Ponente: VĂctor Cubero.
NORMATIVA BÁSICA APLICABLE: LEY ORGÁNICA 15/1999 de 13 de Diciembre de PROTECCIÓN DE DATOS DE CARACTER PERSONAL.
Real Decreto 1720/2007, de 21 de Diciembre, por el que se aprueba el REGLAMENTO DE DESARROLLO DE LA LEY ORGÁNICA 15/99
¿QUÉ ES LA PROTECCIÓN DE DATOS? La ley Orgánica de Protección de datos fija las obligaciones para todo aquel que tenga ficheros que contengan datos de carácter personal en soportes informatizados, manuales o mixtos, y que puedan ser utilizados para acceder a los datos de una persona en concreto. También garantiza los derechos para las personas que constan en esos ficheros, especialmente en lo que se refiere a su honor e intimidad.
La Ley orgánica de protección de datos de carácter personal (en adelante LOPD), afecta y obliga por igual a todas las personas, (físicas y jurídicas), que tratan datos de carácter personal, con alguna excepción, y por consiguiente es aplicable de igual manera a grandes empresas, pymes, microempresas, comunidades de vecinos, autónomos, etc.
EXCLUSIONES: Se excluyen de la ley los archivos utilizados con fines personales o domésticos; sobre investigación y sobre delincuencia. Por otra parte hay otras materias que se regularán por su normativa específica y también por lo previsto en la L.O.P.D.. Estos son: los ficheros con fines electorales, estadísticos; de las Fuerzas Armadas; los del Registro Civil; o las cámaras de videovigilancia que utilizan los cuerpos de seguridad del Estado (Ley 23/1992 de 30 de julio, de Seguridad Privada).
¿QUÉ ES LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS?: La AEPD es la autoridad de control independiente que vela por el cumplimiento de la normativa sobre protección de datos y garantiza el derecho fundamental a la protección de datos personales. Sus funciones son las siguientes: INFORMA y AYUDA al ciudadano a ejercitar sus derechos y a las entidades públicas y privadas a cumplir las obligaciones que establece la Ley. TUTELA al ciudadano en el ejercicio de los derechos de acceso, rectificación, cancelación y oposición cuando no han sido adecuadamente atendidos. GARANTIZA el derecho a la protección de datos investigando y sancionando aquellas actuaciones que puedan ser contrarias a la ley.
¿ QUÉ ES UN DATO DE CARÁCTER PERSONAL?: Cualquier información concerniente a personas físicas que permita identificarle o hacerle identificable (Art. 3.a, L.O.P.D.). Una persona está identificada cuando conste en el fichero algún dato que le diferencie del resto del colectivo, por ejemplo el D.N.I., número de empleado, nombre y apellidos, etc. ¿QUÉ ES UN FICHERO?: Todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma (informatizados, no informatizados o mixtos), la modalidad de su creación, almacenamiento, organización y acceso (Art. 3.B.L.O.P.D.) ¿QUÉ FINALIDAD TIENE EL DERECHO FUNDAMENTAL DE LA PROTECCIÓN DE DATOS?: Reconoce al ciudadano la facultad de controlar sus datos personales y la capacidad para disponer y decidir sobre los mismos.
¿QUÉ ES EL TRATAMIENTO DE DATOS?: Operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias. (Art. 3.c.L.O.P.D.) CESIÓN DE DATOS: Toda revelación de datos realizada a una persona distinta del interesado. (Art. 3.i.L.O.P.D.) PROCEDIMIENTO DE DISOCIACIÓN: Todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable . (Art. 3.f.L.O.P.D.). Dicho de otro modo, el dato disociado es aquel que no permite la identificación de un afectado o interesado.
AFECTADO O INTERESADO: Persona física titular de los datos que sean objeto del tratamiento. (Art. 3.e.L.O.P.D.) RESPONSABLE DEL FICHERO: Persona física o jurídica, de naturaleza pública o privada u órgano administrativo que decide sobre la finalidad, contenido y uso del fichero. (Art. 3.d.L.O.P.D.)
