1994, de 20 dejunio y 994/1999, de 11 de junio, en cuanto no se opongan a la presente Ley.

Disposición derogatoria

ÚnicaQueda derogada la Ley Orgánica 5/1992, de 29 de octubre, de regulación del

tratamiento automatizado de los datos de carácter personal.

Disposiciones finales

Primera. Habilitación para el desarrollo reglamentario.El Gobierno aprobará, o modificará, las disposiciones reglamentarias necesa-

rias para la aplicación y desarrollo de la presente Ley.

Segunda. Preceptos con carácter de Ley Ordinaria.Los títulos IV, VI excepto el último inciso del párrafo 4 del artículo 36 y VII de

la presente Ley, la Disposición Adicional Cuarta, la Disposición Transitoria Primeray la Final Primera, tienen el carácter de Ley Ordinaria.

Tercera. Entrada en vigor.La presente Ley entrará en vigor en el plazo de un mes, contado desde su

publicación en el Boletín Oficial del Estado.Palacio del Congreso de los Diputados, a 25 de noviembre de 1999.

Federico Trillo-Figueroa Martínez-CondePRESIDENTE DEL CONGRESO DE LOS DIPUTADOS

295

B

Real decreto por el quese aprueba el reglamentode desarrollo de la LeyOrgánica 15/1999, de 13 dediciembre, de protección dedatos de carácter personal

B.O.E. número 1719 de enero de 2008

CAPÍTULO VI. Publicidad del registro

Artículo 53. Publicidad formal.1. El Registro es público.

2. La publicidad se hará efectiva por certificación del contenido de losasientos expedida por el Encargado del Registro, por nota simple informa-tiva o por copia de los asientos y de los documentos depositados en elRegistro preferentemente por medios telemáticos. En todo caso, la publici-dad formal se ajustará a los requisitos establecidos en la normativa vigen-te en materia de protección de datos de carácter personal y en la específicasobre acceso a registros administrativos.

3. La información obtenida del Registro no podrá tratarse para fines queresulten incompatibles con el principio de publicidad formal que justificó

296


su obtención. El Encargado del Registro velará por el cumplimiento de lasnormas vigentes en las solicitudes de publicidad en masa o que afecten alos datos personales reseñados en los asientos.

Artículo 54. Certificaciones.1. Corresponderá exclusivamente al Encargado del Registro la facultad de

certificar los asientos del Registro y de los documentos archivados odepositados en el mismo.

2. Las certificaciones constituyen el único medio de acreditarfehacientemente el contenido de los asientos del Registro. En ningún casopodrán expedirse certificaciones sobre datos de fundaciones inscritas enotros registros de fundaciones.

3. Las certificaciones podrán solicitarse por cualquier medio que permita laconstancia de la solicitud realizada y la identidad del solicitante.

4. Las certificaciones, debidamente firmadas por el Encargado del Registro,se expedirán en el plazo de cinco días contados desde la fecha en que sepresente su solicitud.

Artículo 55. Clases de certificación y de nota.Tanto la certificación como la nota podrán ser literales o en extracto, y referirse

a todos los asientos relativos a una fundación o sólo a alguno o algunos de ellos.Podrán expedirse en formato electrónico.

Las notas se expedirán en el plazo de tres días desde su solicitud.

CAPÍTULO VII. Principio de colaboración

Artículo 56. Colaboración entre el Registro y los registros autonómicos.1. Las relaciones entre el Registro y los registros de fundaciones de las

comunidades autónomas se regirán por el principio de lealtadinstitucional. En consecuencia, ambos registros deberán:

a) Facilitar a los otros registros de fundaciones cuantos datos, documen-tos o medios probatorios se hallen a su disposición y se precisen parael ejercicio de sus propias competencias.

b) Prestar la cooperación y asistencia activas que los otros registrospudieran recabar para el eficaz ejercicio de sus competencias.

2. Los intercambios de documentación y datos entre los registros de funda-ciones deberán realizarse por medios telemáticos. A estos efectos, laComisión de Cooperación e Información Registral establecerá las condi-ciones generales, requisitos y características técnicas de las comunicacio-nes y de los distintos documentos.

297

Real decreto por el que se aprueba el desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal

Artículo 57. Flujos de información entre registros en materiade denominaciones.

A efectos de dar cumplimiento a lo dispuesto en el capítulo V de este Regla-mento, se asegurará el flujo de información entre los registros de las comunidadesautónomas y el Registro y entre éste y aquéllos, en relación con denominacionesutilizadas o meramente reservadas por las fundaciones inscritas en dichos registros.

Artículo 58. Colaboración con los Protectorados.1. El Registro comunicará de oficio al Protectorado todas las inscripciones de

cada fundación, cuando se trate de actos que requieran la previa interven-ción de aquél.

2. Siempre que sea conveniente, el Registro podrá solicitar información a losprotectorados ministeriales y a los protectorados de las comunidadesautónomas.

3. Se establecerán los procedimientos por los que los Protectorados puedantener acceso a la publicidad del Registro.

Articulo 59. Colaboración con el Consejo Superior de Fundaciones.1. El Registro y los departamentos que ejerzan los protectorados de las

fundaciones facilitarán al Consejo Superior de Fundaciones cuanta docu-mentación e información relativa a éstas sea necesaria para el debidoejercicio de sus funciones.

2. El Registro podrá solicitar informe al Consejo Superior de Fundaciones. Laconsulta versará sobre aquellos aspectos relacionados con las funcionesque el Registro tiene normativamente atribuidas.

979 REAL DECRETO 1720/2007, de 21 de diciembre, por el que se aprueba elReglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, deprotección de datos de carácter personal.

La actual Ley Orgánica 15/1999, de 13 de diciembre de Protección de datos decarácter personal adaptó nuestro ordenamiento a lo dispuesto por la Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995, relativa a laprotección de las personas físicas en lo que respecta al tratamiento de datos perso-nales y a la libre circulación de estos datos, derogando a su vez la hasta entoncesvigente Ley Orgánica 5/1992, de 29 de octubre, de Regulación del tratamientoautomatizado de datos de carácter personal.

La nueva ley, que ha nacido con una amplia vocación de generalidad, prevé ensu artículo 1 que «tiene por objeto garantizar y proteger, en lo que concierne altratamiento de los datos personales, las libertades públicas y los derechos funda-mentales de las personas físicas, y especialmente de su honor e intimidad personal».Comprende por tanto el tratamiento automatizado y el no automatizado de losdatos de carácter personal.

298


A fin de garantizar la necesaria seguridad jurídica en un ámbito tan sensiblepara los derechos fundamentales como el de la protección de datos, el legisladordeclaró subsistentes las normas reglamentarias existentes y, en especial, los realesdecretos 428/1993, de 26 de marzo, por el que se aprueba el Estatuto de la Agenciade Protección de Datos, 1332/1994, de 20 de junio, por el que se desarrollan deter-minados aspectos de la Ley Orgánica 5/1992, de 29 de octubre de Regulación deltratamiento automatizado de los datos de carácter personal y 994/1999, de 11 dejunio, por el que se aprueba el Reglamento de Medidas de seguridad de los ficherosautomatizados que contengan datos de carácter personal, a la vez que habilitó alGobierno para la aprobación o modificación de las disposiciones reglamentariasnecesarias para la aplicación y desarrollo de la Ley Orgánica 15/1999.

Por otra parte, la Ley 34/2002, de 11 de julio, de Servicios de la sociedad de lainformación y de comercio electrónico y la Ley 32/2003, de 3 de noviembre, Generalde Telecomunicaciones atribuyen competencias en materia sancionadora a laAgencia Española de Protección de Datos. Éstas requieren de desarrollo reglamenta-rio con la peculiaridad de que ambas normas se ordenan a la tutela no sólo de losderechos de las personas físicas, sino también de las jurídicas.

IIEste Reglamento comparte con la Ley Orgánica la finalidad de hacer frente a los

riesgos que para los derechos de la personalidad pueden suponer el acopio y trata-miento de datos personales. Por ello, ha de destacarse que esta norma reglamentarianace con la vocación de no reiterar los contenidos de la norma superior y de desarro-llar, no sólo los mandatos contenidos en la Ley Orgánica de acuerdo con los principiosque emanan de la Directiva, sino también aquellos que en estos años de vigencia de laLey se ha demostrado que precisan de un mayor desarrollo normativo.

Por tanto, se aprueba este Reglamento partiendo de la necesidad de dotar decoherencia a la regulación reglamentaria en todo lo relacionado con la transposiciónde la Directiva y de desarrollar los aspectos novedosos de la Ley Orgánica 15/1999,junto con aquellos en los que la experiencia ha aconsejado un cierto de grado deprecisión que dote de seguridad jurídica al sistema.

IIIEl reglamento viene a abarcar el ámbito tutelado anteriormente por los reales

decretos 1332/1994, de 20 de junio, y 994/1999, de 11 de junio, teniendo en cuentala necesidad de fijar criterios aplicables a los ficheros y tratamientos de datospersonales no automatizados. Por otra parte, la atribución de funciones a la AgenciaEspañola de Protección de Datos por la Ley 34/2002, de 11 de julio, de Servicios dela sociedad de la información y de comercio electrónico y la Ley 32/2003, de 3 denoviembre, General de Telecomunicaciones obliga a desarrollar también los proce-dimientos para el ejercicio de la potestad sancionadora por la Agencia.

El reglamento se estructura en nueve títulos cuyo contenido desarrolla losaspectos esenciales en esta materia.

299


El título I contempla el objeto y ámbito de aplicación del reglamento. A lo largode la vigencia de la Ley Orgánica 15/1999, se ha advertido la conveniencia dedesarrollar el apartado 2 de su artículo 2 para aclarar qué se entiende por ficheros ytratamientos relacionados con actividades personales o domésticas, aspecto muyrelevante dado que están excluidos de la normativa sobre protección de datos decarácter personal.

Por otra parte, el presente reglamento no contiene previsiones para los trata-mientos de datos personales a los que se refiere el apartado 3 del artículo 2 de la leyorgánica, dado que se rigen por sus disposiciones específicas y por lo especialmenteprevisto, en su caso, por la propia Ley Orgánica 15/1999. En consecuencia, semantiene el régimen jurídico propio de estos tratamientos y ficheros.

Además, en este título se aporta un conjunto de definiciones que ayudan alcorrecto entendimiento de la norma, lo que resulta particularmente necesario en unámbito tan tecnificado como el de la protección de datos personales. Por otra parte,fija el criterio a seguir en materia de cómputo de plazos con el fin de homogeneizaresta cuestión evitando distinciones que suponen diferencias de trato de los ficherospúblicos respecto de los privados.

El título II, se refiere a los principios de la protección de datos. Reviste particu-lar importancia la regulación del modo de captación del consentimiento atendiendoa aspectos muy específicos como el caso de los servicios de comunicaciones electró-nicas y, muy particularmente, la captación de datos de los menores. Asimismo, seofrece lo que no puede definirse sino como un estatuto del encargado del tratamien-to, que sin duda contribuirá a clarificar todo lo relacionado con esta figura. Lasprevisiones en este ámbito se completan con lo dispuesto en el título VIII en materiade seguridad dotando de un marco coherente a la actuación del encargado.

El título III se ocupa de una cuestión tan esencial como los derechos de laspersonas en este ámbito. Estos derechos de acceso, rectificación, cancelación yoposición al tratamiento, según ha afirmado el Tribunal Constitucional en su sen-tencia número 292/2000, constituyen el haz de facultades que emanan del derechofundamental a la protección de datos y “sirven a la capital función que desempeñaeste derecho fundamental: garantizar a la persona un poder de control sobre susdatos personales, lo que sólo es posible y efectivo imponiendo a terceros los mencio-nados deberes de hacer”.

A continuación, los títulos IV a VII permiten clarificar aspectos importantespara el tráfico ordinario, como la aplicación de criterios específicos a determinadotipo de ficheros de titularidad privada que por su trascendencia lo requerían –losrelativos a la solvencia patrimonial y crédito y los utilizados en actividades depublicidad y prospección comercial–, el conjunto de obligaciones materiales yformales que deben conducir a los responsables a la creación e inscripción de losficheros, los criterios y procedimientos para la realización de las transferenciasinternacionales de datos, y, finalmente, la regulación de un instrumento, el códigotipo, llamado a jugar cada vez un papel más relevante como elemento dinamizadordel derecho fundamental a la protección de datos.

300


El título VIII regula un aspecto esencial para la tutela del derecho fundamentala la protección de datos, la seguridad, que repercute sobre múltiples aspectosorganizativos, de gestión y aún de inversión, en todas las organizaciones que tratendatos personales. La repercusión del deber de seguridad obligaba a un particularrigor ya que en esta materia han confluido distintos elementos muy relevantes. Poruna parte, la experiencia dimanante de la aplicación del Real Decreto 994/1999permitía conocer las dificultades que habían enfrentado los responsables e identifi-car los puntos débiles y fuertes de la regulación. Por otra, se reclamaba la adapta-ción de la regulación en distintos aspectos. En este sentido, el reglamento trata deser particularmente riguroso en la atribución de los niveles de seguridad, en lafijación de las medidas que corresponda adoptar en cada caso y en la revisión de lasmismas cuando ello resulte necesario. Por otra parte, ordena con mayor precisión elcontenido y las obligaciones vinculadas al mantenimiento del documento de seguri-dad. Además, se ha pretendido regular la materia de modo que contemple lasmúltiples formas de organización material y personal de la seguridad que se dan enla práctica. Por último, se regula un conjunto de medidas destinadas a los ficheros ytratamientos estructurados y no automatizados que ofrezca a los responsables unmarco claro de actuación.

Finalmente en el título IX, dedicado a los procedimientos tramitados por laAgencia Española de Protección de Datos, se ha optado por normar exclusivamenteaquellas especialidades que diferencian a los distintos procedimientos tramitadospor la Agencia de las normas generales previstas para los procedimientos en la Ley30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públi-cas y del Procedimiento Administrativo Común, cuya aplicación se declarasupletoria al presente reglamento.

En su virtud, a propuesta del Ministro de Justicia, con la aprobación previa de laMinistra de Administraciones Públicas, de acuerdo con el Consejo de Estado y previadeliberación del Consejo de Ministros en su reunión del día 21 de diciembre de 2007.

D I S P O N G O :

Artículo único. Aprobación del reglamento.Se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de

diciembre, de Protección de datos de carácter personal, cuyo texto se incluye acontinuación.

Disposición transitoria primera. Adaptación de los códigos tipo inscritosen el Registro General de Protección de Datos.

En el plazo de un año desde la entrada en vigor del presente real decretodeberán notificarse a la Agencia Española de Protección de Datos las modificacionesque resulten necesarias en los códigos tipo inscritos en el Registro General deProtección de Datos para adaptar su contenido a lo dispuesto en el título VII delmismo.

301


Disposición transitoria segunda. Plazos de implantación de las medidasde seguridad.

La implantación de las medidas de seguridad previstas en el presente realdecreto deberá producirse con arreglo a las siguientes reglas:

1.ª Respecto de los ficheros automatizados que existieran en la fecha deentrada en vigor del presente real decreto:

a) En el plazo de un año desde su entrada en vigor, deberán implantarselas medidas de seguridad de nivel medio exigibles a los siguientesficheros:1.º Aquéllos de los que sean responsables las Entidades Gestoras y

Servicios Comunes de la Seguridad Social y se relacionen con elejercicio de sus competencias.

2.º Aquéllos de los que sean responsables las mutuas de accidentesde trabajo y enfermedades profesionales de la Seguridad Social.

3.º Aquéllos que contengan un conjunto de datos de carácter personalque ofrezcan una definición de las características o de la personali-dad de los ciudadanos y que permitan evaluar determinadosaspectos de la personalidad o del comportamiento de los mismos,respecto de las medidas de este nivel que no fueran exigiblesconforme a lo previsto en el artículo 4.4 del Reglamento de Medi-das de seguridad de los ficheros automatizados de datos de carác-ter personal, aprobado por Real Decreto 994/1999, de 11 de junio.

b) En el plazo de un año desde su entrada en vigor deberán implantarselas medidas de seguridad de nivel medio y en el de dieciocho mesesdesde aquella fecha, las de nivel alto exigibles a los siguientes ficheros:1.º Aquéllos que contengan datos derivados de actos de violencia de

género.2.º Aquéllos de los que sean responsables los operadores que pres-

ten servicios de comunicaciones electrónicas disponibles alpúblico o exploten redes públicas de comunicaciones electrónicasrespecto a los datos de tráfico y a los datos de localización.

c) En los demás supuestos, cuando el presente reglamento exija laimplantación de una medida adicional, no prevista en el Reglamentode Medidas de seguridad de los ficheros automatizados de datos decarácter personal, aprobado por Real Decreto 994/1999, de 11 dejunio, dicha medida deberá implantarse en el plazo de un año desdela entrada en vigor del presente real decreto.

2.ª Respecto de los ficheros no automatizados que existieran en la fecha deentrada en vigor del presente real decreto:

a) Las medidas de seguridad de nivel básico deberán implantarse en elplazo de un año desde su entrada en vigor.

302


b) Las medidas de seguridad de nivel medio deberán implantarse en elplazo de dieciocho meses desde su entrada en vigor.

c) Las medidas de seguridad de nivel alto deberán implantarse en elplazo de dos años desde su entrada en vigor.

3.ª Los ficheros, tanto automatizados como no automatizados, creados conposterioridad a la fecha de entrada en vigor del presente real decretodeberán tener implantadas, desde el momento de su creación la totalidadde las medidas de seguridad reguladas en el mismo.

Disposición transitoria tercera. Régimen transitorio de las solicitudespara el ejercicio de los derechos de las personas.

A las solicitudes para el ejercicio de los derechos de acceso, oposición, rectifica-ción y cancelación que hayan sido efectuadas antes de la entrada en vigor del presentereal decreto, no les será de aplicación el mismo, rigiéndose por la normativa anterior.

Disposición transitoria cuarta. Régimen transitorio delos procedimientos.

A los procedimientos ya iniciados antes de la entrada en vigor del presente realdecreto, no les será de aplicación el mismo, rigiéndose por la normativa anterior.

Disposición transitoria quinta. Régimen transitorio de las actuacionesprevias.

A las actuaciones previas iniciadas con anterioridad a la entrada en vigor delpresente real decreto, no les será de aplicación el mismo, rigiéndose por la normati-va anterior. El presente real decreto se aplicará a las actuaciones previas que seinicien después de su entrada en vigor.

Disposición derogatoria única. Derogación normativa.Quedan derogados el Real Decreto 1332/1994, de 20 de junio, por el que se

desarrollan determinados aspectos de la Ley Orgánica 5/1992, de 29 de octubre, deRegulación del tratamiento automatizado de los datos de carácter personal, el RealDecreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de Medidasde seguridad de los ficheros automatizados que contengan datos de carácter perso-nal y todas las normas de igual o inferior rango que contradigan o se opongan a lodispuesto en el presente real decreto.

Disposición final primera. Título competencial.El título I, con excepción del apartado c) del artículo 4, los títulos II, III, VII y

VIII, así como los artículos 52, 53.3, 53.4, 54, 55.1, 55.3, 56, 57, 58 y 63.3 del regla-mento se dictan al amparo de lo dispuesto en el artículo 149.1.1.ª de la Constitución,que atribuye al Estado la competencia exclusiva para la regulación de las condicio-nes básicas que garanticen la igualdad de todos los españoles en el ejercicio de losderechos y en el cumplimiento de los deberes constitucionales.

303


Disposición final segunda. Entrada en vigor.El presente real decreto entrará en vigor a los tres meses de su íntegra publica-

ción en el «Boletín Oficial del Estado».Dado en Madrid, el 21 de diciembre de 2007.

JUAN CARLOS R.El Ministro de Justicia,MARIANO FERNÁNDEZ BERMEJO

REGLAMENTO DE DESARROLLO DE LA LEY ORGÁNICA15/1999, DE 13 DE DICIEMBRE, DE PROTECCIÓN DEDATOS DE CARÁCTER PERSONAL

Título I. Disposiciones generales.Artículo 1. Objeto.Artículo 2. Ámbito objetivo de aplicación.Artículo 3. Ámbito territorial de aplicación.Artículo 4. Ficheros o tratamientos excluidos.Artículo 5. Definiciones.Artículo 6. Cómputo de plazos.Artículo 7. Fuentes accesibles al público.

Título II. Principios de protección de datos.Capítulo I. Calidad de los datos.

Artículo 8. Principios de calidad de los datos.Artículo 9. Tratamiento con fines estadísticos, históricos o científicos.Artículo 10. Supuestos que legitiman el tratamiento o cesión de los datos.Artículo 11. Verificación de datos en solicitudes formuladas a las Adminis-

traciones Públicas.Capítulo II. Consentimiento para el tratamiento de los datos y deber de infor-

mación.Sección Primera. Obtención del consentimiento del afectado.

Artículo 12. Principios generales.Artículo 13. Consentimiento para el tratamiento de datos de menores de

edad.Artículo 14. Forma de recabar el consentimiento.Artículo 15. Solicitud del consentimiento en el marco de una relación

contractual para fines no relacionados directamente con la misma.Artículo 16. Tratamiento de datos de facturación y tráfico en servicios de

comunicaciones electrónicas.

304


Artículo 17. Revocación del consentimiento.Sección Segunda. Deber de información al interesado.

Artículo 18. Acreditación del cumplimiento del deber de información.Artículo 19. Supuestos especiales.

Capítulo III. Encargado del tratamiento.Artículo 20. Relaciones entre el responsable y el encargado del tratamiento.Artículo 21. Posibilidad de subcontratación de los servicios.Artículo 22. Conservación de los datos por el encargado del tratamiento.

Título III. Derechos de acceso, rectificación, cancelación y oposición.Capítulo I. Disposiciones generales.

Artículo 23. Carácter personalísimo.Artículo 24. Condiciones generales para el ejercicio de los derechos de

acceso, rectificación, cancelación y oposición.Artículo 25. Procedimiento.Artículo 26. Ejercicio de los derechos ante un encargado del tratamiento.

Capítulo II. Derecho de acceso.Artículo 27. Derecho de acceso.Artículo 28. Ejercicio del derecho de acceso.Artículo 29. Otorgamiento del acceso.Artículo 30. Denegación del acceso.

Capítulo III. Derechos de rectificación y cancelación.Artículo 31. Derechos de rectificación y cancelación.Artículo 32. Ejercicio de los derechos de rectificación y cancelación.Artículo 33. Denegación de los derechos de rectificación y cancelación.

Capítulo IV. Derecho de oposición.Artículo 34. Derecho de oposición.Artículo 35. Ejercicio del derecho de oposición.Artículo 36. Derecho de oposición a las decisiones basadas únicamente en

un tratamiento automatizado de datos.Título IV. Disposiciones aplicables a determinados ficheros de titularidad

privada.Capítulo I. Ficheros de información sobre solvencia patrimonial y crédito.Sección Primera. Disposiciones generales.

Artículo 37. Régimen aplicable.Sección Segunda. Tratamiento de datos relativos al cumplimiento o incumpli-

miento de obligaciones dinerarias facilitados por el acreedor o por quien actúe porsu cuenta o interés.

305


Artículo 38. Requisitos para la inclusión de los datos.Artículo 39. Información previa a la inclusión.Artículo 40. Notificación de inclusión.Artículo 41. Conservación de los datos.Artículo 42. Acceso a la información contenida en el fichero.Artículo 43. Responsabilidad.Artículo 44. Ejercicio de los derechos de acceso, rectificación, cancelación y

oposición.Capítulo II. Tratamientos para actividades de publicidad y prospección comer-

cial.Artículo 45. Datos susceptibles de tratamiento e información al interesado.Artículo 46. Tratamiento de datos en campañas publicitarias.Artículo 47. Depuración de datos personales.Artículo 48. Ficheros de exclusión del envío de comunicaciones comerciales.Artículo 49. Ficheros comunes de exclusión del envío de comunicaciones

comerciales.Artículo 50. Derechos de acceso, rectificación y cancelación.Artículo 51. Derecho de oposición.

Título V. Obligaciones previas al tratamiento de los datos.Capítulo I. Creación, modificación o supresión de ficheros de titularidad pública.

Artículo 52. Disposición o Acuerdo de creación, modificación o supresióndel fichero.

Artículo 53. Forma de la disposición o acuerdo.Artículo 54. Contenido de la disposición o acuerdo.

Capítulo II. Notificación e inscripción de los ficheros de titularidad pública oprivada.

Artículo 55. Notificación de ficheros.Artículo 56. Tratamiento de datos en distintos soportes.Artículo 57. Ficheros en los que exista más de un responsable.Artículo 58. Notificación de la modificación o supresión de ficheros.Artículo 59. Modelos y soportes para la notificación.Artículo 60. Inscripción de los ficheros.Artículo 61. Cancelación de la inscripción.Artículo 62. Rectificación de errores.Artículo 63. Inscripción de oficio de ficheros de titularidad pública.Artículo 64. Colaboración con las Autoridades de Control de las Comuni-

dades Autónomas.Título VI. Transferencias internacionales de datos.

306


Capítulo I. Disposiciones generales.Artículo 65. Cumplimiento de las disposiciones de la Ley Orgánica 15/

1999, de 13 de diciembre.Artículo 66. Autorización y notificación.

Capítulo II. Transferencias a estados que proporcionen un nivel adecuado deprotección.

Artículo 67. Nivel adecuado de protección acordado por la AgenciaEspañola de Protección de Datos.

Artículo 68. Nivel adecuado de protección declarado por Decisión de laComisión Europea.

Artículo 69. Suspensión temporal de las transferencias.Capítulo III. Transferencias a estados que no proporcionen un nivel adecuado

de protección.Artículo 70. Transferencias sujetas a autorización del Director de la Agen-

cia Española de Protección de Datos.Título VII. Códigos tipo.

Artículo 71. Objeto y naturaleza.Artículo 72. Iniciativa y ámbito de aplicación.Artículo 73. Contenido.Artículo 74. Compromisos adicionalesArtículo 75. Garantías del cumplimiento de los códigos tipo.Artículo 76. Relación de adheridos.Artículo 77. Depósito y publicidad de los códigos tipo.Artículo 78. Obligaciones posteriores a la inscripción del código tipo.

