Вы находитесь на странице: 1из 36

Instituto Nacional de Tecnologas de la Comunicacin

LOPD: ADECUACIN Y CUMPLIMIENTO


MDULO 1 - INTRODUCCIN A LA LOPD

CDTS - INTECO

Instituto Nacional de Tecnologas de la Comunicacin

Copyright (C) 2008 INTECO. Reservados todos los derechos (reproduccin, distribucin, comunicacin pblica, de transformacin, o cualesquiera otros reconocidos por la normativa vigente). El presente documento cumple con las condiciones de accesibilidad del formato PDF (Portable Document Format). Se trata de un documento estructurado y etiquetado, provisto de alternativas a todo elemento no textual, marcado de idioma y orden de lectura adecuado. Para ampliar informacin sobre la construccin de documentos PDF accesibles puede consultar la gua disponible en la seccin Accesibilidad > Formacin > Manuales y Guas de la pgina http://www.inteco.es.

LOPD: Adecuacin y Cumplimiento Mdulo 1 - Introduccin a la LOPD

Instituto Nacional de Tecnologas de la Comunicacin

NDICE
1. 2. MDULO 1 ESTRUCTURA Y CONTENIDO DEL MDULO MDULO 1.2 ANTECEDENTES Y BREVE HISTORIA DE LA LOPD
2.1. Introduccin 2.2. La Constitucin Espaola de 1978 2.3. La LORTAD

4 5 5 7 8

3.

MDULO 1.3 PRINCIPIOS


CARCTER PERSONAL

Y CONCEPTOS DE LA PROTECCIN DE DATOS DE

10 10 10 12

3.1. Introduccin 3.2. Definiciones 3.3. Artculo 4. Calidad de los datos

3.4. Artculo 5. Derecho de informacin en la recogida de los datos14 3.5. Artculo 6. Consentimiento del afectado 3.6. Artculo 7. Datos especialmente protegidos 3.7. Artculo 8. Datos relativos a la salud 3.8. Artculo 9. Seguridad de los datos 3.9. Artculo 10. Deber de secreto 3.10. Artculo 11. Comunicacin de los datos 3.11. Artculo 12. Acceso a los datos por cuenta de terceros

16 18 20 20 22 22 25 27 27 29 31 33 35

4.

MDULO 1.4 NIVELES DE SEGURIDAD Y MEDIDAS


4.1. Introduccin

4.2. Captulo III. Medidas de seguridad aplicables a ficheros y

tratamientos automtizados tratamientos no automatizados


4.4. Aplicacin de medidas

4.3. Captulo IV. Medidas de seguridad aplicables a ficheros y

5.

RESUMEN DEL MDULO

LOPD: Adecuacin y Cumplimiento Mdulo 1 - Introduccin a la LOPD

Instituto Nacional de Tecnologas de la Comunicacin

Mdulo 1 Estructura y contenido del mdulo


Iniciamos este curso, dedicado a la normativa de proteccin de datos, con un recorrido que comienza analizando de forma breve los orgenes de esta normativa y su aplicacin y posterior evolucin en Espaa. Conocer los orgenes de esta normativa nos va a permitir comprender mucho mejor su evolucin, y por otro lado, nos ayuda a establecer un contexto bsico y un punto de comienzo de este curso. Realizaremos adems un breve repaso por los principios y conceptos que contiene la Ley, y en base a los cuales se rige, as como los distintos niveles y medidas de seguridad que deben de ser aplicados en funcin del nivel de los datos que se traten. Como vamos a ver en este primer mdulo, la ley es compleja, pero no por ello debemos de pensar que los contenidos que vamos exponer son complicados o difcil comprensin sino todo lo contrario, aunque s es cierto qu sern muchos y variados. Los contenidos del mdulo estn estructurados de la siguiente forma:

Antecedentes y breve historia de la LOPD. Donde conoceremos los orgenes de la normativa de proteccin de datos.

Principios y conceptos de la proteccin de datos de carcter personal. Conoceremos los aspectos y principales conceptos que rigen la proteccin de datos.

Niveles de seguridad y medidas. Comprenderemos cmo se establecen los distintos niveles para datos de carcter personal as como las distintas medidas a aplicar en cada caso y bajo qu criterios.

Resumen del modulo.

LOPD: Adecuacin y Cumplimiento Mdulo 1 - Introduccin a la LOPD

Instituto Nacional de Tecnologas de la Comunicacin

Mdulo 1.2 Antecedentes y breve historia de la LOPD


Introduccin
Para comprender mejor la actual normativa de proteccin de datos debemos remontarnos al pasado de forma que logremos para conocer los orgenes y antecedentes de esta normativa. Podemos establecer el comienzo de la proteccin de datos en Europa sobre el ao 1970, en el Land de Hesse de la Repblica Federal Alemana. A continuacin, aportamos dos referencias a las leyes y normativas que all surgieron en relacin con la proteccin de datos de carcter personal, ordenadas de forma cronolgica.

Datenschutz del 7 de octubre de 1970 del Land de Hesse en la Repblica Federal Alemana, modificada el 31 de enero de 1978 y el 6 de noviembre de 1986. Primera normativa en la materia.

Ley Federal Alemana sobre Proteccin de Datos del 27 de enero que entr en vigor el 1 de enero de 1978. Bundesdatenschutzgesetz del 27 enero de 1977 modificada el 20 de diciembre de 1990 y que entr en vigor el 1 de junio de 1991.

A partir de este momento, fueron apareciendo otras normativas de proteccin de datos en el resto de pases europeos de manera que la mayora de ellos contaron, de una u otra forma, con algn tipo de legislacin en la materia. La evolucin de las distintas normativas de proteccin de datos en Europa ha pasado por varias fases. Podemos diferenciar estas etapas por el objetivo general que conllevaba su elaboracin y por el tipo de problemtica que trataba de ser abordada en esa fase en concreto.

Primera generacin: la tecnologa y el tratamiento de informacin


La primera generacin de la normativa intentaba establecer un conjunto de lmites en el uso de las tecnologas de la informacin. Pero, para ser exactos, por aquella poca debemos hablar ms de informtica que de tecnologas de la informacin, puesto que todo lo relativo a los ordenadores y, sobre todo, a las comunicaciones digitales se encontraba

LOPD: Adecuacin y Cumplimiento Mdulo 1 - Introduccin a la LOPD

Instituto Nacional de Tecnologas de la Comunicacin

an en una fase de desarrollo temprana y el uso que se haca de estas tecnologas era muy limitado. La tecnologa informtica, a lo largo de su evolucin, ha supuesto importantes cambios en nuestro estilo de vida y en nuestros hbitos as como en otros campos tales como la econmica y la poltica. Debido a todos estos cambios, ha sido necesaria la creacin, elaboracin o adaptacin de un conjunto de normativas para adecuarse a los nuevos tiempos. Entre estas leyes destacan precisamente aquellas relativas a la proteccin de los datos de carcter personal. El uso de las tecnologas de la informacin trajo consigo un mayor tratamiento de todo tipo de datos, entre ellos los datos de carcter personal, y esto por ello, que fue necesario plantear este tipo de normativa.