ENCARGADO DEL TRATAMIENTO: Persona física o jurídica, autoridad pública o privada u órgano administrativo, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable. (Art. 3.g.L.O.P.D.)
¿QUÉ SON DATOS ESPECIALMENTE PROTEGIDOS Y CUALES SON?: Los datos especialmente protegidos son aquellos que revelan la ideología, afiliación sindical, religión y creencias de una persona física, y que solo con el consentimiento expreso y por escrito del afectado pueden ser objeto de tratamiento. Son también datos especialmente protegidos los que hacen referencia al origen racial, a la salud y a la vida sexual, que solo podrán ser recabados cuando, por razones de interés general, así lo disponga una Ley o el afectado lo consienta expresamente.
Enlaces de Videos explicativos de la Agencia: http://www.agpd.es/portalwebAGPD/common/videos_2012/ AEPD_2012jsc.swf
https://www.agpd.es/portalwebAGPD/common/video_aepd2 011.swf
PASOS A SEGUIR EN LA IMPLANTACION DE LA L.O.P.D.: IDENTIFICAR FICHEROS Y REGISTRARLOS ANTE AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS.
NIVEL ALTO
NIVEL MEDIO NIVEL BÁSICO
NOMBRAMIENTOS DEL RESPONSABLE FICH. Y ENCARGADOS TRATAM. IDENTIFICAR LOS RIESGOS DE SEGURIDAD QUE AFECTEN A CADA FICHERO ELABORAR EL DOCUMENTO DE SEGURIDAD.
PUESTA EN PRÁCTICA DE LOS PROCEDIMIENTOS DESCRITOS EN EL DOCUMENTO SEGURIDAD
COMUNICAR, SENSIBILIZAR Y FORMAR A LOS EMPLEADOS. MANTENIMIENTO DEL SISTEMA.
INTERNET. CONTRATOS CLIENTES.
CORREO ELECTRONICO
CONTRATOS TRABAJO.
REVISAR Y REFLEJAR LAS INCIDENCIAS PRODUCIDAS. ANALIZAR LAS CAUSAS DE LAS INCIDENCIAS. APLICAR LAS MEDIDAS CORRECTORAS.
AUDITORÍAS CADA 2 AÑOS PARA NIVELES MEDIO Y ALTO.
Se registrarán obligatoriamente ante la Agencia Española de Protección de Datos: Ficheros de las Administraciones Públicas (Titularidad Pública) Ficheros de titularidad privada. Para la inscripción de los ficheros, modificaciones o supresiones, existe el formulario electrónico NOTA para ficheros de titularidad pública y de titularidad privada, que se pueden bajar por Internet en la dirección: www.agpd.es. Este formulario permite la presentación de notificaciones a través de Internet con certificado de firma electrónica. Si no se dispone de este certificado, se puede igualmente presentar la notificación a través de Internet, pero habrá que remitir a la Agencia, la Hoja de solicitud firmada. Las inscripciones también se pueden presentar en papel impreso ante el Registro de la Agencia de Protección de Datos, calle Jorge Juan, nº 6. Madrid.
Personas obligadas a la inscripción de ficheros: Están obligados a inscribir los ficheros ante el Registro de la Agencia, las personas físicas o jurídicas, de tipo público o privado; los Órganos Administrativos (Comunidades de vecinos), que vayan a crear ficheros de carácter personal.
Los ficheros de titularidad privada que contengan datos de carácter personal, se podrán crear cuando sea necesario para llevar a cabo la actividad económica de la persona, empresa, etc, y se respeten las garantías establecidas en la ley. Todos los autónomos o empresas (del tipo que sean) que utilicen ficheros de datos de carácter personal tienen la obligación de inscribirlos previamente ante la Agencia Española de Protección de Datos. Las modificaciones posteriores que se puedan dar de estos ficheros, también habrá que comunicarlos a la Agencia, mediante solicitud de modificación o de supresión de la inscripción.
