You are on page 1of 139

Seguridad de la informacin y proteccin de datos

Version imprimible
Este documento deber servir exclusivamente como material de apoyo al contenido del curso interactivo accesible a travs de internet.

Indice
Evaluacin inicial...................................................................... 4 MDULO I. LEGISLACIN SOBRE PROTECCIN DE DATOS PERSONALES................................................................... 5 U.D.1. Introduccin a la proteccin de datos personales................... 5 U.D.2. Marco jurdico del derecho de proteccin de datos personales..................................................................... 6 U.D.3. Intimidad de la persona y datos de carcter personal segn la LOPD.......................................................................... 12 U.D.4. Introduccin a la LOPD................................................. 14 Material complementario: La proteccin de datos personales............ 19 Prcticas............................................................................ 20 Ejercicio 1. Internet............................................................ 20 Ejercicio 2. Principios de la proteccin.................................... 20 Autoevaluacin.................................................................... 21 Juegos.............................................................................. 24 Scrabble ........................................................................ 24 Crucigrama ..................................................................... 24 MDULO II . LOS PRINCIPIOS Y LAS OBLIGACIONES DE LA PROTECCIN DE DATOS.................................................. 25 U.D.1. Los principios de la proteccin de datos............................ 25 U.D.2. Confidencialidad y deber de secreto sobre los datos personales.................................................................... 35
Plataforma de Teleformacin de IFES Pgina 1 de 139

U.D.3. Cesin y comunicacin de datos..................................... 36 U.D.4. Derechos de los interesados, ejercicio y salvaguarda sobre sus datos de carcter personal................................................ 45 U.D.5. Infracciones y sanciones derivadas del incumplimiento del ejercicio de los derechos.................................................. 60 Material complementario: La transferencia internacional de datos personales ................................................................... 64 Prcticas............................................................................ 66 Ejercicio 1. Datos personales............................................... 66 Ejercicio 2. Legislacin....................................................... 66 Autoevaluacin.................................................................... 67 Juegos.............................................................................. 70 Frase incompleta............................................................... 70 Scrabble......................................................................... 70 Evaluacin intermedia.............................................................. 71 MDULO III. LA SEGURIDAD EN LA PROTECCIN DE DATOS PERSONALES................................................................. 72 U.D.1.Introduccin a la seguridad en la proteccin de datos. El Reglamento de Seguridad.................................................72 U.D.2. Niveles de seguridad.................................................... 74 U.D.3. El documento de seguridad............................................ 77 U.D.4. Aplicacin de las medidas de seguridad............................ 80 Material complementario: La seguridad en Internet ....................... 96 Prcticas............................................................................ 97 Ejercicio 1. Responsable de seguridad.................................... 97 Ejercicio 2. Globalizacin..................................................... 97 Autoevaluacin.................................................................... 98 Juegos............................................................................. 101 Frase incompleta............................................................. 101 Scrabble ....................................................................... 101 MODULO IV. LA AGENCIA ESPAOLA DE PROTECCIN DE DATOS......................................................................... 102
Pgina 2 de 139 Seguridad de la informacin y proteccin de datos

U.D.1. Naturaleza y rgimen de funcionamiento de la AEPD........... 102 U.D.2. Funciones de la Agencia Espaola de Protecin de Datos..... 104 U.D.3. Estructura orgnica de la Agencia Espaola de Proteccin de Datos......................................................................... 107 U.D.4. El Director de la Agencia Espaola de Proteccin de Datos.... 108 U.D.5. El Registro General de Proteccin de Datos (RGPD)............111 U.D.6. Inspeccin de Datos................................................... 116 Material complementario: Nociones bsicas sobre proteccin de datos personales ................................................................. 119 Prcticas.......................................................................... 120 Ejercicio 1. Ficheros......................................................... 120 Autoevaluacin.................................................................. 121 Juegos............................................................................. 124 Puzzle ......................................................................... 124 Scrabble........................................................................ 124 Evaluacin final del curso........................................................ 125 RECURSOS COMUNES......................................................... 126 Glosario........................................................................... 126 FAQ................................................................................ 132 Links............................................................................... 134 Bibliografa........................................................................ 135 Normativa......................................................................... 137

Plataforma de Teleformacin de IFES

Pgina 3 de 139

Seguridad de la informacin y proteccin de datos

Evaluacin inicial
Este recurso es de tipo Evaluacin. Debe conectarse a la plataforma para realizar la evaluacin. Recuerde que las evaluaciones son obligatorias ya que determinan la nota final.

Pgina 4 de 139

Seguridad de la informacin y proteccin de datos

Seguridad de la informacin y proteccin de datos

MDULO I. LEGISLACIN SOBRE PROTECCIN DE DATOS PERSONALES


U.D.1. Introduccin a la proteccin de datos personales
La seguridad de la informacin y la proteccin de datos se ha convertido en una cuestin de vital importancia en la era de la sociedad de la informacin en la que estamos inmersos. Cada vez se maneja, difunde y almacena un mayor nmero de bases de datos con innumerable informacin, tanto de carcter bsico como personal, de forma que los sistemas para la seguridad de la informacin son ms vulnerables. Las bases de datos de carcter personal son, sobre todo, las que requieren un manejo y un control exquisitos para evitar que el mal uso de este tipo de informacin no vaya en contra de las normas vigentes relacionadas con: El establecimiento de medidas de seguridad obligatorias. El lmite del grado de intrusin y utilizacin de datos sobre las personas. La proteccin del derecho a la intimidad como derecho universal.

Es decir, la legislacin debe regular y garantizar al mismo tiempo la libre circulacin de la informacin y el respeto a la privacidad de las personas. Debemos tener en cuenta que la seguridad de la informacin debe basarse en un conjunto de medidas o acciones (legales, organizativas, tcnicas) que preserven la informacin de carcter personal para que cualquier individuo pueda controlar la informacin personal que le afecta, ejerciendo su derecho a la autodeterminacin informativa, que es la facultad de consentir la recogida, la obtencin y el acceso a sus datos personales, su posterior almacenamiento y tratamiento, as como su uso, o usos posibles, por un tercero. A lo largo del mdulo, veremos cmo la normativa vigente sobre proteccin de datos de carcter personal exige tanto a las personas fsicas como a las jurdicas que cumplan una serie de obligaciones que, en caso de no ser atendidas, dan lugar a la

Plataforma de Teleformacin de IFES

Pgina 5 de 139

imposicin de fuertes sanciones por parte de la Agencia Espaola de Proteccin de Datos (AEPD), organismo competente de control en materia de proteccin de datos. [Animacin Flash]

U.D.2. Marco jurdico del derecho de proteccin de datos personales

1. Espaa
El primer mandato que recoge el derecho a la proteccin de datos en el ordenamiento jurdico espaol se encuentra en la Constitucin Espaola, artculo 18.4, en el que se establece: La Ley limitar el uso de la informtica para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.

Con el desarrollo de la Ley Orgnica 5/1992, de Regulacin del Tratamiento Automatizado de Datos de Carcter Personal (LORTAD) y de la Ley Orgnica 15/1999, de Proteccin de Datos de Carcter Personal (LOPD), se consagra y reconoce un nuevo derecho fundamental a la proteccin de datos: el derecho a la libertad informtica.

Pgina 6 de 139

Seguridad de la informacin y proteccin de datos

El nacimiento de este nuevo derecho, contrario a la limitacin del uso de la informtica recogida en el artculo 18.4 de la Constitucin, resulta evidente teniendo en cuenta el desarrollo tecnolgico y, ms concretamente, el desarrollo de las nuevas tecnologas de la informacin y la comunicacin (NTIC) o los modelos actuales de negocio y de mercado. Este planteamiento fue luego corroborado por el Tribunal Constitucional espaol a travs de diferentes sentencias, siendo especialmente relevante la STC 292/200, de 30 de noviembre, en sus prrafos 6 y 7: Prrafo 6: El derecho fundamental a la proteccin de datos persigue garantizar a esa persona el poder de control sobre sus datos personales, sobre su uso y destino, con el propsito de impedir su trfico ilcito y lesivo para la dignidad y el derecho del afectado (...) el derecho a la proteccin de datos atribuye un haz de facultades consistentes en diversos poderes jurdicos, cuyo ejercicio impone a terceros deberes jurdicos y que sirven a la capital funcin que desempea este derecho fundamental: garantizar a la persona un poder de control sobre sus datos personales, lo que slo es posible y efectivo imponiendo a terceros los mencionados deberes de hacer. A saber: el derecho a que se requiera el previo consentimiento para la recogida y uso de los datos personales, el derecho a saber y ser informado sobre el destino y uso de esos datos y el derecho de acceder, rectificar y cancelar dichos datos. En definitiva, el poder de disposicin sobre los datos personales.

Prrafo 7: El contenido del derecho fundamental a la proteccin de datos consiste en un poder de disposicin y de control sobre los datos personales que faculta a la persona para decidir cules de esos datos proporcionar a un tercero, sea el Estado o un particular... Estos poderes de disposicin y control sobre los datos personales, que constituyen parte del contenido, se concretan jurdicamente en la facultad de consentir la recogida, la obtencin y el acceso a los datos personales, su posterior almacenamiento y tratamiento, as como su uso o usos posibles, por un tercero, sea el Estado o un particular. Y ese derecho a consentir el conocimiento y el tratamiento, informtico o no, de los datos personales, requiere como complementos indispensables, por un lado, la facultad de saber en todo momento quin dispone de esos datos personales y a qu uso los est sometiendo y, por otro lado, el poder oponerse a esa posesin y usos. Son elementos caractersticos de la definicin constitucional del derecho fundamental... y resultan indispensables para hacer efectivo ese contenido, el reconocimiento del derecho a saber quin posee sus datos personales y con qu fin, y el derecho a poder oponerse a esa posesin y uso requiriendo a quien

Plataforma de Teleformacin de IFES

Pgina 7 de 139

corresponda que ponga fin a la posesin y empleo de datos. Es decir, exigiendo del titular del fichero que le informe de qu datos posee sobre su persona, accediendo a sus oportunos registros y asientos, y qu destino han tenido, lo que alcanza tambin a posibles cesionarios; y en su caso, requerirle para que los rectifique o cancele. Por tanto, los derechos reconocidos en esta sentencia son distintos al derecho a la intimidad y se relacionan con el derecho fundamental a la proteccin de datos. Este derecho se define concretamente como el poder de control y disposicin que las personas tienen sobre sus datos personales a la hora de consentir su recogida, permitir el acceso a los mismos y ejecutar unos derechos concretos sobre su uso y destino, que trataremos ms adelante. Tambin el artculo 105.b de la Constitucin Espaola alude directamente a la relacin entre informacin e intimidad, y cita: La Ley regular: El acceso de los ciudadanos a los archivos y registros administrativos, salvo a lo que afecte a la seguridad y defensa del Estado, la averiguacin de los delitos y la intimidad de las personas.

Para completar nuestro ordenamiento jurdico, poco antes de promulgarse la Ley vigente en estos momentos sobre proteccin de datos de carcter personal, el Real Decreto 994/99, de 11 de junio, aprob el Reglamento de Medidas de Seguridad de los Ficheros Automatizados que contienen datos de carcter personal, que actualmente est derogado. [Animacin Flash] La tramitacin posterior en la Unin Europea de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, estableci un marco comn para todos los Estados miembros de la Unin Europea en materia de tratamiento de datos de carcter personal. Dicha directiva se ha completado posteriormente con distintos reglamentos, instrucciones y jurisprudencia que, junto a la Ley Orgnica 15/1999, de Proteccin de Datos de Carcter Personal (LOPD) y al R.D. 1720/2007, de 21 de diciembre, por el que se aprueba su Reglamento de desarrollo, constituyen el marco de referencia para el tratamiento de datos de carcter personal en Espaa. Cabe mencionar tambin otra normativa estatal de importancia y con implicaciones en materia de proteccin de datos: Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones. Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Informacin y de Comercio Electrnico.

Pgina 8 de 139

Seguridad de la informacin y proteccin de datos

R.D. 428/1993, de 23 de marzo, por el que se aprueba el Estatuto de la Agencia Espaola de Proteccin de Datos.

Por ltimo, las comunidades autnomas han desarrollado de forma diferente su rango normativo en cuanto a la proteccin de datos de carcter personal; Madrid, Catalua y Pas Vasco son las pioneras en esta materia. A da de hoy, la mayora de las comunidades autnomas no cuentan con una agencia de proteccin de datos ni con una ley autonmica de ficheros de datos. A ello se refiere el artculo 41 de la vigente LOPD, donde podemos leer que: Las funciones de la Agencia Espaola de Proteccin de Datos, reguladas en el artculo 37 (...) sern ejercidas cuando afecten a ficheros de datos de carcter personal, creados o gestionados por las comunidades autnomas y por la Administracin local de su mbito territorial, por los rganos correspondientes de cada comunidad que tendrn la consideracin de autoridades de control, a los que garantizarn plena independencia y objetividad en el ejercicio de su cometido.

2. Unin Europea
Uno de los principales textos en materia de proteccin de datos de carcter personal en la Unin Europea es la Carta de Derechos Fundamentales de la Unin Europea, en su artculo 8 se ratifica el derecho a la proteccin de datos como un derecho fundamental y autnomo, distinto al derecho a la intimidad y la privacidad de las personas.

Plataforma de Teleformacin de IFES

Pgina 9 de 139

Concretamente dicta: 1. 2. Toda persona tiene derecho a la proteccin de los datos de carcter personal que la conciernan. Estos datos se tratarn de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legtimo previsto por la ley. Toda persona tiene derecho a acceder a los datos recogidos que la conciernan y a su rectificacin. El respeto de estas normas quedar sujeto al control de una autoridad independiente.

3.

Por otro lado, el artculo 12 de la Declaracin Universal de Derechos Humanos de 1948, cita textualmente: Nadie ser objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio o su correspondencia, ni ataques a su honra o reputacin. Toda persona tiene derecho a la proteccin de la Ley contra tales injerencias o ataques.

Tambin la Constitucin Europea ha recogido expresamente el derecho fundamental a la proteccin. En el artculo I-51 establece que Toda persona tiene derecho a la proteccin de los datos de carcter personal que le conciernan y en el artculo II-68 aade que Estos datos se tratarn de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legtimo previsto por la ley, y que Toda persona tiene derecho a acceder a los datos recogidos que la conciernan y a obtener su rectificacin. Es decir, en ambos preceptos se establece que una autoridad independiente se encargar de la garanta del derecho fundamental a la proteccin de datos personales. Otras directivas de aplicacin en materia de proteccin de datos, que se han aprobado posteriormente para dar respuesta a los cambios en el sector de las comunicaciones, son: Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, sobre la proteccin de las personas fsicas en lo que respecta al tratamiento de datos personales y a la libre circulacin de stos. Directiva 2002/58/CE del Parlamento y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la proteccin de la intimidad en el sector de las comunicaciones electrnicas. Directiva 2006/24/CE, del Parlamento y del Consejo, de 15 de marzo de 2006, sobre la conservacin de datos y por la que se modifica la Directiva 2002/58/CE.

Pgina 10 de 139

Seguridad de la informacin y proteccin de datos

Plataforma de Teleformacin de IFES

Pgina 11 de 139

U.D.3. Intimidad de la persona y datos de carcter personal segn la LOPD


En ocasiones puede darse una dualidad y diferentes interpretaciones entre los conceptos de intimidad y datos de carcter personal. Generalmente se ha aceptado que los conceptos de intimidad y privacidad son equivalentes, de manera que el derecho a la intimidad est relacionado con el mbito privado de la persona, es decir, con su derecho a mantener fuera del conocimiento ajeno cualquier aspecto de su vida personal y a controlar los aspectos que pueden ser difundidos. De ah que la proteccin no solo se circunscriba a los datos ntimos, sino a cualquier informacin personal que atente contra los derechos y libertades de la persona. Los datos de carcter personal, tal y como los define la LOPD, estn relacionados con la intimidad de la persona y deben ser protegidos. As, en el artculo 3 se incluye la siguiente definicin: Cualquier informacin concerniente a personas fsicas identificadas e identificables.

Adems, la LOPD los considera datos especialmente protegidos. Esta particularidad hace que existan medidas de seguridad especficas para estos datos, as como obligaciones sobre su tratamiento, que trataremos con ms detalle en el Mdulo II.

El Reglamento de desarrollo de la LOPD (R.D. 1720/2007), en su artculo 5, completa la definicin diciendo que se entiende por dato de carcter personal:

Pgina 12 de 139

Seguridad de la informacin y proteccin de datos

Cualquier informacin numrica, alfabtica, grfica, fotogrfica, acstica o de cualquier otro tipo concerniente a personas fsicas identificadas (se sabe a quin pertenece el dato) o identificables (no se sabe a quin pertenece el dato pero se podra averiguar).

Es decir, la LOPD incluye cualquier tipo de informacin en la definicin de dato personal, aunque, a modo de orientacin, los tipos de datos que pueden considerarse son: Datos identificativos: Nombre y apellidos, direccin postal o electrnica, telfono, fax, DNI/NIF, n de tarjeta sanitaria/mutualidad, imagen o voz, firma o huella digitalizada, marcas fsicas, firma electrnica, direccin IP fija, etc. Datos de caractersticas personales: Estado civil, familia, fecha y lugar de nacimiento, edad, sexo, nacionalidad, caractersticas fsicas o antropomtricas. Datos relativos a las circunstancias sociales: Caractersticas de alojamiento, vivienda, situacin familiar, propiedades, posesiones, aficiones y estilos de vida, pertenencia a clubes y asociaciones, licencias, permisos y autorizaciones. Datos acadmicos y profesionales: Formacin, titulaciones, historial del estudiante, experiencia profesional, pertenencia a colegios o asociaciones profesionales. Detalles de empleo: profesin, puestos de trabajo, datos no econmicos de nmina, historial del trabajador. Datos que aportan informacin comercial: Actividades y negocios, licencias comerciales, suscripciones a publicaciones o medios de comunicacin, creaciones artsticas, literarias, cientficas o tcnicas. Datos econmicos, financieros y de seguros: Ingresos, rentas, inversiones, bienes patrimoniales, crditos, prstamos, avales, datos bancarios, planes de pensiones, jubilacin, datos econmicos de nmina, datos de deducciones impositivas/impuestos, seguros, hipotecas, subsidios, beneficios, historial de crditos, tarjetas de crdito. Datos relativos a transacciones de bienes y servicios: Bienes y servicios suministrados por el afectado, bienes y servicios recibidos por el afectado, transacciones financieras, compensaciones/indemnizaciones.

Por otro lado, la Directiva 95/46/CE, en el artculo 2.a, define el dato personal como:

Plataforma de Teleformacin de IFES

Pgina 13 de 139

Toda informacin sobre una persona identificada o identificable (...) se considerar identificable toda persona, directa o indirectamente, en particular, mediante un nmero de identificacin o uno o varios elementos especficos, caractersticos de su identidad fsica, fisiolgica, psquica, econmica, cultural o social.

U.D.4. Introduccin a la LOPD


Tal y como hemos adelantado, la norma bsica de aplicacin para el tratamiento de datos de carcter personal es la Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter Personal (LOPD). Dicha Ley reconoce en su artculo 1 ciertos derechos de los ciudadanos a fin de: Garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades pblicas y los derechos fundamentales de las personas fsicas y, especialmente, de su honor e intimidad personal y familiar.

En el artculo 2 extiende su mbito de aplicacin a: Los datos de carcter personal registrados en un soporte fsico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores pblico y privado.

La Ley se estructura en 49 artculos, distribuidos en siete ttulos de la siguiente forma: I. Principios generales. II. Principios de la proteccin de datos. III. Derechos de las personas. IV. Disposiciones sectoriales. Captulo I. Ficheros de titularidad pblica. Captulo II. Ficheros de titularidad privada. V. Movimientos internacionales. VI. Agencia Espaola de Proteccin de Datos. VII. Infracciones y sanciones.

Pgina 14 de 139

Seguridad de la informacin y proteccin de datos

Contiene adems seis disposiciones adicionales, tres disposiciones transitorias y una disposicin derogatoria nica, que alude directamente a la ley predecesora, la LORTAD, de 29 de octubre de 1992. Las tres disposiciones finales recogen la habilitacin al Gobierno para el desarrollo reglamentario de la Ley, los artculos que tienen carcter de ley ordinaria y la fecha de entrada en vigor de la Ley. El R.D. 1720/2007 aprueba el Reglamento de desarrollo de la LOPD (en adelante, RLOPD). Iremos viendo cmo la LOPD dota jurdicamente de las medidas de seguridad tcnicas, organizativas y legales que deben ser aplicadas a los sistemas de informacin que contienen datos de carcter personal, tanto en el sector pblico como en el privado.

Plataforma de Teleformacin de IFES

Pgina 15 de 139

1. Conceptos bsicos contenidos en la LOPD


A continuacin vamos a incluir las definiciones (artculo 3 LOPD) de varios conceptos relacionados con la proteccin de datos que permiten comprender y aplicar la normativa vigente en dicha materia: Fichero de datos de carcter personal: Es todo conjunto organizado de datos de carcter personal, con independencia de la forma o modalidad de su creacin, almacenamiento, organizacin y acceso.