Segunda generacin: calidad de los datos e intercambio de informacin


La segunda generacin de leyes al respecto se centr en tratar de asegurar la calidad de los datos. La informacin comenzaba a convertirse en el activo ms valioso de las organizaciones y, por supuesto, de los gobiernos. Ya se tom conciencia de la importancia de la calidad de los datos de carcter personal, por su especial naturaleza e implicaciones. Por ello, uno de los retos ms importantes a los que se enfrentaba la legislacin en materia de proteccin de datos era conseguir que estos fueran fiables y precisos para garantizar su uso correcto en los distintos procesos y actividades tanto de las organizaciones como de los gobiernos, y evidentemente de los ciudadanos.

Tercera generacin: derechos de los ciudadanos sobre sus datos


La tercera generacin por la que ha pasado la legislacin de proteccin de datos de carcter personal hace hincapi en la autodeterminacin de los ciudadanos en cuanto al uso de los datos de carcter personal. El hecho de que las personas puedan decidir sobre el uso que se hace de sus datos es lo que se conoce como derechos ARCO (Acceso, Rectificacin, Cancelacin y Oposicin). En este sentido, la legislacin presta suma atencin a incorporar medidas de tipo tcnico, organizativo o jurdico para que se respeten los derechos ARCO de los ciudadanos. Para finalizar este breve recorrido por los orgenes de la proteccin de datos, y ya centrndonos en Espaa, podemos decir que la proteccin de datos en nuestro pas comienza con la Constitucin del 6 de diciembre de 1978. Vamos a profundizar ms en ello en el siguiente apartado.
LOPD: Adecuacin y Cumplimiento Mdulo 1 - Introduccin a la LOPD 6

Instituto Nacional de Tecnologas de la Comunicacin

La Constitucin Espaola de 1978


Tal y como hemos comentado, la proteccin de datos en Espaa comienza con la Constitucin, es decir, el 6 de diciembre de 1978. Podemos encontrar indicios de la proteccin de datos de carcter personal en el ttulo primero de la Constitucin Espaola de 6 de diciembre de 1978, que trata sobre los derechos y deberes fundamentales. ste es considerado uno de los captulos ms importantes de nuestra constitucin, as como uno de los ms bsicos debido al tema que trata. En su seccin primera, correspondiente al captulo segundo, se habla sobre los derechos fundamentales y las libertades pblicas. Dentro de ste, podemos destacar el artculo 18, sobre la intimidad y la inviolabilidad del domicilio. Lo exponemos a continuacin:

Artculo 18 Derecho a la intimidad de domicilio Se garantizar el derecho al honor, a la intimidad personal y familiar y a la propia imagen. El domicilio es inviolable. Ninguna entrada o registro podr hacerse en l sin consentimiento del titular o resolucin judicial, salvo en caso de flagrante delito. Se garantiza el secreto de las comunicaciones y, en especial, de las postales, telegrficas y telefnicas, salvo resolucin judicial. La ley limitar el uso de la informtica para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.

Como vemos, en este artculo ya se hace mencin a varios aspectos relativos a la proteccin de datos, como son el secreto de las comunicaciones, la garanta del honor y la intimidad personal y familiar de los ciudadanos. Desde la promulgacin de la Constitucin hasta que se desarroll la primera Ley Orgnica relativa a la proteccin de datos de carcter personal pasaron 14 aos. Esta ley llevaba por nombre Ley Orgnica de Regulacin del Tratamiento Automatizado de Datos (LORTAD). Fue puesta en marcha en el ao 1992 y representa el paso ms grande llevado a cabo en Espaa de cara a la proteccin de datos hasta esa fecha.

LOPD: Adecuacin y Cumplimiento Mdulo 1 - Introduccin a la LOPD

Instituto Nacional de Tecnologas de la Comunicacin

La LORTAD
Se considera que el motor impulsor de esta Ley fue, adems del artculo 18 de nuestra Constitucin, una serie de documentos anteriores a ella que resultaron elaborados y propuestos en Europa: 1. Convenio 108 del Consejo de Europa para la proteccin de las personas con respecto al tratamiento automatizado de datos de carcter personal. Fue aprobado el 28 de enero de 1981 en Estrasburgo. El convenio reconoca la necesidad del respeto a la vida privada pero, as mismo, la importancia de la libre circulacin de la informacin entre los pueblos, sin tener en cuenta las fronteras. Es decir, propona un equilibrio entre el respeto a la vida privada y la libre circulacin de la informacin entre los pueblos. 2. Acuerdo de Schengen establecido el 14 de junio de 1985 entre Blgica, Holanda, Luxemburgo, Francia y la antigua Repblica Federal Alemana. Al acuerdo se adhirieron ms tarde Espaa, Portugal y Grecia. Este acuerdo trataba de coordinar las polticas de asilo y acogida de emigrantes y tena entre sus objetivos la supresin de controles en las fronteras interiores de los pases firmantes del acuerdo y la libre circulacin de personas entre los pases. Para el logro de estos objetivos era necesario un continuo intercambio de informacin entre los diferentes pases y, as mismo, la existencia de una base de datos que centralizase y almacenase dicha informacin. Fruto de esta necesidad fue la creacin del Sistema de Informacin de Schengen. La fiabilidad de la informacin era esencial para un buen funcionamiento del sistema. Cada pas deba adoptar disposiciones nacionales necesarias para conseguir un nivel de proteccin de datos de carcter personal que fuera, al menos, igual al resultante de los principios del Convenio del Consejo de Europa del 18 de enero de 1981 para la proteccin de las personas.

Se obligaba a los pases firmantes del acuerdo a tener una ley de proteccin de datos de carcter personal. Este acuerdo fue el principal motor inductor de la publicacin de la LORTAD. Ms tarde, en marzo de 1993, apareci la Agencia de Proteccin de Datos como un organismo independiente con la finalidad de garantizar el cumplimiento de las previsiones y mandatos establecidos en la LORTAD. Las funciones de la Agencia son: inspectora,

LOPD: Adecuacin y Cumplimiento Mdulo 1 - Introduccin a la LOPD

Instituto Nacional de Tecnologas de la Comunicacin

ordenadora, reguladora, sancionadora, unificadora, inmovilizadora y relaciones pblicas. La LORTAD slo estuvo en vigencia 7 aos en el rgimen jurdico espaol. El 13 de diciembre de 1999 se procedi a la trasposicin a nuestro ordenamiento de la Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995 relativa a la proteccin de datos de las personas fsicas en lo que respecta al tratamiento de datos personales y a la libre circulacin de estos datos, viendo la luz de este modo la vigente Ley Orgnica 15/1999 de Proteccin de Datos de Carcter Personal, conocida como LOPD. La Ley Orgnica de Proteccin de Datos de Carcter Personal (LOPD) tiene un mbito de aplicacin ms amplio que la LORTAD, ya que no se limita al soporte digital exclusivamente, sino que aplica a todo tipo de soportes fsicos en los que se puedan almacenar ficheros de datos. La LOPD se divide en siete ttulos y una parte final compuesta por: seis disposiciones adicionales, tres disposiciones transitorias, una disposicin derogatoria y tres disposiciones finales.