Desarrollado en el Artículo 81 Real Decreto 1729/2207: Aplicación de los niveles de seguridad: 1. Todos los ficheros o tratamientos de datos de carácter personal deberán adoptar las medidas de seguridad calificadas de NIVEL
BÁSICO. EXCEPCIONES: En caso de utilizar ficheros o tratamientos de datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual, será suficiente la implantación de las medidas de seguridad de nivel básico, solamente cuando: a) Los datos se utilicen con la única finalidad de realizar una transferencia dineraria a las entidades de las que los afectados sean asociados o miembros.
b) Se trate de ficheros o tratamientos no automatizados en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad. También podrán implantarse las medidas de seguridad de nivel básico en los ficheros o tratamientos que contengan datos relativos a la salud, referentes exclusivamente al grado de discapacidad o la simple declaración de la condición de discapacidad o invalidez del afectado, con motivo del cumplimiento de deberes públicos. Las medidas incluidas en cada uno de los niveles de seguridad, tienen la condición de mínimos exigibles, sin perjuicio de las disposiciones legales o reglamentarias específicas vigentes que pudieran resultar de aplicación en cada caso o las que por propia iniciativa adoptase el responsable del fichero.
NIVEL MEDIO: 2. Deberán implantarse, además de las medidas de seguridad de nivel básico, las medidas de nivel medio, en los siguientes ficheros o tratamientos de datos de carácter personal: a) Los relativos a la comisión de infracciones administrativas o penales. b) Aquellos cuyo funcionamiento se rija por el artículo 29 de la L.O.P.D. 15/1999, (prestación de servicios de información sobre solvencia patrimonial y crédito) . c) Aquellos de los que sean responsables Administraciones tributarias y se relacionen con el ejercicio de sus potestades tributarias.
d) Aquéllos de los que sean responsables las entidades financieras para finalidades relacionadas con la prestación de servicios financieros.
e) Aquéllos de los que sean responsables las Entidades Gestoras y Servicios Comunes de la Seguridad Social y se relacionen con el ejercicio de sus competencias. De igual modo, aquellos de los que sean responsables las mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social. f) Aquéllos que contengan un conjunto de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos. Los niveles de seguridad son acumulativos de modo que un fichero de nivel alto deberá aplicar también las medidas previstas en los niveles básico y medio.
NIVEL ALTO: 3. Las medidas de nivel alto se aplicarán en los siguientes ficheros o tratamientos de datos de carácter personal: a) Los que se refieran a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual. b) Los que contengan o se refieran a datos recabados para fines policiales sin consentimiento de las personas afectadas. c) Aquéllos que contengan datos derivados de actos de violencia de género. 4. A los ficheros de los que sean responsables los operadores que presten servicios de comunicaciones electrónicas disponibles al público o exploten redes públicas de comunicaciones electrónicas respecto a los datos de tráfico y a los datos de localización, se aplicarán, además de las medidas de seguridad de nivel básico y medio, la medida de seguridad de nivel alto contenida en el artículo 103 de este reglamento.
NIVEL BAJO, MEDIO Y ALTO: Se deberán garantizar la restauración de los datos al momento anterior a producirse la pérdida. Las copias de backup se realizarán al menos con una frecuencia semanal. (art.94.1 del Reglamento de Desarrollo de la LOPD. RD 1720/2007). NIVELES MEDIO Y ALTO: Será necesaria autorización del Responsable del fichero para la ejecución de los procedimientos de restauración de datos. (art.100.2 RD 1720) NIVEL ALTO: Se almacenará una copia de respaldo de los datos y los procedimientos de recuperación de los mismos, en lugar diferente de donde se encuentran los ordenadores que los tratan. (Art.102 R.D. 1720).