Pgina 16 de 139

Seguridad de la informacin y proteccin de datos

Existen dos tipos de ficheros: Los de titularidad pblica, creados por las Administraciones pblicas en el ejercicio de sus funciones. Los de titularidad privada, creados por particulares u organizaciones privadas para el desarrollo de actividades legtimas.

Es decir, no solo se trata de ficheros informatizados, sino tambin de ficheros manuales que contengan datos de carcter personal. Tratamiento de datos: Es cualquier operacin y procedimiento tcnico, de carcter automatizado o no, que permita la recogida, grabacin, conservacin, elaboracin, modificacin, bloqueo y cancelacin, as como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias. Como anteriormente hemos dicho que los datos personales pueden estar contenidos en ficheros manuales, en la definicin de tratamiento de datos tambin se entendera el archivo o la manipulacin de datos sin usar medios electrnicos o telemticos. Responsable del fichero o tratamiento: Persona fsica o jurdica, de naturaleza pblica o privada, u rgano administrativo, que decida sobre la finalidad, contenido y uso. Los responsables de los ficheros van a responder sobre el tratamiento de los mismos y, por tanto, sobre ellos recae el rgimen sancionador en caso de infracciones. Encargado del tratamiento: Es la persona fsica o jurdica, autoridad pblica, servicio o cualquier otro organismo que, solo o conjuntamente con otros, decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase materialmente. Al igual que el responsable del fichero, est sujeto al rgimen de infracciones previsto en la LOPD, y ambos se vinculan para el ejercicio de sus funciones a travs de un contrato, donde se regulan el alcance del acceso a los datos y las medidas de seguridad que deben regir. Afectado o interesado: Persona fsica (nunca jurdica) titular de los datos de carcter personal que sean objeto del tratamiento.

Plataforma de Teleformacin de IFES

Pgina 17 de 139

Consentimiento del interesado: Toda manifestacin de voluntad, libre, inequvoca, especfica e informada, mediante la cual el interesado consienta el tratamiento de datos personales que le conciernen. Es decir, el afectado es la nica figura con capacidad para otorgar consentimiento al tratamiento de sus datos. Procedimiento de disociacin de datos: Todo tratamiento de datos personales, de modo que la informacin que se obtenga no pueda asociarse a una persona identificada o identificable. Cesin o comunicacin de datos: El tratamiento de datos que supone la revelacin de datos a una persona distinta del interesado. Esto solo puede hacerse con el expreso consentimiento del afectado. Fuentes accesibles al pblico: Aquellos ficheros cuya consulta puede ser realizada por cualquier persona, no impedida por una norma limitativa o sin ms exigencia que, en su caso, el abono de una contraprestacin. Tienen la consideracin de fuentes accesibles al pblico, exclusivamente: el censo promocional, los repertorios telefnicos, en los trminos previstos por su regulacin especfica, y las listas de personas pertenecientes a grupos de profesionales que contengan nicamente los datos de: nombre, ttulo, profesin, actividad, grado acadmico, direccin e indicacin de su pertenencia al grupo. Tambin los diarios y boletines oficiales y los medios de comunicacin.

[Animacin Flash] En resumen, la LOPD garantiza la preservacin del derecho a la intimidad de las personas en la sociedad actual, donde la tecnologa provee de manera casi ilimitada de la copia, modificacin o transmisin de datos, dentro y fuera de nuestras fronteras. La LOPD y el Reglamento de aplicacin estn en equilibrio con las directrices establecidas en la Unin Europea, a travs de distintas directivas y textos legales. La acotacin del concepto de dato personal, independientemente de su naturaleza pblica o privada, exige la aplicacin de unas normas sobre la proteccin de los datos, derivadas sobre todo de su tratamiento, ya que abarca una serie de operaciones y procedimientos que no estn exentos de peligro, en cuanto a no quebrantar el derecho

Pgina 18 de 139

Seguridad de la informacin y proteccin de datos

al control y la disponibilidad de los datos por parte del interesado, y que deben ser regulados por el legislador.

Material complementario: La proteccin de datos personales


Este recurso es de tipo Multimedia. Tiene que conectarse a la plataforma para acceder a este recurso.

Plataforma de Teleformacin de IFES

Pgina 19 de 139

Seguridad de la informacin y proteccin de datos / MDULO I. LEGISLACIN SOBRE PROTECCIN DE DATOS PERSONALES

Prcticas
Ejercicio 1. Internet
Este recurso es de tipo Prctica. Tiene que conectarse a la plataforma para acceder a este recurso.

Ejercicio 2. Principios de la proteccin


Este recurso es de tipo Prctica. Tiene que conectarse a la plataforma para acceder a este recurso.

Pgina 20 de 139

Seguridad de la informacin y proteccin de datos

Seguridad de la informacin y proteccin de datos / MDULO I. LEGISLACIN SOBRE PROTECCIN DE DATOS PERSONALES

Autoevaluacin
Pregunta 1: Los datos de carcter personal son: Datos identificativos de las personas, como su DNI, el nombre y los apellidos. Datos especialmente protegidos. Datos econmicos y de salud de las personas que se guardan en el Registro General de Sanidad y Consumo.

Respuesta correcta: Datos especialmente protegidos. Pregunta 2: Segn la LOPD, se entiende que el afectado es: Persona jurdica a la que tratan sus datos sin su consentimiento. Persona fsica a la que se le ceden los datos que han sido tratados. Persona fsica titular de los datos que sean objeto de tratamiento.

Respuesta correcta: Persona fsica titular de los datos que sean objeto de tratamiento. Pregunta 3: Para que sea posible el tratamiento de los datos de carcter personal, es condicin indispensable: Que hayan sido previamente automatizados para facilitar su manejo. Que se hayan disociado para poder atribuirse a personas concretas. El consentimiento del interesado o afectado. Respuesta correcta: El consentimiento del interesado o afectado. Pregunta 4: La legislacin sobre proteccin de datos personales debe garantizar: La libertad de expresin. La intimidad. La libre circulacin de la informacin y la privacidad.

Respuesta correcta: La libre circulacin de la informacin y la privacidad.

Plataforma de Teleformacin de IFES

Pgina 21 de 139

Pregunta 5: El derecho a la proteccin de datos se relaciona con: El derecho a no hacerlos pblicos. El derecho al control de los datos personales y la capacidad de disponer y decidir sobre su uso. El derecho a que la transmisin de los datos se haga a travs de interfaces seguras.

Respuesta correcta: El derecho al control de los datos personales y la capacidad de disponer y decidir sobre su uso. Pregunta 6: El artculo 18 de la Constitucin Espaola alude: Al derecho a la intimidad. A la relacin entre informacin e intimidad. Al tratamiento de los datos.

Respuesta correcta: Al derecho a la intimidad. Pregunta 7: La Ley Orgnica de Regulacin del Tratamiento Automatizado de Datos de Carcter Personal se conoce comnmente como: LOPD. LORTAD. LRTP. Respuesta correcta: LORTAD. Pregunta 8: Qu norma desarrolla la LOPD? El R.D. 994/99 de 11, de junio. El R.D. 1720/2007, de 21 de diciembre. La Directiva 95/46/CE, de 24 de octubre.

Respuesta correcta: El R.D. 1720/2007, de 21 de diciembre. Pregunta 9: El encargado del tratamiento de los datos es: El titular de los datos.

Pgina 22 de 139

Seguridad de la informacin y proteccin de datos

La persona fsica o jurdica que decide sobre la finalidad, contenido y uso del tratamiento. La persona fsica o jurdica que trata datos personales por cuenta del responsable del fichero.

Respuesta correcta: La persona fsica o jurdica que trata datos personales por cuenta del responsable del fichero. Pregunta 10: Qu normativa europea regula el derecho a proteccin de los datos de carcter personal? La Ley 32/2003. La Instruccin 1/1998. Distintas directivas y textos legales. Respuesta correcta: Distintas directivas y textos legales.

Plataforma de Teleformacin de IFES

Pgina 23 de 139

Seguridad de la informacin y proteccin de datos / MDULO I. LEGISLACIN SOBRE PROTECCIN DE DATOS PERSONALES

Juegos
Scrabble
Este recurso es de tipo Multimedia. Tiene que conectarse a la plataforma para acceder a este recurso.

Crucigrama
Este recurso es de tipo Multimedia. Tiene que conectarse a la plataforma para acceder a este recurso.

Pgina 24 de 139

Seguridad de la informacin y proteccin de datos

Seguridad de la informacin y proteccin de datos

MDULO II . LOS PRINCIPIOS Y LAS OBLIGACIONES DE LA PROTECCIN DE DATOS


U.D.1. Los principios de la proteccin de datos
La LOPD tiene como finalidad: Preservar la intimidad de las personas en relacin con el derecho fundamental a la proteccin de datos.

Como en ocasiones se vulnera este principio, la Ley contempla una serie de derechos de los afectados o titulares de los datos de carcter personal, a la vez que establece las actuaciones que pueden ejecutar en su propio nombre y reconoce un tipo de sancin, la administrativa, y una serie de infracciones tipo, en funcin del nivel en el que se vulneren. Los derechos fundamentales a la proteccin de datos reconocidos en la LOPD y en su Reglamento de aplicacin estn recogidos bajo el epgrafe Principios de la proteccin de datos. Concretamente, se citan los siguientes: 1. 2. 3. Principio de calidad de los datos. Principio de consentimiento del afectado. Principio de informacin en la recogida de datos.

Vamos a analizarlos con ms detalle, ya que constituyen la parte fundamental de la etapa de recogida y obtencin de datos de carcter personal.

1. Principio de calidad de los datos


Segn el principio de calidad, los datos de carcter personal deben ser tratados de forma leal y lcita y slo podrn ser objeto de tratamiento aquellos que sean adecuados, pertinentes y no excesivos en relacin con la finalidad y el mbito para los que se recogieron. Es decir, que los datos recogidos para una actividad determinada debern ser utilizados exclusivamente para dicha actividad.
Plataforma de Teleformacin de IFES Pgina 25 de 139

Del mismo modo, este principio de calidad exige que los datos sean exactos y estn actualizados, no se podrn mantener por tiempo indefinido sin causa justificada. Las obligaciones implcitas en el principio de calidad de los datos pueden concretarse como: Pertinencia. Finalidad. Veracidad.

Supongamos, por ejemplo, que una gran superficie comercial recoge datos personales procedentes de la compra de un electrodomstico. Los datos recogidos con esta finalidad no pueden ser usados por la gran superficie para el envo de publicidad no solicitada al domicilio del comprador. El RLOPD introduce algunas novedades importantes en relacin con la norma anterior (R.D. 1994/99):

Pgina 26 de 139

Seguridad de la informacin y proteccin de datos

La consideracin de datos exactos, si son obtenidos directamente del interesado. La posibilidad de cancelar o sustituir datos inexactos o incompletos en un plazo de 10 das, desde que se tenga constancia del hecho. La obligacin de comunicar en el mismo plazo (10 das) los datos que hayan sido objeto de cesin, para proceder a su rectificacin o cancelacin. Introduce el trmino 'bloqueo' de los datos, para un fin concreto y un tiempo determinado (en caso de responsabilidades jurdicas o contractuales) tras el cual debern suprimirse.

Adems, la LOPD segn lo dispuesto en su artculo 44.3.f) establece que: Mantener datos de carcter personal inexactos o no efectuar las rectificaciones o cancelaciones de los mismos que legalmente procedan cuando resulten afectados los derechos de las personas que la presente Ley ampara, se considerar infraccin de carcter grave.

Veremos, hacia el final del mdulo, cul es el rgimen sancionador que la LOPD impone al incumplimiento de los principios y obligaciones en relacin con la proteccin de datos.

2. Principio de consentimiento
El principio de consentimiento est ligado al derecho del titular de los datos personales a otorgar o no su consentimiento para el tratamiento de los mismos, salvo las excepciones recogidas al amparo de la LOPD. Es decir, el consentimiento es la 'piedra angular' de la proteccin de datos, al imponerse por ley la necesidad del consentimiento inequvoco del titular de los datos para el tratamiento de los mismos (artculo 6.1. de la LOPD). La forma en que el interesado debe manifestar o no su consentimiento, para que sea aceptado legalmente, debe cumplir los siguientes requisitos: a. b. c. Libre, que no medie intervencin de vicio alguno del consentimiento en los trminos regulados por el Cdigo Civil (error, violencia y dolo). Especfico, que se refiera a una determinada operacin de tratamiento y para una finalidad determinada, explcita y legtima del responsable del tratamiento. Informado, consiste en que el afectado, con carcter previo al tratamiento de los datos, sepa de la existencia de los mismos y las finalidades para las que se recogen.

Plataforma de Teleformacin de IFES

Pgina 27 de 139

d.

Inequvoco, tiene que ver con la forma en la que se presta el consentimiento. Es decir, ste es evidente, sin lugar a dudas o equivocaciones, independientemente del tipo (tcito o expreso).

Los tipos de consentimiento que reconoce la LOPD son: Tcito. El consentimiento se considerar tcito cuando el titular de los datos personales no hace ninguna manifestacin, ni a favor ni en contra. Imaginemos el caso de una persona que compra un mueble en un gran almacn y sus datos personales son utilizados y tratados por la organizacin para el envo de ofertas comerciales sobre colchones. Si el usuario conoce el tratamiento que se va a hacer sobre sus datos personales, y no ha expresado su negativa al mismo o simplemente no se pronuncia (guarda silencio), el gran almacn, asumiendo el consentimiento tcito, est legalmente autorizado al tratamiento de los datos.

La LOPD contempla la posibilidad de que el usuario cambie esta situacin en cualquier momento y ejerciendo los derechos que le corresponden, es decir, que revoque su consentimiento. La normativa acepta el consentimiento tcito salvo en los casos en los que se exije una declaracin o manifestacin expresa del consentimiento, como veremos que ocurre con los datos especialmente protegidos. Expreso. Este consentimiento exige del titular de los datos la manifestacin de que acepta el tratamiento de sus datos personales. Esta manifestacin puede darse por escrito, verbalmente, mediante comunicacin telemtica o por cualquier otro medio.

Pgina 28 de 139

Seguridad de la informacin y proteccin de datos

Por tanto, el marco legislativo en nuestro ordenamiento jurdico exige el consentimiento inequvoco del afectado, salvo en algunos casos concretos, incluyendo expresamente aquellos en los que se produce comunicacin o cesin de datos a terceros y que trataremos por su importancia ms adelante, ya que el consentimiento para la cesin debe ser previo e informado. Las actuaciones exentas de recabar un consentimiento expreso, tal y como expresa la normativa en cuanto a la proteccin de datos de carcter personal, estn recogidas en el artculo 6.2. de la LOPD.

Plataforma de Teleformacin de IFES

Pgina 29 de 139

Pgina 30 de 139

Seguridad de la informacin y proteccin de datos

Como adelantbamos, los datos especialmente protegidos recogidos en el artculo 7 de la LOPD, precisan de un consentimiento especfico y por escrito del afectado, que debe satisfacer las siguientes condiciones: Nadie podr ser obligado a declarar sobre su ideologa, religin o creencias. El consentimiento debe ser expreso y por escrito cuando se trate de datos relacionados con la ideologa, afiliacin sindical, religin y creencias. Se requiere consentimiento expreso cuando los datos se refieran al origen racial, salud o vida ntima.

El artculo 14 del RLOPD regula explcitamente la forma en que debe recabarse el consentimiento. Hay que tener en cuenta que los datos se tratan con posterioridad a su obtencin, por lo que es importante utilizar la forma correcta en la obtencin del consentimiento. El responsable debe dirigirse al interesado o afectado informndole del tratamiento de los datos y de su finalidad, as como de las condiciones en las que se va a realizar. El afectado dispone de un plazo de 30 das para manifestar su negativa al tratamiento, advirtindole que en caso de no obtener respuesta, se considerar que acepta el tratamiento de los datos. Adems, el responsable del fichero tiene la obligacin de facilitar al interesado un medio sencillo y gratuito para manifestar su oposicin al tratamiento de los datos. En este sentido, los medios aceptados son: Envo prefranqueado. Llamada a un nmero de telfono gratuito. Servicios de atencin al pblico puestos a disposicin para tal fin.

El RLOPD contempla que no podr volver a requerirse consentimiento al afectado para tratar los datos con el mismo fin en el plazo de un ao a contar desde la solicitud anterior.

Plataforma de Teleformacin de IFES

Pgina 31 de 139

Pgina 32 de 139

Seguridad de la informacin y proteccin de datos

En algunas ocasiones el consentimiento del interesado se incluye en el mbito de una relacin contractual para fines distintos a los del objeto del contrato. En estos casos, el responsable del tratamiento est obligado a habilitar una casilla para que el afectado exprese de forma explcita su negativa al tratamiento o comunicacin de datos ajenos a la naturaleza del contrato. El artculo 17 del RLOPD recoge los medios y actuaciones mediante los cuales el titular de los datos puede revocar su consentimiento y en qu plazos, clarificando adems que quedan exceptuados los siguientes medios: El envo de cartas certificadas o semejantes. La utilizacin de servicios de telecomunicaciones que impliquen una tarificacin adicional al afectado. Cualquier otro que suponga un coste adicional al interesado.

Cabe tambin destacar del RLOPD la regulacin para obtener el consentimiento en el caso de que se quieran tratar datos de menores de edad. En este sentido se establece que: Si son mayores de 14 aos, se entender vlido el consentimiento, salvo en los casos en que la LOPD exija la asistencia de los titulares de la patria potestad o tutela. Si son menores de 14 aos, se entender que existe consentimiento si va acompaado del consentimiento de los padres o tutores.

La normativa incide en que la informacin debe ser sencilla, de forma que el lenguaje utilizado pueda ser comprendido por el menor, y atribuye al responsable del fichero la obligacin de comprobar de modo efectivo la edad del menor y la autenticidad del consentimiento aportado. Adems, la LOPD dispone que en ningn caso se podr recabar del menor, sin contar con el consentimiento de padres o tutores, datos que permitan obtener informacin sobre los dems miembros del grupo familiar o sobre las caractersticas del mismo (actividad profesional, informacin econmica, datos sociolgicos, etc.).

Plataforma de Teleformacin de IFES

Pgina 33 de 139

3. Principio de informacin
El artculo 5 de la LOPD hace referencia al principio del derecho de informacin en la recogida de los datos. Se debe informar al interesado a quien se solicita los datos personales acerca de la existencia de uno o varios ficheros, la identidad de su responsable, la finalidad del tratamiento, los destinatarios de la informacin, la conservacin del documento o medio que permita acreditar al interesado que se le ha informado y los derechos que ostenta. Este deber de informacin debe ejecutarse tal y como cita el RLOPD: ...deber llevarse a cabo a travs de un medio que permita acreditar su cumplimiento, debiendo conservarse mientras persista el tratamiento de los datos del afectado.

Tambin se faculta al responsable del fichero o tratamiento a utilizar medios informticos o telemticos para el almacenamiento de los datos y a disponer libremente de la forma y modo de conservacin de los mismos (escaneo, papel, etc.). El artculo 19 del RLOPD menciona el supuesto especial de que se produzcan modificaciones de los ficheros por parte del responsable, en los casos concretos de fusin, escisin global de activos o pasivos, aportacin o transmisin de negocio o rama de actividad empresarial o cualquier reestructuracin empresarial de naturaleza anloga, interpretando que no se ha producido cesin de datos a terceros, sino nicamente que ha habido un cambio en la figura del responsable. Tambin en este caso se debe informar al afectado del uso de los datos durante la reestructuracin.

Pgina 34 de 139

Seguridad de la informacin y proteccin de datos

La normativa diferencia entre dos situaciones: que los datos se recojan directamente del interesado o no. En el primero de los casos, el deber de informacin deber ejecutarse con carcter previo a la recogida de los datos personales. Si por el contrario, los datos no se obtienen directamente del interesado, el responsable del fichero o su representante deben informar de esa recogida en el plazo de tres meses a contar desde el momento del registro de los datos.

U.D.2. Confidencialidad y deber de secreto sobre los datos personales


La LOPD contempla el deber de secreto profesional en el artculo 10, en el que se dispone que: El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carcter personal estn obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirn aun despus de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.

El deber de secreto no slo afecta a los responsables que almacenen datos de carcter personal, sino a toda persona que tenga acceso a ellos o intervenga en su tratamiento. Por tanto, el simple acceso a datos personales genera automticamente la obligacin de guardar secreto respecto de los mismos, incluso despus de finalizadas las relaciones con el responsable del fichero. Por ejemplo, si como empleado del servicio de nminas de una empresa se tiene acceso a datos de carcter personal contenidos en los ficheros de la entidad, el trabajador tiene la obligacin legal de guardar secreto y no transmitir dichos datos a nadie, incluso una vez que haya dejado de prestar servicios en la empresa.