LOPD: Adecuacin y Cumplimiento Mdulo 1 - Introduccin a la LOPD

Instituto Nacional de Tecnologas de la Comunicacin

Mdulo 1.3 Principios y conceptos de la proteccin de datos de carcter personal


Introduccin
La mejor forma de comprender todo lo relativo a la LOPD es usar la propia ley como documento de consulta y referencia. Para que no resulte tan complicado, vamos a realizar un repaso por los distintos principios y conceptos bsicos que componen la LOPD. Los principios de la proteccin de datos de carcter personal podemos encontrarlos en el Titulo II de la Ley Orgnica 15/1999, del 13 de diciembre, de proteccin de datos de carcter personal y comienzan en el Artculo 4 de la Ley. A continuacin, indicamos cuales son para luego verlos con mayor detalle. 1. 2. 3. 4. 5. 6. 7. 8. 9. Artculo 4. Calidad de los datos Artculo 5. Derecho de informacin en la recogida de los datos Artculo 6. Consentimiento del afectado Artculo 7. Datos especialmente protegidos Artculo 8. Datos relativos a la salud Artculo 9. Seguridad de los datos Artculo 10. Deber de secreto Artculo 11. Comunicacin de los datos Artculo 12. Acceso a los datos por cuenta de terceros

Estos 9 artculos comprenden todos los principios de la proteccin de datos de carcter personal. Pero antes de verlos con ms detalle, vamos a indicar un conjunto de definiciones necesarias para comprender mejor los conceptos que se exponen en los siguientes apartados.

Definiciones
La informacin que aqu se indica est extrada de la propia LOPD ya que pretendemos que la estudie tal y como aparece en la propia Ley.

Datos de carcter personal. Cualquier informacin concerniente a personas fsicas identificadas o identificables.

LOPD: Adecuacin y Cumplimiento Mdulo 1 - Introduccin a la LOPD

10

Instituto Nacional de Tecnologas de la Comunicacin

Fichero. Todo conjunto organizado de datos de carcter personal, cualquiera que fuera la forma o modalidad de su creacin, almacenamiento, organizacin y acceso.

Tratamiento de datos. Operaciones y procedimientos tcnicos de carcter automatizado o no, que permitan la recogida, grabacin, conservacin, elaboracin, modificacin, bloqueo y cancelacin, as como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.

Responsable del fichero o tratamiento. Persona fsica o jurdica, de naturaleza pblica o privada, u rgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento.

Afectado o interesado. Persona fsica titular de los datos que sean objeto del tratamiento.

Procedimiento de disociacin. Todo tratamiento de datos personales de modo que la informacin que se obtenga no pueda asociarse a persona identificada o identificable.

Encargado del tratamiento. La persona fsica o jurdica, autoridad pblica, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento.

Consentimiento del interesado. Toda manifestacin de voluntad, libre, inequvoca, especifica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen.

Fuentes accesibles al pblico. Aquellos ficheros cuya consulta puede ser realizada por cualquier persona, no impedida por una norma limitativa, o sin ms exigencia que, en su caso, el abono de una contraprestacin. Tienen la consideracin de fuentes de acceso pblico, exclusivamente, el censo promocional, los repertorios telefnicos en los trminos previstos por su normativa especfica y las listas de personas pertenecientes a grupos profesionales que contengan nicamente los datos de nombre, ttulo, profesin, actividad, grado acadmico, direccin e indicacin de su pertenencia al grupo. Asimismo, tienen el carcter de fuentes de acceso pblico, los Diarios y Boletines oficiales y los medios de comunicacin.

LOPD: Adecuacin y Cumplimiento Mdulo 1 - Introduccin a la LOPD

11

Instituto Nacional de Tecnologas de la Comunicacin

Artculo 4. Calidad de los datos


El primero de los principios es el artculo 4, qu trata sobre la calidad de los datos y que se encuentra estructurado en 7 apartados. Veamos cules son: 1. Los datos de carcter personal slo se podrn recoger para su tratamiento, as como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relacin con el mbito y las finalidades determinadas, explcitas y legtimas para las que se hayan obtenido. 2. Los datos de carcter personal objeto del tratamiento no podrn usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos. No se considerar incompatible el tratamiento posterior de stos con fines histricos, estadsticos o cientficos. 3. Los datos de carcter personal sern exactos y puestos al da de forma que respondan con veracidad a la situacin actual del afectado. 4. Si los datos de carcter personal registrados resultaran ser inexactos, en todo o en parte, o incompletos, sern cancelados y sustituidos de oficio por los correspondientes datos rectificados o completados, sin perjuicio de las facultades que a los afectados reconoce el artculo 16. 5. Los datos de carcter personal sern cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados. No sern conservados en forma que permita la identificacin del interesado durante un periodo superior al necesario para los fines en base a los cuales hubieran sido recabados o registrados. Reglamentariamente se determinar el procedimiento por el que, por excepcin, atendidos los valores histricos, estadsticos o cientficos de acuerdo con la legislacin especfica, se decida el mantenimiento ntegro de determinados datos. 6. Los datos de carcter personal sern almacenados de forma que permitan el ejercicio del derecho de acceso, salvo que sean legalmente cancelados. 7. Se prohbe la recogida de datos por medios fraudulentos, desleales o ilcitos.

El siguiente ejemplo ilustra la aplicacin de estos principios.

Ejemplo - La calidad de los datos

LOPD: Adecuacin y Cumplimiento Mdulo 1 - Introduccin a la LOPD

12

Instituto Nacional de Tecnologas de la Comunicacin

Recordemos la empresa ficticia LLVAME S.A., que ya hemos visto en otros cursos de esta plataforma para poner ejemplos prcticos de la materia de cada uno de los mdulos estudiados. En esta ocasin, veremos cmo LLVAME S.A. ha decidido contratar nuevo personal en la empresa. En los ltimos meses su negocio ha crecido, cada vez tiene ms pedidos y debe contar tambin con ms conductores. Por ello, ha puesto un anuncio para comenzar a seleccionar posibles candidatos. A los pocos das, comienza a recibir currculos por distintos medios: correo electrnico, correo postal, incluso algunos son entregados en mano hasta llegar a un total de 23. Con todos ellos, Carlos Todoterreno, gerente de LLVAME S.A., comienza la seleccin hasta que se decide por dos de los candidatos que finalmente son llamados para realizar una entrevista de trabajo. Una vez terminado el proceso de seleccin, Carlos Todoterreno cree que puede ser buena idea imprimir estos currculos para futuros procesos de seleccin ya que contienen mucha informacin interesante. Los deja en una estantera junto con otros currculos recopilados con anterioridad. Todos quedan al alcance de cualquiera. A los pocos das, pasa por las oficinas de LLVAME S.A. el asesor jurdico que les ayuda en materia de proteccin de datos. Recordemos que, en su momento, asesor a la empresa en materia de LOPD. Cuando el asesor pasa por delante de la estantera donde estn los currculos almacenados a vista de todos, le pregunta al gerente Todoterreno si los est utilizando en algn proceso de seleccin o simplemente los tiene ah guardados. Le recuerda que ese tipo de informacin es conveniente que sea destruida una vez que ha sido utilizada para el fin para el que fue recogida. Los currculos a contienen informacin de carcter personal y el uso inadecuado de los mismos podra acarrear consecuencias.

