IMPLANTACIÓN DE LA LOPD

TEMA 1 INTRODUCIÓN A LA LEY ORGÁNICA DE PROTECCIÓN DE DATOS

1.1 LEY ORGÁNICA DE PROTECCIÓN DE DATOS

La legislación de protección de datos está establecida en el ordenamiento jurídico por la Ley Orgánica (LO) 15/1999 de 13 de diciembre, de protección de datos de carácter personal.

Ciertamente la referida Ley Orgánica tiene como substancia el garantizar y proteger, relativo a los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y en esencia los derechos al honor y a la intimidad personal y familiar.

Dicha ley, de carácter orgánico, dado que regula en fundamento el artículo 18 de la Constitución española, tiene tal carácter como quiera que sistematiza un artículo incluido en la Sección 1ª Capítulo II y Título I, relativo a los derechos fundamentales y las libertades públicas.

Dicho artículo 18 de la Constitución dispone que se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen. De la misma forma, es destacable el punto 4 donde se regula que la ley limitará el uso de la informática para la garantía del honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.

Es por tanto que el artículo 18 de la Constitución se desarrolla orgánicamente por LO 15/1999 anteriormente aludida. Ley orgánica que, en sus primeros artículos, destaca por la regulación de su objeto, ámbito de aplicación y definiciones de conceptos relativas a la protección de datos. Eso en cuanto al título I. Respecto alTítulo II, en él se disponen los principios de protección de datos. Principios tales como la calidad de los datos, esto es, que los datos de carácter personal sólo se podrán recoger para su tratamiento cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas. O por otra parte, el derecho de información en la recogida de datos de forma expresa, precisa e inequívoca.También destacable el principio de consentimiento del afectado, de forma inequívoca, salvo que la ley disponga otra cosa.

De la misma forma se disponen los datos especialmente protegidos que enlaza con el artículo 16 de la Constitución en virtud del cual nadie podrá ser obligado a declarar sobre su ideología, religión o creencias.Ya en el artículo 8 se regula otro principio de protección de datos como es el de los relativos a la salud. Por lo demás principios tales como el deber de secreto, la comunicación de datos, o el acceso a los datos por cuenta de terceros.

En el Título III se desglosan los derechos de las personas, tales como el derecho de impugnación de valoraciones; el derecho de consulta al Registro General de Protección de Datos; el derecho de acceso a los datos de carácter personal; el derecho de rectificación y cancelación por parte de los interesados; así como los derechos de oposición, acceso, rectificación o cancelación. Asimismo se regula la tutela de los derechos, además del derecho a indemnización de los interesados por incumplimiento de lo dispuesto en la ley que estamos comentando.

Por su parte las disposiciones sectoriales incluyen la regulación de los ficheros de titularidad pública, concretamente su creación, modificación y supresión, así como la comunicación de datos entre Administraciones Públicas o los ficheros de las Fuerzas y Cuerpos de Seguridad, además de un conjunto de excepciones a los derechos de los afectados.Todo ello en elTítulo IV, donde además se establecen los ficheros de titularidad privada, como es sucreación, la inscripción registral y notificación o la información dirigida a los afectados en la cesión de datos. De la misma forma en este Título IV se disponen los supuestos de datos incluidos en las fuentes de acceso público, así como la prestación de servicios de información sobre solvencia patrimonial y crédito.

En cuanto al tratamiento de datos con fines de publicidad y de prospección comercial, este título ubica, en el artículo 30, que quienes realicen recopilación de direcciones, reparto de documentos, publicidad, venta a distancia, prospección comercial y demás actividades análogas, utilizarán nombres y direcciones u otros datos de carácter personal cuando éstos estén en fuentes accesibles al público o cuando sean facilitados por los propios interesados u obtenidos con su consentimiento. Por su parte, también se contiene en este título la regulación del censo promocional de cara a la solicitud del mismo por parte de los que se dediquen a la recopilación de direcciones, reparto de documentos, publicidad, venta a distancia, etcétera.

Al movimiento internacional de datos se dedica el Título V de la norma, en donde se contiene unas reglas generales, tales como que no se podrán realizar transferencias temporales ni definitivas de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento con destino a países que no proporcionen un nivel de protección equiparable al que presta la ley de protección de datos española. Pero además se contienen una serie de excepciones a la regla general como por ejemplo cuando la transferencia internacional de datos resulte de la aplicación de tratados o convenios en los que España sea parte.

Hemos de tener en cuenta por otra parte la creación de un órgano que tiene entre sus funciones la de velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación, en especial en lo relativo a los derechos que tienen los ciudadanos afectados, contenidos por lo demás en la presente ley. Dicho órgano es la Agencia de protección de datos, regulada en el Título VI donde se establece su naturaleza, régimen jurídico y orgánico, funciones, así como la potestad de inspección que tiene. Por su parte se dispone que las funciones de la Agencia serán ejercidas, cuando afecten a ficheros de datos de carácter personal creados o gestionados por Comunidades Autónomas y Administración Local de su ámbito territorial, por los órganos correspondientes de cada Comunidad, que tendrán el carácter de autoridades de control, y a los que se les garantizará plena independencia y objetividad en el ejercicio de su cometido.

Respecto de las infracciones y sanciones, éstas se contienen en el Título VII donde se regulan los responsables, los tipos de infracciones y sanciones que hay, las infracciones por parte de las Administraciones Públicas en el ejercicio de sus funciones; la prescripción de esas infracciones y sanciones aludidas; el procedimiento sancionador, cuya adecuación se deja a la vía reglamentaria.Ypor último la potestad, por parte del órgano sancionador, de la inmovilización de ficheros.

La ley concluye con seis disposiciones adicionales, tres transitorias, una derogatoria y tres finales. En la Disposición adicional primera se dispone que los ficheros preexistentes han de adecuarse a la presente Ley Orgánica dentro del plazo de tres años, a contar desde su entrada en vigor.

Ya en la Disposición adicional segunda se hace alusión a los Ficheros y Registro de Población de las Administraciones públicas.

Por su parte en la Disposición adicional tercera se menciona el tratamiento de los expedientes de las derogadas Leyes de Vagos y Maleantes y de Peligrosidad y Rehabilitación Social.También se modifica el artículo 112.4 de la Ley GeneralTributaria en la Disposición adicional cuarta.

Asimismo se mencionan las competencias del Defensor del Pueblo y órganos autonómicos semejantes, o la modificación del artículo 24.3 de la Ley de Ordenación y Supervisión de los Seguros Privados.

Respecto de las Disposiciones transitorias, destacable es la indicación de tratamientos creados por Convenios internacionales, así como la utilización del censo promocional. Con esta Ley 15/1999 orgánica se deroga la anterior Ley Orgánica 5/1992, de 29 de octubre, de Regulación del tratamiento automatizado de los datos de carácter personal. Y para terminar en las Disposiciones finales se habilita al desarrollo reglamentario, y se menciona su entrada en vigor, que se produjo en un mes desde su publicación en el Boletín Oficial del Estado.

1.2 NORMATIVA APLICABLE

La normativa aplicable es la LO 15/1999 de Protección de Datos de Carácter Personal, así como el RD 1720/2007 por el que se aprueba el reglamento de desarrollo de la Ley Orgánica anteriormente aludida.

También hemos de referirnos al RD 428/1993 por el que se aprueba el Estatuto de la Agencia Española de Protección de Datos.

1.3 ¿QUIÉN DEBE CUMPLIR LA LOPD Y POR QUÉ?

Hemos de tener en cuenta que la Ley Orgánica de Protección de Datos (en adelante LOPD) es una ley que afecta tanto a las personas jurídicas, como a las físicas y a las Administraciones Públicas.

En este sentido la LOPD es de obligado cumplimiento para las personas físicas y jurídicas que tengan en su posesión datos de carácter personal de personas físicas, bien sean de clientes, usuarios, visitantes, empleados, proveedores, pacientes, alumnos etc., ya sea en soporte informático o en papel. Así los particulares que no ejerzan ninguna actividad económica tendrán obligación de cumplir la LOPD.

En el momento de establecer quién es el responsable en caso de incumplimiento hay que distinguir entre dos figuras: responsable del fichero y encargado del tratamiento.

 

El responsable del fichero, de acuerdo con el artículo 3.g de la LOPD, es toda persona física o jurídica, de naturaleza pública o privada u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento. Hace referencia a la persona o entidad que accede a los datos de carácter personal para prestar algún tipo de servicio al responsable del fichero. Ejemplo de responsable de fichero son los empresarios autónomos, profesionales liberales, sociedades mercantiles, sociedades civiles, asociaciones y fundaciones sin ánimo de lucro y a los organismos de la Administración Pública del Estado. Podrán ser también responsables del fichero o del tratamiento los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados.

Por su parte el encargado del tratamiento es toda persona física o jurídica, pública o privada, u órgano administrativo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento o del responsable del fichero, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio.

Podrán ser también encargados del tratamiento los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados.

El acceso a los datos por parte de un encargado del tratamiento que resulte necesario para la prestación de un servicio al responsable no se considerará comunicación de datos, siempre y cuando se cumpla lo establecido en la LOPD.

Cuando el responsable del tratamiento contrate la prestación de un servicio que comporte un tratamiento de datos personales sometido a lo dispuesto en este capítulo deberá velar por que el encargado del tratamiento reúna las garantías para el cumplimiento de lo dispuesto en este Reglamento.

En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato al que se refiere el apartado 2 del artículo 12 de la LOPD, será considerado, también, responsable de tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente. No obstante, el encargado del tratamiento no incurrirá en responsabilidad cuando, previa indicación expresa del responsable, comunique los datos a un tercero designado por aquél, al que hubiera encomendado la prestación de un servicio conforme a lo previsto en el Reglamento de la LOPD.

En lo que respecta a la cuestión de por qué cumplir la LOPD hay que decir que, en primer lugar, es para garantizar que un negocio está dentro de las exigencias legales, ya que de lo contrario podrían verse afectadas nuestras relaciones comerciales futuras. También tenemos que considerar el posible coste para la empresa si ocurre una pérdida de datos personales confidenciales, por fallos informáticos, incendios o inundaciones, pudiendo incurrir incluso en responsabilidades civiles, competencias desleales, etc... Además si no se cumple con esta Ley nos podemos enfrentar a importantes sanciones económicas, que repercutirán negativamente en la empresa, por lo que si estamos dudando entre implantar o no la LOPD, debemos tener en cuenta que el coste de no implantarla puede ser mucho mayor que si no lo hacemos.

 

 

Hemos de considerar que las consecuencias de no cumplir la LOPD, es decir cometer infracciones, son la imposición de sanciones. Según la Ley 2/2011, de 4 de marzo de Economía Sostenible, que ha modificado algunos puntos de la Ley Orgánica 15/1999 de Protección de Datos, los importes de las sanciones se han reducido y quedan de la siguiente manera:

- Las infracciones leves serán sancionadas con multas de 900 a 40.000€.

- Las infracciones graves serán sancionadas con multas de 40.001 a 300.000€.

- Las infracciones muy graves serán sancionadas con multas de 300.001 a 600.000€.

El tipo de infracción atenderá al nivel de datos afectado (básico, medio o alto). Yla cuantía de las sanciones se graduará atendiendo a los siguientes criterios:

•         El carácter continuado de la infracción.

•         El volumen de los tratamientos efectuados.

•        La vinculación de la actividad del infractor con la realización de tratamientos de datos de carácter personal.

•         El volumen de negocio o actividad del infractor.

•         Los beneficios obtenidos como consecuencia de la comisión de la infracción.

•         El grado de intencionalidad.

•         La reincidencia por comisión de infracciones de la misma naturaleza.

•         La naturaleza de los perjuicios causados a las personas interesadas o a terceras personas.

•        La acreditación de que con anterioridad a los hechos constitutivos de infracción la entidad imputada tenía implantados procedimientos adecuados de actuación en la recogida y tratamiento de los datos de carácter personal, siendo la infracción consecuencia de una anomalía en el funcionamiento de dichos procedimientos no debida a una falta de diligencia exigible al infractor.

•       Cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora.

Además de la modificación en la cuantía de las sanciones hay otra modificación a tener en cuenta, como es la introducción de la figura del apercibimiento, que viene a ser una medida preventiva, frente a la multa o sanción. Aquí la Agencia Española de Protección de Datos juega un papel muy importante ya que podrá solicitar acciones correctoras en lugar de abrir directamente un expediente sancionador cuando haya infracciones leves o graves y el infractor no hubiese sido sancionado o apercibido con anterioridad, lo que supone una modificación muy importante tanto para pymes como para micropymes, ya que existirá la posibilidad de que no se llegue a abrir un expediente sancionador, y por lo tanto no tengan el consiguiente gasto que ello supondría.

Por tanto las razones principales de porqué hay que cumplir la LOPD es porque se imponen una serie de sanciones ante la contravención de lo dispuesto en la referida ley.

1.4 RÉGIMEN JURÍDICO ACTUAL

El régimen jurídico actual de la protección de datos se contiene en la LO 15/1999 de protección de datos de carácter personal, así como su reglamento de desarrollo regulado en Real Decreto 1720/2007, de 21 de diciembre, que entró en vigor el 19 de abril de 2008.

La actual Ley Orgánica 15/1999, de 13 de diciembre de Protección de datos de carácter personal adaptó nuestro ordenamiento a lo dispuesto por la Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, derogando a su vez la que estaba vigente en aquel momento que era la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del tratamiento automatizado de datos de carácter personal.

La nueva ley prevé en su artículo 1 que «tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal». Comprende por tanto el tratamiento automatizado y el no automatizado de los datos de carácter personal.

A fin de garantizar la necesaria seguridad jurídica en un ámbito tan sensible para los derechos fundamentales como el de la protección de datos, el legislador declaró subsistentes las normas reglamentarias existentes y, en especial, los reales decretos 428/1993, de 26 de marzo, por el que se aprueba el Estatuto de la Agencia de Protección de Datos, 1332/1994, de 20 de junio, por el que se desarrollan determinados aspectos de la Ley Orgánica 5/1992, de 29 de octubre de Regulación del tratamiento automatizado de los datos de carácter personal y 994/1999, de 11 de junio, por el que se aprueba el Reglamento de Medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal, a la vez que habilitó al Gobierno para la aprobación o modificación de las disposiciones reglamentarias necesarias para la aplicación y desarrollo de la Ley Orgánica 15/1999.

Por otra parte, la Ley 34/2002, de 11 de julio, de Servicios de la sociedad de la información y de comercio electrónico y la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones atribuyen competencias en materia sancionadora a la Agencia Española de Protección de Datos. Éstas requieren de desarrollo reglamentario con la peculiaridad de que ambas normas se ordenan a la tutela no sólo de los derechos de las personas físicas, sino también de las jurídicas.

El Reglamento de la Ley Orgánica comparte con ésta la finalidad de hacer frente a los riesgos que para los derechos de la personalidad pueden suponer el acopio y tratamiento de datos personales.Así, ha de destacarse que esta norma reglamentaria nace con la vocación de no reiterar los contenidos de la norma superior y de desarrollar, no sólo los mandatos contenidos en la Ley Orgánica de acuerdo con los principios que emanan de la Directiva, sino también aquellos que en estos años de vigencia de la Ley se ha demostrado que precisan de un mayor desarrollo normativo.

1.5 DEFINICIONES

Hay que tener en cuenta los siguientes conceptos:

-Accesos autorizados: autorizaciones concedidas a un usuario para la utilización de los diversos recursos. En su caso, incluirán las autorizaciones o funciones que tenga atribuidas un usuario por delegación del responsable del fichero o tratamiento o del responsable de seguridad.

-Afectado o interesado: persona física titular de los datos que sean objeto del tratamiento de datos.

-Autenticación: procedimiento de comprobación de la identidad de un usuario.

- Cancelación: Procedimiento en virtud del cual el responsable cesa en el uso de los datos. La cancelación implicará el bloqueo de los datos, consistente en la identificación y reserva de los mismos con el fin de impedir su tratamiento excepto para su puesta a disposición de las Administraciones públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento y sólo durante el plazo de prescripción de dichas responsabilidades. Transcurrido ese plazo deberá procederse a la supresión de los datos.

- Cesión o comunicación de datos: toda revelación de datos realizada a una persona distinta del interesado.

- Consentimiento del interesado: toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen.

- Contraseña: información confidencial, frecuentemente constituida por una cadena de caracteres, que puede ser usada en la autenticación de un usuario o en el acceso a un recurso.

- Control de acceso: mecanismo que en función de la identificación ya autenticada permite acceder a datos o recursos.

- Copia de respaldo: copia de los datos de un fichero automatizado en un soporte que posibilite su recuperación.

- Datos de carácter personal: cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables.

-Datos de carácter personal relacionados con la salud: las informaciones concernientes a la salud pasada, presente y futura, física o mental, de un individuo. En particular, se consideran datos relacionados con la salud de las personas los referidos a su porcentaje de discapacidad ya su información genética.

- Dato disociado: aquél que no permite la identificación de un afectado o interesado.

- Destinatario o cesionario: la persona física o jurídica, pública o privada u órgano administrativo, al que se revelen los datos. Podrán ser también destinatarios los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados.

- Documento: todo escrito, gráfico, sonido, imagen o cualquier otra clase de información que puede ser tratada en un sistema de información como una unidad diferenciada.

- Encargado del tratamiento: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento. Podrán ser también encargados del tratamiento los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados.

- Exportador de datos personales: la persona física o jurídica, pública o privada, u órgano administrativo situado en territorio español que realice, conforme a lo dispuesto en el presente Reglamento, una transferencia de datos de carácter personal a un país tercero.

- Fichero: todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.

- Fichero no automatizado: todo conjunto de datos de carácter personal organizado de forma no automatizada y estructurado conforme a criterios específicos relativos a personas físicas, que permitan acceder sin esfuerzos desproporcionados a sus datos personales, ya sea aquél centralizado, descentralizado o repartido de forma funcional o geográfica.

- Ficheros de titularidad privada: los ficheros de los que sean responsables las personas, empresas o entidades de derecho privado, con independencia de quien ostente la titularidad de su capital o de la procedencia de sus recursos económicos, así como los ficheros de los que sean responsables las corporaciones de derecho público, en cuanto dichos ficheros no se encuentren estrictamente vinculados al ejercicio de potestades de derecho público que a las mismas atribuye su normativa específica.

-Ficheros de titularidad pública: los ficheros de los que sean responsables los órganos constitucionales o con relevancia constitucional del Estado o las instituciones autonómicas con funciones análogas a los mismos, las Administraciones públicas territoriales, así como las entidades u organismos vinculados o dependientes de las mismas y las Corporaciones de derecho Público siempre que su finalidad sea el ejercicio de potestades de derecho público.

- Ficheros temporales: ficheros de trabajo creados por usuarios o procesos que son necesarios para un tratamiento ocasional o como paso intermedio durante la realización de un tratamiento.

- Fuentes accesibles al público: aquellos ficheros cuya consulta puede ser realizada, por cualquier persona, no impedida por una norma limitativa o sin más exigencia que, en su caso, el abono de una contraprestación. Tienen la consideración de fuentes de acceso público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Por lo demás, tienen el carácter de fuentes de acceso público los diarios y boletines oficiales y los medios de comunicación.

- Identificación: procedimiento de reconocimiento de la identidad de un usuario.

- Importador de datos personales: la persona física o jurídica, pública o privada, u órgano administrativo receptor de los datos en caso de transferencia

internacional de los mismos a un tercer país, ya sea responsable del tratamiento, encargada del tratamiento o tercero.

- Incidencia: cualquier anomalía que afecte o pudiera afectar a la seguridad de los datos.

- Perfil de usuario: accesos autorizados a un grupo de usuarios.

- Persona identificable: toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier información referida a su identidad física, fisiológica, psíquica, económica, cultural o social. Una persona física no se considerará identificable si dicha identificación requiere plazos o actividades desproporcionados.

- Procedimiento de disociación: todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable.

- Recurso: cualquier parte componente de un sistema de información.

- Responsable de seguridad: persona o personas a las que el responsable del fichero ha asignado formalmente la función de coordinar y controlar las medidas de seguridad aplicables.

- Responsable del fichero o tratamiento: persona física o jurídica, de naturaleza pública o privada u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento.

- Sistema de información: conjunto de ficheros, tratamientos, programas, soportes y en su caso, equipos empleados para el tratamiento de datos de carácter personal.

- Sistema de tratamiento: modo en que se organiza o utiliza un sistema de información. Atendiendo al sistema de tratamiento, los sistemas de información podrán ser automatizados, no automatizados o parcialmente automatizados.

- Soporte: objeto físico que almacena o contiene datos o documentos, u objeto susceptible de ser tratado en un sistema de información y sobre el cual se pueden grabar y recuperar datos.

-Tercero: la persona física o jurídica, pública o privada u órgano administrativo distinta del afectado o interesado, del responsable del tratamiento, del responsable del fichero, del encargado del tratamiento y de las personas autorizadas para tratar los datos bajo la autoridad directa del responsable del tratamiento o del encargado del tratamiento.

-Transferencia internacional de datos:Tratamiento de datos que supone una transmisión de los mismos fuera del territorio del Espacio Económico Europeo, bien constituya una cesión o comunicación de datos, o bien tenga por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero establecido en territorio español.

-Transmisión de documentos: cualquier traslado, comunicación, envío, entrega o divulgación de la información contenida en el mismo.

 

-Tratamiento de datos: operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.

Podrán ser también responsables del fichero o del tratamiento los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados.

Podrán ser también terceros los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados.

- Usuario: sujeto o proceso autorizado para acceder a datos o recursos.Tendrán la consideración de usuarios los procesos que permitan acceder a datos o recursos sin identificación de un usuario físico.

1.6 AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS: REGULACIÓN, OBJETO, FUNCIONES, COMPOSICIÓN

A. REGULACIÓN

Es necesario mentar la Disposición Adicional décima de la ley 6/1997 de Organización y Funcionamiento de la Administración General del Estado, donde se dispone que, entre otras instituciones, la Agencia Española de Protección de Datos se regirá por su legislación específica y supletoriamente por esta Ley aludida.

Por tanto la regulación específica de la Agencia española de protección de datos se contiene en los arts. 35 a 42 de la LOPD, así como en los artículos 115 a 138 del Reglamento, relativo a los procedimientos tramitados por dicha Agencia.

Asimismo se regula su Estatuto por Real Decreto Real Decreto 428/1993, de 26 de marzo.

B. OBJETO

El objeto principal de la Agencia Española de Protección de Datos es el de velar por el cumplimiento de la legislación de protección de datos así como controlar su aplicación.

C. FUNCIONES

Las funciones se regulan en el art. 37 LOPD. Son funciones de la Agencia de Protección de Datos:

- Velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación, en especial en lo relativo a los derechos de información, acceso, rectificación, oposición y cancelación de datos.

- Emitir las autorizaciones previstas en la Ley o en sus disposiciones reglamentarias.

- Dictar, en su caso, y sin perjuicio de las competencias de otros órganos, las instrucciones precisas para adecuar los tratamientos a los principios de la presente Ley.

-Atender las peticiones y reclamaciones formuladas por las personas afectadas.

- Proporcionar información a las personas acerca de sus derechos en materia de tratamiento de los datos de carácter personal.

- Requerir a los responsables y los encargados de los tratamientos, previa audiencia de éstos, la adopción de las medidas necesarias para la adecuación del tratamiento de datos a las disposiciones de esta Ley y, en su caso, ordenar la cesación de los tratamientos y la cancelación de los ficheros, cuando no se ajuste a sus disposiciones.

- Ejercer la potestad sancionadora de acuerdo con el Título VII de la presente Ley.

- Informar, con carácter preceptivo, los proyectos de disposiciones generales que desarrollen esta Ley.

- Recabar de los responsables de los ficheros cuanta ayuda e información estime necesaria para el desempeño de sus funciones.

- Velar por la publicidad de la existencia de los ficheros de datos con carácter personal, a cuyo efecto publicará periódicamente una relación de dichos ficheros con la información adicional que el Director de la Agencia determine.

- Redactar una memoria anual y remitirla al Ministerio de Justicia.

- Ejercer el control y adoptar las autorizaciones que procedan en relación con los movimientos internacionales de datos, así como desempeñar las funciones de cooperación internacional en materia de protección de datos personales.

- Velar por el cumplimiento de las disposiciones que la Ley de la Función Estadística Pública establece respecto a la recogida de datos estadísticos y al secreto estadístico, así como dictar las instrucciones precisas, dictaminar sobre las condiciones de seguridad de los ficheros constituidos con fines exclusivamente estadísticos y ejercer la potestad a la que se refiere el artículo 46, relativa a las infracciones de las Administraciones Públicas.

- Cuantas otras le sean atribuidas por normas legales o reglamentarias.

D. COMPOSICIÓN

La Agencia Española de Protección de Datos está compuesta por un Director (artículo 36), un Consejo consultivo (artículo. 38), así como por un Registro General de Protección de Datos (artículo 39):

- El Director: Hemos de tener en cuenta que el Director de la Agencia de Protección de Datos dirige la Agencia y ostenta su representación. Será nombrado, de entre quienes componen el Consejo Consultivo, mediante Real Decreto, por un período de cuatro años.

