Lopd - Psicologia 2

Manual Práctico de adecuación a la LOPD para psicólogos

Protección de Datos Versión 20/04/2007 Colegio Oficial de Psicólogos de Madrid

PRINCIPALES OBLIGACIONES DE LOS PROFESIONALES EN PROTECCIÓN DE DATOS

INSCRIPCIÓN DE FICHEROS

RECOGER Y TRATAR ADECUADAMENTE LOS DATOS

INFORMAR Y FACILITAR EL EJERCICIO DE SUS DERECHOS A LOS USUARIOS

ELABORAR DOCUMENTO DE SEGURIDAD

GARANTIZAR TODOS ESTOS ASPECTOS FRENTE A TERCEROS



Principales obligaciones de los profesionales en materia de protección de datos

Inscripción de los ficheros de datos personales en el Registro General de la Agencia Española de Protección de Datos (en adelante AEPD)

Pueden crearse ficheros que contengan datos de carácter personal cuando resulte necesario para el logro de una actividad legítima de la empresa y se respeten las garantías que establece la Ley. Se debe notificar el fichero a la AEPD antes de la recogida de los datos. Se refiere tanto a ficheros integrados en sistemas informáticos, como a ficheros manuales que puedan estar archivados en armarios, cajones o estanterías, siempre que los datos se encuentren estructurados (organizados), por algún criterio que permita acceder con facilidad a los datos de una persona. No se trata de comunicar a la AEPD los datos, sino de informar del tipo de datos que se manejan, por ejemplo “nombre”, “dirección postal”, “dirección correo electrónico” de los pacientes atendidos en consulta. Por tanto, el primer paso es identificar los ficheros que se manejan para después determinar el nivel de seguridad aplicable. En un centro psicológico, podrían existir ficheros del tipo:

“Historia clínica”, con los datos de los pacientes, que al contener datos de salud, tendría un nivel de seguridad alto, y habría que aplicarle las medidas de seguridad correspondientes.

Fichero: Conjunto organizado de datos de

carácter personal, cualquiera que fuere la

forma o modalidad de su creación,

almacenamiento, organización o acceso.

Datos de carácter personal: Cualquier

información concerniente a una persona física

siempre que ésta esté identificada o pueda

llegar a estarlo. No se reduce sólo a los datos íntimos de la persona

sino a cualquier tipo de dato personal que

combinado o por sí mismo, permita conocer a una persona concreta.



“Personal contratado”, que también exigiría un nivel de seguridad alto, si contiene datos relativos a la salud, discapacidad, afiliación sindical de los trabajadores, etc. (Actualmente es así pero se prevé que cambie con el próximo reglamento de seguridad)

“Gestión de citas” sería un fichero de nivel de seguridad básico al contener datos como nombre, dirección, teléfono, para organizar las citas.

Estos son tan sólo algunos ejemplos de posibles ficheros. En cada caso se deberán analizar los datos que se recogen para hacer un inventario de los ficheros utilizados y su nivel de seguridad (ver tabla de niveles de seguridad).

Cuando se habla de fichero en el ámbito de la protección de datos, se habla de “todo conjunto estructurado de datos, accesibles con arreglo a criterios determinados, ya sea centralizados, descentralizado o repartido de forma funcional o geográfica”, por tanto un fichero manual dividido en diferentes carpetas, por ejemplo, la Historia clínica del paciente, sería un único fichero, incluso si se almacena en dos habitaciones diferentes.

Igualmente, se puede tener en una base de datos del ordenador dos ficheros diferentes, que estén en una misma base de datos no implica que sea un mismo fichero. Lo que determina que sea un fichero es el responsable del fichero y la finalidad del mismo. Por ejemplo podemos tener la historia clínica en la misma base de datos que los datos para gestionar la cita, pero serán dos ficheros diferentes, con diferentes medidas de seguridad.

EJEMPLOS DE ESTRUCTURA DE FICHEROS

FICHERO “HISTORIA CLÍNICA”

Nombre: HISTORIA CLÍNICA

Descripción del fichero: Documentos que contienen datos, valoraciones e informaciones sobre la situación y la evolución clínica del paciente.