Plataforma de Teleformacin de IFES

Pgina 35 de 139

U.D.3. Cesin y comunicacin de datos

1. Comunicacin de datos
Por comunicacin o cesin de datos se entiende toda aquella informacin que se revela a un tercero distinto del afectado. Implica, por tanto, que el responsable del fichero traslada datos de carcter personal a otra entidad para el cumplimiento de fines complementarios entre ambos, el que los cede (el responsable) y el que los recibe (el tercero). Como consecuencia de la cesin, el tercero pasa a ser el nuevo responsable del fichero, debiendo cumplir con las mismas exigencias y obligaciones que marca la LOPD. La Ley contempla expresamente que el responsable del fichero, en el momento en que se efecte la primera cesin de datos, debe informar de ello a los afectados e indicar, asimismo, la finalidad del fichero, la naturaleza de los datos que han sido cedidos y el nombre y direccin del cesionario. Es decir, la primera cesin de datos lleva asociada una obligacin especfica del deber de informacin. Por ejemplo, una empresa que comercializa artculos deportivos se pone en contacto con una empresa textil para llegar a un acuerdo de aprovisionamiento de ropa deportiva. Para cerrar el acuerdo, la empresa textil necesita los datos de clientes de la empresa de artculos deportivos. Esta revelacin de datos por parte del responsable del fichero es una comunicacin o cesin de datos.

Pgina 36 de 139

Seguridad de la informacin y proteccin de datos

Como hemos visto, la cesin o comunicacin de datos es uno de los diferentes tipos de tratamiento de datos de carcter personal y, por tanto, requiere el consentimiento del interesado. No obstante, el consentimiento del cedente no es preciso cuando: a. b. c. La cesin est autorizada en una ley. Se trate de datos recogidos de fuentes accesibles al pblico. El tratamiento responda a la libre y legtima aceptacin de una relacin jurdica cuyo desarrollo, cumplimiento y control implique necesariamente la conexin de dicho tratamiento con ficheros de terceros. En este caso, la comunicacin slo ser legtima en cuanto se limite a la finalidad que la justifique. La comunicacin que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal, los jueces o tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tienen atribuidas. Tampoco ser preciso el consentimiento cuando la comunicacin tenga como destino a instituciones autonmicas con funciones anlogas al Defensor del Pueblo o al Tribunal de Cuentas. La cesin se produzca entre Administraciones pblicas y tenga por objeto el tratamiento posterior de los datos con fines histricos, estadsticos o cientficos. La cesin de datos de carcter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar estudios epidemiolgicos, en los trminos establecidos en la legislacin sobre sanidad estatal o autonmica.

d.

e.

f.

Por ltimo, se debe resear que la comunicacin o cesin de datos tambin es revocable, al igual que el consentimiento.

2. Acceso a datos por cuenta de terceros


A diferencia de lo que ocurre en la comunicacin o cesin de datos, hay situaciones en las que el responsable del fichero no est obligado a recabar el consentimiento del interesado ni a informarle de que un tercero va a tratar sus datos. Esta figura legal se encuentra tipificada por la Agencia Espaola de Proteccin de Datos (AEPD) como ' encargado del tratamiento ' y se da cuando una tercera
Plataforma de Teleformacin de IFES Pgina 37 de 139

empresa accede a datos de carcter personal que se encuentran ubicados en los ficheros de una empresa que le contrata para que preste determinados servicios. Un ejemplo claro es el mantenimiento informtico. Para que el acceso a esos datos se haga segn las condiciones y exigencias contempladas en la LOPD, se regula esta prestacin de servicios por escrito, mediante un contrato en el que se establezca expresamente (artculo 12 de la LOPD): El encargado del tratamiento nicamente tratar los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicar o utilizar con fin distinto al que figure en dicho contrato, ni los comunicar ni siquiera para su conservacin a otras personas.

Una vez cumplida la prestacin contractual, los datos de carcter personal que obtenga el tercero deben ser destruidos o devueltos al responsable del tratamiento, as como cualquier soporte o documento donde conste algn dato de carcter personal objeto del tratamiento. Si esto no se hace efectivo y el encargado del tratamiento destina los datos a otra finalidad, los comunica o los utiliza incumpliendo las estipulaciones del contrato, es considerado tambin responsable del tratamiento y responde de las infracciones impuestas por la LOPD en que hubiera incurrido personalmente.

Pgina 38 de 139

Seguridad de la informacin y proteccin de datos

Plataforma de Teleformacin de IFES

Pgina 39 de 139

3. Transferencia internacional de datos


Hay que tener en cuenta que la comunicacin de datos en nuestros das y en la actividad cotidiana (viajes, comercio entre empresas, etc.) puede tener como destino cualquier pas, de manera que cobra especial importancia la transferencia internacional de datos personales para asegurar, adecuar y regular normas y principios bsicos en los que se preserve que el flujo de datos entre pases se haga bajo un nivel adecuado de proteccin. As, el rgimen de transferencias internacionales de datos se encuentra regulado en los artculos 33 y 34 de la LOPD, en su Reglamento de aplicacin (RLOPD) y en la Instruccin 1/2000, de 1 de diciembre, de la AEPD. Tanto el artculo 33 de la LOPD como el artculo 25.1 de la Directiva 95/46/CE establecen expresamente la prohibicin de efectuar transferencias de datos de carcter personal a pases que no proporcionen un nivel de proteccin equiparable al que presta la ley espaola. De hecho, el movimiento internacional de datos es libre entre los pases que componen el Espacio Econmico Europeo (EEE) y se considera como transferencia internacional de datos cuando el tratamiento de datos que suponga una transmisin de los mismos fuera del citado territorio, constituya una cesin o comunicacin de datos o bien tenga por objeto la realizacin de un tratamiento de datos por cuenta del responsable del fichero establecido en territorio espaol (artculo 5.1. del RLOPD). Adems, se define claramente que establecimiento es cualquier instalacin estable que permita el ejercicio efectivo y real de una actividad. No podrn realizarse transferencias temporales ni definitivas de datos de carcter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento con destino a pases que no proporcionen un nivel de proteccin equiparable al que presta la presente Ley, salvo que, adems de haberse observado lo dispuesto en sta, se obtenga autorizacin previa del director de la Agencia Espaola de Proteccin de Datos, que slo podr otorgarla si se obtienen garantas adecuadas.

Por tanto, para que resulte de aplicacin la legislacin espaola, el tratamiento de los datos que realice el responsable del fichero debe hacerse en un establecimiento en Espaa. Adems, la LOPD se aplica a tres supuestos concretos (artculo 2.1): a. Cuando el tratamiento sea efectuado en territorio espaol en el marco de las actividades de un establecimiento del responsable del tratamiento. En este caso se aplica la legislacin espaola y

Pgina 40 de 139

Seguridad de la informacin y proteccin de datos

adems se entiende que el tratamiento engloba cualquier operacin o procedimiento tcnico automatizado o no, que permita la recogida, grabacin, conservacin, elaboracin, modificacin, bloqueo y cancelacin, as como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias. b. Cuando al responsable del tratamiento no establecido en territorio espaol le sea de aplicacin la legislacin espaola en aplicacin de normas de Derecho Internacional Pblico. En este caso, tambin se aplica la legislacin espaola y para que en todo momento se tenga conocimiento de la identidad del responsable y de su localizacin, se exige que el responsable que se encuentre en esta situacin designe un representante en Espaa. Cuando el responsable del tratamiento no est establecido en territorio de la Unin Europea y utilice en el tratamiento de datos medios situados en territorio espaol, salvo que tales medios se utilicen nicamente con fines de trnsito. Estos supuestos incluyen especficamente tratamientos de datos operados en el extranjero por sujetos con capacidad para desarrollar funciones pblicas de acuerdo con el Derecho Internacional. Se contempla que el tratamiento de datos que dispensen estas autoridades espaolas en el extranjero se rijan por la LOPD.

c.

Aparecen dos nuevos conceptos recogidos en el artculo 5 del RLOPD: El importador de datos personales es la persona fsica o jurdica, pblica o privada u rgano administrativo receptor de los datos en caso de transferencia internacional de los mismos a un tercer pas, ya sea responsable del tratamiento, encargado del fichero o tercero.

Plataforma de Teleformacin de IFES

Pgina 41 de 139

El exportador de datos personales es la persona fsica o jurdica, pblica o privada u rgano administrativo situado en territorio espaol que realice, conforme a lo dispuesto en el RLOPD, una transferencia de datos de carcter personal a un pas tercero.

El R.D. 1720/2007 clarifica expresamente en el Ttulo IX (artculos 65 a 70) los procedimientos tramitados por la Agencia Espaola de Proteccin de Datos, concretamente en todo lo relacionado con las transferencias internacionales de datos. En principio, los requisitos generales necesarios para poder realizar la transferencia internacional de datos son los siguientes: 1. Cumplimiento del deber de informacin y de las obligaciones establecidas por la Ley para la cesin de datos o para el acceso a datos por cuenta de terceros, que ya hemos comentado anteriormente. Notificacin de la transferencia internacional de datos a la Agencia Espaola de Proteccin de Datos, indicando el pas de destino y, en su caso, el supuesto al que se acoge de las excepciones establecidas en el artculo 34 de la LOPD, para que no sea necesaria la autorizacin previa del Director de la Agencia Espaola de Proteccin de Datos.

2.

Una vez notificada la transferencia internacional, la AEPD podr solicitar al responsable del fichero que aporte documentacin complementaria para autorizar dicha transferencia; principalmente, en relacin con el cumplimiento del deber de informacin, consentimiento de los interesados, existencia de clusulas contractuales tipo para la cesin y/o acceso por cuenta de terceros, finalidades de la transferencia, etc. El RLOPD introduce novedades importantes con respecto a la figura del Director de la AEPD, dotndole de plenas facultades para determinar si un pas proporciona un nivel adecuado de proteccin de datos y permitir la transferencia internacional de datos en grupos multinacionales de empresas, siempre que se incluyan los cdigos internos de conducta de estos grupos que, adems, sern vinculantes para todas las empresas del grupo y cuyo incumplimiento puede ser denunciado ante la AEPD. Otra de las novedades del RLOPD es que introduce la opcin de suspender o revocar una determinada transferencia que hubiera sido previamente autorizada por parte del director, si posteriormente se produce incumplimiento o falta de garantas.

Pgina 42 de 139

Seguridad de la informacin y proteccin de datos

Plataforma de Teleformacin de IFES

Pgina 43 de 139

Para evaluar el criterio del nivel de proteccin equiparable al que presta la LOPD se tienen en cuenta los siguientes aspectos: La naturaleza y finalidad de los datos. La duracin del tratamiento. Los pases de destino o de origen. Las normas legales vigentes en el pas tercero. El contenido de los informes de la Comisin de la Unin Europea. Las normas de seguridad que se aplican en esos pases.

Por tanto, quien seala si el nivel de proteccin que ofrece el pas de destino es adecuado es la Agencia Espaola de Proteccin de Datos, no el responsable del fichero. A continuacin vamos a recoger el procedimiento por el cual el Director otorga autorizacin para realizar la transferencia internacional de datos. Este procedimiento se encuentra regulado en la Instruccin 1/2000 antes mencionada: El responsable del fichero, que es quien realiza la cesin, deber aportar un contrato (con el cesionario) en el que se recojan los siguientes apartados: La identificacin del transmitente y el destinatario de los datos. La finalidad de la transmisin. Los datos que se ceden. La obligacin del transmitente de cumplimiento con la LOPD, especialmente en lo relativo a la inscripcin del fichero. La obligacin del que recibe los datos de cumplir con los principios de la LOPD, de no ceder los datos a un tercero y de cumplir con la finalidad recogida en el contrato. La obligacin de que el destinatario adopte las medidas de seguridad contempladas en la legislacin espaola (Reglamento de Seguridad). La obligacin de que ambas partes respondern solidariamente por el incumplimiento del contrato ante la Agencia de Proteccin de Datos, si del mencionado incumplimiento deriva algn tipo de infraccin. La obligacin de que ambas partes indemnizarn a los afectados en caso de incumplimiento de la LOPD. El compromiso de que el afectado pueda ejercer sus derechos de acceso, rectificacin, cancelacin y oposicin y que, en caso de no ser atendido en el ejercicio de estos derechos, podr reclamar tutela de la Agencia de Proteccin de Datos. El compromiso de que el destinatario autorizar a miembros de la Agencia de Proteccin de Datos el acceso a los locales donde se traten los datos y a

Pgina 44 de 139

Seguridad de la informacin y proteccin de datos

la documentacin necesaria, con la finalidad de comprobar el cumplimiento de las obligaciones derivadas del contrato. La obligacin de devolver o destruir los datos una vez expirado el contrato. El compromiso de que los afectados puedan exigir lo estipulado en el contrato, con respecto a aquellas cuestiones que les sean beneficiosas.

Recibido el contrato, la AEPD podr sealar las cuestiones que considere que se deben cambiar. Estas modificaciones debern realizarse en el plazo de diez das. Si no se aporta el contrato con los requisitos expuestos o no se realizan las modificaciones que seale la Agencia, el Director denegar la transferencia de los datos. En el caso de autorizar la transferencia, sta ser inscrita en el Registro General de Proteccin de Datos y ser comunicada a la Comisin de las Comunidades Europeas. Finalmente se destaca que el artculo 34 de la LOPD recoge los 11 supuestos en los que no se precisa la autorizacin del Director de la AEPD para la transferencia internacional de datos.

U.D.4. Derechos de los interesados, ejercicio y salvaguarda sobre sus datos de carcter personal
Los derechos de las personas para ejercer un control sobre sus datos personales estn reconocidos en el Ttulo III de la LOPD. Estos derechos son: Impugnacin. Consulta al Registro General de Proteccin de Datos. Oposicin.

Plataforma de Teleformacin de IFES

Pgina 45 de 139

Acceso. Rectificacin. Cancelacin.

1. Derecho de impugnacin
La finalidad de este derecho es impedir que el afectado se vea sometido a decisiones que le afecten jurdicamente y que se basen nicamente en el contenido de un fichero de datos, que haya sido creado para evaluar determinados aspectos de su personalidad.

2. Derecho de acceso al Registro General de Proteccin de Datos


Cualquier persona podr conocer, recabando a tal fin la informacin oportuna del Registro, la existencia de tratamientos de datos de carcter personal. El Registro General es de consulta pblica, gratuita y se puede acceder on-line a travs de la pgina de la AEPD (www.agpd.es). Como veremos ms adelante, en el Registro General deben inscribirse los ficheros que la LOPD dispone. Por tanto, mediante las consultas se puede recabar informacin sobre aspectos concretos de los ficheros, tales como finalidad, estructura, identidad del responsable del tratamiento, ubicacin, cesiones previstas, etc.

3. Derecho de oposicin
El artculo 6.4 de la LOPD establece que cuando no sea necesario el consentimiento del afectado para el tratamiento de los datos de carcter personal, y siempre que una ley no disponga lo contrario, ste puede oponerse a su tratamiento cuando existan motivos fundados y legtimos relativos a una concreta situacin personal. En tal supuesto, el responsable del fichero debe excluir del tratamiento los datos relativos al afectado. Es decir, el derecho de oposicin hace posible que todo ciudadano pueda negarse a que un tercero recabe sus datos de carcter personal. Ejemplo: telefona mvil.

Pgina 46 de 139

Seguridad de la informacin y proteccin de datos

5. Derecho de acceso
El interesado tiene derecho a solicitar y obtener gratuitamente informacin de sus datos de carcter personal sometidos a tratamiento, a conocer el origen de dichos datos, as como las comunicaciones hechas o que se prev hacer de los mismos. Este derecho se ejercita de forma personal por el interesado o titular de los datos de carcter personal, a travs de distintos medios. De hecho, la informacin puede obtenerse mediante una consulta de los datos por medio de su visualizacin, o la

Plataforma de Teleformacin de IFES

Pgina 47 de 139

indicacin de los datos que son objeto de tratamiento mediante escrito, copia, telecopia o fotocopia, certificada o no, de forma legible e inteligible, sin utilizar claves o cdigos que requieran el uso de dispositivos mecnicos especficos. El derecho de acceso puede ejercitarse a intervalos no inferiores a 12 meses, salvo que el interesado acredite un inters legtimo al efecto, en cuyo caso podr ejercitarlo antes. La Instruccin 1/1998, de 19 de enero, de la AEPD, relativa al ejercicio de los derechos de acceso, rectificacin y cancelacin, detalla los requisitos y plazos legales que deben cumplirse para que el ejercicio de estos derechos se haga efectivo conforme a la norma.

5.1. Peticin
La peticin se cursa directamente por el interesado al responsable del fichero, utilizando cualquier medio que permita acreditar el envo y la recogida de dicha solicitud, acompaando copia del DNI e indicando el fichero o ficheros a consultar. La peticin debe completarse con informacin sobre el domicilio del solicitante a efectos de notificaciones, la fecha y su firma.

5.2. Tramitacin
El responsable del fichero debe responder a la peticin del interesado en el plazo mximo de un mes, a contar desde la recepcin de la solicitud, y utilizar cualquier medio que permita acreditar el envo y la recepcin de la contestacin al interesado. Puede darse el caso de que la solicitud no rena los requisitos exigidos. Si ocurre esto, el responsable del fichero deber solicitar al interesado la subsanacin de los fallos y deber hacer efectivo el acceso en diez das. Si por el contrario, el responsable del tratamiento responde negativamente a la peticin, tiene la posibilidad de dirigirse al Director de la Agencia Espaola de Proteccin de Datos, que decidir sobre la procedencia o improcedencia de la negativa. Haremos una mencin especial ms adelante para el ejercicio de los derechos de acceso vinculados a ficheros de titularidad pblica y privada.

Pgina 48 de 139

Seguridad de la informacin y proteccin de datos

Plataforma de Teleformacin de IFES

Pgina 49 de 139

6. Derecho de rectificacin y cancelacin


El tratamiento de datos de carcter personal debe ajustarse a lo previsto en la LOPD y al principio de calidad impuesto por la misma, por el que el afectado o el titular de los datos puede ejercitar el derecho de rectificacin o cancelacin de los datos. La rectificacin se realizar por el titular si desea que sus datos sean modificados o completados. Por otro lado, ejercer el derecho de cancelacin cuando no quiera que todos o parte de los datos vuelvan a ser tratados por el responsable del fichero. Veremos que esto no siempre es posible. El responsable del tratamiento tiene la obligacin de hacer efectivo el derecho de rectificacin o cancelacin del interesado o afectado en el plazo de diez das. La cancelacin da lugar al bloqueo de los datos, conservndose nicamente a disposicin de las Administraciones pblicas, jueces y tribunales para la atencin de las posibles responsabilidades, durante el plazo de prescripcin de stas. Cumplido este plazo deben suprimirse los datos. Esto implica que se procede al borrado fsico total de los datos, no dejando ningn tipo de marca fsica de las bajas producidas o la creacin de ficheros paralelos. La normativa concreta dos casos particulares para el ejercicio de estos derechos. Por ejemplo, si los datos rectificados o cancelados hubieran sido cedidos previamente, el responsable del fichero deber notificar al cesionario la rectificacin y cancelacin, a los efectos de que ste la practique de igual forma. Al igual que el procedimiento de acceso al Registro, el ejercicio del derecho de cancelacin o rectificacin debe solicitarse directamente por el titular de los datos al responsable del fichero.

6.1. Peticin
Los medios y las condiciones de envo son las mismas que en el caso del acceso al Registro. En este caso, la peticin debe incluir la siguiente informacin: Domicilio a efectos de notificaciones, fecha y firma del solicitante y fotocopia del DNI.

Pgina 50 de 139

Seguridad de la informacin y proteccin de datos

Datos que hay que cancelar o rectificar, indicar los datos correctos y el fichero o ficheros donde se encuentran. Debe acompaarse documentacin que justifique la rectificacin.

6.2. Tramitacin
El responsable del fichero deber contestar a la peticin del afectado en un plazo de 10 das contados a partir de la recepcin de la solicitud, utilizando cualquier medio que acredite su envo y entrega. Al igual que en el caso anterior, si los datos rectificados o cancelados hubieran sido cedidos previamente, el responsable del fichero deber notificar al cesionario la rectificacin o cancelacin efectuada.

Plataforma de Teleformacin de IFES

Pgina 51 de 139

Pgina 52 de 139

Seguridad de la informacin y proteccin de datos

7. Supuestos especiales para el ejercicio de los derechos del interesado


7.1. Ficheros de titularidad pblica
En el Mdulo I del curso mencionamos que los ficheros de titularidad pblica son aquellos cuyo titular es una entidad pblica (Gobierno, autonomas, Administraciones pblicas, etc.) y que se crean por estar vinculados al ejercicio de la actividad que desarrollan. En el Captulo I del Ttulo IV de la LOPD se regulan las disposiciones sectoriales para este tipo de ficheros. La creacin, modificacin o supresin de ficheros de titularidad pblica slo puede hacerse mediante una disposicin general publicada en el diario oficial correspondiente y debe contener las siguientes previsiones (artculo 20): a. b. c. d. e. f. g. h. La finalidad del fichero y los usos previstos para el mismo. Las personas o colectivos sobre los que se pretenda obtener datos de carcter personal o que resulten obligados a suministrarlos. El procedimiento de recogida de los datos de carcter personal. La estructura bsica del fichero y la descripcin de los tipos de datos de carcter personal incluidos en el mismo. Las cesiones de datos de carcter personal y, en su caso, las transferencias de datos que se prevean a pases terceros. Los rganos de las Administraciones responsables del fichero. Los servicios o unidades ante los que pudiesen ejercitarse los derechos de acceso, rectificacin, cancelacin y oposicin. Las medidas de seguridad con indicacin del nivel bsico, medio o alto exigible.