Ejercerá sus funciones con plena independencia y objetividad y no estará sujeto a instrucción alguna en el desempeño de aquéllas.

En todo caso, el Director deberá oír al Consejo Consultivo en aquellas propuestas que éste le realice en el ejercicio de sus funciones.

Además el Director de la Agencia de Protección de Datos sólo cesará antes de la expiración del período anteriormente aludido de cuatro años, a petición propia o por separación acordada por el Gobierno, previa instrucción de expediente, en el que necesariamente serán oídos los restantes miembros del Consejo Consultivo, por incumplimiento grave de sus obligaciones, incapacidad sobrevenida para el ejercicio de su función, incompatibilidad o condena por delito doloso.

El Director de la Agencia de Protección de Datos tendrá la consideración de alto cargo y quedará en la situación de servicios especiales si con anterioridad estuviera desempeñando una función pública. En el supuesto de que sea nombrado para el cargo algún miembro de la carrera judicial o fiscal, pasará asimismo a la situación administrativa de servicios especiales.

D. COMPOSICIÓN

La Agencia Española de Protección de Datos está compuesta por un Director (artículo 36), un Consejo consultivo (artículo. 38), así como por un Registro General de Protección de Datos (artículo 39):

- El Director: Hemos de tener en cuenta que el Director de la Agencia de Protección de Datos dirige la Agencia y ostenta su representación. Será nombrado, de entre quienes componen el Consejo Consultivo, mediante Real Decreto, por un período de cuatro años.

Ejercerá sus funciones con plena independencia y objetividad y no estará sujeto a instrucción alguna en el desempeño de aquéllas.

En todo caso, el Director deberá oír al Consejo Consultivo en aquellas propuestas que éste le realice en el ejercicio de sus funciones.

Además el Director de la Agencia de Protección de Datos sólo cesará antes de la expiración del período anteriormente aludido de cuatro años, a petición propia o por separación acordada por el Gobierno, previa instrucción de expediente, en el que necesariamente serán oídos los restantes miembros del Consejo Consultivo, por incumplimiento grave de sus obligaciones, incapacidad sobrevenida para el ejercicio de su función, incompatibilidad o condena por delito doloso.

El Director de la Agencia de Protección de Datos tendrá la consideración de alto cargo y quedará en la situación de servicios especiales si con anterioridad estuviera desempeñando una función pública. En el supuesto de que sea nombrado para el cargo algún miembro de la carrera judicial o fiscal, pasará asimismo a la situación administrativa de servicios especiales.

Consejo Consultivo: El Director de la Agencia de Protección de Datos estará asesorado por un Consejo Consultivo compuesto por los siguientes miembros:

· Un Diputado, propuesto por el Congreso de los Diputados.

· Un Senador, propuesto por el Senado.

· Un representante de la Administración Central, designado por el Gobierno.

· Un representante de la Administración Local, propuesto por la Federación Española de Municipios y Provincias.

· Un miembro de la Real Academia de la Historia, propuesto por la misma.

· Un experto en la materia, propuesto por el Consejo Superior de Universidades.

· Un representante de los usuarios y consumidores, seleccionado del modo que se prevea reglamentariamente.

· Un representante de cada Comunidad Autónoma que haya creado una agencia de protección de datos en su ámbito territorial, propuesto de acuerdo con el procedimiento que establezca la respectiva Comunidad Autónoma.

· Un representante del sector de ficheros privados, para cuya propuesta se seguirá el procedimiento que se regule reglamentariamente.

El funcionamiento del Consejo Consultivo se regirá por las normas reglamentarias que al efecto se establezcan.

Registro General de Protección de Datos: El Registro General de Protección de Datos es un órgano integrado en la Agencia de Protección de Datos. Serán objeto de inscripción en el Registro General de Protección de Datos:

a) Los ficheros de los cuales sean titulares las Administraciones públicas. 

b) Los ficheros de titularidad privada.

c) Las autorizaciones a las que se refiere la presente Ley.

d) Los códigos tipo a que se refiere el artículo 32 de la presente Ley.

e) Los datos relativos a los ficheros que sean necesarios para el ejercicio de los derechos de información, acceso, rectificación, cancelación y oposición.

Por vía reglamentaria se regulará el procedimiento de inscripción de los ficheros, tanto de titularidad pública como de titularidad privada, en el Registro General de Protección de Datos, el contenido de la inscripción, su modificación, cancelación, reclamaciones y recursos contra las resoluciones correspondientes y demás extremos pertinentes.

RESUMEN

El capítulo primero, relativo a la introducción de la Ley Orgánica de Protección de Datos, nos ha servido para tener una visión general sobre el contenido de la referida ley orgánica, el porqué de su carácter orgánico; así como también nos ha servido para responder a las cuestiones de quien ha de cumplir la ley y porqué razón se ha cumplir con las consecuencias que suponen el no cumplirla.

Asimismo hemos aludido al conjunto de normas que regulan la protección constitucional a nivel legal y de desarrollo reglamentario.Ya en el cuarto epígrafe se ha hecho referencia a un conjunto de conceptos relacionados con la protección de datos y que se contienen en la normativa.

Y por último se ha profundizado en el contenido del Organismo Público Agencia Española de Protección de Datos, refiriéndonos a sus funciones, objeto, regulación y composición.

AUTOEVALUACIÓN TEMA 1

1- La ley de protección de datos tiene carácter orgánico porque:

  • Desarrolla un derecho fundamental como es el del artículo 18 de la Constitución.
  • El derecho al honor, a la intimidad personal y familiar y a la propia imagen está contenido en la Sección II capítulo IITítulo I de la Constitución.
  • Tiene un ámbito orgánico materializado en la regulación de laAgencia Española de Protección de datos.
  • A y d son correctas

2- La LOPD es de obligado cumplimiento para:

  • Personas jurídicas, incluidas las Administraciones Públicas, pero no es de obligado cumplimiento para las personas físicas.
  • Sólo para la Administración Pública.
  • Personas físicas y jurídicas que tengan en su posesión datos de personas físicas y jurídicas.
  • Personas físicas y jurídicas que tengan en su posesión datos de personas físicas.

Señale la respuesta incorrecta respecto de la Agencia Española de Protección de Datos:

  • Será objeto de inscripción en el Registro General de Protección de Datos, entre otros, los ficheros de que sean titulares las Administraciones Públicas.
  • La Agencia Española de Protección de Datos se regirá por su legislación específica y supletoriamente por la Ley 6/1997 de Organización y Funcionamiento de la Administración General del Estado.
  • El Consejo consultivo de la Agencia está formado por un diputado propuesto por las Cortes Generales.
  • La Agencia Española de Protección de Datos ejerce la potestad sancionadora.

TEMA 2 PRINCIPIOS DE LA LOPD

2.1 PRINCIPIO DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL

El derecho a la protección de los datos personales, o como se suele llamar también derecho a la autodeterminación informativa está fundamentado y basado en los principios generales, que han de inspirar y animar el tratamiento de los datos personales. El cumplimiento de estos principios garantiza una utilización racional y razonable de los datos personales, conciliando el desarrollo informático y las necesidades sociales con la observancia a los derechos y libertades de las personas.

Así, a través de la configuración de estos principios de protección de datos el legislador quiere disponer de un sistema preventivo de tutela de la persona frente al tratamiento de la información, instituyendo un equilibrio entre la sociedad de la información y las libertades de los ciudadanos.

2.2 ELPRINCIPIO DE CALIDAD DE LOS DATOS

Tiene su regulación en el art. 4 LOPD. En él se dispone que los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.

Estos datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos. No se considerará incompatible el tratamiento posterior de éstos con fines históricos, estadísticos o científicos.

 

Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado.

En el caso de que los datos de carácter personal registrados resultaran ser inexactos, en todo o en parte, o incompletos, serán cancelados y sustituidos de oficio por los correspondientes datos rectificados o completados.

 

 

Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados.

No serán conservados de forma que permita la identificación del interesado durante un período superior al necesario para los fines en base a los cuales hubieran sido recabados o registrados.

 

 

También se dice que reglamentariamente se determinará el procedimiento por el que,

 

por excepción, atendidos los valores históricos, estadísticos o científicos de acuerdo con la legislación específica, se decida el mantenimiento íntegro de determinados datos.

Los datos de carácter personal serán almacenados de forma que permitan el ejercicio del derecho de acceso, salvo que sean legalmente cancelados.

Y no hay que olvidar que se prohíbe la recogida de datos por medios fraudulentos, desleales o ilícitos.

Ya en el art. 8 del reglamento se dispone que los datos de carácter personal deberán ser tratados de forma leal y lícita. Se prohíbe la recogida de datos por medios fraudulentos, desleales o ilícitos.

Los datos de carácter personal sólo podrán ser recogidos para el cumplimiento de finalidades determinadas, explícitas y legítimas del responsable del tratamiento.

Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos.

Sólo podrán ser objeto de tratamiento los datos que sean adecuados, pertinentes y no excesivos en relación con las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.

Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado. Si los datos fueran recogidos directamente del afectado, se considerarán exactos los facilitados por éste.

Si los datos de carácter personal sometidos a tratamiento resultaran ser inexactos, en todo o en parte, o incompletos, serán cancelados y sustituidos de oficio por los correspondientes datos rectificados o completados en el plazo de diez días desde que se tuviese conocimiento de la inexactitud, salvo que la legislación aplicable al fichero establezca un procedimiento o un plazo específico para ello.

Cuando los datos hubieran sido comunicados previamente, el responsable del fichero o tratamiento deberá notificar al cesionario, en el plazo de diez días, la rectificación o cancelación efectuada, siempre que el cesionario sea conocido.

En el plazo de diez días desde la recepción de la notificación, el cesionario que mantuviera el tratamiento de los datos, deberá proceder a la rectificación y cancelación notificada.

Esta actualización de los datos de carácter personal no requerirá comunicación alguna al interesado, sin perjuicio del ejercicio de los derechos por parte de los interesados reconocidos en la Ley Orgánica 15/1999, de 13 de diciembre.

Lo dispuesto en este apartado se entiende sin perjuicio de las facultades que a los afectados reconoce el título III de este reglamento.

Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados.

No obstante, podrán conservarse durante el tiempo en que pueda exigirse algún tipo de responsabilidad derivada de una relación u obligación jurídica o de la ejecución de un contrato o de la aplicación de medidas precontractuales solicitadas por el interesado. Una vez cumplido el período al que se refieren los párrafos anteriores, los datos sólo podrán ser conservados previa disociación de los mismos, sin perjuicio de la obligación de bloqueo prevista en la Ley Orgánica 15/1999, de 13 de diciembre, y en el presente reglamento.

Los datos de carácter personal serán tratados de forma que permitan el ejercicio del derecho de acceso, en tanto no proceda su cancelación.

2.3 EL DERECHO A LA INFORMACIÓN EN LA RECOPILACIÓN DE DATOS

El art. 5 LOPD dice que los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:

 

a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.

b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas

c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.

d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y

oposición.

e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

Cuando el responsable del tratamiento no esté establecido en el territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, deberá designar, salvo que tales medios se utilicen con fines de trámite, un representante en España, sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable del tratamiento.

Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, de forma claramente legible, las advertencias a que se refiere el apartado anterior.

Cuando los datos de carácter personal no hayan sido recabados del interesado, éste deberá ser informado de forma expresa, precisa e inequívoca, por el responsable del fichero o su representante, dentro de los tres meses siguientes al momento del registro de los datos, salvo que ya hubiera sido informado con anterioridad, del contenido del tratamiento, de la procedencia de los datos, así como de lo previsto en los puntos a), d) y e) anteriormente aludidos.

 

No será de aplicación lo dispuesto en el apartado anterior, cuando expresamente una ley lo prevea, cuando el tratamiento tenga fines históricos estadísticos o científicos, o cuando la información al interesado resulte imposible o exija esfuerzos desproporcionados, a criterio de la Agencia de Protección de Datos o del organismo autonómico equivalente, en consideración al número de interesados, a la antigüedad de los datos y a las posibles medidas compensatorias.

Asimismo, tampoco regirá lo dispuesto en el apartado anterior cuando los datos procedan de fuentes accesibles al público y se destinen a la actividad de publicidad o prospección comercial, en cuyo caso, en cada comunicación que se dirija al interesado se le informará del origen de los datos y de la identidad del responsable del tratamiento así como de los derechos que le asisten.

2.4 CONSENTIMIENTO DEL AFECTADO

Ya en el art. 6 LOPD se dispone que el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa.

No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado, o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado.

El consentimiento al que se refiere el artículo podrá ser revocado cuando exista causa justificada para ello y no se le atribuyan efectos retroactivos.

En los casos en los que no sea necesario el consentimiento del afectado para el tratamiento de los datos de carácter personal, y siempre que una ley no disponga lo contrario, éste podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal. En tal supuesto, el responsable de fichero excluirá del tratamiento los datos relativos al afectado.

2.5 DATOS ESPECIALMENTE PROTEGIDOS

Según el art. 7 LOPD y de acuerdo con lo establecido en el apartado 2 del artículo 16 de la Constitución, nadie podrá ser obligado a declarar sobre su ideología, religión o creencias.

Cuando en relación con estos datos se proceda a recabar el consentimiento al que se refiere el apartado siguiente, se advertirá al interesado acerca de su derecho a no prestarlo.

Sólo con el consentimiento expreso y por escrito del afectado podrán ser objeto de tratamiento los datos de carácter personal que revelen la ideología, afiliación sindical, religión y creencias. Se exceptúan los ficheros mantenidos por los partidos políticos, sindicatos, iglesias, confesiones o comunidades religiosas y asociaciones, fundaciones y otras entidades sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, en cuanto a los datos relativos a sus asociados o miembros, sin perjuicio de que la cesión de dichos datos precisará siempre el previo consentimiento del afectado.

Los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una ley o el afectado consienta expresamente.

Quedan prohibidos los ficheros creados con la finalidad exclusiva de almacenar datos de carácter personal que revelen la ideología, afiliación sindical, religión, creencias, origen racial o étnico, o vida sexual.

Los datos de carácter personal relativos a la comisión de infracciones penales o administrativas sólo podrán ser incluidos en ficheros de las Administraciones públicas competentes en los supuestos previstos en las respectivas normas reguladoras.

No obstante lo dispuesto en los apartados anteriores, podrán ser objeto de tratamiento los datos de carácter personal a que se refieren los apartados 2 y 3 de este artículo, cuando dicho tratamiento resulte necesario para la prevención o para el diagnóstico médico, la prestación de asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios, siempre que dicho tratamiento de datos se realice por un profesional sanitario sujeto al secreto profesional o por otra persona sujeta asimismo a una obligación equivalente de secreto.

También podrán ser objeto de tratamiento los datos a los que se refiere el párrafo anterior cuando el tratamiento sea necesario para salvaguardar el interés vital del afectado o de otra persona, en el supuesto de que el afectado esté física o jurídicamente incapacitado para dar su consentimiento.

2.6 PRINCIPIO DEL DEBER DE SECRETO

El art. 10 LOPD dispone que el responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.

2.7 SEGURIDAD DE LOS DATOS

En el artículo 9 de la LOPD se dispone que el responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.

Además no se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas. Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los ficheros y las personas que intervengan en el tratamiento de los datos a que se refiere el artículo 7 de la LOPD, estos son, los datos especialmente protegidos.

2.8 MOVIMIENTO DE LOS DATOS

El Título V de la LOPD regula el movimiento internacional de datos, estableciendo una norma general y una serie de excepciones a la norma general.

Así, el artículo 33 dice que no podrán realizarse transferencias temporales ni definitivas de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidospara someterlos a dicho tratamiento con destino a países que no proporcionen un nivel de protección equiparable al que presta la presente Ley, salvo que, además de haberse observado lo dispuesto en ésta, se obtenga autorización previa del Director de la Agencia de Protección de Datos, que sólo podrá otorgarla si se obtienen garantías adecuadas.

El carácter adecuado del nivel de protección que ofrece el país de destino se evaluará por la Agencia de Protección de Datos atendiendo a todas las circunstancias que concurran en la transferencia o categoría de transferencia de datos. En particular, se tomará en consideración la naturaleza de los datos, la finalidad y la duración del tratamiento o de los tratamientos previstos, el país de origen y el país de destino final, las normas de derecho, generales o sectoriales, vigentes en el país tercero de que se trate, el contenido de los informes de la Comisión de la Unión Europea, así como las normas profesionales y las medidas de seguridad en vigor en dichos países.

Por su parte el artículo 34 dice que lo dispuesto en el artículo anterior no será de aplicación:

a) Cuando la transferencia internacional de datos de carácter personal resulte de la aplicación de tratados o convenios en los que sea parte España.

b) Cuando la transferencia se haga a efectos de prestar o solicitar auxilio judicial internacional.

c) Cuando la transferencia sea necesaria para la prevención o para el diagnóstico médico, la prestación de asistencia sanitaria o tratamiento médico o la gestión de servicios sanitarios.

d) Cuando se refiera a transferencias dinerarias conforme a su legislación específica.

e) Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista.

f) Cuando la transferencia sea necesaria para la ejecución de un contrato entre el afectado y el responsable del fichero o para la adopción de medidas precontractuales adoptadas a petición del afectado.

g) Cuando la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar, en interés del afectado, por el responsable del fichero y un tercero.

h) Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público.Tendrá esta consideración la transferencia solicitada por una Administración fiscal o aduanera para el cumplimiento de sus competencias.

i) Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.

j) Cuando la transferencia se efectúe, a petición de persona con interés legítimo, desde un Registro público y aquella sea acorde con la finalidad del mismo.

k) Cuando la transferencia tenga como destino un Estado miembro de la Unión Europea, o un Estado respecto del cual la Comisión de las Comunidades Europeas, en el ejercicio de sus competencias, haya declarado que garantiza un nivel de protección adecuado

RESUMEN

El tema segundo tiene como referencia el conjunto de principios en los que se asienta la protección de datos. Hemos comenzado haciendo una referencia al principio de protección, esencial para el desarrollo de los derechos y libertades de las personas.

A continuación se ha hecho mención al principio de calidad de los datos como quiera que estos han de ser apropiados al fin para el que se han obtenido.

Seguidamente el derecho de información a los interesados a los que se les pidan datos, siendo este derecho expreso, inequívoco y preciso.Además el tratamiento de los datos requerirá el consentimiento inequívoco del afectado, a no ser que la ley disponga otra cosa, como así señala el epígrafe 4.

Ya en el 5 se han mentado los datos especialmente protegidos.Yen el 6 el principio esencial de deber de secreto de los profesionales que manejen los datos personales. Ypor último en los epígrafes 7 y 8 se especifica lo que dice la ley sobre la seguridad y movimiento de los datos.

AUTOEVALUACIÓN TEMA 2

1.En relación con el principio de calidad de los datos, señale la respuesta correcta:

  • Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados.
  • Los datos de carácter personal podrán ser inexactos aunque respondan con veracidad a la situación actual del afectado.
  • Los datos de carácter personal sólo se podrán recoger para su tratamiento, cuando sean adecuados, pertinentes y excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.
  • la respuesta a) y la respuesta c) son correctas.

2.Los interesados a los que se soliciten datos personales deberán ser previamente informados:

  • De modo expreso, preciso e inequívoco.
  • De modo expreso y exacto.
  • De modo expreso o tácito.
  • De modo preciso e inequívoco.

3. Nadie podrá ser obligado a declarar sobre su ideología, religión o creencias. ¿En qué artículo de la Constitución Española se dispone esto?

  • Preámbulo.
  • Artículo 16.2
  • Solo se regula en la LOPD
  • Artículo 16.3

TEMA 3 FICHEROS

3.1 NOTIFICACIÓN E INSCRIPCIÓN DE FICHEROS

A. NOTIFICACIÓN DE FICHEROS

De acuerdo con el artículo 55 del RD 1720/2007 que desarrolla el Reglamento de la LOPD, todo fichero de datos de carácter personal de titularidad pública será notificado a la Agencia Española de Protección de Datos por el órgano competente de la Administración responsable del fichero para su inscripción en el Registro General de Protección de Datos, en el plazo de treinta días desde la publicación de su norma o acuerdo de creación en el diario oficial correspondiente.

Por su parte los ficheros de datos de carácter personal de titularidad privada serán notificados a la Agencia Española de Protección de Datos por la persona o entidad privada que pretenda crearlos, con carácter previo a su creación. La notificación deberá indicar la identificación del responsable del fichero, la identificación del fichero, sus finalidades y los usos previstos, el sistema de tratamiento empleado en su organización, el colectivo de personas sobre el que se obtienen los datos, el procedimiento y procedencia de los datos, las categorías de datos, el servicio o unidad de acceso, la indicación del nivel de medidas de seguridad básico, medio o alto exigible, y en su caso, la identificación del encargado del tratamiento en donde se encuentre ubicado el fichero y los destinatarios de cesiones y transferencias internacionales de datos.

En el caso de que la obligación de notificar afecte a ficheros sujetos a la competencia de la autoridad de control de una comunidad autónoma que haya creado su propio registro de ficheros, la notificación se realizará a la autoridad autonómica competente, que dará traslado de la inscripción al Registro General de Protección de Datos.

El Registro General de Protección de Datos podrá solicitar de las autoridades de control de las comunidades autónomas el traslado anterior, procediendo, en su defecto, a la inclusión de oficio del fichero en el Registro.

La notificación se realizará conforme al procedimiento establecido en la sección primera del capítulo IV del título IX del presente reglamento que estamos comentando, y que posteriormente desarrollaremos.

Asimismo hemos de aludir al tratamiento de datos en distintos soportes. La notificación de un fichero de datos de carácter personal es independiente del sistema de tratamiento empleado en su organización y del soporte o soportes empleados para el tratamiento de los datos.

Cuando los datos de carácter personal objeto de un tratamiento estén almacenados en diferentes soportes, automatizados y no automatizados o exista una copia en soporte no automatizado de un fichero automatizado sólo será precisa una sola notificación, referida a dicho fichero.

En cuanto a la notificación de la modificación o supresión de ficheros, hemos de decir que la inscripción del fichero deberá encontrarse actualizada en todo momento.

Cualquier modificación que afecte al contenido de la inscripción de un fichero deberá ser previamente notificada a la Agencia Española de Protección de Datos o a las autoridades de control autonómicas competentes, a fin de proceder a su inscripción en el registro correspondiente, conforme a lo dispuesto en el artículo 55 del Reglamento.

Cuando el responsable del fichero decida su supresión, deberá notificarla a efectos de que se proceda a la cancelación de la inscripción en el registro correspondiente.

Tratándose de ficheros de titularidad pública, cuando se pretenda la modificación que afecte a alguno de los requisitos previstos en el artículo 55 o la supresión del fichero deberá haberse adoptado, con carácter previo a la notificación la correspondiente norma o acuerdo en los términos previstos en el capítulo I del Título V, relativo a las obligaciones previas al tratamiento de datos.

Respecto de los Modelos y soportes para la notificación, la Agencia Española de Protección de Datos publicará mediante la correspondiente Resolución del Director los modelos o formularios electrónicos de notificación de creación, modificación o supresión de ficheros, que permitan su presentación a través de medios telemáticos o en soporte papel, así como, previa consulta de las autoridades de protección de datos de las comunidades autónomas, los formatos para la comunicación telemática de ficheros públicos por las autoridades de control autonómicas, de conformidad con lo establecido en los artículos 55 y 58 del presente reglamento.

Los modelos o formularios electrónicos de notificación se podrán obtener gratuitamente en la página web de la Agencia Española de Protección de Datos.

Y el Director de la Agencia Española de Protección de Datos podrá establecer procedimientos simplificados de notificación en atención a las circunstancias que concurran en el tratamiento o el tipo de fichero al que se refiera la notificación.

B. INSCRIPCIÓN

Regulada la inscripción en los arts. 60 a 64 que procederemos a desarrollar.

El Director de la Agencia Española de Protección de Datos, a propuesta del Registro General de Protección de Datos, dictará resolución acordando, en su caso, la inscripción, una vez tramitado el procedimiento previsto anteriormente.

La inscripción contendrá el código asignado por el Registro, la identificación del responsable del fichero, la identificación del fichero o tratamiento, la descripción de su finalidad y usos previstos, el sistema de tratamiento empleado en su organización, en su caso, el colectivo de personas sobre el que se obtienen los datos, el procedimiento y procedencia de los datos, las categorías de datos, el servicio o unidad de acceso, y la indicación del nivel de medidas de seguridad exigible conforme a lo dispuesto en el artículo 81 del Reglamento, que regula la aplicación de los niveles de seguridad.

Asimismo, se incluirán, en su caso, la identificación del encargado del tratamiento en donde se encuentre ubicado el fichero y los destinatarios de cesiones y transferencias internacionales.

En el caso de ficheros de titularidad pública también se hará constar la referencia de la disposición general por la que ha sido creado, y en su caso, modificado.

La inscripción de un fichero en el Registro General de Protección de Datos, no exime al responsable del cumplimiento del resto de las obligaciones previstas en la LOPD y demás disposiciones reglamentarias.

Respecto de la cancelación de inscripción, cuando el responsable del tratamiento comunicase, en virtud de lo dispuesto en el artículo 58 de este reglamento, la supresión del fichero, el Director de la Agencia Española de Protección de Datos dictará resolución acordando la cancelación de la inscripción correspondiente al fichero.