LOPD: Adecuacin y Cumplimiento Mdulo 1 - Introduccin a la LOPD

13

Instituto Nacional de Tecnologas de la Comunicacin

Artculo 5. Derecho de informacin en la recogida de los datos


El artculo 5 sobre el derecho de informacin en la recogida de los datos se encuentra estructurado en 5 apartados que agrupan el conjunto de principios generales relativos al derecho de informacin en la recogida de los datos. Veamos cules son: 1. Los interesados a los que se soliciten datos personales debern ser previamente informados de modo expreso, preciso e inequvoco de los siguientes puntos: a. De la existencia de un fichero o tratamiento, de la finalidad y de los destinatarios de la recogida. b. Del carcter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.

LOPD: Adecuacin y Cumplimiento Mdulo 1 - Introduccin a la LOPD

14

Instituto Nacional de Tecnologas de la Comunicacin

c. De las consecuencias de ejercitar los derechos de acceso, rectificacin, cancelacin y oposicin. d. De la identidad y direccin del responsable del tratamiento o, en su caso, de su representante. Cuando el responsable del tratamiento no est establecido en el territorio de la Unin Europea y utilice en el tratamiento de datos medios situados en territorio espaol, deber designar, salvo que tales medios se utilicen con fines de trnsito, un representante en Espaa, sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable del tratamiento. 2. Cuando se usen cuestionarios u otros impresos para la recogida, se incluir en los mismos, de forma claramente legible, las advertencias a que se refiere el apartado anterior. 3. No ser necesaria la informacin a que se refieren los apartados b), c) y d) del apartado 1 si el contenido de ella se deduce claramente de la naturaleza de los datos personales que se solicitan o de las circunstancias en que se recaban. 4. Cuando los datos de carcter personal no hayan sido recabados del interesado, ste deber ser informado de forma expresa, precisa e inequvoca, por el responsable del fichero o su representante, dentro de los tres meses siguientes al momento del registro de los datos, salvo que ya hubiera sido informado con anterioridad, del contenido del tratamiento, de la procedencia de los datos, as como de lo previsto en las letras a), d) y e) del apartado 1 del presente artculo. 5. No ser de aplicacin lo dispuesto en el apartado anterior cuando expresamente una ley lo prevea, cuando el tratamiento tenga fines histricos, estadsticos y cientficos, o cuando la informacin al interesado resulte imposible o exija esfuerzos desproporcionados, a criterio de la Agencia de Proteccin de Datos o del organismo autonmico equivalente, en consideracin al nmero de interesados, a la antigedad de los datos y a las posibles medidas compensatorias. 6. Asimismo, tampoco regir lo dispuesto en el apartado anterior cuando los datos procedan de fuentes accesibles al pblico y se destinen a la actividad de publicidad o prospeccin comercial, en cuyo caso, en cada comunicacin que se dirija al interesado se le informar del origen de los datos y de la identidad del responsable del tratamiento as como de los derechos que le asisten. El siguiente ejemplo ilustra los puntos anteriores.

LOPD: Adecuacin y Cumplimiento Mdulo 1 - Introduccin a la LOPD

15

Instituto Nacional de Tecnologas de la Comunicacin

Ejemplo - Derecho de informacin en la recogida de los datos Veamos otro momento en el que el asesor jurdico de LLVAME S.A le explica al gerente Todoterreno que a la hora de recoger informacin de carcter personal debe indicar de forma inequvoca el fin concreto para el que se van a usar dichos datos y el destinatario de los mismos. Adems, si los currculos hubieran sido recabados a travs de un tercero, y sin conocimiento del propietario de los datos, esta persona debe ser informada. Carlos comienza a darse cuenta de que recabar datos de carcter personal es un proceso en el que se deben tener en cuenta muchas cuestiones si se quiere hacer conforme a legislacin vigente.

Artculo 6. Consentimiento del afectado


El artculo 6 sobre el consentimiento del afectado se encuentra estructurado en 4 apartados, que agrupan el conjunto de principios generales. Veamos cules son. 1. El tratamiento de los datos de carcter personal requerir el consentimiento inequvoco del afectado, salvo que la ley disponga otra cosa. 2. No ser preciso el consentimiento cuando los datos de carcter personal se recojan para el ejercicio de las funciones propias de las Administraciones Pblicas en el mbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relacin de negocios, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por

LOPD: Adecuacin y Cumplimiento Mdulo 1 - Introduccin a la LOPD

16

Instituto Nacional de Tecnologas de la Comunicacin

finalidad proteger un inters vital del interesado en los trminos del artculo 7 apartado 6 de la ley, o cuando los datos figuren en fuentes accesibles al pblico y su tratamiento sea necesario para la satisfaccin del inters legtimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado. 3. El consentimiento al que se refiere el artculo podr ser revocado cuando exista causa justificada para ello y no se le atribuyan efectos retroactivos. 4. En los casos en los que no sea necesario el consentimiento del afectado para el tratamiento de los datos de carcter personal, y siempre que una ley no disponga lo contrario, ste podr oponerse a su tratamiento cuando existan motivos fundados y legtimos relativos a una concreta situacin personal. En tal supuesto, el responsable del fichero excluir del tratamiento los datos relativos al afectado. El siguiente ejemplo ilustra el consentimiento inequvoco.

Ejemplo - Consentimiento del afectado Mientras el asesor jurdico contina explicando a Carlos Todoterreno cuestiones relacionadas con la LOPD, le indica que en determinados casos es necesario contar con el consentimiento del afectado para el tratamiento de los datos. Adems, hay ocasiones en las que no basta simplemente con que el interesado ceda sus datos, sino que en ocasiones es necesario tambin que ste firme dicho consentimiento.