Todo fichero de titularidad pblica debe ser notificado a la AEPD por el rgano competente de la Administracin responsable del fichero para su inscripcin en el Registro, mediante el modelo normalizado elaborado por la AEPD, acompaado de una copia de la disposicin de creacin del fichero y del diario oficial donde se ha publicado (artculo 5 del R.D. 1332/1994). El art. 44.3.a) determina que proceder a la creacin de ficheros de titularidad pblica o iniciar la recogida de datos de carcter personal para los mismos, sin autorizacin de disposicin general publicada en el BOE o diario oficial correspondiente, constituye una infraccin grave.

Plataforma de Teleformacin de IFES

Pgina 53 de 139

Excepciones a los derechos de los afectados

No ser necesario informar en la recogida de los datos de ficheros de titularidad pblica cuando la informacin al afectado impida o dificulte gravemente el cumplimiento de las funciones de control y verificacin de las Administraciones pblicas o cuando afecte a la defensa nacional, a la seguridad pblica o a la persecucin de infracciones penales o administrativas. No ser necesario facilitar los derechos de acceso, rectificacin y cancelacin por razones de inters pblico o ante intereses de terceros ms dignos de proteccin, aunque el rgano administrativo responsable del fichero debe dictar una resolucin motivada e instruir al afectado del derecho que le asiste a poner la negativa en conocimiento del Director de la AEPD o, en su caso, del rgano equivalente de las comunidades autnomas. Comunicacin de datos entre Administraciones pblicas

Segn el artculo 21 de la LOPD los ficheros realizados por una Administracin no sern comunicados a otras Administraciones pblicas, salvo que, al ser creado el fichero se haya establecido de ese modo o cuando sea para fines cientficos, estadsticos o histricos. Una Administracin que elabore un fichero con destino a otra s podr comunicar datos de carcter personal. Por supuesto, queda excluida la posibilidad de transferir los ficheros de titularidad pblica a uno de carcter privado, salvo cuando la ley prevea otra cosa. Ficheros de las Fuerzas Armadas y Cuerpos de Seguridad

La legislacin prev que solo podrn recoger informacin sin el consentimiento de las personas afectadas, cuando resulten necesarios para la prevencin de un peligro real para la seguridad pblica o para la prevencin de infracciones penales. Tambin se dispone la cancelacin de los datos personales registrados con fines policiales cuando ya no sean necesarios para la investigacin que justific su almacenamiento.

7.2. Ficheros de titularidad privada


En el Captulo II del Ttulo IV de la LOPD se establecen las disposiciones sectoriales para los ficheros de titularidad privada (los creados por empresas, personas fsicas o Administraciones con fines no pblicos). El artculo 25 prev que pueden crearse

Pgina 54 de 139

Seguridad de la informacin y proteccin de datos

ficheros de titularidad privada que contengan datos de carcter personal cuando resulte necesario para el logro de la actividad u objetos legtimos de la persona, empresa o entidad titular y se respeten las garantas para la proteccin de las personas establecidas en la LOPD. Adems, toda persona o entidad que proceda a la creacin de ficheros de carcter personal tiene que notificarlo previamente a la AEPD (artculo 26.1). El procedimiento de notificacin se encuentra regulado en el R.D. 1332/1994, artculo 6, en el que se especifican los extremos que debe contener: Nombre, denominacin o razn social, DNI o CIF, direccin y actividad y objeto social del responsable del fichero. Ubicacin del fichero. Identificacin de los datos que se pretende tratar, indicando, si es el caso, datos especialmente protegidos. Direccin de la dependencia en la cual pueden ejercitarse los derechos de acceso, rectificacin y cancelacin. Origen o procedencia de los datos. Finalidad del fichero. Cesiones de datos previstas. Transferencias internacionales de datos. Sistema de tratamiento. Medidas de seguridad.

Hay que tener en cuenta que solo quedarn inscritos en el Registro los ficheros que se ajusten a los requisitos establecidos por la Ley (artculo 26.4). Si la notificacin del fichero no es correcta, el Director de la AEPD puede requerir al responsable del fichero para que subsane o complete la notificacin en el plazo de 10 das. Transcurrido un mes desde la presentacin de la solicitud de inscripcin, sin que la AEPD hubiera resuelto sobre la misma, se entender inscrito el fichero automatizado a todos los efectos (artculo 26.5). Cualquier modificacin en el contenido de la notificacin debe comunicarse a la AEPD para su inscripcin.

Plataforma de Teleformacin de IFES

Pgina 55 de 139

Pgina 56 de 139

Seguridad de la informacin y proteccin de datos

Datos incluidos en las fuentes de acceso pblico

Los datos personales que figuren en el censo promocional o las listas de personas pertenecientes a grupos de profesionales de fuentes accesibles al pblico, deben limitarse a los que sean estrictamente necesarios para cumplir la finalidad a que se destina cada listado. La inclusin de datos adicionales por las entidades responsables del mantenimiento de dichas fuentes requerir el consentimiento del interesado, que podr ser revocado en cualquier momento. Los interesados pueden exigir gratuitamente la exclusin de la totalidad de sus datos personales en el censo promocional. Prestacin de servicios de informacin sobre solvencia patrimonial y crdito

La Instruccin 1/1998 dedica una seccin especial a este tipo de ficheros. Los tipos de ficheros que podemos encontrar son: Ficheros de acreedores: Cualquier empresa o entidad puede almacenar o tratar datos relativos a las deudas de sus clientes o proveedores. Ficheros comunes: Son los de informacin de terceros. Por ejemplo, de entidades de financiacin o impagados con los que se establece un contrato para el suministro de datos. Ficheros de entidades terceras que acceden a los ficheros comunes: Generalmente son usados por entidades bancarias para estudios de solvencia en la concesin de crditos o hipotecas.

Con esta finalidad solo podrn tratarse datos de carcter personal obtenidos de los registros y las fuentes accesibles al pblico, establecidos al efecto o procedentes de informaciones facilitadas por el interesado o con su consentimiento. Podrn tratarse tambin datos de carcter personal relativos al cumplimiento o incumplimiento de obligaciones dinerarias facilitadas por el acreedor o quien acte por su cuenta o inters. En estos casos, se notificar a los interesados respecto de los que hayan registrado datos de carcter personal en ficheros, en el plazo de 30 das desde dicho registro, una referencia de los que hubiesen sido incluidos y se les informar de su derecho a recabar informacin de la totalidad de ellos, en los trminos establecidos por la presente Ley. Si el interesado lo solicita, el responsable del tratamiento debe comunicarle los datos, as como las evaluaciones y apreciaciones que sobre el mismo hayan sido comunicadas durante los ltimos seis meses, y el nombre y direccin de la persona o entidad a quien se hayan revelado los datos.

Plataforma de Teleformacin de IFES

Pgina 57 de 139

Slo se pueden registrar y ceder los datos de carcter personal que sean determinantes para enjuiciar la solvencia econmica de los interesados y que no se refieran, cuando sean adversos, a ms de seis aos, siempre que respondan con veracidad a la situacin actual de aqullos.

Tratamientos con fines de publicidad y de prospeccin comercial

Con la finalidad de recopilacin de direcciones, reparto de documentos, publicidad, venta a distancia, prospeccin comercial y otras actividades anlogas, solo pueden utilizarse nombres y direcciones u otros datos de carcter personal, cuando figuren en fuentes accesibles al pblico o cuando hayan sido facilitados por los propios interesados u obtenidos con su consentimiento. Cuando los datos procedan de fuentes accesibles al pblico, en cada comunicacin dirigida al interesado se informar del origen de los datos y de la identidad del responsable del tratamiento, as como los derechos que le asisten. La empresa que realiza la prospeccin comercial para una tercera har constar en los envos publicitarios la identidad del responsable del fichero y la direccin para remitir la solicitud donde ejercer sus derechos. Entre ambas debe mediar un contrato de encargo de tratamiento donde se regule la prestacin de servicios. Si un afectado solicita la baja para el envo de publicidad se produce el bloqueo para esos datos concretos, no para el resto, a no ser que lo hubiera dicho expresamente. Censo promocional

La LOPD prev la creacin, por parte del Instituto Nacional de Estadstica o de los rganos equivalentes de las comunidades autnomas, del fichero del censo

Pgina 58 de 139

Seguridad de la informacin y proteccin de datos

promocional. Este fichero estar formado con los datos del nombre, apellidos y domicilio de cada ciudadano, segn constan en el censo electoral. Puede solicitarse una copia de este fichero al Instituto Nacional de Estadstica (INE) o al rgano correspondiente, por quienes pretendan realizar permanente o espordicamente la actividad de recopilacin de direcciones, reparto de documentos, publicidad, venta a distancia, prospeccin comercial u otras actividades anlogas. Al no haberse reglamentado los procedimientos relativos al censo promocional, ste no existe en la prctica.

7.3. Cdigos tipo


La LOPD prev que mediante acuerdos sectoriales, convenios administrativos o decisiones de empresa, los responsables de tratamientos de titularidad pblica o privada, as como las organizaciones en que se agrupen, pueden formular cdigos tipo que establezcan las condiciones de organizacin, rgimen de funcionamiento, procedimientos aplicables, normas de seguridad del entorno, programas o equipos, obligaciones de los implicados en el tratamiento y uso de la informacin personal, as como las garantas en su mbito, para el ejercicio de los derechos de las personas con pleno respeto a los principios y disposiciones de la LOPD y sus normas de desarrollo. Estos cdigos tipo tienen el carcter de cdigos deontolgicos o de buena prctica profesional, debiendo ser depositados para su inscripcin en el Registro General de Proteccin de Datos. El Registro puede denegar la inscripcin si considera que no se ajusta a las disposiciones legales y reglamentarias sobre la materia, debiendo, en este caso, el director de la AEPD requerir a los solicitantes para que efecten las correcciones oportunas.

Plataforma de Teleformacin de IFES

Pgina 59 de 139

U.D.5. Infracciones y sanciones derivadas del incumplimiento del ejercicio de los derechos
El Ttulo VII de la LOPD recoge el rgimen infractor y sancionador, donde se determina que los responsables de los ficheros y los encargados de los tratamientos estarn sujetos al rgimen sancionador establecido. Cuando se trate de ficheros de los que sean responsables las Administraciones pblicas se estar, en cuanto al procedimiento y las sanciones, a lo dispuesto en el artculo 46. Las infracciones se califican como leves, graves o muy graves.

1. Infracciones leves
a. b. c. d. e. No atender, por motivos formales, la solicitud del interesado de rectificacin o cancelacin de los datos personales objeto de tratamiento, cuando legalmente proceda. No proporcionar la informacin que solicite la AEPD, en el ejercicio de las competencias que tiene legalmente atribuidas, en relacin con aspectos no sustantivos de la proteccin de datos. No solicitar la inscripcin del fichero de datos de carcter personal en el Registro, cuando no sea constitutivo de infraccin grave. Proceder a la recogida de datos de carcter personal de los propios afectados, sin proporcionarles la informacin que seala el artculo 5 de la LOPD. Incumplir el deber de secreto establecido en la LOPD, salvo que constituya infraccin grave.

Pgina 60 de 139

Seguridad de la informacin y proteccin de datos

2. Infracciones graves
a. b. c. d. Proceder a la creacin de ficheros de titularidad pblica o iniciar la recogida de datos de carcter personal para los mismos, sin autorizacin de disposicin general publicada en el BOE o el diario oficial correspondiente. Proceder a la creacin de ficheros de titularidad privada o iniciar la recogida de datos de carcter personal para los mismos, con finalidades distintas de las que constituyen el objeto legtimo de la empresa o entidad. Proceder a la recogida de datos de carcter personal, sin recabar el consentimiento expreso de las personas afectadas, en los casos en que ste sea exigible. Tratar los datos de carcter personal o usarlos posteriormente con vulneracin de los principios y garantas establecidos en la presente Ley o con incumplimiento de los preceptos de proteccin que impongan las disposiciones reglamentarias de desarrollo, cuando no constituya infraccin muy grave. El impedimento o la obstaculizacin del ejercicio de los derechos de acceso y oposicin y la negativa a facilitar la informacin que sea solicitada. Mantener datos de carcter personal inexactos o no efectuar las rectificaciones o cancelaciones de los mismos, que legalmente procedan cuando resulten afectados los derechos de las personas que esta Ley ampara. La vulneracin del deber de guardar secreto sobre los datos de carcter personal incorporados a ficheros que contengan datos relativos a la comisin de infracciones administrativas o penales, Hacienda Pblica, servicios financieros, prestacin de servicios de solvencia patrimonial y crdito, as como aquellos otros ficheros que contengan un conjunto de datos de carcter personal suficientes, para obtener una evaluacin de la personalidad del individuo. Mantener los ficheros, locales, programas o equipos que contengan datos de carcter personal, sin las debidas condiciones de seguridad que por va reglamentaria se determinen. No remitir a la AEPD las notificaciones previstas en la LOPD o en sus disposiciones de desarrollo, as como no proporcionarle en plazo cuantos documentos e informaciones deba recibir o sean requeridos por aquella. La obstruccin al ejercicio de la funcin inspectora. No inscribir el fichero de datos de carcter personal en el Registro, cuando haya sido requerido para ello por el Director de la Agencia. Incumplir el deber de informacin que se establece en los artculos 5, 28 y 29, cuando los datos hayan sido recabados de persona distinta del afectado.

e. f.

g.

h. i. j. k. l.

Plataforma de Teleformacin de IFES

Pgina 61 de 139

3. Infracciones muy graves


a. b. c. La recogida de datos en forma engaosa y fraudulenta. La comunicacin o cesin de los datos de carcter personal, fuera de los casos en que estn permitidas. Recabar y tratar los datos de ideologa, afiliacin, religin y creencias, cuando no medie el consentimiento expreso del afectado. Recabar y tratar los datos de vida sexual, raza y salud cuando no lo disponga una ley o el afectado no haya consentido expresamente, o violentar la prohibicin contenida en el apartado 4 del artculo 7. No cesar en el uso ilegtimo de los tratamientos de datos de carcter personal, cuando sea requerido para ello por el Director de la AEPD o por las personas titulares del derecho de acceso. La transferencia temporal o definitiva de datos de carcter personal, que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento, con destino a pases que no proporcionen un nivel de proteccin equiparable, sin autorizacin del Director de la Agencia de Proteccin de Datos. Tratar los datos de carcter personal de forma ilegtima o con menosprecio de los principios y garantas que les sean de aplicacin, cuando con ello se impida o se atente contra el ejercicio de los derechos fundamentales. La vulneracin del deber de guardar secreto sobre los datos de carcter personal a que hacen referencia los apartados 2 y 3 del artculo 7, as como los que hayan sido recabados para fines policiales sin consentimiento de las personas afectadas. No atender u obstaculizar de forma sistemtica el ejercicio de los derechos de acceso, rectificacin, cancelacin u oposicin. No atender de forma sistemtica el deber legal de notificacin de la inclusin de datos de carcter personal en un fichero.

d. e.

f. g.

h. i.

Pgina 62 de 139

Seguridad de la informacin y proteccin de datos

Plataforma de Teleformacin de IFES

Pgina 63 de 139

4. Prescripcin de la infraccin y la sancin


El plazo de prescripcin de la infraccin comenzar a contarse desde el da en que la infraccin se hubiera cometido. En el caso de la prescripcin de la sancin, comenzar a contarse desde el da siguiente a aquel en que adquiera firmeza la resolucin por la que se impone la sancin. En ambos casos los plazos son los siguientes: Leves: 1 ao. Graves: 2 aos. Muy graves: 3 aos.

Y las sanciones sern: Leves: 601,01 a 60.101,21 . Graves: 60.101,21 a 300.506,05 . Muy graves: 300.506,05 a 601.012,10 .

5. Infracciones de las Administraciones pblicas


Cuando las infracciones fuesen cometidas en ficheros de los que sean responsables las Administraciones pblicas, el Director de la AEPD dictar una resolucin estableciendo las medidas que procede adoptar para que cesen o se corrijan los efectos de la infraccin. Esta resolucin se notificar al responsable del fichero, al rgano del que dependa jerrquicamente y a los afectados si los hubiera. El Director de la AEPD podr proponer tambin la iniciacin de actuaciones disciplinarias, si procedieran. El procedimiento y las sanciones a aplicar sern las establecidas en la legislacin sobre rgimen disciplinario de las Administraciones pblicas. El Director de la Agencia comunicar al Defensor del Pueblo las actuaciones que efecte y las resoluciones que dicte.

Material complementario: La transferencia internacional de datos personales


Este recurso es de tipo Multimedia.

Pgina 64 de 139

Seguridad de la informacin y proteccin de datos

Tiene que conectarse a la plataforma para acceder a este recurso.

Plataforma de Teleformacin de IFES

Pgina 65 de 139

Seguridad de la informacin y proteccin de datos / MDULO II . LOS PRINCIPIOS Y LAS OBLIGACIONES DE LA PROTEC

Prcticas
Ejercicio 1. Datos personales
Este recurso es de tipo Prctica. Tiene que conectarse a la plataforma para acceder a este recurso.

Ejercicio 2. Legislacin
Este recurso es de tipo Prctica. Tiene que conectarse a la plataforma para acceder a este recurso.

Pgina 66 de 139

Seguridad de la informacin y proteccin de datos

Seguridad de la informacin y proteccin de datos / MDULO II . LOS PRINCIPIOS Y LAS OBLIGACIONES DE LA PROTEC

Autoevaluacin
Pregunta 1: El principio de la calidad de los datos: Est relacionado con la obtencin del consentimiento del interesado para el tratamiento de sus datos de carcter personal. Implica que la cesin de los datos se realiza a un pas que ofrece niveles de proteccin que aseguran que los mismos son tratados con calidad. Asegura que los datos que vayan a tratarse sean los adecuados para el fin que se recogieron y que, adems, son exactos y estn puestos al da.

Respuesta correcta: Asegura que los datos que vayan a tratarse sean los adecuados para el fin que se recogieron y que, adems, son exactos y estn puestos al da. Pregunta 2: El bloqueo de los datos: Puede ejecutarse por tiempo ilimitado. Debe asegurar que se realiza para cualquier tipo de finalidad de los datos. Implica que los datos deben suprimirse una vez que finalicen las causas que lo han originado.

Respuesta correcta: Implica que los datos deben suprimirse una vez que finalicen las causas que lo han originado. Pregunta 3: El incumplimiento de los principios y obligaciones en relacin con la proteccin de datos impone: Infracciones. Sanciones. Ambas. Respuesta correcta: Ambas. Pregunta 4: Segn la LOPD, el consentimiento tcito: Es aceptado siempre.

Plataforma de Teleformacin de IFES

Pgina 67 de 139

No precisa del titular de los datos una aceptacin expresa al tratamiento de sus datos personales. Se solicita para los datos especialmente protegidos.

Respuesta correcta: No precisa del titular de los datos una aceptacin expresa al tratamiento de sus datos personales. Pregunta 5: Cmo puede ejercerse el derecho de acceso? Dirigiendo una solicitud al Director de la AEPD. El abogado del afectado dirige una peticin al Director de la AEPD. Mediante solicitud o peticin dirigida por el afectado al responsable del fichero.

Respuesta correcta: Mediante solicitud o peticin dirigida por el afectado al responsable del fichero. Pregunta 6: El plazo de que dispone el responsable del tratamiento para hacer efectivo el derecho de cancelacin del interesado es: 30 das hbiles. 10 das desde la recepcin de la solicitud. 15 das desde la recepcin de la solicitud. Respuesta correcta: 10 das desde la recepcin de la solicitud. Pregunta 7: Qu normativa debe seguir el responsable del fichero para responder al ejercicio de los derechos del titular de los datos? La LORTAD y la Instruccin 1/1999. La LOPD y el R.D. 994/1999. El R.D. 1332/1994 y la Instruccin 1/1998 del Director de la AEPD. Respuesta correcta: El R.D. 1332/1994 y la Instruccin 1/1998 del Director de la AEPD. Pregunta 8: Las sanciones que prev la LOPD por el incumplimiento en materia de proteccin de datos pueden ser: Leves, graves y muy graves. Leves, medias y muy graves.

Pgina 68 de 139

Seguridad de la informacin y proteccin de datos

De 601.01 euros a 601.012,10 euros.