El Director de la Agencia Española de Protección de Datos podrá, en ejercicio de sus competencias, acordar de oficio la cancelación de la inscripción de un fichero cuando concurran circunstancias que acrediten la imposibilidad de su existencia.

Por otra parte hemos de decir que el Registro General de Protección de Datos podrá rectificar en cualquier momento, de oficio o a instancia de los interesados, los errores materiales, de hecho o aritméticos que pudieran existir en las inscripciones, de conformidad con lo dispuesto en el artículo 105 de la Ley 30/1992, de 26 de noviembre, de Régimen jurídico de las Administraciones Públicas y Procedimiento Administrativo Común, donde se regula la revocación de actos y rectificación de errores.

Respecto a la inscripción de oficio de ficheros de titularidad pública, en supuestos excepcionales con el fin de garantizar el derecho a la protección de datos de los afectados, y sin perjuicio de la obligación de notificación, se podrá proceder a la inscripción de oficio de un determinado fichero en el Registro General de Protección de Datos.

Para que lo dispuesto en el apartado anterior resulte de aplicación, será requisito indispensable que la correspondiente norma o acuerdo regulador de los ficheros que contengan datos de carácter personal haya sido publicado en el correspondiente diario oficial y cumpla los requisitos establecidos en la LOPD, y el presente reglamento.

El Director de la Agencia Española de Protección de Datos podrá, a propuesta del Registro General de Protección de Datos, acordar la inscripción del fichero de titularidad pública en el Registro, notificándose dicho acuerdo al órgano responsable del fichero.

Cuando la inscripción se refiera a ficheros sujetos a la competencia de la autoridad de control de una comunidad autónoma que haya creado su propio registro de ficheros, se comunicará a la referida autoridad de control autonómica para que proceda, en su caso, a la inscripción de oficio.

Por lo demás decir que el Director de la Agencia Española de Protección de Datos podrá celebrar con los directores de las autoridades de control de las comunidades autónomas los convenios de colaboración o acuerdos que estime pertinentes, a fin de garantizar la inscripción en el Registro General de Protección de Datos de los ficheros sometidos a la competencia de dichas autoridades autonómicas.

3.2 QUIEN DEBE NOTIFICAR LOS FICHEROS

Están obligados a notificar la creación de ficheros para su inscripción en el RGPD, de acuerdo con lo dispuesto en la LOPD, aquellas personas físicas o jurídicas, de naturaleza pública o privada, u órgano administrativo, que procedan a la creación de ficheros que contengan datos de carácter personal.

Podrán crearse ficheros de titularidad privada que contengan datos de carácter personal cuando resulte necesario para el logro de la actividad u objeto legítimos de la persona, empresa o entidad titular y se respeten las garantías establecidas en la LOPD.

Toda persona o entidad que proceda a la creación de ficheros de datos de carácter personal lo notificará previamente a la Agencia Española de Protección de Datos.

Cualquier modificación posterior en el contenido de la inscripción de un fichero en el Registro General de Protección de Datos, deberá comunicarse a laAgencia Española de Protección de Datos, mediante una solicitud de modificación o de supresión de la inscripción, según corresponda. En ambos casos será necesario citar el Código de Inscripción asignado por el Registro General de Protección de Datos al fichero.

La no notificación de la existencia de un fichero supondría una infracción leve o grave, tal y como señala el art. 44 de la LOPD, quedando sujeto al régimen sancionador previsto en esta Ley.

Cuando los documentos aportados por el responsable del fichero se deduzca que la notificación no es conforme con la LOPD, el Director de la Agencia a propuesta del Registro dictará resolución denegando la inscripción.

Por su parte hemos de tener en cuenta también que el plazo del que dispone la Agencia Española de Protección de Datos para dictar y notificar será de un mes.

Ya inscrito el fichero su responsable ha de tenerlo actualizado comunicando a la Agencia Española de Protección de Datos la cancelación o supresión del fichero, así como los cambios que se produzcan en la finalidad del fichero.

3.3 CÓMO SE NOTIFICAUN FICHERO

La notificación se realiza rellenando un formulario electrónico gratuito que se llama formulario electrónico de notificaciones telemáticas a la Agencia Española de Protección de Datos (NOTA), pudiéndose descargar desde la página web de la misma Agencia.Ya cumplimentado el formulario se ha de enviar a laAgencia por cualquiera de las vías que existan: bien por Internet con firma o sin firma electrónica o en papel presentándolo ante laAgencia Española de Protección de Datos.

En cuanto a la resolución de inscripción del fichero, si la notificación tiene la información

preceptiva y se cumplieran las restantes exigencias legales, el Director de laAgencia, a propuesta del Registro General de Protección de Datos decidirá la inscripción del fichero, fijando un código de inscripción.

3.4 FICHEROS DE TITULARIDAD PÚBLICA

Los ficheros de titularidad pública están mencionados en los artículos 20 a 24 de la LOPD.

La creación, modificación o supresión de los ficheros de las Administraciones públicas sólo podrán hacerse por medio de disposición general publicada en el «Boletín Oficial del Estado» o Diario oficial correspondiente.

 Las disposiciones de creación o de modificación de ficheros deberán indicar:

a) La finalidad del fichero y los usos previstos para el mismo.

b) Las personas o colectivos sobre los que se pretenda obtener datos de carácter personal o que resulten obligados a suministrarlos.

c) El procedimiento de recogida de los datos de carácter personal.

d) La estructura básica del fichero y la descripción de los tipos de datos de carácter personal incluidos en el mismo.

e) Las cesiones de datos de carácter personal y, en su caso, las transferencias de datos que se prevean a países terceros.

f) Los órganos de las Administraciones responsables del fichero.

g) Los servicios o unidades ante los que pudiesen ejercitarse los derechos de acceso, rectificación, cancelación y oposición.

h) Las medidas de seguridad con indicación del nivel básico, medio o alto exigible.

En las disposiciones que se dicten para la supresión de los ficheros, se establecerá el destino de los mismos o, en su caso, las previsiones que se adopten para su destrucción.

En cuanto a la comunicación de datos entre Administraciones públicas, se puede decir que los datos de carácter personal recogidos o elaborados por las Administraciones públicas para el desempeño de sus atribuciones no serán comunicados a otras Administraciones públicas para el ejercicio de competencias diferentes o de competencias que versen sobre materias distintas, salvo  cuando la comunicación tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos.

Podrán, en todo caso, ser objeto de comunicación los datos de carácter personal que una Administración pública obtenga o elabore con destino a otra.

La comunicación de datos recogidos de fuentes accesibles al público no podrá efectuarse a ficheros de titularidad privada, sino con el consentimiento del interesado o cuando una ley prevea otra cosa.

Respecto de los ficheros de las Fuerzas y Cuerpos de Seguridad, los que contengan datos de carácter personal que, por haberse recogido para fines administrativos, deban ser objeto de registro permanente, estarán sujetos al régimen general de la LOPD.

La recogida y tratamiento para fines policiales de datos de carácter personal por las Fuerzas y Cuerpos de Seguridad sin consentimiento de las personas afectadas están limitados a aquellos supuestos y categorías de datos que resulten necesarios para la prevención de un peligro real para la seguridad pública o para la represión de infracciones penales, debiendo ser almacenados en ficheros específicos establecidos al efecto, que deberán clasificarse por categorías en función de su grado de fiabilidad.

Eso sí, hay que considerar que los datos personales registrados con fines policiales se cancelarán cuando no sean necesarios para las averiguaciones que motivaron su almacenamiento.

Por último hemos de analizar las excepciones a los derechos de acceso, rectificación y cancelación. Así, los responsables de los ficheros que contengan los datos de los ficheros de las Fuerzas y Cuerpos de Seguridad podrán denegar el acceso, la rectificación o cancelación en función de los peligros que pudieran derivarse para la defensa del Estado o la seguridad pública, la protección de los derechos y libertades de terceros o las necesidades de las investigaciones que se estén realizando.

Los responsables de los ficheros de la Hacienda Pública podrán, igualmente, denegar el ejercicio de los derechos a que se refiere el apartado anterior cuando el mismo obstaculice las actuaciones administrativas tendentes a asegurar el cumplimiento de las obligaciones tributarias y, en todo caso, cuando el afectado está siendo objeto de actuaciones inspectoras.

El afectado al que se deniegue, total o parcialmente, el ejercicio de los derechos mencionados en los apartados anteriores podrá ponerlo en conocimiento del Director de la Agencia de Protección de Datos o del organismo competente de cada Comunidad

Autónoma en el caso de ficheros mantenidos por Cuerpos de Policía propios de éstas, o por las Administraciones tributarias autonómicas, quienes deberán asegurarse de la procedencia o improcedencia de la denegación.

3.5 FICHEROS DE TITULARIDAD PRIVADA

Según el artículo 25 y la LOPD dispone que podrá crearse ficheros de titularidad privada que contengan datos de carácter personal cuando resulte necesario para el logro de la actividad u objeto legítimos de la persona, empresa o entidad titular y se respeten las garantías que la LOPD Ley establece para la protección de las personas.

Toda persona o entidad que proceda a la creación de ficheros de datos de carácter personal lo notificará previamente a la Agencia de Protección de Datos.

Deberán comunicarse a la Agencia de Protección de Datos los cambios que se produzcan en la finalidad del fichero automatizado, en su responsable y en la dirección de su ubicación.

El Registro General de Protección de Datos inscribirá el fichero si la notificación se ajusta a los requisitos exigibles. En caso contrario podrá pedir que se completen los datos que falten o se proceda a su subsanación.

Trascurrido un mes desde la presentación de la solicitud de inscripción sin que la Agencia de Protección de Datos hubiera resuelto sobre la misma, se entenderá inscrito el fichero automatizado a todos los efectos.

Seguidamente el responsable del fichero, en el momento en que se efectúe la primera cesión de datos, deberá informar de ello a los afectados, indicando, asimismo, la finalidad del fichero, la naturaleza de los datos que han sido cedidos y el nombre y dirección del cesionario.

Hay que tener en cuenta que los ficheros de datos de carácter personal de titularidad privada serán notificados a laAgencia Española de Protección de Datos por la

persona o entidad privada que pretenda crearlos, con carácter previo a su creación. La notificación deberá indicar la identificación del responsable del fichero, la identificación del fichero, sus finalidades y los usos previstos, el sistema de tratamiento empleado en su organización, el colectivo de personas sobre el que se obtienen los datos, el procedimiento y procedencia de los datos, las categorías de datos, el servicio o unidad de acceso, la indicación del nivel de medidas de seguridad básico, medio o alto exigible, y en su caso, la identificación del encargado del tratamiento en donde se encuentre ubicado el fichero y los destinatarios de cesiones y transferencias internacionales de datos.

Cuando la obligación de notificar afecte a ficheros sujetos a la competencia de la autoridad de control de una comunidad autónoma que haya creado su propio registro de ficheros, la notificación se realizará a la autoridad autonómica competente, que dará traslado de la inscripción al Registro General de Protección de Datos.

El Registro General de Protección de Datos podrá solicitar de las autoridades de control de las comunidades autónomas el traslado anteriormente aludido, procediendo, en su defecto, a la inclusión de oficio del fichero en el Registro.

3.6 LOS CÓDIGOS TIPO

Los códigos tipo se regulan en el art. 32 LOPD así como en los artículos 71 a 78 del Reglamento.

Dice el mencionado artículo 32, que mediante acuerdos sectoriales, convenios administrativos o decisiones de empresa, los responsables de tratamientos de titularidad pública y privada, así como las organizaciones en que se agrupen, podrán formular códigos tipo que establezcan las condiciones de organización, régimen de funcionamiento, procedimientos aplicables, normas de seguridad del entorno, programas o equipos, obligaciones de los implicados en el tratamiento y uso de la información personal, así como las garantías, en su ámbito, para el ejercicio de los derechos de las personas con pleno respeto a los principios y disposiciones de la presente Ley y sus normas de desarrollo.

Estos códigos podrán contener o no reglas operacionales detalladas de cada sistema particular y estándares técnicos de aplicación.

En el supuesto de que tales reglas o estándares no se incorporen directamente al código, las instrucciones u órdenes que los establecieran deberán respetar los principios fijados en aquél.

Los códigos tipo tendrán el carácter de códigos deontológicos o de buena práctica profesional, debiendo ser depositados o inscritos en el Registro General de Protección de Datos y, cuando corresponda, en los creados a estos efectos por las Comunidades Autónomas, de acuerdo con el artículo 41. El Registro General de Protección de Datos podrá denegar la inscripción cuando considere que no se ajusta a las disposiciones legales y reglamentarias sobre la materia, debiendo, en este caso, el Director de la Agencia de Protección de Datos requerir a los solicitantes para que efectúen las correcciones oportunas

Los códigos tipo tendrán carácter voluntario.

Los códigos tipo de carácter sectorial podrán referirse a la totalidad o a parte de los tratamientos llevados a cabo por entidades pertenecientes a un mismo sector, debiendo ser formulados por organizaciones representativas de dicho sector, al menos en su ámbito territorial de aplicación, y sin perjuicio de la potestad de dichas entidades de ajustar el código tipo a sus peculiaridades.

Los códigos tipo promovidos por una empresa deberán referirse a la totalidad de los tratamientos llevados a cabo por la misma.

Las Administraciones públicas y las corporaciones de Derecho Público podrán adoptar códigos tipo de acuerdo con lo establecido en las normas que les sean aplicables.

En cuanto al contenido hemos de decir que los códigos tipo deberán estar redactados en términos claros y accesibles.

Los códigos tipo deben respetar la normativa vigente e incluir, como mínimo, con suficiente grado de precisión:

a) La delimitación clara y precisa de su ámbito de aplicación, las actividades a que el código se refiere y los tratamientos sometidos al mismo.

b) Las previsiones específicas para la aplicación de los principios de protección de datos.

c) El establecimiento de estándares homogéneos para el cumplimiento por los adheridos al código de las obligaciones establecidas en la LOPD.

d) El establecimiento de procedimientos que faciliten el ejercicio por los afectados de sus derechos de acceso, rectificación, cancelación y oposición. e) La determinación de las cesiones y transferencias internacionales de datos que, en su caso, se prevean, con indicación de las garantías que deban adoptarse.

f) Las acciones formativas en materia de protección de datos dirigidas a quienes los traten, especialmente en cuanto a su relación con los afectados.

g) Los mecanismos de supervisión a través de los cuales se garantice el cumplimiento por los adheridos de lo establecido en el código tipo, en los términos previstos en el artículo 74 de este reglamento.

3. En particular, deberán contenerse en el código:

a) Cláusulas tipo para la obtención del consentimiento de los afectados al tratamiento o cesión de sus datos.

b) Cláusulas tipo para informar a los afectados del tratamiento, cuando los datos no sean obtenidos de los mismos.

c) Modelos para el ejercicio por los afectados de sus derechos de acceso, rectificación, cancelación y oposición.

d) Modelos de cláusulas para el cumplimiento de los requisitos formales exigibles para la contratación de un encargado del tratamiento, en su caso.

Además los códigos tipo podrán incluir cualquier otro compromiso adicional que asuman los adheridos para un mejor cumplimiento de la legislación vigente en materia de protección de datos.

Podrán contener cualquier otro compromiso que puedan establecer las entidades promotoras y, en particular, sobre:

a) La adopción de medidas de seguridad adicionales a las exigidas por la LOPD. b) La identificación de las categorías de cesionarios o importadores de los datos. c) Las medidas concretas adoptadas en materia de protección de los menores o de determinados colectivos de afectados.

d) El establecimiento de un sello de calidad que identifique a los adheridos al código.

En cuanto a las garantías del cumplimiento de los códigos tipo, éstos deberán incluir procedimientos de supervisión independientes para garantizar el cumplimiento de las obligaciones asumidas por los adheridos, y establecer un régimen sancionador adecuado, eficaz y disuasorio.

El procedimiento que se prevea deberá garantizar:

a) La independencia e imparcialidad del órgano responsable de la supervisión.

b) La sencillez, accesibilidad, celeridad y gratuidad para la presentación de quejas y reclamaciones ante dicho órgano por los eventuales incumplimientos del código tipo.

c) El principio de contradicción.

d) Una graduación de sanciones que permita ajustarlas a la gravedad del incumplimiento. Esas sanciones deberán ser disuasorias y podrán implicar la suspensión de la adhesión al código o la expulsión de la entidad adherida. Asimismo, podrá establecerse, en su caso, su publicidad.

e) La notificación al afectado de la decisión adoptada.

Asimismo, y sin perjuicio de lo dispuesto en el artículo 19 de la LOPD relativo al derecho de indemnización, los códigos tipo podrán contemplar procedimientos para la determinación de medidas reparadoras en caso de haberse causado un perjuicio a los afectados como consecuencia del incumplimiento del código tipo.

Todo ello se aplicará sin perjuicio de las competencias de laAgencia Española de Protección de Datos y, en su caso, de las autoridades de control de las comunidades autónomas.

Por su parte el depósito y publicidad de los códigos tipo se regula en el art. 77. Para que los códigos tipo puedan ser considerados como tales a los efectos previstos en el artículo 32 de la LOPD y el reglamento de desarrollo, deberán ser depositados e inscritos en el Registro General de Protección de Datos de la Agencia Española de Protección de Datos o, cuando corresponda, en el registro que fuera creado por las comunidades autónomas, que darán traslado para su inclusión al Registro General de Protección de Datos.

A tal efecto, los códigos tipo deberán ser presentados ante la correspondiente autoridad de control, tramitándose su inscripción, en caso de estar sometidos a la decisión de la Agencia Española de Protección de Datos, conforme al procedimiento establecido en el capítulo VI del título IX del reglamento.

En todo caso, la Agencia Española de Protección de Datos dará publicidad a los códigos tipo inscritos, preferentemente a través de medios informáticos o telemáticos.

Y por último el artículo 78 regula las obligaciones posteriores a la inscripción del código tipo. En ese sentido las entidades promotoras o los órganos, personas o entidades

que al efecto se designen en el propio código tipo tendrán, una vez el mismo haya sido publicado, las siguientes obligaciones:

a) Mantener accesible al público la información actualizada sobre las entidades promotoras, el contenido del código tipo, los procedimientos de adhesión y de garantía de su cumplimiento y la relación de adheridos a la que se refiere el artículo anterior.

Esta información deberá presentarse de forma concisa y clara y estar permanentemente accesible por medios electrónicos.

b) Remitir a laAgencia Española de Protección de Datos una memoria anual sobre las actividades realizadas para difundir el código tipo y promover la adhesión a éste, las actuaciones de verificación del cumplimiento del código y sus resultados, las quejas y reclamaciones tramitadas y el curso que se les hubiera dado y cualquier otro aspecto que las entidades promotoras consideren adecuado destacar.

Cuando se trate de códigos tipo inscritos en el registro de una autoridad de control de una comunidad autónoma, la remisión se realizará a dicha autoridad, que dará traslado al registro General de Protección de Datos.

c) Evaluar periódicamente la eficacia del código tipo, midiendo el grado de satisfacción de los afectados y, en su caso, actualizar su contenido para adaptarlo a la normativa general o sectorial de protección de datos existente en cada momento.

d) Favorecer la accesibilidad de todas las personas, con especial atención a las que tengan alguna discapacidad o de edad avanzada a toda la información disponible sobre el código tipo.

RESUMEN

El capítulo se ha sustanciado con el contenido de los ficheros. El primer punto  atiende a la notificación e inscripción de dichos ficheros. Por su parte en el punto segundo

se ha respondido a la cuestión de quién ha de notificar esos ficheros. Efectivamente las personas físicas o jurídicas, incluido órganos administrativos, deben proceder a la creación de ficheros donde se contengan datos de carácter personal.

Por su parte la duda de cómo se notifica un fichero se resuelve en el punto tercero.Atal efecto la notificación se realiza rellenando un formulario electrónico gratuito denominado

NOTA

Seguidamente en los puntos sucesivos se alude expresamente a la LOPD y Reglamento para desarrollar la concepción de los ficheros de titularidad pública y privada, terminando el tema con una alusión detallada de los códigos tipo.

AUTOEVALUACIÓN TEMA 3

1. Señale la respuesta correcta:

  • El Consejo consultivo de la Agencia Española de Protección de Datos dictará resolución acordando la inscripción del fichero en el Registro General de Protección de Datos.
  • La notificación se realizará conforme al procedimiento establecido en la sección primera Capítulo V Título IX.
  • Se notificará a la Agencia Española de Protección de Datos por el órgano competente de la Administración Pública responsable del fichero de titularidad pública en un plazo de veinte días desde la publicación de su norma o acuerdo de creación en el diario oficial correspondiente.
  • La no notificación de la existencia de un fichero supondría una infracción leve o grave, quedando sujeto al régimen sancionador previsto en esta Ley.

2. ¿Cuál es el plazo que tiene la Agencia Española de Protección de Datos para dictar y notificar?

  • Un mes
  • Dos meses
  • Quince días
  • Las anteriores respuestas son falsas

3. Las disposiciones de creación o de modificación de ficheros deberán indicar:

  • La finalidad del fichero y los usos previstos para el mismo
  • Las personas o colectivos sobre los que se pretenda obtener datos de carácter personal o que resulten obligados a suministrarlos
  • Los órganos de las Administraciones responsables del fichero.
  • Las anteriores respuestas son verdaderas

TEMA 4 DOCUMENTO DE SEGURIDAD

4.1 ELDOCUMENTO DE SEGURIDAD

El documento de seguridad está dispuesto en el art. 88 del Reglamento de la LOPD, integrado dentro del Capítulo II Título VIII del mismo, relativo a las medidas de seguridad en el tratamiento de datos de carácter personal.

Así, el responsable del fichero o tratamiento elaborará un documento de seguridad que recogerá las medidas de índole técnica y organizativa acordes a la normativa de seguridad vigente que será de obligado cumplimiento para el personal con acceso a los sistemas de información.

El documento de seguridad podrá ser único y comprensivo de todos los ficheros o tratamientos, o bien individualizado para cada fichero o tratamiento.También podrán elaborarse distintos documentos de seguridad agrupando ficheros o tratamientos según el sistema de tratamiento utilizado para su organización, o bien atendiendo a criterios organizativos del responsable. En todo caso, tendrá el carácter de documento interno de la organización.

4.2 CONTENIDO MÍNIMO DEL DOCUMENTO

El punto 3 del artículo 88 dice que el documento deberá contener, como mínimo, los siguientes aspectos:

a) Ámbito de aplicación del documento con especificación detallada de los recursos protegidos.

b) Medidas, normas, procedimientos de actuación, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en este reglamento.

c) Funciones y obligaciones del personal en relación con el tratamiento de los datos de carácter personal incluidos en los ficheros.

d) Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan. 

e) Procedimiento de notificación, gestión y respuesta ante las incidencias.

f) Los procedimientos de realización de copias de respaldo y de recuperación de los datos en los ficheros o tratamientos automatizados.

g) Las medidas que sea necesario adoptar para el transporte de soportes y documentos, así como para la destrucción de los documentos y soportes, o en su caso, la reutilización de estos últimos.

En caso de que fueran de aplicación a los ficheros las medidas de seguridad de nivel medio o las medidas de seguridad de nivel alto, que posteriormente comentaremos, el documento de seguridad deberá contener además:

a) La identificación del responsable o responsables de seguridad.

b) Los controles periódicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento.

En el caso de que exista un tratamiento de datos por cuenta de terceros, el documento de seguridad deberá contener la identificación de los ficheros o tratamientos que se traten en concepto de encargado con referencia expresa al contrato o documento que regule las condiciones del encargo, así como de la identificación del responsable y del período de vigencia del encargo.

En aquellos casos en los que datos personales de un fichero o tratamiento se incorporen y traten de modo exclusivo en los sistemas del encargado, el responsable deberá anotarlo en su documento de seguridad. Cuando tal circunstancia afectase a parte o a la totalidad de los ficheros o tratamientos del responsable, podrá delegarse en el encargado la llevanza del documento de seguridad, salvo en lo relativo a aquellos datos contenidos en recursos propios. Este hecho se indicará de modo expreso en el contrato celebrado al amparo del artículo 12 de la LOPD, con especificación de los ficheros o tratamientos afectados.

En tal caso, se atenderá al documento de seguridad del encargado al efecto del cumplimiento de lo dispuesto por este reglamento que comentamos.

El documento de seguridad deberá mantenerse en todo momento actualizado y será revisado siempre que se produzcan cambios relevantes en el sistema de información, en el sistema de tratamiento empleado, en su organización, en el contenido de la información incluida en los ficheros o tratamientos o, en su caso, como consecuencia de los controles periódicos realizados. En todo caso, se entenderá que un cambio es relevante cuando pueda repercutir en el cumplimiento de las medidas de seguridad implantadas.

El contenido del documento de seguridad deberá adecuarse, en todo momento, a las disposiciones vigentes en materia de seguridad de los datos de carácter personal.

4.3 MEDIDAS Y NIVELES DE SEGURIDAD

Comentaremos en este apartado los artículos 89 a 114 relativo, de una parte, a los niveles de seguridad que hay que aplicar a ficheros y tratamientos automatizados; y de otra parte, a los ficheros y tratamientos no automatizados.