LOPD: Adecuacin y Cumplimiento Mdulo 1 - Introduccin a la LOPD

17

Instituto Nacional de Tecnologas de la Comunicacin

Artculo 7. Datos especialmente protegidos


El artculo 7 sobre los datos especialmente protegidos se encuentra estructurado en 6 apartados que agrupan el conjunto de principios generales. Veamos cules son. 1. De acuerdo con lo establecido en el apartado 2 del artculo 16 de la Constitucin, nadie podr ser obligado a declarar sobre su ideologa, religin o creencias. Cuando en relacin con estos datos se proceda a recabar el consentimiento al que se refiere el apartado siguiente, se advertir al interesado acerca de su derecho a no prestarlo. 2. Slo con el consentimiento expreso y por escrito del afectado podrn ser objeto de tratamiento los datos de carcter personal que revelen la ideologa, afiliacin sindical, religin y creencias. Se exceptan los ficheros mantenidos por los partidos polticos, sindicatos, iglesias, confesiones o comunidades religiosas y asociaciones,

fundaciones y otras entidades sin nimo de lucro, cuya finalidad sea poltica, filosfica, religiosa o sindical, en cuanto a los datos relativos a sus asociados o miembros, sin perjuicio de que la cesin de dichos datos precisar siempre el previo consentimiento del afectado. 3. Los datos de carcter personal que hagan referencia al origen racial, a la salud y a la vida sexual slo podrn ser recabados, tratados y cedidos cuando, por razones de inters general, as lo disponga una Ley o el afectado consienta expresamente. 4. Quedan prohibidos los ficheros creados con la finalidad exclusiva de almacenar datos de carcter personal que revelen ideologa, afiliacin sindical, religin, creencias, origen racial o tnico, o vida sexual. 5. Los datos de carcter personal relativos a la comisin de infracciones penales o administrativas slo podrn ser incluidos en ficheros de las Administraciones Pblicas competentes en los supuestos previstos en las respectivas normas reguladoras. 6. No obstante, segn lo dispuesto en los apartados anteriores, podrn ser objeto de tratamiento los datos de carcter personal a los que se refieren los apartados 2 y 3 de este artculo, cuando dicho tratamiento resulte necesario para la prevencin o para el diagnstico mdicos, la prestacin de asistencia sanitaria o tratamientos

LOPD: Adecuacin y Cumplimiento Mdulo 1 - Introduccin a la LOPD

18

Instituto Nacional de Tecnologas de la Comunicacin

mdicos o la gestin de servicios sanitarios, siempre que dicho tratamiento de datos se realice por un profesional sanitario sujeto al secreto profesional o por otra persona sujeta asimismo a una obligacin equivalente de secreto. Tambin podrn ser objeto de tratamiento los datos a que se refiere el prrafo anterior cuando el tratamiento sea necesario para salvaguardar el inters vital del afectado o de otra persona, en el supuesto de que el afectado est fsicamente o jurdicamente incapacitado para dar su consentimiento. El siguiente ejemplo ilustra el concepto de datos especialmente protegidos.

Ejemplo - Datos especialmente protegidos Carlos Todoterreno contina recibiendo consejos del asesor jurdico ya que tiene mucho inters en que su empresa permanezca adecuada a la LOPD. Por ello, atiende a las explicaciones sobre los diferentes niveles de tipos de datos, algunos de ellos especialmente protegidos como ideologa, religin o creencias. En ocasiones, estos datos u otros de ndole similar terminan en los currculos, siendo necesario prestar un especial cuidado a los mismos. Afortunadamente para Carlos, los currculos que l tiene almacenados en su empresa no contienen este tipo de datos, pero es algo que le preocupa.

LOPD: Adecuacin y Cumplimiento Mdulo 1 - Introduccin a la LOPD

19

Instituto Nacional de Tecnologas de la Comunicacin

Artculo 8. Datos relativos a la salud


El artculo 8 sobre los datos relativos a la salud dispone de un nico apartado. Es el siguiente: 1. Sin perjuicio de lo que se dispone en el artculo 11 respecto de la cesin, las instituciones y los centros sanitarios pblicos y privados y los profesionales correspondientes podrn proceder al tratamiento de los datos de carcter personal relativos a la salud de las personas que a ellos acudan o hayan de ser tratados en los mismos, de acuerdo con lo dispuesto en la legislacin estatal o autonmica sobre sanidad. El siguiente ejemplo ilustra este artculo.

Ejemplo - Datos relativos a la salud Los datos relativos a la salud tambin son datos especialmente protegidos y de nivel alto. En este caso, parece que los currculos almacenados por LLVAME S.A. no contienen informacin con estas caractersticas.

Artculo 9. Seguridad de los datos


El artculo 9 sobre seguridad de los datos se encuentra estructurado en 3 apartados, que agrupan el conjunto de principios generales. Veamos cules son. 1. El responsable del fichero y, en su caso, el encargado del tratamiento, deber adoptar las medidas de ndole tcnica y organizativa necesarias que garanticen la seguridad de los datos de carcter personal y eviten su alteracin, prdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnologa, la naturaleza de los datos almacenados y los riesgos a que estn expuestos, ya provengan de la accin humana o del medio fsico o natural. 2. No se registrarn datos de carcter personal en ficheros que no renan las condiciones que se determinen por va reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas.

LOPD: Adecuacin y Cumplimiento Mdulo 1 - Introduccin a la LOPD

20

Instituto Nacional de Tecnologas de la Comunicacin

3. Reglamentariamente se establecern los requisitos y condiciones que deban reunir los ficheros y las personas que intervengan en el tratamiento de los datos a los que se refiere el artculo 7 de esta Ley. El siguiente ejemplo ilustra el contenido de este artculo.

Ejemplo - Seguridad de los datos Carlos se ha dado cuenta de que la proteccin de datos de carcter personal no es algo sencillo, aunque varios amigos y gerentes de otras empresas le haban comentado que cumplir con la LOPD no era tan complicado. Es sencillo si se sabe lo que se est haciendo. Por eso, es muy recomendable contar con la ayuda de un asesor en la materia, como ha hecho LLVAME S.A. Por lo pronto, Todoterreno sabe que la ley le obliga a incorporar un conjunto de medidas para proteger los datos de carcter personal y l mismo es el responsable de los ficheros que se encuentran en su empresa, e incluso de aquellos que son utilizados por la gestora de la empresa que trata los datos. Las medidas de seguridad que debe aplicar son de tipo tcnico, jurdico y organizativo. l antes pensaba que solamente era necesario aplicar medidas de tipo tcnico y con instalar un programa ya se solucionaba todo.

LOPD: Adecuacin y Cumplimiento Mdulo 1 - Introduccin a la LOPD

21

Instituto Nacional de Tecnologas de la Comunicacin

Artculo 10. Deber de secreto


El artculo 10 sobre el deber de secreto contiene un nico apartado, que es el siguiente: 1. El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carcter personal estn obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirn an despus de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo. El siguiente ejemplo ilustra el contenido del artculo 10.

Ejemplo - Deber de secreto El asesor jurdico le explica a Carlos Todoterreno que, como responsable de los ficheros de datos de carcter personal en su empresa, est obligado a mantener el deber de secreto profesional, as como el deber de protegerlos. Comienza a darse cuenta de que por ser el gerente de su empresa y el responsable de los ficheros de datos de carcter personal que maneja tiene un conjunto de obligaciones y deberes, entre ellos del deber de secreto.