Título VIII. De las medidas de seguridad en el tratamiento de datos de carácterpersonal.

Capítulo I. Disposiciones generales.Artículo 79. Alcance.Artículo 80. Niveles de seguridad.Artículo 81. Aplicación de los niveles de seguridad.Artículo 82. Encargado del tratamiento.Artículo 83. Prestaciones de servicios sin acceso a datos personales.Artículo 84. Delegación de autorizaciones.Artículo 85. Acceso a datos a través de redes de comunicaciones.Artículo 86. Régimen de trabajo fuera de los locales del responsable del

fichero o encargado del tratamiento.Artículo 87. Ficheros temporales o copias de trabajo de documentos.

Capítulo II. Del documento de seguridad.

307


Artículo 88. El documento de seguridad.Capítulo III. Medidas de seguridad aplicables a ficheros y tratamientos auto-

matizados.Sección Primera. Medidas de seguridad de nivel básico.

Artículo 89. Funciones y obligaciones del personal.Artículo 90. Registro de incidencias.Artículo 91. Control de acceso.Artículo 92. Gestión de soportes.Artículo 93. Identificación y autenticación.Artículo 94. Copias de respaldo y recuperación.

Sección Segunda. Medidas de seguridad de nivel medio.Artículo 95. Responsable de seguridad.Artículo 96. Auditoría.Artículo 97. Gestión de soportes.Artículo 98. Identificación y autenticación.Artículo 99. Control de acceso físico.Artículo 100. Registro de incidencias.

Sección Tercera. Medidas de seguridad de nivel alto.Artículo 101. Gestión y distribución de soportes.Artículo 102. Copias de respaldo y recuperación.Artículo 103. Registro de accesos.Artículo 104. Telecomunicaciones.

Capítulo IV. Medidas de seguridad aplicables a los ficheros y tratamientos noautomatizados.

Sección Primera. Medidas de seguridad de nivel básico.Artículo 105. Obligaciones comunes.Artículo 106. Criterios de archivo.Artículo 107. Dispositivos de almacenamiento.Artículo 108. Custodia de los soportes.

Sección Segunda. Medidas de seguridad de nivel medio.Artículo 109. Responsabilidad de seguridad.Artículo 110. Auditoría.

Sección Tercera. Medidas de seguridad de nivel alto.Artículo 111. Almacenamiento de la información.Artículo 112. Copia o reproducción.Artículo 113. Acceso a la documentación.Artículo 114. Traslado de documentación.

308


Título IX. Procedimientos tramitados por la Agencia Española de Protección deDatos.

Capítulo I. Disposiciones generales.Artículo 115. Régimen aplicable.Artículo 116. Publicidad de las resoluciones

Capítulo II. Procedimiento de tutela de los derechos de acceso, rectificación,cancelación y oposición.

Artículo 117. Instrucción del procedimiento.Artículo 118. Duración del procedimiento y efectos de la falta de resolu-

ción expresa.Artículo 119. Ejecución de la resolución.

Capítulo III. Procedimientos relativos al ejercicio de la potestad sancionadora.Sección Primera. Disposiciones Generales.

Artículo 120. Ámbito de aplicación.Artículo 121. Inmovilización de ficheros.

Sección Segunda. Actuaciones previas.Artículo 122. Iniciación.Artículo 123. Personal competente para la realización de las actuaciones

previas.Artículo 124. Obtención de información.Artículo 125. Actuaciones presenciales.Artículo 126. Resultado de las actuaciones previas.

Sección Tercera Procedimiento Sancionador.Artículo 127. Iniciación del procedimiento.Artículo 128. Plazo máximo para resolver.

Sección Cuarta. Procedimiento de declaración de infracción de la Ley Orgánica15/1999, de 13 de diciembre, por las Administraciones Públicas.

Artículo 129. Disposición general.Capítulo IV. Procedimientos relacionados con la inscripción o cancelación de

ficheros.Sección Primera. Procedimiento de inscripción de la creación, modificación o

supresión de ficheros.Artículo 130. Iniciación del procedimiento.Artículo 131. Especialidades en la notificación de ficheros de titularidad

pública.Artículo 132. Acuerdo de inscripción o cancelación.Artículo 133. Improcedencia o denegación de la inscripción.Artículo 134. Duración del procedimiento y efectos de la falta de resolu-

ción expresa.

309


Sección Segunda. Procedimiento de cancelación de oficio de ficheros inscritos.Artículo 135. Iniciación del procedimiento.Artículo 136. Terminación del expediente.

Capítulo V. Procedimientos relacionados con las transferencias internacionalesde datos.

Sección Primera. Procedimiento de autorización de transferencias internacio-nales de datos.

Artículo 137. Iniciación del procedimiento.Artículo 138. Instrucción del procedimiento.Artículo 139. Actos posteriores a la resolución.Artículo 140. Duración del procedimiento y efectos de la falta de resolu-

ción expresa.Sección Segunda. Procedimiento de suspensión temporal de transferencias

internacionales de datos.Artículo 141. Iniciación.Artículo 142. Instrucción y resolución.Artículo 143. Actos posteriores a la resolución.Artículo 144. Levantamiento de la suspensión temporal.

Capítulo VI. Procedimiento de inscripción de códigos tipo.Artículo 145. Iniciación del procedimiento.Artículo 146. Análisis de los aspectos sustantivos del código tipo.Artículo 147. Información pública.Artículo 148. Mejora del código tipo.Artículo 149. Trámite de audiencia.Artículo 150. Resolución.Artículo 151. Duración del procedimiento y efectos de la falta de resolu-

ción expresa.Artículo 152. Publicación de los códigos tipo por la Agencia Española de

Protección de Datos.Capítulo VII. Otros procedimientos tramitados por la Agencia Española de

Protección de Datos.Sección Primera. Procedimiento de exención del deber de información al

interesado

Artículo 153. Iniciación del procedimiento.Artículo 154. Propuesta de nuevas medidas compensatoriasArtículo 155. Terminación del procedimiento.Artículo 156. Duración del procedimiento y efectos de la falta de resolu-

ción expresa.

310


Sección Segunda. Procedimiento para la autorización de conservación de datospara fines históricos, estadísticos o científicos.

Artículo 157. Iniciación del procedimiento.Artículo 158. Duración del procedimiento y efectos de la falta de resolu-

ción expresa.Disposición adicional única. Productos de software.Disposición final única. Aplicación supletoria.

TÍTULO I. Disposiciones generales

Artículo 1. Objeto.1. El presente reglamento tiene por objeto el desarrollo de la Ley Orgánica

15/1999, de 13 de diciembre, de Protección de datos de carácter personal.

2. Asimismo, el capítulo III del título IX de este reglamento desarrolla lasdisposiciones relativas al ejercicio por la Agencia Española de Protecciónde Datos de la potestad sancionadora, en aplicación de lo dispuesto en laLey Orgánica 15/1999, de 13 de diciembre, en el título VII de la Ley 34/2002, de 11 de julio, de Servicios de la sociedad de la información y decomercio electrónico, y en el título VIII de la Ley 32/2003, de 3 de noviem-bre, General de Telecomunicaciones.

Artículo 2. Ámbito objetivo de aplicación.1. El presente reglamento será de aplicación a los datos de carácter personal

registrados en soporte físico, que los haga susceptibles de tratamiento, y atoda modalidad de uso posterior de estos datos por los sectores público yprivado.

2. Este reglamento no será aplicable a los tratamientos de datos referidos apersonas jurídicas, ni a los ficheros que se limiten a incorporar los datosde las personas físicas que presten sus servicios en aquéllas, consistentesúnicamente en su nombre y apellidos, las funciones o puestos desempeña-dos, así como la dirección postal o electrónica, teléfono y número de faxprofesionales.

3. Asimismo, los datos relativos a empresarios individuales, cuando haganreferencia a ellos en su calidad de comerciantes, industriales o navieros,también se entenderán excluidos del régimen de aplicación de la protec-ción de datos de carácter personal.

4. Este reglamento no será de aplicación a los datos referidos a personasfallecidas. No obstante, las personas vinculadas al fallecido, por razonesfamiliares o análogas, podrán dirigirse a los responsables de los ficheros otratamientos que contengan datos de éste con la finalidad de notificar elóbito, aportando acreditación suficiente del mismo, y solicitar, cuandohubiere lugar a ello, la cancelación de los datos.

311


Artículo 3. Ámbito territorial de aplicación.1. Se regirá por el presente reglamento todo tratamiento de datos de carácter

personal:

a) Cuando el tratamiento sea efectuado en el marco de las actividadesde un establecimiento del responsable del tratamiento, siempre quedicho establecimiento se encuentre ubicado en territorio español.Cuando no resulte de aplicación lo dispuesto en el párrafo anterior,pero exista un encargado del tratamiento ubicado en España, serán deaplicación al mismo las normas contenidas en el título VIII del pre-sente reglamento.

b) Cuando al responsable del tratamiento no establecido en territorioespañol, le sea de aplicación la legislación española, según las normasde Derecho internacional público.

c) Cuando el responsable del tratamiento no esté establecido en territo-rio de la Unión Europea y utilice en el tratamiento de datos mediossituados en territorio español, salvo que tales medios se utilicenúnicamente con fines de tránsito.En este supuesto, el responsable del tratamiento deberá designar unrepresentante establecido en territorio español.

2. A los efectos previstos en los apartados anteriores, se entenderá porestablecimiento, con independencia de su forma jurídica, cualquierinstalación estable que permita el ejercicio efectivo y real de una actividad.

Artículo 4. Ficheros o tratamientos excluidos.El régimen de protección de los datos de carácter personal que se establece en

el presente reglamento no será de aplicación a los siguientes ficheros y tratamientos:a) A los realizados o mantenidos por personas físicas en el ejercicio de

actividades exclusivamente personales o domésticas.

Sólo se considerarán relacionados con actividades personales o domésticaslos tratamientos relativos a las actividades que se inscriben en el marco dela vida privada o familiar de los particulares.

b) A los sometidos a la normativa sobre protección de materias clasificadas.

c) A los establecidos para la investigación del terrorismo y de formas gravesde delincuencia organizada. No obstante el responsable del fichero comu-nicará previamente la existencia del mismo, sus características generales ysu finalidad a la Agencia Española de Protección de Datos.

Artículo 5. Definiciones.1. A los efectos previstos en este reglamento, se entenderá por:

312


a) Afectado o interesado: Persona física titular de los datos que seanobjeto del tratamiento.

b) Cancelación: Procedimiento en virtud del cual el responsable cesa enel uso de los datos. La cancelación implicará el bloqueo de los datos,consistente en la identificación y reserva de los mismos con el fin deimpedir su tratamiento excepto para su puesta a disposición de lasAdministraciones públicas, Jueces y Tribunales, para la atención delas posibles responsabilidades nacidas del tratamiento y sólo duranteel plazo de prescripción de dichas responsabilidades. Transcurridoese plazo deberá procederse a la supresión de los datos.

c) Cesión o comunicación de datos: Tratamiento de datos que supone surevelación a una persona distinta del interesado.

d) Consentimiento del interesado: Toda manifestación de voluntad,libre, inequívoca, específica e informada, mediante la que el interesa-do consienta el tratamiento de datos personales que le conciernen.

e) Dato disociado: aquél que no permite la identificación de un afectadoo interesado.

f) Datos de carácter personal: Cualquier información numérica,alfabética, gráfica, fotográfica, acústica o de cualquier otro tipoconcerniente a personas físicas identificadas o identificables.

g) Datos de carácter personal relacionados con la salud: las informacio-nes concernientes a la salud pasada, presente y futura, física o mental,de un individuo. En particular, se consideran datos relacionados conla salud de las personas los referidos a su porcentaje de discapacidady a su información genética.

h) Destinatario o cesionario: la persona física o jurídica, pública oprivada u órgano administrativo, al que se revelen los datos.Podrán ser también destinatarios los entes sin personalidad jurídicaque actúen en el tráfico como sujetos diferenciados.

i) Encargado del tratamiento: La persona física o jurídica, pública oprivada, u órgano administrativo que, solo o conjuntamente conotros, trate datos personales por cuenta del responsable del trata-miento o del responsable del fichero, como consecuencia de la exis-tencia de una relación jurídica que le vincula con el mismo y delimitael ámbito de su actuación para la prestación de un servicio. Podránser también encargados del tratamiento los entes sin personalidadjurídica que actúen en el tráfico como sujetos diferenciados.

j) Exportador de datos personales: la persona física o jurídica, pública oprivada, u órgano administrativo situado en territorio español querealice, conforme a lo dispuesto en el presente Reglamento, unatransferencia de datos de carácter personal a un país tercero.

k) Fichero: Todo conjunto organizado de datos de carácter personal, quepermita el acceso a los datos con arreglo a criterios determinados,

313


cualquiera que fuere la forma o modalidad de su creación, almacena-miento, organización y acceso.

l) Ficheros de titularidad privada: los ficheros de los que sean responsa-bles las personas, empresas o entidades de derecho privado, conindependencia de quien ostente la titularidad de su capital o de laprocedencia de sus recursos económicos, así como los ficheros de losque sean responsables las corporaciones de derecho público, encuanto dichos ficheros no se encuentren estrictamente vinculados alejercicio de potestades de derecho público que a las mismas atribuyesu normativa específica.

m) Ficheros de titularidad pública: los ficheros de los que sean responsa-bles los órganos constitucionales o con relevancia constitucional delEstado o las instituciones autonómicas con funciones análogas a losmismos, las Administraciones públicas territoriales, así como lasentidades u organismos vinculados o dependientes de las mismas ylas Corporaciones de derecho público siempre que su finalidad sea elejercicio de potestades de derecho público.

n) Fichero no automatizado: todo conjunto de datos de carácter personalorganizado de forma no automatizada y estructurado conforme acriterios específicos relativos a personas físicas, que permitan accedersin esfuerzos desproporcionados a sus datos personales, ya sea aquélcentralizado, descentralizado o repartido de forma funcional ogeográfica.

ñ) Importador de datos personales: la persona física o jurídica, pública oprivada, u órgano administrativo receptor de los datos en caso detransferencia internacional de los mismos a un tercer país, ya searesponsable del tratamiento, encargada del tratamiento o tercero.

o) Persona identificable: toda persona cuya identidad pueda determi-narse, directa o indirectamente, mediante cualquier informaciónreferida a su identidad física, fisiológica, psíquica, económica, cultu-ral o social. Una persona física no se considerará identificable si dichaidentificación requiere plazos o actividades desproporcionados.

p) Procedimiento de disociación: Todo tratamiento de datos personalesque permita la obtención de datos disociados.

q) Responsable del fichero o del tratamiento: Persona física o jurídica, denaturaleza pública o privada, u órgano administrativo, que sólo oconjuntamente con otros decida sobre la finalidad, contenido y usodel tratamiento, aunque no lo realizase materialmente.Podrán ser también responsables del fichero o del tratamiento losentes sin personalidad jurídica que actúen en el tráfico como sujetosdiferenciados.

r) Tercero: la persona física o jurídica, pública o privada u órgano admi-nistrativo distinta del afectado o interesado, del responsable del trata-

314


miento, del responsable del fichero, del encargado del tratamiento yde las personas autorizadas para tratar los datos bajo la autoridad di-recta del responsable del tratamiento o del encargado del tratamiento.Podrán ser también terceros los entes sin personalidad jurídica queactúen en el tráfico como sujetos diferenciados.

s) Transferencia internacional de datos: Tratamiento de datos que supo-ne una transmisión de los mismos fuera del territorio del Espacio Eco-nómico Europeo, bien constituya una cesión o comunicación de datos,bien tenga por objeto la realización de un tratamiento de datos porcuenta del responsable del fichero establecido en territorio español.

t) Tratamiento de datos: cualquier operación o procedimiento técnico, seao no automatizado, que permita la recogida, grabación, conservación,elaboración, modificación, consulta, utilización, modificación, cancela-ción, bloqueo o supresión, así como las cesiones de datos que resultende comunicaciones, consultas, interconexiones y transferencias.

2. En particular, en relación con lo dispuesto en el título VIII de este regla-mento se entenderá por:

a) Accesos autorizados: autorizaciones concedidas a un usuario para lautilización de los diversos recursos. En su caso, incluirán las autoriza-ciones o funciones que tenga atribuidas un usuario por delegación delresponsable del fichero o tratamiento o del responsable de seguridad.

b) Autenticación: procedimiento de comprobación de la identidad de unusuario.

c) Contraseña: información confidencial, frecuentemente constituida poruna cadena de caracteres, que puede ser usada en la autenticación deun usuario o en el acceso a un recurso.

d) Control de acceso: mecanismo que en función de la identificación yaautenticada permite acceder a datos o recursos.

e) Copia de respaldo: copia de los datos de un fichero automatizado enun soporte que posibilite su recuperación.

f) Documento: todo escrito, gráfico, sonido, imagen o cualquier otraclase de información que puede ser tratada en un sistema de informa-ción como una unidad diferenciada.

g) Ficheros temporales: ficheros de trabajo creados por usuarios oprocesos que son necesarios para un tratamiento ocasional o comopaso intermedio durante la realización de un tratamiento.

h) Identificación: procedimiento de reconocimiento de la identidad deun usuario.

i) Incidencia: cualquier anomalía que afecte o pudiera afectar a laseguridad de los datos.

j) Perfil de usuario: accesos autorizados a un grupo de usuarios.

315


k) Recurso: cualquier parte componente de un sistema de información.l) Responsable de seguridad: persona o personas a las que el responsa-

ble del fichero ha asignado formalmente la función de coordinar ycontrolar las medidas de seguridad aplicables.

m) Sistema de información: conjunto de ficheros, tratamientos, progra-mas, soportes y en su caso, equipos empleados para el tratamiento dedatos de carácter personal.

n) Sistema de tratamiento: modo en que se organiza o utiliza un sistemade información. Atendiendo al sistema de tratamiento, los sistemasde información podrán ser automatizados, no automatizados oparcialmente automatizados.

ñ) Soporte: objeto físico que almacena o contiene datos o documentos, uobjeto susceptible de ser tratado en un sistema de información y sobreel cual se pueden grabar y recuperar datos.

o) Transmisión de documentos: cualquier traslado, comunicación, envío,entrega o divulgación de la información contenida en el mismo.

p) Usuario: sujeto o proceso autorizado para acceder a datos o recursos.Tendrán la consideración de usuarios los procesos que permitanacceder a datos o recursos sin identificación de un usuario físico.

Artículo 6. Cómputo de plazos.En los supuestos en que este reglamento señale un plazo por días se computa-

rán únicamente los hábiles. Cuando el plazo sea por meses, se computarán de fechaa fecha.

Artículo 7. Fuentes accesibles al público.1. A efectos del artículo 3, párrafo j) de la Ley Orgánica 15/1999, se entende-

rá que sólo tendrán el carácter de fuentes accesibles al público:

a) El censo promocional, regulado conforme a lo dispuesto en la LeyOrgánica 15/1999, de 13 de diciembre.

b) Las guías de servicios de comunicaciones electrónicas, en los términosprevistos por su normativa específica.

c) Las listas de personas pertenecientes a grupos de profesionales quecontengan únicamente los datos de nombre, título, profesión, activi-dad, grado académico, dirección profesional e indicación de supertenencia al grupo. La dirección profesional podrá incluir los datosdel domicilio postal completo, número telefónico, número de fax ydirección electrónica. En el caso de Colegios profesionales, podránindicarse como datos de pertenencia al grupo los de número decolegiado, fecha de incorporación y situación de ejercicio profesional.

d) Los diarios y boletines oficiales.

316


e) Los medios de comunicación social.2. En todo caso, para que los supuestos enumerados en el apartado anterior

puedan ser considerados fuentes accesibles al público, será preciso que suconsulta pueda ser realizada por cualquier persona, no impedida por unanorma limitativa, o sin más exigencia que, en su caso, el abono de unacontraprestación.

TÍTULO II. Principios de protección de datos

CAPÍTULO I. Calidad de los datosArtículo 8. Principios relativos a la calidad de los datos.

1. Los datos de carácter personal deberán ser tratados de forma leal y lícita. Seprohíbe la recogida de datos por medios fraudulentos, desleales o ilícitos.

2. Los datos de carácter personal sólo podrán ser recogidos para el cumpli-miento de finalidades determinadas, explícitas y legítimas del responsabledel tratamiento.

3. Los datos de carácter personal objeto de tratamiento no podrán usarsepara finalidades incompatibles con aquellas para las que los datos hubie-ran sido recogidos.

4. Sólo podrán ser objeto de tratamiento los datos que sean adecuados,pertinentes y no excesivos en relación con las finalidades determinadas,explícitas y legítimas para las que se hayan obtenido.

5. Los datos de carácter personal serán exactos y puestos al día de forma querespondan con veracidad a la situación actual del afectado. Si los datosfueran recogidos directamente del afectado, se considerarán exactos losfacilitados por éste.

Si los datos de carácter personal sometidos a tratamiento resultaran serinexactos, en todo o en parte, o incompletos, serán cancelados y sustitui-dos de oficio por los correspondientes datos rectificados o completados enel plazo de diez días desde que se tuviese conocimiento de la inexactitud,salvo que la legislación aplicable al fichero establezca un procedimiento oun plazo específico para ello.

Cuando los datos hubieran sido comunicados previamente, el responsabledel fichero o tratamiento deberá notificar al cesionario, en el plazo de diezdías, la rectificación o cancelación efectuada, siempre que el cesionario seaconocido.

En el plazo de diez días desde la recepción de la notificación, el cesionarioque mantuviera el tratamiento de los datos, deberá proceder a la rectifica-ción y cancelación notificada.

Esta actualización de los datos de carácter personal no requerirá comuni-cación alguna al interesado, sin perjuicio del ejercicio de los derechos por

317


parte de los interesados reconocidos en la Ley Orgánica 15/1999, de 13 dediciembre.

Lo dispuesto en este apartado se entiende sin perjuicio de las facultadesque a los afectados reconoce el título III de este reglamento.

6. Los datos de carácter personal serán cancelados cuando hayan dejado deser necesarios o pertinentes para la finalidad para la cual hubieran sidorecabados o registrados. No obstante, podrán conservarse durante eltiempo en que pueda exigirse algún tipo de responsabilidad derivada deuna relación u obligación jurídica o de la ejecución de un contrato o de laaplicación de medidas precontractuales solicitadas por el interesado.

Una vez cumplido el período al que se refieren los párrafos anteriores, losdatos sólo podrán ser conservados previa disociación de los mismos, sinperjuicio de la obligación de bloqueo prevista en la Ley Orgánica 15/1999,de 13 de diciembre, y en el presente reglamento.

7. Los datos de carácter personal serán tratados de forma que permitan elejercicio del derecho de acceso, en tanto no proceda su cancelación.

Artículo 9. Tratamiento con fines estadísticos, históricos o científicos.1. No se considerará incompatible, a los efectos previstos en el apartado 3

del artículo anterior, el tratamiento de los datos de carácter personal confines históricos, estadísticos o científicos.

Para la determinación de los fines a los que se refiere el párrafo anterior seestará a la legislación que en cada caso resulte aplicable y, en particular, alo dispuesto en la Ley 12/1989, de 9 de mayo, Reguladora de la funciónestadística pública, la Ley 16/1985, de 25 junio, del Patrimonio históricoespañol y la Ley 13/1986, de 14 de abril de Fomento y coordinación gene-ral de la investigación científica y técnica, y sus respectivas disposicionesde desarrollo, así como a la normativa autonómica en estas materias.

2. Por vía de excepción a lo dispuesto en el apartado 6 del artículo anterior,la Agencia Española de Protección de Datos o, en su caso, las autoridadesde control de las comunidades autónomas podrán, previa solicitud delresponsable del tratamiento y conforme al procedimiento establecido en lasección segunda del capítulo VII del título IX del presente reglamento,acordar el mantenimiento íntegro de determinados datos, atendidos susvalores históricos, estadísticos o científicos de acuerdo con las normas alas que se refiere el apartado anterior.

Artículo 10. Supuestos que legitiman el tratamiento o cesión de los datos.1. Los datos de carácter personal únicamente podrán ser objeto de trata-

miento o cesión si el interesado hubiera prestado previamente su consenti-miento para ello.

318


2. No obstante, será posible el tratamiento o la cesión de los datos de carác-ter personal sin necesidad del consentimiento del interesado cuando:

a) Lo autorice una norma con rango de ley o una norma de derechocomunitario y, en particular, cuando concurra uno de los supuestossiguientes:El tratamiento o la cesión tengan por objeto la satisfacción de uninterés legítimo del responsable del tratamiento o del cesionarioamparado por dichas normas, siempre que no prevalezca el interés olos derechos y libertades fundamentales de los interesados previstosen el artículo 1 de la Ley Orgánica 15/1999, de 13 de diciembre.El tratamiento o la cesión de los datos sean necesarios para que elresponsable del tratamiento cumpla un deber que le imponga una dedichas normas.

b) Los datos objeto de tratamiento o de cesión figuren en fuentes accesi-bles al público y el responsable del fichero, o el tercero a quien secomuniquen los datos, tenga un interés legítimo para su tratamientoo conocimiento, siempre que no se vulneren los derechos y libertadesfundamentales del interesado. No obstante, las Administracionespúblicas sólo podrán comunicar al amparo de este apartado los datosrecogidos de fuentes accesibles al público a responsables de ficherosde titularidad privada cuando se encuentren autorizadas para ellopor una norma con rango de ley.

3. Los datos de carácter personal podrán tratarse sin necesidad del consenti-miento del interesado cuando:

a) Se recojan para el ejercicio de las funciones propias de las Administra-ciones públicas en el ámbito de las competencias que les atribuya unanorma con rango de ley o una norma de derecho comunitario.

b) Se recaben por el responsable del tratamiento con ocasión de lacelebración de un contrato o precontrato o de la existencia de unarelación negocial, laboral o administrativa de la que sea parte elafectado y sean necesarios para su mantenimiento o cumplimiento.

c) El tratamiento de los datos tenga por finalidad proteger un interésvital del interesado en los términos del apartado 6 del artículo 7 de laLey Orgánica 15/1999, de 13 de diciembre.