Respuesta correcta: De 601.01 euros a 601.012,10 euros. Pregunta 9: La creacin de ficheros de titularidad pblica: Slo podr hacerse con la aprobacin del Director de la AEPD. Slo podr hacerse por medio de disposicin general publicada en el diario oficial correspondiente. Slo podr hacerse inscribiendo los ficheros de la empresa en el Registro Oficial.

Respuesta correcta: Slo podr hacerse por medio de disposicin general publicada en el diario oficial correspondiente. Pregunta 10: El derecho de cancelacin: Slo puede ejercitarse por el afectado cada 12 meses. Es un derecho personalsimo que debe ser ejercido por el afectado. Faculta al interesado a oponerse al tratamiento de sus datos de carcter personal.

Respuesta correcta: Es un derecho personalsimo que debe ser ejercido por el afectado.

Plataforma de Teleformacin de IFES

Pgina 69 de 139

Seguridad de la informacin y proteccin de datos / MDULO II . LOS PRINCIPIOS Y LAS OBLIGACIONES DE LA PROTEC

Juegos
Frase incompleta
Este recurso es de tipo Multimedia. Tiene que conectarse a la plataforma para acceder a este recurso.

Scrabble
Este recurso es de tipo Multimedia. Tiene que conectarse a la plataforma para acceder a este recurso.

Pgina 70 de 139

Seguridad de la informacin y proteccin de datos

Seguridad de la informacin y proteccin de datos

Evaluacin intermedia
Este recurso es de tipo Evaluacin. Debe conectarse a la plataforma para realizar la evaluacin. Recuerde que las evaluaciones son obligatorias ya que determinan la nota final.

Plataforma de Teleformacin de IFES

Pgina 71 de 139

Seguridad de la informacin y proteccin de datos

MDULO III. LA SEGURIDAD EN LA PROTECCIN DE DATOS PERSONALES


U.D.1.Introduccin a la seguridad en la proteccin de datos. El Reglamento de Seguridad
La seguridad de la informacin y la proteccin de datos es clave para el desarrollo econmico y social y constituye un importante activo para cualquier organizacin que maneje diariamente datos que pertenecen a su personal, clientes, proveedores, colaboradores, etc., a los que hay que asegurar que el tratamiento de sus datos se realice conforme a la legislacin vigente y garantice su confidencialidad. El establecimiento de medidas de seguridad que preserven el derecho a la proteccin de datos personales supone grandes cambios dentro de cualquier organizacin, ya sea pblica o privada; por ejemplo, en el modo en que las personas pasan a manejar la informacin de carcter personal en su puesto de trabajo. Pero esto es solo una parte de los cambios que se producen, ya que tambin cambia la forma de trabajar con terceras organizaciones que puedan tener acceso o gestionar datos personales y la realizacin de copias o el acceso a los datos no se gestiona de igual modo. Todo ello se debe instrumentar para garantizar la seguridad, el control y la confidencialidad de dicha informacin. Veremos cmo la adaptacin a la normativa de proteccin de datos por parte de las organizaciones comprende una serie de tareas que van desde la identificacin de las entradas de informacin hasta los mecanismos de control y seguimiento de la misma, de manera que todas deban contar con procedimientos orientados a proteger a las personas, para que sus datos de carcter personal sean utilizados o tratados conforme a la legislacin vigente.

Pgina 72 de 139

Seguridad de la informacin y proteccin de datos

1. El Reglamento de Seguridad
La seguridad de la informacin constituye, por tanto, un elemento ms a gestionar dentro de las organizaciones, ya que el incumplimiento de determinadas acciones est sancionado por la LOPD. El principio de seguridad de los datos se recoge en el artculo 9 de la LOPD y establece las directrices bsicas sobre seguridad que deben cumplir los ficheros que contengan datos personales, con el fin de evitar o impedir su alteracin, prdida, tratamiento o acceso no autorizado. Concretamente, atribuye: Al responsable del fichero, y en su caso el encargado del tratamiento, a velar por la seguridad de los datos y adoptar las medidas de ndole tcnica y organizativas necesarias, que garanticen la seguridad de los datos y eviten su alteracin, prdida, tratamiento o acceso no autorizado, quedando adems condicionadas dichas medidas al estado de la tecnologa, la naturaleza de los datos almacenados y los riesgos a que estn expuestos, ya provengan de la accin humana o del medio fsico o natural.

Adems, en los apartados 2 y 3 se indica que por va reglamentaria se establecern las condiciones que deben reunir los ficheros, relativos a la integridad y seguridad, as como las personas, centros de tratamiento, locales, equipos, sistemas y programas. Estas obligaciones que impone la LOPD se han concretado de forma operativa en el RLOPD, concretamente, en el Ttulo VIII que lleva por rbrica De las medidas de seguridad en el tratamiento de datos de carcter personal, donde se regulan, entre otros aspectos, el alcance, los niveles de seguridad y la aplicacin de los mismos. Cabe destacar que en el caso de que el tratamiento de datos se realice fuera del lugar de ubicacin del fichero, se requerir autorizacin expresa por parte del responsable, adems de garantizar en todo momento que se aplican las medidas de seguridad que le correspondan. Tambin menciona expresamente la obligacin de hacer cumplir las mismas normas de seguridad a los ficheros creados con carcter temporal y permite la segregacin de ficheros o tratamientos que en funcin de su finalidad, del uso concreto o de la naturaleza de los datos requieran de la aplicacin de un nivel de medidas de seguridad distinto al de aplicacin general.

Plataforma de Teleformacin de IFES

Pgina 73 de 139

Dado que la gran novedad de la entrada en vigor del RLOPD radica en la regulacin de las medidas de seguridad para el tratamiento de datos no automatizados (en soporte papel), los trataremos de forma separada, para ver con ms detalle las normas de aplicacin a cada caso particular.

U.D.2. Niveles de seguridad


El RLOPD (artculo 80) establece tres niveles de seguridad: bsico, medio y alto, en funcin de la naturaleza de la informacin tratada y de los riesgos que suponga su tratamiento. A cada uno de los niveles se le asigna una relacin de medidas de seguridad a cumplir, de manera que cada nivel incluye a todas las del nivel inferior. Por ejemplo, para un fichero que contiene datos de carcter personal de nivel medio sern aplicables las medidas de seguridad del nivel bsico y del nivel medio.

Pgina 74 de 139

Seguridad de la informacin y proteccin de datos

Adems, las medidas de seguridad asignadas a cada nivel tienen la condicin de mnimos exigibles y, una vez determinado el nivel aplicable a un fichero, las medidas de seguridad a aplicar debern adoptarse independientemente de los sistemas de tratamiento utilizados y de que el acceso se realice a travs de redes de comunicaciones externas a los sistemas de informacin o mediante accesos locales. Este sera, por ejemplo, el caso de un comercial que almacena datos de sus clientes en una PDA. Es decir, las medidas de seguridad pretenden asegurar el control de todos los datos personales tratados por una organizacin, tanto interna como externamente, independientemente de su ubicacin en los sistemas de informacin. Vamos a ver qu datos se incluyen en cada uno de los tres niveles de seguridad indicados: bsico, medio y alto.

1. Nivel bsico
Todos los ficheros o tratamientos que contengan datos de carcter personal tienen la obligacin de adoptar las medidas de seguridad previstas en el nivel bsico. Tambin se incluyen aquellos ficheros o tratamientos que contengan datos de ideologa, afiliacin sindical, religin, creencias, salud, origen racial o vida sexual, cuando: Se utilicen con el propsito de realizar una transferencia dineraria a las entidades de las que los afectados sean asociados o miembros (por ejemplo, el pago de la cuota de asociacin profesional mediante nmina). Se almacenen o traten de forma no automatizada y en los que de forma incidental o accesoria se incluyan datos especialmente protegidos, que no guarden relacin con la finalidad del fichero o tratamiento. Contengan datos relativos a la salud (minusvala o invalidez), si su tratamiento tiene como motivo el cumplimiento de deberes pblicos.

2. Nivel medio
En el nivel medio se incluyen los ficheros o tratamiento de datos que contengan: Comisiones de infracciones administrativas o penales. Datos de prestacin de servicios de solvencia y crdito (artculo 29 LOPD). Los de las Administraciones Tributarias, servicios financieros y servicios comunes de la Seguridad Social, dentro del ejercicio de sus competencias.
Pgina 75 de 139

Plataforma de Teleformacin de IFES

Los ficheros de las mutuas de accidentes de trabajo y de enfermedades profesionales de la Seguridad Social. Informacin que permita obtener un perfil de personalidad o permita evaluar aspectos o comportamientos del titular de los datos.

3. Nivel alto
En este nivel de seguridad se incluyen los ficheros o tratamientos que contengan datos: De ideologa, afiliacin sindical, religin, creencias, origen racial o tnico, salud o vida sexual, cuando no sea posible adoptar el nivel bsico. Los recogidos para fines policiales, sin consentimiento de las personas afectadas. Los que contengan datos derivados de actos de violencia de gnero.

Pgina 76 de 139

Seguridad de la informacin y proteccin de datos

U.D.3. El documento de seguridad


El documento de seguridad es la pieza clave de la proteccin de datos, ya que en l se incluyen las medidas tcnicas y organizativas necesarias para garantizar la seguridad de los datos de carcter personal.

Plataforma de Teleformacin de IFES

Pgina 77 de 139

Las medidas organizativas se relacionan con los procedimientos, normas, reglas y estndares de seguridad a aplicar para garantizar la confidencialidad, integridad y seguridad de los datos almacenados, independientemente de su ubicacin o soporte. Las tcnicas, sin embargo, prestan especial atencin a conservar la integridad de la informacin, ms que a la seguridad.

El documento de seguridad es un documento interno de cada organizacin y de obligado cumplimiento para todo el personal que tenga acceso a los sistemas de informacin de la organizacin. Debe ser elaborado por el responsable del fichero

Pgina 78 de 139

Seguridad de la informacin y proteccin de datos

o, en su caso, por el encargado del tratamiento, y las medidas de seguridad que en l se recogen debe aplicarse tanto a los datos como a los sistemas de informacin, equipos, archivos, etc. Es decir, a todos los elementos materiales que traten los datos. El Reglamento tambin obliga a que el documento de seguridad est puesto al da y recoja cuantos cambios relevantes sea necesario hacer constar en el mismo. El contenido mnimo del documento de seguridad es diferente y se adapta en funcin del nivel de seguridad que sea aplicable a los ficheros o tratamientos con datos. Est regulado en el artculo 88 del RLOPD. As, los apartados mnimos que debe incluir el documento de seguridad son los siguientes: 1. 2. 3. 4. 5. 6. 7. mbito de aplicacin, en el que se especifique de forma detallada los recursos protegidos. Medidas, normas, procedimientos, reglas y estndares que garanticen el nivel de seguridad. Funciones y obligaciones del personal en relacin con el tratamiento de los datos de carcter personal incluidos en los ficheros. Estructura y descripcin de los ficheros y sistemas de informacin que tratan datos de carcter personal. Procedimiento de notificacin, gestin y respuesta ante incidencias. Procedimiento de copias de respaldo y recuperacin de datos. Medidas adoptadas en el transporte de soportes y documentos, as como su destruccin y/o reutilizacin.

Si se aplica a los ficheros los niveles de seguridad medio y alto, adems de los apartados anteriores, deben incluirse los siguientes tems en el documento de seguridad: Identificacin del responsable de seguridad. Control peridico para verificar el cumplimiento del documento.

El RLOPD tambin obliga a los encargados del tratamiento, en caso de haber contratado una prestacin de servicios para determinados ficheros, a que incluyan en el documento de seguridad esta situacin, indicando entre otros aspectos la referencia al contrato y su vigencia, as como los ficheros objeto de este tratamiento. Si los ficheros se encuentran ubicados en los sistemas de informacin del encargado del tratamiento, el responsable del fichero deber inscribir a la/s personas encargadas del mismo, y puede delegarse en l la responsabilidad del documento de seguridad.

Plataforma de Teleformacin de IFES

Pgina 79 de 139

El documento de seguridad puede ser nico y recoger todos los ficheros o tratamientos, o bien individualizado para cada fichero o tratamiento. Tambin se contempla la posibilidad de elaborar distintos documentos de seguridad agrupando ficheros o tratamientos segn el sistema de tratamiento utilizado en la organizacin o atendiendo a criterios organizativos del responsable.

U.D.4. Aplicacin de las medidas de seguridad

1. Medidas de seguridad para los ficheros automatizados


Antes de analizar las especificaciones de las medidas de seguridad aplicables a los ficheros automatizados, debemos hacer notar que algunas de ellas son de comn aplicacin para todo tipo de ficheros. A modo de esquema, podemos ver su representacin ms abajo.

1.1. Nivel bsico


Funciones y obligaciones del personal Todas las personas que tengan el acceso autorizado a los datos de carcter personal deben conocer las obligaciones y funciones que desarrollan y que, a su vez, estarn claramente definidas y argumentadas en el documento de seguridad. El documento distinguir las funciones y obligaciones para cada una de las personas o perfiles autorizados (responsable de seguridad, responsable del tratamiento, director de sistemas, etc.). Constituye una obligacin para el responsable del fichero o tratamiento dar a conocer a todo el personal las normas de seguridad que afecten al desarrollo de sus funciones, as como las consecuencias de su incumplimiento. Tambin recae sobre el responsable del fichero la facultad de delegar autorizaciones a los usuarios, cuando sea necesario para el desempeo de su trabajo. Cuando se realiza una prestacin de servicios para el tratamiento de los datos, el contrato recoger expresamente la prohibicin de acceder a los datos personales y la obligacin de secreto respecto a los datos a los que haya tenido acceso durante la prestacin.

Pgina 80 de 139

Seguridad de la informacin y proteccin de datos

Registro de incidencias

Por incidencia se entiende cualquier anomala o evento que afecte o pudiera afectar a la seguridad, integridad, confidencialidad o disponibilidad de los datos de carcter personal. La prdida de datos, las copias no autorizadas o el fallo en los sistemas de informacin son algunos ejemplos de incidencias.

Plataforma de Teleformacin de IFES

Pgina 81 de 139

El RLOPD establece que debe existir un registro y un procedimiento de notificacin y gestin de las incidencias en el que se incluya: Tipo de incidencia. Momento en que se ha producido o, en su caso, detectado. Persona que realiza la notificacin, a quin se le comunica, los efectos derivados y las medidas correctoras aplicadas.

Este procedimiento tiene que ser conocido y utilizado por todo el personal, de forma que cualquier persona que detecte una incidencia en la seguridad de los datos de carcter personal debe comunicarlo al responsable de seguridad para proceder a su rectificacin. Control de acceso

El RLOPD establece que cada usuario tendr acceso solo a aquellos recursos y datos que necesite para el desarrollo de sus funciones. Para ello, el responsable del fichero se encargar de que exista una relacin actualizada de usuarios y perfiles de usuarios que tienen acceso autorizado a los datos de carcter personal que traten, evitando que accedan a recursos distintos de los que le fueron autorizados. El Reglamento impone la obligacin de que nicamente el personal autorizado en el documento de seguridad puede cambiar la condicin de acceso autorizado sobre los recursos, de acuerdo con los criterios establecidos por el responsable del fichero. Adems, el acceso incluir los ficheros no automatizados. Tambin hay que tener en cuenta que, en caso de que exista personal ajeno al responsable del fichero con acceso a los recursos, estar sometido a las mismas condiciones y obligaciones de seguridad que el personal propio.

Pgina 82 de 139

Seguridad de la informacin y proteccin de datos

Gestin de soportes y documentos

Es una obligacin recogida en el RLOPD que los soportes y documentos que contengan datos de carcter personal deban identificar el tipo de informacin y ser inventariados, siempre y cuando las caractersticas fsicas del soporte lo permitan. En caso de que no puedan identificarse claramente, esta situacin debe quedar reflejada en el documento de seguridad.

Plataforma de Teleformacin de IFES

Pgina 83 de 139

Si los soportes contienen datos especialmente sensibles para su identificacin, se utilizarn sistemas de etiquetado que permitan a los usuarios con acceso autorizado identificar su contenido y que resulten difciles de identificar para el resto. En el caso de que el tratamiento de los datos se realice fuera de los locales donde estn ubicados los ficheros y que, por tanto, implique el transporte o traslado de soportes y documentos con datos de carcter personal (incluidos los correos electrnicos), dicha salida deber estar autorizada por el responsable del fichero o estar autorizada en el documento de seguridad. En el traslado de la documentacin deben adoptarse todas las medidas tendentes a evitar la sustraccin, prdida o acceso indebido de la informacin. Cuando un documento o soporte quiera ser desechado y contenga datos de carcter personal, deber procederse a su destruccin o borrado de manera que se impida el posterior acceso a la informacin contenida en el mismo. Por tanto, se realizar un inventario de los soportes, la identificacin del tipo de informacin que contienen o el sistema de etiquetado, el acceso restringido al lugar de almacenamiento, la autorizacin de las salidas de los soportes y las medidas para el transporte y destruccin de los mismos.

Pgina 84 de 139

Seguridad de la informacin y proteccin de datos

Identificacin y autenticacin

El personal con acceso a los datos de carcter personal debe proceder a su identificacin y autenticacin para efectuar el acceso. ste se realizar utilizando procedimientos y/o herramientas que, de forma inequvoca y personalizada para los usuarios, les den acceso al sistema, verificando adems que est autorizado. El mecanismo de autenticacin puede estar basado en la asignacin de contraseas de uso personal e intransferible. Tanto el procedimiento de asignacin y distribucin de contraseas, su almacenamiento de manera ininteligible y la periodicidad con la que deben cambiarse ser inferior a un ao.

Copias de respaldo y recuperacin

La responsabilidad de la recuperacin de los datos de las copias de seguridad recaer en el responsable de seguridad o en aquellos administradores del sistema debidamente autorizados. Ambos procedimientos, copias de respaldo y recuperacin de los datos, debern ser verificados cada seis meses por parte del responsable del fichero.

Plataforma de Teleformacin de IFES

Pgina 85 de 139

Las copias de respaldo se realizarn con una periodicidad semanal, de forma que se garantice su reconstruccin en el estado en que se encontraban en el momento de producirse la prdida o destruccin. nicamente en el caso de que haya que hacer la reconstruccin de los datos a partir de la ltima copia o grabacin manual, si existe documentacin que lo permita, deber ser anotado en el documento de seguridad. El entorno en el que se realicen las pruebas no se llevar a cabo con datos reales, salvo que el nivel de seguridad sea adecuado y se anote su realizacin en el documento de seguridad. Si, en cualquier caso, se previera hacer pruebas con datos reales, previamente deber hacerse una copia de seguridad.

Pgina 86 de 139

Seguridad de la informacin y proteccin de datos

Plataforma de Teleformacin de IFES

Pgina 87 de 139

1.2. Nivel medio


Responsable de seguridad Para hacer ms gil la gestin de la seguridad, no para delegar su autoridad, el responsable del fichero podr designar en el documento de seguridad a uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas. Como responsable de seguridad, debe encargarse de velar por el cumplimiento de las medidas, reglas y normas de seguridad fijadas. Sin embargo, no responde jurdicamente frente a infracciones o sanciones. Auditora

Los sistemas de informacin e instalaciones de tratamiento y almacenamiento de datos se sometern, al menos cada dos aos, a una auditora interna o externa para verificar el cumplimiento del RLOPD. Con carcter extraordinario, deber realizarse dicha auditora siempre que se realicen modificaciones sustanciales en el sistema de informacin que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas. Si se diera el caso, el cmputo de dos aos sealado en el prrafo anterior comienza en ese momento. Se elaborar un informe de auditora donde se verifique la adecuacin de las medidas y controles, y se propondrn, en su caso, las medidas correctoras o complementarias necesarias. Los informes de auditora son analizados por el responsable de seguridad, que elevar las conclusiones al responsable del fichero o tratamiento para que adopte las medidas correctoras adecuadas, quedando a disposicin de la AEPD o, en su caso, de las autoridades de control de las comunidades autnomas.

Pgina 88 de 139

Seguridad de la informacin y proteccin de datos

Gestin de soportes y documentos

El sistema de gestin de soportes y documentos para ficheros de nivel medio automatizados consistir en un sistema de registro de entrada y salida de soportes. El registro incluir: La fecha y hora de entrada y salida. El emisor. El nmero de documentos o soportes incluidos en el envo. El tipo de informacin que contienen. La forma de envo. La persona responsable de la recepcin o entrega, que deber estar debidamente autorizada. Identificacin y autenticacin

Para el nivel medio, las medidas de identificacin y autentificacin se ven reforzadas, ya que el responsable del fichero o tratamiento debe establecer un mecanismo que limite la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de informacin. Por ejemplo, si se intenta varias veces un acceso no autorizado, el sistema lo bloquear automticamente. Control de acceso fsico

Plataforma de Teleformacin de IFES

Pgina 89 de 139

Slo el personal autorizado en el documento de seguridad podr tener acceso a los lugares donde se hallen instalados los equipos fsicos que dan soporte a los sistemas de informacin. Esto debe quedar tambin registrado en el documento de seguridad, de manera que se elabore un listado con las personas que tienen acceso a las salas o locales, restringindose el acceso a las personas no autorizadas. Registro de incidencias

El registro de incidencias contendr un listado que indique los procedimientos realizados para la recuperacin de los datos, la persona que ejecut el proceso, los datos restaurados y, en su caso, aquellos que hayan sido recuperados manualmente. Ser necesaria la autorizacin del responsable del fichero para la ejecucin de los procedimientos de recuperacin de los datos.