Finalidad del fichero: FACILITAR LA ATENCIÓN PSICOLÓGICA, REGISTRO DE DATOS SOBRE EL ESTADO DE SALUD MENTAL

Medidas de Seguridad: Alto.

Tipo de datos que se incluirán:

IDENTIFICATIVOS (DNI, Nombre y apellidos, Dirección, teléfono, etc.)

CARACTERÍSTICAS PERSONALES (Estado civil, fecha nacimiento, lugar nacimiento, datos de la familia, nacionalidad, sexo, edad, etc)

CIRCUNSTANCIAS SOCIALES (Aficiones, estilo de vida, características vivienda, licencias.

ACADÉMICOS PROFESIONALES (Formación, titulaciones, Historial estudiante, etc.)

EMPLEO (Profesión, Historial del trabajador).

ECONOMICO- FINANCIEROS (ingresos, rentas).



OTROS DATOS ESPECIALMENTE PROTEGIDOS(salud, vida sexual).

Carácter informatizado o manual estructurado del fichero:

Este fichero se puede tener tanto MANUAL ESTRUCTURADO (archivo en carpetas), como INFORMATIZADO, si se gestiona también en algún programa de ordenador. En ambos casos es obligatorio inscribirlos en la AEPD. (Para los archivos manuales estructurados creados con anterioridad al 14/01/00, se amplió el plazo de inscripción hasta el 24/10/2007).

Éste es tan sólo un ejemplo de posible fichero, en cada caso se deberán analizar los datos que se recogen para hacer un inventario de los ficheros utilizados y su nivel de seguridad.

Una vez identificados los posibles ficheros, el siguiente paso es notificar a la Agencia Española de Protección de Datos la creación del fichero (es un trámite gratuito), para ello hay que rellenar los impresos de declaración de ficheros. Indicando el responsable del fichero, la finalidad, su ubicación, el tipo de datos de carácter personal que contiene, las medidas de seguridad, y las cesiones de datos que se prevean realizar y, en su caso, las transferencias de datos que prevean a países terceros. Para ello se puede utilizar el formulario que facilita la AEPD en su página Web y entregarlo en la Agencia Española de Protección de datos en formato electrónico, (disquete) o utilizarse un impreso en soporte papel, si se dispone de certificado digital de firma electrónica se puede enviar directamente a través de Internet, en caso de no disponer de certificado se puede enviar de igual manera por Internet, pero se deberá enviar de forma convencional, (fax o correo postal) la hoja de solicitud debidamente firmada por el titular del centro / consulta. Si en algún momento se modifican el tipo de datos que se va a pedir a los usuarios, la finalidad del fichero, su responsable o la dirección se deberá comunicar a la AEPD, es importante tener en cuenta que la modificación del tipo de datos que se solicitan puede implicar un cambio del nivel de seguridad a aplicar al fichero. También deberá comunicar la cancelación de los datos cuando dejen de ser necesarios o pertinentes para la finalidad para la que se solicitaron.

Existe un modelo tipo de formulario de inscripción para el fichero de Historia Clínica, que con alguna modificación puede utilizarse. En el apartado tipo solicitud de inscripción del formulario electrónico de notificación de ficheros, al marcar la opción de “alta” aparecerá un apartado de “modelo de declaración”, si marcamos la opción “tipo” nos mostrará el modelo tipo “pacientes”, que se puede adaptar fácilmente a las necesidades de un profesional de la psicología.

Obtención Formulario electrónico de notificación de ficheros privados

Instrucciones para cumplimentar el Formulario

Recoger y tratar adecuadamente los datos

Para cumplir con el principio de información en la recogida de datos que rige en cualquier tratamiento de datos personales, hay que informar a las personas que nos facilitan sus datos personales de determinados aspectos antes de prestar su consentimiento, estos aspectos son los siguientes:

El nombre del fichero en el que se van a incluir sus datos.

La identidad y dirección del responsable del fichero.

La finalidad de la recogida de datos.

El destinatario.



Carácter obligatorio voluntario de su respuesta.

Las consecuencias de la obtención de los datos o de su negativa a suministrarlos.

La posibilidad de ejercitar sus derechos de acceso, rectificación o supresión de la información.