4. Será posible la cesión de los datos de carácter personal sin contar con elconsentimiento del interesado cuando:

a) La cesión responda a la libre y legítima aceptación de una relaciónjurídica cuyo desarrollo, cumplimiento y control comporte la comuni-cación de los datos. En este caso la comunicación sólo será legítima encuanto se limite a la finalidad que la justifique.

b) La comunicación que deba efectuarse tenga por destinatario alDefensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el

319


Tribunal de Cuentas o a las instituciones autonómicas con funcionesanálogas al Defensor del Pueblo o al Tribunal de Cuentas y se realiceen el ámbito de las funciones que la ley les atribuya expresamente.

c) La cesión entre Administraciones públicas cuando concurra uno delos siguientes supuestos:Tenga por objeto el tratamiento de los datos con fines históricos,estadísticos o científicos.Los datos de carácter personal hayan sido recogidos o elaborados poruna Administración pública con destino a otra.La comunicación se realice para el ejercicio de competencias idénticaso que versen sobre las mismas materias.

5. Los datos especialmente protegidos podrán tratarse y cederse en lostérminos previstos en los artículos 7 y 8 de la Ley Orgánica 15/1999, de 13de diciembre.

En particular, no será necesario el consentimiento del interesado para lacomunicación de datos personales sobre la salud, incluso a través demedios electrónicos, entre organismos, centros y servicios del SistemaNacional de Salud cuando se realice para la atención sanitaria de laspersonas, conforme a lo dispuesto en el Capítulo V de la Ley 16/2003, de28 de mayo, de cohesión y calidad del Sistema Nacional de Salud.

Artículo 11. Verificación de datos en solicitudes formuladasa las Administraciones públicas.

Cuando se formulen solicitudes por medios electrónicos en las que el interesa-do declare datos personales que obren en poder de las Administraciones públicas, elórgano destinatario de la solicitud podrá efectuar en el ejercicio de sus competen-cias las verificaciones necesarias para comprobar la autenticidad de los datos.

CAPÍTULO II. Consentimiento para el tratamientode los datos y deber de información

SECCIÓN 1.ª OBTENCIÓN DEL CONSENTIMIENTODEL AFECTADO

Artículo 12. Principios generales.1. El responsable del tratamiento deberá obtener el consentimiento del

interesado para el tratamiento de sus datos de carácter personal salvo enaquellos supuestos en que el mismo no sea exigible con arreglo a lodispuesto en las leyes.

La solicitud del consentimiento deberá ir referida a un tratamiento o seriede tratamientos concretos, con delimitación de la finalidad para los que se

320


recaba, así como de las restantes condiciones que concurran en el trata-miento o serie de tratamientos.

2. Cuando se solicite el consentimiento del afectado para la cesión de susdatos, éste deberá ser informado de forma que conozca inequívocamentela finalidad a la que se destinarán los datos respecto de cuya comunica-ción se solicita el consentimiento y el tipo de actividad desarrollada por elcesionario. En caso contrario, el consentimiento será nulo.

3. Corresponderá al responsable del tratamiento la prueba de la existenciadel consentimiento del afectado por cualquier medio de prueba admisibleen derecho.

Artículo 13. Consentimiento para el tratamiento de datos de menoresde edad.

1. Podrá procederse al tratamiento de los datos de los mayores de catorceaños con su consentimiento, salvo en aquellos casos en los que la Ley exijapara su prestación la asistencia de los titulares de la patria potestad otutela.

En el caso de los menores de catorce años se requerirá el consentimientode los padres o tutores.

2. En ningún caso podrán recabarse del menor datos que permitan obtenerinformación sobre los demás miembros del grupo familiar, o sobre lascaracterísticas del mismo, como los datos relativos a la actividad profesio-nal de los progenitores, información económica, datos sociológicos ocualesquiera otros, sin el consentimiento de los titulares de tales datos. Noobstante, podrán recabarse los datos de identidad y dirección del padre,madre o tutor con la única finalidad de recabar la autorización prevista enel apartado anterior.

3. Cuando el tratamiento se refiera a datos de menores de edad, la informa-ción dirigida a los mismos deberá expresarse en un lenguaje que seafácilmente comprensible por aquéllos, con expresa indicación de lo dis-puesto en este artículo.

4. Corresponderá al responsable del fichero o tratamiento articular losprocedimientos que garanticen que se ha comprobado de modo efectivo laedad del menor y la autenticidad del consentimiento prestado en su caso,por los padres, tutores o representantes legales.

Artículo 14. Forma de recabar el consentimiento.1. El responsable del tratamiento podrá solicitar el consentimiento del

interesado a través del procedimiento establecido en este artículo, salvocuando la Ley exija al mismo la obtención del consentimiento expresopara el tratamiento de los datos.

321


2. El responsable podrá dirigirse al afectado, informándole en los términosprevistos en los artículos 5 de la Ley Orgánica 15/1999, de 13 de diciem-bre y 12.2 de este reglamento y deberá concederle un plazo de treinta díaspara manifestar su negativa al tratamiento, advirtiéndole de que en casode no pronunciarse a tal efecto se entenderá que consiente el tratamientode sus datos de carácter personal.

En particular, cuando se trate de responsables que presten al afectado unservicio que genere información periódica o reiterada, o facturaciónperiódica, la comunicación podrá llevarse a cabo de forma conjunta a estainformación o a la facturación del servicio prestado, siempre que se realicede forma claramente visible.

3. En todo caso, será necesario que el responsable del tratamiento puedaconocer si la comunicación ha sido objeto de devolución por cualquiercausa, en cuyo caso no podrá proceder al tratamiento de los datos referi-dos a ese interesado.

4. Deberá facilitarse al interesado un medio sencillo y gratuito para manifes-tar su negativa al tratamiento de los datos. En particular, se consideraráajustado al presente reglamento los procedimientos en el que tal negativapueda efectuarse, entre otros, mediante un envío prefranqueado al res-ponsable del tratamiento, la llamada a un número telefónico gratuito o alos servicios de atención al público que el mismo hubiera establecido.

5. Cuando se solicite el consentimiento del interesado a través del procedi-miento establecido en este artículo, no será posible solicitarlo nuevamenterespecto de los mismos tratamientos y para las mismas finalidades en elplazo de un año a contar de la fecha de la anterior solicitud.

Artículo 15. Solicitud del consentimiento en el marco de una relacióncontractual para fines no relacionados directamente con la misma.

Si el responsable del tratamiento solicitase el consentimiento del afectadodurante el proceso de formación de un contrato para finalidades que no guardenrelación directa con el mantenimiento, desarrollo o control de la relación contrac-tual, deberá permitir al afectado que manifieste expresamente su negativa al trata-miento o comunicación de datos.

En particular, se entenderá cumplido tal deber cuando se permita al afectadola marcación de una casilla claramente visible y que no se encuentre ya marcada enel documento que se le entregue para la celebración del contrato o se establezca unprocedimiento equivalente que le permita manifestar su negativa al tratamiento.

Artículo 16. Tratamiento de datos de facturación y tráfico en servicios decomunicaciones electrónicas.

La solicitud del consentimiento para el tratamiento o cesión de los datos detráfico, facturación y localización por parte de los sujetos obligados, o en su caso la

322


revocación de aquél, según la legislación reguladora de las telecomunicaciones sesometerá a lo establecido en su normativa específica y, en lo que no resulte contrarioa la misma, a lo establecido en la presente sección.

Artículo 17. Revocación del consentimiento.1. El afectado podrá revocar su consentimiento a través de un medio senci-

llo, gratuito y que no implique ingreso alguno para el responsable delfichero o tratamiento. En particular, se considerará ajustado al presentereglamento el procedimiento en el que tal negativa pueda efectuarse, entreotros, mediante un envío prefranqueado al responsable del tratamiento ola llamada a un número telefónico gratuito o a los servicios de atención alpúblico que el mismo hubiera establecido.

No se considerarán conformes a lo dispuesto en la Ley Orgánica 15/1999,de 13 de diciembre, los supuestos en que el responsable establezca comomedio para que el interesado pueda manifestar su negativa al tratamientoel envío de cartas certificadas o envíos semejantes, la utilización de servi-cios de telecomunicaciones que implique una tarificación adicional alafectado o cualesquiera otros medios que impliquen un coste adicional alinteresado.

2. El responsable cesará en el tratamiento de los datos en el plazo máximo dediez días a contar desde el de la recepción de la revocación del consentimien-to, sin perjuicio de su obligación de bloquear los datos conforme a lo dis-puesto en el artículo 16.3 de la Ley Orgánica 15/1999, de 13 de diciembre.

3. Cuando el interesado hubiera solicitado del responsable del tratamiento laconfirmación del cese en el tratamiento de sus datos, éste deberá respon-der expresamente a la solicitud.

4. Si los datos hubieran sido cedidos previamente, el responsable del trata-miento, una vez revocado el consentimiento, deberá comunicarlo a loscesionarios, en el plazo previsto en el apartado 2, para que éstos, cesen enel tratamiento de los datos en caso de que aún lo mantuvieran, conformeal artículo 16.4 de la Ley Orgánica 15/1999, de 13 de diciembre.

SECCIÓN 2.ª DEBER DE INFORMACIÓN AL INTERESADO

Artículo 18. Acreditación del cumplimiento del deber de información.1. El deber de información al que se refiere el artículo 5 de la Ley Orgánica

15/1999, de 13 de diciembre, deberá llevarse a cabo a través de un medioque permita acreditar su cumplimiento, debiendo conservarse mientraspersista el tratamiento de los datos del afectado.

2. El responsable del fichero o tratamiento deberá conservar el soporte en elque conste el cumplimiento del deber de informar. Para el almacenamien-to de los soportes, el responsable del fichero o tratamiento podrá utilizar

323


medios informáticos o telemáticos. En particular podrá proceder alescaneado de la documentación en soporte papel, siempre y cuando segarantice que en dicha automatización no ha mediado alteración algunade los soportes originales.

Artículo 19. Supuestos especiales.En los supuestos en que se produzca una modificación del responsable del

fichero como consecuencia de una operación de fusión, escisión, cesión global deactivos y pasivos, aportación o transmisión de negocio o rama de actividad empre-sarial, o cualquier operación de reestructuración societaria de análoga naturaleza,contemplada por la normativa mercantil, no se producirá cesión de datos, sinperjuicio del cumplimiento por el responsable de lo dispuesto en el artículo 5 de laLey Orgánica 15/1999, de 13 de diciembre.

CAPÍTULO III. Encargado del tratamiento

Artículo 20. Relaciones entre el responsable y el encargado del tratamiento.1. El acceso a los datos por parte de un encargado del tratamiento que

resulte necesario para la prestación de un servicio al responsable no seconsiderará comunicación de datos, siempre y cuando se cumpla lo esta-blecido en la Ley Orgánica 15/1999, de 13 de diciembre y en el presentecapítulo.

El servicio prestado por el encargado del tratamiento podrá tener o nocarácter remunerado y ser temporal o indefinido.

No obstante, se considerará que existe comunicación de datos cuando elacceso tenga por objeto el establecimiento de un nuevo vínculo entrequien accede a los datos y el afectado.

2. Cuando el responsable del tratamiento contrate la prestación de unservicio que comporte un tratamiento de datos personales sometido a lodispuesto en este capítulo deberá velar por que el encargado del trata-miento reúna las garantías para el cumplimiento de lo dispuesto en esteReglamento.

3. En el caso de que el encargado del tratamiento destine los datos a otrafinalidad, los comunique o los utilice incumpliendo las estipulaciones delcontrato al que se refiere el apartado 2 del artículo 12 de la Ley Orgánica15/1999, de 13 de diciembre, será considerado, también, responsable deltratamiento, respondiendo de las infracciones en que hubiera incurridopersonalmente.

No obstante, el encargado del tratamiento no incurrirá en responsabilidadcuando, previa indicación expresa del responsable, comunique los datos aun tercero designado por aquél, al que hubiera encomendado la presta-ción de un servicio conforme a lo previsto en el presente capítulo.

324


Artículo 21. Posibilidad de subcontratación de los servicios.1. El encargado del tratamiento no podrá subcontratar con un tercero la

realización de ningún tratamiento que le hubiera encomendado el respon-sable del tratamiento, salvo que hubiera obtenido de éste autorizaciónpara ello. En este caso, la contratación se efectuará siempre en nombre ypor cuenta del responsable del tratamiento.

2. No obstante lo dispuesto en el apartado anterior, será posible lasubcontratación sin necesidad de autorización siempre y cuando secumplan los siguientes requisitos:

a) Que se especifiquen en el contrato los servicios que puedan ser objetode subcontratación y, si ello fuera posible, la empresa con la que sevaya a subcontratar.Cuando no se identificase en el contrato la empresa con la que se vayaa subcontratar, será preciso que el encargado del tratamiento comuni-que al responsable los datos que la identifiquen antes de proceder a lasubcontratación.

b) Que el tratamiento de datos de carácter personal por parte delsubcontratista se ajuste a las instrucciones del responsable del fichero.

c) Que el encargado del tratamiento y la empresa subcontratista formali-cen el contrato, en los términos previstos en el artículo anterior.En este caso, el subcontratista será considerado encargado del trata-miento, siéndole de aplicación lo previsto en el artículo 20.3 de estereglamento.

3. Si durante la prestación del servicio resultase necesario subcontratar unaparte del mismo y dicha circunstancia no hubiera sido prevista en elcontrato, deberán someterse al responsable del tratamiento los extremosseñalados en el apartado anterior.

Artículo 22. Conservación de los datos por el encargado del tratamiento.1. Una vez cumplida la prestación contractual, los datos de carácter personal

deberán ser destruidos o devueltos al responsable del tratamiento o alencargado que éste hubiese designado, al igual que cualquier soporte odocumentos en que conste algún dato de carácter personal objeto deltratamiento.

No procederá la destrucción de los datos cuando exista una previsiónlegal que exija su conservación, en cuyo caso deberá procederse a ladevolución de los mismos garantizando el responsable del fichero dichaconservación.

2. El encargado del tratamiento conservará, debidamente bloqueados, losdatos en tanto pudieran derivarse responsabilidades de su relación con elresponsable del tratamiento.

325


TÍTULO III. Derechos de acceso, rectificación,cancelación y oposición

CAPÍTULO I. Disposiciones generales

Artículo 23. Carácter personalísimo.1. Los derechos de acceso, rectificación, cancelación y oposición son

personalísimos y serán ejercidos por el afectado.

2. Tales derechos se ejercitarán:

a) Por el afectado, acreditando su identidad, del modo previsto en elartículo siguiente.

b) Cuando el afectado se encuentre en situación de incapacidad ominoría de edad que le imposibilite el ejercicio personal de estosderechos, podrán ejercitarse por su representante legal, en cuyo casoserá necesario que acredite tal condición.

c) Los derechos también podrán ejercitarse a través de representantevoluntario, expresamente designado para el ejercicio del derecho. Enese caso, deberá constar claramente acreditada la identidad delrepresentado, mediante la aportación de copia de su DocumentoNacional de Identidad o documento equivalente, y la representaciónconferida por aquél.Cuando el responsable del fichero sea un órgano de las Administra-ciones públicas o de la Administración de Justicia, podrá acreditarsela representación por cualquier medio válido en derecho que dejeconstancia fidedigna, o mediante declaración en comparecenciapersonal del interesado.

3. Los derechos serán denegados cuando la solicitud sea formulada porpersona distinta del afectado y no se acreditase que la misma actúa enrepresentación de aquél.

Artículo 24. Condiciones generales para el ejercicio de los derechos deacceso, rectificación, cancelación y oposición.

1. Los derechos de acceso, rectificación, cancelación y oposición son derechosindependientes, de tal forma que no puede entenderse que el ejercicio deninguno de ellos sea requisito previo para el ejercicio de otro.

2. Deberá concederse al interesado un medio sencillo y gratuito para elejercicio de los derechos de acceso, rectificación, cancelación y oposición.

3. El ejercicio por el afectado de sus derechos de acceso, rectificación, cance-lación y oposición será gratuito y en ningún caso podrá suponer un ingre-so adicional para el responsable del tratamiento ante el que se ejercitan.

326


No se considerarán conformes a lo dispuesto en la Ley Orgánica 15/1999,de 13 de diciembre, y en el presente Reglamento los supuestos en que elresponsable del tratamiento establezca como medio para que el interesadopueda ejercitar sus derechos el envío de cartas certificadas o semejantes, lautilización de servicios de telecomunicaciones que implique unatarificación adicional al afectado o cualesquiera otros medios que impli-quen un coste excesivo para el interesado.

4. Cuando el responsable del fichero o tratamiento disponga de servicios decualquier índole para la atención a su público o el ejercicio de reclamacio-nes relacionadas con el servicio prestado o los productos ofertados almismo, podrá concederse la posibilidad al afectado de ejercer sus dere-chos de acceso, rectificación, cancelación y oposición a través de dichosservicios. En tal caso, la identidad del interesado se considerará acreditadapor los medios establecidos para la identificación de los clientes del res-ponsable en la prestación de sus servicios o contratación de sus productos.

5. El responsable del fichero o tratamiento deberá atender la solicitud de acce-so, rectificación, cancelación u oposición ejercida por el afectado aún cuandoel mismo no hubiese utilizado el procedimiento establecido específicamenteal efecto por aquél, siempre que el interesado haya utilizado un medio quepermita acreditar el envío y la recepción de la solicitud, y que ésta contengalos elementos referidos en el párrafo 1 del artículo siguiente.

Artículo 25. Procedimiento.1. Salvo en el supuesto referido en el párrafo 4 del artículo anterior, el

ejercicio de los derechos deberá llevarse a cabo mediante comunicacióndirigida al responsable del fichero, que contendrá:

a) Nombre y apellidos del interesado; fotocopia de su documentonacional de identidad, o de su pasaporte u otro documento válidoque lo identifique y, en su caso, de la persona que lo represente, oinstrumentos electrónicos equivalentes; así como el documento oinstrumento electrónico acreditativo de tal representación. La utiliza-ción de firma electrónica identificativa del afectado eximirá de lapresentación de las fotocopias del DNI o documento equivalente.El párrafo anterior se entenderá sin perjuicio de la normativa específi-ca aplicable a la comprobación de datos de identidad por las Admi-nistraciones Públicas en los procedimientos administrativos.

b) Petición en que se concreta la solicitud.c) Dirección a efectos de notificaciones, fecha y firma del solicitante.d) Documentos acreditativos de la petición que formula, en su caso.

2. El responsable del tratamiento deberá contestar la solicitud que se le dirijaen todo caso, con independencia de que figuren o no datos personales delafectado en sus ficheros.

327


3. En el caso de que la solicitud no reúna los requisitos especificados en elapartado primero, el responsable del fichero deberá solicitar lasubsanación de los mismos.

4. La respuesta deberá ser conforme con los requisitos previstos para cadacaso en el presente título.

5. Corresponderá al responsable del tratamiento la prueba del cumplimientodel deber de respuesta al que se refiere el apartado 2, debiendo conservarla acreditación del cumplimiento del mencionado deber.

6. El responsable del fichero deberá adoptar las medidas oportunas paragarantizar que las personas de su organización que tienen acceso a datosde carácter personal puedan informar del procedimiento a seguir por elafectado para el ejercicio de sus derechos.

7. El ejercicio de los derechos de acceso, rectificación, cancelación y oposiciónpodrá modularse por razones de seguridad pública en los casos y con elalcance previsto en las Leyes.

8. Cuando las leyes aplicables a determinados ficheros concretos establezcanun procedimiento especial para la rectificación o cancelación de los datoscontenidos en los mismos, se estará a lo dispuesto en aquéllas.

Artículo 26. Ejercicio de los derechos ante un encargado del tratamiento.Cuando los afectados ejercitasen sus derechos ante un encargado del trata-

miento y solicitasen el ejercicio de su derecho ante el mismo, el encargado deberádar traslado de la solicitud al responsable, a fin de que por el mismo se resuelva, amenos que en la relación existente con el responsable del tratamiento se preveaprecisamente que el encargado atenderá, por cuenta del responsable, las solicitudesde ejercicio por los afectados de sus derechos de acceso, rectificación, cancelación uoposición.

CAPÍTULO II. Derecho de acceso

Artículo 27. Derecho de acceso.1. El derecho de acceso es el derecho del afectado a obtener información

sobre si sus propios datos de carácter personal están siendo objeto detratamiento, la finalidad del tratamiento que, en su caso, se esté realizan-do, así como la información disponible sobre el origen de dichos datos ylas comunicaciones realizadas o previstas de los mismos.

2. En virtud del derecho de acceso el afectado podrá obtener del responsabledel tratamiento información relativa a datos concretos, a datos incluidosen un determinado fichero, o a la totalidad de sus datos sometidos atratamiento. No obstante, cuando razones de especial complejidad lojustifiquen, el responsable del fichero podrá solicitar del afectado la

328


especificación de los ficheros respecto de los cuales quiera ejercitar el derechode acceso, a cuyo efecto deberá facilitarle una relación de todos ellos.

3. El derecho de acceso es independiente del que otorgan a los afectados lasleyes especiales y en particular la Ley 30/1992, de 26 de noviembre, deRégimen Jurídico de las Administraciones Públicas y del ProcedimientoAdministrativo Común.

Artículo 28. Ejercicio del derecho de acceso.1. Al ejercitar el derecho de acceso, el afectado podrá optar por recibir la

información a través de uno o varios de los siguientes sistemas de consul-ta del fichero:

a) Visualización en pantalla.b) Escrito, copia o fotocopia remitida por correo, certificado o no.c) Telecopia.d) Correo electrónico u otros sistemas de comunicaciones electrónicas.e) Cualquier otro sistema que sea adecuado a la configuración o implan-

tación material del fichero o a la naturaleza del tratamiento, ofrecidopor el responsable.

2. Los sistemas de consulta del fichero previstos en el apartado anteriorpodrán restringirse en función de la configuración o implantación mate-rial del fichero o de la naturaleza del tratamiento, siempre que el que seofrezca al afectado sea gratuito y asegure la comunicación escrita si ésteasí lo exige.

3. El responsable del fichero deberá cumplir al facilitar el acceso lo estableci-do en el Título VIII de este Reglamento. Si tal responsable ofreciera undeterminado sistema para hacer efectivo el derecho de acceso y el afecta-do lo rechazase, aquél no responderá por los posibles riesgos que para laseguridad de la información pudieran derivarse de la elección.

Del mismo modo, si el responsable ofreciera un procedimiento para hacerefectivo el derecho de acceso y el afectado exigiese que el mismo sematerializase a través de un procedimiento que implique un coste despro-porcionado, surtiendo el mismo efecto y garantizando la misma seguridadel procedimiento ofrecido por el responsable, serán de cuenta del afectadolos gastos derivados de su elección.

Artículo 29. Otorgamiento del acceso.1. El responsable del fichero resolverá sobre la solicitud de acceso en el plazo

máximo de un mes a contar desde la recepción de la solicitud. Transcurri-do el plazo sin que de forma expresa se responda a la petición de acceso,el interesado podrá interponer la reclamación prevista en el artículo 18 dela Ley Orgánica 15/1999, de 13 de diciembre.

329


En el caso de que no disponga de datos de carácter personal de los afecta-dos deberá igualmente comunicárselo en el mismo plazo.

2. Si la solicitud fuera estimada y el responsable no acompañase a su comu-nicación la información a la que se refiere el artículo 27.1, el acceso se haráefectivo durante los diez días siguientes a dicha comunicación.

3. La información que se proporcione, cualquiera que sea el soporte en quefuere facilitada, se dará en forma legible e inteligible, sin utilizar claves ocódigos que requieran el uso de dispositivos mecánicos específicos.

Dicha información comprenderá todos los datos de base del afectado, losresultantes de cualquier elaboración o proceso informático, así como lainformación disponible sobre el origen de los datos, los cesionarios de losmismos y la especificación de los concretos usos y finalidades para los quese almacenaron los datos.

Artículo 30. Denegación del acceso.1. El responsable del fichero o tratamiento podrá denegar el acceso a los

datos de carácter personal cuando el derecho ya se haya ejercitado en losdoce meses anteriores a la solicitud, salvo que se acredite un interéslegítimo al efecto.

2. Podrá también denegarse el acceso en los supuestos en que así lo preveauna Ley o una norma de derecho comunitario de aplicación directa ocuando éstas impidan al responsable del tratamiento revelar a los afecta-dos el tratamiento de los datos a los que se refiera el acceso.

3. En todo caso, el responsable del fichero informará al afectado de suderecho a recabar la tutela de la Agencia Española de Protección de Datoso, en su caso, de las autoridades de control de las comunidades autóno-mas, conforme a lo dispuesto en el artículo 18 de la Ley Orgánica 15/1999,de 13 de diciembre.

CAPÍTULO III. Derechos de rectificación y cancelación

Artículo 31. Derechos de rectificación y cancelación.1. El derecho de rectificación es el derecho del afectado a que se modifiquen

los datos que resulten ser inexactos o incompletos.

2. El ejercicio del derecho de cancelación dará lugar a que se supriman losdatos que resulten ser inadecuados o excesivos, sin perjuicio del deber debloqueo conforme a este reglamento.

En los supuestos en que el interesado invoque el ejercicio del derecho decancelación para revocar el consentimiento previamente prestado, seestará a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre y enel presente reglamento.

330


Artículo 32. Ejercicio de los derechos de rectificación y cancelación.1. La solicitud de rectificación deberá indicar a qué datos se refiere y la

corrección que haya de realizarse y deberá ir acompañada de la documen-tación justificativa de lo solicitado. En la solicitud de cancelación, elinteresado deberá indicar a qué datos se refiere, aportando al efecto ladocumentación que lo justifique, en su caso.

2. El responsable del fichero resolverá sobre la solicitud de rectificación ocancelación en el plazo máximo de diez días a contar desde la recepciónde la solicitud. Transcurrido el plazo sin que de forma expresa se respon-da a la petición, el interesado podrá interponer la reclamación prevista enel artículo 18 de la Ley Orgánica 15/1999, de 13 de diciembre. En el casode que no disponga de datos de carácter personal del afectado deberáigualmente comunicárselo en el mismo plazo.

3. Si los datos rectificados o cancelados hubieran sido cedidos previamente,el responsable del fichero deberá comunicar la rectificación o cancelaciónefectuada al cesionario, en idéntico plazo, para que éste, también en elplazo de diez días contados desde la recepción de dicha comunicación,proceda, asimismo, a rectificar o cancelar los datos. La rectificación ocancelación efectuada por el cesionario no requerirá comunicación algunaal interesado, sin perjuicio del ejercicio de los derechos por parte de losinteresados reconocidos en la Ley Orgánica 15/1999, de 13 de diciembre.