1.3. Nivel alto


Gestin y distribucin de soportes Para evitar incidencias derivadas de la distribucin de los datos, los soportes se identificarn mediante sistemas de etiquetado comprensibles y con significado para el personal con acceso autorizado, y que adems dificulten la identificacin para el resto de personas. A esta medida se aade la obligacin de que la distribucin de los soportes que contengan datos de carcter personal se realizar cifrando dicha informacin, incluso en los dispositivos porttiles ubicados fuera de las instalaciones, de forma que no sea accesible o manipulada durante su transporte. En el caso de que los dispositivos porttiles no permitan su cifrado y sea estrictamente necesaria su distribucin, se harn constar los motivos en el documento de seguridad y se adoptarn medidas que tengan en cuenta los riesgos de realizar tratamientos en entornos desprotegidos. Copias de respaldo y recuperacin

Deber conservarse una copia de respaldo de los datos y de los procedimientos de recuperacin en un lugar distinto al de su ubicacin o almacenamiento principal, en el que se harn cumplir las medidas de seguridad exigidas o se utilizarn elementos que garanticen la integridad y recuperacin de la informacin.

Pgina 90 de 139

Seguridad de la informacin y proteccin de datos

Registro de accesos

Esta medida de seguridad certifica que de cada acceso se guardarn, como mnimo, la identificacin del usuario, la fecha y hora en que se realiz, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado. Los mecanismos que permitan el registro de accesos estarn bajo el control directo del responsable de seguridad y no deben permitir la desactivacin ni la manipulacin de los mismos. El periodo mnimo de conservacin de los datos registrados ser de dos aos. Adems, el responsable de seguridad se encargar de revisar al menos una vez al mes la informacin de control registrada y elaborar un informe de las revisiones realizadas y los problemas detectados. No ser necesario este registro de accesos, quedando constancia en el documento de seguridad, cuando: a. b. El responsable del fichero o del tratamiento sea una persona fsica. El responsable del fichero o del tratamiento garantice que nicamente l tiene acceso y trata los datos personales.

Plataforma de Teleformacin de IFES

Pgina 91 de 139

Telecomunicaciones

Normalmente, para la transmisin de datos de carcter personal se utilizan redes pblicas o redes inalmbricas de comunicaciones electrnicas. Para evitar manipulaciones o riesgos, la transferencia se realizar cifrando los datos o bien utilizando cualquier otro mecanismo que garantice que la informacin sea inteligible y no pueda ser manipulada por terceros.

Pgina 92 de 139

Seguridad de la informacin y proteccin de datos

2. Medidas de seguridad aplicables a los ficheros y tratamientos no automatizados (en soporte papel)
Como adelantbamos, la novedad ms significativa del RLOPD vigente es la inclusin de los ficheros no automatizados, en soporte papel, dentro de su mbito de aplicacin en materia de proteccin de datos. Este tipo de ficheros est sometido a obligaciones comunes con los ficheros automatizados con respecto a: 1. 2. 3. 4. 5. 6. 7. Documento de seguridad. Funciones y obligaciones del personal. Registro de incidencias. Control de accesos. Gestin de soportes. Responsable de seguridad. Auditoras.

Para los ficheros en soporte papel se establecen unas obligaciones especiales en cuanto al archivo, almacenamiento y custodia de soportes, que se recogen en los artculos 106 a 108 del RLOPD. Concretamente, el Reglamento establece:

Plataforma de Teleformacin de IFES

Pgina 93 de 139

2.1. Nivel bsico


Criterios de archivo El archivo de los soportes o documentos se llevar a cabo segn legislacin especfica que garantice la correcta conservacin de los documentos, la localizacin y consulta de la informacin y el ejercicio de los derechos de los interesados. En los casos en que no exista norma aplicable, el responsable del fichero definir los criterios y procedimientos de actuacin que deban seguirse para el archivo. Dispositivos de almacenamiento

Es obligatorio disponer de mecanismos que obstaculicen la apertura de los ficheros. Para ello, el responsable del tratamiento se asegurar de que las medidas de seguridad se cumplan, an en su ausencia, utilizando armarios o archivadores con
Pgina 94 de 139 Seguridad de la informacin y proteccin de datos

candado o llaves de seguridad, control de dgitos, etc., para garantizar que no acceden las personas no autorizadas. Custodia de los soportes

Hasta que la documentacin con datos de carcter personal no se encuentre archivada, deben establecerse medidas para la custodia, el almacenamiento y el acceso y manipulacin de la informacin.

2.2. Nivel medio


Para los ficheros no automatizados de nivel medio el RLOPD dispone las siguientes medidas adicionales: Responsable de seguridad. Se nombrar a un responsable de seguridad para los datos no automatizados (el mismo que para los datos automatizados). Auditora. Los ficheros no automatizados de este nivel se sometern a los mismos requisitos que hemos expuesto anteriormente.

2.3. Nivel alto


Almacenamiento de la informacin El RLOPD exige que los armarios o archivadores deban encontrarse en reas en las que el acceso est protegido con puertas de acceso dotadas de sistemas de apertura mediante llave, tarjetas u otro dispositivo equivalente. Estas reas permanecern cerradas cuando no sea preciso el acceso a los documentos incluidos en el fichero. En el caso de que no fuera posible disponer de reas cerradas que impidan el acceso a personas no autorizadas, el responsable adoptar medidas alternativas que, debidamente motivadas, se incluirn en el documento de seguridad. Copia o reproduccin

Solo podrn realizarse copias de documentos que contengan datos de carcter personal de nivel alto, con el control del personal autorizado en el documento de seguridad.

Plataforma de Teleformacin de IFES

Pgina 95 de 139

Adems es obligado proceder a la destruccin de las copias o reproducciones, cuando ya no sean necesarias, de forma que se evite el acceso a la informacin que contienen o su recuperacin posterior. Acceso a la documentacin

El acceso a la documentacin se limitar exclusivamente al personal autorizado. Se establecern, por tanto, mecanismos que permitan identificar los accesos realizados en el caso de documentos que puedan ser utilizados por mltiples usuarios. En el caso del personal no autorizado, el acceso quedar registrado de acuerdo con el procedimiento establecido al efecto en el documento de seguridad. Traslado de documentacin

Siempre que haya que trasladar fsicamente la documentacin contenida en un fichero fuera de su ubicacin habitual, debern adoptarse medidas dirigidas a impedir el acceso o manipulacin de la informacin objeto de traslado, para garantizar un control adecuado.

Material complementario: La seguridad en Internet


Este recurso es de tipo Multimedia. Tiene que conectarse a la plataforma para acceder a este recurso.

Pgina 96 de 139

Seguridad de la informacin y proteccin de datos

Seguridad de la informacin y proteccin de datos / Mdulo III . La seguridad en la proteccin de datos personal

Prcticas
Ejercicio 1. Responsable de seguridad
Este recurso es de tipo Prctica. Tiene que conectarse a la plataforma para acceder a este recurso.

Ejercicio 2. Globalizacin
Este recurso es de tipo Prctica. Tiene que conectarse a la plataforma para acceder a este recurso.

Plataforma de Teleformacin de IFES

Pgina 97 de 139

Seguridad de la informacin y proteccin de datos / Mdulo III . La seguridad en la proteccin de datos personal

Autoevaluacin
Pregunta 1: Qu es el documento de seguridad? Es el manual de prevencin de riesgos de la empresa. Es el documento que resulta de la auditora de las medidas de seguridad de proteccin de datos personales. Es el documento que recoge los procedimientos y normas de cada organizacin para el tratamiento de datos de carcter personal.

Respuesta correcta: Es el documento que recoge los procedimientos y normas de cada organizacin para el tratamiento de datos de carcter personal. Pregunta 2: El RLOPD no se aplica a los ficheros creados temporalmente. Verdadero Falso

Respuesta correcta: Falso Pregunta 3: Para un fichero con datos sobre acreedores debemos aplicar las medidas de seguridad de: Nivel medio. Nivel bsico. Nivel alto. Respuesta correcta: Nivel bsico. Pregunta 4: El documento de seguridad est normalizado por la AEPD y es nico para todo tipo de organizacin. Verdadero Falso Respuesta correcta: Falso

Pgina 98 de 139

Seguridad de la informacin y proteccin de datos

Pregunta 5: Identifica el criterio que no est incluido en los requisitos mnimos del documento de seguridad. mbito de aplicacin. Procedimiento de gestin de incidencias. Periodicidad de las auditoras. Respuesta correcta: Periodicidad de las auditoras. Pregunta 6: Cul de las siguientes medidas no es de comn aplicacin para todo tipo de ficheros? Funciones y obligaciones del personal. Control de accesos. Telecomunicaciones. Respuesta correcta: Telecomunicaciones. Pregunta 7: Los procesos de identificacin y autenticacin del RLOPD estn relacionados con: Verificacin del funcionamiento de los sistemas de informacin. Verificacin del personal con acceso autorizado. Verificacin de las copias de recuperacin.

Respuesta correcta: Verificacin del personal con acceso autorizado. Pregunta 8: El responsable de las copias de seguridad es: El responsable de informtica. El usuario. El responsable de seguridad.

Respuesta correcta: El responsable de seguridad. Pregunta 9: Las medidas especficas que se aplican a los ficheros en soporte papel estn relacionadas con: Archivo, almacenamiento y custodia.

Plataforma de Teleformacin de IFES

Pgina 99 de 139

Acceso y auditora. Se aplican las mismas que para los ficheros automatizados.

Respuesta correcta: Archivo, almacenamiento y custodia. Pregunta 10: Identifica la ltima etapa para garantizar los derechos que la Ley reconoce sobre la proteccin de datos: Inscripcin de ficheros. Auditora. Implantar medidas de seguridad. Respuesta correcta: Auditora.

Pgina 100 de 139

Seguridad de la informacin y proteccin de datos

Seguridad de la informacin y proteccin de datos / Mdulo III . La seguridad en la proteccin de datos personal

Juegos
Frase incompleta
Este recurso es de tipo Multimedia. Tiene que conectarse a la plataforma para acceder a este recurso.

Scrabble
Este recurso es de tipo Multimedia. Tiene que conectarse a la plataforma para acceder a este recurso.

Plataforma de Teleformacin de IFES

Pgina 101 de 139

Seguridad de la informacin y proteccin de datos

MODULO IV. LA AGENCIA ESPAOLA DE PROTECCIN DE DATOS


U.D.1. Naturaleza y rgimen de funcionamiento de la AEPD
La creacin de la Agencia Espaola de Proteccin de Datos (AEPD) se plante en la Ley Orgnica 5/1992, de 29 de octubre, de Regulacin del Tratamiento Automatizado de Datos de Carcter Personal (LORTAD), para velar por el cumplimiento y aplicacin de la legislacin en materia de proteccin de datos, sobre todo en lo que se refiere al ejercicio de los derechos por parte del interesado o afectado. Tras la derogacin de dicha ley y la entrada en vigor de la LOPD, la Agencia queda regulada en el artculo 35.2 donde se caracteriza como un ente de derecho pblico, con personalidad jurdica propia y plena capacidad pblica y privada, que acta con plena independencia de las Administraciones pblicas en el ejercicio de sus funciones. La Agencia Espaola de Proteccin de Datos (AEPD) se rige por el Ttulo VI de la LOPD y por el Real Decreto 428/1993, de 26 de marzo, por el que se aprueba su Estatuto y que actualmente contina vigente, tal y como lo determina la Disposicin Transitoria Tercera de la LOPD. En cuanto al rgimen jurdico que le asiste, en lo que respecta a las competencias, se regula: En el ejercicio de sus funciones pblicas, y en defecto de lo que disponga la presente Ley y sus disposiciones de desarrollo, la AEPD actuar de conformidad con la Ley 30/1992, de 26 de noviembre, de Rgimen Jurdico de las Administraciones Pblicas y del Procedimiento Administrativo Comn. Los procedimientos tramitados por la AEPD se regirn por lo dispuesto en el presente Ttulo y, supletoriamente, por la Ley 30/1992, de 26 de noviembre, de Rgimen Jurdico de las Administraciones Pblicas y del Procedimiento Administrativo Comn (artculo 115 del RLOPD).

Pgina 102 de 139

Seguridad de la informacin y proteccin de datos

Su rgimen presupuestario se gua por los Presupuestos Generales del Estado, y est sometida a control externo por el Tribunal de Cuentas y a control interno por la Intervencin General de la Administracin del Estado (IGAE). Vamos a analizar con ms detalle sus funciones frente a infracciones cometidas sobre proteccin de datos personales, los derechos que tutela y los procedimientos y actuaciones que lleva a cabo.

Plataforma de Teleformacin de IFES

Pgina 103 de 139

U.D.2. Funciones de la Agencia Espaola de Protecin de Datos


Las funciones de la AEPD quedan definidas en el artculo 37 de la LOPD y se desarrollan en el Captulo II de su Estatuto, agrupadas de la forma siguiente:

Pgina 104 de 139

Seguridad de la informacin y proteccin de datos

Funciones de carcter general: Velar por el cumplimiento de la legislacin sobre proteccin de datos y controlar su aplicacin, en especial en lo relativo a los derechos de informacin, acceso, rectificacin, oposicin y cancelacin de datos. Funciones en relacin con los interesados: Atender sus peticiones y reclamaciones. Informar de los derechos reconocidos en la LOPD. Promover campaas de difusin a travs de los medios de comunicacin. Funciones en relacin con quien tratan los datos: Emitir las autorizaciones previstas en la LOPD o en sus disposiciones reglamentarias. Requerir a los responsables y los encargados de los tratamientos, previa audiencia de stos, la adopcin de las medidas necesarias para la adecuacin del tratamiento de datos a las disposiciones de la LOPD. Ordenar, en caso de ilegalidad, la cesacin en el tratamiento y la cancelacin de los datos. Ejercer la potestad sancionadora. Recabar de los responsables de los ficheros la ayuda e informacin que estime necesaria para el ejercicio de sus funciones. Autorizar las transferencias internacionales de datos. Funciones en relacin con la elaboracin de normas: Informar, con carcter preceptivo (no vinculante) de los proyectos de normas de desarrollo de la LOPD y sobre aquellos que incidan en materias propias de datos personales. Dictar instrucciones y recomendaciones de adecuacin de los tratamientos a la LOPD. Dictar recomendaciones en materia de seguridad y control de acceso a los ficheros. Funciones en materia de telecomunicaciones: Tutelar los derechos y garantas de los abonados y usuarios en el mbito de las comunicaciones electrnicas y, en su caso, sancionar el envo de comunicaciones comerciales no solicitadas realizadas a travs de correo electrnico o medios de comunicacin electrnica equivalente. Otras funciones:

Plataforma de Teleformacin de IFES

Pgina 105 de 139

Elaborar una memoria anual, que el director remite al ministro de Justicia, para su posterior envo a las Cortes Generales. Velar por la publicidad de la existencia de los ficheros y difusin de un catlogo anual de los ficheros inscritos en el Registro General de Proteccin de Datos. Cooperacin con organismos internacionales y representacin institucional en materia de proteccin de datos de carcter personal. Control de los datos de carcter personal segn lo dispuesto en la Ley Reguladora de la Funcin Estadstica Pblica (Ley 12/1989, de 9 de mayo). Cuantas otras le sean atribuidas por normas legales o reglamentarias.

Pgina 106 de 139

Seguridad de la informacin y proteccin de datos

U.D.3. Estructura orgnica de la Agencia Espaola de Proteccin de Datos


El artculo 11 del Estatuto de la AEPD establece su estructura orgnica bsica, enumerando los siguientes rganos: El Director de la AEPD.

Plataforma de Teleformacin de IFES

Pgina 107 de 139

El Consejo Consultivo. El Registro General de Proteccin de Datos (RGPD). La Inspeccin de Datos. La Secretara General.

Como vemos en el siguiente esquema, todos los rganos son jerrquicamente dependientes del Director de la AEPD.

U.D.4. El Director de la Agencia Espaola de Proteccin de Datos


El Director de la AEPD asume y ostenta la representacin de la AEPD en el mbito internacional. Tiene la consideracin de alto cargo y ejerce su mandato por un periodo de cuatro aos, con dedicacin exclusiva y plena independencia y objetividad.

Pgina 108 de 139

Seguridad de la informacin y proteccin de datos

Para el desempeo de sus funciones, el Director cuenta, por un lado, con la Unidad de Apoyo, compuesta por el Adjunto al Director y el Gabinete Jurdico y, por otro, es asesorado por el Consejo Consultivo. El Estatuto tambin distingue en su artculo 12 entre las funciones de direccin y gestin que resumimos del siguiente modo: Funciones de direccin De forma genrica podemos decir que la asuncin de la direccin del cargo le lleva a dictar cuantas resoluciones o instrucciones procedan y estn relacionadas con las competencias de la AEPD. Algunos ejemplos son: Requerir a los responsables de ficheros de titularidad privada a que subsanen deficiencias de los cdigos tipo. Resolver motivadamente, previo informe del responsable del fichero, sobre la procedencia o improcedencia de la denegacin, total o parcial, del acceso a los ficheros policiales o tributarios. Autorizar transferencias temporales o definitivas de datos que hayan sido objeto de tratamiento automatizado o recogidos a tal efecto, con destino a pases cuya legislacin no ofrezca un nivel de proteccin adecuada. Convocar regularmente a los rganos competentes de las comunidades autnomas a efectos de cooperacin institucional y coordinacin de criterios o procedimientos de actuacin. Recabar de las distintas Administraciones pblicas la informacin necesaria para el cumplimiento de sus funciones. Solicitar de los rganos correspondientes de las comunidades autnomas la informacin necesaria para el cumplimiento de sus funciones, as como facilitar a aqullos la informacin que le soliciten a idnticos efectos. Adoptar las medidas cautelares y provisionales que requiera el ejercicio de la potestad sancionadora de la AEPD con relacin a los responsables de los ficheros. Iniciar e impulsar la instruccin y resolver los expedientes sancionadores referentes a los responsables de los ficheros privados. Instar la incoacin de expedientes disciplinarios en los casos de infracciones cometidas por rganos responsables de ficheros de las Administraciones pblicas. Autorizar la entrada en los locales en los que se hallen los ficheros con el fin de proceder a las inspecciones pertinentes, sin perjuicio de la aplicacin de las reglas que garantizan la inviolabilidad del domicilio.

Plataforma de Teleformacin de IFES

Pgina 109 de 139

Funciones de gestin Las funciones de gestin que asume el Director de la AEPD se relacionan con la ejecucin de la actividad econmico-financiera de la misma. Entre ellas encontramos: Conceder contratos que requieran la gestin de la AEPD y vigilar su cumplimiento y ejecucin. Aprobar gastos y ordenar pagos, dentro de los lmites de los crditos del presupuesto de gastos de la AEPD. Control econmico-financiero. Programar la gestin. Elaborar el anteproyecto de presupuesto de la AEPD. Proponer la relacin de puestos de trabajo. Aprobar la memoria anual. Ordenar la convocatoria de las reuniones del Consejo Consultivo.

El Estatuto tambin contempla la delegacin de ciertas competencias de gestin en la figura del Secretario General para el ejercicio de determinadas funciones.

El Consejo Consultivo
Como ya hemos adelantado, el Consejo Consultivo de la AEPD, es un rgano colegiado de asesoramiento del Director de la AEPD, al que le corresponden las funciones de formular propuestas y emitir cuantos informes caigan dentro de la competencia del Director y de la propia Agencia. Est compuesto por los siguientes miembros: Un diputado, propuesto por el Congreso de los Diputados. Un senador, propuesto por el Senado. Un representante de la Administracin general del Estado, designado por el Gobierno, a propuesta del ministro de Justicia. Un representante de la Administracin local, propuesto por la Federacin Espaola de Municipios y Provincias. Un miembro de la Real Academia de la Historia, propuesto por la misma. Un experto en la materia, propuesto por el Consejo Superior de Universidades. Un representante de los usuarios y consumidores, seleccionado mediante una terna propuesta por el Consejo de Consumidores y Usuarios. Un representante de cada comunidad autnoma que haya creado una agencia de proteccin de datos en su mbito territorial, propuesto de

Pgina 110 de 139

Seguridad de la informacin y proteccin de datos

acuerdo con el procedimiento que establezca la respectiva comunidad autnoma. Un representante del sector de ficheros privados, seleccionado mediante una terna propuesta por el Consejo Superior de Cmaras de Comercio, Industria y Navegacin de Espaa.

El nombramiento del cargo de Director se realiza entre los miembros del Consejo Consultivo que opera por normas establecidas reglamentariamente.