Artculo 11. Comunicacin de los datos


El artculo 11 sobre la comunicacin de los datos se encuentra estructurado en 6 apartados, que agrupan el conjunto de principios generales relativos. Veamos cules son.

LOPD: Adecuacin y Cumplimiento Mdulo 1 - Introduccin a la LOPD

22

Instituto Nacional de Tecnologas de la Comunicacin

1. Los datos de carcter personal objeto del tratamiento slo podrn ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legtimas del cedente y del cesionario con el previo consentimiento del interesado. 2. El consentimiento exigido en el apartado anterior no ser preciso: a. Cuando la cesin est autorizada en una ley. b. Cuando se trate de datos recogidos de fuentes accesibles al pblico. c. Cuando el tratamiento responda a la libre y legtima aceptacin de una relacin jurdica cuyo desarrollo, cumplimiento y control implique

necesariamente la conexin de dicho tratamiento con ficheros de terceros. En este caso la comunicacin slo ser legtima en cuanto se limite a la finalidad que la justifique. d. Cuando la comunicacin que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco ser preciso el consentimiento cuando la comunicacin tenga como destinatario a instituciones autonmicas con funciones anlogas al Defensor del Pueblo o al Tribunal de Cuentas. e. Cuando la cesin se produzca entre Administraciones Pblicas y tenga por objeto el tratamiento posterior de los datos con fines histricos, estadsticos o cientficos. f. Cuando la cesin de datos de carcter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiolgicos en los trminos establecidos en la legislacin sobre sanidad estatal o autonmica. 3. Ser nulo el consentimiento para la comunicacin de los datos de carcter personal a un tercero cuando la informacin que se facilite al interesado no le permita conocer la finalidad a que se destinarn los datos cuya comunicacin se autoriza o el tipo de actividad de aqul a quien se pretenden comunicar. 4. El consentimiento para la comunicacin de los datos de carcter personal tiene tambin un carcter de revocable.

LOPD: Adecuacin y Cumplimiento Mdulo 1 - Introduccin a la LOPD

23

Instituto Nacional de Tecnologas de la Comunicacin

5. Aquel a quien se comuniquen los datos de carcter personal se obliga, por el solo hecho de la comunicacin, a la observancia de las disposiciones de la presente Ley. 6. Si la comunicacin se efecta previo procedimiento de disociacin, no ser aplicable lo establecido en los apartados anteriores. El siguiente ejemplo ilustra los conceptos que aplican a la comunicacin de datos.

Ejemplo - Comunicacin de los datos Carlos le cuenta al asesor que pensaba enviarle los currculos recibidos a un amigo suyo de otra empresa, ya que ste est interesado en cubrir un puesto. El asesor le explica que no puede ceder esos datos a un tercero sin ponerlo en conocimiento del afectado, que es la persona que ha enviado su currculum. Adems, sta debe dar su consentimiento. Tambin le explica que, por el contrario, hay casos en los que no es necesario realizar la comunicacin. Si la cesin est autorizada por la ley o si los datos son recogidos de fuentes accesibles al pblico no hace falta pedir autorizacin. No obstante, hay que tratar con mucho cuidado todo lo relativo a las cesiones de datos a terceros y su comunicacin al afectado.

LOPD: Adecuacin y Cumplimiento Mdulo 1 - Introduccin a la LOPD

24

Instituto Nacional de Tecnologas de la Comunicacin

Artculo 12. Acceso a los datos por cuenta de terceros


El artculo 12 sobre acceso a los datos por cuenta de terceros se encuentra estructurado en 4 apartados, que agrupan el conjunto de principios generales. Veamos cules son. 1. No se considerar comunicacin de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestacin de un servicio al responsable del tratamiento. 2. La realizacin de tratamientos por cuenta de terceros deber estar regulada en un contrato que deber constar por escrito o en alguna otra forma que permita acreditar su celebracin y contenido, establecindose expresamente que el encargado del tratamiento nicamente tratar los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicar o utilizar con fin distinto al que figure en dicho contrato, ni los comunicar, ni siquiera para su conservacin a otras personas. 3. En el contrato se estipularn, asimismo, las medidas de seguridad a que se refiere el artculo 9 de esta Ley que el encargado del tratamiento est obligado a implementar. 4. Una vez cumplida la prestacin contractual, los datos de carcter personal debern ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documento en que conste algn dato de carcter personal objeto del tratamiento. 5. En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, ser considerado, tambin, responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente. El siguiente ejemplo ilustra el acceso a datos por cuenta de terceros.

Ejemplo - Acceso a los datos por cuenta de terceros El asesor sabe que Carlos cuenta con los servicios de una asesora legal y econmica a la que enva datos mensualmente. Le explica que, en caso de que

LOPD: Adecuacin y Cumplimiento Mdulo 1 - Introduccin a la LOPD

25

Instituto Nacional de Tecnologas de la Comunicacin

el envo contenga datos de carcter personal, el acceso a stos debe estar regulado por un contrato.

Adems, una vez finalizado el tratamiento, los datos deben ser devueltos al responsable del fichero o destruidos. Carlos comienza a darse cuenta de que la proteccin de datos de carcter personal no es slo una cuestin de medidas en la propia empresa u organizacin. Adems hay que tener en cuenta cmo se relaciona nuestra organizacin con otras empresas, as como los datos que son compartidos, cedidos o accedidos por terceros.

LOPD: Adecuacin y Cumplimiento Mdulo 1 - Introduccin a la LOPD

26

Instituto Nacional de Tecnologas de la Comunicacin

Mdulo 1.4 Niveles de seguridad y medidas


Introduccin
Uno de los aspectos ms importantes de la Ley Orgnica de Proteccin de Datos de Carcter Personal es su aplicacin. Esto se refiere a cmo las empresas y organizaciones pueden y deben cumplirla. En este sentido, la Ley incorpora un conjunto de medidas de tipo jurdico, organizativo y tcnico que deben ser aplicadas en funcin de unos criterios generales que podemos clasificar de dos formas. Por un lado, tenemos distintas medidas segn el tipo de ficheros de datos que queremos proteger (automatizados o no automatizados) y, por otro lado, nos encontramos con varias sub clasificaciones relativas al nivel de medidas de seguridad (bsico, medio y alto) a adoptar segn el tipo de fichero. El tipo de ficheros de datos que se trata de proteger (ficheros automatizados o no automatizados) se ven reflejado en los captulos III y IV del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgnica 15/1999, de 13 de diciembre, de proteccin de datos de carcter personal. Son los siguientes:

Captulo

III.

Medidas de seguridad aplicables

a ficheros

y tratamientos

automatizados

Captulo IV. Medidas de seguridad aplicables a los ficheros y tratamientos no automatizados

Ejemplo - Ficheros automatizados y no automatizados Durante una conversacin que mantiene Carlos Todoterreno con su asesor jurdico le expone que no entiende la diferencia entre un fichero automatizado y uno NO automatizado. El asesor le explica que los ficheros automatizados son ficheros en formato digital, que pueden ser procesados de forma automtica o por medios informticos o similares. Por su parte, los ficheros NO automatizados

LOPD: Adecuacin y Cumplimiento Mdulo 1 - Introduccin a la LOPD

27

Instituto Nacional de Tecnologas de la Comunicacin

estn en soportes no digitales, como el papel, y no pueden ser procesados de forma automatizada por ordenadores.