Artículo 33. Denegación de los derechos de rectificación y cancelación.1. La cancelación no procederá cuando los datos de carácter personal deban

ser conservados durante los plazos previstos en las disposiciones aplica-bles o, en su caso, en las relaciones contractuales entre la persona o enti-dad responsable del tratamiento y el interesado que justificaron el trata-miento de los datos.

2. Podrá también denegarse los derechos de rectificación o cancelación en lossupuestos en que así lo prevea una ley o una norma de derecho comunita-rio de aplicación directa o cuando éstas impidan al responsable del trata-miento revelar a los afectados el tratamiento de los datos a los que serefiera el acceso.

3. En todo caso, el responsable del fichero informará al afectado de suderecho a recabar la tutela de la Agencia Española de Protección de Datoso, en su caso, de las autoridades de control de las Comunidades Autóno-mas, conforme a lo dispuesto en el artículo 18 de la Ley Orgánica 15/1999,de 13 de diciembre.

CAPÍTULO IV. Derecho de oposición

Artículo 34. Derecho de oposición.El derecho de oposición es el derecho del afectado a que no se lleve a cabo el

tratamiento de sus datos de carácter personal o se cese en el mismo en estos supuestos:

331


a) Cuando no sea necesario su consentimiento para el tratamiento, comoconsecuencia de la concurrencia de un motivo legítimo y fundado, referi-do a su concreta situación personal, que lo justifique, siempre que una Leyno disponga lo contrario.

b) Cuando se trate de ficheros que tengan por finalidad la realización deactividades de publicidad y prospección comercial, en los términosprevistos en el artículo 51 de este reglamento, cualquiera que sea laempresa responsable de su creación.

c) Cuando el tratamiento tenga por finalidad la adopción de una decisiónreferida al afectado y basada únicamente en un tratamiento automatizadode sus datos de carácter personal, en los términos previstos en el artículo36 de este reglamento.

Artículo 35. Ejercicio del derecho de oposición.1. El derecho de oposición se ejercitará mediante solicitud dirigida al respon-

sable del tratamiento.

Cuando la oposición se realice con base en la letra a) del artículo anterior,en la solicitud deberán hacerse constar los motivos fundados y legítimos,relativos a una concreta situación personal del afectado, que justifican elejercicio de este derecho.

2. El responsable del fichero resolverá sobre la solicitud de oposición en elplazo máximo de diez días a contar desde la recepción de la solicitud.Transcurrido el plazo sin que de forma expresa se responda a la petición,el interesado podrá interponer la reclamación prevista en el artículo 18 dela Ley Orgánica 15/1999, de 13 de diciembre.

En el caso de que no disponga de datos de carácter personal de los afecta-dos deberá igualmente comunicárselo en el mismo plazo.

3. El responsable del fichero o tratamiento deberá excluir del tratamiento losdatos relativos al afectado que ejercite su derecho de oposición o denegarmotivadamente la solicitud del interesado en el plazo previsto en elapartado 2 de este artículo.

Artículo 36. Derecho de oposición a las decisiones basadas únicamenteen un tratamiento automatizado de datos.

1. Los interesados tienen derecho a no verse sometidos a una decisión conefectos jurídicos sobre ellos o que les afecte de manera significativa, que sebase únicamente en un tratamiento automatizado de datos destinado aevaluar determinados aspectos de su personalidad, tales como su rendi-miento laboral, crédito, fiabilidad o conducta.

2. No obstante, los afectados podrán verse sometidos a una de las decisionescontempladas en el apartado 1 cuando dicha decisión:

332


a) Se haya adoptado en el marco de la celebración o ejecución de uncontrato a petición del interesado, siempre que se le otorgue la posibili-dad de alegar lo que estimara pertinente, a fin de defender su derecho ointerés. En todo caso, el responsable del fichero deberá informar previa-mente al afectado, de forma clara y precisa, de que se adoptarán decisio-nes con las características señaladas en el apartado 1 y cancelará losdatos en caso de que no llegue a celebrarse finalmente el contrato.

b) Esté autorizada por una norma con rango de Ley que establezcamedidas que garanticen el interés legítimo del interesado.

TÍTULO IV. Disposiciones aplicables a determinadosficheros de titularidad privada

CAPÍTULO I. Ficheros de información sobre solvenciapatrimonial y crédito

SECCIÓN 1.ª DISPOSICIONES GENERALESArtículo 37. Régimen aplicable.

1. El tratamiento de datos de carácter personal sobre solvencia patrimonial ycrédito, previsto en el apartado 1 del artículo 29 de la Ley Orgánica 15/1999, de 13 de diciembre, se someterá a lo establecido, con carácter gene-ral, en dicha ley orgánica y en el presente reglamento.

2. El ejercicio de los derechos de acceso, rectificación, cancelación y oposi-ción en el caso de los ficheros a que se refiere el apartado anterior, se rigepor lo dispuesto en los capítulos I a IV del título III del presente reglamen-to, con los siguientes criterios:

a) Cuando la petición de ejercicio de los derechos se dirigiera al respon-sable del fichero, éste estará obligado a satisfacer, en cualquier caso,dichos derechos.

b) Si la petición se dirigiera a las personas y entidades a las que se prestael servicio, éstas únicamente deberán comunicar al afectado aquellosdatos relativos al mismo que les hayan sido comunicados y a facilitarla identidad del responsable para que, en su caso, puedan ejercitarsus derechos ante el mismo.

3. De conformidad con el apartado 2 del artículo 29 de la Ley Orgánica 15/1999, de 13 de diciembre, también podrán tratarse los datos de carácter per-sonal relativos al cumplimiento o incumplimiento de obligaciones dinerariasfacilitados por el acreedor o por quien actúe por su cuenta o interés. Estosdatos deberán conservarse en ficheros creados con la exclusiva finalidadde facilitar información crediticia del afectado y su tratamiento se regirápor lo dispuesto en el presente reglamento y, en particular, por las previ-siones contenidas en la sección segunda de este capítulo.

333


SECCIÓN 2.ª TRATAMIENTO DE DATOS RELATIVOS ALCUMPLIMIENTO O INCUMPLIMIENTO DE OBLIGACIONESDINERARIAS FACILITADOS POR EL ACREEDOR O POR

QUIEN ACTÚE POR SU CUENTA O INTERÉS

Artículo 38. Requisitos para la inclusión de los datos.1. Sólo será posible la inclusión en estos ficheros de datos de carácter perso-

nal que sean determinantes para enjuiciar la solvencia económica delafectado, siempre que concurran los siguientes requisitos:

a) Existencia previa de una deuda cierta, vencida, exigible, que hayaresultado impagada y respecto de la cual no se haya entabladoreclamación judicial, arbitral o administrativa, o tratándose de servi-cios financieros, no se haya planteado una reclamación en los térmi-nos previstos en el Reglamento de los Comisionados para la defensadel cliente de servicios financieros, aprobado por Real Decreto 303/2004, de 20 de febrero.

b) Que no hayan transcurrido seis años desde la fecha en que hubo deprocederse al pago de la deuda o del vencimiento de la obligación odel plazo concreto si aquélla fuera de vencimiento periódico.

c) Requerimiento previo de pago a quien corresponda el cumplimientode la obligación.

2. No podrán incluirse en los ficheros de esta naturaleza datos personalessobre los que exista un principio de prueba que de forma indiciariacontradiga alguno de los requisitos anteriores.

Tal circunstancia determinará asimismo la cancelación cautelar del datopersonal desfavorable en los supuestos en que ya se hubiera efectuado suinclusión en el fichero.

3. El acreedor o quien actúe por su cuenta o interés estará obligado a conser-var a disposición del responsable del fichero común y de la AgenciaEspañola de Protección de Datos documentación suficiente que acredite elcumplimiento de los requisitos establecidos en este artículo y del requeri-miento previo al que se refiere el artículo siguiente.

Artículo 39. Información previa a la inclusión.El acreedor deberá informar al deudor, en el momento en que se celebre el

contrato y, en todo caso, al tiempo de efectuar el requerimiento al que se refiere laletra c) del apartado 1 del artículo anterior, que en caso de no producirse el pago enel término previsto para ello y cumplirse los requisitos previstos en el citado artícu-lo, los datos relativos al impago podrán ser comunicados a ficheros relativos alcumplimiento o incumplimiento de obligaciones dinerarias.

334


Artículo 40. Notificación de inclusión.1. El responsable del fichero común deberá notificar a los interesados respec-

to de los que hayan registrado datos de carácter personal, en el plazo detreinta días desde dicho registro, una referencia de los que hubiesen sidoincluidos, informándole asimismo de la posibilidad de ejercitar susderechos de acceso, rectificación, cancelación y oposición, en los términosestablecidos por la Ley Orgánica 15/1999, de 13 de diciembre.

2. Se efectuará una notificación por cada deuda concreta y determinada conindependencia de que ésta se tenga con el mismo o con distintos acreedores.

3. La notificación deberá efectuarse a través de un medio fiable, auditable eindependiente de la entidad notificante, que la permita acreditar laefectiva realización de los envíos.

4. En todo caso, será necesario que el responsable del fichero pueda conocersi la notificación ha sido objeto de devolución por cualquier causa, encuyo caso no podrá proceder al tratamiento de los datos referidos a eseinteresado.

No se entenderán suficientes para que no se pueda proceder al tratamien-to de los datos referidos a un interesado las devoluciones en las que eldestinatario haya rehusado recibir el envío.

5. Si la notificación de inclusión fuera devuelta, el responsable del ficherocomún comprobará con la entidad acreedora que la dirección utilizadapara efectuar esta notificación se corresponde con la contractualmentepactada con el cliente a efectos de comunicaciones y no procederá altratamiento de los datos si la mencionada entidad no confirma la exacti-tud de este dato.

Artículo 41. Conservación de los datos.1. Sólo podrán ser objeto de tratamiento los datos que respondan con veraci-

dad a la situación de la deuda en cada momento concreto.

El pago o cumplimiento de la deuda determinará la cancelación inmediatade todo dato relativo a la misma.

2. En los restantes supuestos, los datos deberán ser cancelados cuando sehubieran cumplido seis años contados a partir del vencimiento de laobligación o del plazo concreto si aquélla fuera de vencimiento periódico.

Artículo 42. Acceso a la información contenida en el fichero.1. Los datos contenidos en el fichero común sólo podrán ser consultados por

terceros cuando precisen enjuiciar la solvencia económica del afectado. Enparticular, se considerará que concurre dicha circunstancia en los siguien-tes supuestos:

335


a) Que el afectado mantenga con el tercero algún tipo de relación con-tractual que aún no se encuentre vencida.

b) Que el afectado pretenda celebrar con el tercero un contrato queimplique el pago aplazado del precio.

c) Que el afectado pretenda contratar con el tercero la prestación de unservicio de facturación periódica.

2. Los terceros deberán informar por escrito a las personas en las que concu-rran los supuestos contemplados en las letras b) y c) precedentes de suderecho a consultar el fichero.

En los supuestos de contratación telefónica de los productos o servicios alos que se refiere el párrafo anterior, la información podrá realizarse deforma no escrita, correspondiendo al tercero la prueba del cumplimientodel deber de informar.

Artículo 43. Responsabilidad.1. El acreedor o quien actúe por su cuenta o interés deberá asegurarse que

concurren todos los requisitos exigidos en los artículos 38 y 39 en elmomento de notificar los datos adversos al responsable del fichero común.

2. El acreedor o quien actúe por su cuenta o interés será responsable de lainexistencia o inexactitud de los datos que hubiera facilitado para suinclusión en el fichero, en los términos previstos en la Ley Orgánica 15/1999, de 13 de diciembre.

Artículo 44. Ejercicio de los derechos de acceso, rectificación,cancelación y oposición.

1. El ejercicio de los derechos de acceso, rectificación, cancelación y oposiciónse rige por lo dispuesto en los capítulos I a IV del título III de este regla-mento, sin perjuicio de lo señalado en el presente artículo.

2. Cuando el interesado ejercite su derecho de acceso en relación con la inclu-sión de sus datos en un fichero regulado por el artículo 29.2 de la Ley Orgá-nica 15/1999, de 13 de diciembre, se tendrán en cuenta las siguientes reglas:

1.ª Si la solicitud se dirigiera al titular del fichero común, éste deberácomunicar al afectado todos los datos relativos al mismo que obren enel fichero.

En este caso, el titular del fichero común deberá, además de dar cum-plimiento a lo establecido en el presente reglamento, facilitar las eva-luaciones y apreciaciones que sobre el afectado se hayan comunicadoen los últimos seis meses y el nombre y dirección de los cesionarios.

2.ª Si la solicitud se dirigiera a cualquier otra entidad participante en elsistema, deberá comunicar al afectado todos los datos relativos almismo a los que ella pueda acceder, así como la identidad y dirección

336


del titular del fichero común para que pueda completar el ejercicio desu derecho de acceso.

3. Cuando el interesado ejercite sus derechos de rectificación o cancelaciónen relación con la inclusión de sus datos en un fichero regulado por elartículo 29.2 de la Ley Orgánica 15/1999, de 13 de diciembre, se tendránen cuenta las siguientes reglas:

1.ª Si la solicitud se dirige al titular del fichero común, éste tomará lasmedidas oportunas para trasladar dicha solicitud a la entidad quehaya facilitado los datos, para que ésta la resuelva. En el caso de queel responsable del fichero común no haya recibido contestación porparte de la entidad en el plazo de siete días, procederá a la rectifica-ción o cancelación cautelar de los mismos.

2.ª Si la solicitud se dirige a quien haya facilitado los datos al ficherocomún procederá a la rectificación o cancelación de los mismos en susficheros y a notificarlo al titular del fichero común en el plazo de diezdías, dando asimismo respuesta al interesado en los términos previs-tos en el artículo 33 de este reglamento.

3.ª Si la solicitud se dirige a otra entidad participante en el sistema, queno hubiera facilitado al fichero común los datos, dicha entidadinformará al afectado sobre este hecho en el plazo máximo de diezdías, proporcionándole, además, la identidad y dirección del titulardel fichero común para, que en su caso, puedan ejercitar sus derechosante el mismo.

CAPÍTULO II. Tratamientos para actividades de publicidady prospección comercial

Artículo 45. Datos susceptibles de tratamiento e información al interesado.1. Quienes se dediquen a la recopilación de direcciones, reparto de docu-

mentos, publicidad, venta a distancia, prospección comercial y otrasactividades análogas, así como quienes realicen estas actividades con el finde comercializar sus propios productos o servicios o los de terceros, sólopodrán utilizar nombres y direcciones u otros datos de carácter personalcuando los mismos se encuentren en uno de los siguientes casos:

a) Figuren en alguna de las fuentes accesibles al público a las que serefiere la letra j) del artículo 3 de la Ley Orgánica 15/1999, de 13 dediciembre y el artículo 7 de este reglamento y el interesado no hayamanifestado su negativa u oposición a que sus datos sean objeto detratamiento para las actividades descritas en este apartado.

b) Hayan sido facilitados por los propios interesados u obtenidos con suconsentimiento para finalidades determinadas, explícitas y legítimasrelacionadas con la actividad de publicidad o prospección comercial,habiéndose informado a los interesados sobre los sectores específicos

337


y concretos de actividad respecto de los que podrá recibir informa-ción o publicidad.

2. Cuando los datos procedan de fuentes accesibles al público y se destinen ala actividad de publicidad o prospección comercial, deberá informarse alinteresado en cada comunicación que se le dirija del origen de los datos yde la identidad del responsable del tratamiento así como de los derechosque le asisten, con indicación de ante quién podrán ejercitarse. A tal efecto,el interesado deberá ser informado de que sus datos han sido obtenidos defuentes accesibles al público y de la entidad de la que hubieran sidoobtenidos.

Artículo 46. Tratamiento de datos en campañas publicitarias.1. Para que una entidad pueda realizar por sí misma una actividad publici-

taria de sus productos o servicios entre sus clientes será preciso que eltratamiento se ampare en alguno de los supuestos contemplados en elartículo 6 de la Ley Orgánica 15/1999, de 13 de diciembre.

2. En caso de que una entidad contrate o encomiende a terceros la realiza-ción de una determinada campaña publicitaria de sus productos o servi-cios, encomendándole el tratamiento de determinados datos, se aplicaránlas siguientes normas:

a) Cuando los parámetros identificativos de los destinatarios de lacampaña sean fijados por la entidad que contrate la campaña, éstaserá responsable del tratamiento de los datos.

b) Cuando los parámetros fueran determinados únicamente por laentidad o entidades contratadas, dichas entidades serán las responsa-ble del tratamiento.

c) Cuando en la determinación de los parámetros intervengan ambasentidades, serán ambas responsables del tratamiento.

3. En el supuesto contemplado en el apartado anterior, la entidad queencargue la realización de la campaña publicitaria deberá adoptar lasmedidas necesarias para asegurarse de que la entidad contratada harecabado los datos cumpliendo las exigencias establecidas en la LeyOrgánica 15/1999, de 13 de diciembre, y en el presente reglamento.

4. A los efectos previstos en este artículo, se consideran parámetrosidentificativos de los destinatarios las variables utilizadas para identificarel público objetivo o destinatario de una campaña o promoción comercialde productos o servicios que permitan acotar los destinatarios individua-les de la misma.

Artículo 47. Depuración de datos personales.Cuando dos o más responsables por sí mismos o mediante encargo a terceros

pretendieran constatar sin consentimiento de los afectados, con fines de promoción o

338


comercialización de sus productos o servicios y mediante un tratamiento cruzado desus ficheros quiénes ostentan la condición de clientes de una u otra o de varios de ellos,el tratamiento así realizado constituirá una cesión o comunicación de datos.

Artículo 48. Ficheros de exclusión del envío de comunicacionescomerciales.

Los responsables a los que el afectado haya manifestado su negativa a recibirpublicidad podrán conservar los mínimos datos imprescindibles para identificarlo yadoptar las medidas necesarias que eviten el envío de publicidad.

Artículo 49. Ficheros comunes de exclusión del envío de comunicacionescomerciales.

1. Será posible la creación de ficheros comunes, de carácter general o secto-rial, en los que sean objeto de tratamiento los datos de carácter personalque resulten necesarios para evitar el envío de comunicaciones comercia-les a los interesados que manifiesten su negativa u oposición a recibirpublicidad. A tal efecto, los citados ficheros podrán contener los mínimosdatos imprescindibles para identificar al afectado.

2. Cuando el afectado manifieste ante un concreto responsable su negativa uoposición a que sus datos sean tratados con fines de publicidad o prospec-ción comercial, aquél deberá ser informado de la existencia de los ficheroscomunes de exclusión generales o sectoriales, así como de la identidad desu responsable, su domicilio y la finalidad del tratamiento.

El afectado podrá solicitar su exclusión respecto de un fichero o tratamien-to concreto o su inclusión en ficheros comunes de excluidos de caráctergeneral o sectorial.

3. La entidad responsable del fichero común podrá tratar los datos de losinteresados que hubieran manifestado su negativa u oposición al trata-miento de sus datos con fines de publicidad o prospección comercial,cumpliendo las restantes obligaciones establecidas en la Ley Orgánica 15/1999, de 13 de diciembre, y en el presente Reglamento.

4. Quienes pretendan efectuar un tratamiento relacionado con actividadesde publicidad o prospección comercial deberán previamente consultar losficheros comunes que pudieran afectar a su actuación, a fin de evitar quesean objeto de tratamiento los datos de los afectados que hubieran mani-festado su oposición o negativa a ese tratamiento.

Artículo 50. Derechos de acceso, rectificación y cancelación.1. El ejercicio de los derechos de acceso, rectificación y cancelación en rela-

ción con los tratamientos vinculados a actividades de publicidad y pros-pección comercial se someterá a lo previsto en los capítulos I a IV deltítulo III de este reglamento.

339


2. Si el derecho se ejercitase ante una entidad que hubiese encargado a untercero la realización de una campaña publicitaria, aquélla estará obliga-da, en el plazo de diez días, desde la recepción de la comunicación de lasolicitud de ejercicio de derechos del afectado, a comunicar la solicitud alresponsable del fichero a fin de que el mismo otorgue al afectado suderecho en el plazo de diez días desde la recepción de la comunicación,dando cuenta de ello al afectado.

Lo dispuesto en el párrafo anterior se entenderá sin perjuicio del deberimpuesto a la entidad mencionada en el apartado anterior, en todo caso,por el párrafo segundo del artículo 5.5 de la Ley Orgánica 15/1999, de 13de diciembre.

Artículo 51. Derecho de oposición.1. Los interesados tendrán derecho a oponerse, previa petición y sin gastos,

al tratamiento de los datos que les conciernan, en cuyo caso serán dadosde baja del tratamiento, cancelándose las informaciones que sobre ellosfiguren en aquél, a su simple solicitud.

La oposición a la que se refiere el párrafo anterior deberá entenderse sinperjuicio del derecho del interesado a revocar cuando lo estimase oportu-no el consentimiento que hubiera otorgado, en su caso, para el tratamientode los datos.

2. A tal efecto, deberá concederse al interesado un medio sencillo y gratuitopara oponerse al tratamiento. En particular, se considerará cumplido lodispuesto en este precepto cuando los derechos puedan ejercitarse me-diante la llamada a un número telefónico gratuito o la remisión de uncorreo electrónico.

3. Cuando el responsable del fichero o tratamiento disponga de servicios decualquier índole para la atención a sus clientes o el ejercicio de reclamacio-nes relacionadas con el servicio prestado o los productos ofertados almismo, deberá concederse la posibilidad al afectado de ejercer su oposi-ción a través de dichos servicios.

No se considerarán conformes a lo dispuesto en la Ley Orgánica 15/1999,de 13 de diciembre, los supuestos en que el responsable del tratamientoestablezca como medio para que el interesado pueda ejercitar su oposiciónel envío de cartas certificadas o envíos semejantes, la utilización de servi-cios de telecomunicaciones que implique una tarificación adicional alafectado o cualesquiera otros medios que impliquen un coste excesivopara el interesado.

En todo caso, el ejercicio por el afectado de sus derechos no podrá suponerun ingreso adicional para el responsable del tratamiento ante el que seejercitan.

340


4. Si el derecho de oposición se ejercitase ante una entidad que hubieraencomendado a un tercero la realización de una campaña publicitaria,aquélla estará obligada, en el plazo de diez días, desde la recepción de lacomunicación de la solicitud de ejercicio de derechos del afectado, acomunicar la solicitud al responsable del fichero a fin de que el mismoatienda el derecho del afectado en el plazo de diez días desde la recepciónde la comunicación, dando cuenta de ello al afectado.

Lo dispuesto en el párrafo anterior se entenderá sin perjuicio del deberimpuesto a la entidad mencionada en el apartado anterior, en todo caso,por el párrafo segundo del artículo 5.5 de la Ley Orgánica 15/1999, de 13de diciembre.

TÍTULO V. Obligaciones previas al tratamiento de los datos

CAPÍTULO I. Creación, modificación o supresiónde ficheros de titularidad pública

Artículo 52. Disposición o Acuerdo de creación, modificacióno supresión del fichero.

1. La creación, modificación o supresión de los ficheros de titularidad públi-ca sólo podrá hacerse por medio de disposición general o acuerdo publica-dos en el «Boletín Oficial del Estado» o diario oficial correspondiente.

2. En todo caso, la disposición o acuerdo deberá dictarse y publicarse concarácter previo a la creación, modificación o supresión del fichero.

Artículo 53. Forma de la disposición o acuerdo.1. Cuando la disposición se refiera a los órganos de la Administración

General del Estado o a las entidades u organismos vinculados o depen-dientes de la misma, deberá revestir la forma de orden ministerial oresolución del titular de la entidad u organismo correspondiente.

2. En el caso de los órganos constitucionales del Estado, se estará a lo queestablezcan sus normas reguladoras.

3. En relación con los ficheros de los que sean responsables las comunidadesautónomas, entidades locales y las entidades u organismos vinculados odependientes de las mismas, las universidades públicas, así como losórganos de las comunidades autónomas con funciones análogas a losórganos constitucionales del Estado, se estará a su legislación específica.

4. La creación, modificación o supresión de los ficheros de los que seanresponsables las corporaciones de derecho público y que se encuentrenrelacionados con el ejercicio por aquéllas de potestades de derecho públicodeberá efectuarse a través de acuerdo de sus órganos de gobierno, en lostérminos que establezcan sus respectivos Estatutos, debiendo ser igual-

341


mente objeto de publicación en el «Boletín Oficial del Estado» o diariooficial correspondiente.

Artículo 54. Contenido de la disposición o acuerdo.1. La disposición o acuerdo de creación del fichero deberá contener los

siguientes extremos:

a) La identificación del fichero o tratamiento, indicando su denomina-ción, así como la descripción de su finalidad y usos previstos.

b) El origen de los datos, indicando el colectivo de personas sobre losque se pretende obtener datos de carácter personal o que resultenobligados a suministrarlos, el procedimiento de recogida de los datosy su procedencia.

c) La estructura básica del fichero mediante la descripción detallada delos datos identificativos, y en su caso, de los datos especialmenteprotegidos, así como de las restantes categorías de datos de carácterpersonal incluidas en el mismo y el sistema de tratamiento utilizadoen su organización.

d) Las comunicaciones de datos previstas, indicando en su caso, losdestinatarios o categorías de destinatarios.

e) Las transferencias internacionales de datos previstas a terceros países,con indicación, en su caso, de los países de destino de los datos.

f) Los órganos responsables del fichero.g) Los servicios o unidades ante los que pudiesen ejercitarse los dere-

chos de acceso, rectificación, cancelación y oposición.h) El nivel básico, medio o alto de seguridad que resulte exigible, de

acuerdo con lo establecido en el título VIII del presente reglamento.

2. La disposición o acuerdo de modificación del fichero deberá indicar lasmodificaciones producidas en cualquiera de los extremos a los que serefiere el apartado anterior.

3. En las disposiciones o acuerdos que se dicten para la supresión de losficheros se establecerá el destino que vaya a darse a los datos o, en su caso,las previsiones que se adopten para su destrucción.