U.D.5. El Registro General de Proteccin de Datos (RGPD)


El Registro General de Proteccin de Datos (en adelante RGPD) es un rgano integrado en la AEPD al que corresponde velar por la publicidad de la existencia de los ficheros automatizados de datos de carcter personal, ya sean de titularidad pblica o privada, con miras a hacer posible el ejercicio de los derechos de informacin, acceso, rectificacin y cancelacin de datos regulados en la LOPD. Sabemos que todo fichero de datos de carcter personal incluido en el mbito de aplicacin de la LOPD debe registrarse, con carcter previo a su creacin, notificando una determinada informacin. Adems, tal y como reconoce la LOPD en su artculo 14, el derecho de consulta al RGPD tiene carcter pblico y gratuito.
Plataforma de Teleformacin de IFES Pgina 111 de 139

Segn la estructura orgnica de la AEPD, el Registro se divide en la unidad de ficheros pblicos y la unidad de ficheros privados. El artculo 39 de la LOPD exige que sean objeto de inscripcin los siguientes ficheros: 1. Los ficheros de datos de carcter personal de los que sean titulares: La Administracin general del Estado. Las entidades y organismos de la Seguridad Social. Los organismos autnomos del Estado, cualquiera que sea su clasificacin. Las sociedades estatales y entes del sector pblico. Las Administraciones de las comunidades autnomas, as como sus organismos dependientes. Las entidades de la Administracin local y los entes y organismos dependientes de la misma. Cualesquiera otras personas jurdico-pblicas. Cualquier persona privada, fsica o jurdica.

2. Las autorizaciones de transferencias internacionales de datos personales. 3. Los cdigos tipo. 4. Los datos relativos a los ficheros que sean necesarios para el ejercicio de los derechos de informacin, acceso, rectificacin, cancelacin y oposicin.

Pgina 112 de 139

Seguridad de la informacin y proteccin de datos

La actividad del RGPD ha ido evolucionando de manera que el procedimiento de notificacin e inscripcin de los ficheros puede efectuarse por va telemtica, ofreciendo una prestacin de servicios ms gil y eficaz, tal y como se recoge en la Resolucin de la AEPD, de 12 de julio de 2006, en la que se faculta a los responsables de ficheros con datos de carcter personal de titularidad pblica y de titularidad privada a realizar lo siguiente: Cumplir con la obligacin que establece la LOPD de notificar sus ficheros a la AEPD, a travs de una herramienta que informa y asesora acerca de los requerimientos de la notificacin. Presentar sus notificaciones a travs de Internet, con y sin firma electrnica. Presentar sus notificaciones en otros soportes: informtico o papel. Realizar notificaciones pre-cumplimentadas de forma simplificada. Conocer el estado de tramitacin de las notificaciones remitidas a travs de Internet, mediante certificado de firma electrnica o mediante el cdigo de envo generado por el formulario electrnico. Consultar el contenido completo de la inscripcin de sus ficheros en la web de la AEPD.

El contenido de la inscripcin de los ficheros est regulado en el artculo 20 de la LOPD, para los ficheros de titularidad pblica y en el artculo 26 para los ficheros de titularidad privada. Por va reglamentaria tambin est regulado el procedimiento de inscripcin de los ficheros, modificacin, cancelacin, reclamaciones e interposicin de recursos, entre otros. En concreto, las disposiciones reglamentarias de las que hablamos quedan recogidas en: Real Decreto 1332/1994, de 20 de junio. Resolucin de la AEPD, de 30 de mayo de 2000, por la que se aprueban los modelos normalizados en soporte papel, magntico y telemtico, a travs de los que debern efectuarse las solicitudes de inscripcin en el Registro General de Proteccin de Datos.

Los principios de la inscripcin de ficheros se pueden resumir en los siguientes puntos: El responsable del fichero notifica su inscripcin al Registro, con anterioridad a la realizacin de un tratamiento o de un conjunto de tratamientos de datos de carcter personal. La inscripcin es meramente declarativa, es decir, no evala el grado de cumplimiento de las obligaciones derivadas de la LOPD.

Plataforma de Teleformacin de IFES

Pgina 113 de 139

La notificacin de ficheros debe realizarse conforme a la Ley. La notificacin de los ficheros al Registro supone una obligacin para los responsables del tratamiento y un derecho para las personas afectadas, ya que pueden tener acceso a la informacin y estado de sus datos personales en posesin del titular de los ficheros, ante los que deben ejercitar directamente los derechos recogidos en la LOPD.

El RGPD solo inscribe aquellos ficheros que se ajusten a los requisitos exigibles. Una vez inscrito el fichero en el RGPD, la AEPD notifica la resolucin de inscripcin al Director de la AEPD. Por otro lado, los interesados pueden solicitar la notificacin de inscripcin de ficheros por medios telemticos a travs del servicio de notificaciones telemticas (www.notificaciones.administracion.es).

Pgina 114 de 139

Seguridad de la informacin y proteccin de datos

rganos correspondientes de las comunidades autnomas


Segn el artculo 41 de la LOPD, las funciones de la AEPD reguladas en el artculo 37, a excepcin de las mencionadas por la LOPD, en relacin con sus especficas competencias... sern ejercidas cuando afecten a ficheros de datos de carcter personal creados o gestionados por las comunidades autnomas y por la Administracin local de su mbito territorial, por los rganos correspondientes de cada comunidad, que tendrn la consideracin de autoridades de control, a los que garantizarn plena independencia y objetividad en el ejercicio de su cometido. De acuerdo con la LOPD (artculo 41.2), las comunidades autnomas podrn crear y mantener sus propios registros de ficheros para el ejercicio de las competencias que se les reconoce sobre los mismos. En la actualidad nicamente existen agencias de proteccin de datos autonmicas en Madrid, Catalua y Pas Vasco: Mediante la Ley 13/1995, de 21 de abril, de regulacin del uso de la informtica en el tratamiento de datos personales por la Comunidad de Madrid, modificada y ampliada por la Ley 13/1997, de 16 de junio, se crea la Agencia de Proteccin de Datos de la Comunidad de Madrid. Actualmente, las citadas leyes han quedado derogadas por la Ley 8/2001. Mediante la Ley 5/2002 se crea la Agencia Catalana de Proteccin de Datos. La Ley 2/2004 del Parlamento Vasco, de 25 de febrero de 2004, crea la Agencia Vasca de Proteccin de Datos.

Segn el Estatuto de creacin de la AEPD, el Director de la AEPD puede convocar regularmente a los rganos correspondientes de las comunidades autnomas, a efectos de cooperacin institucional y coordinacin de criterios o procedimientos de actuacin. Para concluir, podemos decir que el derecho fundamental a la proteccin de datos personales, recogido en sentencia emitida por el Tribunal Constitucional, deriva directamente de la Constitucin Espaola y atribuye a los ciudadanos la facultad para poder controlar sus datos personales, sobre la base de su consentimiento informado, en los casos que proceda.

Plataforma de Teleformacin de IFES

Pgina 115 de 139

La Ley Orgnica 15/1999 regula el derecho fundamental a la proteccin de datos y dispone que ser la Agencia Espaola de Proteccin de Datos la encargada de tutelar y garantizar este derecho, as como velar por el cumplimiento de la legislacin en la materia y controlar su aplicacin, en especial en lo relativo a los derechos de informacin, acceso, rectificacin, oposicin y cancelacin de datos. Entre sus funciones est tambin la obligacin de atender las peticiones y reclamaciones que puedan ser formuladas por las personas a las que se les hayan vulnerado los derechos y la potestad sancionadora de las infracciones que puedan ser cometidas en la materia.

U.D.6. Inspeccin de Datos


La Inspeccin de Datos es el rgano de la AEPD cuya doble misin se concreta, por un lado, como su propio nombre indica, en la inspeccin y, por otro, en la instruccin de los expedientes sancionadores y procedimientos de tutela de derechos.

1. Funcin inspectora
El personal dedicado a estas labores desempea su funcin recabando la informacin necesaria de los ficheros para el cumplimiento de los cometidos reconocidos en la LOPD. La Inspeccin de Datos puede iniciarse de forma peridica o circunstancial, de oficio o a instancia de los afectados, de cualquier tipo de ficheros, en los locales en los que se hallen los mismos y sobre los soportes que corresponda, previa autorizacin expedida por el Director de la Agencia.

A tal efecto, la Inspeccin de Datos podr: 1. 2. 3. 4. 5. 6. 7. Examinar los soportes de informacin que contengan los datos personales. Examinar los equipos fsicos. Requerir el pase de programas y examinar la documentacin pertinente para determinar, en caso necesario, los algoritmos de los procesos de que los datos sean objeto. Examinar los sistemas de transmisin y acceso a los datos. Realizar auditoras de los sistemas informticos para determinar su conformidad con las disposiciones de la LOPD. Requerir la exhibicin de cualesquiera otros documentos pertinentes. Requerir el envo de toda informacin precisa para el ejercicio de las funciones inspectoras.

Pgina 116 de 139

Seguridad de la informacin y proteccin de datos

2. Funcin instructora
La Inspeccin de Datos tambin incluye entre sus competencias la funcin instructora de los expedientes sancionadores.

El procedimiento sancionador se encuentra regulado por el R.D. 1332/1994 y distingue tres clases de procedimientos: 1. 2. 3. Sancionador incoado, contra los responsables de ficheros de titularidad privada por infraccin de la LOPD. Por infracciones de las Administraciones pblicas. De tutela de derechos, en el caso de vulneracin de los derechos de acceso, rectificacin o cancelacin.

Plataforma de Teleformacin de IFES

Pgina 117 de 139

Pgina 118 de 139

Seguridad de la informacin y proteccin de datos

3. Secretara General
La Secretaria General es el rgano de la AEPD encargado de la gestin administrativa de la misma, apoyando y ejecutando tareas propias, entre las que se incluyen: Elaborar los informes y propuestas que le solicite el Director de la AEPD. Notificar las resoluciones del Director. Ejercer la secretara del Consejo Consultivo. Gestionar los medios personales y materiales adscritos a la AEPD. Atender a la gestin econmico-administrativa del presupuesto de la AEPD. Llevar el inventario de bienes y derechos que se integren en el patrimonio de la AEPD. Gestionar los asuntos de carcter general no atribuidos a otros rganos de la AEPD. Ejercer las funciones que le correspondan por delegacin del Director.

Por otra parte, tambin est encargada de: Formar y actualizar un fondo de documentacin sobre legislacin, jurisprudencia y doctrina en materia de proteccin de datos personales y cualesquiera materias conexas. Editar los repertorios oficiales de ficheros inscritos en el RGPD, las memorias anuales de la AEPD y cualesquiera publicaciones de la misma. Organizar conferencias, seminarios y cualesquiera actividades de cooperacin internacional e interregional en materia de proteccin de datos. Atender y facilitar informacin a los ciudadanos en cuestiones relacionadas con la proteccin de datos.

Material complementario: Nociones bsicas sobre proteccin de datos personales


Este recurso es de tipo Multimedia. Tiene que conectarse a la plataforma para acceder a este recurso.

Plataforma de Teleformacin de IFES

Pgina 119 de 139

Seguridad de la informacin y proteccin de datos / MODULO IV. LA AGENCIA ESPAOLA DE PROTECCIN DE DATOS

Prcticas
Ejercicio 1. Ficheros
Este recurso es de tipo Prctica. Tiene que conectarse a la plataforma para acceder a este recurso.

Pgina 120 de 139

Seguridad de la informacin y proteccin de datos

Seguridad de la informacin y proteccin de datos / MODULO IV. LA AGENCIA ESPAOLA DE PROTECCIN DE DATOS

Autoevaluacin
Pregunta 1: La funcin principal de la AEPD es: Imponer sanciones por incumplimiento. Velar por el cumplimiento de la legislacin sobre proteccin de datos y controlar su aplicacin. Elaborar y actualizar la normativa existente en materia de proteccin de datos.

Respuesta correcta: Velar por el cumplimiento de la legislacin sobre proteccin de datos y controlar su aplicacin. Pregunta 2: Indicar la opcin correcta en relacin con la funcin de las comunidades autnomas en materia de proteccin de datos: No tienen competencias asignadas en esta materia. Todas las comunidades autnomas han creado rganos especficos. Tienen como objetivo regular normativa propia en el mbito de sus competencias asignadas. Respuesta correcta: Tienen como objetivo regular normativa propia en el mbito de sus competencias asignadas. Pregunta 3: La AEPD tiene personalidad jurdica propia y acta de manera dependiente en el ejercicio de sus funciones con las Administraciones pblicas. Verdadero Falso Respuesta correcta: Falso Pregunta 4: La Subdireccin General de Inspeccin es la encargada de inscribir los ficheros de datos de carcter personal, independientemente de que su titularidad sea pblica o privada.

Plataforma de Teleformacin de IFES

Pgina 121 de 139

Verdadero Falso

Respuesta correcta: Falso Pregunta 5: El Director de la AEPD: Se nombra entre los miembros de la Secretara General. Se nombra entre los miembros del Consejo Consultivo para un periodo de 4 aos. Slo puede cesar de su mandato por peticin propia o una vez cumplido el periodo del mismo.

Respuesta correcta: Se nombra entre los miembros del Consejo Consultivo para un periodo de 4 aos. Pregunta 6: Qu rgano no forma parte de la estructura orgnica bsica de la AEPD? La Secretara General. La Subdireccin General de Infracciones. La Subdireccin General de Inspeccin de Datos.

Respuesta correcta: La Subdireccin General de Infracciones. Pregunta 7: La instruccin de los expedientes sancionadores corresponde: Al Consejo Consultivo. Al Director. A la Subdireccin General de Inspeccin de Datos.

Respuesta correcta: A la Subdireccin General de Inspeccin de Datos. Pregunta 8: Segn indica la LOPD, las comunidades autnomas no pueden crear y mantener sus propios registros de ficheros. Verdadero Falso Respuesta correcta: Falso

Pgina 122 de 139

Seguridad de la informacin y proteccin de datos

Pregunta 9: Segn la LOPD, los cdigos tipo son objeto de inscripcin en el Registro de la AEPD? S. No.

Respuesta correcta: S. Pregunta 10: Puede notificarse por va telemtica la inscripcin de ficheros? S. No. S, si se dispone de firma digital.

Respuesta correcta: S, si se dispone de firma digital.

Plataforma de Teleformacin de IFES

Pgina 123 de 139

Seguridad de la informacin y proteccin de datos / MODULO IV. LA AGENCIA ESPAOLA DE PROTECCIN DE DATOS

Juegos
Puzzle
Este recurso es de tipo Multimedia. Tiene que conectarse a la plataforma para acceder a este recurso.

Scrabble
Este recurso es de tipo Multimedia. Tiene que conectarse a la plataforma para acceder a este recurso.

Pgina 124 de 139

Seguridad de la informacin y proteccin de datos

Seguridad de la informacin y proteccin de datos

Evaluacin final del curso


Este recurso es de tipo Evaluacin. Debe conectarse a la plataforma para realizar la evaluacin. Recuerde que las evaluaciones son obligatorias ya que determinan la nota final.

Plataforma de Teleformacin de IFES

Pgina 125 de 139

Seguridad de la informacin y proteccin de datos

RECURSOS COMUNES
Glosario
Autenticacin Procedimiento de comprobacin de la identidad de un usuario. Accesos autorizados Autorizaciones o permisos concedidos otorgados por el responsable o el titular de los datos de carcter personal para utilizar cualquier recurso o para acceder a cualquier sistema, red o programa informtico. Tambin las autorizaciones o funciones que tenga atribuidas un usuario por delegacin del responsable del fichero o tratamiento o del responsable de seguridad. Afectado o interesado Persona fsica identificada o identificable, titular de los datos de carcter personal que sean objeto del tratamiento. Auditora Informe para verificar el cumplimiento del Reglamento y de los procedimientos e instrucciones vigentes en materia de seguridad de datos. El informe de auditora dictamina sobre la adecuacin de las medidas y controles al Reglamento, identifica sus deficiencias y propone las medidas correctoras o complementarias necesarias y quedan a disposicin de la Agencia Espaola de Proteccin de Datos. Bloqueo de datos Identificacin y reserva de datos de carcter personal con el fin de impedir su tratamiento, salvo que sean requeridos por parte de las Administraciones pblicas, jueces y tribunales para la atencin de las posibles responsabilidades nacidas del tratamiento y solo durante el plazo de prescripcin de dichas responsabilidades. Transcurrido ese plazo, deber procederse a la supresin de los datos. Cancelacin Procedimiento en virtud del cual el responsable cesa en el uso de los datos de carcter personal y que implica el bloqueo de los mismos. Comunicacin o cesin de datos Tratamiento de datos que supone su revelacin a una persona distinta del interesado.

Pgina 126 de 139

Seguridad de la informacin y proteccin de datos

Consentimiento del interesado Toda manifestacin de voluntad, libre, inequvoca, especfica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen. Contrasea Informacin confidencial, frecuentemente constituida por una cadena de caracteres, que puede ser usada en la autenticacin de un usuario o en el acceso a un recurso. Control de acceso Mecanismo que en funcin de la identificacin ya autentificada permite acceder a datos o recursos. Copia de respaldo Copia de los datos de un fichero automatizado en un soporte que posibilite su recuperacin. Dato disociado Aquel que por s mismo no permite la identificacin de un afectado o interesado. Datos accesibles al pblico Datos que se encuentran a disposicin del pblico en general, no impedida por cualquier norma limitativa, y estn recogidos en medios tales como censos, anuarios, bases de datos pblicas, repertorios de jurisprudencia, archivos de prensa, repertorios telefnicos o anlogos, as como los datos publicados en forma de listas de personas pertenecientes a grupos profesionales que contengan nicamente los nombres, ttulos, profesin, actividad, grados acadmicos, direccin e indicacin de su pertenencia al grupo. Datos de carcter personal Cualquier informacin numrica, alfabtica, grfica, fotogrfica, acstica o de cualquier otro tipo concerniente a personas fsicas identificadas o identificables. Se considera identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un nmero de identificacin o uno o varios elementos especficos, caractersticos de su identidad fsica, fisiolgica, psquica, econmica, cultural o social. Destinatario o cesionario Persona fsica o jurdica, pblica o privada u rgano administrativo, al que se revelen los datos. No obstante, las autoridades que puedan recibir una comunicacin de datos en el marco de una investigacin especfica no sern considerados destinatarios. Podrn ser tambin destinatarios los entes sin personalidad jurdica que acten en el trfico como sujetos diferenciados.

Plataforma de Teleformacin de IFES

Pgina 127 de 139

Documentacin Todo escrito, grfico, sonido, imagen o cualquier otra clase de informacin que puede ser tratada en un sistema de informacin como una unidad diferenciada. Encargado del tratamiento La persona fsica o jurdica, pblica o privada, u rgano administrativo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento o del responsable del fichero, como consecuencia de la existencia de una relacin jurdica que le vincula con el mismo y delimita el mbito de su actuacin para la prestacin de un servicio. Podrn ser tambin encargados del tratamiento los entes sin personalidad jurdica que acten en el trfico como sujetos diferenciados. Exportador de datos personales La persona fsica o jurdica, pblica o privada, u rgano administrativo situado en territorio espaol que realice, conforme a lo dispuesto en el Reglamento, una transferencia de datos de carcter personal a un pas tercero. Fichero Todo conjunto organizado de datos de carcter personal, que permita el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere la forma o modalidad de su creacin, almacenamiento, organizacin y acceso. Fichero automatizado Significa cualquier conjunto de informaciones que sea objeto de un tratamiento automatizado. Fichero de datos personales Los ficheros de los que sean responsables las personas, empresas o entidades de derecho privado, con independencia de quien ostente la titularidad de su capital o de la procedencia de sus recursos econmicos, as como los ficheros de los que sean responsables las corporaciones de derecho pblico, en cuanto dichos ficheros no se encuentren estrictamente vinculados al ejercicio de potestades de derecho pblico que a las mismas atribuye su normativa especfica. Fichero no automatizado Todo conjunto de datos de carcter personal organizado de forma no automatizada y estructurado conforme a criterios especficos relativos a personas fsicas, que permitan acceder sin esfuerzos desproporcionados a sus datos personales, ya sea aqul centralizado, descentralizado o repartido de forma funcional o geogrfica. Ficheros de titularidad privada

Pgina 128 de 139

Seguridad de la informacin y proteccin de datos

Los ficheros de los que sean responsables las entidades sometidas al derecho privado, no vinculados en ningn caso con el ejercicio de potestades de Derecho pblico, incluyendo aquellos de los que sean responsables las fundaciones sanitarias del sector pblico, salvo, en su caso, las fundaciones pblicas sanitarias, las sociedades del sector pblico empresarial del Estado, la comunidad autnoma, la provincia o el municipio, con independencia de su estructura accionarial, y las corporaciones de Derecho pblico, en cuanto dichos ficheros no se encuentren estrictamente vinculados al ejercicio de las potestades de Derecho pblico que a las mismas atribuye su normativa especfica. Ficheros de titularidad pblica Los ficheros de los que sean responsables los rganos constitucionales o con relevancia constitucional del Estado o las instituciones autonmicas con funciones anlogas a los mismos, las Administraciones pblicas territoriales, as como las entidades u organismos vinculados o dependientes de las mismas y las corporaciones de Derecho pblico siempre que su finalidad sea el ejercicio de potestades de Derecho pblico. Ficheros temporales Ficheros de trabajo creados por usuarios o procesos que son necesarios para un tratamiento ocasional o como paso intermedio durante la realizacin de un tratamiento. Fuentes accesibles al pblico Aquellos ficheros cuya consulta puede ser realizada por cualquier persona, no impedida por una norma limitativa, o sin ms exigencia que, en su caso, el abono de una contraprestacin. Tienen la consideracin de fuentes de acceso pblico, exclusivamente, el censo promocional, los repertorios telefnicos en los trminos previstos por su normativa especfica y las listas de personas pertenecientes a grupos de profesionales que contengan nicamente los datos de nombre, ttulo, profesin, actividad, grado acadmico, direccin e indicacin de su pertenencia al grupo. Asimismo, tienen el carcter de fuentes de acceso pblico, los diarios y boletines oficiales y los medios de comunicacin. Aquellos ficheros cuya consulta puede ser realizada, por cualquier persona, no impedida por una norma limitativa o sin ms exigencia que, en su caso, el abono de una contraprestacin. Identificacin Procedimiento de reconocimiento de la identidad de un usuario. Importador de datos personales Persona fsica o jurdica, pblica o privada, u rgano administrativo receptor de los datos en caso de transferencia internacional de los mismos a un tercer pas, ya sea responsable del tratamiento, encargada del tratamiento o tercero.

