Embed Size (px)
Citation preview
¿Qué es la Ley Orgánica de Protección de Datos?
La LOPD, Ley Orgánica de Protección de Datos de Carácter Personal 15/1999, es una ley de obligado cumplimiento para todas las empresas. Su incumplimiento puede acarrear duras sanciones por parte de la Agencia Española de Protección de Datos que van desde los 900€ hasta los 600.000€.
De acuerdo con la Ley, son datos de carácter personal cualquier información concerniente a personas físicas identificadas o identificables, es decir, toda información que aporte datos sobre una persona física concreta o bien que a través de dicha información se pueda llegar a identificar.
Hoy en día, cualquier empresa cuenta con este tipo de datos de carácter personal, ya sean datos de clientes o incluso datos de los propios empleados como por ejemplo en las nóminas. Debido al gran desconomiento sobre esta ley, solo un mínimo porcentaje de las empresas españolas cumple con la LOPD pero recordemos, el desconocimiento de la ley no exime de su cumplimiento.
Todas las empresas deben por tanto cumplir con una serie de factores técnicos y organizativos para garantizar la seguridad de dichos datos y que, en resumen, son los siguientes:
Legalizar todos los ficheros automatizados en la Agencia Española de Protección de Datos.
Legitimar todos los datos que sean almacenados en dichos ficheros.
Garantizar la protección de dichos ficheros, adoptando las medidas de seguridad oportunas, además de crear y mantener el Documento de Seguridad Homologado.
No todos los ficheros son iguales, diferenciandose en tres niveles: Nivel Básico, Nivel Medio y Nivel Avanzado. Estos niveles dependerán del tipo de datos a almacenar y contemplan distintas actuaciones a la hora de adaptar su empresa a la LOPD.
LEGISLACION
A continuación le ofrecemos los últimos documentos publicados por la Agencia Española de Protección de Datos y el Mnisterio de Industria Turismo y Comercio en los que se recoge la legislacion vigente referente tanto a la Ley Orgánica de Protección de Datos de Carácter
Personal como a la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico.
Ley Orgánica de Protección de Datos de Carácter Personal
Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal
Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.
Ley 2/2011, de 4 de marzo, de Economía Sostenible Nota informativa: A partir de su publicación en el B.O.E., el 5 de marzo de 2011, entra en vigor la Ley de Economía Sostenible, la cual incluye modificaciones a la Ley Orgánica 15/1999 de 13 de diciembre, de Protección de Datos de Carácter Personal en su Disposición final quincuagésima sexta. (Versión completa B.O.E.)
Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico
Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico
Aviso JurídicoLos documentos que se ofrecen en estas páginas están destinados a su uso como instrumento documental. Dichos documentos han sido extraidos de la Agencia Española de Protección de Datos (www.agpd.es) y del Ministerio de Industria Turismo y Comercio (www.mityc.es)
SANCIONES
La LOPD, y su reciente modificación a través de la Ley 2/2011, de 4 de marzo, de Economía Sostenible, prevee la posibilidad de aplicar sanciones, que pueden variar desde los 900€ hasta los 600.000€, a quienes no cumplan con la Ley. Estas sanciones se dividen en tres categorías dependiendo del tipo de falta cometida. Algunos ejemplos de sanciones son los siguientes:
Infracciones leves - Sanciones desde 900€ hasta 40.000€
No solicitar la inscripción del fichero de datos de carácter personal en el Registro General de Protección de Datos
Recopilar datos personales sin informar previamente
Transmisión de datos a un encargado de tratamiento sin haber regulado correctamente la relación con éste.
Infracciones graves - Sanciones desde 40.001€ hasta 300.000€
Tratar datos de carácter personal sin el consentiemiento de los afectados.
La vulneración del deber de secreto.
Impedir o dificultar a los afectados que ejerzan sus derechos de acceso, rectificación, cancelación y oposición.
Mantener los ficheros sin las debidas condiciones de seguridad.
Infracciones muy graves - Sanciones desde 300.001€ hasta 600.000€
Recogida de datos de manera engañosa o fraudulenta
La comunicación o cesión de datos cuando ésta no esté permitida
No atender de forma sistemática los requerimientos de la AEPD
La transferencia temporal o definitiva de datos de carácter personal con destino a países sin nivel de protección equiparable o sin autorización
La cuantía de las sanciones se calculará teniendo en consideración factores como la naturaleza de los derechos personales afectados, el grado de intencionalidad, los beneficios obtenidos, los daños y perjuicios causados a las personas interesadas y a terceras personas, así como otras circunstancias que se consideren relevantes en cada caso.