CAPÍTULO II. Notificación e inscripción de los ficherosde titularidad pública o privada

Artículo 55. Notificación de ficheros.1. Todo fichero de datos de carácter personal de titularidad pública será noti-

ficado a la Agencia Española de Protección de Datos por el órgano compe-tente de la Administración responsable del fichero para su inscripción en

342


el Registro General de Protección de Datos, en el plazo de treinta díasdesde la publicación de su norma o acuerdo de creación en el diario oficialcorrespondiente.

2. Los ficheros de datos de carácter personal de titularidad privada seránnotificados a la Agencia Española de Protección de Datos por la persona oentidad privada que pretenda crearlos, con carácter previo a su creación.La notificación deberá indicar la identificación del responsable del fichero,la identificación del fichero, sus finalidades y los usos previstos, el sistemade tratamiento empleado en su organización, el colectivo de personassobre el que se obtienen los datos, el procedimiento y procedencia de losdatos, las categorías de datos, el servicio o unidad de acceso, la indicacióndel nivel de medidas de seguridad básico, medio o alto exigible, y en sucaso, la identificación del encargado del tratamiento en donde se encuen-tre ubicado el fichero y los destinatarios de cesiones y transferenciasinternacionales de datos.

3. Cuando la obligación de notificar afecte a ficheros sujetos a la competenciade la autoridad de control de una comunidad autónoma que haya creadosu propio registro de ficheros, la notificación se realizará a la autoridadautonómica competente, que dará traslado de la inscripción al RegistroGeneral de Protección de Datos.

El Registro General de Protección de Datos podrá solicitar de las autorida-des de control de las comunidades autónomas el traslado al que se refiereel párrafo anterior, procediendo, en su defecto, a la inclusión de oficio delfichero en el Registro.

4. La notificación se realizará conforme al procedimiento establecido en lasección primera del capítulo IV del título IX del presente reglamento.

Artículo 56. Tratamiento de datos en distintos soportes.1. La notificación de un fichero de datos de carácter personal es indepen-

diente del sistema de tratamiento empleado en su organización y delsoporte o soportes empleados para el tratamiento de los datos.

2. Cuando los datos de carácter personal objeto de un tratamiento esténalmacenados en diferentes soportes, automatizados y no automatizados oexista una copia en soporte no automatizado de un fichero automatizadosólo será precisa una sola notificación, referida a dicho fichero.

Artículo 57. Ficheros en los que exista más de un responsable.Cuando se tenga previsto crear un fichero del que resulten responsables varias

personas o entidades simultáneamente, cada una de ellas deberá notificar, a fin deproceder a su inscripción en el Registro General de Protección de Datos y, en sucaso, en los Registros de Ficheros creados por las autoridades de control de lascomunidades autónomas, la creación del correspondiente fichero.

343


Artículo 58. Notificación de la modificación o supresión de ficheros.1. La inscripción del fichero deberá encontrarse actualizada en todo momen-

to. Cualquier modificación que afecte al contenido de la inscripción de unfichero deberá ser previamente notificada a la Agencia Española deProtección de Datos o a las autoridades de control autonómicas competen-tes, a fin de proceder a su inscripción en el registro correspondiente,conforme a lo dispuesto en el artículo 55.

2. Cuando el responsable del fichero decida su supresión, deberá notificarlaa efectos de que se proceda a la cancelación de la inscripción en el registrocorrespondiente.

3. Tratándose de ficheros de titularidad pública, cuando se pretenda lamodificación que afecte a alguno de los requisitos previstos en el artículo55 o la supresión del fichero deberá haberse adoptado, con carácter previoa la notificación la correspondiente norma o acuerdo en los términosprevistos en el capítulo I de este título.

Artículo 59. Modelos y soportes para la notificación.1. La Agencia Española de Protección de Datos publicará mediante la corres-

pondiente Resolución del Director los modelos o formularios electrónicosde notificación de creación, modificación o supresión de ficheros, quepermitan su presentación a través de medios telemáticos o en soportepapel, así como, previa consulta de las autoridades de protección de datosde las comunidades autónomas, los formatos para la comunicacióntelemática de ficheros públicos por las autoridades de control autonómi-cas, de conformidad con lo establecido en los artículos 55 y 58 del presentereglamento.

2. Los modelos o formularios electrónicos de notificación se podrán obtenergratuitamente en la página web de la Agencia Española de Protección deDatos.

3. El Director de la Agencia Española de Protección de Datos podrá estable-cer procedimientos simplificados de notificación en atención a las circuns-tancias que concurran en el tratamiento o el tipo de fichero al que serefiera la notificación.

Artículo 60. Inscripción de los ficheros.

1. El Director de la Agencia Española de Protección de Datos, a propuestadel Registro General de Protección de Datos, dictará resolución acordan-do, en su caso, la inscripción, una vez tramitado el procedimiento previstoen el capítulo IV del título IX.

2. La inscripción contendrá el código asignado por el Registro, la identifica-ción del responsable del fichero, la identificación del fichero o tratamiento,la descripción de su finalidad y usos previstos, el sistema de tratamiento

344


empleado en su organización, en su caso, el colectivo de personas sobre elque se obtienen los datos, el procedimiento y procedencia de los datos, lascategorías de datos, el servicio o unidad de acceso, y la indicación delnivel de medidas de seguridad exigible conforme a lo dispuesto en elartículo 81.

Asimismo, se incluirán, en su caso, la identificación del encargado deltratamiento en donde se encuentre ubicado el fichero y los destinatariosde cesiones y transferencias internacionales.

En el caso de ficheros de titularidad pública también se hará constar lareferencia de la disposición general por la que ha sido creado, y en sucaso, modificado.

3. La inscripción de un fichero en el Registro General de Protección de Datos,no exime al responsable del cumplimiento del resto de las obligacionesprevistas en la Ley Orgánica 15/1999, de 13 de diciembre, y demás dispo-siciones reglamentarias.

Artículo 61. Cancelación de la inscripción.

1. Cuando el responsable del tratamiento comunicase, en virtud de lodispuesto en el artículo 58 de este reglamento, la supresión del fichero, elDirector de la Agencia Española de Protección de Datos, previa la tramita-ción del procedimiento establecido en la sección primera del capítulo IVdel título IX, dictará resolución acordando la cancelación de la inscripcióncorrespondiente al fichero.

2. El Director de la Agencia Española de Protección de Datos podrá, enejercicio de sus competencias, acordar de oficio la cancelación de lainscripción de un fichero cuando concurran circunstancias que acreditenla imposibilidad de su existencia, previa la tramitación del procedimientoestablecido en la sección segunda del capítulo IV del título IX de estereglamento.

Artículo 62. Rectificación de errores.El Registro General de Protección de Datos podrá rectificar en cualquier

momento, de oficio o a instancia de los interesados, los errores materiales, de hechoo aritméticos que pudieran existir en las inscripciones, de conformidad con lodispuesto en el artículo 105 de la Ley 30/1992, de 26 de noviembre.

Artículo 63. Inscripción de oficio de ficheros de titularidad pública.1. En supuestos excepcionales con el fin de garantizar el derecho a la protec-

ción de datos de los afectados, y sin perjuicio de la obligación de notifica-ción, se podrá proceder a la inscripción de oficio de un determinadofichero en el Registro General de Protección de Datos.

345


2. Para que lo dispuesto en el apartado anterior resulte de aplicación, serárequisito indispensable que la correspondiente norma o acuerdo reguladorde los ficheros que contengan datos de carácter personal haya sido publi-cado en el correspondiente diario oficial y cumpla los requisitos estableci-dos en la Ley Orgánica 15/1999, de 13 de diciembre, y el presente regla-mento.

3. El Director de la Agencia Española de Protección de Datos podrá, apropuesta del Registro General de Protección de Datos, acordar la inscrip-ción del fichero de titularidad pública en el Registro, notificándose dichoacuerdo al órgano responsable del fichero.

Cuando la inscripción se refiera a ficheros sujetos a la competencia de laautoridad de control de una comunidad autónoma que haya creado supropio registro de ficheros, se comunicará a la referida autoridad de controlautonómica para que proceda, en su caso, a la inscripción de oficio.

Artículo 64. Colaboración con las autoridades de control delas comunidades autónomas.

El Director de la Agencia Española de Protección de Datos podrá celebrar conlos directores de las autoridades de control de las comunidades autónomas losconvenios de colaboración o acuerdos que estime pertinentes, a fin de garantizar lainscripción en el Registro General de Protección de Datos de los ficheros sometidosa la competencia de dichas autoridades autonómicas.

TÍTULO VI. Transferencias internacionales de datos


Artículo 65. Cumplimiento de las disposiciones de la Ley Orgánica 15/1999, de 13 de diciembre.

La transferencia internacional de datos no excluye en ningún caso la aplicaciónde las disposiciones contenidas en la Ley Orgánica 15/1999, de 13 de diciembre, yen el presente reglamento.

Artículo 66. Autorización y notificación.1. Para que la transferencia internacional de datos pueda considerarse

conforme a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, yen el presente Reglamento será necesaria la autorización del Director de laAgencia Española de Protección de Datos, que se otorgará en caso de queel exportador aporte las garantías a las que se refiere el artículo 70 delpresente reglamento.

La autorización se otorgará conforme al procedimiento establecido en lasección primera del capítulo V del título IX de este reglamento.

346


2. La autorización no será necesaria:

a) Cuando el Estado en el que se encontrase el importador ofrezca unnivel adecuado de protección conforme a lo previsto en el capítulo IIde este título.

b) Cuando la transferencia se encuentre en uno de los supuestos contem-plados en los apartados a) a j) del artículo 34 de la Ley Orgánica 15/1999, de 13 de diciembre.

3. En todo caso, la transferencia internacional de datos deberá ser notificadaa fin de proceder a su inscripción en el Registro General de Protección deDatos, conforme al procedimiento establecido en la sección primera delcapítulo IV del título IX del presente reglamento.

CAPÍTULO II. Transferencias a estados que proporcionenun nivel adecuado de protección

Artículo 67. Nivel adecuado de protección acordado por la AgenciaEspañola de Protección de Datos.

1. No será precisa autorización del Director de la Agencia Española deProtección de Datos a una transferencia internacional de datos cuando lasnormas aplicables al Estado en que se encontrase el importador ofrezcandicho nivel adecuado de protección a juicio del Director de la AgenciaEspañola de Protección de Datos.

El carácter adecuado del nivel de protección que ofrece el país de destinose evaluará atendiendo a todas las circunstancias que concurran en latransferencia o categoría de transferencia de datos. En particular, setomará en consideración la naturaleza de los datos, la finalidad y laduración del tratamiento o de los tratamientos previstos, el país de origeny el país de destino final, las normas de Derecho, generales o sectoriales,vigentes en el país tercero de que se trate, el contenido de los informes dela Comisión de la Unión Europea, así como las normas profesionales y lasmedidas de seguridad en vigor en dichos países.

Las resoluciones del Director de la Agencia Española de Protección deDatos por las que se acordase que un determinado país proporciona unnivel adecuado de protección de datos serán publicadas en el «BoletínOficial del Estado».

2. El Director de la Agencia Española de Protección de Datos acordará lapublicación de la relación de países cuyo nivel de protección haya sidoconsiderado equiparable conforme a lo dispuesto en el apartado anterior.

Esta lista se publicará y mantendrá actualizada asimismo a través demedios informáticos o telemáticos.

347


Artículo 68. Nivel adecuado de protección declarado por Decisiónde la Comisión Europea.

No será necesaria la autorización del Director de la Agencia Española deProtección de Datos para la realización de una transferencia internacional de datosque tuvieran por importador una persona o entidad, pública o privada, situada enel territorio de un Estado respecto del que se haya declarado por la ComisiónEuropea la existencia de un nivel adecuado de protección.

Artículo 69. Suspensión temporal de las transferencias.1. En los supuestos previstos en los artículos precedentes, el Director de la

Agencia Española de Protección de Datos, en uso de la potestad que leotorga el artículo 37.1 f) de la Ley Orgánica 15/1999, de 13 de diciembre,podrá acordar, previa audiencia del exportador, la suspensión temporal dela transferencia de datos hacia un importador ubicado en un tercer Estadodel que se haya declarado la existencia de un nivel adecuado de protec-ción, cuando concurra alguna de las circunstancias siguientes:

a) Que las autoridades de Protección de Datos del Estado importador ocualquier otra competente, en caso de no existir las primeras, resuel-van que el importador ha vulnerado las normas de protección dedatos establecidas en su derecho interno.

b) Que existan indicios racionales de que se estén vulnerando las nor-mas o, en su caso, los principios de protección de datos por la entidadimportadora de la transferencia y que las autoridades competentes enel Estado en que se encuentre el importador no han adoptado o novan a adoptar en el futuro las medidas oportunas para resolver elcaso en cuestión, habiendo sido advertidas de la situación por laAgencia Española de Protección de Datos. En este caso se podrásuspender la transferencia cuando su continuación pudiera generarun riesgo inminente de grave perjuicio a los afectados.

2. La suspensión se acordará previa la tramitación del procedimiento esta-blecido en la sección segunda del capítulo V del título IX del presentereglamento.

En estos casos, la decisión del Director de la Agencia Española de Protec-ción de Datos será notificada a la Comisión Europea.

CAPÍTULO III. Transferencias a Estadosque no proporcionen un nivel adecuado de protección

Artículo 70. Transferencias sujetas a autorización del Director de la Agen-cia Española de Protección de Datos.

1. Cuando la transferencia tenga por destino un Estado respecto del que nose haya declarado por la Comisión Europea o no se haya considerado por

348


el Director de la Agencia Española de Protección de Datos que existe unnivel adecuado de protección, será necesario recabar la autorización delDirector de la Agencia Española de Protección de Datos.

La autorización de la transferencia se tramitará conforme al procedimien-to establecido en la sección primera del capítulo V del título IX del presen-te reglamento.

2. La autorización podrá ser otorgada en caso de que el responsable del fi-chero o tratamiento aporte un contrato escrito, celebrado entre el exporta-dor y el importador, en el que consten las necesarias garantías de respeto ala protección de la vida privada de los afectados y a sus derechos y liberta-des fundamentales y se garantice el ejercicio de sus respectivos derechos.

A tal efecto, se considerará que establecen las adecuadas garantías loscontratos que se celebren de acuerdo con lo previsto en las Decisiones dela Comisión Europea 2001/497/CE, de 15 de Junio de 2001, 2002/16/CE,de 27 de diciembre de 2001, y 2004/915/CE, de 27 de diciembre de 2004 ode lo que dispongan las Decisiones de la Comisión que den cumplimientoa lo establecido en el artículo 26.4 de la Directiva 95/46/CE.

3. En el supuesto contemplado en el apartado anterior, el Director de laAgencia Española de Protección de Datos podrá denegar o, en uso de lapotestad que le otorga el artículo 37.1 f) de la Ley Orgánica 15/1999, de 13de diciembre, suspender temporalmente, previa audiencia del exportador,la transferencia, cuando concurra alguna de las circunstancias siguientes:

a) Que la situación de protección de los derechos fundamentales ylibertades públicas en el país de destino o su legislación impidangarantizar el íntegro cumplimiento del contrato y el ejercicio por losafectados de los derechos que el contrato garantiza.

b) Que la entidad destinataria haya incumplido previamente las garan-tías establecidas en cláusulas contractuales de este tipo.

c) Que existan indicios racionales de que las garantías ofrecidas por elcontrato no están siendo o no serán respetadas por el importador.

d) Que existan indicios racionales de que los mecanismos de aplicacióndel contrato no son o no serán efectivos.

e) Que la transferencia, o su continuación, en caso de haberse iniciado,pudiera crear una situación de riesgo de daño efectivo a los afectados.

La suspensión se acordará previa la tramitación del procedimientoestablecido en la sección segunda del capítulo V del título IX delpresente reglamento.

Las resoluciones del Director de la Agencia Española de Protección deDatos por las que se deniegue o suspenda una transferencia interna-cional de datos en virtud de las causas a las que se refiere este aparta-

349


do serán notificadas a la Comisión de las Comunidades Europeascuando así sea exigible.

4. También podrá otorgarse la autorización para la transferencia internacio-nal de datos en el seno de grupos multinacionales de empresas cuandohubiesen sido adoptados por los mismos normas o reglas internas en queconsten las necesarias garantías de respeto a la protección de la vidaprivada y el derecho fundamental a la protección de datos de los afecta-dos y se garantice asimismo el cumplimiento de los principios y el ejerci-cio de los derechos reconocidos en la Ley Orgánica 15/1999, de 13 dediciembre, y el presente reglamento.

En este caso, para que proceda la autorización del Director de la AgenciaEspañola de Protección de Datos será preciso que las normas o reglasresulten vinculantes para las empresas del Grupo y exigibles conforme alordenamiento jurídico español.

En todo caso, la autorización del Director de la Agencia Española deProtección de Datos implicará la exigibilidad de lo previsto en las normaso reglas internas tanto por la Agencia como por los afectados cuyos datoshubieran sido objeto de tratamiento.

TÍTULO VII. Códigos tipo

Artículo 71. Objeto y naturaleza.1. Los códigos tipo a los que se refiere el artículo 32 de la Ley Orgánica 15/

1999, de 13 de diciembre, tienen por objeto adecuar lo establecido en lacitada Ley Orgánica y en el presente reglamento a las peculiaridades delos tratamientos efectuados por quienes se adhieren a los mismos.

A tal efecto, contendrán reglas o estándares específicos que permitanarmonizar los tratamientos de datos efectuados por los adheridos, facilitarel ejercicio de los derechos de los afectados y favorecer el cumplimiento delo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, y el presentereglamento.

2. Los códigos tipo tendrán el carácter de códigos deontológicos o de buenapráctica profesional y serán vinculantes para quienes se adhieran a losmismos.

Artículo 72. Iniciativa y ámbito de aplicación.1. Los códigos tipo tendrán carácter voluntario.

2. Los códigos tipo de carácter sectorial podrán referirse a la totalidad o aparte de los tratamientos llevados a cabo por entidades pertenecientes aun mismo sector, debiendo ser formulados por organizaciones representa-tivas de dicho sector, al menos en su ámbito territorial de aplicación, y sin

350


perjuicio de la potestad de dichas entidades de ajustar el código tipo a suspeculiaridades.

3. Los códigos tipo promovidos por una empresa deberán referirse a latotalidad de los tratamientos llevados a cabo por la misma.

4. Las Administraciones públicas y las corporaciones de Derecho Públicopodrán adoptar códigos tipo de acuerdo con lo establecido en las normasque les sean aplicables.

Artículo 73. Contenido.1. Los códigos tipo deberán estar redactados en términos claros y accesibles.

2. Los códigos tipo deben respetar la normativa vigente e incluir, comomínimo, con suficiente grado de precisión:

a) La delimitación clara y precisa de su ámbito de aplicación, las activida-des a que el código se refiere y los tratamientos sometidos al mismo.

b) Las previsiones específicas para la aplicación de los principios deprotección de datos.

c) El establecimiento de estándares homogéneos para el cumplimientopor los adheridos al código de las obligaciones establecidas en la LeyOrgánica 15/1999, de 13 de diciembre.

d) El establecimiento de procedimientos que faciliten el ejercicio por losafectados de sus derechos de acceso, rectificación, cancelación yoposición.

e) La determinación de las cesiones y transferencias internacionales dedatos que, en su caso, se prevean, con indicación de las garantías quedeban adoptarse.

f) Las acciones formativas en materia de protección de datos dirigidas aquienes los traten, especialmente en cuanto a su relación con losafectados.

g) Los mecanismos de supervisión a través de los cuales se garantice elcumplimiento por los adheridos de lo establecido en el código tipo, enlos términos previstos en el artículo 74 de este reglamento.

3. En particular, deberán contenerse en el código:

a) Cláusulas tipo para la obtención del consentimiento de los afectadosal tratamiento o cesión de sus datos.

b) Cláusulas tipo para informar a los afectados del tratamiento, cuandolos datos no sean obtenidos de los mismos.

c) Modelos para el ejercicio por los afectados de sus derechos de acceso,rectificación, cancelación y oposición.

351


d) Modelos de cláusulas para el cumplimiento de los requisitos formalesexigibles para la contratación de un encargado del tratamiento, en sucaso.

Artículo 74. Compromisos adicionales.1. Los códigos tipo podrán incluir cualquier otro compromiso adicional que

asuman los adheridos para un mejor cumplimiento de la legislaciónvigente en materia de protección de datos.

2. Además podrán contener cualquier otro compromiso que puedan estable-cer las entidades promotoras y, en particular, sobre:

a) La adopción de medidas de seguridad adicionales a las exigidas por laLey Orgánica 15/1999, de 13 de diciembre, y el presente Reglamento.

b) La identificación de las categorías de cesionarios o importadores delos datos.

c) Las medidas concretas adoptadas en materia de protección de losmenores o de determinados colectivos de afectados.

d) El establecimiento de un sello de calidad que identifique a los adheri-dos al código.

Artículo 75. Garantías del cumplimiento de los códigos tipo.1. Los códigos tipo deberán incluir procedimientos de supervisión indepen-

dientes para garantizar el cumplimiento de las obligaciones asumidas porlos adheridos, y establecer un régimen sancionador adecuado, eficaz ydisuasorio.

2. El procedimiento que se prevea deberá garantizar:

a) La independencia e imparcialidad del órgano responsable de lasupervisión.

b) La sencillez, accesibilidad, celeridad y gratuidad para la presentaciónde quejas y reclamaciones ante dicho órgano por los eventualesincumplimientos del código tipo.

c) El principio de contradicción.d) Una graduación de sanciones que permita ajustarlas a la gravedad

del incumplimiento. Esas sanciones deberán ser disuasorias y podránimplicar la suspensión de la adhesión al código o la expulsión de laentidad adherida. Asimismo, podrá establecerse, en su caso, supublicidad.

e) La notificación al afectado de la decisión adoptada.3. Asimismo, y sin perjuicio de lo dispuesto en el artículo 19 de la Ley

Orgánica 15/1999, de 13 de diciembre, los códigos tipo podrán contem-plar procedimientos para la determinación de medidas reparadoras en

352


caso de haberse causado un perjuicio a los afectados como consecuenciadel incumplimiento del código tipo.

4. Lo dispuesto en este artículo se aplicará sin perjuicio de las competenciasde la Agencia Española de Protección de Datos y, en su caso, de las autori-dades de control de las comunidades autónomas.

Artículo 76. Relación de adheridos.El código tipo deberá incorporar como anexo una relación de adheridos, que

deberá mantenerse actualizada, a disposición de la Agencia Española de Protecciónde Datos.

Artículo 77. Depósito y publicidad de los códigos tipo.1. Para que los códigos tipo puedan ser considerados como tales a los efectos

previstos en el artículo 32 de la Ley Orgánica 15/1999, de 13 de diciembre,y el presente reglamento, deberán ser depositados e inscritos en el Regis-tro General de Protección de Datos de la Agencia Española de Protecciónde Datos o, cuando corresponda, en el registro que fuera creado por lascomunidades autónomas, que darán traslado para su inclusión al RegistroGeneral de Protección de Datos.

2. A tal efecto, los códigos tipo deberán ser presentados ante la correspon-diente autoridad de control, tramitándose su inscripción, en caso de estarsometidos a la decisión de la Agencia Española de Protección de Datos,conforme al procedimiento establecido en el capítulo VI del título IX deeste reglamento.

3. En todo caso, la Agencia Española de Protección de Datos dará publicidada los códigos tipo inscritos, preferentemente a través de mediosinformáticos o telemáticos.

Artículo 78. Obligaciones posteriores a la inscripción del código tipo.Las entidades promotoras o los órganos, personas o entidades que al efecto se

designen en el propio código tipo tendrán, una vez el mismo haya sido publicado,las siguientes obligaciones:

a) Mantener accesible al público la información actualizada sobre las entida-des promotoras, el contenido del código tipo, los procedimientos deadhesión y de garantía de su cumplimiento y la relación de adheridos a laque se refiere el artículo anterior.

Esta información deberá presentarse de forma concisa y clara y estarpermanentemente accesible por medios electrónicos.

b) Remitir a la Agencia Española de Protección de Datos una memoria anualsobre las actividades realizadas para difundir el código tipo y promover laadhesión a éste, las actuaciones de verificación del cumplimiento del

353


código y sus resultados, las quejas y reclamaciones tramitadas y el cursoque se les hubiera dado y cualquier otro aspecto que las entidadespromotoras consideren adecuado destacar.

Cuando se trate de códigos tipo inscritos en el registro de una autoridadde control de una comunidad autónoma, la remisión se realizará a dichaautoridad, que dará traslado al registro General de Protección de Datos.

c) Evaluar periódicamente la eficacia del código tipo, midiendo el grado desatisfacción de los afectados y, en su caso, actualizar su contenido paraadaptarlo a la normativa general o sectorial de protección de datos exis-tente en cada momento.

Esta evaluación deberá tener lugar, al menos, cada cuatro años, salvo quesea precisa la adaptación de los compromisos del código a la modificaciónde la normativa aplicable en un plazo menor.

d) Favorecer la accesibilidad de todas las personas, con especial atención alas que tengan alguna discapacidad o de edad avanzada a toda la infor-mación disponible sobre el código tipo.

TÍTULO VIII. De las medidas de seguridad en el tratamientode datos de carácter personal


Artículo 79. Alcance.Los responsables de los tratamientos o los ficheros y los encargados del trata-

miento deberán implantar las medidas de seguridad con arreglo a lo dispuesto eneste Título, con independencia de cual sea su sistema de tratamiento.

Artículo 80. Niveles de seguridad.Las medidas de seguridad exigibles a los ficheros y tratamientos se clasifican

en tres niveles: básico, medio y alto.

Artículo 81. Aplicación de los niveles de seguridad.1. Todos los ficheros o tratamientos de datos de carácter personal deberán

adoptar las medidas de seguridad calificadas de nivel básico.

2. Deberán implantarse, además de las medidas de seguridad de nivelbásico, las medidas de nivel medio, en los siguientes ficheros o tratamien-tos de datos de carácter personal:

a) Los relativos a la comisión de infracciones administrativas o penales.b) Aquellos cuyo funcionamiento se rija por el artículo 29 de la Ley

Orgánica 15/1999, de 13 de diciembre.

