ÁMBITO DE APLICACIÓN - ACCID

1

©Logic Data Consulting, S.L. Reservados todos los derechos

ASPECTOS BASPECTOS BÁÁSICOS SOBRE LA SICOS SOBRE LA PROTECCIPROTECCIÓÓN DE DATOS DE N DE DATOS DE

CARCARÁÁCTER PERSONALCTER PERSONAL( Ley Org( Ley Orgáánica 15/1999, de 13nica 15/1999, de 13 de Diciembre )de Diciembre )


nn Afecta a todos los empresarios y Afecta a todos los empresarios y profesionales, asprofesionales, asíí como a las entidades en como a las entidades en general que, en el MARCO DE SUS general que, en el MARCO DE SUS ACTIVIDADES, TRATEN datos de carACTIVIDADES, TRATEN datos de caráácter cter personal en territorio espapersonal en territorio españñol.ol.

nn NO SERNO SERÁÁ DE APLICACIDE APLICACIÓÓN a los ficheros de N a los ficheros de actividades exclusivamente personales y / o actividades exclusivamente personales y / o domdoméésticas.sticas.

ÁMBITO DE APLICACIÓN

2


nn Es un ente de derecho pEs un ente de derecho púúblico, con blico, con personalidad jurpersonalidad juríídica propia y plena dica propia y plena capacidad pcapacidad púública y privada, que blica y privada, que actactúúa con PLENA INDEPENDENCIA de a con PLENA INDEPENDENCIA de las Administraciones Plas Administraciones Púúblicas en el blicas en el ejercicio de sus funciones.ejercicio de sus funciones.

-- El Director de la AEPDEl Director de la AEPD-- El Registro General de ProtecciEl Registro General de Proteccióón n de Datosde Datos

-- El El óórgano de Inspeccirgano de Inspeccióónn

LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS


nn GARANTIZAR y PROTEGER en lo que GARANTIZAR y PROTEGER en lo que concierne al TRATAMIENTO de los concierne al TRATAMIENTO de los datos personales, las libertades datos personales, las libertades ppúúblicas y los derechos blicas y los derechos fundamentales de las PERSONAS fundamentales de las PERSONAS FFÍÍSICAS, y especialmente de su SICAS, y especialmente de su HONOR e INTIMIDAD personal y HONOR e INTIMIDAD personal y familiar.familiar.

OBJETO DE LA L.O.P.D.

3


nn Cualquier informaciCualquier informacióón (numn (numéérica, rica, alfabalfabéética, grtica, grááfica, fotogrfica, fotográáfica, fica, acacúústica o de cualquier stica o de cualquier otro tipo) otro tipo) concerniente a personas fconcerniente a personas fíísicas, sicas, identificadas o identificables.identificadas o identificables.

¿ QUÉ SON DATOS DE CARÁCTER PERSONAL ?


nn SSóólo podrlo podráán recogerse cuando n recogerse cuando sean ADECUADOS, PERTINENTES y NO sean ADECUADOS, PERTINENTES y NO EXCESIVOS en relaciEXCESIVOS en relacióón con el n con el áámbito y las FINALIDADES mbito y las FINALIDADES determinadas, expldeterminadas, explíícitas y legcitas y legíítimas timas para las que se hayan obtenido.para las que se hayan obtenido.

nn AdemAdemáás, los datos sers, los datos seráán exactos y n exactos y puestos al dpuestos al díía. a.

CALIDAD DE LOS DATOS

4


nn Todo CONJUNTO ORGANIZADO DE DATOS Todo CONJUNTO ORGANIZADO DE DATOS PERSONALES, cualquiera que fuere la PERSONALES, cualquiera que fuere la forma o modalidad de su creaciforma o modalidad de su creacióón, n, almacenamiento, organizacialmacenamiento, organizacióón o acceso.n o acceso.

nn PodrPodráán CREARSE FICHEROS cuando n CREARSE FICHEROS cuando resulte necesario para el logro de la resulte necesario para el logro de la actividad u objeto legactividad u objeto legíítimos de la persona, timos de la persona, empresa o entidad titular.empresa o entidad titular.

nn Quien pretenda crear un fichero con datos Quien pretenda crear un fichero con datos de carde caráácter personal, lo NOTIFICARcter personal, lo NOTIFICARÁÁpreviamente a la Agencia Espapreviamente a la Agencia Españñola de ola de ProtecciProteccióón de Datos.n de Datos.

¿ QUÉ ES UN FICHERO ?


nn Cualquier persona fCualquier persona fíísica o jursica o juríídica dica que DECIDA sobre la FINALIDAD, que DECIDA sobre la FINALIDAD, CONTENIDO y USO DEL CONTENIDO y USO DEL TRATAMIENTO.TRATAMIENTO.