GLOSARIO
Datos de carácter personal: Cualquier información concerniente a personas físicas identificadas o identificables.
Fichero: Todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.
Tratamiento de datos: Operaciones y procedimientos técnicos de carácter automatizado
o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.
Responsable del fichero o tratamiento: Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento.
Encargado del tratamiento: La persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento.
Declarante: Persona física que cumplimenta la solicitud de inscripción y actúa como mediador entre la Agencia y el titular/responsable del fichero. No debe necesariamente coincidir con el titular/responsable.
Afectado o interesado: Persona física titular de los datos que sean objeto del tratamiento.
Identificación del afectado: Cualquier elemento que permita determinar directa o indirectamente la identidad física, fisiológica, psíquica, económica, cultural o social de la persona afectada.
Bloqueo de datos: La identificación y reserva de los datos de carácter personal con el fin de impedir su tratamiento.
Consentimiento del interesado: Toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen.
Comunicación o cesión de datos: Toda revelación de datos realizada a una persona distinta del interesado.
Fuentes accesibles al público: Aquellos ficheros cuya consulta puede ser realizada por cualquier persona, no impedida por una norma limitativa, o sin más exigencia que, en su caso, el abono de una contraprestación. Tienen la consideración de fuentes de acceso público, exclusivamente, el censo promocional, los repertorios
telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público, los Diarios y Boletines oficiales y los medios de comunicación.
Persona identificable: Toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier información referida a su identidad física, fisiológica, psíquica, económica, cultural o social. Una persona física no se considerará identificable si dicha identificación requiere plazos o actividades desproporcionados.
Datos de carácter personal relacionados con la salud: Las informaciones concernientes a la salud pasada, presente y futura, física o mental, de un individuo. En particular, se consideran datos relacionados con la salud de las personas los referidos a su porcentaje de discapacidad y a su información genética.
Destinatario o cesionario: La persona física o jurídica, pública o privada u órgano administrativo, al que se revelen los datos.
Procedimiento de disociación: Todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable.
Dato disociado: Aquél que no permite la identificación de un afectado o interesado.
Transferencia de datos: El transporte de los datos entre sistemas informáticos por cualquier medio de transmisión, así como el transporte de soportes de datos por correo o por cualquier otro medio convencional.
Transferencia internacional de datos: Tratamiento de datos que supone una transmisión de los mismos fuera del territorio del Espacio Económico Europeo, bien constituya una cesión o comunicación de datos, bien tenga por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero establecido en territorio español.
Destinatario o cesionario: La persona física o jurídica, pública o privada u órgano administrativo, al que se revelen los datos.
Exportador de datos personales: La persona física o jurídica, pública o privada, u órgano administrativo situado en territorio español y responsable del tratamiento de los datos de carácter personal que son objeto de transferencia internacional a un
país tercero.
Importador de datos personales: La persona física o jurídica, pública o privada, u órgano administrativo receptor de los datos en caso de transferencia internacional de los mismos a un tercer país, ya sea responsable del tratamiento, encargada del tratamiento o tercero.
PREGUNTAS FRECUENTES
¿Se aplica la LOPD a los empresarios individuales o autónomos? ¿Y a las personas jurídicas? ¿Y a los datos de personas ya fallecidas?
Con carácter general, el objeto de la Ley está regulado en los artículos 1 y 2.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, que expresamente establecen:
Artículo 1. Objeto: La presente Ley Orgánica tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar.
Artículo 2. Ámbito de aplicación: La presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado.
Por ello, no le es de aplicación la Ley Orgánica 15/1999:
A los datos de personas jurídicas.
A los datos de las personas fallecidas.
Por el contrario, sí le es de aplicación:
A los datos de los empresarios individuales - personas físicas (por ejemplo, autónomos).
A la grabación de datos de voz e imágenes, siempre que las mismas permitan la identificación de las personas que aparecen en dichas voces o imágenes y se hallen incorporadas a ficheros informáticos.
A los ficheros de empresas que tengan una relación de personas físicas de contacto, como Administradores, Gerentes, Directores Generales, Comerciales, etc.
¿Porqué hay que pagar para adaptar mi empresa a la LOPD? Tengo entendido que inscribir
los ficheros en la AGPD es totalmente gratuita.
En efecto, la inscripción de los ficheros se puede realizar de manera totalmente gratuita a través de la web de la Agencia General de Protección de Datos. Sin embargo, para cumplir la Ley no vale únicamente con inscribir los ficheros.