Si se solicitan datos de carácter personal a través de un página Web, se debe incluir en los formularios de datos un texto informando de lo anteriormente expuesto.

Los formularios, o cualquier otro elemento o procedimiento que se utilice para la recogida de datos personales, deberán adecuarse al principio de calidad de los datos es decir no deberán contemplar datos excesivos o no necesarios para el fin que se persigue. La fase de recogida de la información y los restantes tratamientos deberán cumplir además con el resto de los principios de protección de datos (, consentimiento, seguridad de los datos, deber de secreto, comunicación de datos y acceso a datos por cuenta de terceros) Si la información no se recoge a través de formularios deberá disponerse de carteles informativos en un lugar visible, y si es a través de conversación telefónica hay que informar de estos aspectos al principio de la conversación.

Esta información debe prestarse al interesado incluso en el caso de no ser necesario la prestación del consentimiento por producirse alguna de las excepciones previstas por la Ley (como pueden ser los datos recogidos de fuentes accesibles al público como guías telefónicas o listas de profesionales colegiados, o los datos recogidos por existir una relación laboral o administrativa o para proteger un interés vital) Modelo de texto a incluir en formularios de petición de datos

Informar sobre la posibilidad de ejercitar los derechos de acceso, rectificación y cancelación de los datos

Facilitando a las personas que lo soliciten la posibilidad de ejercerlo así como la dirección dónde hacerlo, de forma totalmente gratuita y en unos plazos determinados. Estos derechos sólo pueden ser ejercidos por el titular de los datos, acreditando debidamente su identidad, a excepción de menores o incapaces.

Derecho de acceso: El interesado tiene derecho a solicitar gratuitamente información sobre los datos de carácter personal que están siendo sometidos a tratamiento, el origen de los datos, las comunicaciones que se han hecho. Este derecho sólo puede ejercitarse una vez al año, salvo que se acredite un interés legítimo. Se debe resolver la petición en un mes. Si pasado el mes no se ha resuelto, el silencio en negativo. De ser positiva en 10 días deberá informar en la forma elegida por el interesado. La información se puede facilitar mediante la mera consulta de los datos por medio de su visualización, o la indicación de los datos que son objeto de tratamiento mediante escrito, copia, telecopia o fotocopia, certificada o no, en forma legible e inteligible, sin utilizar claves o códigos que requieran el uso de dispositivos mecánicos específicos. Es conveniente conservar una copia de la información mostrada.

El derecho de acceso a que se refiere este artículo sólo podrá ser ejercitado a intervalos no inferiores a doce meses, salvo que el interesado acredite un interés legítimo al efecto, en cuyo caso podrá ejercitarlo antes.

Derecho de rectificación: El interesado puede solicitar que se rectifiquen sus datos, por ser erróneos o incompletos. El plazo para rectificar los datos es de 10 días, el silencio se entiende negativo de la solicitud, aunque se hayan rectificado los datos. Modelo derecho rectificación



Derecho de cancelación: Cuando el titular de los datos tiene conocimiento de que los datos tratados en un fichero no se ajustan a la LOPD, puede solicitar la cancelación de los mismos. La cancelación da lugar al bloqueo de los datos, deberá realizarse en un plazo de 10 días Modelo derecho cancelación

Derecho de oposición: En los casos comentados anteriormente, en que no es necesario el consentimiento del interesado para el tratamiento de los datos, y siempre que una Ley no disponga lo contrario, éste podrá oponerse al tratamiento, si existen motivos legítimos y fundados Modelo derecho oposición

Derecho de Indemnización: Es el derecho a que se le indemnice económicamente cuando a consecuencia del incumplimiento de la Ley sufra daños o lesión en sus bienes o derechos.

Se deberá disponer de impresos para facilitar a los usuarios el ejercicio de sus derechos, si se solicitan datos desde una página Web, es recomendable incluir también los formularios.