A. MEDIDAS DE SEGURIDAD APLICABLES A FICHEROS Y TRATAMIENTOS AUTOMATIZADOS

A.1. Medidas de seguridad de nivel básico: Las funciones y obligaciones de cada uno de los usuarios o perfiles de usuarios con acceso a los datos de carácter personal y a los sistemas de información estarán claramente definidas y documentadas en el documento de seguridad.

También se definirán las funciones de control o autorizaciones delegadas por el responsable del fichero o tratamiento.

El responsable del fichero o tratamiento adoptará las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento.

El artículo 90 establece que deberá existir un procedimiento de notificación y gestión de las incidencias que afecten a los datos de carácter personal y establecer un registro en el que se haga constar el tipo de incidencia, el momento en que se ha producido, o en su caso, detectado, la persona que realiza la notificación, a quién se le comunica, los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas.

En cuanto al control de acceso los usuarios tendrán acceso únicamente a aquellos recursos que precisen para el desarrollo de sus funciones.

El responsable del fichero se encargará de que exista una relación actualizada de usuarios y perfiles de usuarios, y los accesos autorizados para cada uno de ellos.

El responsable del fichero establecerá mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados.

Exclusivamente el personal autorizado para ello en el documento de seguridad podrá conceder, alterar o anular el acceso autorizado sobre los recursos, conforme a los criterios establecidos por el responsable del fichero.

En caso de que exista personal ajeno al responsable del fichero que tenga acceso a los recursos deberá estar sometido a las mismas condiciones y obligaciones de seguridad que el personal propio.

Por su parte los soportes y documentos que contengan datos de carácter personal deberán permitir identificar el tipo de información que contienen, ser inventariados y solo deberán ser accesibles por el personal autorizado para ello en el documento de seguridad.

Se exceptúan estas obligaciones cuando las características físicas del soporte imposibiliten su cumplimiento, quedando constancia motivada de ello en el documento de seguridad.

La salida de soportes y documentos que contengan datos de carácter personal, incluidos los comprendidos y/o anejos a un correo electrónico, fuera de los locales bajo el control del responsable del fichero o tratamiento deberá ser autorizada por el responsable del fichero o encontrarse debidamente autorizada en el documento de seguridad.

En el traslado de la documentación se adoptarán las medidas dirigidas a evitar la sustracción, pérdida o acceso indebido a la información durante su transporte.

Siempre que vaya a desecharse cualquier documento o soporte que contenga datos de carácter personal deberá procederse a su destrucción o borrado, mediante la adopción de medidas para evitar el acceso a la información contenida en el mismo o su recuperación posterior.

La identificación de los soportes que contengan datos de carácter personal que la organización considerase especialmente sensibles se podrá realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido, y que dificulten la identificación para el resto de personas.

Ya en el artículo 93 se regula la identificación y autenticación de los usuarios.Así, el responsable del fichero o tratamiento deberá adoptar las medidas que garanticen la correcta identificación y autenticación de los usuarios.

El responsable del fichero o tratamiento establecerá un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado.

Cuando el mecanismo de autenticación se base en la existencia de contraseñas existirá un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad.

El documento de seguridad establecerá la periodicidad, que en ningún caso será superior a un año, con la que tienen que ser cambiadas las contraseñas que, mientras estén vigentes, se almacenarán de forma ininteligible.

Por su parte el artículo 94 del Reglamento habla de las copias de respaldo y recuperación. Deberán establecerse procedimientos de actuación para la realización como mínimo semanal de copias de respaldo, salvo que en dicho período no se hubiera producido ninguna actualización de los datos.

Asimismo, se establecerán procedimientos para la recuperación de los datos que garanticen en todo momento su reconstrucción en el estado en que se encontraban al tiempo de producirse la pérdida o destrucción.

Eso sí, únicamente, en el caso de que la pérdida o destrucción afectase a ficheros o tratamientos parcialmente automatizados, y siempre que la existencia de documentación permita alcanzar el objetivo al que se refiere el párrafo anterior, se deberá proceder

a grabar manualmente los datos quedando constancia motivada de este hecho en el documento de seguridad.

El responsable del fichero se encargará de verificar cada seis meses la correcta definición, funcionamiento y aplicación de los procedimientos de realización de copias de respaldo y de recuperación de los datos.

Las pruebas anteriores a la implantación o modificación de los sistemas de información que traten ficheros con datos de carácter personal no se realizarán con datos reales, salvo que se asegure el nivel de seguridad correspondiente al tratamiento realizado y se anote su realización en el documento de seguridad.

Si está previsto realizar pruebas con datos reales, previamente deberá haberse realizado una copia de seguridad.

A.2. Medidas de seguridad de nivel medio: En el documento de seguridad deberán designarse uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en el mismo. Esta designación puede ser única para todos los ficheros o tratamientos de datos de carácter personal, o diferenciada según los sistemas de tratamiento utilizados, circunstancia que deberá hacerse constar claramente en el documento de seguridad.

En ningún caso esta designación supone una exoneración de la responsabilidad que corresponde al responsable del fichero o al encargado del tratamiento de acuerdo con este reglamento.

Deberá establecerse un sistema de registro de entrada de soportes que permita, directa o indirectamente, conocer el tipo de documento o soporte, la fecha y hora, el emisor,

el número de documentos o soportes incluidos en el envío, el tipo de información que contienen, la forma de envío y la persona responsable de la recepción que deberá estar debidamente autorizada.

Igualmente, se dispondrá de un sistema de registro de salida de soportes que permita, directa o indirectamente, conocer el tipo de documento o soporte, la fecha y hora, el destinatario, el número de documentos o soportes incluidos en el envío, el tipo de información que contienen, la forma de envío y la persona responsable de la entrega que deberá estar debidamente autorizada.

El responsable del fichero o tratamiento establecerá un mecanismo que limite la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de información.

En cuanto al control de acceso físico, exclusivamente el personal autorizado en el documento de seguridad podrá tener acceso a los lugares donde se hallen instalados los equipos físicos que den soporte a los sistemas de información.

En el registro, ya mentado al aludir el artículo 90, deberán consignarse, además, los procedimientos realizados de recuperación de los datos, indicando la persona que ejecutó el proceso, los datos restaurados y, en su caso, qué datos ha sido necesario grabar manualmente en el proceso de recuperación.

Será necesaria la autorización del responsable del fichero para la ejecución de los procedimientos de recuperación de los datos.

 

 

 

A.3. Medidas de seguridad de nivel alto: La identificación de los soportes se deberá realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido, y que dificulten la identificación para el resto de personas.

La distribución de los soportes que contengan datos de carácter personal se realizará cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha información no sea accesible o manipulada durante su transporte.

Asimismo, se cifrarán los datos que contengan los dispositivos portátiles cuando éstos se encuentren fuera de las instalaciones que están bajo el control del responsable del fichero.

Deberá evitarse el tratamiento de datos de carácter personal en dispositivos portátiles que no permitan su cifrado. En caso de que sea estrictamente necesario se hará constar motivadamente en el documento de seguridad y se adoptarán medidas que tengan en cuenta los riesgos de realizar tratamientos en entornos desprotegidos.

En el artículo 102 se regulan las copias de respaldo y recuperación. En tal caso deberá conservarse una copia de respaldo de los datos y de los procedimientos de recuperación de los mismos en un lugar diferente de aquel en que se encuentren los equipos informáticos que los tratan, que deberá cumplir en todo caso las medidas de seguridad exigidas en este título, o utilizando elementos que garanticen la integridad y recuperación de la información, de forma que sea posible su recuperación.

En cuanto al registro de accesos, regulado en el artículo 103, de cada intento de acceso se guardarán, como mínimo, la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado.

En el caso de que el acceso haya sido autorizado, será preciso guardar la información que permita identificar el registro accedido.

Los mecanismos que permiten el registro de accesos estarán bajo el control directo del responsable de seguridad competente sin que deban permitir la desactivación ni la manipulación de los mismos.

El período mínimo de conservación de los datos registrados será de dos años.

El responsable de seguridad se encargará de revisar al menos una vez al mes la información de control registrada y elaborará un informe de las revisiones realizadas y los problemas detectados.

No será necesario el registro de accesos definido en este artículo en caso de que concurran las siguientes circunstancias:

a) Que el responsable del fichero o del tratamiento sea una persona física.

b) Que el responsable del fichero o del tratamiento garantice que únicamente él tiene acceso y trata los datos personales.

La concurrencia de las dos circunstancias anteriores deberá hacerse constar expresamente en el documento de seguridad.

Cuando deban implantarse las medidas de seguridad de nivel alto, la transmisión de datos de carácter personal a través de redes públicas o redes inalámbricas de comunicaciones electrónicas se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros.

B. MEDIDAS DE SEGURIDADAPLICABLESALOS FICHEROSYTRATAMIENTOS NOAUTOMATIZADOS

B.1 Medidas de seguridad de nivel básico: hemos de tener en cuenta que a los ficheros no automatizados les será de aplicación lo dispuesto anteriormente en lo relativo a:

a) Alcance.

b) Niveles de seguridad.

c) Encargado del tratamiento.

d) Prestaciones de servicios sin acceso a datos personales.

e) Delegación de autorizaciones.

f) Régimen de trabajo fuera de los locales del responsable del fichero o encargado del tratamiento.

g) Copias de trabajo de documentos.

h) Documento de seguridad.

Asimismo se les aplicará lo establecido para las medidas de seguridad de  nivel básico lo relativo a:

a) Funciones y obligaciones del personal.

b) Registro de incidencias.

c) Control de acceso.

d) Gestión de soportes.

 

 

El archivo de los soportes o documentos se realizará de acuerdo con los criterios previstos en su respectiva legislación. Estos criterios deberán garantizar la correcta conservación de los documentos, la localización y consulta de la información y

posibilitar el ejercicio de los derechos de oposición al tratamiento, acceso, rectificación y cancelación.

En aquellos casos en los que no exista norma aplicable, el responsable del fichero deberá establecer los criterios y procedimientos de actuación que deban seguirse para el archivo.

Por su parte los dispositivos de almacenamiento de los documentos que contengan datos de carácter personal deberán disponer de mecanismos que obstaculicen su apertura. Cuando las características físicas de aquéllos no permitan adoptar esta medida, el responsable del fichero o tratamiento adoptará medidas que impidan el acceso de personas no autorizadas.

Y por último decir que mientras la documentación con datos de carácter personal no se encuentre archivada en los dispositivos de almacenamiento establecidos en el artículo anterior, por estar en proceso de revisión o tramitación, ya sea previo o posterior a su archivo, la persona que se encuentre al cargo de la misma deberá custodiarla e impedir en todo momento que pueda ser accedida por persona no autorizada.

B.2. Medidas de seguridad de nivel medio: Se designará uno o varios responsables de seguridad en los términos y con las funciones previstas en el artículo 95 anteriormente comentado.

B.3. Medidas de seguridad de nivel alto: Los armarios, archivadores u otros elementos en los que se almacenen los ficheros no automatizados con datos de carácter personal deberán encontrarse en áreas en las que el acceso esté protegido con puertas de acceso dotadas de sistemas de apertura mediante llave u otro dispositivo equivalente. Dichas áreas deberán permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en el fichero.

Si, atendidas las características de los locales de que dispusiera el responsable del fichero o tratamiento, no fuera posible cumplir lo establecido anteriormente, el responsable adoptará medidas alternativas que, debidamente motivadas, se incluirán en el documento de seguridad.

La generación de copias o la reproducción de los documentos únicamente podrá ser realizada bajo el control del personal autorizado en el documento de seguridad.

Deberá procederse a la destrucción de las copias o reproducciones desechadas de forma que se evite el acceso a la información contenida en las mismas o su recuperación posterior.

El acceso a la documentación se limitará exclusivamente al personal autorizado.

Se establecerán mecanismos que permitan identificar los accesos realizados en el caso de documentos que puedan ser utilizados por múltiples usuarios.

El acceso de personas no incluidas en el párrafo anterior deberá quedar adecuadamente registrado de acuerdo con el procedimiento establecido al efecto en el documento de seguridad.

Siempre que se proceda al traslado físico de la documentación contenida en un fichero, deberán adoptarse medidas dirigidas a impedir el acceso o manipulación de la información objeto de traslado.

4.4 MODELO DE DOCUMENTO DE SEGURIDAD DE LAAEDP.

El Reglamento de la LOPD especifica que se puede disponer de un solo documento que incluya todos los ficheros y tratamientos con datos personales de los que una persona física o jurídica sea responsable, un documento por cada fichero o tratamiento, o los que determine el responsable atendiendo a los criterios organizativos que haya establecido.

Cualquiera de las opciones puede ser válida. En este caso se ha optado por el primer tipo, organizando el “documento de seguridad” en dos partes: en la primera se recogen las medidas que afectan a todos los sistemas de información de forma común con independencia del sistema de tratamiento sobre el que se organizan: informatizado, manual o mixto, y en la segunda se incluye un anexo por cada fichero o tratamiento, con las medidas que le afecten de forma concreta. Además, se han especificado aquellas medidas que afectan sólo a ficheros automatizados y las que afectan a los no automatizados de forma exclusiva. El modelo se ha redactado para recopilar las exigencias mínimas establecidas por el Reglamento. Es posible y recomendable incorporar cualquier otra medida que se considere oportuna para aumentar la seguridad de los tratamientos, o incluso, adoptar las medidas exigidas para un nivel de seguridad superior al que por el tipo de información les correspondería, teniendo en cuenta la infraestructura y las circunstancias particulares de la organización.  Dentro del modelo se utilizarán los siguientes símbolos convencionales: <comentario explicativo>: Entre los caracteres “<” y “>”, se encuentran los comentarios aclaratorios sobre el contenido que debe tener un campo. Estos textos no deben figurar en el documento final, y deben desarrollarse para ser aplicados a cada caso concreto.  -NIVEL MEDIO: con esta marca se señalarán las medidas que sólo son obligatorias en los ficheros que tengan que adoptar un nivel de seguridad medio.-NIVEL ALTO: Con esta marca se señalarán las medidas que sólo son obligatorias en los ficheros que tengan que adoptar un nivel de seguridad alto.-AUTOMATIZADOS: Con esta marca se señalarán las medidas específicas para aplicar exclusivamente a ficheros informatizados o automatizados.

-MANUALES: Con esta marca se señalarán las medidas específicas para aplicar exclusivamente a ficheros manuales o no automatizados.  Las medidas que no van precedidas de ninguna de estas marcas deben aplicarse con carácter general, tanto a ficheros o tratamientos automatizados como no automatizados y con independencia del nivel de seguridad.

El modelo de documento de Seguridad y sus Anexos, redactados en cumplimiento de lo dispuesto en el Reglamento de la LOPD recogen las medidas de índole técnica y organizativa necesarias para garantizar la protección, confidencialidad, integridad y

disponibilidad de los recursos afectados por lo dispuesto en el citado Reglamento y en la LOPD.  El contenido de este documento queda estructurado como sigue:

- Ámbito de aplicación del documento.

- Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar los niveles de seguridad exigidos en este documento.

- Información y obligaciones del personal.- Procedimientos de notificación, gestión y respuestas ante las incidencias.

- Procedimientos de revisión.ANEXO I. Descripción de  ficheros. ANEXO II. Nombramientos.ANEXO III. Autorizaciones de salida o recuperación de datos.

ANEXO IV. Delegación de autorizaciones.ANEXO V. Inventario de soportes. ANEXO VI. Registro de Incidencias.ANEXO VII. Encargados de tratamiento. ANEXO VIII. Registro de entrada y salida de soportes.ANEXO IX. Medidas alternativas.

El documento de seguridad será de aplicación a los ficheros que contienen datos de carácter personal que se hallan bajo la responsabilidad de <nombre del responsable>, incluyendo los sistemas de información, soportes y equipos empleados para el tratamiento de datos de carácter personal, que deban ser protegidos de acuerdo a lo dispuesto en normativa vigente, las personas que intervienen en el tratamiento y los locales en los que se ubican.

4.5 SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN. NORMA ISO/ IEC 27001

ISO/IEC 27001 es un patrón para la seguridad de la información (Information technology

- Security techniques - Information security management systems - Requirements) aprobado y publicado como estándar internacional en octubre de 2005 por International Organization for Standardization y por la comisión International Electrotechnical Commission.

Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un sistema de gestión de la seguridad de la información (SGSI) según el conocido como “Ciclo de Deming”: PDCA- acrónimo de Plan, Do, Check,Act (Planificar, Hacer,

Verificar,Actuar). Es consistente con las mejores prácticas descritas en ISO/IEC 27002, anteriormente conocida como ISO/IEC 17799, con orígenes en la norma BS 7799-2:2002, desarrollada por la entidad de normalización británica, la British Standards Institution (BSI).

En el año 2004 se publicó la UNE 71502 titulada Especificaciones para los Sistemas de Gestión de la Seguridad de la Información (SGSI) y que fue elaborada por el comité técnico AEN/CTN 71. Es una adaptación nacional de la norma británica British Standard BS 7799-2:2002.

Con la publicación de UNE-ISO/IEC 27001 (traducción al español del original inglés) dejó de estar vigente la UNE 71502 y las empresas nacionales certificadas en esta última están pasando progresivamente sus certificaciones a UNE-ISO/IEC 27001. Existen varios cambios con respecto a la versión 2005 en la versión 2013. Entre ellos destacan:

•         Desaparece la sección “enfoque a procesos” dando mayor flexibilidad para la elección de metodologías de trabajo para el análisis de riesgos y mejoras.

•         Cambia su estructura conforme al anexo SL común al resto de estándares de la ISO.

•         Pasa de 102 requisitos a 130.

•    Considerables cambios en los controles establecidos en el Anexo A, incrementando el número de dominios a 14 y disminuyendo el número de controles a 114.

•         Inclusión de un nuevo dominio sobre “Relaciones con el Proveedor” por las crecientes relaciones entre empresa y proveedor en la nube.

•           Se parte del análisis de riesgos para determinar los controles necesarios y compararlos con el Anexo A, en lugar de identificar primero los activos, las amenazas y sus vulnerabilidades.

Puede aportar las siguientes ventajas a la organización:

•           Demuestra la garantía independiente de los controles internos y cumple los requisitos de gestión corporativa y de continuidad de la actividad comercial.

•      Demuestra independientemente que se respetan las leyes y normativas que sean de aplicación.

•           Proporciona una ventaja competitiva al cumplir los requisitos contractuales y demostrar a los clientes que la seguridad de su información es primordial.

•      Verifica independientemente que los riesgos de la organización estén correctamente identificados, evaluados y gestionados al tiempo que formaliza unos procesos, procedimientos y documentación de protección de la información.

•         Demuestra el compromiso de la cúpula directiva de su organización con la seguridad de la información.

•           El proceso de evaluaciones periódicas ayuda a supervisar continuamente el rendimiento y la mejora.

La implantación de ISO/IEC 27001 en una organización es un proyecto que suele tener una duración entre 6 y 12 meses, dependiendo del grado de madurez en seguridad de la información y el alcance, entendiendo por alcance el ámbito de la organización que va a estar sometido al Sistema de Gestión de la Seguridad de la Información elegida. En general, es recomendable la ayuda de consultores externos.

Aquellas organizaciones que hayan adecuado previamente de forma rigurosa sus sistemas de información y sus procesos de trabajo a las exigencias de las normativas legales de protección de datos (p.ej., en España la conocida LOPD y sus normas de desarrollo, siendo el más importante el Real Decreto 1720/2007, de 21 de diciembre de desarrollo de la Ley Orgánica de Protección de Datos) o que hayan realizado un acercamiento progresivo a la seguridad de la información mediante la aplicación de las buenas prácticas de ISO/IEC 27002, partirán de una posición más ventajosa a la hora de implantar ISO/IEC 27001. El equipo de proyecto de implantación debe estar formado por representantes de todas las áreas de la organización que se vean afectadas por el SGSI, liderado por la dirección y asesorado por consultores externos especializados en seguridad informática generalmente Ingenieros o Ingenieros Técnicos en Informática, derecho de las nuevas tecnologías, protección de datos y sistemas de gestión de seguridad de la información (que hayan realizado un curso de implantador de SGSI).

La certificación de un SGSI es un proceso mediante el cual una entidad de certificación externa, independiente y acreditada audita el sistema, determinando su conformidad con ISO/IEC 27001, su grado de implantación real y su eficacia y, en caso positivo, emite el correspondiente certificado.

Antes de la publicación del estándar ISO 27001, las organizaciones interesadas eran certificadas según el estándar británico BS 7799-2.

Desde finales de 2005, las organizaciones ya pueden obtener la certificación ISO/IEC 27001 en su primera certificación con éxito o mediante su recertificación trienal, puesto que la certificación BS 7799-2 ha quedado reemplazada.

El Anexo C de la norma muestra las correspondencias del Sistema de Gestión de la Seguridad de la Información (SGSI) con el Sistema de Gestión de la Calidad según ISO 9001:2000 y con el Sistema de Gestión MedioAmbiental según ISO 14001:2004 (ver ISO 14000), hasta el punto de poder llegar a certificar una organización en varias normas y con base en un sistema de gestión común.

RESUMEN

En el presente capítulo hemos tratado sobre los documentos de seguridad, el contenido mínimo que han de tener. Por su parte el epígrafe 3 ha versado sobre los niveles así como de las medidas de seguridad de los ficheros y tratamientos automatizados y no automatizados. En ambos se distinguen las medidas de seguridad de nivel básico, medio y alto.

Por su parte en cuanto al modelo de documento de seguridad está desarrollado en el epígrafe 4.Y por último el epígrafe 5 ha tratado de clarificar el modelo de seguridad de la información ISO/IEC 27001

AUTOEVALUACIÓN TEMA 4

1. ¿Cuáles de los siguientes aspectos deberá contener el documento de seguridad?:

  • Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan.
  • Medidas, normas, procedimientos de actuación, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en este reglamento.
  • a y b son correctas
  • todas son incorrectas

2. Respecto de las medidas de seguridad aplicables a ficheros y tratamientos automatizados de nivel básico, se puede decir que:

  • Deberá existir un procedimiento de notificación y gestión de las incidencias que afecten a los datos de carácter personal y establecer un registro en el que se haga constar el tipo de incidencia entre otras cuestiones
  • Todas las respuestas son falsas
  • Deberá establecerse un sistema de registro de entrada de soportes que permita, directa o indirectamente, conocer el tipo de documento o soporte, la fecha y hora, el emisor, el número de documentos o soportes incluidos en el envío, el tipo de información que contienen, la forma de envío y la persona responsable de la recepción que deberá estar debidamente autorizada
  • La identificación de los soportes se deberá realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido, y que dificulten la identificación para el resto de personas

3. El documento de seguridad de la Agencia Española de Protección de Datos tiene:

  • tres partes: en la primera se recogen las medidas que afectan a todos los sistemas de información de forma común con independencia del sistema de tratamiento sobre el que se organizan: informatizado, manual o mixto; en la segunda se incluye un anexo por cada fichero o tratamiento, con las medidas que le afecten de forma concreta; y en la tercera cualquier otra medida que se considere oportuna para aumentar la seguridad de los tratamientos
  • Solo una parte: se recoge cualquier medida que se considere oportuna para aumentar la seguridad de los tratamientos
  • Dos partes: en la primera se recogen las medidas que afectan a todos los sistemas de información de forma común con independencia del sistema de tratamiento sobre el que se organizan: informatizado, manual o mixto, y en la segunda se incluye un anexo por cada fichero o tratamiento, con las medidas que le afecten de forma concreta
  • Todas las respuestas son falsas

TEMA 5 DERECHOS

5.1 DERECHO DE INFORMACIÓN

El derecho de información tiene su regulación en el artículo 5 de la LOPD. En él se dispone que los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:

a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.

b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.

c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.

d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.

e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

Cuando el responsable del tratamiento no esté establecido en el territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, deberá designar, salvo que tales medios se utilicen con fines de trámite, un representante en España, sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable del tratamiento.

Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, en forma claramente legible, las advertencias anteriormente explicadas. No será necesaria la información a que se refieren las letras b), c) y d) anteriores si el contenido de ella se deduce claramente de la naturaleza de los datos personales que se solicitan o de las circunstancias en que se recaban.

Cuando los datos de carácter personal no hayan sido recabados del interesado, éste deberá ser informado de forma expresa, precisa e inequívoca, por el responsable del fichero o su representante, dentro de los tres meses siguientes al momento del registro de los datos, salvo que ya hubiera sido informado con anterioridad, del contenido del tratamiento, de la procedencia de los datos, así como de lo previsto en las letras a), d) y e) anteriores.

No será de aplicación lo dispuesto anteriormente, cuando expresamente una ley lo prevea, cuando el tratamiento tenga fines históricos estadísticos o científicos, o cuando la información al interesado resulte imposible o exija esfuerzos desproporcionados, a criterio de la Agencia de Protección de Datos o del organismo autonómico equivalente, en consideración al número de interesados, a la antigüedad de los datos y a las posibles medidas compensatorias.

Asimismo, tampoco regirá lo dispuesto en el apartado anterior cuando los datos procedan de fuentes accesibles al público y se destinen a la actividad de publicidad o prospección comercial, en cuyo caso, en cada comunicación que se dirija al interesado se le informará del origen de los datos y de la identidad del responsable del tratamiento así como de los derechos que le asisten.

