Glosario
Protección de datos
La LOPD tiene por objeto garantizar y proteger, lo concerniente al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor, intimidad y privacidad personal y familiar.
Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables.
Todo conjunto organizado de datos de carácter personal que permita el acceso a los datos cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso. (Ejemplo: ficheros informatizados o manuales).
Es cualquier operación o procedimiento técnico, sea o no automatizado, que permita la recogida, grabación, conservación, elaboración, modificación, consulta, utilización, cancelación, bloqueo o supresión, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.
Persona física titular de los datos que sean objeto de tratamiento. Es decir, el cliente, empleado, proveedor, candidato a formar parte de la empresa, paciente, etc., cuyos datos estén siendo tratados por la empresa. Es el auténtico propietario de la información recogida en los ficheros.
Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento. Es decir, la propia empresa será la responsable de los ficheros que contienen datos relativos a sus empleados, proveedores, clientes, etc.
La relación entre el responsable del fichero y el encargado del tratamiento debe formalizarse a través de un contrato por escrito.
Cualquier persona o entidad que preste algún tipo de servicio que implique el tratamiento de los datos de carácter personal por cuenta del responsable del fichero, incluyendo entre otros las asesorías contables, asesorías laborales, a las empresas de marketing, etc.
Es la persona que realiza el tratamiento de los datos recopilados en un fichero en diferentes momentos de un tratamiento de datos, ya sea mediante herramientas específicas (por ejemplo, aplicaciones informáticas), o accediendo a los mismos en ficheros de papel.
Están obligados a cumplir la LOPD toda persona, empresa o entidad (tanto pública como privada) que en el ejercicio de su actividad tenga que utilizar datos de carácter personal (Ej: datos de clientes, proveedores, empleados, pacientes, alumnos, etc.). Entidades públicas y Entidades privadas.
Niveles de seguridad
Datos personales:
DNI/NIF; número de la Seguridad Social/Mutualidad; nombre y apellidos; dirección y teléfono, firma/huella; imagen/voz; datos académicos y profesionales, datos de salud, que se refieran exclusivamente al grado o condición.
Nivel medio
Datos relativos a la comisión de infracciones administrativas, o penales.
Prestación de servicios de solvencia patrimonial y de crédito.
Datos relativos a servicios financieros, hacienda pública, datos económicos, etc
Datos de mutuas de accidentes de trabajo y enfermedades, profesionales de la Seguridad Social, etc.
Nivel alto
Datos relativos a la ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual.
Datos recabados con fines policiales, sin consentimiento de las personas afectadas.
Derivadas de actos de violencia de género.
Ficheros de los que sean responsables los operadores que presten servicios de comunicaciones electrónicas disponibles al público o exploten redes de comunicaciones electrónicas.
Datos relativos a la comisión de infracciones administrativas, o penales.
Prestación de servicios de solvencia patrimonial y de crédito.
Datos relativos a servicios financieros, hacienda pública, datos económicos, etc.
Datos de mutuas de accidentes de trabajo y enfermedades, profesionales de la Seguridad Social, etc.
Datos relativos a la ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual.
Datos recabados con fines policiales, sin consentimiento de las personas afectadas.
Derivadas de actos de violencia de género.
Ficheros de los que sean responsables los operadores que presten servicios de comunicaciones electrónicas disponibles al público o exploten redes de comunicaciones electrónicas.
Creación, modificación o supresión de los ficheros públicos
Los ficheros de titularidad Pública deben hacerse por medio de la publicación de una disposición de carácter general, publicada en el BOE o el Diario Oficial que corresponda. Esta disposición o acuerdo deberá dictarse y publicarse con carácter previo a la creación, modificación o supresión del fichero.