Dentro de estas dos clasificaciones tenemos una sub clasificacin comn para ambos captulos, en forma de tres niveles de medidas. Son los siguientes:

Captulo III y IV. Seccin Primera. Medidas de seguridad de nivel bsico. Captulo III y IV. Seccin Segunda. Medidas de seguridad de nivel medio. Captulo III y IV. Seccin Tercera. Medidas de seguridad de nivel alto.

Ejemplo - Datos de nivel bsico, medio y alto Carlos le pregunta a su asesor qu son los datos de nivel bsico, medio y alto y para qu sirven esos niveles. Le explica que se trata de clasificar los datos de carcter personal en varios niveles de importancia de forma que luego sea posible aplicar las medidas de seguridad correspondientes en funcin de esos niveles. Por ejemplo, los datos de nivel bsico son el nombre, los apellidos, el telfono personal, el DNI, etc. Los datos de nivel medio son datos que suelen ser, de forma general, de tipo financiero y econmico. Y, en el caso de los datos de nivel alto, se refieren a datos muy sensibles, como mdicos, religiosos o polticos. Cada uno de ellos, necesita ser protegido ms o menos en funcin de su nivel.

LOPD: Adecuacin y Cumplimiento Mdulo 1 - Introduccin a la LOPD

28

Instituto Nacional de Tecnologas de la Comunicacin

Estas medidas son comunes a ambos captulos. Veamos las medidas que contienen, siguiendo esta clasificacin.

Captulo III. Medidas de seguridad aplicables a ficheros y tratamientos automtizados


Seccin Primera. Medidas de seguridad de nivel bsico
Las medidas de nivel bsico aplicables a ficheros y tratamientos automatizados son las siguientes:

Artculo 89. Funciones y obligaciones de personal. Se trata de establecer las distintas funciones y obligaciones de los empleados con acceso a datos de carcter personal y a los sistemas de informacin que, adems, debern estar perfectamente documentadas.

Artculo 90. Registro de incidencias. Se indica que deber existir un procedimiento de notificacin e incidencias que afecte a los datos de carcter personal existiendo un registro donde se anotarn diferentes aspectos relativos a la incidencia.

Artculo 91. Control de acceso. Se trata de establecer medidas de acceso en funcin de un conjunto de criterios que se establecen en este artculo. Slo aquellas personas autorizadas podrn acceder a la informacin y debe quedar un registro de dicho acceso.

LOPD: Adecuacin y Cumplimiento Mdulo 1 - Introduccin a la LOPD

29

Instituto Nacional de Tecnologas de la Comunicacin

Artculo 92. Gestin de soportes. Se basa en un conjunto de medidas destinadas a la gestin de los soportes de datos de carcter personal que permitan su identificacin, el tipo de datos que contienen y otros.

Artculo 93. Identificacin y autenticacin. Se trata de medidas destinadas a identificar y autenticar de forma segura o adecuada a aquellos usuarios que acceden a datos de carcter personal.

Artculo 94. Copias de respaldo y recuperacin. Son un conjunto de directrices para la implantacin de mecanismos y procedimientos de copias de seguridad, realizadas con cierta regularidad, etc.

Seccin Segunda. Medidas de seguridad de nivel medio


Las medidas de nivel medio aplicables a ficheros y tratamientos automatizados son las siguientes:

Artculo 95. Responsable de seguridad. Se basa en establecer uno o varios responsables de seguridad para los datos de carcter personal que, por otro lado, figurarn en el documento de seguridad.

Artculo 96. Auditora. Se trata de establecer de forma peridica la realizacin de auditoras internas o externas. Adems, de forma extraordinaria, se deber autorizar dicha auditora en caso de realizarse cambios sustanciales en los sistemas de informacin que puedan suponer cambios en las medidas de seguridad y otros.

Artculo 97. Gestin de soportes. Hay que disponer de un sistema de gestin de los soportes con datos de carcter personal, adems de disponer de un registro.

Artculo 98. Identificacin y autenticacin. El responsable de los datos de carcter personal establecer un mecanismo que limite la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de informacin.

Artculo 99. Control de acceso fsico. Exclusivamente, el personal autorizado en el documento de seguridad podr tener acceso a los lugares donde se encuentren instalados los equipos fsicos que den soporte a los sistemas de informacin.

Artculo 100. Registro de incidencias. Adems de lo indicado en el artculo 90, debern consignarse los procedimientos de recuperacin de datos, la persona que

LOPD: Adecuacin y Cumplimiento Mdulo 1 - Introduccin a la LOPD

30

Instituto Nacional de Tecnologas de la Comunicacin

ejecut el proceso y los datos restaurados adems de otras medidas organizativas relativas al registro de incidencias.

Seccin Tercera. Medidas de seguridad de nivel alto


Las medidas de nivel alto aplicables a ficheros y tratamientos automatizados son las siguientes:

Artculo 101. Gestin y distribucin de soportes. Se trata de implantar medidas de identificacin de soportes, adems de aspectos relativos a la distribucin de los mismos, como el cifrado de los datos de carcter personal u otros.

Artculo 102. Copias de respaldo y recuperacin. Se deber conservar una copia de seguridad de los datos y de los procedimientos de recuperacin de los mismos en un lugar distinto de aquel donde se encuentren los datos o los sistemas de informacin que los tratan as como otras cuestiones a tener en cuenta.

Artculo 103. Registro de accesos. Se trata, entre otros aspectos, de un conjunto de criterios y medidas destinadas a almacenar informacin especfica en un registro de accesos.

Artculo 104. Telecomunicaciones. Hace referencia a que, conforme al artculo 81.3, debern implantarse las medidas de seguridad de nivel alto. Adems, la transmisin de datos de carcter personal a travs de redes pblicas o redes inalmbricas de comunicaciones electrnicas se realizar cifrando dichos datos o bien utilizando cualquier otro mecanismo para que la informacin sea inteligible y evite su manipulacin.

Captulo IV. Medidas de seguridad aplicables a ficheros y tratamientos no automatizados


Seccin Primera. Medidas de seguridad de nivel bsico
Las medidas de nivel bajo aplicables a ficheros y tratamientos no automatizados son las siguientes:

Artculo 105. Obligaciones comunes. Son un conjunto de obligaciones comunes, que deben ser aplicadas adems de lo dispuesto en el captulo I y II. stas se

LOPD: Adecuacin y Cumplimiento Mdulo 1 - Introduccin a la LOPD

31

Instituto Nacional de Tecnologas de la Comunicacin

refieren al alcance, niveles de seguridad y otros. Por otro lado, se aplicar lo establecido en la seccin primera del captulo III en lo relativo a funciones y obligaciones del personal, registro de incidencias y otros.