354


c) Aquellos de los que sean responsables Administraciones tributarias yse relacionen con el ejercicio de sus potestades tributarias.

d) Aquéllos de los que sean responsables las entidades financieras parafinalidades relacionadas con la prestación de servicios financieros.

e) Aquéllos de los que sean responsables las Entidades Gestoras yServicios Comunes de la Seguridad Social y se relacionen con elejercicio de sus competencias. De igual modo, aquellos de los quesean responsables las mutuas de accidentes de trabajo y enfermeda-des profesionales de la Seguridad Social.

f) Aquéllos que contengan un conjunto de datos de carácter personalque ofrezcan una definición de las características o de la personalidadde los ciudadanos y que permitan evaluar determinados aspectos dela personalidad o del comportamiento de los mismos.

3. Además de las medidas de nivel básico y medio, las medidas de nivel altose aplicarán en los siguientes ficheros o tratamientos de datos de carácterpersonal:

a) Los que se refieran a datos de ideología, afiliación sindical, religión,creencias, origen racial, salud o vida sexual.

b) Los que contengan o se refieran a datos recabados para finespoliciales sin consentimiento de las personas afectadas.

c) Aquéllos que contengan datos derivados de actos de violencia degénero.

4. A los ficheros de los que sean responsables los operadores que prestenservicios de comunicaciones electrónicas disponibles al público o explotenredes públicas de comunicaciones electrónicas respecto a los datos detráfico y a los datos de localización, se aplicarán, además de las medidasde seguridad de nivel básico y medio, la medida de seguridad de nivelalto contenida en el artículo 103 de este reglamento.

5. En caso de ficheros o tratamientos de datos de ideología, afiliación sindi-cal, religión, creencias, origen racial, salud o vida sexual bastará la implan-tación de las medidas de seguridad de nivel básico cuando:

a) Los datos se utilicen con la única finalidad de realizar una transferen-cia dineraria a las entidades de las que los afectados sean asociados omiembros.

b) Se trate de ficheros o tratamientos no automatizados en los que deforma incidental o accesoria se contengan aquellos datos sin guardarrelación con su finalidad.

6. También podrán implantarse las medidas de seguridad de nivel básico enlos ficheros o tratamientos que contengan datos relativos a la salud,referentes exclusivamente al grado de discapacidad o la simple declara-ción de la condición de discapacidad o invalidez del afectado, con motivodel cumplimiento de deberes públicos.

355


7. Las medidas incluidas en cada uno de los niveles descritos anteriormentetienen la condición de mínimos exigibles, sin perjuicio de las disposicioneslegales o reglamentarias específicas vigentes que pudieran resultar deaplicación en cada caso o las que por propia iniciativa adoptase el respon-sable del fichero.

8. A los efectos de facilitar el cumplimiento de lo dispuesto en este título,cuando en un sistema de información existan ficheros o tratamientos queen función de su finalidad o uso concreto, o de la naturaleza de los datosque contengan, requieran la aplicación de un nivel de medidas de seguri-dad diferente al del sistema principal, podrán segregarse de este último,siendo de aplicación en cada caso el nivel de medidas de seguridadcorrespondiente y siempre que puedan delimitarse los datos afectados ylos usuarios con acceso a los mismos, y que esto se haga constar en eldocumento de seguridad.

Artículo 82. Encargado del tratamiento.1. Cuando el responsable del fichero o tratamiento facilite el acceso a los

datos, a los soportes que los contengan o a los recursos del sistema deinformación que los trate, a un encargado de tratamiento que preste susservicios en los locales del primero deberá hacerse constar esta circunstan-cia en el documento de seguridad de dicho responsable, comprometiéndo-se el personal del encargado al cumplimiento de las medidas de seguridadprevistas en el citado documento.

Cuando dicho acceso sea remoto habiéndose prohibido al encargado incor-porar tales datos a sistemas o soportes distintos de los del responsable, esteúltimo deberá hacer constar esta circunstancia en el documento de seguridaddel responsable, comprometiéndose el personal del encargado al cumpli-miento de las medidas de seguridad previstas en el citado documento.

2. Si el servicio fuera prestado por el encargado del tratamiento en sus propioslocales, ajenos a los del responsable del fichero, deberá elaborar un docu-mento de seguridad en los términos exigidos por el artículo 88 de estereglamento o completar el que ya hubiera elaborado, en su caso, identifican-do el fichero o tratamiento y el responsable del mismo e incorporando lasmedidas de seguridad a implantar en relación con dicho tratamiento.

3. En todo caso, el acceso a los datos por el encargado del tratamiento estarásometido a las medidas de seguridad contempladas en este reglamento.

Artículo 83. Prestaciones de servicios sin acceso a datos personales.El responsable del fichero o tratamiento adoptará las medidas adecuadas para

limitar el acceso del personal a datos personales, a los soportes que los contengan oa los recursos del sistema de información, para la realización de trabajos que noimpliquen el tratamiento de datos personales.

356


Cuando se trate de personal ajeno, el contrato de prestación de serviciosrecogerá expresamente la prohibición de acceder a los datos personales y la obliga-ción de secreto respecto a los datos que el personal hubiera podido conocer conmotivo de la prestación del servicio.

Artículo 84. Delegación de autorizaciones.Las autorizaciones que en este título se atribuyen al responsable del fichero o

tratamiento podrán ser delegadas en las personas designadas al efecto. En el docu-mento de seguridad deberán constar las personas habilitadas para otorgar estasautorizaciones así como aquellas en las que recae dicha delegación. En ningún casoesta designación supone una delegación de la responsabilidad que corresponde alresponsable del fichero.

Artículo 85. Acceso a datos a través de redes de comunicaciones.Las medidas de seguridad exigibles a los accesos a datos de carácter personal a

través de redes de comunicaciones, sean o no públicas, deberán garantizar un nivelde seguridad equivalente al correspondiente a los accesos en modo local, conformea los criterios establecidos en el artículo 80.

Artículo 86. Régimen de trabajo fuera de los locales del responsable delfichero o encargado del tratamiento.

1. Cuando los datos personales se almacenen en dispositivos portátiles o setraten fuera de los locales del responsable de fichero o tratamiento, o delencargado del tratamiento será preciso que exista una autorización previadel responsable del fichero o tratamiento, y en todo caso deberá garanti-zarse el nivel de seguridad correspondiente al tipo de fichero tratado.

2. La autorización a la que se refiere el párrafo anterior tendrá que constar en eldocumento de seguridad y podrá establecerse para un usuario o para unperfil de usuarios y determinando un periodo de validez para las mismas.

Artículo 87. Ficheros temporales o copias de trabajo de documentos.1. Aquellos ficheros temporales o copias de documentos que se hubiesen

creado exclusivamente para la realización de trabajos temporales o auxi-liares deberán cumplir el nivel de seguridad que les corresponda confor-me a los criterios establecidos en el artículo 81.

2. Todo fichero temporal o copia de trabajo así creado será borrado o destrui-do una vez que haya dejado de ser necesario para los fines que motivaronsu creación.

CAPÍTULO II. Del documento de seguridadArtículo 88. El documento de seguridad.

1. El responsable del fichero o tratamiento elaborará un documento deseguridad que recogerá las medidas de índole técnica y organizativa

357


acordes a la normativa de seguridad vigente que será de obligado cumpli-miento para el personal con acceso a los sistemas de información.

2. El documento de seguridad podrá ser único y comprensivo de todos losficheros o tratamientos, o bien individualizado para cada fichero o trata-miento. También podrán elaborarse distintos documentos de seguridadagrupando ficheros o tratamientos según el sistema de tratamiento utiliza-do para su organización, o bien atendiendo a criterios organizativos delresponsable. En todo caso, tendrá el carácter de documento interno de laorganización.

3. El documento deberá contener, como mínimo, los siguientes aspectos:

a) Ámbito de aplicación del documento con especificación detallada delos recursos protegidos.

b) Medidas, normas, procedimientos de actuación, reglas y estándaresencaminados a garantizar el nivel de seguridad exigido en estereglamento.

c) Funciones y obligaciones del personal en relación con el tratamientode los datos de carácter personal incluidos en los ficheros.

d) Estructura de los ficheros con datos de carácter personal y descripciónde los sistemas de información que los tratan.

e) Procedimiento de notificación, gestión y respuesta ante las inciden-cias.

f) Los procedimientos de realización de copias de respaldo y de recupe-ración de los datos en los ficheros o tratamientos automatizados.

g) Las medidas que sea necesario adoptar para el transporte de soportesy documentos, así como para la destrucción de los documentos ysoportes, o en su caso, la reutilización de estos últimos.

4. En caso de que fueran de aplicación a los ficheros las medidas de seguri-dad de nivel medio o las medidas de seguridad de nivel alto, previstas eneste título, el documento de seguridad deberá contener además:

a) La identificación del responsable o responsables de seguridad.b) Los controles periódicos que se deban realizar para verificar el

cumplimiento de lo dispuesto en el propio documento.5. Cuando exista un tratamiento de datos por cuenta de terceros, el docu-

mento de seguridad deberá contener la identificación de los ficheros otratamientos que se traten en concepto de encargado con referenciaexpresa al contrato o documento que regule las condiciones del encargo,así como de la identificación del responsable y del período de vigencia delencargo.

6. En aquellos casos en los que datos personales de un fichero o tratamientose incorporen y traten de modo exclusivo en los sistemas del encargado, el

358


responsable deberá anotarlo en su documento de seguridad. Cuando talcircunstancia afectase a parte o a la totalidad de los ficheros o tratamientosdel responsable, podrá delegarse en el encargado la llevanza del docu-mento de seguridad, salvo en lo relativo a aquellos datos contenidos enrecursos propios. Este hecho se indicará de modo expreso en el contratocelebrado al amparo del artículo 12 de la Ley Orgánica 15/1999, de 13 dediciembre, con especificación de los ficheros o tratamientos afectados.

En tal caso, se atenderá al documento de seguridad del encargado alefecto del cumplimiento de lo dispuesto por este reglamento.

7. El documento de seguridad deberá mantenerse en todo momento actualiza-do y será revisado siempre que se produzcan cambios relevantes en el siste-ma de información, en el sistema de tratamiento empleado, en su organiza-ción, en el contenido de la información incluida en los ficheros o tratamientoso, en su caso, como consecuencia de los controles periódicos realizados. Entodo caso, se entenderá que un cambio es relevante cuando pueda repercutiren el cumplimiento de las medidas de seguridad implantadas.

8. El contenido del documento de seguridad deberá adecuarse, en todomomento, a las disposiciones vigentes en materia de seguridad de losdatos de carácter personal.

CAPÍTULO III. Medidas de seguridad aplicables a ficherosy tratamientos automatizados

SECCIÓN 1.ª MEDIDAS DE SEGURIDAD DE NIVEL BÁSICO

Artículo 89. Funciones y obligaciones del personal.1. Las funciones y obligaciones de cada uno de los usuarios o perfiles de

usuarios con acceso a los datos de carácter personal y a los sistemas deinformación estarán claramente definidas y documentadas en el docu-mento de seguridad.

También se definirán las funciones de control o autorizaciones delegadaspor el responsable del fichero o tratamiento.

2. El responsable del fichero o tratamiento adoptará las medidas necesariaspara que el personal conozca de una forma comprensible las normas deseguridad que afecten al desarrollo de sus funciones así como las conse-cuencias en que pudiera incurrir en caso de incumplimiento.

Artículo 90. Registro de incidencias.Deberá existir un procedimiento de notificación y gestión de las incidencias

que afecten a los datos de carácter personal y establecer un registro en el que sehaga constar el tipo de incidencia, el momento en que se ha producido, o en su caso,

359


detectado, la persona que realiza la notificación, a quién se le comunica, los efectosque se hubieran derivado de la misma y las medidas correctoras aplicadas.

Artículo 91. Control de acceso.1. Los usuarios tendrán acceso únicamente a aquellos recursos que precisen

para el desarrollo de sus funciones.

2. El responsable del fichero se encargará de que exista una relación actuali-zada de usuarios y perfiles de usuarios, y los accesos autorizados paracada uno de ellos.

3. El responsable del fichero establecerá mecanismos para evitar que un usu-ario pueda acceder a recursos con derechos distintos de los autorizados.

4. Exclusivamente el personal autorizado para ello en el documento deseguridad podrá conceder, alterar o anular el acceso autorizado sobre losrecursos, conforme a los criterios establecidos por el responsable delfichero.

5. En caso de que exista personal ajeno al responsable del fichero que tengaacceso a los recursos deberá estar sometido a las mismas condiciones yobligaciones de seguridad que el personal propio.

Artículo 92. Gestión de soportes y documentos.1. Los soportes y documentos que contengan datos de carácter personal

deberán permitir identificar el tipo de información que contienen, serinventariados y solo deberán ser accesibles por el personal autorizadopara ello en el documento de seguridad.

Se exceptúan estas obligaciones cuando las características físicas delsoporte imposibiliten su cumplimiento, quedando constancia motivada deello en el documento de seguridad.

2. La salida de soportes y documentos que contengan datos de carácterpersonal, incluidos los comprendidos y/o anejos a un correo electrónico,fuera de los locales bajo el control del responsable del fichero o tratamien-to deberá ser autorizada por el responsable del fichero o encontrarsedebidamente autorizada en el documento de seguridad.

3. En el traslado de la documentación se adoptarán las medidas dirigidas aevitar la sustracción, pérdida o acceso indebido a la información durantesu transporte.

4. Siempre que vaya a desecharse cualquier documento o soporte quecontenga datos de carácter personal deberá procederse a su destrucción oborrado, mediante la adopción de medidas dirigidas a evitar el acceso a lainformación contenida en el mismo o su recuperación posterior.

5. La identificación de los soportes que contengan datos de carácter personalque la organización considerase especialmente sensibles se podrá realizar

360


utilizando sistemas de etiquetado comprensibles y con significado quepermitan a los usuarios con acceso autorizado a los citados soportes ydocumentos identificar su contenido, y que dificulten la identificaciónpara el resto de personas.

Artículo 93. Identificación y autenticación.1. El responsable del fichero o tratamiento deberá adoptar las medidas que

garanticen la correcta identificación y autenticación de los usuarios.

2. El responsable del fichero o tratamiento establecerá un mecanismo quepermita la identificación de forma inequívoca y personalizada de todoaquel usuario que intente acceder al sistema de información y la verifica-ción de que está autorizado.

3. Cuando el mecanismo de autenticación se base en la existencia de contra-señas existirá un procedimiento de asignación, distribución y almacena-miento que garantice su confidencialidad e integridad.

4. El documento de seguridad establecerá la periodicidad, que en ningúncaso será superior a un año, con la que tienen que ser cambiadas lascontraseñas que, mientras estén vigentes, se almacenarán de formaininteligible.

Artículo 94. Copias de respaldo y recuperación.1. Deberán establecerse procedimientos de actuación para la realización

como mínimo semanal de copias de respaldo, salvo que en dicho períodono se hubiera producido ninguna actualización de los datos.

2. Asimismo, se establecerán procedimientos para la recuperación de losdatos que garanticen en todo momento su reconstrucción en el estado enque se encontraban al tiempo de producirse la pérdida o destrucción.

Únicamente, en el caso de que la pérdida o destrucción afectase a ficheroso tratamientos parcialmente automatizados, y siempre que la existencia dedocumentación permita alcanzar el objetivo al que se refiere el párrafoanterior, se deberá proceder a grabar manualmente los datos quedandoconstancia motivada de este hecho en el documento de seguridad.

3. El responsable del fichero se encargará de verificar cada seis meses lacorrecta definición, funcionamiento y aplicación de los procedimientos derealización de copias de respaldo y de recuperación de los datos.

4. Las pruebas anteriores a la implantación o modificación de los sistemas deinformación que traten ficheros con datos de carácter personal no serealizarán con datos reales, salvo que se asegure el nivel de seguridadcorrespondiente al tratamiento realizado y se anote su realización en eldocumento de seguridad.

361


Si está previsto realizar pruebas con datos reales, previamente deberáhaberse realizado una copia de seguridad.

SECCIÓN 2.ª MEDIDAS DE SEGURIDAD DE NIVEL MEDIO

Artículo 95. Responsable de seguridad.En el documento de seguridad deberán designarse uno o varios responsables de

seguridad encargados de coordinar y controlar las medidas definidas en el mismo.Esta designación puede ser única para todos los ficheros o tratamientos de datos decarácter personal o diferenciada según los sistemas de tratamiento utilizados,circunstancia que deberá hacerse constar claramente en el documento de seguridad.En ningún caso esta designación supone una exoneración de la responsabilidad quecorresponde al responsable del fichero o al encargado del tratamiento de acuerdocon este reglamento.

Artículo 96. Auditoría.1. A partir del nivel medio los sistemas de información e instalaciones de

tratamiento y almacenamiento de datos se someterán, al menos cada dosaños, a una auditoría interna o externa que verifique el cumplimiento delpresente título.

Con carácter extraordinario deberá realizarse dicha auditoría siempre quese realicen modificaciones sustanciales en el sistema de información quepuedan repercutir en el cumplimiento de las medidas de seguridadimplantadas con el objeto de verificar la adaptación, adecuación y eficaciade las mismas. Esta auditoría inicia el cómputo de dos años señalado en elpárrafo anterior.

2. El informe de auditoría deberá dictaminar sobre la adecuación de lasmedidas y controles a la Ley y su desarrollo reglamentario, identificar susdeficiencias y proponer las medidas correctoras o complementariasnecesarias.

Deberá, igualmente, incluir los datos, hechos y observaciones en que sebasen los dictámenes alcanzados y las recomendaciones propuestas.

3. Los informes de auditoría serán analizados por el responsable de seguri-dad competente, que elevará las conclusiones al responsable del fichero otratamiento para que adopte las medidas correctoras adecuadas y queda-rán a disposición de la Agencia Española de Protección de Datos o, en sucaso, de las autoridades de control de las comunidades autónomas.

Artículo 97. Gestión de soportes y documentos.1. Deberá establecerse un sistema de registro de entrada de soportes que

permita, directa o indirectamente, conocer el tipo de documento o soporte,

362


la fecha y hora, el emisor, el número de documentos o soportes incluidos enel envío, el tipo de información que contienen, la forma de envío y la personaresponsable de la recepción que deberá estar debidamente autorizada.

2. Igualmente, se dispondrá de un sistema de registro de salida de soportesque permita, directa o indirectamente, conocer el tipo de documento osoporte, la fecha y hora, el destinatario, el número de documentos osoportes incluidos en el envío, el tipo de información que contienen, laforma de envío y la persona responsable de la entrega que deberá estardebidamente autorizada.

Artículo 98. Identificación y autenticación.El responsable del fichero o tratamiento establecerá un mecanismo que limite

la posibilidad de intentar reiteradamente el acceso no autorizado al sistema deinformación.

Artículo 99. Control de acceso físico.Exclusivamente el personal autorizado en el documento de seguridad podrá

tener acceso a los lugares donde se hallen instalados los equipos físicos que densoporte a los sistemas de información.

Artículo 100. Registro de incidencias.1. En el registro regulado en el artículo 90 deberán consignarse, además, los

procedimientos realizados de recuperación de los datos, indicando la perso-na que ejecutó el proceso, los datos restaurados y, en su caso, qué datos hasido necesario grabar manualmente en el proceso de recuperación.

2. Será necesaria la autorización del responsable del fichero para la ejecuciónde los procedimientos de recuperación de los datos.

SECCIÓN 3.ª MEDIDAS DE SEGURIDAD DE NIVEL ALTO

Artículo 101. Gestión y distribución de soportes.1. La identificación de los soportes se deberá realizar utilizando sistemas de

etiquetado comprensibles y con significado que permitan a los usuarioscon acceso autorizado a los citados soportes y documentos identificar sucontenido, y que dificulten la identificación para el resto de personas.

2. La distribución de los soportes que contengan datos de carácter personalse realizará cifrando dichos datos o bien utilizando otro mecanismo quegarantice que dicha información no sea accesible o manipulada durante sutransporte.

Asimismo, se cifrarán los datos que contengan los dispositivos portátilescuando éstos se encuentren fuera de las instalaciones que están bajo elcontrol del responsable del fichero.

363


3. Deberá evitarse el tratamiento de datos de carácter personal en dispositi-vos portátiles que no permitan su cifrado. En caso de que sea estrictamen-te necesario se hará constar motivadamente en el documento de seguridady se adoptarán medidas que tengan en cuenta los riesgos de realizartratamientos en entornos desprotegidos.

Artículo 102. Copias de respaldo y recuperación.Deberá conservarse una copia de respaldo de los datos y de los procedimientos

de recuperación de los mismos en un lugar diferente de aquel en que se encuentren losequipos informáticos que los tratan, que deberá cumplir en todo caso las medidas deseguridad exigidas en este título, o utilizando elementos que garanticen la integridad yrecuperación de la información, de forma que sea posible su recuperación.

Artículo 103. Registro de accesos.1. De cada intento de acceso se guardarán, como mínimo, la identificación

del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo deacceso y si ha sido autorizado o denegado.

2. En el caso de que el acceso haya sido autorizado, será preciso guardar lainformación que permita identificar el registro accedido.

3. Los mecanismos que permiten el registro de accesos estarán bajo el controldirecto del responsable de seguridad competente sin que deban permitirla desactivación ni la manipulación de los mismos.

4. El período mínimo de conservación de los datos registrados será de dosaños.

5. El responsable de seguridad se encargará de revisar al menos una vez almes la información de control registrada y elaborará un informe de lasrevisiones realizadas y los problemas detectados.

6. No será necesario el registro de accesos definido en este artículo en casode que concurran las siguientes circunstancias:

a) Que el responsable del fichero o del tratamiento sea una persona física.b) Que el responsable del fichero o del tratamiento garantice que única-

mente él tiene acceso y trata los datos personales.La concurrencia de las dos circunstancias a las que se refiere el aparta-do anterior deberá hacerse constar expresamente en el documento deseguridad.

Artículo 104. Telecomunicaciones.Cuando, conforme al artículo 81.3 deban implantarse las medidas de seguri-

dad de nivel alto, la transmisión de datos de carácter personal a través de redespúblicas o redes inalámbricas de comunicaciones electrónicas se realizará cifrandodichos datos o bien utilizando cualquier otro mecanismo que garantice que lainformación no sea inteligible ni manipulada por terceros.

364


CAPÍTULO IV. Medidas de seguridad aplicablesa los ficheros y tratamientos no automatizados

SECCIÓN 1.ª MEDIDAS DE SEGURIDAD DE NIVEL BÁSICOArtículo 105. Obligaciones comunes.

1. Además de lo dispuesto en el presente capítulo, a los ficheros no automa-tizados les será de aplicación lo dispuesto en los capítulos I y II del pre-sente título en lo relativo a:

a) Alcance.b) Niveles de seguridad.c) Encargado del tratamiento.d) Prestaciones de servicios sin acceso a datos personales.e) Delegación de autorizaciones.f) Régimen de trabajo fuera de los locales del responsable del fichero o

encargado del tratamiento.g) Copias de trabajo de documentos.h) Documento de seguridad.

2. Asimismo se les aplicará lo establecido por la sección primera del capítuloIII del presente título en lo relativo a:

a) Funciones y obligaciones del personal.b) Registro de incidencias.c) Control de acceso.d) Gestión de soportes.

Artículo 106. Criterios de archivo.El archivo de los soportes o documentos se realizará de acuerdo con los crite-

rios previstos en su respectiva legislación. Estos criterios deberán garantizar lacorrecta conservación de los documentos, la localización y consulta de la informa-ción y posibilitar el ejercicio de los derechos de oposición al tratamiento, acceso,rectificación y cancelación. En aquellos casos en los que no exista norma aplicable,el responsable del fichero deberá establecer los criterios y procedimientos de actua-ción que deban seguirse para el archivo.

Artículo 107. Dispositivos de almacenamiento.Los dispositivos de almacenamiento de los documentos que contengan datos

de carácter personal deberán disponer de mecanismos que obstaculicen su apertura.Cuando las características físicas de aquéllos no permitan adoptar esta medida, elresponsable del fichero o tratamiento adoptará medidas que impidan el acceso depersonas no autorizadas.

365


Artículo 108. Custodia de los soportes.Mientras la documentación con datos de carácter personal no se encuentre

archivada en los dispositivos de almacenamiento establecidos en el artículo anterior,por estar en proceso de revisión o tramitación, ya sea previo o posterior a su archi-vo, la persona que se encuentre al cargo de la misma deberá custodiarla e impediren todo momento que pueda ser accedida por persona no autorizada.

SECCIÓN 2.ª MEDIDAS DE SEGURIDAD DE NIVEL MEDIO

Artículo 109. Responsable de seguridad.Se designará uno o varios responsables de seguridad en los términos y con las

funciones previstas en el artículo 95 de este reglamento.

Artículo 110. Auditoría.Los ficheros comprendidos en la presente sección se someterán, al menos cada

dos años, a una auditoría interna o externa que verifique el cumplimiento delpresente título.

SECCIÓN 3.ª MEDIDAS DE SEGURIDAD DE NIVEL ALTOArtículo 111. Almacenamiento de la información.

1. Los armarios, archivadores u otros elementos en los que se almacenen losficheros no automatizados con datos de carácter personal deberán encon-trarse en áreas en las que el acceso esté protegido con puertas de accesodotadas de sistemas de apertura mediante llave u otro dispositivo equiva-lente. Dichas áreas deberán permanecer cerradas cuando no sea preciso elacceso a los documentos incluidos en el fichero.

2. Si, atendidas las características de los locales de que dispusiera el respon-sable del fichero o tratamiento, no fuera posible cumplir lo establecido enel apartado anterior, el responsable adoptará medidas alternativas que,debidamente motivadas, se incluirán en el documento de seguridad.

Artículo 112. Copia o reproducción.1. La generación de copias o la reproducción de los documentos únicamente

podrá ser realizada bajo el control del personal autorizado en el documen-to de seguridad.

2. Deberá procederse a la destrucción de las copias o reproducciones des-echadas de forma que se evite el acceso a la información contenida en lasmismas o su recuperación posterior.

Artículo 113. Acceso a la documentación.1. El acceso a la documentación se limitará exclusivamente al personal

autorizado.