Si se deniega el ejercicio de estos derechos, el usuario podrá recabar la tutela de la Agencia de Protección de Datos formulando la correspondiente reclamación en la forma prescrita por el artículo 17 del Real Decreto 1332/94, de 20 de junio por el que se desarrollan algunos preceptos de la Ley Orgánica 15/1999(LOPD). Dicha Ley determina como infracción leve, “no atender, por motivos formales la solicitud del interesado de rectificación o cancelación de los datos personales objeto de tratamiento cuando legalmente proceda” con unas sanciones de 601.01€ a 60.101,21€. “El impedimento o la obstaculación del ejercicio de los derechos de acceso y oposición y la negativa a facilitar la información solicitada” se considerá una infracción grave y hacerlo de forma sistemática muy grave, con unas sanciones de 60.101,21€ a 300.506,05 y de 300.506.05 a 601.012,10€ respectivamente.

Elaborar e implantar un documento de seguridad

En el que se recojan las medidas de seguridad adoptadas en función del nivel de seguridad correspondiente. La LOPD, determina tres niveles de medidas de seguridad: BASICO, MEDIO y ALTO, las cuales han de ser adoptados en función del grado de sensibilidad de los distintos tipos de datos que manejemos. (Ver cuadro de niveles de seguridad) El documento de seguridad es de obligado cumplimiento y deberá mantenerse actualizado y adecuarse a la normativa vigente cada momento.

En un documento de seguridad se debe incluir:

Ámbito de aplicación.

Medidas, normas, procedimientos encaminados a garantizar los niveles de seguridad.

Funciones y obligaciones del personal.

Estructura de los ficheros con datos de carácter personal, incluyendo una descripción del sistema de información.

Procedimiento de notificación y gestión de incidencias.

Procedimiento de realización de copias de respaldo.



Hay que adoptar las medidas tanto técnicas como de organización para garantizar la seguridad de los datos, tanto para los ficheros informáticos como los manuales. Respecto a los ficheros informáticos, en la tabla de niveles de seguridad aparecen las medidas de seguridad que hay que tomar según el nivel de seguridad del fichero y en cuanto a los ficheros manuales se pueden adoptar medidas de seguridad básicas como las siguientes:

Romper cualquier papel que contenga datos personales antes de tirarlo a la papelera.

Establecer procedimientos para desechar papel, garantizando la confidencialidad de los datos.

No dejar expedientes en una mesa cuando se va a producir una ausencia del puesto de trabajo, guardándolo por ejemplo en un cajón.

La Historia clínica del paciente, como ya se ha comentado tiene datos de un nivel de seguridad alto, la Agencia de Protección de Datos de la Comunidad de Madrid, recomienda, entre otras, las siguientes medidas para la custodia, archivo y seguridad de los datos de carácter personal de las historias clínicas no informatizadas:

Las medidas de seguridad del centro deberán garantizar la confidencialidad de los datos contenidos en el fichero y evitar accesos no autorizados, controlando quien está utilizando la historia desde la salida del fichero hasta su devolución, estableciendo por ejemplo un registro de entrada / salida de historias clínicas. Estas medidas se documentaran por escrito y se darán a conocer al personal.

El profesional que realiza el diagnóstico o el tratamiento tiene que tener acceso a la historia clínica entera, como instrumento para su adecuada asistencia, pero el personal de administración y gestión del centro sólo tendrá que acceder a los datos de la historia clínica relacionadas con sus propias funciones, como cita previa, funciones contables, control proveedores, etc. Se recomienda archivar por separado la documentación que forma parte de la historia clínica, de toda la documentación administrativa.

Controlar a las personas ajenas a la empresa como personal de limpieza o mantenimiento, que deberán acceder en horarios de trabajo del centro.

Estas son sólo algunas de las recomendaciones, para ampliar información sobre historias clínicas o sociales puede consultar la página Web de la Agencia de Protección de Datos de la Comunidad de Madrid www.madrid.org/apdcm.

El Real Decreto 994/1999 establece las medidas de índole técnica y organizativas necesarias para garantizar la seguridad de los ficheros automatizados. En la tabla aparecen las medidas de seguridad que hay que tomar según los niveles de seguridad. Los niveles se establecen atendiendo a la naturaleza de la información tratada, en relación con la mayor o menor necesidad de garantizar la confidencialidad y la integridad de los ficheros. Cada uno de los niveles tiene la condición de mínimos exigibles, y cada nivel incluye las medidas del nivel anterior.