¿ QUIÉN ES EL RESPONSABLE DEL FICHERO ?

5


nn SSíí, de modo expreso, preciso e inequ, de modo expreso, preciso e inequíívoco voco de:de:

1)1) La existencia de un fichero, de la finalidad La existencia de un fichero, de la finalidad de la recogida de estos datos y de los de la recogida de estos datos y de los destinatarios de la informacidestinatarios de la informacióón.n.

2)2) El carEl caráácter obligatorio o voluntario de su cter obligatorio o voluntario de su respuesta.respuesta.

3)3) Las consecuencias de su negativa a Las consecuencias de su negativa a suministrarlos.suministrarlos.

4)4) La posibilidad de ejercitar sus derechos.La posibilidad de ejercitar sus derechos.5)5) La identidad y direcciLa identidad y direccióón del responsable n del responsable

del fichero.del fichero.

¿ DEBEMOS INFORMAR A LOS INTERESADOS DE LA RECOGIDA DE DATOS ?


§§ Para poder TRATAR los datos de carPara poder TRATAR los datos de caráácter personal es cter personal es NECESARIO el CONSENTIMIENTO INEQUNECESARIO el CONSENTIMIENTO INEQUÍÍVOCO del VOCO del afectado, SALVO que la Ley diga otra cosa.afectado, SALVO que la Ley diga otra cosa.

§§ NO SERNO SERÁÁ NECESARIO EL CONSENTIMIENTO en los NECESARIO EL CONSENTIMIENTO en los siguientes casos:siguientes casos:

1)1) Cuando se refieran a las partes de un contrato o Cuando se refieran a las partes de un contrato o precontrato de una relaciprecontrato de una relacióón, laboral o n, laboral o administrativa y sean necesarios para su administrativa y sean necesarios para su mantenimiento o cumplimiento.mantenimiento o cumplimiento.

2)2) Cuando los datos figuren en fuentes accesibles al Cuando los datos figuren en fuentes accesibles al ppúúblico.blico.

EL CONSENTIMIENTO DEL AFECTADO

6


nn La ideologLa ideologíía , afiliacia , afiliacióón sindical, n sindical, religireligióón y creencias, necesitan el n y creencias, necesitan el consentimiento EXPRESO y por consentimiento EXPRESO y por ESCRITO del afectado.ESCRITO del afectado.

nn El origen racial, la salud y vida El origen racial, la salud y vida sexual, sersexual, seráá suficiente con el suficiente con el consentimiento EXPRESO.consentimiento EXPRESO.

DATOS ESPECIALMENTE PROTEGIDOS


§§ Los datos de carLos datos de caráácter personal Scter personal SÓÓLO LO podrpodráán ser COMUNICADOS a un tercero n ser COMUNICADOS a un tercero con el PREVIO CONSENTIMIENTO del con el PREVIO CONSENTIMIENTO del interesado.interesado.

§§ SSóólo se podrlo se podráán realizar transferencias n realizar transferencias internacionales de datos a painternacionales de datos a paííses que ses que proporcionan un nivel de protecciproporcionan un nivel de proteccióón n equiparable al que presta la L.O.P.D., equiparable al que presta la L.O.P.D., salvo que se obtenga la autorizacisalvo que se obtenga la autorizacióón n previa de la A.E.P.D.previa de la A.E.P.D.

COMUNICACIÓN O CESIÓN DE DATOS

7


¿ PODEMOS CEDER LOS DATOS A QUIEN NOS PRESTE UN SERVICIO ?

•• La respuesta es SLa respuesta es SÍÍ, cuando el acceso de un , cuando el acceso de un tercero a los datos sea necesario para tercero a los datos sea necesario para prestar un servicio al responsable del ficheroprestar un servicio al responsable del fichero

•• Esta relaciEsta relacióón debern deberáá estar regulada en un estar regulada en un CONTRATO que deberCONTRATO que deberáá constar por escrito, constar por escrito, o en alguna otra forma acreditada, donde se o en alguna otra forma acreditada, donde se detallen los deberes y obligaciones de las detallen los deberes y obligaciones de las dos partes en cuanto a la proteccidos partes en cuanto a la proteccióón de datosn de datos


nn El responsable del fichero estEl responsable del fichero estáá obligado obligado a facilitar el ejercicio por el titular de los a facilitar el ejercicio por el titular de los datos de los siguientes derechos:datos de los siguientes derechos:

-- Derecho de accesoDerecho de acceso-- Derecho de rectificaciDerecho de rectificacióónn-- Derecho de cancelaciDerecho de cancelacióónn-- Derecho de oposiciDerecho de oposicióónn

DERECHOS DE LAS PERSONAS

8


nn InscripciInscripcióón de Ficherosn de Ficherosnn LegitimaciLegitimacióón de Datosn de Datosnn Documento de seguridadDocumento de seguridadnn Deber de secretoDeber de secreto

ØØ Todo el personal de la empresa que Todo el personal de la empresa que trate datos de cartrate datos de caráácter personal (por lo cter personal (por lo general sergeneral seráá toda la plantilla) esttoda la plantilla) estáán n OBLIGADOS AL SECRETO PROFESIONAL OBLIGADOS AL SECRETO PROFESIONAL respecto a los mismos y al deber de respecto a los mismos y al deber de guardarlos, obligaciones que subsistirguardarlos, obligaciones que subsistiráán n aaúún despun despuéés de finalizar sus relaciones s de finalizar sus relaciones con la empresa.con la empresa.

OBLIGACIONES


nn LevesLeves-- SanciSancióón: 601,01 A 60.101,21 EUROS n: 601,01 A 60.101,21 EUROS (100.000 A 10.000.000 PTAS.)(100.000 A 10.000.000 PTAS.)

PrescripciPrescripcióón: 1 An: 1 AÑÑO O ØØNo atender, por motivos formales, la solicitud del No atender, por motivos formales, la solicitud del

interesado de rectificaciinteresado de rectificacióón o cancelacin o cancelacióón de sus n de sus datos.datos.ØØNo proporcionar la informaciNo proporcionar la informacióón que solicite la n que solicite la

A.E.P.D. en el ejercicio de las competencias que A.E.P.D. en el ejercicio de las competencias que tiene atribuidas.tiene atribuidas.ØØNo notificar los ficheros a la A.E.P.D.No notificar los ficheros a la A.E.P.D.ØØ Incumplir el deber de informaciIncumplir el deber de informacióón cuando los n cuando los

datos hayan sido recabados de su titular.datos hayan sido recabados de su titular.ØØ Incumplir el deber de secreto.Incumplir el deber de secreto.

INFRACCIONES Y SANCIONES

9


nn Graves Graves -- SanciSancióón: 60.101,21 A 300.506,05 EUROS n: 60.101,21 A 300.506,05 EUROS (10.000.000 A 50.000.000 PTAS.)(10.000.000 A 50.000.000 PTAS.)

PrescripciPrescripcióón: 2 An: 2 AÑÑOS OS

ØØCreaciCreacióón de ficheros o recogida de datos con n de ficheros o recogida de datos con finalidades ilegfinalidades ilegíítimas teniendo en cuenta el objeto de timas teniendo en cuenta el objeto de la empresa o entidad.la empresa o entidad.ØØRecabar datos sin consentimiento del titular cuando Recabar datos sin consentimiento del titular cuando

ééste sea necesario.ste sea necesario.ØØ Impedir el ejercicio del derecho de acceso.Impedir el ejercicio del derecho de acceso.ØØNo adoptar las medidas de seguridad.No adoptar las medidas de seguridad.ØØNo inscribir el fichero cuando la entidad haya sido No inscribir el fichero cuando la entidad haya sido

requerida por la A.E.P.D. para ello.requerida por la A.E.P.D. para ello.



nn Muy gravesMuy graves-- SanciSancióón: 300.506,05 A 601.012,1n: 300.506,05 A 601.012,1EUROS (50.000.000 A EUROS (50.000.000 A 100.000.000 PTAS.)100.000.000 PTAS.)

PrescripciPrescripcióón: 3 An: 3 AÑÑOS OS

ØØRecabar datos de manera engaRecabar datos de manera engaññosa y osa y fraudulenta.fraudulenta.ØØCeder datos fuera de los casos permitidos.Ceder datos fuera de los casos permitidos.ØØRealizar una transferencia internacional de datos Realizar una transferencia internacional de datos

sin la autorizacisin la autorizacióón previa de la A.E.P.D. cuando n previa de la A.E.P.D. cuando éésta fuera necesaria.sta fuera necesaria.


10


1.1. LegalizaciLegalizacióón de los ficheros.n de los ficheros.2.2. LegitimaciLegitimacióón de los datos n de los datos

personales.personales.3.3. ProtecciProteccióón de los ficheros.n de los ficheros.