Artculo 106. Criterios de archivo. Se trata, entre otros aspectos, de establecer un conjunto de medidas destinadas a realizar el archivo de soportes y documentos, garantizando adems su correcta conservacin.

Artculo 107. Dispositivos de almacenamiento. Debemos establecer medidas para que los dispositivos que contengan datos de carcter personal no puedan abrirse u obstaculicen su apertura.

Artculo 108. Custodia de los soportes. Mientras los datos de carcter personal no se encuentren archivados en los dispositivos de almacenamiento citados en el artculo anterior, la persona que se encuentre a cargo de la documentacin o informacin deber de custodiarla en todo momento.

Seccin Segunda. Medidas de seguridad de nivel medio


Las medidas de nivel medio aplicables a ficheros y tratamientos no automatizados son las siguientes:

Artculo 109. Responsabilidad de seguridad. Se designarn uno o varios responsables de seguridad en los trminos y con las funciones previstas en el artculo 95 de este reglamento.

Artculo 110. Auditora. Los ficheros o tratamientos de nivel medio se sometern, al menos cada dos aos, a una auditora interna o externa.

Seccin tercera. Medidas de seguridad de nivel alto


Las medidas de nivel alto aplicables a ficheros y tratamientos no automatizados son las siguientes:

Artculo 111. Almacenamiento de la informacin. Se trata de establecer medidas para los armarios, archivadores u otros elementos que contengan datos de carcter personal de forma que debern encontrarse en reas protegidas con puertas de acceso y sistemas de apertura mediante llave o similar.

LOPD: Adecuacin y Cumplimiento Mdulo 1 - Introduccin a la LOPD

32

Instituto Nacional de Tecnologas de la Comunicacin

Artculo 112. Copia o reproduccin. La generacin de copias o reproduccin de los documentos nicamente podr ser realizada bajo el control del personal autorizado en el documento de seguridad, as como proceder a la destruccin de las copias o reproducciones desechadas.

Artculo 113. Acceso a la documentacin. El acceso a la documentacin se limitar exclusivamente al personal autorizado; se establecern mecanismos de control y registro.

Artculo 114. Traslado de documentacin. Siempre que se proceda al traslado fsico de la documentacin contenida en un fichero debern adoptarse medidas dirigidas a impedir el acceso o manipulacin de la informacin objeto de traslado.

Aplicacin de medidas
Como hemos visto, hay un conjunto de medidas de tipo jurdico, organizativo y tcnico que posibilitan el cumplimiento de la Ley Orgnica y que son organizadas en dos niveles. Por un lado estn las medidas aplicables a ficheros automatizados y no automatizados, y dentro de estas dos posibilidades, tenemos adems las medidas organizadas en tres niveles ms, aquellas de nivel bajo, medio o alto. Para entender cmo se aplican las medidas hay que determinar si los datos de carcter personal que debemos proteger son de nivel bajo, medio o alto. Es decir, estos tres niveles son un aspecto comn tanto a las medidas a aplicar como a los datos de carcter personal a proteger. Por tanto, la correspondencia general entre medidas y datos de carcter personal a proteger sera la siguiente:

aplicamos medidas de nivel bsico a datos de nivel bsico aplicamos medidas de nivel medio a datos de nivel medio aplicamos medidas de nivel alto a datos de nivel alto

Por otro lado, debemos indicar que cada uno de estos niveles est contenido en el nivel superior, es decir:

LOPD: Adecuacin y Cumplimiento Mdulo 1 - Introduccin a la LOPD

33

Instituto Nacional de Tecnologas de la Comunicacin

las medidas de nivel alto contienen a su vez las medidas de nivel medio y bsico las medidas de nivel medio contienen a su vez las de nivel bsico

Las medidas de nivel bsico no contienen otras medidas, puesto que son las mnimas a cumplir para los datos de carcter personal.

Por tanto, es bsico y fundamental identificar los datos de carcter personal y, por otro lado, su nivel, para poder as conocer y determinar de forma exacta las distintas medidas que es necesario aplicar.

LOPD: Adecuacin y Cumplimiento Mdulo 1 - Introduccin a la LOPD

34

Instituto Nacional de Tecnologas de la Comunicacin

Resumen del mdulo


Podemos resumir los contenidos de este mdulo en las siguientes ideas:

Podemos situar la primera normativa europea de proteccin de datos en Alemania, alrededor del ao 1970.

En Espaa la proteccin de datos de carcter personal comienza con la Constitucin, el 6 de diciembre de 1978.

Desde la promulgacin de la Constitucin hasta que se desarroll la primera ley orgnica relativa a la proteccin de datos de carcter personal pasaron 14 aos.

Esta primera Ley lleva por nombre Ley Orgnica de Regulacin del Tratamiento Automatizado de Datos o LORTAD y fue puesta en marcha en 1992.

La LORTAD slo estuvo en vigencia 7 aos en el rgimen jurdico espaol. El 13 de diciembre de 1999 apareci la actual Ley Orgnica 15/1999 de Proteccin de Datos de Carcter Personal, conocida como LOPD.

La LOPD tiene un mbito de aplicacin ms amplio que la LORTAD, no slo se limita al soporte digital sino a todo tipo de soportes en los que se puedan almacenar datos de carcter personal.

Los principios de la proteccin de datos de carcter personal se pueden enmarcar en el Ttulo II de la Ley y comienzan el artculo 4 de dicha Ley.

Hay 9 principios en la proteccin de datos de carcter personal: calidad de los datos derecho de informacin en la recogida de los datos consentimiento del afectado datos especialmente protegidos datos relativos a la salud seguridad de los datos deber de secreto

LOPD: Adecuacin y Cumplimiento Mdulo 1 - Introduccin a la LOPD

35

Instituto Nacional de Tecnologas de la Comunicacin

comunicacin de los datos acceso a los datos por cuenta de terceros

Debemos recordar que se considera dato de carcter personal a cualquier informacin concerniente a personas fsicas identificadas e identificables.

Asimismo, debemos conocer otras definiciones fundamentales como son: fichero, tratamiento de datos, responsable del fichero o tratamiento, afectado o interesado, procedimiento de disociacin, encargado del tratamiento, consentimiento del interesado y fuentes accesibles al pblico.

Las medidas de seguridad de tipo organizativo, jurdico y tcnico necesarias para garantizar la seguridad de los datos de carcter personal son aplicadas en funcin del nivel de los datos de carcter personal.

Los datos de carcter personal se pueden clasificar en tres niveles: bsico, medio y alto.

Adems, podemos encontrar medidas que se aplican a ficheros automatizados o a ficheros NO automatizados.

Conocer el nivel de los datos de carcter personal es fundamental para poder establecer las medidas a aplicar.

LOPD: Adecuacin y Cumplimiento Mdulo 1 - Introduccin a la LOPD

36