Normativa que afecta a la recuperación de datos automatizados: Real Decreto 1720/2007: Art. 94: Copias de respaldo y recuperación en todos los niveles. 94.3 Verificación cada 6 meses por el Responsable del fichero del correcto funcionamiento de la copi. Art. 101: Gestión y distribución de soportes. 101.2 Cifrado de los datos . Art. 102. Copias de respaldo y recuperación nivel alto. Art. 103. Registro de accesos Art. 104. Telecomunicaciones (Transmisión de datos por redes de Telecomunicaciones)
El documento de seguridad recoge las medidas técnicas y organizativas de obligado cumplimiento para el personal con acceso a los sistemas de información cuando éstos incorporen datos de carácter personal. Tal y como establece la propia Agencia Española de Protección de Datos en su “Guía de seguridad de datos”, se trata de “un documento interno de la organización, que debe mantenerse siempre actualizado. Disponer del documento de seguridad es una obligación para todos los responsables de ficheros y, en su caso, para los encargados del tratamiento, con independencia del nivel de seguridad que sea necesario aplicar.”. El documento deberá contener, atendiendo a la naturaleza de los datos, las medidas de índole técnica y organizativa necesaria que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado.
Contenidos del documento de Seguridad: 1. Ámbito de aplicación del documento con especificación detallada de los recursos protegidos: ficheros que contienen datos de carácter personal que se hallan bajo la responsabilidad de la empresa, incluyendo los sistemas de información, soportes y equipos empleados para el tratamiento de datos de carácter personal, que deban ser protegidos de acuerdo a lo dispuesto en normativa vigente, las personas que intervienen en el tratamiento y los locales en los que se ubican. 2. Medidas, normas, procedimientos de actuación, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en el reglamento. 3. Funciones y obligaciones del personal en relación con el tratamiento de los datos de carácter personal incluidos en los ficheros.
4. Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan. 5. Procedimiento de notificación, gestión y respuesta ante las incidencias. 6. Procedimientos de realización de copias de respaldo y de recuperación de los datos en los fi cheros o tratamientos automatizados. 7. Medidas que sea necesario adoptar para el transporte de soportes y documentos, así como para la destrucción de los documentos y soportes, o en su caso, la reutilización de estos últimos. A partir del nivel medio de medidas de seguridad, además de los apartados anteriores, deberán incluirse los siguientes: 8. Identificación del responsable o responsables de seguridad. 9. Los controles periódicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento.
Para cumplir con éxito con la fase de implementación de la normativa sobre protección de datos, la empresa deberá, además de observar los principios mencionados anteriormente, cumplir con las siguientes obligaciones: • Informar al interesado sobre la recogida de datos, con carácter previo a la recogida. • Solicitar el consentimiento del interesado para que la empresa pueda utilizar sus datos. • Los Responsables de los ficheros, debe atender los derechos de acceso, rectificación, cancelación y oposición (derechos A.R.C.O.) que ejerzan los ciudadanos titulares de los datos. • Recabar el consentimiento del interesado en el caso de cesión de los datos del mismo a terceros.
• Observar las disposiciones previstas en la ley en los casos en que se transmitan los datos fuera del Espacio Económico Europeo. La comunicación de datos con origen en España y con destino en un tercer país está sujeta a la autorización previa del director de la Agencia Española de Protección de Datos. • Deber de guardar secreto.
ACCESO
OPOSICIÓN
DERECHOS DE LAS PERSONAS ANTE LA L.O.P.D.
RECTIFICACIÓN
CANCELACIÓN
El titular de los datos que se tratan, puede ejercitar los derechos que se exponen a continuación: Por el ejercicio de estos derechos, la empresa afectada no le puede cobrar. Por otra parte, la empresa tiene la obligación de contestar al solicitante aunque no figuren datos suyos; y se debe hacer por medios que permitan acreditar el envío y la recepción de la notificación. Derecho de acceso: Podrá solicitar y obtener información de sus datos de carácter personal sometidos a tratamiento, y del origen de dichos datos, así como las comunicaciones realizadas o que se prevén hacer de los mismos. Plazo de contestación por parte de la empresa: 1 mes desde la recepción de la solicitud. Acceso: 10 días desde la notificación por parte de la empresa, de estimación de la solicitud.