5.2 DERECHO DE CONSULTA ALREGISTRO GENERAL DE PROTECCIÓN DE DATOS

Es el artículo 14 LOPD el que regula este derecho de consulta. Así, cualquier persona podrá conocer, recabando a tal fin la información oportuna del Registro General de Protección de Datos, la existencia de tratamientos de datos de carácter personal, sus finalidades y la identidad del responsable del tratamiento. Además el Registro General será de consulta pública y gratuita.

5.3 DERECHO DE IMPUGNACIÓN DE VALORES

Es el artículo 13 de la LOPD donde se establece este derecho. Los ciudadanos tienen derecho a no verse sometidos a una decisión con efectos jurídicos, sobre ellos o que les afecte de manera significativa, que se base únicamente en un tratamiento de datos destinados a evaluar determinados aspectos de su personalidad.

El afectado podrá impugnar los actos administrativos o decisiones privadas que impliquen una valoración de su comportamiento, cuyo único fundamento sea un tratamiento de datos de carácter personal que ofrezca una definición de sus características o personalidad.

En este caso, el afectado tendrá derecho a obtener información del responsable del fichero sobre los criterios de valoración y el programa utilizados en el tratamiento que sirvió para adoptar la decisión en que consistió el acto.

La valoración sobre el comportamiento de los ciudadanos, basada en un tratamiento de datos, únicamente podrá tener valor probatorio a petición del afectado.

5.4 DERECHOS DE DESTINATARIOS, USUARIOS Y ABONADOS DE SERVICIOS DE COMUNICACIONES ELECTRÓNICAS

Este epígrafe, relativo a los derechos de destinatarios de servicios de comunicaciones electrónicas, tiene su regulación en los artículos 19 y 22 de la Ley 34/2002 de servicios de la sociedad de la información y del comercio electrónico.

Así podemos decir que las comunicaciones comerciales y las ofertas promocionales se regirán, además de por la presente Ley, por su normativa propia y la vigente en materia comercial y de publicidad.

En todo caso, será de aplicación la LOPD, y su normativa de desarrollo, en especial, en lo que se refiere a la obtención de datos personales, la información a los interesados y la creación y mantenimiento de ficheros de datos personales.

 

Ya el artículo 22 dice que el destinatario podrá revocar en cualquier momento el consentimiento prestado a la recepción de comunicaciones comerciales con la simple notificación de su voluntad al remitente.

A tal efecto, los prestadores de servicios deberán habilitar procedimientos sencillos y gratuitos para que los destinatarios de servicios puedan revocar el consentimiento que hubieran prestado. Cuando las comunicaciones hubieran sido remitidas por correo electrónico dicho medio deberá consistir necesariamente en la inclusión de una dirección electrónica válida donde pueda ejercitarse este derecho quedando prohibido el envío de comunicaciones que no incluyan dicha dirección. Asimismo, deberán facilitar información accesible por medios electrónicos sobre dichos procedimientos.

Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la LOPD.

Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto.

Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.

5.5 DERECHO DE IMPUGNACIÓN E INDEMNIZACIÓN

A. DERECHO DE IMPUGNACIÓN

El artículo 17 de la LOPD establece que los procedimientos para ejercitar el derecho de oposición, acceso, así como los de rectificación y cancelación serán establecidos reglamentariamente.

No se exigirá contra prestación alguna por el ejercicio de los derechos de oposición, acceso, rectificación o cancelación.

Efectivamente es el artículo 23 del Reglamento donde se dispone que los derechos de acceso, rectificación, cancelación y oposición son personalísimos y serán ejercidos por el afectado.

Tales derechos se ejercitarán:

a) Por el afectado, acreditando su identidad, del modo previsto en el artículo siguiente.

b) Cuando el afectado se encuentre en situación de incapacidad o minoría de edad que le imposibilite el ejercicio personal de estos derechos, podrán ejercitarse por su representante legal, en cuyo caso será necesario que acredite tal condición.

c) Los derechos también podrán ejercitarse a través de representante voluntario, expresamente designado para el ejercicio del derecho. En ese caso, deberá constar claramente acreditada la identidad del representado, mediante la aportación de copia de su Documento Nacional de Identidad o documento equivalente, y la representación conferida por aquél.

Cuando el responsable del fichero sea un órgano de las Administraciones públicas o de la Administración de Justicia, podrá acreditarse la representación por cualquier medio válido en derecho que deje constancia fidedigna, o mediante declaración en comparecencia personal del interesado.

Los derechos serán denegados cuando la solicitud sea formulada por persona distinta del afectado y no se acreditase que la misma actúa en representación de aquél.

B. DERECHO DE INDEMNIZACIÓN

El artículo 19 LOPD dice que los interesados que, como consecuencia del incumplimiento de lo dispuesto en la presente Ley por el responsable o el encargado del tratamiento, sufran daño o lesión en sus bienes o derechos tendrán derecho a ser indemnizados.

Cuando se trate de ficheros de titularidad pública, la responsabilidad se exigirá de acuerdo con la legislación reguladora del régimen de responsabilidad de las Administraciones públicas.

En el caso de los ficheros de titularidad privada, la acción se ejercitará ante los órganos de la jurisdicción ordinaria.

RESUMEN

En el tema 5 hemos tratado los derechos de los ciudadanos interesados a conocer previamente la existencia de un fichero, es decir, derecho a la información.

De la misma forma hemos visto el derecho que tienen los interesados a consultar el Registro General de Protección de Datos, a efectos de conocer la existencia de tratamiento de datos de carácter personal, así como sus finalidades y la identidad del responsable del tratamiento.

Por su parte en cuanto al derecho de impugnación de valoraciones, pudiendo el afectado impugnar los actos administrativos y decisiones privadas que supongan valoración de su comportamiento.

Ya en el punto 4 hemos aludido a los derechos de destinatarios del servicio de comunicaciones electrónicas, regulado en la ley 34/2002 de servicios de la sociedad de la información y comercio electrónico.

Y por último en el epígrafe 5 se ha regulado el derecho de impugnación e indemnización, en caso de que los interesados sufran daño o lesión en sus bienes o derechos, como consecuencia del incumplimiento de la LOPD.

AUTOEVALUACIÓN TEMA 5

1. Las características de la consulta al Registro General de Protección de Datos será:

  • Pública y gratuita
  • Semipública y gratuita
  • Privada y gratuita
  • Solamente gratuita

2.El derecho de impugnación de valores tiene su regulación en la LOPD:

  • En el art. 14
  • En el art. 13
  • Sólo se regula en el Reglamento de la LOPD
  • En el art. 9

3. Señale la respuesta correcta:

  • Los interesados que sufran daño o lesión en sus bienes o derechos tendrán derecho a ser indemnizados
  • Cuando se trate de ficheros de titularidad pública, la responsabilidad se exigirá de acuerdo con la legislación reguladora del régimen patrimonial de las Administraciones públicas
  • En el caso de los ficheros de titularidad privada, la acción se ejercitará ante los órganos de la jurisdicción constitucional
  • Como consecuencia del incumplimiento de lo dispuesto en la LOPD por el afectado, se ejercitará la acción contra éste ante la jurisdicción ordinaria

TEMA 6 INCUMPLIMIENTO Y SANCIONES

6.1 TIPOS DE INCUMPLIMIENTO: INFRACCIONES LEVES, GRAVES Y MUY GRAVES

Hay distintos tipos de incumplimiento de la LOPD. Efectivamente son la comisión de infracciones, que se calificarán como leves, graves o muy graves.

En ese sentido se puede decir que son infracciones leves:

- No remitir a laAgencia Española de Protección de Datos las notificaciones previstas en la LOPD o en sus disposiciones de desarrollo.

- No solicitar la inscripción del fichero de datos de carácter personal en el Registro

General de Protección de Datos.

- El incumplimiento del deber de información al afectado acerca del tratamiento de sus datos de carácter personal cuando los datos sean recabados del propio interesado.

- La transmisión de los datos a un encargado del tratamiento sin dar cumplimiento a los deberes formales establecidos en el artículo 12 de la LOPD, relativo al acceso a los datos por cuenta de terceros.

Por su parte son infracciones graves:

- Proceder a la creación de ficheros de titularidad pública o iniciar la recogida de datos de carácter personal para los mismos, sin autorización de disposición general, publicada en el “Boletín Oficial del Estado” o diario oficial correspondiente.

-Tratar datos de carácter personal sin recabar el consentimiento de las personas afectadas, cuando el mismo sea necesario conforme a lo dispuesto en esta Ley y sus disposiciones de desarrollo.

-Tratar datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en el artículo 4 de la presente LOPD y las disposiciones que lo desarrollan, salvo cuando sea constitutivo de infracción muy grave.

- La vulneración del deber de guardar secreto acerca del tratamiento de los datos de carácter personal al que se refiere el artículo 10 de la presente Ley relativo a los supuestos que legitiman el tratamiento o cesión de los datos.

- El impedimento o la obstaculización del ejercicio de los derechos de acceso, rectificación, cancelación y oposición.

- El incumplimiento del deber de información al afectado acerca del tratamiento de sus datos de carácter personal cuando los datos no hayan sido recabados del propio interesado.

 

- El incumplimiento de los restantes deberes de notificación o requerimiento al afectado impuestos por esta LOPD y sus disposiciones de desarrollo.

- Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen.

- No atender los requerimientos o apercibimientos de la Agencia Española de Protección de Datos o no proporcionar a aquélla cuantos documentos e informaciones sean solicitados por la misma.

- La obstrucción al ejercicio de la función inspectora.

- La comunicación o cesión de los datos de carácter personal sin contar con legitimación para ello en los términos previstos en esta Ley y sus disposiciones reglamentarias de desarrollo, salvo que la misma sea constitutiva de infracción muy grave.

Y por último, son infracciones muy graves:

- La recogida de datos en forma engañosa o fraudulenta.

-Tratar o ceder los datos de carácter personal a los que se refieren los apartados 2, 3 y 5 del artículo 7 de esta Ley, salvo en los supuestos en que la misma lo autoriza o violentar la prohibición contenida en el apartado 4 del artículo 7, concerniente a datos especialmente protegidos.

- No cesar en el tratamiento ilícito de datos de carácter personal cuando existiese un previo requerimiento del Director de la Agencia Española de Protección de Datos para ello.

- La transferencia internacional de datos de carácter personal con destino a países que no proporcionen un nivel de protección equiparable sin autorización del Director de laAgencia Española de Protección de Datos salvo en los supuestos en los que conforme a esta Ley y sus disposiciones de desarrollo dicha autorización no resulta necesaria.

Es necesario por último mentar las infracciones que pueden cometer las

Administraciones Públicas. Se regula en el artículo 46.

En este sentido cuando las infracciones leves, graves y muy graves anteriormente referidas fuesen cometidas en ficheros de titularidad pública o en relación con tratamientos cuyos responsables lo serían de ficheros de dicha naturaleza, el órgano sancionador dictará una resolución estableciendo las medidas que procede adoptar para que cesen o se corrijan los efectos de la infracción. Esta resolución se notificará al responsable del fichero, al órgano del que dependa jerárquicamente y a los afectados si los hubiera.

El órgano sancionador podrá proponer también la iniciación de actuaciones disciplinarias, si procedieran. El procedimiento y las sanciones a aplicar serán las establecidas en la legislación sobre régimen disciplinario de las Administraciones Públicas.

Se deberán comunicar al órgano sancionador las resoluciones que recaigan en relación con las medidas y actuaciones a que se refieren los apartados anteriores.

El Director de la Agencia comunicará al Defensor del Pueblo las actuaciones que efectúe y las resoluciones que dicte al amparo de lo explicado anteriormente.

 

6.2 TIPOS DE SANCIONES

 

En el siguiente epígrafe comentaremos los tipos de sanciones que se imponen a cada una de las infracciones que se cometen.

En ese sentido las infracciones leves serán sancionadas con multa de 900 a 40.000 euros.

Por su parte las infracciones graves serán sancionadas con multa de 40.001 a 300.000 euros.

Las infracciones muy graves serán sancionadas con multa de 300.001 a 600.000 euros. La cuantía de las sanciones se graduará atendiendo a los siguientes criterios:

a) El carácter continuado de la infracción.

b) El volumen de los tratamientos efectuados.

c) La vinculación de la actividad del infractor con la realización de tratamientos de datos de carácter personal.

d) El volumen de negocio o actividad del infractor.

e) Los beneficios obtenidos como consecuencia de la comisión de la infracción.

f) El grado de intencionalidad.

g) La reincidencia por comisión de infracciones de la misma naturaleza.

h) La naturaleza de los perjuicios causados a las personas interesadas o a terceras personas.

i) La acreditación de que con anterioridad a los hechos constitutivos de infracción la entidad imputada tenía implantados procedimientos adecuados de actuación en la recogida y tratamiento de Ios datos de carácter personal, siendo la infracción consecuencia de una anomalía en el funcionamiento de dichos procedimientos no debida a una falta de diligencia exigible al infractor.

j) Cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora.

El órgano sancionador establecerá la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que se trate, en los siguientes supuestos:

a) Cuando se aprecie una cualificada disminución de la culpabilidad del imputado o de la antijuridicidad del hecho como consecuencia de la concurrencia significativa de varios de los criterios enunciados en los criterios de graduación de las sanciones anteriormente explicadas.

b) Cuando la entidad infractora haya regularizado la situación irregular de forma diligente.

c) Cuando pueda apreciarse que la conducta del afectado ha podido inducir a la comisión de la infracción.

d) Cuando el infractor haya reconocido espontáneamente su culpabilidad.

e) Cuando se haya producido un proceso de fusión por absorción y la infracción fuese anterior a dicho proceso, no siendo imputable a la entidad absorbente.

Excepcionalmente el órgano sancionador podrá, previa audiencia de los interesados y atendida la naturaleza de los hechos y la concurrencia significativa de los criterios establecidos en el apartado anterior, no acordar la apertura del procedimiento sancionador y, en su lugar, apercibir al sujeto responsable a fin de que, en el plazo que el órgano sancionador determine, acredite la adopción de las medidas correctoras que en cada caso resultasen pertinentes, siempre que concurran los siguientes presupuestos:

a) Que los hechos fuesen constitutivos de infracción leve o grave conforme a lo dispuesto en esta Ley.

b) Que el infractor no hubiese sido sancionado o apercibido con anterioridad.

Si el apercibimiento no fuera atendido en el plazo que el órgano sancionador hubiera determinado procederá la apertura del correspondiente procedimiento sancionador por dicho incumplimiento.

En ningún caso podrá imponerse una sanción más grave que la fijada en la Ley para la clase de infracción en la que se integre la que se pretenda sancionar.

El Gobierno actualizará periódicamente la cuantía de las sanciones de acuerdo con las variaciones que experimenten los índices de precios.

 

 

6.3 PROCEDIMIENTO SANCIONADOR

El procedimiento sancionador tiene su regulación en los artículos 120 a 128 del Reglamento que desarrolla la LOPD. Las disposiciones contenidas en el capítulo III Título IX serán de aplicación a los procedimientos relativos al ejercicio por laAgencia Española de Protección de Datos de la potestad sancionadora que le viene atribuida por la LOPD, en la Ley 34/2002, de 11 de julio, de Servicios de la sociedad de la

información y de comercio electrónico, y en la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones.

No obstante, las disposiciones previstas en el artículo 121 y en la sección cuarta de este capítulo únicamente serán aplicables a los procedimientos referidos al ejercicio de la potestad sancionadora prevista en la Ley Orgánica 15/1999, de 13 de diciembre.

Ese artículo 121 trata de la inmovilización de ficheros. En el supuesto previsto como infracción muy grave en la LOPD, consistente en la utilización o cesión ilícita de los datos de carácter personal en la que se impida gravemente o se atente de igual modo contra el ejercicio de los derechos de los ciudadanos y el libre desarrollo de la personalidad que la Constitución y las leyes garantizan, el Director de la Agencia Española de Protección de Datos podrá, en cualquier momento del procedimiento, requerir a los responsables de ficheros o tratamientos de datos de carácter personal, tanto de titularidad pública como privada, la cesación en la utilización o cesión ilícita de los datos.

El requerimiento deberá ser atendido en el plazo improrrogable de tres días, durante el cual el responsable del fichero podrá formular las alegaciones que tenga por convenientes en orden al levantamiento de la medida.

Si el requerimiento fuera desatendido, el Director de laAgencia Española de Protección de Datos podrá, mediante resolución motivada, acordar la inmovilización de tales ficheros o tratamientos, a los solos efectos de restaurar los derechos de las personas afectadas.

Ya en el artículo 122 se habla de la iniciación de las actuaciones previas. Con anterioridad a la iniciación del procedimiento sancionador, se podrán realizar actuaciones previas con objeto de determinar si concurren circunstancias que justifiquen tal iniciación. En especial, estas actuaciones se orientarán a determinar, con la mayor precisión posible, los hechos que pudieran justificar la incoación del procedimiento, identificar la persona u órgano que pudiera resultar responsable y fijar las circunstancias relevantes que pudieran concurrir en el caso.

Las actuaciones previas se llevarán a cabo de oficio por laAgencia Española de Protección de Datos, bien por iniciativa propia o como consecuencia de la existencia de una denuncia o una petición razonada de otro órgano.

Cuando las actuaciones se lleven a cabo como consecuencia de la existencia de una denuncia o de una petición razonada de otro órgano, la Agencia Española de Protección de Datos acusará recibo de la denuncia o petición, pudiendo solicitar cuanta documentación se estime oportuna para poder comprobar los hechos susceptibles de motivar la incoación del procedimiento sancionador.

Estas actuaciones previas tendrán una duración máxima de doce meses a contar desde la fecha en la que la denuncia o petición razonada hubieran tenido entrada en la Agencia Española de Protección de Datos o, en caso de no existir aquéllas, desde que el Director de la Agencia acordase la realización de dichas actuaciones.

El vencimiento del plazo sin que haya sido dictado y notificado acuerdo de inicio de procedimiento sancionador producirá la caducidad de las actuaciones previas.

En cuanto al personal competente para la realización de las actuaciones previas, el artículo 123 dice que las actuaciones previas serán llevadas a cabo por el personal del área de la Inspección de Datos habilitado para el ejercicio de funciones inspectoras.

En supuestos excepcionales, el Director de la Agencia Española de Protección de Datos podrá designar para la realización de actuaciones específicas a funcionarios de la propia Agencia no habilitados con carácter general para el ejercicio de funciones inspectoras o a funcionarios que no presten sus funciones en la Agencia, siempre que reúnan las condiciones de idoneidad y especialización necesarias para la realización de tales actuaciones. En estos casos, la autorización indicará expresamente la identificación del funcionario y las concretas actuaciones previas de inspección a realizar.



 

Los funcionarios que ejerzan la inspección a los que se refieren los dos apartados anteriores tendrán la consideración de autoridad pública en el desempeño de sus cometidos.

Estarán obligados a guardar secreto sobre las informaciones que conozcan en el ejercicio de las mencionadas funciones, incluso después de haber cesado en las mismas.

Respecto a la obtención de la información, los inspectores podrán recabar cuantas informaciones precisen para el cumplimiento de sus cometidos.A tal fin podrán requerir la exhibición o el envío de los documentos y datos y examinarlos en el lugar en que se encuentren depositados, como obtener copia de los mismos, inspeccionar los equipos físicos y lógicos, así como requerir la ejecución de tratamientos y programas o procedimientos de gestión y soporte del fichero o ficheros sujetos a investigación, accediendo a los lugares donde se hallen instalados. 

Ya en el artículo 125 se regulan las actuaciones presenciales. En el desarrollo de las actuaciones previas se podrán realizar visitas de inspección por parte de los inspectores designados, en los locales o sede del inspeccionado, o donde se encuentren ubicados los ficheros, en su caso.Atal efecto, los inspectores habrán sido previamente autorizados por el Director de la Agencia Española de Protección de Datos.

Las inspecciones podrán realizarse en el domicilio del inspeccionado, en la sede o local concreto relacionado con el mismo o en cualquiera de sus locales, incluyendo aquéllos en que el tratamiento sea llevado a cabo por un encargado.

La autorización se limitará a indicar la habilitación del inspector autorizado y la identificación de la persona u órgano inspeccionado.

En el supuesto anterior, las inspecciones concluirán con el levantamiento de la correspondiente acta, en la que quedará constancia de las actuaciones practicadas durante la visita o visitas de inspección.

El acta, que se emitirá por duplicado, será firmada por los inspectores actuantes y por el inspeccionado, que podrá hacer constar en la misma las alegaciones o manifestaciones que tenga por conveniente.

En caso de negativa del inspeccionado a la firma del acta, se hará constar expresamente esta circunstancia en la misma. En todo caso, la firma por el inspeccionado del acta no supondrá su conformidad, sino tan sólo la recepción de la misma.

Se entregará al inspeccionado uno de los originales del acta de inspección, incorporándose el otro a las actuaciones.

Por su parte dice el artículo 126 que, finalizadas las actuaciones previas, éstas se someterán a la decisión del Director de la Agencia Española de Protección de Datos.

Si de las actuaciones no se derivasen hechos susceptibles de motivar la imputación de infracción alguna, el Director de la Agencia Española de Protección de Datos dictará resolución de archivo que se notificará al investigado y al denunciante, en su caso.

En caso de apreciarse la existencia de indicios susceptibles de motivar la imputación de una infracción, el Director de la Agencia Española de Protección de Datos dictará acuerdo de inicio de procedimiento sancionador o de infracción de las Administraciones públicas, que se tramitarán conforme a lo dispuesto, respectivamente, en las secciones tercera y cuarta del presente capítulo, que procederemos a comentar.

Dicha sección tercera regula el procedimiento sancionador. Así, el artículo 127 dice que con carácter específico el acuerdo de inicio del procedimiento sancionador deberá contener:

a) Identificación de la persona o personas presuntamente responsables.

b) Descripción sucinta de los hechos imputados, su posible calificación y las sanciones que pudieran corresponder, sin perjuicio de lo que resulte de la instrucción.

c) Indicación de que el órgano competente para resolver el procedimiento es el Director de la Agencia Española de Protección de Datos.

d) Indicación al presunto responsable de que puede reconocer voluntariamente su responsabilidad, en cuyo caso se dictará directamente resolución.

e) Designación de instructor y, en su caso, secretario, con expresa indicación del régimen de recusación de los mismos.

f) Indicación expresa del derecho del responsable a formular alegaciones, a la audiencia en el procedimiento y a proponer las pruebas que estime procedentes.

g) Medidas de carácter provisional que pudieran acordarse, en su caso, conforme a lo establecido al principio.

 

El plazo para dictar resolución será el que determinen las normas aplicables a cada procedimiento sancionador y se computará desde la fecha en que se dicte el acuerdo de inicio hasta que se produzca la notificación de la resolución sancionadora, o se acredite debidamente el intento de notificación.

El vencimiento del citado plazo máximo, sin que se haya dictada y notificada resolución expresa, producirá la caducidad del procedimiento y el archivo de las actuaciones.

RESUMEN

Así se concluye el presente tema 6, dividido en tres partes, la primera de ella relativa al tipo de incumplimiento, es decir, las infracciones que se pueden cometer en inobservancia de la LOPD y su Reglamento de desarrollo. Estas infracciones puedes ser leves, graves o muy graves, dependiendo de la gravedad del ilícito.

La parte segunda ha tratado de clarificar las clases de sanciones que le corresponden a las referidas infracciones que se cometen. Oscilan dichas sanciones entre los 900 y los 600.000 euros.

Y por último hemos comentado el procedimiento relativo al ejercicio de la potestad sancionadora, dispuesto en el Reglamento. En él encontramos la realización de una serie de actuaciones previas y presenciales antes de iniciar el procedimiento sancionador.

AUTOEVALUACIÓN TEMA 6

1. No solicitar la inscripción del fichero de datos de carácter personal en el Registro General de Protección de Datos es una infracción:

  • Grave
  • Leve
  • Muy grave
  • No supone infracción

2. Una multa de 300.000 es una sanción por comisión de una infracción:

  • Leve
  • Muy grave
  • Grave
  • Las infracciones no suponen una sanción de multa

3. Señale la respuesta incorrecta:

  • El vencimiento del plazo sin que haya sido dictado y notificado acuerdo de inicio de procedimiento sancionador no supondrá la caducidad de las actuaciones previas
  • En el desarrollo de las actuaciones previas se podrán realizar visitas de inspección por parte de los inspectores designados, en los locales o sede del inspeccionado, o donde se encuentren ubicados los ficheros, en su caso
  • El acuerdo de inicio del procedimiento sancionador deberá contener, entre otras cosas, la identificación de la persona o personas presuntamente responsables
  • El plazo para dictar resolución será el que determinen las normas aplicables a cada procedimiento sancionador y se computará desde la fecha en que se dicte el acuerdo de inicio hasta que se produzca la notificación de la resolución sancionadora, o se acredite debidamente el intento de notificación

TEMA 7 AUDITORÍA

7.1 LA AUDITORIA. OBJETIVOS Y TIPOS

A. DEFINICIÓN

Se define la auditoría como el examen crítico y sistemático que realiza una persona o grupo de personas independientes de lo auditado, que puede ser una persona, organización, sistema, proceso, proyecto o producto.