OBLIGACIONES PRINCIPALES


ASPECTOS BASPECTOS BÁÁSICOS DEL REGLAMENTO SICOS DEL REGLAMENTO DE MEDIDAS DE SEGURIDADDE MEDIDAS DE SEGURIDAD

( Real Decret( Real Decretoo 994/1999, de994/1999, de 11 de J11 de Junio unio ))

11


OBJETOBJETOO

Medidas tMedidas téécnicas y organizativas paracnicas y organizativas para§§Garantizar la seguridad de los datos Garantizar la seguridad de los datos personales.personales.§§ Evitar la alteraciEvitar la alteracióón, pn, péérdida, rdida, tratamiento o acceso no autorizado.tratamiento o acceso no autorizado.

REGLAMENTO DE MEDIDAS DE SEGURIDAD


ÁÁMBITO DE APLICACIMBITO DE APLICACIÓÓNN

§§ Ficheros automatizados.Ficheros automatizados.§§ Centros de tratamiento, locales, Centros de tratamiento, locales,

equipos, sistemas y programas.equipos, sistemas y programas.§§ Personas que intervengan en el Personas que intervengan en el

tratamiento automatizado de los tratamiento automatizado de los datos de cardatos de caráácter personal.cter personal.

REGLAMENTO DE MEDIDAS DE SEGURIDAD

12


CLASIFICACICLASIFICACIÓÓN DE LAS MEDIDAS N DE LAS MEDIDAS DE SEGURIDADDE SEGURIDAD

nn El El Reglamento establece TRES Reglamento establece TRES medidas de seguridad, atendiendo a medidas de seguridad, atendiendo a la naturaleza de la informacila naturaleza de la informacióón n tratada tratada

nn Niveles de seguridad:Niveles de seguridad:-- Nivel BNivel Báásico.sico.-- Nivel Medio.Nivel Medio.-- Nivel Alto.Nivel Alto.

MEDIDAS DE SEGURIDAD. CLASIFICACIÓN.


MEDIDAS DE NIVEL BMEDIDAS DE NIVEL BÁÁSICOSICO

Son de aplicaciSon de aplicacióón a todos los ficheros n a todos los ficheros que contengan datos de carque contengan datos de caráácter cter personal.personal.


13


MEDIDAS DE NIVEL MEDIOMEDIDAS DE NIVEL MEDIO

§§ Datos relativos a la comisiDatos relativos a la comisióón de n de infracciones penales y administrativas.infracciones penales y administrativas.§§ Datos de Hacienda PDatos de Hacienda Púública.blica.§§ Datos de Servicios Financieros.Datos de Servicios Financieros.§§ Datos de informaciDatos de informacióón sobre solvencia n sobre solvencia

patrimonial y crpatrimonial y créédito.dito.§§ Datos que permitan obtener una Datos que permitan obtener una

evaluacievaluacióón de la personalidad del n de la personalidad del individuo.individuo.



MEDIDAS DE NIVEL ALTOMEDIDAS DE NIVEL ALTO

§§ IdeologIdeologíía a §§ CreenciasCreencias§§ AfiliaciAfiliacióón sindical n sindical §§ SaludSalud§§ Origen racialOrigen racial§§ Vida sexualVida sexual§§ ReligiReligióónn


14


IMPLANTACIIMPLANTACIÓÓN DE LAS MEDIDAS DE N DE LAS MEDIDAS DE SEGURIDAD DE NIVEL BSEGURIDAD DE NIVEL BÁÁSICOSICO

ØØElaboraciElaboracióón de un documento de n de un documento de seguridad que recogerseguridad que recogeráá las medidas las medidas de seguridad adoptadas.de seguridad adoptadas.

MEDIDAS DE SEGURIDAD. NIVEL BÁSICO.


nn ¿¿ QuiQuiéén lo debe hacer n lo debe hacer ?? El El Responsable del Fichero.Responsable del Fichero.

nn ¿¿ CuCuáándo lo debe hacer ndo lo debe hacer ? ? Previamente a la inclusiPreviamente a la inclusióón de los n de los datos en el fichero.datos en el fichero.


15


nn No se debe enviar a la A.E.P.D.; se No se debe enviar a la A.E.P.D.; se tendrtendráá disponible por si hay una disponible por si hay una inspecciinspeccióón.n.

nn Es un manual de instruccionesEs un manual de instrucciones que que deberdeberáá estar siempre ACTUALIZADO estar siempre ACTUALIZADO Y REVISADO.Y REVISADO.



CONTENIDO MCONTENIDO MÍÍNIMO DEL DOCUMENTO NIMO DEL DOCUMENTO DE SEGURIDADDE SEGURIDAD::

§§ ÁÁmbito de aplicacimbito de aplicacióón. Detallando los n. Detallando los recursos protegidos.recursos protegidos.§§ Medidas, normas, procedimientos, reglas Medidas, normas, procedimientos, reglas

y esty estáándares encaminados a garantizar el ndares encaminados a garantizar el nivel de seguridad exigido en el nivel de seguridad exigido en el Reglamento de Medidas de Seguridad.Reglamento de Medidas de Seguridad.§§ Funciones y obligaciones del personal.Funciones y obligaciones del personal.