Niveles de Seguridad

NIVEL BASICO NIVEL MEDIO NIVEL ALTO



Cualquier ficheros que contenga Datos Identificativos, como el nombre, apellidos, DNI Características personales como el estado civil o la edad, Circunstancias sociales como el tipo de vivienda, o si ha cumplido el servicio militar. Académicos y profesionales. Empleo, Información comercial, Un ejemplo podría ser un fichero de “gestión de citas” con nombre, dirección, teléfono para organizar las citas, fichero “proveedores” con nombre, dirección , NIF, datos información comercial, económicos

Los datos de nivel básico si permiten establecer, un perfil de la persona, de solvencia patrimonial, de hacienda pública, infracciones.

Ficheros con datos especialmente protegidos, como idcreencias, salud, religión, origen racial, afiliación sindicasexual como un Fichero con la historia clínica o sofichero de personal que puede contener datos de afsindical o salud.

Medidas a aplicar:

- Elaborar documento de seguridad con las medidas de seguridad que se van a adoptar.

- Llevar un registro de incidencias (por ejemplo del Robo de ordenador con datos personales)

- Identificación y autenticación de la persona que maneja los datos estableciendo algún método para saber quién accede a los datos, (contraseñas, establecer perfiles de usuarios, para saber a que datos puede acceder cada miembro del personal. ,

- Control acceso lógico Hay que controlar quién accede y cuándo a los datos en el ordenador

- Gestión de soportes Hay que controlar que disquetes, CDS, pen drive, etc. con datos salen o entran de las instalaciones

- Copias de respaldo y recuperación (copias de seguridad)

- Determinar e informar de las funciones y obligaciones del personal

Medidas a aplicar: Además de las básicas, se añaden:

- Determinar un Responsable de Seguridad que coordinará y contro-lará las medidas de seguridad

- Control de acceso físico al espacio de almacenamiento de los datos, (guardar bajo llave las historias clínicas) para que sólo pueda acceder el personal autorizado

-Auditorias al menos cada dos años (se recomienda que sean externas)

-No realizar pruebas con datos reales, a no ser que aseguré el nivel de seguridad.

Medidas a aplicar: A las anteriores, se añade:

- Llevar un registro de accesos lógicos, de quién accuándo a los datos Los sistemas operativos actuales geeste tipo de tareas.

- Cifrado de mensajes en telecomunicaciones como elelectrónico y en soportes, consiste en transformar un men otro, utilizando una clave para impedir que el mtransformado pueda ser interpretado por aquellodesconocen la clave

Identificación y autenticación: Reconocimiento y comprobación de la identidad del usuario

Control acceso lógico: Mecanismo que en función de la identificación ya autenticada permite acceder a los datos

Soportes: Objeto físico susceptible de ser tratado en un sistema de información (programa, equipos) y sobre el cual se puede grabar o recuperar datos.

MEDIDAS DE SEGURIDAD EXIGIBLES NIVEL BÁSICO

NIVEL MEDIO

NIVEL ALTO

DOCUMENTO DE SEGURIDAD x x x



RESPONSABLE SEGURIDAD x x

FUNCIONES Y OBLIGACIONES PERSONAL x x x

REGISTRO INCIDENCIAS x x x

IDENTIFICACIÓN Y AUTENTICACIÓN x x x

CONTROL ACCESO LÓGICO x x x

CONTROL ACCESO FÍSICO x x

GESTIÓN DE SOPORTES x x x

COPIAS DE RESPALDO Y RECUPERACIÓN x x x

AUDITORÍA PERIÓDICA x x

PRUEBAS CON DATOS REALES x x

DISTRIBUCIÓN DE SOPORTES x

REGISTRO DE ACCESO x

CIFRADO EN TELECOMUNCIACIONES x

Resumen de las Medidas de Seguridad por niveles- Manual de Protección de Datos para las Administraciones Públicas. Comunidad de Madrid. Agencia de Protección de Datos, 2003

A continuación se desarrollan algunas de las medidas de seguridad.

Registro de incidencias

Habrá que elaborar procedimientos para gestionar las posibles incidencias que puedan surgir e informar al personal para dejar perfectamente determinado los pasos a seguir y así evitar indefiniciones e improvisaciones a la hora de responder a una incidencia. Una incidencia puede ser:



Cualquier incidencia de seguridad que afecte directa o indirectamente al fichero.