Habiendo muchos tipos de auditoría, la expresión se utiliza de forma general para aludir a la «auditoría externa de estados financieros», que es una auditoría realizada por un profesional experto en contabilidad, de los libros y registros contables de una entidad, para opinar sobre la razonabilidad de la información contenida en ellos y sobre el cumplimiento de las normas contables.

B.OBJETIVOS

Su objetivo principal es emitir un diagnóstico acerca de un sistema de información empresarial, para tomar decisiones sobre el mismo. Dichas disposiciones son de diferente tipo en relación con el área examinada y con el usuario del dictamen o diagnóstico. Los objetivos de la auditoría se pueden clasificar en tres: revelar fraudes; declarar errores de principio; y descubrir errores técnicos.

Sin duda el desarrollo tecnológico de los últimos tiempos, llamada Revolución tecnológica o informática, así como el avance de la administración de las empresas y la aplicación a las mismas de la Teoría General de Sistemas, da lugar a que surjan nuevos objetivos, tales como establecer si existe un sistema que facilite datos pertinentes y fiables para la planeación y el control; comprobar si este sistema produce resultados, es decir, planes, presupuestos, pronósticos, estados financieros, informes de control dignos de confianza, adecuados y suficientemente inteligibles por el usuario; efectuar indicaciones para mejorar el control interno de la entidad.

C. TIPOS:

Respecto a los tipos de auditoría existen los siguientes:

-Auditoría contable, la realizada por un profesional, experto en contabilidad,sobre los estados contables de una entidad.

-Auditoría energética, una inspección, estudio y análisis de los flujos de energía en un edificio, proceso o sistema con el objetivo de comprender la energía dinámica del sistema bajo estudio.

-Auditoría jurídica, la efectuada por un profesional del derecho, con capacidad y experiencia en derecho civil o militar que realiza la revisión, examen y evaluación de los resultados de una gestión específica o general de una institución o cuerpo, con el propósito de informar o dictaminar acerca de ellas, realizando las observaciones y recomendaciones pertinentes para mejorar su eficacia y eficiencia en su desempeño.

-Auditoría informática, proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema de información salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los recursos.

-Auditoría medioambiental, cuantificación de los logros y la posición medioambiental de una organización.

-Auditoría social, proceso que una empresa u organización realiza con ánimo de presentar balance de su acción social y su comportamiento ético.

-Auditoría de seguridad de sistemas de información, análisis y gestión de sistemas para identificar y posteriormente corregir las diversas vulnerabilidades que pudieran presentarse en una revisión exhaustiva de las estaciones de trabajo, redes de comunicaciones o servidores.

-Auditoría de innovación, proceso de obtención de información sobre la situación actual de la empresa frente a la innovación.

-Auditoría política, revisión sistemática de los procesos y actividades, orientadas ideológicamente, de toma de decisiones de un grupo para la consecución de unos objetivos, en beneficio de todos.

-Auditoría electoral, la realizada a sistemas electorales de los diferentes países con sistema democrático, los cuales se realizan para darle confiabilidad y transparencia al sistema.

-Auditoría de accesibilidad, revisión de la accesibilidad de un sitio web por parte de un experto.

-Auditoría de marca, metodología para medir el valor de una marca.

-Auditoría de código de aplicaciones, proceso de revisar el código de una aplicación para encontrar errores en tiempo de diseño.

-Auditoría Sarbanes-Oxley o auditoría SOx, revisión practicada a las firmas de auditoría de las compañías que cotizan en bolsa, de acuerdo a lo prescrito por la ley Sarbanes-Oxley.

-Auditoría científico-técnica, realizada a instituciones encargadas de la investigación científica y técnica en las diferentes áreas del trabajo humano.

-Auditoría forense, cuando se revisan datos y documentos históricos de empresas y se comparan con el fin de detectar principalmente fraudes, robos, trucos fiscales, trucos contables o cualquier otra situación anómala en la que seinvestiga a los involucrados intelectuales y materiales del hecho; regularmente se    hacen estimaciones en dinero de las cifras malversadas.

-Auditorias de accidentes a causa del rayo, la realizada por un especialista, experto en accidentes de rayos.

 

C.AUDITORÍA EXTERNA E INTERNA

Respecto de los tipos de auditoría según la forma de realizarla, puede distinguirse:

-Auditoria Externa: examen crítico, sistemático y detallado de un sistema de información de una unidad económica, realizado por un Contador Público sin vínculos laborales con esa unidad económica, utilizando pericias determinadas y para realizar una opinión independiente sobre la forma como opera el sistema, el control interno del mismo y formular sugerencias para su mejoramiento. El dictamen u opinión independiente tiene trascendencia a los terceros, pues da plena validez a la información generada por el sistema puesto que se origina bajo la figura de la Fe Pública, obligando a tener plena creencia en la información inspeccionada.

La Auditoría Externa examina y evalúa cualquiera de los sistemas de información de una organización y emite una opinión independiente sobre los mismos, pero las empresas requieren de la evaluación de su sistema de información financiero en forma independiente para darle validez ante los usuarios del producto de este, asociándose en este caso la Auditoría Externa la Auditoría de Estados Financieros.

La Auditoría Externa o Independiente tiene por objeto averiguar la razonabilidad, integridad y autenticidad de los estados, expedientes y documentos y toda aquella información producida por los sistemas de la organización.

Una Auditoría Externa se hace cuando se quiere publicar el producto del sistema de información examinado para acompañar al mismo una opinión independiente que le dé autenticidad y permita a los usuarios de dicha información tomar decisiones confiando en las declaraciones del Auditor.

-Auditoría Interna: la auditoría Interna es el examen crítico, sistemático y detallado de un sistema de información de una unidad económica, realizado por un profesional vinculado laboralmente a la misma, utilizando determinadas técnicas y con el objeto de emitir informes y formular sugerencias para el mejoramiento de la misma. Estos informes son de circulación interna y no tienen trascendencia a los terceros ya que no influye la Fe Publica.

Las auditorías internas están realizadas por personas de la empresa. Un auditor interno evalúa permanentemente el control de las transacciones y operaciones y sugiere el mejoramiento de los métodos y procedimientos de control interno. Cuando la auditoría es dirigida por Contadores Públicos profesionales independientes, la opinión de un experto desinteresado e imparcial constituye una ventaja definida para la empresa y una garantía de protección para los intereses de los accionistas, los acreedores y el Público.

La imparcialidad e independencia no son posibles en el caso del auditor interno, puesto que no se separa de la influencia de la alta administración.

La auditoría interna es un servicio que alcanza al nivel alto de la dirección de la organización y tiene características de función asesora de control.

Existen diferencias substanciales entre la Auditoría Interna y la Auditoría Externa, algunas de las cuales se pueden detallar así:

•         En la Auditoría Interna hay un lazo laboral entre el auditor y la empresa, mientras que en la Auditoría Externa la dependencia es de tipo civil.

•           En la Auditoría Interna el diagnóstico del auditor está consignado para la empresa; en el caso de la Auditoría Externa este dictamen se destina generalmente para terceras personas o sea ajena a la empresa.

•         La Auditoría Interna está inhabilitada para dar Fe Pública, mientras la Auditoría Externa tiene la facultad legal de dar Fe Pública.

7.2 PARTICULARIDADES DE LA AUDITORÍA DE PROTECCIÓN DE DATOS

A. DEFINICIÓN

La Auditoría de Protección de Datos consiste en realizar un análisis de la situación actual de la empresa con respecto al cumplimiento de la normativa de protección de datos, con especial atención al cumplimiento de las medidas de seguridad y los procedimientos de recogida y tratamiento de los datos personales.

En la Auditoría de videovigilancia, se procede a comprobar el grado de adecuación y cumplimiento del sistema de videovigilancia a la normativa de protección de datos de carácter personal actualmente vigente y la Instrucción AEPD 1/2006, de 8 de noviembre sobre Videovigilancia.

La Ley Orgánica de Protección de Datos establece como obligatorio la realización de una Auditoria Bienal de adecuación a la normativa, cada dos años, y la comunicación y asunción de medidas correctoras en cuanto a posibles deficiencias o punto débiles.

B. OBJETIVOS

Tomando como referencia la LOPD y el Real Decreto 1720/2007 que regula el Reglamento de desarrollo hemos de decir que los objetivos son:

- Comprobar el grado de cumplimiento de la ley.

- Comprobar la adecuación de las medidas correctoras a los riesgos existentes.

- Recomendar las soluciones adecuadas.

- Comprobar la apropiada instalación de las cámaras a fin de revisar que no se infringe el derecho a la intimidad y privacidad de las personas físicas.

- Revisión de que las distintas actividades de tratamiento de las imágenes son acordes a las exigencias normativas.

a.- Captación de imágenes.

b.- Exhibición y visualización.

c.- Grabación.

d.-Almacenamiento y archivo.

e.- Difusión.

d.- Cesiones de datos a terceros.

f.- Eliminación.

g.- Información adecuada al afectado.

- Revisión de las relaciones contractuales con las empresas de seguridad que accedan a las imágenes o las traten. Determinando que estas relaciones de externalización cumplen con las exigencias del artículo 12 LOPD.

- Comprobar el adecuado cumplimiento de los procedimientos de seguridad legalmente exigidos.

C. CONTENIDO

•   Derechos de acceso, rectificación y cancelación.

•   Derecho a la recogida de datos.

•   Declaración de ficheros y de cesiones de datos.

•   Datos especialmente protegidos.

•   Datos personales y de salud.

•   Medidas de seguridad; adaptación al reglamento.

•   Organización y procedimientos a aplicar según la ley.

•   Asignación de responsabilidades; responsables.

D. RESULTADOS

•   Informe de Auditoría sobre la situación actual, en relación a las obligaciones legales.

•   Plan de recomendaciones, referido a: riesgos reales; normativa a cumplir; coste de implantación de recomendaciones; y dificultad de implantación.

 

7.3 AUDITORES

El auditor cuenta con un una serie de tareas inclinadas a estudiar, analizar y diagnosticar la estructura y funcionamiento general de una organización.

Las funciones del auditor son:

- Estudiar la normatividad, misión, objetivos, políticas, estrategias, planes y programas de trabajo.

- El desarrollo del plan de trabajo de una auditoría.

- La definición de objetivos, alcance y metodología para organizar una auditoria.

- La asimilación de información para evaluar la funcionalidad y efectividad de los procesos, funciones y sistemas utilizados.

- Conseguir y examinar estadísticas sobre volúmenes y cargas de trabajo.

- El establecimiento de métodos de operación y sistemas de información.

- Detectar los hallazgos y evidencias e incorporarlos a los papeles de trabajo.

- El respeto a las normas de actuación establecidas por los grupos de filiación, corporativos, sectoriales e instancias normativas y, en su caso, globalizadoras.

- Presentar los sistemas administrativos o modificaciones que den lugar a elevar la efectividad de la organización.

- Estudiar la estructura y el funcionamiento de la organización en todas sus esferas y niveles.

- Revisar el flujo de datos y formas.

-Tener en cuenta las variables ambientales y económicas que inciden en el ejercicio de la organización.

- Indagar en la distribución del espacio y el empleo de equipos de oficina.

- Evaluar los registros contables e información financiera.

- Salvaguardar el nivel de actuación a través de una interacción y revisión continua de avances.

- Plantear los elementos de tecnología de punta requeridos para impulsar el cambio organizacional.

- Diseñar y preparar los reportes de avance e informes de una auditoria.

En lo que respecta a los conocimientos que ha de poseer, es ventajoso que el equipo auditor tenga una preparación acorde con las exigencias de una auditoria administrativa, ya que eso le permitirá interactuar con los dispositivos de estudio que se utilizarán durante su desarrollo.

Hay que distinguir los siguientes niveles de formación:

1º)Académica: Es necesario tener estudios a nivel técnico, licenciatura o postgrado en administración, informática, comunicación, ciencias políticas, administración pública, relaciones industriales, ingeniería industrial, sicología, pedagogía, ingeniería en sistemas, contabilidad, derecho, relaciones internacionales y diseño gráfico.

Otras especialidades como actuaría, matemáticas, ingeniería y arquitectura, pueden contemplarse siempre que hayan tenido una capacitación en el ámbito de la auditoría.

2º) Complementaria: Instrucción en la materia, obtenida a través de diplomados, seminarios foros o cursos.

3º) Empírica: conocimiento que dar lugar a partir de la realización de auditorías en instituciones sin contar con un grado académico. Se deberá tener destreza en la operación de equipos de cómputo y oficina, así como idiomas que formen parte de la dinámica de trabajo de la organización que se examina.

Además de la formación profesional, teórica y/o práctica, el equipo auditor tiene otro tipo de cualidades determinantes en su trabajo, referidas a recursos personales producto de su desenvolvimiento y dones intrínsecos a su carácter.

La expresión de estos atributos puede variar de acuerdo con el modo de ser y el deber ser de cada caso en particular. No obstante es conveniente que el auditor tenga las siguientes características:

•         Actitud positiva.

•         Estabilidad emocional.

•         Objetividad.

•         Sentido institucional.

•         Saber escuchar.

•         Creatividad.

•         Respeto a las ideas de los demás.

•         Mente analítica.

•         Conciencia de los valores propios y de su entorno.

•         Capacidad de negociación.

•         Imaginación.

•         Claridad de expresión verbal y escrita.

•         Capacidad de observación.

•         Iniciativa.

•         Discreción.

•         Facilidad para trabajar en grupo.

•         Comportamiento ético.

Por otra parte, un elemento importante a tener en cuenta en las características del equipo es lo referente a la experiencia personal de sus integrantes, ya que de ello depende el cuidado y diligencia profesionales que se emplean para determinar la profundidad de las observaciones.

Los campos a dominar son:

•         Conocimiento de las áreas sustantivas de la organización.

•         Conocimiento de las áreas adjetivas de la organización.

•         Conocimiento de esfuerzos anteriores

•         Conocimiento de casos prácticos.

•   Conocimiento derivado de la implementación de estudios organizacionales de otra naturaleza.

•         Conocimiento personal basado en elementos diversos.

También decir que el equipo auditor ha de realizar su trabajo utilizando para ello su capacidad, inteligencia y criterio para determinar el alcance, estrategia y técnicas que habrá de aplicar en una auditoría, así como evaluar los resultados y presentar los informes correspondientes.

Para esto se ha de tener atención en:

•         Preservar la independencia mental.

•         Realizar su trabajo sobre la base de conocimiento y capacidad profesional adquirida.

•         Cumplir con las normas o criterios que se le señalen.

•         Capacitarse en forma continua.

Es necesario que esté libre de impedimentos que quiten credibilidad a sus juicios, por que debe preservar su autonomía e imparcialidad al participar en una auditoría.

Dichos impedimentos pueden ser: personales y externos.

1º) Personales: son circunstancias que recaen concretamente en el auditor y que por

su naturaleza pueden influir su desempeño, destacando las siguientes:

•         Vínculos personales, profesionales, financieros u oficiales con la organización que se va a auditar.

•         Interés económico personal en la auditoría.

•         Corresponsabilidad en condiciones de funcionamiento incorrectas.

•         Relación con instituciones que interactúan con la organización.

•         Ventajas previas obtenidas en forma ilícita o antiética.

2º) Los externos: relacionados con factores que limitan al auditor en su tarea puntual y objetiva. Son:

•        Ingerencia externa en la selección o aplicación de técnicas para la ejecución de la auditoría.

•         Interferencia con los órganos internos de control.

•         Recursos limitados para desvirtuar el alcance de la auditoría.

•         Presión injustificada para propiciar errores inducidos.

En fin, el equipo auditor mide la fortaleza de su función en la medida en que afronte su compromiso con sometimiento y en apego a normas profesionales tales como:

•           Objetividad: Mantener una visión independiente de los hechos, evitando formular juicios o caer en omisiones, que alteren de alguna manera los resultados que obtenga.

•         Responsabilidad: Observar una conducta profesional, cumpliendo con sus encargos oportuna y eficientemente.

•         Integridad: Preservar sus valores por encima de las presiones.

•         Confidencialidad: Conservar en secreto la información y no utilizarla en beneficio propio o de intereses ajenos.

•         Compromiso:Tener presente sus obligaciones para consigo mismo y la organización para la que presta sus servicios.

•         Equilibrio: No perder la dimensión de la realidad y el significado de los hechos.

•         Honestidad: Aceptar su condición y tratar de dar su mejor esfuerzo con sus

propios recursos, evitando aceptar compromisos o tratos de cualquier tipo.

•        Institucionalidad: No olvidar que su ética profesional lo obliga a respetar y obedecer a la organización a la que pertenece.

•         Criterio: Emplear su capacidad de discernimiento en forma equilibrada.

•         Iniciativa:Asumir una actitud y capacidad de respuesta ágil y efectiva.

•    Imparcialidad: No involucrarse en forma personal en los hechos, conservando su objetividad al margen de preferencias personales.

•         Creatividad: Ser propositivo e innovador en el desarrollo de su trabajo.

RESUMEN

El presente tema 7 ha girado en torno a la idea de auditoría. Se ha clarificado la concepción de lo que es la auditoría, los tipos que existen de auditoría, junto con los tipos según la forma en la que se realice, es decir, interna y externa. De la misma forma también se ha tratado acerca de los objetivos de la auditoría, como es el emitir un diagnóstico acerca de un sistema de información empresarial, para tomar decisiones sobre el mismo.

Ya en el segundo epígrafe se han mentado las particularidades de la auditoría de datos.

Se ha definido ésta, así como los objetivos que persigue dicha auditoría.

Y por último se ha tratado de analizar la figura del auditor. Se ha definido y se han resaltado sus funciones, así como las distintas clases de formación que reciben estos técnicos.También se han mencionado los impedimentos que pueden sufrir los auditores en su tarea, pudiendo ser personales y externos.Y por último se han estudiado las normas profesionales, que van desde la objetividad hasta la creatividad o imparcialidad pasando por el equilibrio o la honestidad.

AUTOEVALUACIÓN TEMA 7

1. Señale la respuesta correcta respecto de la auditoría externa:

  • Es realizada por un contador público
  • El auditor tiene vínculos laborales con la unidad económica
  • El dictamen u opinión no tiene transcendencia a terceros
  • a y b son correctas

2. De acuerdo con la legislación de protección de datos la auditoria de datos tiene como objetivo:

  • Verificar la adecuación de los datos con la realidad
  • Comprobar la adecuación de las medidas correctoras a los riesgos existentes
  • Comprobar la apropiada instalación de las cámaras a fin de revisar que no se infringe el derecho al honor de las personas físicas
  • Revisión de que las distintas actividades de tratamiento de sonido son acordes a las exigencias del auditor

3. Señale la respuesta incorrecta:

  • Los niveles de formación del auditor son el académico, complementario y empírico
  • Entre las funciones del auditor está la del establecimiento de métodos de operación y sistemas de información
  • Entre las características del auditor está la del respeto a las ideas de los demás, la iniciativa y la actitud asertiva
  • Los impedimentos pueden ser personales o externos

TEMA 8 FASES DE LA AUDITORÍA

8.1 FASE 1: IDENTIFICACIÓN DE LOS DATOS PERSONALES

En esta primera fase se consigue el mayor número de información posible, que es necesaria para poder desarrollar y elaborar la Política de Seguridad a seguir, así como para desarrollar el resto de fases de la auditoría.

Para poder efectuar una auditoría será necesario que el auditor tenga, en determinadas ocasiones, acceso a los datos de carácter personal procesados y almacenados en los sistemas de información de la organización auditada, y como tal, pasa a convertirse en un encargado del tratamiento. Por ello, antes de iniciar la auditoría deberá suscribirse un contrato de acceso a datos para la prestación de servicios con el siguiente contenido:

Deberá formalizarse por escrito o de alguna otra forma que permita acreditar su celebración y contenido.

Deberá establecerse que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará

con fin distinto al que figure en dicho contrato, no los comunicará, ni siquiera para su conservación, a otras personas.

Se estipularán las medidas de seguridad que el encargado deba implementar.

Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento.

En esta primera fase se trata de identificar tanto a la entidad auditora como a la entidad auditada, siendo recomendable que el auditor y el responsable o el encargado del tratamiento creen una comisión o equipo de trabajo que tendrá por objeto:

•         Mantener una comunicación permanente y fluida con el auditor para el desarrollo de los trabajos que se realicen.

•          Asumir y responsabilizarse internamente de que el trabajo de auditoría será realizado por el auditor con la colaboración de todo el personal que vaya a estar involucrado.

Asimismo, en esta fase se procede a examinar entre otros aspectos los siguientes:

•         Obtención de los datos de carácter personal.

•         Finalidad de los datos de carácter personal.

•         Ficheros de datos de carácter personal.

•         Consentimiento del afectado en la recogida de los datos.

•         Responsable del fichero.

•         Derechos de los afectados.

•         Encargado del tratamiento.

•         Acceso a los datos de carácter personal.

•         Cesiones de datos.

Respecto de la recogida de información el auditor deberá recopilarla sobre:

•         El grado de mantenimiento y cumplimiento del documento de seguridad, en especial de los apartados “Funciones” y “Obligaciones del personal”.

•         Almacenamiento de información.

•         Los registros de incidencias.

•         Los accesos, copias de seguridad y salida de soportes.

•         La relación de los usuarios autorizados.

•         El inventario de soportes.

 

Entre los casos de recogida de información que suelen darse dentro del proceso de auditoría, cabe señalar los siguientes:

•           Obtención por parte del auditor de información relativa al responsable y encargado del tratamiento de registros públicos.

•           Petición por parte del auditor de información previa al inicio de las entrevistas con los distintos interlocutores de la empresa a través del comité creado al efecto.

•         Petición por parte del auditor de información durante las entrevistas realizadas a los distintos interlocutores.

•             Solicitud de información por parte del auditor, tras conocer determinados datos sobre la empresa auditada, a fin de comprobar la veracidad de los mismos.

•              Entrega voluntaria de información al auditor por parte de los interlocutores.

•      Apreciación directa del auditor en el examen de las medidas técnicas, lógicas y organizativas existentes en la empresa, así como de los hechos que acontezcan durante sus visitas a la entidad auditada.

Para la recogida de esta información el auditor lleva a cabo una serie de entrevistas a las personas que van a estar involucradas en la auditoría. Estas personas son las siguientes:

•           El responsable de seguridad nombrado por el responsable del fichero y por el encargado del tratamiento para velar y coordinar las medidas de seguridad establecidas en el RLOPD.

•           El administrador o administradores de sistemas de la organización, que se encargan de la gestión y administración de los sistemas de información así como de la seguridad del mismo.

•           Los usuarios, que son las personas que, dentro de la empresa, acceden a los datos de carácter personal procesados en los sistemas de información.

Lo más oportuno es que el auditor, de forma previa a la realización de las entrevistas, prepare un listado de aquellas personas con las que se entrevistará y a las que se les preguntará una serie de cuestiones mediante un checklist o formulario elaborado al efecto.

En cuanto al análisis de la información, las peculiaridades que caracterizan este análisis son las siguientes.

•           Debe cotejarse toda la información obtenida por el auditor de los distintos canales de la empresa auditada y, sobre todo, la obtenida a través de los cuestionarios realizados tanto al responsable de seguridad y administrador de sistemas, como a los distintos usuarios.

•           Debe tratarse de un análisis por niveles de seguridad, es decir, deben analizarse en primer lugar las medidas de carácter general contempladas en el Reglamento de la LOPD y con posterioridad, por orden, las contempladas para el nivel básico, medio y alto.

8.2 FASE 2: NIVEL Y MEDIDAS DE SEGURIDAD APLICABLES

Las medidas de seguridad aplicables a los ficheros automatizados se encuentran regulados en los artículos 89 a 104 del Reglamento de la LOPD. Destacable es en ese sentido el artículo 96 del Reglamento en el que se dispone la auditoría en el nivel de seguridad medio.

Así, dice el artículo 96 que a partir del nivel medio los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se someterán, al menos cada dos años, a una auditoría interna o externa que verifique el cumplimiento del presente título.

La tipología de ficheros que en todo caso deben someterse a la auditoría en protección de datos de forma bienal son:

1º) Ficheros de nivel medio:

•   Los relativos a la comisión de infracciones administrativas o penales.

•   Aquellos cuyo funcionamiento se rija por el artículo 29 de la LOPD.

•  Aquellos de los que sean responsables Administraciones tributarias y se relacionen con el ejercicio de sus potestades tributarias.

•  Aquellos de los que sean responsables las entidades financieras para finalidades relacionadas con la prestación de servicios financieros.

• Aquellos de los que sean responsables las Entidades Gestoras y Servicios Comunes de la Seguridad Social y se relacionen con el ejercicio de sus competencias.

• Aquellos de los que sean responsables las mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social.

•  Aquellos que contengan un conjunto de datos personales que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar aspectos de la personalidad o del comportamiento de los mismos.

Cabe recordar que los ficheros de nivel medio contienen la tipología de datos indicada y además contienen los datos de nivel básico como lo son todos los datos identificativos de una persona (nombre y apellidos, DNI, teléfono, etc.). Si el fichero solo contiene datos identificativos de nivel básico no es obligatorio realizar la auditoría.

Y dado que la aplicación de las medidas de seguridad es acumulativa, también deberán

contemplar la realización de la auditoría los ficheros de nivel alto.