Derecho de rectificación: Puede solicitar que se actualicen sus datos si son inexactos o incompletos. Plazo de rectificación de los datos: 10 días a partir de la recepción de la solicitud del interesado. Derecho de cancelación: Puede pedir que se borren o se supriman sus datos si son inexactos o se han tratado ilegalmente. Plazo atender la cancelación de los datos: 10 días a partir de la recepción de la solicitud del afectado. Derecho de oposición: Si se han tratado datos sin consentimiento del titular, puede comunicar su derecho de oponerse a dicho tratamiento. Plazo para la resolución: 10 días a partir de la recepción de la solicitud.
De acuerdo con lo previsto en el artículo 44.3.e) de la L.O.P.D., constituye infracción grave, el impedimento o la obstaculización del ejercicio de los derechos de acceso y oposición y la negativa a facilitar la información que sea solicitada. Y según el artículo 44.4.H), también puede considerarse como infracción muy grave la circunstancia de no atender u obstaculizar de forma sistemática el ejercicio de los derechos de acceso, rectificación, cancelación u oposición.
A efectos legales, el responsable del fichero será la propia empresa a través de su representante legal. En cuanto al responsable de tratamiento, será quien preste este servicio a la empresa, si es que existe. Las empresas que tratan directamente sus datos serán consideradas a la vez responsables del fichero y del tratamiento. El artículo 44 de la LOPD establece las infracciones que se pueden cometer por incumplimiento de la Norma; y el Art. 45 las sanciones que se pueden imponer. Las infracciones están graduadas en tres niveles, dependiendo de la gravedad: Leves. Graves. Muy graves.
La cuantía se graduará atendiendo a la naturaleza de los derechos personales afectados, al volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de intencionalidad, a la reincidencia, a los daños y perjuicios causados a las personas interesadas y a terceras personas, y a cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora. Existe un régimen específico en el caso de los ficheros de titularidad pública. En ningún caso podrá imponerse una sanción más grave que la fijada en la Ley para la clase de infracción en la que se integre la que se pretenda sancionar. TIPOS DE SANCIONES: De 601,01 a 60.101,21 euros para infracciones leves. De 60.101,21 a 300.506,05 euros para infracciones graves. De 300.506,05 a 601.012,10 euros para infracciones muy graves.
El artículo 10 de la Ley Orgánica 15/1999, exige a quienes intervengan en cualquier fase del tratamiento de los datos a guardar secreto profesional sobre los datos, subsistiendo la obligación aún después de finalizar su relación con el responsable del fichero. Todo el personal que acceda a los datos de carácter personal está obligado a conocer y observar las medidas, normas, procedimientos, reglas y estándares que afecten a las funciones que desarrolla. También deberá guardar el debido secreto y confidencialidad sobre los datos personales que conozcan en el desarrollo de su trabajo.
El personal que realice trabajos que no impliquen el tratamiento de datos personales, tendrán limitado el acceso a estos datos, a los soportes que los contengan, o a los recursos del sistema de información.
La utilización de los datos, ficheros automáticos y manuales, con fines distintos a los exigidos en la gestión de la empresa, así como su uso, difusión o cesión indebida, podría dar lugar, según la gravedad de la infracción, a la exigencia de responsabilidades penales, administrativas, laborales, etc.
Todo el personal tendrá acceso al Documento de Seguridad de la empresa, para que lo conozcan y se informen de las medidas de seguridad establecidas en el sistema, y las responsabilidades que tienen. Los usuarios de ordenadores están obligados a utilizar la red corporativa de la empresa y sus datos, sin incurrir en actividades que puedan ser consideradas ilícitas o ilegales, que infrinjan los derechos de la Organización o de terceros. Los puestos de trabajo estarán bajo la responsabilidad de algún usuario autorizado que garantizará que la información que muestran o disponen para el desarrollo de sus funciones no pueda ser visible por personas no autorizadas.