16


§§ Estructura de los ficheros con datos Estructura de los ficheros con datos de carde caráácter personal y descripcicter personal y descripcióón n de los sistemas de informacide los sistemas de informacióón.n.§§ Procedimiento de notificaciProcedimiento de notificacióón, n,

gestigestióón y respuesta ante incidencias.n y respuesta ante incidencias.§§ Los procedimientos de realizaciLos procedimientos de realizacióón de n de

copias de seguridad y de copias de seguridad y de recuperacirecuperacióón de los datos. n de los datos.



IMPLANTACIIMPLANTACIÓÓN DE LAS MEDIDAS DE N DE LAS MEDIDAS DE SEGURIDAD DE NIVEL MEDIOSEGURIDAD DE NIVEL MEDIO

Todas las medidas de nivel bTodas las medidas de nivel báásico, msico, máás:s:

§§ Designar a uno o varios responsables de Designar a uno o varios responsables de seguridad.seguridad.

§§ Realizar una auditoria de protecciRealizar una auditoria de proteccióón de n de datos, interna o externa, cada dos adatos, interna o externa, cada dos añños.os.

§§ Limitar el acceso reiterado no autorizado.Limitar el acceso reiterado no autorizado.§§ Llevar una serie de registros.Llevar una serie de registros.

MEDIDAS DE SEGURIDAD. NIVEL MEDIO.

17


IMPLANTACIIMPLANTACIÓÓN DE LAS MEDIDAS DE N DE LAS MEDIDAS DE SEGURIDAD DE NIVEL ALTOSEGURIDAD DE NIVEL ALTOTodas las medidas de nivel bTodas las medidas de nivel báásico y nivel sico y nivel medio, mmedio, máás:s:

nn DistribuciDistribucióón de soportes: Encriptacin de soportes: Encriptacióón.n.nn EnvEnvíío de datos personales por Internet: o de datos personales por Internet:

EncriptaciEncriptacióón.n.nn Registro de accesos.Registro de accesos.nn Copias de seguridad: Se deben guardar en Copias de seguridad: Se deben guardar en

un lugar diferente de donde estun lugar diferente de donde estéén ubicados n ubicados los sistemas de informacilos sistemas de informacióón.n.

MEDIDAS DE SEGURIDAD. NIVEL ALTO.


nn Sistemas de informaciSistemas de informacióón creados a partir del n creados a partir del 26 de junio de 1999 (entrada en vigor del 26 de junio de 1999 (entrada en vigor del Reglamento): Es de aplicaciReglamento): Es de aplicacióón directa.n directa.

nn Sistemas de informaciSistemas de informacióón que se n que se encontraban en funcionamiento encontraban en funcionamiento anteriormente a la entrada en vigor del anteriormente a la entrada en vigor del reglamento:reglamento:

-- BBáásico: 26 de Marzo 2.000sico: 26 de Marzo 2.000-- MedioMedio: 26 : 26 de Junio de 2.000de Junio de 2.000-- Alto: 26 de junio de 2.002 (resoluciAlto: 26 de junio de 2.002 (resolucióón n

de 22 Junio de 22 Junio de 2.001)de 2.001)

PLAZOS

18


nn EXCEPCIEXCEPCIÓÓNN: Todos aquellos : Todos aquellos ssistemasistemas de informacide informacióón antiguos y n antiguos y en funcionamiento y que en funcionamiento y que tecnoltecnolóógicamente no permitan la gicamente no permitan la implantaciimplantacióón de las medidas: 3 n de las medidas: 3 aañños desde la entrada en vigor del os desde la entrada en vigor del Reglamento (26 de Junio de 2.002).Reglamento (26 de Junio de 2.002).

PLAZOS


La La infracciinfraccióón del Reglamento, en n del Reglamento, en cualquiera de sus requerimientos, se cualquiera de sus requerimientos, se tipifica como una falta GRAVE, tipifica como una falta GRAVE, susceptible de ser sancionada con susceptible de ser sancionada con una multa de 60.101,21 a una multa de 60.101,21 a 300.506,05 Euros (10 a 50 millones 300.506,05 Euros (10 a 50 millones de pesetas.)de pesetas.)


ÁMBITO DE APLICACIÓN - ACCID

Documents

Transcript of ÁMBITO DE APLICACIÓN - ACCID