Por último, cabe añadir que si bien en todo caso la realización de la auditoría en protección de datos deberá tener una periodicidad bienal, el RLOPD establece que deberá realizarse dicha auditoría con carácter extraordinario siempre que se realicen modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptación, adecuación y eficacia de las mismas.

8.3 FASE 3: ENTREGA DEL INFORME DE AUDITORÍA

El informe de auditoría debe, desde un punto de vista general, dictaminar sobre la adecuación de las medidas y controles de seguridad existentes a lo contenido en el RLOPD. Por tanto, deberá identificar las deficiencias que sean observadas, proponer medidas correctoras e incluir recomendaciones por parte del equipo auditor. Igualmente, resulta adecuado y conveniente que se recojan datos, hechos y observaciones en los que se basen los dictámenes alcanzados.

Para poder llevar a cabo la misma habría que preguntarse qué deberá tener en cuenta el Responsable de Seguridad de la entidad a auditar. Será lo siguiente:

1.- Relación de ficheros inscritos en el RGPD (Registro General de Protección de Datos).

2.- Fechas propuestas para la realización de la auditoría.

3.-Auditores internos asignados o entidad auditora externa.

4.- Documentos necesarios para el control y auditoría; departamentos a auditar y personas a entrevistar.

En cuanto a los documentos que deberán ser revisados y por tanto deberán ser disponibles son:

•   El documento de seguridad.

•   Notificaciones al RGPD.

•   Estructura de los sistemas informáticos y de información de la entidad, lo que incluirá los sistemas de archivo y traslado de soportes no automatizados.

•   Aplicaciones informáticas utilizadas en la gestión de los ficheros a auditar.

•   Organigrama de la entidad y sus responsables.

•   Informes de auditoría anteriores.

•   Informes de controles periódicos de verificación de resultados.

Así, desde un punto de vista amplio, el contenido del informe de auditoría, será el siguiente:

1.-Antecedentes. Identificación de la entidad auditada y auditora.

2.- Objeto y contenido de la auditoría. Normativa que la justifica. Informes de auditorías anteriores.

3.-Alcance de la auditoría. Ficheros, tratamientos y centro de trabajos auditados.

4.- Limitaciones en la ejecución de la auditoría. En el caso de que las hubiera.

5.- Ejecución del trabajo del auditor. Entrevistas realizadas; Inspección visual; Documentación analizada; Checklist de comprobación y verificación.

6.- Entrega y difusión del informe de auditoría.Aquienes se les hará entrega del mismo (Responsable de Seguridad; Dirección, etc.)

7.- Valoración de las medidas y controles de seguridad. Análisis por niveles de seguridad.Análisis del cumplimiento de las medidas de seguridad: identificación de deficiencias + medidas correctoras + recomendaciones del auditor.

8.4 FASE 4: EJECUCIÓN DE LA AUDITORÍA

Las Normas deAuditoría sobre la Ejecución del Trabajo tienen como objetivo la determinación de los medios y actuaciones que han de ser utilizados y aplicados por los auditores de cuentas independientes en la realización de la auditoría de las cuentas anuales.

El auditor deberá acordar por escrito con su cliente el objetivo y alcance del trabajo, así como sus honorarios o los criterios para su cálculo para todo el período de nombramiento.

En el contrato o carta de encargo deberá indicar el total número de horas estimado para la realización del trabajo. Cuando el nombramiento se efectúe por un Registrador Mercantil o un Juez se deberá detallar, asimismo, el número de horas presupuestado por áreas de trabajo. A estos efectos, antes de aceptar el nombramiento, el auditor podrá solicitar de la empresa o entidad auditada todos los datos que considere necesarios para preparar su propuesta.

Antes de aceptar el encargo, el auditor debe considerar si existe alguna razón que aconseje su rechazo por razones éticas o técnicas.

La planificación de la auditoría comporta el desarrollo de una estrategia global en base al objetivo y alcance del encargo y la forma en que se espera que responda la organización de la entidad. El alcance con que se lleve a cabo la planificación varía según el tamaño y la complejidad de la entidad, de la experiencia que el auditor tenga de la misma, del conocimiento del tipo de negocio en que la empresa se desenvuelve, de la calidad de la organización y del control interno de la entidad.

Al planificar su trabajo, el auditor debe considerar una adecuada comprensión del negocio de la entidad, del sector en el que ésta opera y la naturaleza de sus transacciones; los procedimientos y principios contables que sigue la entidad y la uniformidad con que han sido ampliados, así como los sistemas contables utilizados para registrar las transacciones; y el grado de eficacia y fiabilidad inicialmente esperado de los sistemas de control interno.

El auditor deberá documentar adecuadamente el plan de auditoría.

A través de la planificación de su examen, el auditor debe determinar, entre otros aspectos, la naturaleza, alcance y momento de ejecución del trabajo a realizar y preparar un programa de auditoría escrito.

El programa de auditoría facilita un control y seguimiento más eficaz del trabajo realizado y se utilizará para transmitir instrucciones a los miembros del equipo del auditor en cuanto al trabajo a realizar. Debe indicar con suficiente detalle las pruebas de auditoría que el auditor considera necesarias para conseguir los objetivos del examen.

Al aplicar el programa, el auditor debe guiarse por los resultados obtenidos en los procedimientos y consideraciones de la fase de planificación. Conforme el examen avanza, es posible que se produzcan cambios respecto de las condiciones esperadas, que hagan necesario modificar los procedimientos de auditoría inicialmente previstos.

Tales modificaciones deberán documentarse adecuadamente.

El auditor deberá preparar un programa escrito de auditoría en el que se establezcan las pruebas a realizar y la extensión de las mismas para cumplir los objetivos de auditoría.

 

El programa debe incluir los objetivos de auditoría para cada parcela o área y será lo suficientemente detallado de forma que sirva como documento de asignación de trabajos a los profesionales del equipo que participen en la auditoría, así como medio de control de la adecuada ejecución del mismo.

En la preparación del programa de auditoría, el auditor habiendo obtenido cierto conocimiento del sistema de contabilidad y de los correspondientes controles internos, puede considerar oportuno confiar en determinados controles internos a la hora de determinar la naturaleza, momento de realización y amplitud de los procedimientos de auditoría. El auditor puede decidir confiar en determinados controles internos como un medio eficaz y eficiente para la realización de la auditoría. Sin embargo, el auditor puede decidir no basarse en controles internos cuando existan otros medios más eficientes de obtención de pruebas o evidencia suficiente y adecuada en auditoría. El auditor deberá considerar también el momento de realizar los procedimientos, la coordinación de cualquier ayuda que se espera de la entidad, la disponibilidad de personal, y la participación de otros auditores o expertos.

El plan global y el correspondiente programa deberán revisarse a medida que progresa la auditoría. Cualquier modificación se basará en el estudio de control interno, la evaluación del mismo y los resultados de las pruebas que se vayan realizando.

Deberá efectuarse un estudio adecuado del control interno como base fiable para la determinación del alcance, naturaleza y momento de realización de las pruebas a las que deberán concretarse los procedimientos de auditoría.

El control interno comprende el plan de organización y el conjunto de métodos y procedimientos que aseguren que los archivos están debidamente protegidos, que los registros contables son fidedignos y que la actividad de la entidad se desarrolla eficazmente y se cumplen según las directrices marcadas por la Dirección.

El estudio y evaluación del sistema del control interno incluye dos fases:

•       La revisión preliminar del sistema con objeto de conocer y comprender los procedimientos y métodos establecidos por la entidad. En particular el conocimiento y evaluación preliminar de los sistemas de control interno de la entidad, incluyendo los sistemas informáticos, constituye un requisito mínimo de trabajo que sirve de base a la planificación de la auditoria.

•       La realización de pruebas de cumplimiento para obtener una seguridad razonable de que los controles se encuentran en uso y que están operando tal como se diseñaron.

Debe obtenerse evidencia suficiente y adecuada, mediante la realización y evaluación de las pruebas de auditoría que se consideren necesarias, al objeto de obtener una base de juicio razonable sobre los datos contenidos en las cuentas anuales que se examinan y poder expresar una opinión respecto de las mismas.

La evidencia del auditor es la convicción razonable de que todos aquellos datos contables expresados en las cuentas anuales han sido y están debidamente soportados en tiempo y contenido por los hechos económicos y circunstanciales que realmente han ocurrido. La naturaleza de la evidencia está constituida por todos aquellos hechos y aspectos susceptibles de ser verificados por el auditor, y que tienen relación con las cuentas anuales que se examinan. La evidencia se obtiene por el auditor a través del resultado de las pruebas de auditoría aplicadas según las circunstancias que concurran en cada caso y de acuerdo con el juicio profesional del auditor.

Los papeles de trabajo comprenden la totalidad de los documentos preparados o recibidos por el auditor, de manera que, en conjunto, constituyen un compendio de la información utilizada y de las pruebas efectuadas en la ejecución de su trabajo, junto con las decisiones que ha debido tomar para llegar a formarse su opinión.

El propósito de los papeles de trabajo es ayudar en la planificación y realización de la auditoría, en la supervisión y revisión de la misma y en suministrar evidencia del trabajo llevado a cabo para respaldar la opinión del auditor.

Los papeles de trabajo deben:

•        Recoger la evidencia obtenida en la ejecución del trabajo así como de los medios por los que el auditor ha llegado a formar su opinión.

•       Ser útiles para efectuar la supervisión del trabajo del equipo de auditoría, que el auditor debe efectuar.

•         Ayudar al auditor en la ejecución de su trabajo.

•      Ser útiles para sistematizar y perfeccionar, por la experiencia, el desempeño de futuras auditorias.

•    Hacer posible que cualquier persona con experiencia pueda supervisar en todos sus aspectos, la situación realizada.

Puede decirse, en términos generales, que los papeles deben prepararse a medida que se completa el trabajo de la auditoría, y han de ser lo suficientemente claros para permitir a un auditor sin previo conocimiento de la auditoría en cuestión seguir las incidencias del trabajo y comprobar que la auditoría se ha realizado conforme a lo establecido en las Normas Técnicas.

RESUMEN

El tema 8 ha seguido las pautas siguientes: Primeramente se ha tratado de clarificar la fase primera, que consiste en la identificación de los datos personales, necesaria para desenvolver y confeccionar la política de seguridad que se ha de seguir.

La segunda fase ha consistido en desarrollar el nivel y medidas de seguridad a aplicar. Efectivamente el nivel de seguridad a aplicar en la auditoría es medio como así dispone el reglamento de la LOPD.

Ya en el tercer epígrafe, la tercera fase, que versa sobre la entrega del informe de auditoría, el cual deberá identificar las faltas que sean observadas, proponer medidas correctoras e incluir encargos por parte del equipo auditor.

Y por último en el epígrafe 4 se ha analizado la ejecución de la auditoría como fase 4º del proceso de auditoría. Todo para determinar, en fin, los medios y actuaciones que han de ser utilizados y aplicados por los auditores independientes.

AUTOEVALUACIÓN TEMA 8

1. Respecto de la recogida de información el auditor deberá recopilarla sobre:

  • El grado de mantenimiento y cumplimiento del documento de seguridad, en especial de los apartados “Funciones” y “Obligaciones del personal”
  • El consentimiento del afectado en la recogida de los datos
  • Los registros
  • La información que quiera aportar la entidad auditada

2. La auditoría se realizará:

  • De forma anual
  • De forma bienal
  • De forma trienal
  • De forma mensual

3. Son ficheros de nivel alto:

  • Los que contengan o se refieran a datos recabados para fines relacionados con la seguridad social
  • Los que contengan datos derivados de actos relacionados con la violencia
  • Los que se refieran a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual
  • Ninguno de los anteriores

TEMA 9 EL INFORME DE LA AUDITORÍA

9.1 CARACTERÍSTICAS DEL INFORME DE LA AUDITORÍA

El informe se puede considerar como el producto final, resultado de la evaluación realizada.

La estructura dependerá de los objetivos, pero un informe de auditoría deberá constar de las siguientes partes:

- En la introducción se explican los antecedentes y cómo surgió el encargo, y en ese lugar o en otro capítulo se han de mentar los objetivos, el alcance o ámbito y profundidad.Todo ello para que se pueda confirmar que se han cumplido, y descripción de los entornos auditados para que se pueda evidenciar que se han cumplido todos los centros, plataformas y sistemas objeto de auditoría.

En esta parte introductoria se pueden comentar la sistemática de evaluación de riesgos usada, así como los estándares usados para contraste.Tanto si son internos como si nos basamos en COBIT, ISO 17799 (ISO 27002 ahora) u otros, es recomendable copiar los párrafos de los objetivos basados para sustentar las recomendaciones.

-Además se recogerá el compromiso de confidencialidad, que ocasionalmente se ha de firmar de forma expresa antes de iniciar el trabajo, y que debe figurar en la propuesta de trabajo en todo caso. Se ha de indicar su confidencialidad, y entregarlos sólo a los que se haya indicado por quienes hayan encargado el trabajo y en el formato y por la vía indicados: ejemplo de ello puede ser un CD con clave y en mano.

-También el índice de contenido.

- De la misma forma las conclusiones y resumen para la dirección (y además para el Comité de Auditoría de Seguridad de Sistemas de Información de Dirección, según sea aplicable), que puede ir en un documento aparte. En el caso de que vaya en el propio informe se incluye al principio para que se encuentre pronto al leerlo. De todas formas no ha de incluir ningún concepto técnico, ya que cualquiera debe entenderlo y estar orientado al negocio.

- Cuerpo: generalmente por área de responsabilidad (informe separado por entidad jurídica si el trabajo ha abarcado varias compañías de un grupo, aunque con procesos comunes), con la facilidad de analizar y distribuirlo parcialmente por parte del cliente, así como el Plan de Acción de cada una de las tareas. Es necesario en cada caso tener en cuenta la estructura más adecuada, como son las ubicaciones y centros en cuanto a la seguridad física, por segmentos de redes; y por plataformas tecnológicas los aspectos técnicos: UNIX, WINDOWS SERVER 2003, z/OS …  o por paquetes de aplicación o ERPs: META4, SAPR/3…

El contenido hace referencia a verificaciones realizadas y resultado, dando lugar a

Recomendaciones si hay incumplimientos o posibles mejoras.

El Plan de Acción recogerá las recomendaciones que han figurado al final de cada capítulo.

- Limitaciones, si existen. Posibles agradecimientos, que pueden ir dentro de Conclusiones y que son generales y no referidos a cada persona.

- Metodología y estándares usados.

- Anexos, que puede recoger los aspectos, documentos o listas necesarios para entender el informe.

En cada Área se recogen los puntos que suponen incumplimiento o que pueden ser objeto de mejora, indicando en qué consiste la debilidad o la posible mejora de control, y en el caso concreto de los riesgos intentando medirlos, explicando qué no se cumple, la importancia en el caso de que no sea obvia, y al final de cada capítulo las recomendaciones, pudiendo cada una referirse a varios puntos de los indicados.Al final del informe incluimos cuadros de recomendaciones que proporcionen el análisis y la asignación de prioridades para perfilar el Plan deAcción, y se indician por cada punto:

•   El riesgo estimado: alto, medio o bajo.

•   El plazo de implantación sugerido: corto, medio o largo.

•   El posible coste asociado: bajo, medio o alto.

•   Dificultad de implantación estimada, si es baja, media o alta.

En el caso de diagnósticos o auditorías de datos personales se separan en cuadros diferenciados lo que es exigible por el Reglamento (o por la LOPD en su caso), y lo que es deseable para incrementar el nivel de control.

Con ello, la entidad cliente debería decidir concentrar sus energías y recursos para sobre todo solucionar los puntos exigibles que con un riesgo alto y plazo corto, es decir, importantes y urgentes, tengan dificultad y coste bajos: a veces es variar un parámetro

o cambiar la contraseña de un sistema si se ha dejado la que había por defecto, o llevar soportes a otra ubicación, y con ello se puede ganar mucho en seguridad.

Una auditoría de seguridad por regla general no se referirá a un plazo histórico concreto, salvo que se investigue algún hecho.

El informe en su primera versión, y después de las revisiones internas cruzadas por parte de los propios auditores, será el borrador a comentar con los auditados, que posiblemente quieran revisar con cierta profundidad.

Volviendo al contenido, los auditados suelen buscar un informe lo más benigno posible, mientras que los auditores se proponen llegar a un informe exacto y útil; estos puntos de vista a veces no coinciden y crean algún choque en la auditoría y sobre todo en la discusión del informe, pero si se han recogido evidencias y el análisis ha sido adecuado no existirán problemas.

En algunos casos los informes se han usado para comparar la seguridad de diferentes delegaciones, sucursales o empresas de un mismo grupo, o bien filiales de una multinacional en distintos países, pero si los entornos no son homogéneos y los sistemas de evaluación de riesgos equiparables, las comparaciones pueden no ser muy útiles, y llegar a resultados distorsionados.

Con frecuencia, quienes han pedido la auditoría quieren conocer la calificación respecto a seguridad, además de disponer de un informe complementario o resumen en términos no técnicos; quieren saber si la entidad está aprobada en seguridad, así como los riesgos más destacados. Es necesario, por tanto, diferenciar, en función del riesgo: puntos muy graves, graves, mejorables... u otra clasificación incluso numérica, o establecer algunas métricas de seguridad, y clasificar los puntos según su importancia y prioridad.

Otro aspecto a destacar es que en ocasiones, en el caso de auditoría externa, los clientes que no conocen la filosofía y los límites habituales de la auditoría, sobreentienden que una vez finalizada ésta con la entrega del informe definitivo los auditores daremos una asistencia más propia de consultores, y que incluso llevaremos a cabo implantaciones, redactaremos normas, o que al menos en los informes especificaremos con detalle las soluciones.

Un paso más en la elaboración de informes podría ser su generación casi automática, sobre todo de los aspectos más fáciles de valorar, con independencia de que sean imprescindibles la revisión y adaptación por parte del auditor, que en definitiva será quien se responsabilice de los informes.

A los clientes les gustaría tener un resumen de situación que recoja los riesgos cuantificados numéricamente y una calificación respecto a cada grupo de verificaciones, así como una global. Suelen ser varias las inquietudes:

- Lo primero, disponer de valoraciones dentro de una escala, y no sólo de un modo descriptivo o cualitativo, sino, por ejemplo, de 1 a 5, o de 0 a 10.

- Poder comparar con otras entidades similares: benchmarking, así como con otras delegaciones, otros países en casos de multinacionales, u otras empresas del grupo.

- Hacer comparaciones con la propia entidad referidas a periodos anteriores, para ver la evolución. Esto es especialmente difícil cuando la entidad auditora ha sido diferente y aparecen puntos nuevos que los anteriores no habían recogido o no con el mismo peso.

9.2 CASO PRÁCTICO DEAUDITORÍA

La Entidad Y, cuyo crecimiento y expansión son considerables, depende de procesos y sistemas basados en la tecnología, y se han producido algunos ataques e interrupciones de servicio. En una reunión de Comité de Dirección se discute si crear la función de auditoría de sistemas de información interna o contratar una externa, y finalmente se aprueba la segunda opción. En ese sentido se encarga a uno de los asistentes la elaboración de un informe con estos puntos:

- Objetivos y alcance de la auditoría de seguridad. Áreas convenientes a abarcar.

- Criterios para seleccionar auditores externos.

- Perfil deseable de quienes vayan a realizar el trabajo.

- Si sería conveniente aprovechar y que se haga una revisión relacionada con datos personales, que no se ha hecho nunca auditoría, y hay ficheros de nivel superior al básico, y si valdría el mismo informe general o mejor uno específico.

- Quiénes podrían ser los coordinadores e interlocutores en ese proceso de auditoría.

RESUMEN

El tema 9 ha tratado de que se asimile el concepto de informe de auditoría, exponiendo las características básicas del mismo.

Hemos aludido a las partes que tiene un informe de auditoría, como es la introducción, el compromiso de confidencialidad, el índice de contenido, así como las conclusiones y resúmenes para la conclusión y el cuerpo.

Ya en el epígrafe 2 hemos confeccionado un caso práctico relativo a la auditoria de seguridad de carácter externo. Y se han de responder a cuestiones, como son determinar los objetivos y alcance de la auditoria de seguridad, los criterios que se han tenido en cuenta para seleccionar los auditores externos, o el perfil de quien van a realizar la auditoría externa, etcétera.

AUTOEVALUACIÓN TEMA 9

1. ¿En qué parte del informe de auditoría se pueden comentar la sistemática de evaluación de riesgos usada?

  • En el índice
  • En las conclusiones
  • En el cuerpo
  • En la introducción

2. El compromiso de confidencialidad:

  • Se puede firmar presuntamente antes de iniciar el trabajo
  • Se ha de firmar expresamente antes de iniciar el trabajo
  • Puede no figurar en la propuesta de trabajo
  • b y c son correctas

TEMA 10 VIDEOVIGILANCIA

10.1 NORMAS PARA EL TRATAMIENTO Y CAPTACIÓN DE IMÁGENES

Las normas para el tratamiento y captación de imágenes, sobre la base de la LOPD y su reglamento de desarrollo, tiene su regulación en la Instrucción 1/2006 de 8 de noviembre, de la Agencia Española de Protección de Datos, sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras.

El incremento que últimamente están experimentando las instalaciones de sistemas de cámaras y videocámaras con fines de vigilancia ha generado numerosas dudas en lo relativo al tratamiento de las imágenes que ello implica. Además es un sector que ofrece múltiples medios de tratar datos personales como pueden ser los circuitos cerrados de televisión, grabación por dispositivos «webcam», digitalización de imágenes o instalación de cámaras en el lugar de trabajo. Precisamente la última Conferencia Internacional de Autoridades de Protección de Datos, celebrada en Londres los pasados días 1 a 3 de noviembre de 2006, ha girado en torno a la necesidad de adecuar la videovigilancia a las exigencias del derecho fundamental a la protección de datos.

Todo esto hace necesario que, en ejercicio de la competencia que le atribuye el artículo 37.1.c) de la LOPD, la Agencia Española de Protección de Datos dicte una Instrucción para adecuar los tratamientos de imágenes con fines de vigilancia a los principios de dicha Ley Orgánica y garantizar los derechos de las personas cuyas imágenes son tratadas por medio de tales procedimientos. El marco en que se mueve la presente Instrucción es claro. La seguridad y la vigilancia, elementos presentes en la sociedad actual, no son incompatibles con el derecho fundamental a la protección de la imagen como dato personal, lo que en consecuencia exige respetar la normativa existente en materia de protección de datos, para de esta manera mantener la confianza de la ciudadanía en el sistema democrático. 

Las imágenes se consideran un dato de carácter personal, en virtud de lo establecido en el artículo 3 de la LOPD y su Reglamento, que considera como dato de carácter personal la información gráfica o fotográfica. En relación con la instalación de sistemas de videocámaras, será necesario ponderar los bienes jurídicos protegidos. Por tanto, toda instalación deberá respetar el principio de proporcionalidad, lo que en definitiva supone, siempre que resulte posible, adoptar otros medios menos intrusivos a la intimidad de las personas, con el fin de prevenir interferencias injustificadas en los derechos y libertades fundamentales. En consecuencia, el uso de cámaras o videocámaras no debe suponer el medio inicial para llevar a cabo funciones de vigilancia por lo que, desde un punto de vista objetivo, la utilización de estos sistemas debe ser proporcional al fin perseguido, que en todo caso deberá ser legítimo. En cuanto a la proporcionalidad, pese a ser un concepto jurídico indeterminado, la Sentencia del Tribunal Constitucional 207/1996 determina que se trata de «una exigencia común y constante para la constitucionalidad de cualquier medida restrictiva de derechos fundamentales, entre ellas las que supongan una injerencia en los derechos a la integridad física y a la intimidad, y más en particular de las medidas restrictivas de derechos fundamentales adoptadas en el curso de un proceso penal que viene determinada por la estricta observancia del principio de proporcionalidad. En este sentido, hemos destacado que, para comprobar si una medida restrictiva de un derecho fundamental supera el juicio de proporcionalidad, es necesario constatar si cumple los tres siguientes requisitos o condiciones: «si tal medida es susceptible de conseguir el objetivo propuesto (juicio de idoneidad); si, además, es necesaria, en el sentido de que no exista otra medida más moderada para la consecución de tal propósito con igual eficacia (juicio de necesidad); y, finalmente, si la misma es ponderada o equilibrada, por derivarse de ella más beneficios o ventajas para el interés general que perjuicios sobre otros bienes o valores en conflicto (juicio de proporcionalidad en sentido estricto)».