366


2. Se establecerán mecanismos que permitan identificar los accesos realizadosen el caso de documentos que puedan ser utilizados por múltiples usuarios.

3. El acceso de personas no incluidas en el párrafo anterior deberá quedaradecuadamente registrado de acuerdo con el procedimiento establecido alefecto en el documento de seguridad.

Artículo 114. Traslado de documentación.Siempre que se proceda al traslado físico de la documentación contenida en un

fichero, deberán adoptarse medidas dirigidas a impedir el acceso o manipulaciónde la información objeto de traslado.

TÍTULO IX. Procedimientos tramitados por la AgenciaEspañola de Protección de Datos


Artículo 115. Régimen aplicable.1. Los procedimientos tramitados por la Agencia Española de Protección de

Datos se regirán por lo dispuesto en el presente título, y supletoriamente,por la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de lasAdministraciones Públicas y del Procedimiento Administrativo Común.

2. Específicamente serán de aplicación las normas reguladoras del procedi-miento administrativo común al régimen de representación en los citadosprocedimientos.

Artículo 116. Publicidad de las resoluciones.1. La Agencia Española de Protección de Datos hará públicas sus resolucio-

nes, con excepción de las correspondientes a la inscripción de un fichero otratamiento en el Registro General de Protección de Datos y de aquéllaspor las que se resuelva la inscripción en el mismo de los códigos tipo,siempre que se refieran a procedimientos que se hubieran iniciado conposterioridad al 1 de enero de 2004, o correspondan al archivo de actua-ciones inspectoras incoadas a partir de dicha fecha.

2. La publicación de estas resoluciones se realizará preferentemente median-te su inserción en el sitio web de la Agencia Española de Protección deDatos, dentro del plazo de un mes a contar desde la fecha de su notifica-ción a los interesados.

3. En la notificación de las resoluciones se informará expresamente a losinteresados de la publicidad prevista en el artículo 37.2 de la Ley Orgánica15/1999, de 13 de diciembre.

4. La publicación se realizará aplicando los criterios de disociación de losdatos de carácter personal que a tal efecto se establezcan mediante Resolu-ción del Director de la Agencia.

367


CAPÍTULO II. Procedimiento de tutela de los derechosde acceso, rectificación, cancelación y oposición

Artículo 117. Instrucción del procedimiento.1. El procedimiento se iniciará a instancia del afectado o afectados, expresan-

do con claridad el contenido de su reclamación y de los preceptos de laLey Orgánica 15/1999, de 13 de diciembre, que se consideran vulnerados.

2. Recibida la reclamación en la Agencia Española de Protección de Datos, sedará traslado de la misma al responsable del fichero, para que, en el plazode quince días, formule las alegaciones que estime pertinentes.

3. Recibidas las alegaciones o transcurrido el plazo previsto en el apartadoanterior, la Agencia Española de Protección de Datos, previos los infor-mes, pruebas y otros actos de instrucción pertinentes, incluida la audien-cia del afectado y nuevamente del responsable del fichero, resolverá sobrela reclamación formulada.

Artículo 118. Duración del procedimiento y efectos de la faltade resolución expresa.

1. El plazo máximo para dictar y notificar resolución en el procedimiento detutela de derechos será de seis meses, a contar desde la fecha de entradaen la Agencia Española de Protección de Datos de la reclamación delafectado o afectados.

2. Si en dicho plazo no se hubiese dictado y notificado resolución expresa, elafectado podrá considerar estimada su reclamación por silencio adminis-trativo positivo.

Artículo 119. Ejecución de la resolución.Si la resolución de tutela fuese estimatoria, se requerirá al responsable del

fichero para que, en el plazo de diez días siguientes a la notificación, haga efectivoel ejercicio de los derechos objeto de la tutela, debiendo dar cuenta por escrito de di-cho cumplimiento a la Agencia Española de Protección de Datos en idéntico plazo.

CAPÍTULO III. Procedimientos relativos al ejerciciode la potestad sancionadora

SECCIÓN 1.ª DISPOSICIONES GENERALES

Artículo 120. Ámbito de aplicación.1. Las disposiciones contenidas en el presente capítulo serán de aplicación a

los procedimientos relativos al ejercicio por la Agencia Española deProtección de Datos de la potestad sancionadora que le viene atribuidapor la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos

368


de carácter personal, en la Ley 34/2002, de 11 de julio, de Servicios de lasociedad de la información y de comercio electrónico, y en la Ley 32/2003,de 3 de noviembre, General de Telecomunicaciones.

2. No obstante, las disposiciones previstas en el artículo 121 y en la seccióncuarta de este capítulo únicamente serán aplicables a los procedimientosreferidos al ejercicio de la potestad sancionadora prevista en la Ley Orgá-nica 15/1999, de 13 de diciembre.

Artículo 121. Inmovilización de ficheros.1. En el supuesto previsto como infracción muy grave en la Ley Orgánica

15/1999, de 13 de diciembre, consistente en la utilización o cesión ilícita delos datos de carácter personal en la que se impida gravemente o se atentede igual modo contra el ejercicio de los derechos de los ciudadanos y ellibre desarrollo de la personalidad que la Constitución y las leyes garanti-zan, el Director de la Agencia Española de Protección de Datos podrá, encualquier momento del procedimiento, requerir a los responsables deficheros o tratamientos de datos de carácter personal, tanto de titularidadpública como privada, la cesación en la utilización o cesión ilícita de losdatos.

2. El requerimiento deberá ser atendido en el plazo improrrogable de tres días,durante el cual el responsable del fichero podrá formular las alegaciones quetenga por convenientes en orden al levantamiento de la medida.

3. Si el requerimiento fuera desatendido, el Director de la Agencia Españolade Protección de Datos podrá, mediante resolución motivada, acordar lainmovilización de tales ficheros o tratamientos, a los solos efectos derestaurar los derechos de las personas afectadas.

SECCIÓN 2.ª ACTUACIONES PREVIAS

Artículo 122. Iniciación.1. Con anterioridad a la iniciación del procedimiento sancionador, se podrán

realizar actuaciones previas con objeto de determinar si concurren circuns-tancias que justifiquen tal iniciación. En especial, estas actuaciones seorientarán a determinar, con la mayor precisión posible, los hechos quepudieran justificar la incoación del procedimiento, identificar la persona uórgano que pudiera resultar responsable y fijar las circunstancias relevan-tes que pudieran concurrir en el caso.

2. Las actuaciones previas se llevarán a cabo de oficio por la Agencia Españolade Protección de Datos, bien por iniciativa propia o como consecuencia de laexistencia de una denuncia o una petición razonada de otro órgano.

3. Cuando las actuaciones se lleven a cabo como consecuencia de la existen-cia de una denuncia o de una petición razonada de otro órgano, la Agencia

369


Española de Protección de Datos acusará recibo de la denuncia o petición,pudiendo solicitar cuanta documentación se estime oportuna para podercomprobar los hechos susceptibles de motivar la incoación del procedi-miento sancionador.

4. Estas actuaciones previas tendrán una duración máxima de doce meses acontar desde la fecha en la que la denuncia o petición razonada a las quese refiere el apartado 2 hubieran tenido entrada en la Agencia Española deProtección de Datos o, en caso de no existir aquéllas, desde que el Directorde la Agencia acordase la realización de dichas actuaciones.

El vencimiento del plazo sin que haya sido dictado y notificado acuerdode inicio de procedimiento sancionador producirá la caducidad de lasactuaciones previas.

Artículo 123. Personal competente para la realización de las actuacionesprevias.

1. Las actuaciones previas serán llevadas a cabo por el personal del área de laInspección de Datos habilitado para el ejercicio de funciones inspectoras.

2. En supuestos excepcionales, el Director de la Agencia Española de Protec-ción de Datos podrá designar para la realización de actuaciones específi-cas a funcionarios de la propia Agencia no habilitados con carácter generalpara el ejercicio de funciones inspectoras o a funcionarios que no prestensus funciones en la Agencia, siempre que reúnan las condiciones deidoneidad y especialización necesarias para la realización de tales actua-ciones. En estos casos, la autorización indicará expresamente la identifica-ción del funcionario y las concretas actuaciones previas de inspección arealizar.

3. Los funcionarios que ejerzan la inspección a los que se refieren los dosapartados anteriores tendrán la consideración de autoridad pública en eldesempeño de sus cometidos.

Estarán obligados a guardar secreto sobre las informaciones que conozcanen el ejercicio de las mencionadas funciones, incluso después de habercesado en las mismas.

Artículo 124. Obtención de información.Los inspectores podrán recabar cuantas informaciones precisen para el cumpli-

miento de sus cometidos. A tal fin podrán requerir la exhibición o el envío de losdocumentos y datos y examinarlos en el lugar en que se encuentren depositados,como obtener copia de los mismos, inspeccionar los equipos físicos y lógicos, asícomo requerir la ejecución de tratamientos y programas o procedimientos degestión y soporte del fichero o ficheros sujetos a investigación, accediendo a loslugares donde se hallen instalados.

370


Artículo 125. Actuaciones presenciales.1. En el desarrollo de las actuaciones previas se podrán realizar visitas de

inspección por parte de los inspectores designados, en los locales o sededel inspeccionado, o donde se encuentren ubicados los ficheros, en sucaso. A tal efecto, los inspectores habrán sido previamente autorizados porel Director de la Agencia Española de Protección de Datos.

Las inspecciones podrán realizarse en el domicilio del inspeccionado, en lasede o local concreto relacionado con el mismo o en cualquiera de suslocales, incluyendo aquéllos en que el tratamiento sea llevado a cabo porun encargado.

La autorización se limitará a indicar la habilitación del inspector autoriza-do y la identificación de la persona u órgano inspeccionado.

2. En el supuesto contemplado en el apartado anterior, las inspeccionesconcluirán con el levantamiento de la correspondiente acta, en la quequedará constancia de las actuaciones practicadas durante la visita ovisitas de inspección.

3. El acta, que se emitirá por duplicado, será firmada por los inspectoresactuantes y por el inspeccionado, que podrá hacer constar en la misma lasalegaciones o manifestaciones que tenga por conveniente.

En caso de negativa del inspeccionado a la firma del acta, se hará constarexpresamente esta circunstancia en la misma. En todo caso, la firma por elinspeccionado del acta no supondrá su conformidad, sino tan sólo larecepción de la misma.

Se entregará al inspeccionado uno de los originales del acta de inspección,incorporándose el otro a las actuaciones.

Artículo 126. Resultado de las actuaciones previas.1. Finalizadas las actuaciones previas, éstas se someterán a la decisión del

Director de la Agencia Española de Protección de Datos.

Si de las actuaciones no se derivasen hechos susceptibles de motivar laimputación de infracción alguna, el Director de la Agencia Española deProtección de Datos dictará resolución de archivo que se notificará alinvestigado y al denunciante, en su caso.

2. En caso de apreciarse la existencia de indicios susceptibles de motivar laimputación de una infracción, el Director de la Agencia Española deProtección de Datos dictará acuerdo de inicio de procedimiento sanciona-dor o de infracción de las Administraciones públicas, que se tramitaránconforme a lo dispuesto, respectivamente, en las secciones tercera y cuartadel presente capítulo.

371


SECCIÓN 3.ª PROCEDIMIENTO SANCIONADOR

Artículo 127. Iniciación del procedimiento.Con carácter específico el acuerdo de inicio del procedimiento sancionador

deberá contener:a) Identificación de la persona o personas presuntamente responsables.

b) Descripción sucinta de los hechos imputados, su posible calificación y lassanciones que pudieran corresponder, sin perjuicio de lo que resulte de lainstrucción.

c) Indicación de que el órgano competente para resolver el procedimiento esel Director de la Agencia Española de Protección de Datos.

d) Indicación al presunto responsable de que puede reconocer voluntaria-mente su responsabilidad, en cuyo caso se dictará directamente resolu-ción.

e) Designación de instructor y, en su caso, secretario, con expresa indicacióndel régimen de recusación de los mismos.

f) Indicación expresa del derecho del responsable a formular alegaciones, ala audiencia en el procedimiento y a proponer las pruebas que estimeprocedentes.

g) Medidas de carácter provisional que pudieran acordarse, en su caso,conforme a lo establecido en la sección primera del presente capítulo.

Artículo 128. Plazo máximo para resolver.1. El plazo para dictar resolución será el que determinen las normas aplicables

a cada procedimiento sancionador y se computará desde la fecha en que sedicte el acuerdo de inicio hasta que se produzca la notificación de la resolu-ción sancionadora, o se acredite debidamente el intento de notificación.

2. El vencimiento del citado plazo máximo, sin que se haya dictada y notifi-cada resolución expresa, producirá la caducidad del procedimiento y elarchivo de las actuaciones.

SECCIÓN 4.ª PROCEDIMIENTO DE DECLARACIÓNDE INFRACCIÓN DE LA LEY ORGÁNICA 15/1999,

DE 13 DE DICIEMBRE,POR LAS ADMINISTRACIONES PÚBLICAS

Artículo 129. Disposición general.El procedimiento por el que se declare la existencia de una infracción de la Ley

Orgánica 15/1999, de 13 de diciembre, cometida por las Administraciones públicasserá el establecido en la sección tercera de este capítulo.

372


CAPÍTULO IV. Procedimientos relacionadoscon la inscripción o cancelación de ficheros

SECCIÓN 1.ª PROCEDIMIENTO DE INSCRIPCIÓN DE LACREACIÓN, MODIFICACIÓN O SUPRESIÓN DE FICHEROS

Artículo 130. Iniciación del procedimiento.1. El procedimiento se iniciará como consecuencia de la notificación de la

creación, modificación o supresión del fichero por el interesado o, en sucaso, de la comunicación efectuada por las autoridades de control de lascomunidades autónomas, a la que se refiere el presente reglamento.

2. La notificación se deberá efectuar cumplimentando los modelos o formu-larios electrónicos publicados al efecto por la Agencia Española de Protec-ción de Datos, en virtud de lo dispuesto en el apartado 1 del artículo 59 deeste reglamento.

Tratándose de la notificación de la modificación o supresión de un fichero,deberá indicarse en la misma el código de inscripción del fichero en elRegistro General de Protección de Datos.

3. La notificación se efectuará en soporte electrónico, ya mediante comunica-ción electrónica a través de Internet mediante firma electrónica o ensoporte informático, utilizando al efecto el programa de ayuda para lageneración de notificaciones que la Agencia pondrá a disposición de losinteresados de forma gratuita.

Será igualmente válida la notificación efectuada en soporte papel cuandopara su cumplimentación hayan sido utilizados los modelos o formulariospublicados por la Agencia.

4. En la notificación, el responsable del fichero deberá declarar un domicilioa efectos de notificaciones en el procedimiento.

Artículo 131. Especialidades en la notificación de ficheros de titularidadpública.

1. Cuando se trate de la notificación de ficheros de titularidad pública,deberá acompañarse a la notificación una copia de la norma o acuerdo decreación, modificación o supresión del fichero a que hace referencia elartículo 52 del presente reglamento.

Cuando el diario oficial en el que se encuentre publicada la citada norma oacuerdo sea accesible a través de Internet, bastará con indicar en la notifi-cación la dirección electrónica que permita su concreta localización.

2. Recibida la notificación, si la misma no contuviera la información precep-tiva o se advirtieran defectos formales, el Registro General de Protección

373


de Datos requerirá al responsable del fichero para que complete o subsanela notificación. El plazo para la subsanación o mejora de la solicitud seráde tres meses, en el caso de que se precise la modificación de la norma oacuerdo de creación del fichero.

Artículo 132. Acuerdo de inscripción o cancelación.Si la notificación referida a la creación, modificación o supresión del fichero

contuviera la información preceptiva y se cumplieran las restantes exigencias lega-les, el Director de la Agencia Española de Protección de Datos, a propuesta del Re-gistro General de Protección de Datos, acordará, respectivamente, la inscripción delfichero, asignando al mismo el correspondiente código de inscripción, la modifica-ción de la inscripción del fichero o la cancelación de la inscripción correspondiente.

Artículo 133. Improcedencia o denegación de la inscripción.El Director de la Agencia Española de Protección de Datos, a propuesta del

Registro General de Protección de Datos, dictará resolución denegando la inscrip-ción, modificación o cancelación cuando de los documentos aportados por elresponsable del fichero se desprenda que la notificación no resulta conforme a lodispuesto en la Ley Orgánica 15/1999, de 13 de diciembre.

La resolución será debidamente motivada, con indicación expresa de lascausas que impiden la inscripción, modificación o cancelación.

Artículo 134. Duración del procedimiento y efectos de la falta deresolución expresa.

1. El plazo máximo para dictar y notificar resolución acerca de la inscripción,modificación o cancelación será de un mes.

2. Si en dicho plazo no se hubiese dictado y notificado resolución expresa, seentenderá inscrito, modificado o cancelado el fichero a todos los efectos.

SECCIÓN 2.ª PROCEDIMIENTO DE CANCELACIÓNDE OFICIO DE FICHEROS INSCRITOS

Artículo 135. Iniciación del procedimiento.El procedimiento de cancelación de oficio de los ficheros inscritos en el Regis-

tro General de Protección de Datos se iniciará siempre de oficio, bien por propiainiciativa o en virtud de denuncia, por acuerdo del Director de la Agencia Españolade Protección de Datos.

Artículo 136. Terminación del expediente.La resolución, previa audiencia del interesado, acordará haber lugar o no a la

cancelación del fichero.

374


Si la resolución acordase la cancelación del fichero, se dará traslado de la mis-ma al Registro General de Protección de Datos, para que proceda a la cancelación.

CAPÍTULO V. Procedimientos relacionados conlas transferencias internacionales de datos

SECCIÓN 1.ª PROCEDIMIENTO DE AUTORIZACIÓN DETRANSFERENCIAS INTERNACIONALES DE DATOS

Artículo 137. Iniciación del procedimiento.1. El procedimiento para la obtención de la autorización para las transferen-

cias internacionales de datos a países terceros a las que se refiere el artícu-lo 33 de la Ley Orgánica 15/1999, de 13 de diciembre, y el artículo 70 deeste reglamento se iniciará siempre a solicitud del exportador que preten-da llevar a cabo la transferencia.

2. En su solicitud, además de los requisitos legalmente exigidos, elexportador deberá consignar, en todo caso:

a) La identificación del fichero o ficheros a cuyos datos se refiera la transfe-rencia internacional, con indicación de su denominación y código deinscripción del fichero en el Registro General de Protección de Datos.

b) La transferencia o transferencias respecto de las que se solicita laautorización, con indicación de la finalidad que la justifica.

c) La documentación que incorpore las garantías exigibles para la ob-tención de la autorización así como el cumplimiento de los requisitoslegales necesarios para la realización de la transferencia, en su caso.

Cuando la autorización se fundamente en la existencia de un contrato entre elexportador y el importador de los datos, deberá aportarse copia del mismo,acreditándose asimismo la concurrencia de poder suficiente en sus otorgantes.

Si la autorización se pretendiera fundar en lo dispuesto en el apartado 4 delartículo 70, deberán aportarse las normas o reglas adoptadas en relación con eltratamiento de los datos en el seno del grupo, así como la documentación queacredite su carácter vinculante y su eficacia dentro del grupo. Igualmente deberáaportarse la documentación que acredite la posibilidad de que el afectado o laAgencia Española de Protección de Datos puedan exigir la responsabilidad quecorresponda en caso de perjuicio del afectado o vulneración de las normas deprotección de datos por parte de cualquier empresa importadora.

Artículo 138. Instrucción del procedimiento.1. Cuando el Director de la Agencia Española de Protección de Datos acuerde,

conforme a lo dispuesto en el artículo 86.1 de la Ley 30/1992, de 26 denoviembre, la apertura de un período de información pública, el plazo para

375


la formulación de alegaciones será de diez días a contar desde la publicaciónen el «Boletín Oficial del Estado» del anuncio previsto en dicha Ley.

2. No será posible el acceso a la información del expediente en que concu-rran las circunstancias establecidas en el artículo 37.5 de la Ley 30/1992,de 26 de noviembre.

3. Transcurrido el plazo previsto en el apartado 1, en caso de que se hubieranformulado alegaciones, se dará traslado de las mismas al solicitante de laautorización, a fin de que en el plazo de diez días alegue lo que estimeprocedente.

Artículo 139. Actos posteriores a la resolución.1. Cuando el Director de la Agencia Española de Protección de Datos resuel-

va autorizar la transferencia internacional de datos, se dará traslado de laresolución de autorización al Registro General de Protección de Datos, afin de proceder a su inscripción.

El Registro General de Protección de Datos inscribirá de oficio la autoriza-ción de transferencia internacional.

2. En todo caso, se dará traslado de la resolución de autorización o denega-ción de la autorización de la transferencia internacional de datos al Minis-terio de Justicia, al efecto de que se proceda a su notificación a la Comi-sión Europea y a los demás Estados miembros de la Unión Europea deacuerdo a lo previsto en el artículo 26.3 de la Directiva 95/46/CE.

Artículo 140. Duración del procedimiento y efectos de la falta de resolu-ción expresa.

1. El plazo máximo para dictar y notificar resolución será de tres meses, acontar desde la fecha de entrada en la Agencia Española de Protección deDatos de la solicitud.

2. Si en dicho plazo no se hubiese dictado y notificado resolución expresa, seentenderá autorizada la transferencia internacional de datos.

SECCIÓN 2.ª PROCEDIMIENTO DE SUSPENSIÓN TEMPORALDE TRANSFERENCIAS INTERNACIONALES DE DATOS

Artículo 141. Iniciación.1. En los supuestos contemplados en el artículo 69 y en el apartado 3 del

artículo 70, el Director de la Agencia Española de Protección de Datos podráacordar la suspensión temporal de una transferencia internacional de datos.

2. En tales supuestos, el Director dictará acuerdo de inicio referido a lasuspensión temporal de la transferencia. El acuerdo deberá ser motivado yfundarse en los supuestos previstos en este reglamento.

376


Artículo 142. Instrucción y resolución.1. Se dará traslado del acuerdo al exportador, a fin de que en el plazo de

quince días formule lo que a su derecho convenga.

2. Recibidas las alegaciones o cumplido el plazo señalado, el Director dictaráresolución acordando, en su caso, la suspensión temporal de la transferen-cia internacional de datos.

Artículo 143. Actos posteriores a la resolución.1. El Director de la Agencia Española de Protección de Datos dará traslado

de la reso ro General de Protección de Datos inscribirá de oficio la suspen-sión temporal de la transferencia internacional.

2. En todo caso, se dará traslado de la resolución al Ministerio de Justicia, alefecto de que se proceda a su notificación a la Comisión Europea y a losdemás Estados miembros de la Unión Europea de acuerdo a lo previsto enel artículo 26.3 de la Directiva 95/46/CE.

Artículo 144. Levantamiento de la suspensión temporal.1. La suspensión se levantará tan pronto como cesen las causas que la

hubieran justificado, mediante resolución del Director de la AgenciaEspañola de Protección de Datos, del que se dará traslado al exportador.

2. El Director de la Agencia Española de Protección de Datos dará trasladode la resolución al Registro General de Protección de Datos, a fin de que lamisma se haga constar en el Registro. El Registro General de Protección deDatos hará constar de oficio el levantamiento de la suspensión temporalde la transferencia internacional.

3. El acuerdo será notificado al exportador y al Ministerio de Justicia, alefecto de que se proceda a su notificación a la Comisión Europea y a losdemás Estados miembros de la Unión Europea de acuerdo a lo previsto enel artículo 26. 3 de la Directiva 95/46/CE.

CAPÍTULO VI. Procedimiento de inscripción de códigos tipoArtículo 145. Iniciación del procedimiento.

1. El procedimiento para la inscripción en el Registro General de Protecciónde Datos de los códigos tipo se iniciará siempre a solicitud de la entidad,órgano o asociación promotora del código tipo.

2. La solicitud, que deberá reunir los requisitos legalmente establecidos,habrá de acompañarse de los siguientes documentos:

a) Acreditación de la representación que concurra en la persona quepresente la solicitud.

b) Contenido del acuerdo, convenio o decisión por la que se aprueba, enel ámbito correspondiente el contenido del código tipo presentado.

377


c) En caso de que el código tipo proceda de un acuerdo sectorial o unadecisión de empresa certificación referida a la adopción del acuerdo ylegitimación del órgano que lo adoptó.

d) En el supuesto contemplado en la letra anterior, copia de los estatutosde la asociación, organización sectorial o entidad en cuyo marco hayasido aprobado el código.

e) En caso de códigos tipo presentados por asociaciones u organizacio-nes de carácter sectorial, documentación relativa a surepresentatividad en el sector.

f) En caso de códigos tipo basados en decisiones de empresa, descrip-ción de los tratamientos a los que se refiere el código tipo.

g) Código tipo sometido a la Agencia Española de Protección de Datos.

Artículo 146. Análisis de los aspectos sustantivos del código tipo.1. Durante los treinta días siguientes a la notificación o subsanación de los

defectos el Registro General de Protección de Datos podrá convocar a lossolicitantes, a fin de obtener aclaraciones o precisiones relativas al conteni-do sustantivo del código tipo.

2. Transcurrido el plazo señalado en el apartado anterior, el Registro Generalde Protección de Datos elaborará un informe sobre las características delproyecto de código tipo.

3. La documentación presentada y el informe del Registro serán remitidos alGabinete Jurídico, a fin de que por el mismo se informe acerca del cumpli-miento de los requisitos establecidos en el Título VII de este Reglamento.

Artículo 147. Información pública.1. Cuando el Director de la Agencia Española de Protección de Datos acuer-

de, conforme a lo dispuesto en el artículo 86.1 de la Ley 30/1992, de 26 denoviembre, la apertura de un período de información pública, el plazo pa-ra la formulación de alegaciones será de diez días a contar desde la publi-cación en el «Boletín Oficial del Estado» del anuncio previsto en dicha ley.

2. No será posible el acceso a la información del expediente en que concu-rran las circunstancias establecidas en el artículo 37.5 de la Ley 30/1992,de 26 de noviembre.