Estructura básica del fichero
Comunicaciones de datos previstas
Transferencias internacionales
Órganos responsables del fichero
Niveles de seguridad exigibles
Identificación del fichero o tratamiento
Origen de los datos
Notificaciones de la agencia
EL sistema NOTA, es el medio por el cual se permitirá a los responsables de ficheros con datos de carácter personal tanto de titularidad privada como pública, cumplir con la obligación de notificar sus ficheros a la Agencia Española de Protección de Datos.
El formulario interactivo NOTA en formato .pdf permite la presentación de notificaciones a través de Internet con y sin certificado de firma electrónica, en soporte papel y en formato xml.
Telemática
Con el certificado electrónico
(Presentación a través de Internet con certificado de firma reconocido.)
Sin certificado electrónico
(A través de Internet sin certificado de firma electrónica reconocido).
En formato papel
Notificaciones simplificadas
En formato XML
Con el certificado electrónico
Sin certificado electrónico
¿Qué es el formato XML?
Este formato está previsto para los responsables de ficheros que quieran cumplir con sus obligaciones mediante sus propias aplicaciones informáticas, así como para aquellos desarrolladores de programas de protección de datos que quieran ofrecer a sus clientes la posibilidad de notificar sus ficheros.
¿Quiénes están obligados a notificar la creación, modificación o supresión de ficheros al RGPD?
Todas aquellas personas físicas o jurídicas, de naturaleza pública o privada, u órgano administrativo, que procedan a la creación de los ficheros que contengan datos de carácter personal.
¿Qué ocurre si no se notifica la existencia de un fichero?
En este caso podría incurrir en falta leve o grave, tal y como se señala en el artículo 44 de la Ley Orgánica 15/1999, quedando sujeto al régimen sancionador previsto en la Ley.
¿Qué operaciones acerca de un fichero se notifican a RGPD?
Debe comunicar a la AGPD, si va a crear un fichero o va a realizar un nuevo tratamiento de datos, cualquier modificación que afecte al contenido de la inscripción realizada en el RGPD, por supuesto también debe comunicarse a la AGPD la supresión del fichero por parte del responsable, para que se proceda al a cancelación de la inscripción.
La Agencia Española de Protección de Datos
Es un ente de derecho público con personalidad jurídica propia y plena capacidad pública y privada que actúa con independencia de la Administración pública en el ejercicio de sus funciones. Vela por el cumplimiento de la legislación de protección de datos por parte de los responsables de los ficheros (entidades públicas, empresas privadas, asociaciones, etc.).
En relación a los afectados
Ayuda al ciudadano a ejercitar sus derechos
Atiende las peticiones y reclamaciones formuladas
Vela por la publicidad de la existencia de los ficheros
En relación a quienes tratan datos
Ayuda a los responsables y encargados de tratamiento a cumplir las obligaciones que establece la LOPD y a resolver sus dudas.
Garantiza el derecho a la protección de datos investigando aquellas actuaciones de los responsables o encargados del tratamiento de ficheros que puedan ser contrarias a la LOPD, bien de oficio, o por denuncia de particular.
Impone las correspondientes sanciones.
En la elaboración de las normas
Informa sobre el contenido, los principios y las garantías del derecho fundamental a la protección de datos regulado por la LOPD.
Dicta instrucciones precisas para adecuar los tratamientos a la LOPD e instrucciones sobre las condiciones de seguridad de los ficheros con fines estadísticos.
En materia de telecomunicaciones
Tutela los derechos y garantías de los abonados y usuarios en el ámbito de las comunicaciones electrónicas.
Otras funciones
Vela por la publicidad en los tratamientos
Cooperación Internacional
Representación y observancia de los dispuesto en la Ley Reguladora de la Función Estadística Pública.
Tipos de ficheros
Para proceder a la recogida de datos de carácter personal de nuestros clientes, proveedores o de cualquier otra persona necesitamos obtener el consentimiento del interesado.
Conjunto organizado de datos de carácter personal que permita acceder a la información relativa a una persona física determinada utilizando procedimientos de búsqueda automatizados, es decir, aquellos en los que la información se almacena en soportes informáticos.