Esto implica que tanto las pantallas, impresoras, otro tipo de dispositivos conectados al puesto de trabajo o documentos deberán estar físicamente ubicados en lugares que garanticen esa confidencialidad. Cuando un empleado se ausente de su puesto de trabajo, bien temporalmente o al finalizar su jornada de trabajo, deberá dejarlo en un estado que impida la visualización de los datos protegidos; mediante un protector de pantalla con contraseña que impida la visualización de los datos o apagando el equipo. La reanudación del trabajo implicará la introducción de la contraseña correspondiente. En el caso de las impresoras deberá asegurarse que no quedan documentos impresos en la bandeja de salida que contengan datos protegidos. Si las impresoras son compartidas con otros usuarios no autorizados para acceder a los datos del Fichero, los responsables de cada puesto deberán retirar los documentos conforme vayan siendo impresos.
Confidencialidad de la información: Queda prohibido enviar información confidencial de la organización al exterior, mediante documentos o copias, soportes materiales, o a través de cualquier medio de comunicación, incluyendo la simple visualización o acceso.
Ningún colaborador debe poseer, para usos ajenos a su trabajo, material o información propiedad de la Empresa. Los usuarios de los sistemas de informáticos de la empresa deben guardar por tiempo indefinido la máxima confidencialidad y no divulgar, ni utilizar directamente ni a través de terceras personas o entidades, los datos, documentos, claves, programas y demás información a la que tengan acceso durante su relación laboral con la Organización y empresas relacionadas (Clientes, proveedores, etc) , tanto en soporte físico (papel) como electrónico. Esta obligación continuará vigente tras la extinción del contrato laboral.
Si por motivos relacionados con el puesto de trabajo, el empleado trabajase con información confidencial bajo cualquier tipo de soporte (manual o automatizado), el trabajador deberá devolver esta información al finalizar el trabajo, y en cualquier caso, a la finalización de la relación laboral por ser propiedad de la empresa.
Artículo 90 Real Decreto desarrollo de la L.O.P.D.: Registro de incidencias: Deberá existir un procedimiento de notificación y gestión de las incidencias que afecten a los datos de carácter personal y establecer un registro en el que se haga constar el tipo de incidencia, el momento en que se ha producido, o en su caso, detectado, la persona que realiza la notificación, a quién se le comunica, los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas. El Responsable del Fichero velará y se encargará de que existan normas e instrucciones para regular la notificación y gestión de incidencias.
El Responsable de Seguridad será el encargado de establecer y comprobar la aplicación del procedimiento de notificación, tratamiento y gestión de incidencias. Cuando exista más de un Responsable de Seguridad en la organización, el encargado del control de incidencias será aquel que designe el Responsable del Fichero para este fin. Es obligación del Responsable de Seguridad mantener actualizado el registro de incidencias. Notificación de incidencias: El usuario o el administrador que detecte cualquier anomalía que afecte o pueda afectar a la seguridad de los datos debe notificar al Responsable de Seguridad de forma inmediata de la incidencia advertida.
Gestión de incidencias: El Responsable de Seguridad es el encargado de recibir las notificaciones de incidencias y comunicarlas al personal técnico encargado del mantenimiento del sistema o de dar instrucciones a cualquier otra persona con competencias para la solución del problema; también debe comunicar las incidencias al Responsable del fichero para que conozca el alcance de las mismas. Respuesta: El Responsable de Seguridad debe hacer un seguimiento de la notificación de la incidencia al personal técnico para su solución comprobando el tiempo de respuesta y la verificación del trabajo de corrección de la anomalía.