Plataforma de Teleformacin de IFES

Pgina 129 de 139

Incidencia Cualquier anomala que afecte o pudiera afectar a la seguridad de los datos. Perfil de usuario Accesos autorizados a un grupo de usuarios. Persona identificable Toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier informacin referida a su identidad fsica, fisiolgica, psquica, econmica, cultural o social. Procedimiento de disociacin Todo tratamiento de datos personales que permita la obtencin de datos disociados. Recurso Cualquier parte componente de un sistema de informacin. Registro General de Proteccin de Datos rgano de la Agencia Espaola de Proteccin de Datos al que corresponde velar por la publicidad de la existencia de los ficheros automatizados de datos de carcter personal, con miras a hacer posible el ejercicio de los derechos de informacin, acceso, rectificacin y cancelacin de datos. Responsable de seguridad Persona o personas a las que el responsable del fichero ha asignado formalmente la funcin de coordinar y controlar las medidas de seguridad aplicables. Responsable del tratamiento Persona fsica o jurdica, autoridad pblica, servicio o cualquier otro organismo que slo o conjuntamente con otros determine los fines y los medios del tratamiento de datos personales. En el caso de entes sin personalidad jurdica se considerar responsable del tratamiento a la persona o personas integrantes de los mismos, que decida sobre los extremos sealados en el prrafo anterior. Sistema de informacin Conjunto de ficheros, tratamientos, programas, soportes y en su caso, equipos empleados para el tratamiento de datos de carcter personal. Sistema de tratamiento Modo en que se organiza o utiliza un sistema de informacin. Atendiendo al sistema de tratamiento, los sistemas de informacin podrn ser automatizados, no automatizados o parcialmente automatizados.

Pgina 130 de 139

Seguridad de la informacin y proteccin de datos

Soporte Objeto fsico susceptible de ser tratado en un sistema de informacin y sobre el cual se pueden grabar o recuperar datos. Soporte Objeto fsico que almacena o contiene datos o documentos, u objeto susceptible de ser tratado en un sistema de informacin y sobre el cual se pueden grabar y recuperar datos. Supresin Eliminacin fsica de los datos de carcter personal bloqueados una vez cumplido el plazo de prescripcin de las posibles responsabilidades nacidas del tratamiento durante el cual se guardaron bloqueados. Tercero La persona fsica o jurdica, pblica o privada u rgano administrativo distinta del afectado o interesado, del responsable del tratamiento, del responsable del fichero, del encargado del tratamiento y de las personas autorizadas para tratar los datos bajo la autoridad directa del responsable del tratamiento o del encargado del tratamiento. Podrn ser tambin terceros los entes sin personalidad jurdica que acten en el trfico como sujetos diferenciados. Transferencia de datos Transporte de datos entre sistemas informticos por cualquier medio de transmisin, as como el transporte de soportes de datos por correo o por cualquier otro medio convencional. Transferencia internacional de datos Tratamiento de datos que supone una transmisin de los mismos fuera del territorio del Espacio Econmico Europeo, bien constituya una cesin o comunicacin de datos, bien tenga por objeto la realizacin de un tratamiento de datos por cuenta del responsable del fichero establecido en territorio espaol. Transmisin de documentos Cualquier traslado, comunicacin, envo, entrega o divulgacin de la informacin contenida en el mismo. Tratamiento automatizado Se entiende las operaciones que a continuacin se indican efectuadas en su totalidad o en parte con ayuda de procedimientos automatizados: Registro de datos, aplicacin a esos datos de operaciones lgicas aritmticas, su modificacin, borrado, extraccin o difusin.

Plataforma de Teleformacin de IFES

Pgina 131 de 139

Tratamiento de datos Cualquier operacin o procedimiento tcnico, sea o no automatizado, que implique la recogida, grabacin, organizacin conservacin, elaboracin, modificacin, consulta, utilizacin, bloqueo, modificacin, extraccin, consulta, utilizacin comunicacin por transmisin, difusin o cancelacin, as como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias. Usuario Sujeto o proceso autorizado para acceder a datos o recursos. sujeto o proceso autorizado para acceder a datos o recursos. Sujeto o proceso autorizado para acceder a datos o recursos. Sujeto o proceso autorizado para acceder a datos o recursos. Tendrn la consideracin de los procesos que permitan acceder a datos o recursos sin identificacin de un usuario fsico.

FAQ
La legislacin vigente sobre proteccin de datos de carcter personal se aplica tambin a las personas jurdicas? La LOPD slo es aplicable a las personas fsicas, siendo su objetivo garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades pblicas y los derechos fundamentales de las personas fsicas, especialmente a su honor e intimidad personal y familiar. Ests buscando trabajo y has creado una base de datos en tu ordenador con datos de posibles empresas a las que enviar tu currculum vtae. Es obligatorio notificar la creacin de este fichero ante la Agencia Espaola de Proteccin de Datos? No es necesario, ya que la LOPD recoge una serie de excepciones para declarar ficheros. Una de ellas se refiere a los ficheros mantenidos por personas fsicas en el ejercicio de actividades exclusivamente personales o domsticas. Cundo se considera que la documentacin en soporte papel forma parte de un fichero no automatizado? Para que exista un fichero no automatizado, el Reglamento de aplicacin de la LOPD exige que el conjunto de datos se encuentre estructurado con arreglo a criterios referidos a personas fsicas. Si concurren estos criterios, el fichero debe regirse por la legislacin sobre proteccin de datos. Pueden ejercitarse los derechos que reconoce la LOPD a los interesados por el correo electrnico?

Pgina 132 de 139

Seguridad de la informacin y proteccin de datos

S, siempre que se garantice la identificacin del afectado y se ejerciten a travs de la direccin de correo facilitada al responsable del fichero. Cundo se aplica el nivel bsico de seguridad a datos de salud? El Reglamento de aplicacin de la LOPD dictamina que deber aplicarse las medidas de seguridad correspondientes al nivel bsico para datos relativos a la salud cuando se haga referencia a datos sobre discapacidad, incapacidad laboral, invalidez, enfermedad comn, accidente laboral, enfermedad profesional. Si se describe la enfermedad o situacin de salud concreta que la causa, o se incluye un cdigo numrico que permita establecerla, el nivel de seguridad aplicable a los ficheros ser el alto. A qu se refiere la normativa sobre proteccin de datos cuando dice que las copias de respaldo debern guardarse en lugar fsico diferente? El espacio fsico debe ser diferente al de su ubicacin y no pueden darse los mismos riesgos fsicos (por ejemplo, incendio o inundacin). Slo ser admisible que las copias de respaldo se guarden en un espacio distinto en la misma sede si queda justificado en el documento de seguridad y se adoptan medidas complementarias para minimizar el riesgo (por ejemplo, armarios ignfugos, sistemas anti-incendio, etc.). Hay que tener en cuenta que esto no se aplica en el caso de ficheros no automatizados. Qu pases, segn la LOPD, ofrecen un nivel adecuado de proteccin en el caso de transferencias internacionales de datos? Los pases que han sido valorados con un nivel de proteccin equiparable al que presta la LOPD son: todos los que forman el Espacio Econmico Europeo, Suiza, Argentina, Guernsey, Isla de Man, Jersey, Canad respecto de las entidades sujetas al mbito de aplicacin de la ley canadiense de proteccin de datos, y las entidades estadounidenses adheridas a los principios de puerto seguro (safe harbor). Con todos ellos podemos transmitir datos personales sin necesidad de autorizacin previa. Qu entidades estn obligadas a pasar una auditora sobre el cumplimiento en materia de proteccin de datos? El Reglamento de aplicacin de la LOPD establece la necesidad de someter los sistemas de informacin e instalaciones de tratamiento de datos de carcter personal calificados de nivel medio y alto a una auditora que verifique el cumplimiento de las disposiciones vigentes en materia de seguridad de datos, al menos, cada dos aos. Cmo se inscriben, modifican o suprimen los ficheros de datos de carcter personal? Segn la LOPD, deben inscribirse en el Registro General de Proteccin de Datos todos los ficheros que contengan datos de carcter personal. La inscripcin debe realizarla el responsable o responsables de lo/s ficheros y conforme al modelo estndar facilitado por la AEPD. En el caso de que se solicite la modificacin de la inscripcin de un

Plataforma de Teleformacin de IFES

Pgina 133 de 139

fichero, deber notificar, de acuerdo a lo dispuesto en el artculo 26.3 de la LOPD, los cambios que se produzcan en la finalidad del fichero automatizado, en su responsable y en la direccin de su ubicacin, o cualquier otra modificacin que se pudiera haber producido desde la declaracin inicial del fichero objeto de inscripcin en el Registro General de Proteccin de Datos. Deben notificarse al Registro General de Proteccin de Datos todas las operaciones efectuadas sobre un fichero de datos de carcter personal? Las operaciones sujetas a notificacin al Registro sobre los ficheros de datos de carcter personal son: la creacin de un nuevo fichero, los tratamientos y cualquier modificacin posterior en el contenido de la inscripcin de un fichero. Cmo se notifica la existencia de un fichero al Registro General de Proteccin de Datos? La notificacin de la existencia de un fichero al Registro General de Proteccin de Datos puede realizarse por va telemtica y de manera gratuita (sistema NOTA) a travs de los formularios facilitados en la pgina web de la AEPD. Qu uso puede darse a los datos de carcter personal que aparezcan en pginas web? Segn la LOPD los datos de carcter personal contenidos en las pginas web no se consideran datos procedentes de fuentes accesibles al pblico y por tanto no pueden ser sometidos a tratamiento sin contar con el consentimiento de los interesados, tal y como establece la normativa. Puedo solicitar a la Agencia Espaola de Proteccin de Datos informacin sobre mis datos personales que estn en posesin de empresas u organizaciones? El Registro General de Proteccin de Datos contiene informacin sobre los nombres de los ficheros, su responsable, su finalidad y las personas o entidades ante quienes se pueden ejercer los derechos de acceso, rectificacin y cancelacin, pero no las personas respecto de las cuales se tratan sus datos. Por tanto, se puede conocer qu ficheros de datos tiene inscritos una determinada empresa u organizacin y, de esta forma, solicitar personalmente el acceso a los datos que tienen sobre nosotros.

Links
El portal de la Unin Europea Pgina de la Unin Europea que contiene, entre otras cosas, una recopilacin de jurisprudencia del Tribunal de Justicia y del Tribunal de Primera Instancia o en el Diario Oficial de la Unin Europea y un ndice con fuentes de informacin.. http://europa.eu/index_es.htm

Pgina 134 de 139

Seguridad de la informacin y proteccin de datos

Agencia Espaola de Proteccin de Datos Ente pblico cuya misin es velar por el cumplimiento de la legislacin sobre proteccin de datos personales y controlar su aplicacin.. http://www.agpd.es Transferencia de datos personales Documento de trabajo publicado por la Comisin Europea sobre la implantacin de las decisiones tomadas por la Comisin sobre las clusulas contractuales tipo en la transferencia internacional de datos a terceros pases. (En ingls).. http://ec.europa.eu/justice_home/fsj/privacy/docs/modelcontracts/sec_2006_95_en.pdf Canal de reclamaciones de la Agencia Espaola de Proteccin de Datos Recurso va web de la Agencia Espaola de Proteccin de Datos donde se facilita al ciudadano la posibilidad de efectuar una denuncia o reclamacin por infraccin de derechos de la LOPD.. http://www.agpd.es/portalweb/canalciudadano/denunciasciudadano/index-idesidphp.php Revista Datos personales Revista digital con informacin de actualidad sobre proteccin de datos personales editada por la Agencia de Proteccin de Datos de la Comunidad de Madrid.. http://www.datospersonales.org/ Puerto seguro Pgina con informacin sobre el acuerdo "Puerto seguro" entre la UE y EE.UU. para la transferencia internacional de datos personales.. http://www.export.gov/safeharbor/ Consejo Europeo Pgina del Consejo Europeo que contiene informacin relevante en varios idiomas sobre cooperacin jurdica internacional en materia de seguridad y proteccin de datos.. http://www.coe.int/t/e/legal_affairs/legal_co-operation/Data_protection/

Bibliografa
La defensa de la intimidad de los ciudadanos y la tecnologa informtica. LVAREZ-CIENFUEGOS, J. M.. Editorial Aranzadi, Madrid 1999. Privacy in the information age. CATE, F.. Editorial Brookling Institution, Washington 1997.

Plataforma de Teleformacin de IFES

Pgina 135 de 139

La proteccin de datos personales. Un derecho autnomo con base en los conceptos de privacidad e intimidad. CONDE, C.. Editorial Dykinson, Madrid 2005. La proteccin de datos en Europa. Principios, derechos y procedimiento. DAVARA, M. .. Editorial ASNEF-EQUIFAX, Madrid 1998. La proteccin de la intimidad frente a la transmisin internacional de datos personales. ESTADELLA YUSTE, O.. Editorial Tecnos, Madrid 1995. Tratamiento de datos personales y derechos fundamentales. GARRIGA, A.. Editorial Dykinson, Madrid 2004. El tratamiento de los datos de carcter personal y la proteccin de la intimidad en el sector de las telecomunicaciones. GIL-DELGADO, C. Y MARROIG POL, L.. Editorial Agencia Espaola de Proteccin de Datos, Madrid 2001. El derecho a la proteccin de datos personales en la sociedad de la informacin. HERRN ORTIZ, I.. Editorial Universidad de Deusto, Bilbao 2003. El derecho a la intimidad en la nueva Ley Orgnica de Proteccin de Datos Personales. HERRNZ ORTIZ, A. I.. Editorial Dykinson, Madrid 2002. Libertad informtica y leyes de proteccin de datos personales. LOSANO, PREZ LUO Y GUERRERO. Editorial CEC, Madrid 1989. El derecho a la autodeterminacin informativa. La proteccin de datos personales frente al uso de la informtica. MURILLO DE LA CUEVA, L.. Editorial Tecnos, Madrid 1990. Buenas prcticas en privacidad. Habeas data. Transferencia internacional de datos personales. PALAZZI, P. A.. Editorial Legis Editores S.A., Colombia 2003. Proteccin de datos de carcter personal: Legislacin y jurisprudencia. PUERTES MATT, A.. Editorial Prctica de Derecho, S.L., Madrid 2001.

Pgina 136 de 139

Seguridad de la informacin y proteccin de datos

Derechos fundamentales y proteccin de datos. REBOLLO DELGADO, L.. Editorial Dykinson, Madrid 2004. Nuevas tecnologas, intimidad y proteccin de datos con estudio sistemtico de la Ley Orgnica 15/1999. TLLEZ AGUILERA, A.. Editorial Edisofer, Madrid 2001. Proteccin jurdica de datos personales automatizados. VELZQUEZ BAUTISTA, R.. Editorial Colex, Madrid 1993. Comentarios a la Ley Orgnica de Proteccin de Datos de Carcter Personal. VIZCANO CALDERN, M.. Editorial Cvitas, Madrid 2001.

Normativa

NORMAS EN MATERIA DE PROTECCIN DE DATOS 1. Espaa


Constitucin Espaola de 1978 (art. 18.4 y 105.b). Ley 15/1999, de 13 de diciembre, de proteccin de datos de carcter personal. R.D. 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la L.O. 15/1999. R.D. 1665/2008, de 17 de octubre, por el que se modifica el Estatuto de la AEPD, aprobado por el R.D. 428/1993, de 26 de marzo. R.D. 156/1996, de 2 de febrero, por el que se modifica el Estatuto de la AEPD. R. D. 428/1993, de 26 de marzo, por el que se aprueba el Estatuto de la Agencia Espaola de Proteccin de Datos. Resolucin de 8 de septiembre de 2006, de la AEPD, por las que se corrigen errores en las Resoluciones de 12 de julio de 2006, por las que se crea el Registro Telemtico y se aprueban los formularios electrnicos para inscribir los ficheros en el Registro General de Proteccin de Datos.

Plataforma de Teleformacin de IFES

Pgina 137 de 139

Resolucin de 1 de septiembre de 2006, de la Agencia Espaola de Proteccin de Datos, por la que se determina la informacin que contiene el catlogo de ficheros inscritos en el Registro General de Proteccin de Datos. Resolucin de 12 de julio de 2006, de la Agencia Espaola de Proteccin de Datos, por la que se crea el Registro Telemtico de la Agencia Espaola de Proteccin de Datos. Resolucin de 12 de julio de 2006, de la Agencia Espaola de Proteccin de Datos, por la que se aprueban los formularios electrnicos a travs de los que debern efectuarse las solicitudes de inscripcin de ficheros en el Registro General de Proteccin de Datos, as como los formatos y requerimientos a los que deben ajustarse las notificaciones remitidas en soporte informtico o telemtico. Resolucin de 22 de junio de 2001, de la Subsecretara de Justicia, que concreta el plazo para la implantacin de medidas de seguridad de nivel alto. Resolucin de 30 de mayo de 2000, de la AEPD, por la que se aprueban los modelos normalizados en soporte papel, magntico y telemtico, para la inscripcin de los ficheros. Distintas Instrucciones de la AEPD sobre: la prestacin de servicios de informacin sobre solvencia patrimonial y crdito, sobre ficheros automatizados con la finalidad de controlar el acceso a los casinos y salas de bingo, el acceso a edificios, sobre medidas que garanticen la intimidad de los datos recabados como consecuencia de la contratacin de un seguro de vida, el ejercicio de los derechos de acceso, rectificacin y cancelacin, las normas por las que se rigen los movimientos internacionales de datos o la publicacin delas Resoluciones de la AEPD.

2. Unin Europea
Carta de los Derechos Fundamentales de la Unin Europea. Tratado de la UE y Tratado constitutivo de la Comunidad Europea. Directiva 2006/24/CE, del Parlamento Europeo y del Consejo, de 15 de marzo de 2006, sobre la conservacin de datos generados o tratados en relacin con la prestacin de servicios de comunicaciones electrnicas de acceso pblico o de redes pblicas de comunicaciones y por la que se modifica la Directiva 2002/58/CE. Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la proteccin de las personas fsicas en lo que respecta al tratamiento de datos personales y a la libre circulacin de estos datos.

Pgina 138 de 139

Seguridad de la informacin y proteccin de datos

3. Normas conexas
Ley 11/2007, de 22 de junio, de acceso electrnico de los ciudadanos a los servicios pblicos. Ley 59/2003, de 19 de diciembre, de Firma Electrnica. Ley 26/1984, de 19 de julio, General para la Defensa de los Consumidores y Usuarios. R.D. 424/2005, de 15 de abril, por el que se aprueba el Reglamento sobre las condiciones para la prestacin de servicios de comunicaciones electrnicas, el servicio universal y la proteccin de los usuarios. L.O. 4/1997, de 4 de agosto, por la que se regula la utilizacin de videocmaras por las Fuerzas y Cuerpos de Seguridad en lugares pblicos. L.O. 1/1982, de 5 de mayo, de Proteccin civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen. R.D. 124/2007, de 2 de febrero, por el que se regula el registro nacional de instrucciones previas y el correspondiente fichero automatizado de datos de carcter personal en el mbito de la sanidad. Ley 13/2007, de 2 de julio, por la que se modifica el Texto Refundido de la Ley de Ordenacin y Supervisin de los Seguros Privados, aprobado por el Real Decreto Legislativo 6/2004, de 29 de octubre, en materia de supervisin del reaseguro. Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones. Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Informacin y de Comercio Electrnico.

Plataforma de Teleformacin de IFES

Pgina 139 de 139