Fichero cuyo soporte físico permite la lectura y escritura directa, sin necesidad de utilizar un dispositivo electrónico intermediario. Se incluyen, los datos contenidos en soporte papel u otro material imprimible.
Son aquellos de los que son responsables las personas, empresas o entidades de derecho privado, independientemente de quién aporte el capital o los recursos económicos.
Son aquellos de los que son responsables los órganos constitucionales o con relevancia constitucional del estado, las instituciones autonómicas con funciones análogas a los mismos, las administraciones públicas territoriales, corporaciones de derecho público siempre que su finalidad sea el ejercicio de potestades de derecho público.
Son ficheros de trabajo creados por usuarios o procesos que son necesarios para un tratamiento ocasional, o como paso intermedio durante la realización de un tratamiento. Una vez se han utilizado deben ser borrados o destruidos.
Fichero de violencia doméstica y de género. Finalidad
Mejorar la eficacia en la protección de víctimas de violencia de género.
Facilitar el seguimiento de las circunstancias de riesgo que concurren en ellas y alertar de su evolución.
Datos personales de la Historia Clínica del paciente
Los centros sanitarios tienen la obligación de conservar la documentación clínica durante 5 años.
El personal de gestión y administración de los centros sanitarios sólo puede acceder a los datos de la historia clínica relacionados con sus propias funciones. El personal queda sujeto al deber de secreto.
Todo profesional que interviene en la actividad asistencial está obligado al cumplimiento de los deberes de información y documentación clínica, y al respeto de las decisiones adoptadas libre y voluntariamente por el paciente.
Los pacientes tienen derecho a conocer toda la información disponible sobre su historial clínico y a que se respete el carácter confidencial e incluso a negarse al tratamiento de sus datos, salvo en los casos establecidos por la Ley. Toda actuación en el ámbito de la salud de un paciente necesita el consentimiento libre y voluntarios del afectado.
Infracciones y sanciones en el RGPD
Son infracciones leves:
a) No remitir a la Agencia Española de Protección de Datos las notificaciones previstas en esta Ley o en sus disposiciones de desarrollo.
b) No solicitar la inscripción del fichero de datos de carácter personal en el Registro General de Protección de Datos.
c) El incumplimiento del deber de información al afectado acerca del tratamiento de sus datos de carácter personal cuando los datos sean recabados del propio interesado.
d) La transmisión de los datos a un encargado del tratamiento sin dar cumplimiento a los deberes formales establecidos en el artículo 12 de esta Ley.
Registro de incidencias: Entre 900 a 40.000 euros
Control de acceso: Al año
Criterios de archivo: Al año
Son infracciones graves:
a) Proceder a la creación de ficheros de titularidad pública o iniciar la recogida de datos de carácter personal para los mismos, sin autorización de disposición general, publicada en el “Boletín Oficial del Estado” o diario oficial correspondiente.
b) Tratar datos de carácter personal sin recabar el consentimiento de las personas afectadas, cuando el mismo sea necesario conforme a lo dispuesto en esta Ley y sus disposiciones de desarrollo.
c) Tratar datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en el artículo 4 de la presente Ley y las disposiciones que lo desarrollan, salvo cuando sea constitutivo de infracción muy grave.
d) La vulneración del deber de guardar secreto acerca del tratamiento de los datos de carácter personal al que se refiere el artículo 10 de la presente Ley.