Análisis de las incidencias: Toda Incidencia documentada será objeto de análisis por parte del Responsable de Seguridad y /o de los Administradores del sistema. Como resultado del mismo se determinarán las acciones inmediatas a tomar, la resolución de la misma y la toma de acciones correctivas en su caso, que dependerá de la valoración de los siguientes supuestos: Desarrollo de las acciones correctivas: En las acciones correctivas se darán las instrucciones para el seguimiento de las mismas y la comprobación de su efectividad. El Responsable de Seguridad será quien se encargue de su implantación. Si se repitiese una incidencia para la que ya se haya implantado una acción correctiva, se revisará la acción adoptada, y se volverá a proponer una acción correctiva diferente a la anterior.
AUDITORÍAS DE SEGURIDAD: OBJETIVO: Determinar si se han establecido, si son adecuadas y si se cumplen las medidas de seguridad recogidas en el Título VIII del Real Decreto de desarrollo de la L.O.P.D.
Las Auditorías son obligatoria para ficheros de nivel medio y alto. Pueden ser interna o externa. Deben realizarse al menos cada dos años. Excepcionalmente, si se han realizado modificaciones sustanciales en el sistema de información, deberá realizarse una auditoría para comprobar la adecuación, adaptación y eficacia de las medidas de seguridad. Esta auditoría iniciará el cómputo de dos años.
DETERMINACIÓN DEL ALCANCE DE LA AUDITORÍA: Se debe establecer cuáles son los ficheros con datos de carácter personal objeto de la auditoría, tratamientos sobre los mismos, sistemas de tratamiento, procedimientos, etc. PLANIFICACIÓN: Determinar los recursos necesarios para llevar a cabo la auditoría, las fuentes de información, la ubicación del fichero o las instalaciones, etc.
CONTENIDO DE LA AUDITORÍA: Relación de ficheros, estructura y contenido. Políticas de seguridad y procedimientos (registro de incidencias, copias de respaldo y recuperación, identificación y autorización, borrado de soportes, cifrado, etc.). Documento de Seguridad y auditorías anteriores (si las hubiese). Diseño físico y lógico de los sistemas de información. Relación de usuarios, accesos autorizados y sus funciones. Inventario de soportes y registro de entrada y salida de soportes. Registros de acceso e informes de revisión de los mismos. Entrevistas a usuarios, técnicos de sistemas, responsables, etc. Inspección visual.
Es necesario difundir una cultura de protección de datos entre los empleados, que sensibilice a quienes los manejan y sean responsables. Dentro de está formación en la LOPD, el primer paso que debe cumplir la empresa es la de adoptar las medidas necesarias para que el personal conozca las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento. Todas las personas que tengan acceso a los datos de Ficheros automatizados, en papel o mixtos, deberán someterse al cumplimiento de lo establecido en el Documento de Seguridad de la empresa.
Como consecuencia de ello, el personal de la empresa estará obligado a recibir Formación LOPD, para:. Conocer la privacidad de todos los datos que manejan y, por lo tanto, su obligación de mantener el secreto de dicha información.
Hacer uso de los datos únicamente para los fines para los cuales han sido recabados. No divulgar las contraseñas de que dispongan para acceder tanto a los sistemas informáticos como a los ficheros que contengan datos de carácter personal. Solicitar las autorizaciones necesarias para el tratamiento de dichos datos siempre que se refieran a salidas o entradas de soportes informáticos. No utilizar con fines privados los sistemas informáticos de la empresa, sin autorización del empresario.
CONCLUSIONES: Debemos tener presente que las causas principales de la imposición de sanciones en las empresas viene provocada por la falta de conocimiento de los trabajadores a la hora de aplicar la LOPD; es decir falta de formación e información de los trabajadores en cuanto al uso y tratamiento de los datos personales que manejan, en el desarrollo de sus funciones. Por eso es tan importante para las Empresas el formar e informar adecuadamente a los trabajadores que tratan los datos personales.