Además de inscribir los ficheros, la Ley exige cumplir otros requisitos como son:
Elaboración de un Documento de Seguridad
Realización de Auditorías al menos cada 2 años, según el nivel
Llevar un Registro de Incidencias
Llevar un Registro de Peticiones ARCO
Llevar un Registro de Entradas y Salidas
Llevar un Registro de Copias de Seguridad
Garantizar la protección de datos tanto en nuestra empresa como en las empresas externas que puedan tener acceso a los ficheros de la misma
Todos lo anterior también puede usted realizarlo de forma gratuita.
En Mediagestlopd.es somos conscientes de que no todas las empresas disponen de los recursos y tiempo necesarios para realizarlos, es por ello que ofrecemos nuestros servicios.
¿Qué puede suceder si mi empresa no cumple con la LOPD? ¿Hay sanciones?
La LOPD prevee la posibilidad de aplicar sanciones, que pueden variar desde los 600€ hasta los 600.000€, a quienes no cumplan con la Ley. Estas sanciones se dividen en tres categorías dependiendo del tipo de falta cometida. Algunos ejemplos de sanciones son los siguientes:
Infracciones leves - Sanciones desde 601,01€ hasta 60.101,21€
No solicitar la inscripción del fichero en la AGPD
No atender a las solicitudes de rectificación o cancelación
Infracciones graves - Sanciones desde 60.101,21€ hasta 300.506,25€
No inscribir los ficheros en la AGPD
No disponer de Documento de Seguridad
No disponer acuerdos con las empresas externas que garanticen la seguridad de los
datos
Infracciones muy graves - Sanciones desde 300.506,25€ hasta 601.012,1€
No atender u obstaculizar de forma sistemática el ejercicio de los derechos de acceso, rectificación, cancelación u oposición
No atender de forma sistemática el deber legal de notificación de la inclusión de datos de carácter personal en un fichero
¿Cómo puede ayudarme www.Mediagestlopd.es a cumplir con la LOPD? ¿Cúanto tiempo necesito?
En www.mediagestlopd.es, no sólo podrá registrar los ficheros en la AGPD, sino que además tendrá a su disposición muchas otras funciones como son:
Asistente de evaluación del cumplimiento de la LOPD
Asistente para la fá creación y notificación de ficheros
Elaboración del Documento de Seguridad
Elaboración de la documentación legal necesaria (cláusulas, contratos, ...)
Gestión online de Incidencias
Gestión online de peticiones ARCO
Gestión online de Entradas y Salidas
Gestión online de Copias de Seguridad
Guía de recomendaciones técnicas
Podrá realizar la adaptación en un tiempo mínimo, incluso en una mañana!
Y todo ello desde la comodidad de su hogar u oficina, y al mejor precio del mercado.
¿Que es un fichero de datos de carácter personal?
El concepto de fichero está descrito en el artículo 3.b) de la Ley Orgánica 15/1999, de 13 de diciembre, según el cual, se define el fichero como 'todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso'.
En consecuencia, Vd. debe inscribir en el Registro General de Protección de Datos todos los ficheros que contengan datos de carácter personal (por ejemplo: fichero pacientes, fichero
informes, fichero nóminas, fichero clientes, etc.), aunque contengan solamente el nombre y apellidos de la persona de contacto, el administrador o gerente de la empresa.
¿Debo obligatoriamente inscribir los ficheros manuales o en papel (listados, fichas, etc...)?
El soporte papel (como son los listados o las fichas) entra dentro de la definición de soportes físicos en general.
Los ficheros manuales (no automatizados), creados con posterioridad a la fecha de entrada en vigor de la LOPD (14 de enero de 2000), deberán ser notificados para su inscripción en el RGPD. Sin embargo, los ficheros manuales que ya existieran antes de la entrada en vigor de la LOPD, no será obligatoria la notificación para su inscripción hasta octubre de 2007, de conformidad con lo establecido en el último párrafo de la Disposición Adicional Primera.
¿Se considera dentro del ámbito de aplicación de la LOPD revelar datos de carácter personal en una página web?
De acuerdo con la definición de tratamiento de datos prevista en el artículo 3 c) de la LOPD, hacer referencia en una pagina web a una persona e identificarla por su nombre o por otros medios, como su número de teléfono o información relativa a sus condiciones de trabajo y a sus aficiones, constituye un tratamiento de datos de carácter personal, siendo necesario cumplir las previsiones establecidas en la Ley.
Lo que acaba de indicarse ha sido ratificado, en cuanto a la existencia de un tratamiento de datos de carácter personal por la Sentencia del Tribunal de Justicia de las Comunidades Europeas, de 6 de noviembre de 2003 (CASO LINDQVIST).