Artículo 148. Mejora del código tipo.Si durante la tramitación del procedimiento resultase necesaria la aportación de

nuevos documentos o la modificación del código tipo presentado, la Agencia Españolade Protección de Datos podrá requerir al solicitante, a fin de que en el plazo de treintadías introduzca las modificaciones que sean precisas, remitiendo el texto resultante a laAgencia Española de Protección de Datos. Se declarará la suspensión del procedimien-to en tanto el solicitante no dé cumplimiento al requerimiento.

378


Artículo 149. Trámite de audiencia.En caso de que durante el trámite previsto en el artículo 148 se hubieran

formulado alegaciones, se dará traslado de las mismas al solicitante de la autoriza-ción, a fin de que en el plazo de diez días alegue lo que estime procedente.

Artículo 150. Resolución.1. Cumplidos los términos establecidos en los artículos precedentes, el Direc-

tor de la Agencia resolverá sobre la procedencia o improcedencia de lainscripción del código tipo en el Registro General de Protección de Datos.

2. Cuando el Director de la Agencia Española de Protección de Datos resuelvaautorizar la inscripción del código tipo, se dará traslado de la resolución alRegistro General de Protección de Datos, a fin de proceder a su inscripción.


1. El plazo máximo para dictar y notificar resolución será de seis meses, acontar desde la fecha de entrada de la solicitud en la Agencia Española deProtección de Datos.

2. Si en dicho plazo no se hubiese dictado y notificado resolución expresa, elsolicitante podrá considerar estimada su solicitud.

Artículo 152. Publicación de los códigos tipo por la Agencia Española deProtección de Datos.

La Agencia Española de Protección de Datos dará publicidad al contenido delos códigos tipo inscritos en el Registro General de Protección de Datos, utilizandopara ello, con carácter preferente, medios electrónicos o telemáticos.

CAPÍTULO VII. Otros procedimientos tramitadospor la agencia española de protección de datos

SECCIÓN 1.ª PROCEDIMIENTO DE EXENCIÓN DEL DEBERDE INFORMACIÓN AL INTERESADO

Artículo 153. Iniciación del procedimiento.1. El procedimiento para obtener de la Agencia Española de Protección de

Datos la exención del deber de informar al interesado acerca del trata-miento de sus datos de carácter personal cuando resulte imposible o exijaesfuerzos desproporcionados, prevista en el apartado 5 del artículo 5 de laLey Orgánica 15/1999, de 13 de diciembre, se iniciará siempre a peticióndel responsable que pretenda obtener la aplicación de la exención.

2. En el escrito de solicitud, además de los requisitos recogidos en el art. 70de la Ley 30/1992, de 26 de noviembre, el responsable deberá:

379


a) Identificar claramente el tratamiento de datos al que pretende aplicar-se la exención del deber de informar.

b) Motivar expresamente las causas en que fundamenta la imposibilidado el carácter desproporcionado del esfuerzo que implicaría el cumpli-miento del deber de informar.

c) Exponer detalladamente las medidas compensatorias que proponerealizar en caso de exoneración del cumplimiento del deber de informar.

d) Aportar una cláusula informativa que, mediante su difusión, en lostérminos que se indiquen en la solicitud, permita compensar laexención del deber de informar.

Artículo 154. Propuesta de nuevas medidas compensatorias.1. Si la Agencia Española de Protección de Datos considerase insuficientes

las medidas compensatorias propuestas por el solicitante, podrá acordarla adopción de medidas complementarias o sustitutivas a las propuestaspor aquél en su solicitud.

2. Del acuerdo se dará traslado al solicitante, a fin de que exponga lo que asu derecho convenga en el plazo de quince días.

Artículo 155. Terminación del procedimiento.Concluidos los trámites previstos en los artículos precedentes, el Director de la

Agencia dictará resolución, concediendo o denegando la exención del deber deinformar. La resolución podrá imponer la adopción de las medidas complementa-rias a las que se refiere el artículo anterior.


1. El plazo máximo para dictar y notificar resolución en el procedimientoserá de seis meses, a contar desde la fecha de entrada en la Agencia Espa-ñola de Protección de Datos de la solicitud del responsable del fichero.

2. Si en dicho plazo no se hubiese dictado y notificado resolución expresa, elafectado podrá considerar estimada su solicitud por silencio administrati-vo positivo.

SECCIÓN 2.ª PROCEDIMIENTO PARA LA AUTORIZACIÓNDE CONSERVACIÓN DE DATOS PARA FINES HISTÓRICOS,

ESTADÍSTICOS O CIENTÍFICOS

Artículo 157. Iniciación del procedimiento.1. El procedimiento para obtener de la Agencia Española de Protección de

Datos la declaración de la concurrencia en un determinado tratamiento de

380


datos de valores históricos, científicos o estadísticos, a los efectos previstosen la Ley Orgánica 15/1999, de 13 de diciembre, y en el presente Regla-mento, se iniciará siempre a petición del responsable que pretenda obte-ner la declaración.

2. En el escrito de solicitud, el responsable deberá:

a) Identificar claramente el tratamiento de datos al que pretende aplicar-se la excepción.

b) Motivar expresamente las causas que justificarían la declaración.c) Exponer detalladamente las medidas que el responsable del fichero se

propone implantar para garantizar el derecho de los ciudadanos.3. La solicitud deberá acompañarse de cuantos documentos o pruebas sean

necesarios para justificar la existencia de los valores históricos, científicoso estadísticos que fundamentarían la declaración de la Agencia.


1. El plazo máximo para dictar y notificar resolución en el procedimientoserá de tres meses, a contar desde la fecha de entrada en la Agencia Espa-ñola de Protección de Datos de la solicitud del responsable del fichero.

2. Si en dicho plazo no se hubiese dictado y notificado resolución expresa, elafectado podrá considerar estimada su solicitud.

Disposición adicional única. Productos de software.Los productos de software destinados al tratamiento automatizado de datos

personales deberán incluir en su descripción técnica el nivel de seguridad, básico,medio o alto, que permitan alcanzar de acuerdo con lo establecido en el título VIIIde este reglamento.

Disposición final única. Aplicación supletoria.En lo no establecido en el capítulo III del título IX serán de aplicación a los

procedimientos sancionadores tramitados por la Agencia Española de Protección deDatos las disposiciones contenidas en el Reglamento del Procedimiento para elejercicio de la potestad sancionadora, aprobado por Real Decreto 1398/1993, de 4 deagosto.

MINISTERIO DE FOMENTO

980 REAL DECRETO 1762/2007, de 28 de diciembre, por el que se determinan losrequisitos relativos a la lista maestra de equipo mínimo y la lista de equipomínimo, exigidos a las aeronaves civiles dedicadas al transporte aéreo comercial ya los trabajos aéreos.

381


Las Autoridades Aeronáuticas Conjuntas (JAA), organismo asociado a laConferencia Europea de Aviación Civil (CEAC), e integrado por las Autoridadesnacionales de aviación civil de los Estados europeos firmantes de los Acuerdossobre la elaboración, aceptación y puesta en práctica de los requisitos conjuntos deaviación (Chipre 1990), acordaron el 1 de junio de 2000 los requisitos conjuntos deaviación (JAR) relativos a la lista maestra de equipo mínimo (Master MinimumEquipment List o MMEL), y la lista de equipo mínimo (Minimum Equipment List oMEL) denominados JAR MMEL/MEL.

Estos requisitos conjuntos de listas maestras y listas de equipos mínimos (JAR-MMEL/MEL) fueron incorporados al ordenamiento jurídico español mediante laOrden FOM/3538/2003, de 9 de diciembre, para su aplicación a los aviones civilesde transporte aéreo comercial, en desarrollo del Real Decreto 220/2001, de 2 demarzo, por el que se determinan los requisitos exigibles para la realización de lasoperaciones de transporte aéreo comercial por aviones civiles.

La utilización de estas listas de equipo aporta cierta flexibilidad para operaraeronaves que de otro modo quedarían forzosamente inoperantes, en ausencia delpersonal certificador que pueda analizar en que grado se ve afectada la seguridaddel vuelo con dicho defecto.

El Reglamento (CE) n.º 2042/2003 de la Comisión, de 20 de noviembre de2003, sobre el mantenimiento de la aeronavegabilidad de las aeronaves y productosaeronáuticos, componentes y equipos y sobre la aprobación de las organizaciones ypersonal que participan en dichas tareas, cuyo ámbito de aplicación abarca a casitodas las aeronaves civiles, salvo algunas excepciones expresamente determinadasen el mismo, prevé la posibilidad de que el piloto al mando de la aeronave o el per-sonal certificador autorizado pueda utilizar la lista de equipo mínimo aprobada yexigida por la autoridad competente, en caso de que surjan defectos en la aeronave.

Por lo expuesto, y tras la reciente aprobación del Real Decreto 279/2007, de 23de febrero, por el que se determinan los requisitos exigibles para la realización delas operaciones de transporte aéreo comercial por helicópteros, así como, el grandesarrollo alcanzado en el campo de los trabajos aéreos, este real decreto tiene porfinalidad de establecer los requisitos exigidos para la utilización de la lista maestrade equipo mínimo y la lista de equipo mínimo, por todas las aeronaves que realizantransporte aéreo comercial o trabajos aéreos, en aplicación de lo dispuesto en elartículo 20.4 de la Ley 48/1960, de 21 de julio, de Navegación Aérea, y al amparo dela habilitación prevista en la disposición final cuarta de la misma Ley.

Asimismo, se establece el procedimiento para la aprobación o, en su caso,aceptación, de las mencionadas listas (lista maestra de equipo mínimo MMEL y listade equipo mínimo MEL), y se incorpora la enmienda 1 adoptada por las Autorida-des Aeronáuticas Conjuntas (JAA) el 1 de agosto de 2005, en relación con los requi-sitos conjuntos de aviación antes mencionados (JAR-MMEL/MEL).

En su virtud, a propuesta de la Ministra de Fomento, con la previa aprobacióndel Ministro de Administraciones Públicas, de acuerdo con el Consejo de Estado y

382


previa deliberación del Consejo de Ministros en su reunión del día 28 de diciembrede 2007,

D I S P O N G O :

Artículo 1. Objeto y ámbito de aplicación.Este real decreto tiene por objeto la determinación de los requisitos exigibles

para la utilización, aprobación o, en su caso, aceptación de los documentos denomi-nados lista maestra de equipo mínimo (MMEL), y lista de equipo mínimo (MEL), delas aeronaves civiles dedicadas al transporte aéreo comercial y a los trabajos aéreosque operen en España.

Artículo 2. Definiciones.A los efectos de este real decreto se entenderá por:

a) Extensión del intervalo de corrección: consiste en la ampliación de laduración del Intervalo de Corrección sujeto a los condicionantesrecogidos en este real decreto.

b) Intervalo de corrección: significa una limitación en la duración deoperaciones con equipos inoperantes.

c) Lista maestra de equipo mínimo (MMEL): lista maestra establecidapara un tipo de aeronave, que determina los instrumentos, elementosdel equipo o funciones que pueden no estar en funcionamientotemporalmente manteniendo el nivel de seguridad pretendido por lascorrespondientes especificaciones de la certificación deaeronavegabilidad, debido a la redundancia del diseño de la aeronaveo a procedimientos, condiciones o limitaciones específicas de carácteroperacional o de mantenimiento, y de conformidad con los procedi-mientos aplicables para el mantenimiento de la aeronavegabilidad.

383

Glosario de términosAfectado o interesado. Persona física titular de los datos que sean objeto del

tratamiento.Ejemplo. En esta definición entraríamos todos los individuos de los que se puedenobtener datos. Debemos tener claro, que el titular de los datos no es quien los poseeen un fichero, sino el propio individuo al que corresponden esos datos.

Cancelación. Procedimiento en virtud del cual el responsable cesa en el uso de losdatos. La cancelación implicará el bloqueo de los datos, consistente en la identifi-cación y reserva de los mismos con el fin de impedir su tratamiento excepto parasu puesta a disposición de las Administraciones públicas, Jueces y Tribunales,para la atención de las posibles responsabilidades nacidas del tratamiento y sólodurante el plazo de prescripción de dichas responsabilidades. Transcurrido eseplazo deberá procederse a la supresión de los datos.Ejemplo. El ejercicio del derecho de cancelación dará lugar a que se suprimanlos datos que resulten ser inadecuados o excesivos, sin perjuicio del deber debloqueo conforme a este reglamento. Los datos de carácter personal deberán serconservados durante los plazos previstos en las disposiciones aplicables o, en sucaso, en las relaciones contractuales entre la persona o entidad responsable deltratamiento y el interesado.

Cesión o Comunicación de Datos. Tratamiento de datos que supone su revelacióna una persona distinta del interesado.Ejemplo. Se considera cesión de datos la simple comunicación, visualización oconsulta que un tercero realice, aunque sea a distancia y sin creación de unnuevo fichero o tratamiento nuevo.

Consentimiento del Interesado. Toda manifestación de voluntad, libre, inequívo-ca, específica e informada, por la que el interesado consienta el tratamiento dedatos personales que le conciernen.Ejemplo. Supone que el titular autoriza el tratamiento de sus datos. Como reglageneral, no se podrán tratar datos de carácter personal sin el consentimiento desu titular. Además, en algunos casos concretos, la Ley exige una determinadaforma de consentimiento; por ejemplo, por escrito.

Dato Disociado. Aquél que no permite la identificación de un afectado o interesado.Ejemplo. Dato que no permite identificar a nadie. Por ejemplo, los datos estadís-ticos, que no permiten identificar a las personas.

Datos de Carácter Personal. Cualquier información numérica, alfabética, gráfica,fotográfica, acústica o de cualquier otro tipo concerniente a personas físicasidentificadas o identificables.Ejemplo. Nombre, DNI, dirección, profesión, dirección de correo electrónico,datos bancarios y cualquier otro tipo de información que esté vinculada a una

384


persona física. La Ley sólo protege a las personas físicas. Las personas jurídicasno están bajo su amparo.

Datos de Carácter Personal Relacionados con la Salud. Las informacionesconcernientes a la salud pasada, presente y futura, física o mental, de un indivi-duo. En particular, se consideran datos relacionados con la salud de las personaslos referidos a su porcentaje de discapacidad y a su información genética.

Ejemplo. Los integrantes de la Historia Clínica, datos de minusvalía, prácticassexuales, etc.

Destinatario o Cesionario. La persona física o jurídica, pública o privada u órganoadministrativo, al que se revelen los datos. Podrán ser también destinatarios losentes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados.Ejemplo. La Agencia Tributaria es destinatario de los datos referentes a lossalarios y retenciones efectuadas por una empresa a sus empleados.

Encargado del Tratamiento. La persona física o jurídica, pública o privada, uórgano administrativo que, solo o conjuntamente con otros, trate datos persona-les por cuenta del responsable del tratamiento o del responsable del fichero,como consecuencia de la existencia de una relación jurídica que le vincula con elmismo y delimita el ámbito de su actuación para la prestación de un servicio.Podrán ser también encargados del tratamiento los entes sin personalidadjurídica que actúen en el tráfico como sujetos diferenciados.

Ejemplo. En ocasiones, la persona que efectúa el tratamiento de los datos no es elpropio responsable del fichero, sino un tercero al que éste contrata para que realiceuna tarea en su nombre. Este tercero no decide sobre la finalidad, el objeto y eltratamiento de los datos, sino que recibe instrucciones del responsable del ficheropara tratarlos. El ejemplo típico es la elaboración de las nóminas por una gestoría.

Exportador de Datos Personales. La persona física o jurídica, pública o privada, uórgano administrativo situado en territorio español que realice, conforme a lodispuesto en el presente Reglamento, una transferencia de datos de carácterpersonal a un país tercero.

Ejemplo. Las empresas que tienen una autorización para efectuar transferenciainternacional de datos.

Fichero. Todo conjunto organizado de datos de carácter personal, que permita elacceso a los datos con arreglo a criterios determinados, cualquiera que fuere laforma o modalidad de su creación, almacenamiento, organización y acceso.

Ejemplo. Un fichero es tanto el conjunto de fichas en papel de los pacientes queun dentista guarda por orden alfabético, como la más sofisticada base de datosde clientes de una multinacional en forma automatizada.

Ficheros de Titularidad Privada. Los ficheros de los que sean responsables laspersonas, empresas o entidades de derecho privado, con independencia de quienostente la titularidad de su capital o de la procedencia de sus recursos económi-cos, así como los ficheros de los que sean responsables las corporaciones dederecho público, en cuanto dichos ficheros no se encuentren estrictamente

385

vinculados al ejercicio de potestades de derecho público que a las mismasatribuye su normativa específica.

Ejemplo. Todos los ficheros de empresas privadas o públicas, comunidades devecinos, profesionales independientes, etc. También aquellos ficheros de entida-des públicas cuya finalidad no sea estrictamente pública (por ejemplo, el ficherode Formación de un Colegio Profesional).

Ficheros de Titularidad Pública. Los ficheros de los que sean responsables losórganos constitucionales o con relevancia constitucional del Estado o las institu-ciones autonómicas con funciones análogas a los mismos, las Administracionespúblicas territoriales, así como las entidades u organismos vinculados o depen-dientes de las mismas y las Corporaciones de derecho público siempre que sufinalidad sea el ejercicio de potestades de derecho público.

Ejemplo. Los ficheros de instituciones y organismos públicos, colegios profesio-nales, salvo que por su actividad sean considerados privados. Por ejemplo, elcenso de habitantes de un municipio.

Fichero no automatizado. Todo conjunto de datos de carácter personal organizadode forma no automatizada y estructurado conforme a criterios específicosrelativos a personas físicas, que permitan acceder sin esfuerzosdesproporcionados a sus datos personales, ya sea aquél centralizado, descentra-lizado o repartido de forma funcional o geográfica.

Ejemplo. El archivo físico de historias clínicas de un hospital o el archivo denóminas en formato papel de una empresa.

Importador de Datos Personales. La persona física o jurídica, pública o privada, uórgano administrativo receptor de los datos en caso de transferencia internacio-nal de los mismos a un tercer país, ya sea responsable del tratamiento, encargadadel tratamiento o tercero.

Ejemplo. Un call-center que realiza tratamiento de datos de un fichero declientes de una empresa de un tercer país.

Persona Identificable. Toda persona cuya identidad pueda determinarse, directa oindirectamente, mediante cualquier información referida a su identidad física,fisiológica, psíquica, económica, cultural o social. Una persona física no seconsiderará identificable si dicha identificación requiere plazos o actividadesdesproporcionados.

Ejemplo. Aquella que puede ser identificada por los datos que poseemos ennuestros ficheros. Por ejemplo, número de historia clínica, fecha de nacimiento...

Procedimiento de Disociación. Todo tratamiento de datos personales que permitala obtención de datos disociados.Ejemplo. Supone la utilización de datos sin que permita identificar a nadie. Porejemplo, la realización de estadísticas no permite identificar a las personas.

Responsable del Fichero o del Tratamiento. Persona física o jurídica, de naturale-za pública o privada, u órgano administrativo, que sólo o conjuntamente conotros decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo

Glosario de términos

386


realizase materialmente. Podrán ser también responsables del fichero o deltratamiento los entes sin personalidad jurídica que actúen en el tráfico comosujetos diferenciados.Ejemplo. El responsable de los ficheros es la empresa. La palabra clave en estadefinición es “decida”, que nos permitirá distinguirlo de la figura del “encarga-do del tratamiento”. Existen dos tipos de ficheros en función de su responsable:ficheros de titularidad pública (por ejemplo, el padrón municipal) y ficheros detitularidad privada (los mantenidos por cualquier empresa privada, por ejem-plo, fichero de personal).

Tercero. La persona física o jurídica, pública o privada u órgano administrativodistinta del afectado o interesado, del responsable del tratamiento, del responsa-ble del fichero, del encargado del tratamiento y de las personas autorizadas paratratar los datos bajo la autoridad directa del responsable del trata-miento o delencargado del tratamiento. Podrán ser también terceros los entes sin personali-dad jurídica que actúen en el tráfico como sujetos diferenciados.Ejemplo. Cualquiera que sin autorización acceda a la información.

Transferencia Internacional de Datos. Tratamiento de datos que supone unatransmisión de los mismos fuera del territorio del Espacio Económico Europeo,bien constituya una cesión o comunicación de datos, bien tenga por objeto larealización de un tratamiento de datos por cuenta del responsable del ficheroestablecido en territorio español.Ejemplo. El envío de un fichero de clientes de una organización a un país fueradel espacio económico europeo.

Tratamiento de Datos. Cualquier operación o procedimiento técnico, sea o noautomatizado, que permita la recogida, grabación, conservación, elaboración,modificación, consulta, utilización, modificación, cancelación, bloqueo o supre-sión, así como las cesiones de datos que resulten de comunicaciones, consultas,interconexiones y transferencias.Ejemplo. Encontraría cabida aquí cualquier tipo de operación con datos perso-nales: confección de nóminas, elaboración de listas de alumnos o asistentes a uncongreso, envío de mailing, etc.

Accesos Autorizados. Autorizaciones concedidas a un usuario para la utilizaciónde los diversos recursos. En su caso, incluirán las autorizaciones o funciones quetenga atribuidas un usuario por delegación del responsable del fichero o trata-miento o del responsable de seguridad.Ejemplo. El acceso que realiza la empresa de mantenimiento informático.

Autenticación . Procedimiento de comprobación de la identidad de un usuario.Ejemplo. Cualquier mecanismo o programa que permita identificar la contrase-ña de acceso, la huella dactilar, la firma electrónica, etc.

Contraseña. Información confidencial, frecuentemente constituida por una cadenade caracteres, que puede ser usada en la autenticación de un usuario o en elacceso a un recurso.

387

Glosario de términos

Ejemplo. Se ha impuesto el anglicismo “password”, pero también se puedenconsiderar contraseñas grabaciones para reconocimiento de voz, etc.

Control de Acceso. Mecanismo que en función de la identificación ya autenticadapermite acceder a datos o recursos.Ejemplo. En los ficheros de nivel alto, este control de accesos debe generar unfichero lógico de control de accesos y de denegación de accesos.

Copia de Respaldo. Copia de los datos de un fichero automatizado en un soporteque posibilite su recuperación.Ejemplo. Comúnmente llamada copia de seguridad.

Documento. Todo escrito, gráfico, sonido, imagen o cualquier otra clase de infor-mación que puede ser tratada en un sistema de información como una unidaddiferenciada.Ejemplo. Historia clínica, una carta, una grabación de videovigilancia, etc.

Ficheros Temporales. Ficheros de trabajo creados por usuarios o procesos que sonnecesarios para un tratamiento ocasional o como paso intermedio durante larealización de un tratamiento.Ejemplo. Un fichero temporal extraído de un fichero de personal para el análisisde las remuneraciones salariales del próximo ejercicio.

Identificación. Procedimiento de reconocimiento de la identidad de un usuario.Incidencia. Cualquier anomalía que afecte o pudiera afectar a la seguridad de los datos.

Ejemplo. La pérdida de información tanto por rotura de equipos informáticoscomo el extravío de documentación en formato papel.

Perfil de Usuario. Accesos autorizados a un grupo de usuarios.Ejemplo. Es el conjunto de permisos de acceso a la información contenida en unfichero que se otorgan a un usuario.

Recurso. Cualquier parte componente de un sistema de información. Desde unaaplicación informática a una conexión remota.

Responsable de Seguridad. La persona o personas a las que el responsable delfichero ha asignado formalmente la función de coordinar y controlar las medidasde seguridad aplicables.Ejemplo. Es la persona interna de la compañía, designada por el responsable delfichero, encargada de controlar y coordinar las medidas de seguridad que se hayanimplementado en la compañía. No tiene responsabilidad de cara al exterior.

Sistema de Información. Conjunto de ficheros, tratamientos, programas, soportes yen su caso, equipos empleados para el tratamiento de datos de carácter personal.

Ejemplo. Es el conjunto de recursos que una organización utiliza para el trata-miento de los ficheros de información.

Sistema de Tratamiento. Modo en que se organiza o utiliza un sistema de informa-ción. Atendiendo al sistema de tratamiento, los sistemas de información podránser automatizados, no automatizados o parcialmente automatizados.

388


Ejemplo. Sistemas informáticos, sistemas de grabación de videovigilancia, archivos, etc.Soporte. Objeto físico que almacena o contiene datos o documentos, u objeto

susceptible de ser tratado en un sistema de información y sobre el cual se pue-den grabar y recuperar datos.

Ejemplo. CD, DVD, Pen-Drive, disquetes, papel, etc.Transmisión de documentos: Cualquier traslado, comunicación, envío, entrega o

divulgación de la información contenida en el mismo.

Ejemplo. Correo electrónico, correo postal, página web, etc.Usuario. Sujeto o proceso autorizado para acceder a datos o recursos. Tendrán la

consideración de usuarios los procesos que permitan acceder a datos o recursossin identificación de un usuario físico.

Ejemplo. No confundir usuario con empleado. Usuario es cualquiera que estéautorizado al acceso a la información, aunque la vinculación con la organizaciónno sea laboral.

Fuentes Accesibles al Público. Son aquellos ficheros cuya consulta puede serrealizada por cualquier persona, no impedida por una norma limitativa o sinmás exigencia que, en su caso, el abono de una contraprestación.

Ejemplo. Exclusivamente son el censo promocional, las guías de servicios decomunicaciones electrónicas (guías de teléfonos), listas de colegios profesionales,diarios y boletines oficiales y los medios de comunicación social.

Derechos ARCO. Son los derechos de acceso, rectificación, cancelación y oposición.

ACRÓNIMOSAEPD. Agencia Española de Protección de Datos: www.agpd.es.APDCAT. Agencia Catalana de Protección de Datos (Agéncia Catalana de

Protecció de Dades): www.apdcat.net.APDCM. Agencia de Protección de Datos de la Comunidad de Madrid:

www.madrid.org.AVPD. Agencia Vasca de Protección de Datos (Datuak Babesteko Euskal

Bulegoa): www.avpd.euskadi.net.LOPD. Ley 15/1999, de 13 de diciembre, de Protección de Datos de Carácter

Personal.LORTAD. Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento

Automatizado de los Datos de Carácter Personal.NOTA. Programa de notificación de ficheros al RGPD: Notificaciones

Telemáticas a la Agencia.RGPD. Registro General de Protección de Datos.RLOPD. Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el

Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciem-bre, de Protección de Datos de Carácter Personal.

Libro Lopd V2 Alta

Technology

Transcript of Libro Lopd V2 Alta