Registro de incidencias: Entre 40.001 a 300.000 euros
Control de acceso: A los 2 años
Criterios de archivo: A los 2 años
Son infracciones muy graves:
a) La recogida de datos en forma engañosa o fraudulenta.
b) Tratar o ceder los datos de carácter personal a los que se refieren los apartados 2, 3 y 5 del artículo 7 de esta Ley salvo en los supuestos en que la misma lo autoriza o violentar la prohibición contenida en el apartado 4 del artículo 7.
c) No cesar en el tratamiento ilícito de datos de carácter personal cuando existiese un previo requerimiento del Director de la Agencia Española de Protección de Datos para ello.
d) La transferencia de datos de carácter personal con destino a países que no proporcionen un nivel de protección equiparable sin autorización del Director de la Agencia Española de Protección de Datos salvo en los supuestos en los que conforme a esta Ley y sus disposiciones de desarrollo dicha autorización no resulta necesaria.
Registro de incidencias: Entre 300.000 a 600.000 euros
Control de acceso: A los 3 años
Criterios de archivo: A los 3 años
El documento de seguridad
El documento de seguridad es un documento privado pero de acceso público en el que señalan las políticas de seguridad que se van a seguir por quienes tratan datos, es decir, recogerá las medidas de índole técnica y organizativa, que será de obligado cumplimiento para el personal con acceso a los datos.
Medidas, normas, procedimientos y reglas de seguridad exigidos
Algunas de las medidas más importantes que tendrán que reflejar en su documento de seguridad:
Identificación y autentificación.
Control de acceso.
Registro de incidencias.
Gestión de soportes y documentos.
Criterios de archivo.
Almacenamiento de información.
Copias de seguridad.
Traslado de documentación.
Ficheros tratados fuera de los locales de la empresa.
Funciones y obligaciones del personal.
Procedimiento general de información al personal
En el documento de seguridad deberemos indicar, cuál es el procedimiento por el que se informará a cada persona con acceso a los datos, de las normas que deben cumplir y de las consecuencias de no hacerlo. Ej: circulares, recordatorios, nuevas normas, etc. (Circular interna…).
Funciones y obligaciones de carácter personal
Las funciones y obligaciones de cada uno de los usuarios o perfiles de usuarios con acceso al os datos de carácter personal y a los sistemas de información estarán claramente definidas.
Procedimiento de notificación, gestión y respuesta ante las incidencias
Especificar los procedimientos de notificación y gestión de incidencias.
Procedimientos de revisión
Especificar los procedimientos previstos para la modificación del documento de seguridad, con especificación concreta de las personas que pueden o deben proponerlos aprobarlos.
Consecuencias del incumplimiento del documento de seguridad
Indicar la normativa sancionadora aplicable, ante el incumplimiento de las obligaciones y medidas de seguridad establecidas en el presente documento.
Auditoría
En el caso de ser una externa deberá realizarse contrato con la persona que realice el procedimiento de auditoría.
Consiste en la verificación de las Medidas de Seguridad del RD 1720/2007
Es obligatoria en ficheros de nivel Medio y Alto
Se puede realizar de forma interna o externa
Será opcional en los ficheros de nivel básico
Debe realizarse cada dos años.
Excepciones a los derechos de acceso, rectificación y cancelación
Excepciones:
Los ficheros que contengan los datos a que se refiere los apartados 2.3 y 4 del art. 22 RGPD podrán denegar el acceso, rectificación o cancelación en función:
De los peligros que pudieran derivarse para la defensa del Estado o la Seguridad Pública.
De la protección de los derechos y libertades de 3º
De las necesidades de las investigaciones que se estén realizando.
Los responsables de la Hacienda pública podrán denegar el ejercicio de los derechos Arco cuando:
Obstaculice las actuaciones administrativas tendentes a asegurar el cumplimiento de las obligaciones tributarias.
Cuando el afectado esté siendo objeto de actuaciones inspectoras.
El afectado al que se deniegue, total o parcialmente el ejercicio de sus derechos pondrá ponerlo en conocimiento:
Del director de la Agpd
Organismo competente de cada Comunidad Autónoma.
Estos órganos deberán asegurarse de la procedencia o improcedencia de la denegación.
Otras excepciones a los derechos de los afectados se recogen en los artículos 21 y 24 de RGPD.