Cualquier episodio que tenga como consecuencia la necesidad de recuperación de los datos a partir de las copias de seguridad.

Las incidencias detectadas deberán quedar registradas en el documento de seguridad, indicando:

Tipo de incidencia.

Fecha en que se produce la incidencia.

Usuario que realiza la notificación y personal que la recibe.

Efectos derivados.

Procedimientos utilizados para la recuperación de datos.

Personal que realiza la recuperación de los datos.

Datos restaurados.

Autorización del responsable del fichero.

Identificación y autenticación

Se trata de elaborar y mantener actualizada una relación de usuarios con acceso autorizado a los datos y los procedimientos de identificación y autenticación para controlar dicho acceso.

Cuando el mecanismo de autenticación se base en la existencia de contraseñas deberá existir un procedimiento para asignarlas, distribuirlas y almacenarlas de forma que quede garantizada su confidencialidad e integridad.

Las contraseñas se cambiaran con una periodicidad determinada que se establecerá en el documento de seguridad.

Cuando los datos son de nivel medio y alto el responsable del fichero debe establecer un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado.

Se limitará la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de información. (Limitando el número de intentos al introducir la contraseña, en caso de fallo después de estos intentos, el usuario quedará suspendido hasta que intervenga un administrador y lo deje operativo.

Control de accesos

Los usuarios tienen que tener acceso autorizado únicamente para los datos y recursos que necesiten para desarrollar sus funciones, no por su nivel o categoría dentro de la empresa. Así mismo cuando un usuario varía de función, o de departamento variará el acceso que tendrá a los datos. Si un usuario deja la empresa, su permiso de acceso deberá ser automáticamente eliminado, o al menos bloqueado.



Exclusivamente el personal autorizado para ello en el documento de seguridad podrá conceder, alterar o anular el acceso autorizado sobre los datos y recursos, conforme a los criterios establecidos por el responsable del fichero

El responsable del fichero establecerá mecanismos para evitar que el usuario pueda acceder a datos o recursos con derechos distintos a los autorizados.

Se deberán realizar funciones de control, revisando si los perfiles asignados siguen teniendo vigencia, para detectar cambios, traslados o bajas producidas y no comunicadas.

Gestión de soportes

Los soportes informáticos que contengan datos de carácter personal deberán permitir identificar el tipo de información que contienen, ser inventariados y almacenarse en un lugar con acceso restringido al personal autorizado para ello en el documento de seguridad.

La salida de soportes informáticos que contengan datos de carácter personal, fuera de los locales en los que esté ubicado el fichero, únicamente podrá ser autorizada por el responsable del fichero.

En los datos de nivel medio y alto deberá establecerse un sistema de registro de entrada de soportes informáticos que permita, directa o indirectamente, conocer

el tipo de soporte

la fecha y hora de entrada / salida del soporte

el emisor

el número de soportes

el tipo de información que contienen

la forma de envío

la persona responsable de la recepción que deberá estar debidamente autorizada en el documento de seguridad

Si un soporte va a ser desechado o reutilizado, se adoptarán las medidas necesarias para impedir cualquier recuperación posterior de la información almacenada en él, previamente a que se proceda a su baja en el inventario.

Cuando los soportes vayan a salir fuera de los locales en que se encuentren ubicados los ficheros como consecuencia de operaciones de mantenimiento, se adoptarán las medidas necesarias para impedir cualquier recuperación indebida de la información almacenada en ellos.

Distribución de soportes

La distribución de soportes que contengan datos de carácter personal de nivel alto, se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que dicha información no sea inteligible ni manipulada durante el trasporte.



Copias de respaldo y recuperación

El responsable del fichero se encargará de verificar la definición y correcta aplicación de los procedimientos de realización de copias de respaldo y de recuperación de los datos. Los procedimientos establecidos para la realización de copias de respaldo y para la recuperación de los datos deberán garantizar su reconstrucción en el que se encontraban al tiempo de producirse la pérdida o destrucción.

Deberán realizarse copias de respaldo al menos semanalmente, salvo que en dicho período no se hubiera producido ninguna actualización de los datos.

En los datos de nivel medio y alto deberá conservarse una copia de respaldo y de los procedimientos d recuperación de los datos en un lugar diferente de aquél en que se encuentren los equipos informáticos que los tratan.

Registro de accesos

En los datos de nivel alto, de cada acceso se guardarán, como mínimo, la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado.

En el caso de que el acceso haya sido autorizado, será preciso guardar la información que permita identificar el registro accedido.

Los mecanismos que permiten el registro de los datos estarán bajo el control directo del responsable de seguridad competente, sin que se deber permitir, en ningún caso, la desactivación de los mismos.

El periodo mínimo de conservación de los datos registrados será de dos años

El responsable de seguridad se encargará de revisar periódicamente la información de control registrada y elaborará un informe de las revisiones realizadas y los problemas detectados al menos una vez al mes.

En la página Web de la Agencia Española de Protección de Datos www.agpd.es, puede encontrar modelos de guías para documentos de seguridad según el nivel de seguridad.

Garantizar todos estos aspectos cuando el tratamiento de los datos sea realizado por un tercero por cuenta nuestra (SUBCONTRATACIÓN DE SERVICIOS)

Redactando y aplicando cláusulas específicas sobre protección de datos en los contratos Modelo cláusula . Por ejemplo cuando se contrata una empresa para que realice un servicio por cuenta nuestra, como tramitar los envíos de correspondencia, o se contrata una empresa que tramite las nóminas de los trabajadores. El Encargado del tratamiento es responsable si se incumplen las estipulaciones del contrato y responderá de las infracciones en que incurra. En dichos casos hay que asegurarse de que harán un tratamiento adecuado de los datos personales.

La Ley estable una serie de obligaciones mínimas que se deben incluir en la cláusula:

Tratar los datos personales únicamente conforme las instrucciones del responsable.



Cumplir las normas de seguridad, que de acuerdo a la normativa vigente, el responsable del fichero y el encargado del tratamiento están obligados a implantar.

Destruir los datos personales una vez cumplido el objeto del contrato o en su caso devolverlos al responsable, así como cualquier soporte o documento en que conste algún dato de carácter personal.

Prohibición de utilizar los datos para una finalidad diferente a la del contrato.

Prohibición de comunicar estos datos a terceros, ni siquiera para su conservación.

Para evitar una serie de encargos en cadena, sólo el responsable del fichero podrá encargar a un tercero el tratamiento de datos. (En la actualidad es así pero se prevé que cambie con el próximo reglamento de seguridad)

Hay que diferenciar entre COMUNICACIÓN DE DATOS (CESIÓN DE DATOS) artículo 11 LOPD y ACCESO A DATOS POR CUENTA DE TERCEROS (ENCARGADO DE TRATAMIENTO) artículo 12 LOPD. En la cesión de datos hay que contar con el consentimiento previo de la persona que facilita los datos para poder comunicar los datos a un tercero, siempre con fines directamente relacionadas con las funciones legítimas del cedente y del cesionario. Dicho consentimiento es revocable. Cuando un tercero presta un servicio al Responsable del Fichero es, conforme a la definición contenida en la Ley un encargado de tratamiento, y no se trata de una cesión de datos sino de un acceso a datos por cuenta de terceros, en el que no se precisa el consentimiento previo de la persona que facilita los datos, pero dichos servicios deberán estar regulados por un contrato por escrito o en alguna forma que permita acreditar su celebración y contenido y adecuarse a las obligaciones mínimas que establece la ley.

Plazos adecuación a la LOPD

En cuanto a los plazos para adecuarse a la LOPD, todos los ficheros de datos de carácter personal, automatizados o no, creados después de la entrada en vigor de la LOPD, deberán adecuarse a la normativa desde el 14/01/00. Para los datos que existían antes, el plazo para adecuarse se amplió hasta el 14/01/03 en el caso de los ficheros automatizados, y hasta el 24/10/07 en el caso de los ficheros manuales. Siempre se deberá facilitar el derecho de acceso, rectificación y cancelación por parte de las personas cuyos datos están incluidos en los ficheros manuales aún no estando registrados en la AEPD

Lopd - Psicologia 2

Documents

Transcript of Lopd - Psicologia 2