Asimismo la proporcionalidad es un elemento fundamental en todos los ámbitos en los que se instalen sistemas de videovigilancia, dado que son numerosos los supuestos en los que la vulneración del mencionado principio puede llegar a generar situaciones abusivas, tales como la instalación de sistemas de vigilancia en espacios comunes, o aseos del lugar de trabajo. Por todo ello se trata de evitar la vigilancia omnipresente, con el fin de impedir la vulnerabilidad de la persona. Se excluyen de la presente Instrucción los datos personales grabados para uso o finalidad doméstica de conformidad con lo establecido en el artículo 2 a) de la LOPD, si bien en el sentido estricto señalado por el Tribunal de Justicia de las Comunidades Europeas en la Sentencia de 6 de noviembre de 2003, asunto Lindqvist, que al interpretar la excepción prevista en el artículo 3 apartado 2 de la Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, indica que únicamente contempla «las actividades que se inscriben en el marco de la vida privada o familiar de los particulares» y no otras distintas. En la misma línea se pronuncia el Dictamen 4/2004, adoptado por el Grupo de Trabajo creado por el Artículo 29 de la Directiva 95/46/CE, con fecha 25 de noviembre de 2002.Además, la Instrucción tampoco se aplicará al tratamiento de imágenes cuando éstas se utilizan para el ejercicio de sus funciones por parte de las Fuerzas y Cuerpos de Seguridad, que está cubierto por normas específicas, aunque estos tratamientos también deberán cumplir las garantías establecidas por la LOPD. Por otro lado, la Instrucción pretende adecuar los tratamientos a los criterios marcados por la jurisprudencia del Tribunal Constitucional al considerar que el tratamiento de datos personales no exige la conservación de los mismos, sino que basta su recogida o grabación. En el mismo sentido se han pronunciado las legislaciones que sobre esta materia han adoptado los distintos Estados miembros de la Unión Europea, cumpliendo así el mandato contenido en la Directiva 95/46/CE.

Por último, las plenas garantías de protección de los datos personales, así como las peculiaridades de su tratamiento exige una regulación concreta evitando la aplicación de un conjunto de reglas abstractas y dispersas. Por ello, a la hora de regular la legitimación del tratamiento de imágenes, la Agencia Española de Protección de Datos, entiende que es requisito esencial la aplicación íntegra del artículo 6.1 y 2 y del artículo 11.1 y 2 de la LOPD, sin perjuicio del estricto cumplimiento de los requisitos que para la instalación de cámaras o videocámaras de vigilancia vengan exigidos por la legislación vigente.Asimismo se regula el contenido del deber de información previsto en el artículo 5 de la misma Ley Orgánica, así como el ejercicio de los derechos a que se refieren los artículos 15 y siguientes de la citada Ley Orgánica. Por descontado, la creación de un fichero de videovigilancia exige su previa notificación a la Agencia Española de Protección de Datos, para la inscripción en su Registro General.

La presente Instrucción se aplica al tratamiento de datos personales de imágenes de personas físicas identificadas o identificables, con fines de vigilancia a través de sistemas de cámaras y videocámaras.

El tratamiento objeto de esta Instrucción comprende la grabación, captación, transmisión, conservación, y almacenamiento de imágenes, incluida su reproducción o emisión en tiempo real, así como el tratamiento que resulte de los datos personales relacionados con aquéllas. Se considerará identificable una persona cuando su identidad pueda determinarse mediante los tratamientos a los que se refiere la presente instrucción, sin que ello requiera plazos o actividades desproporcionados. Las referencias contenidas en esta Instrucción a videocámaras y cámaras se entenderán hechas también a cualquier medio técnico análogo y, en general, a cualquier sistema que permita los tratamientos previstos en la misma.

El tratamiento de los datos personales procedentes de las imágenes obtenidas mediante la utilización de cámaras y videocámaras por las Fuerzas y Cuerpos de Seguridad se regirá por las disposiciones sobre la materia.

No se considera objeto de regulación de esta Instrucción el tratamiento de imágenes en el ámbito personal y doméstico, entendiéndose por tal el realizado por una persona física en el marco de una actividad exclusivamente privada o familiar.

10.2 MEDIDAS DE SEGURIDAD

Según la Instrucción anteriormente aludida, en su artículo 9 se establecen las medidas de seguridad.

En dicho artículo se dice que el responsable deberá adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos y eviten su alteración, pérdida, tratamiento o acceso no autorizado.

Asimismo cualquier persona que por razón del ejercicio de sus funciones tenga acceso a los datos deberá observar la debida reserva, confidencialidad y sigilo en relación con las mismas.

De la normativa se deduce además que todos los ficheros que contengan datos de carácter personal han de adoptar medidas de seguridad de nivel básico.

10.3 FICHEROS DE VIDEOVIGILANCIA

Es un aspecto en el que la postura de la Agencia Española de Protección de Datos no está clara.

En ese sentido hemos de tener en cuenta el Informe Jurídico sobre Videovigilancia en el lugar de trabajo del año 2001 la AEPD señalaba que «aun cuando nos hallemos ante un supuesto en que existan datos de carácter personal, será necesario que dichos datos se encuentren incorporados a un fichero, definido como “todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso”, por el artículo 3.b) de la Ley», revelando que «si los medios de conservación de las imágenes podían considerarse estructurados en el modo al que se ha hecho referencia, el fichero se encontrará sometido a lo dispuesto en la LOPD.

 

De ello se deducía que, de no formar parte de un fichero el tratamiento de esas imágenes, estaba excluido de cualquier obligación exigida por la LOPD. Parece que el criterio de la AEPD ha ido cambiando, más aún en atención a la regulación contenida en la Instrucción 1/2006 en la que distingue, a efectos del régimen jurídico aplicable, la existencia de un fichero, que asimila a los casos en los que se produce la grabación de imágenes, o simplemente de un tratamiento que se producirá por el hecho de que las imágenes sean reproducidas o emitidas en tiempo real.

Así, según se recoge en diferentes Informes Jurídicos de la AEPD:

«En el supuesto de la simple captación de imágenes, sin ningún tipo de grabación, en que dichas imágenes no son objeto de una organización sistemática, con arreglo a criterios que permitan la búsqueda de las mismas a partir de los datos personales de una determinada persona, no puede considerarse la existencia de un fichero a los efectos de la Ley. Asimismo la cámara aunque no grabe, recoge las imágenes, lo que en definitiva supone un tratamiento de datos, según lo dispuesto en el artículo 3.c) de la LOPD, donde se define el tratamiento de datos como “operaciones y procedimientos técnicos de carácter automático o no, que permiten la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias”».

En ese sentido, la utilización de videocámaras con fines de seguridad, que no graban imágenes, constituye un tratamiento de datos que obliga a informar del mismo, pero no genera ningún fichero. La consecuencia inmediata de su consideración o no como fichero es la obligación de su notificación a efectos de inscripción al Registro General de Protección de Datos, a la que se refiere el artículo 7 de la Instrucción 1/2006: «La persona o entidad que prevea la creación de ficheros de videovigilancia deberá notificarlo previamente a la Agencia Española de Protección de Datos, para su inscripción en el Registro General de la misma.Tratándose de ficheros de titularidad pública deberá atarse a lo establecido en el artículo 20 de la LOPD.

A estos efectos, no es fichero el tratamiento consistente exclusivamente en la reproducción o emisión de imágenes en tiempo real». En cuanto al número de ficheros que deben ser declarados y en atención a la finalidad de publicidad del Registro General de Protección de Datos a efectos de garantizar el derecho de consulta de los interesados, no será necesaria la inscripción de un fichero por cada una de las cámaras instaladas, aunque estén ubicadas en distintos lugares, sino que será suficiente la inscripción de un único fichero cuya finalidad sea la de seguridad, constando que los datos se obtienen de distintas cámaras y que hay un único responsable del fichero. La creación, modificación o supresión de ficheros de titularidad pública recordamos que deberá hacerse por medio de disposición general publicada en el Boletín Oficial del Estado o diario oficial correspondiente.

10.4 DERECHOS DE LAS PERSONAS EN ELÁMBITO DE LA VIDEOVIGILANCIA

El artículo 5 de la Instrucción de 2006 dispone que para el ejercicio de los derechos a los que se refieren los artículos 15 y siguientes de la LOPD, de Protección de Datos de Carácter Personal, el afectado o afectada deberá remitir al responsable del tratamiento solicitud en la que hará constar su identidad junto con una imagen actualizada. El ejercicio de estos derechos se llevará a cabo de conformidad con lo dispuesto en la citada Ley Orgánica y su normativa de desarrollo.

El responsable podrá facilitar el derecho de acceso mediante escrito certificado en el que, con la mayor precisión posible y sin afectar a derechos de terceros, se especifiquen los datos que han sido objeto de tratamiento.

El o la interesada al que se deniegue total o parcialmente el ejercicio de los derechos señalados en el párrafo anterior, podrá reclamar su tutela ante el Director de la Agencia Española de Protección de Datos.

En cuanto al lugar donde se ejercitan los derechos, la AEPD en su Informe Jurídico 0437/2007 sobre cuestiones generales, en materia de videovigilancia, muestra que los afectados deberán de dirigirse a la dirección señalada en el cartel informativo a los efectos de poder ejercitar sus derechos, con respecto a lo que no existe ninguna objeción, diciendo a continuación «que coincidirá con el domicilio del responsable, pues así se dispone en el artículo 5 de la citada LOPD, que sigue resultando aplicable a los ficheros creados a partir de las imágenes de las personas».

No parece que esto último sea acorde con lo establecido en el artículo 26 del RDLOPD, incluido en las disposiciones generales sobre el ejercicio de derechos por los interesados, «a menos que en la relación existente con el responsable del tratamiento se prevea precisamente que el encargado atenderá, por cuenta del responsable, las solicitudes de ejercicio por los afectados de sus derechos de acceso, rectificación, cancelación u oposición». Por otra parte, el artículo 5 tampoco exige expresamente esta coincidencia siendo obligatorio informar de la dirección del responsable del tratamiento o, en su caso, de su representante, de forma que si no coincide dicha dirección con el lugar donde se puede dirigir el interesado para el ejercicio de sus derechos habrá de incluirse también ésta, sin perjuicio de que pueda ser la dirección de un encargado del tratamiento cuando así se haya establecido contractualmente.

 

RESUMEN

El presente tema 10 ha versado sobre la videovigilancia, haciéndose alusión en primer término a la normativa de aplicación, que concretamente es una Instrucción 1/2006, de 8 de noviembre, de la Agencia Española de Protección de Datos sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras.

Seguidamente se han aludido las medidas de seguridad, ya mencionadas en otro tema, que son de aplicación a la videovigilancia.

Asimismo el epígrafe 3 ha tratado de la consideración como ficheros de datos de carácter personal a las imágenes producidas por la videovigilancia; y por último se ha hecho alusión, sobre la base de la instrucción ya citada, de los derechos de las personas en este ámbito.

AUTOEVALUACIÓN TEMA 10

1. Señale la respuesta incorrecta:

  • La Instrucción 1/2006 se aplica al tratamiento de datos personales de imágenes de personas físicas identificadas o identificables, con fines de vigilancia a través de sistemas de cámaras y videocámaras
  • Las referencias contenidas en la Instrucción 1/2006 a videocámaras y cámaras se entenderán hechas también a cualquier medio técnico análogo y, en general, a cualquier sistema que permita los tratamientos previstos en la misma
  • El tratamiento de los datos personales procedentes de las imágenes obtenidas mediante la utilización de cámaras y videocámaras por las Fuerzas y Cuerpos de Seguridad se regirá por la presente Instrucción 1/2006
  • El tratamiento objeto de esta Instrucción comprende la grabación, captación, transmisión, conservación, y almacenamiento de imágenes

2. Respecto de los ficheros:

  • Cuando se trate de imágenes de videovigilancia no es necesario crear un fichero de datos
  • Cuando se trate de imágenes de videogilancia será necesario crear un fichero de datos
  • Los ficheros de videovigilancia no se someterán a la LOPD
  • b y c son correctas

TEMA 11 INTERNET Y LA PROTECCIÓN DE DATOS

11.1 REDES SOCIALES

Hemos de tener en cuenta en el presente epígrafe que, del texto de la LOPD, y de la interpretación que del mismo hace la justicia, así como la Administración, concretada en la Agencia Española de Protección de Datos, se puede sacar un perfil homogéneo que establece la relación que existe entre las redes sociales, ese nuevo fenómeno en la era digital, y la LOPD.

Se puede decir que las redes sociales se han convertido en un instrumento que se utiliza prácticamente a diario por los usuarios de Internet.Yde forma paralela ha surgido la disyuntiva de si determinadas actuaciones en el ámbito de las redes sociales cumple la ley de protección de datos española.

Y es que frecuentemente ocurre que un usuario sube una imagen o un vídeo de otra persona a la red social, o bien información de cualquier tipo, suponiendo esto una difusión totalmente libre. En ese sentido laAgencia Española de Protección de Datos considera esta acción, como ejemplo puesto, como una actividad de uso doméstico, legal a todos los efectos.

Eso sí, los límites a este derecho concretado como decimos en un uso doméstico se encuentran en los supuestos en los que una empresa cuelga una foto o información, haciéndolo con intención de lucrarse, siendo su perfil abierto y pudiendo cualquiera acceder a todos los datos. O bien cuando la información colgada está relacionada con elementos relativos a la intimidad de las personas, estando éstos más protegidos. Véase en este caso los supuestos de revelación de información sobre la orientación sexual, la afinidad política o ideas religiosas. En estos casos se vulnera el derecho fundamental a la intimidad de personas terceras.

Hay determinadas redes sociales como Facebook o Linkedin donde se avisa al usuario de que utilizará la información como consideren oportuno, desde el momento en que aceptamos las condiciones de uso.

Suele ser normal por otra parte que la red social se reserve el derecho a explotar y difundir ese contenido, imagen o archivo que se haya subido a la red. Con lo cual nunca han de ser archivos confidenciales, privados o protegidos por otros derechos.

11.2 CORREO ELECTRÓNICO

En el presente epígrafe hemos de tener en cuenta que la LOPD define el dato de carácter personal como cualquier información concerniente a personas físicas identificadas o identificables. Respecto del correo electrónico la LOPD no regula expresamente esta figura. En este sentido hemos de decir que para que haya un dato de carácter personal son necesarios dos elementos: primero, la información; y segundo, la persona a la que concierne dicha información. La dirección electrónica puede tener cualquier formar y puede carecer de significado o poseerlo. Aún estando en este último caso, la identificación que resulte de ella puede ser la del titular o la de cualquier otra persona distinta, puesto que nada impide la utilización de nombre ajenos o distintos al del titular. Así, no se entiende que la información por sí sola que se desprende de la dirección electrónica pueda tener carácter de dato personal.

A pesar de lo dicho, la visión que tiene la Agencia Española de Protección de Datos es contraria. Sin perjuicio de entender que cuando la dirección de e-mail no coincide con el nombre y apellido del titular no puede ser considerada como dato de carácter personal, en el caso de que exista esa coincidencia la Agencia Española de Protección de Datos dice en su Memoria de 2000 que “En el supuesto de direcciones electrónicas la información está constituida por un conjunto de signos que cuando permiten la vinculación directa o indirecta con una persona física la convierte en un dato de carácter personal”. Por todo ello, se puede decir que el criterio seguido por la Agencia Española de Protección de Datos es de interés, ya que se le aplicará la LOPD, y ello supondrá que las empresas que gestionan bases de datos que incluyen e-mail, deberán aplicar una serie de cautelas en cuanto al tratamiento de dicho tipo de información, puesto que podrían ser sancionadas con multas que podrían ascender hasta los 600.000 euros. También, respecto de la consideración del correo electrónico como dato personal ha de hacerse referencia a un informe de la Agencia Española de Protección de Datos, de 15 de noviembre de 2005 que reproducimos a continuación:

“La primera de las cuestiones a resolver en este caso estriba en determinar si la dirección de correo electrónico es un dato de carácter personal"

La dirección de correo electrónico se forma por un conjunto de signos o palabras libremente elegidos generalmente por su titular, con la única limitación de que dicha dirección no coincida con la correspondiente a otra persona. Esta combinación podrá tener significado en sí misma o carecer del mismo, pudiendo incluso, en principio, coincidir con el nombre de otra persona distinta de la del titular.

De lo antedicho se desprende que podemos referirnos a dos supuestos esenciales de dirección de correo electrónico, atendiendo al grado de identificación que la misma realiza con el titular de la cuenta de correo:

El primero de ellos se refiere a aquellos supuestos en que voluntaria o involuntariamente la dirección de correo electrónico contenga información acerca de su titular, pudiendo esta información referirse tanto a su nombre y apellidos como a la empresa en que trabaja o su país de residencia (aparezcan o no estos en la denominación del dominio utilizado). En este supuesto, a nuestro juicio, no existe duda de que la dirección de correo electrónico identifica, incluso de forma directa al titular de la cuenta, por lo que en todo caso dicha dirección ha de ser considerada como dato de carácter personal. Ejemplos característicos de este supuesto serían aquellos en los que se hace constar como dirección de correo electrónico el nombre y, en su caso, los apellidos del titular (o sus iniciales), correspondiéndose el dominio de primer nivel con el propio del estado en que se lleva a cabo la actividad y el dominio de segundo nivel con la empresa en que se prestan los servicios(pudiendo incluso delimitarse el centro de trabajo en que se realiza la prestación).

Un segundo supuesto sería aquel en que, en principio, la dirección de correo electrónico no parece mostrar datos relacionados con la persona titular de la cuenta (por referirse, por ejemplo, el código de la cuenta de correo a una denominación abstracta o a una simple combinación alfanumérica sin significado alguno). En este caso, un primer examen de este dato podría hacernos concluir que no nos encontramos ante un dato de carácter personal.

Sin embargo, incluso en este supuesto, la dirección de correo electrónico aparecerá necesariamente referenciada a un dominio concreto, de tal forma que podrá procederse a la identificación del titular mediante la consulta del servidor en que se gestione dicho dominio, sin que ello pueda considerarse que lleve aparejado un esfuerzo desproporcionado por parte de quien procede a la identificación. Por todo ello se considera que también en este caso, y en aras de asegurar, en los términos establecidos por la Jurisprudencia de nuestro Tribunal Constitucional, la máxima garantía de los Derechos Fundamentales de las personas, entre los que se encuentra el derecho ala “privacidad”, consagrado por el artículo 18.4 de la Constitución, será necesario que la dirección de correo electrónico se encuentre amparada por el régimen establecido en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal.Junto con estos dos supuestos, debe añadirse, evidentemente, que si en un fichero junto con la dirección de correo electrónico aparecieran otros datos que permitieran la identificación del sujeto (tales como su nombre y apellidos, su número de teléfono o su domicilio, conjunta o separadamente), la identificación sería absoluta y no se plantearía duda de que nos encontramos ante datos de carácter personal.”

Por tanto de todo ello se deduce que la dirección de correo electrónico, e-mail profesional, de empresa o corporativo de los trabajadores es un dato de carácter personal.

En cuanto a la posible obligación de facilitar las direcciones de correo electrónico de los trabajadores a las secciones sindicales debidamente constituidas en la empresa, cabe citar el Informe 0101/2008 de 28 de mayo, en el que se decía:

“En primer lugar es preciso indicar que, la comunicación de los datos a los que se refiere la consulta por parte de la Universidad al sindicato, supondrá la existencia de una cesión o comunicación de estos datos, al definir el artículo 3 i) de la Ley Orgánica la cesión de datos como “Toda revelación de datos realizada a una persona distinta del interesado”.

Así las cosas, se puede decir que el régimen legal de la cesión de datos aparece recogido en el artículo 11.1 de la LOPD, disponiendo que “los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado”. Esta regla de consentimiento sólo se verá exceptuada en los supuestos contemplados en el artículo 11.2, entre los que cabe destacar aquellos casos en que una norma con rango de Ley dé cobertura a la cesión.

Según la Sentencia del Tribunal Constitucional 281/2005, donde se analiza el contenido del derecho fundamental a la Libertad Sindical establece que:

“(...)3.Así el derecho fundamental se integra, no sólo por su contenido esencial, sino también por ese contenido adicional y promocional, de modo que los actos contrarios a este último son también susceptibles de infringir el art. 28.1 CE (entre tantas otras, por ejemplo) (....)

En definitiva, las organizaciones sindicales tienen derecho a que el empresario asuma las obligaciones y cargas que las normas legales o pactadas o sus previos actos le impongan para promocionar la eficacia del derecho de libertad sindical en la empresa (contenido adicional) aunque, conforme a lo dicho, al mismo tiempo, no pueden demandar actos positivos de esa naturaleza promocional si no existe una fuente generadora de tal obligación. Claro que no puede confundirse la ausencia de una obligación promocional que grave al empresario fuera de aquellos ámbitos con la posibilidad de que éste adopte decisiones de carácter meramente negativo, disuasorias o impeditivas del desarrollo del derecho, dirigidas únicamente a entorpecer su efectividad.(...)

(..)4.Pues bien, como expresión de la acción sindical, el derecho a informar a los representados, afiliados o no, forma parte del contenido esencial del derecho fundamental, puesto que la transmisión de noticias de interés sindical, el flujo de información entre el sindicato y los trabajadores, es el fundamento de la participación, permite el ejercicio cabal de una acción sindical y propicia el desarrollo de la democracia y del pluralismo sindicales. En definitiva, constituye un «elemento esencial del derecho fundamental a la libertad sindical» (STC 94/1995, de 19 de junio [RTC 1995, 94], F. 3), una expresión central, por tanto, de la acción sindical y, por ello, del contenido esencial del derecho fundamental.(...)

El legislador no se limita a establecer las prescripciones reseñadas, expresivas de la garantía y tutela legal de la vertiente informativa del contenido esencial de la libertad sindical. Por el contrario contempla también obligaciones de terceros dirigidas a la promoción de ese derecho (contenido adicional del derecho a la información sindical), esto es, acciones positivas favorecedoras (promocionales) de la comunicación entre el sindicato y los trabajadores. Lo hace imponiendo cargas al empresario, como la de facilitar en determinados casos a las secciones sindicales de los sindicatos más representativos o con implantación en la empresa ciertos medios materiales, instrumentales para el mejor desenvolvimiento de la actividad sindical y en particular de la difusión de la información sindical.Así ocurre con los derechos a un tablón de anuncios y a un local adecuado en aquellas empresas o centros de trabajo con más de doscientos cincuenta trabajadores, regulados en los apartados a) y c) del art. 8.2 LOLS.

Se concluye, en suma, que la información sindical forma parte del contenido esencial del derecho fundamental, que el sindicato puede hacerla efectiva a través de los cauces previstos en la ley y también por medio de otros que libremente adopte siempre que respete la normalidad productiva, y que el empresario tiene que asumir ciertas cargas tasadas en la Ley y dirigidas a hacer efectivo el hecho sindical informativo.(...)

En conclusión, sobre el empresario pesa el deber de mantener al sindicato en el goce pacífico de los instrumentos aptos para su acción sindical siempre que tales medios existan, su utilización no perjudique la finalidad para la que fueron creados por la empresa y se respeten los límites y reglas de uso que a continuación enunciaremos, cuyo cumplimiento deberá examinarse en cada caso. En tales condiciones no puede negarse la puesta a disposición, ni puede unilateralmente privarse a los sindicatos de su empleo, debiendo acudirse al auxilio judicial si con ocasión de su utilización el sindicato llega a incurrir en excesos u ocasionar perjuicios, a fin de que aquéllos sean atajados y éstos, en su caso, compensados.”

El Tribunal Constitucional viene a señalar que el desarrollo legislativo del artículo 28.1 de la Constitución Española previsto en la Ley 11/1985, de 2 de agosto, Ley Orgánica de Libertad Sindical, no agota las posibilidades de los sindicatos para difundir información sindical y por ello en el contexto de la sociedad de la información alcanzará a la disposición de correos electrónicos en aquellas empresas que dispongan de ellos.

Así parece confirmarse en la Sentencia analizada del Tribunal Constitucional que determina “En los lugares de trabajo ese contenido esencial informativo tiene ciertas concreciones en la legislación sindical. Vienen a especificarse fundamentalmente en el art. 8.1, b) y c), LOLS, según el cual los trabajadores afiliados a un sindicato podrán celebrar reuniones, previa notificación al empresario, y distribuir información sindical fuera de las horas de trabajo y sin perturbar la actividad normal de la empresa, así como recibir la información que les remita su sindicato. El legislador debe garantizar y garantiza con esas previsiones normativas la libre difusión de este tipo de comunicaciones sindicales en la empresa. En el bien entendido que, como subrayó nuestra STC 94/1995, de 19 de junio, F. 4, que existan esas concreciones legislativas de los derechos de información de los sindicatos «en modo alguno autoriza a concluir que sólo a través de ellos pueden comunicarse con los trabajadores; por el contrario, siempre que la fórmula elegida para transmitir información se desarrolle fuera de las horas de trabajo y no perturbe la actividad normal de la empresa, constituye un legítimo ejercicio del derecho fundamental» (STC 94/1995, de 19 de junio, F. 4).Aquella regulación legal, por tanto, no agota las posibilidades de ejercicio del derecho a la información sindical, comprendido en el contenido esencial del art. 28.1 CE.”

En virtud de todo lo dispuesto, podemos concluir que el artículo 28.1 de la Constitución Española, habilita a que se comuniquen las direcciones de correo electrónico de los trabajadores a las secciones sindicales mas representativas, estando por tanto la cesión amparada en el artículo 11.2 a) de la LOPD.

Si bien el Sindicato al recibir dicha comunicación deberá cumplir con la Ley Orgánica 15/1999, pues así lo dispone el artículo 11.5 de la ya citada Ley “Aquel a quien se comuniquen los datos de carácter personal se obliga, por el solo hecho de la comunicación, a la observancia de la presente Ley”.

Por tanto, el Sindicato será responsable del fichero donde consten las direcciones de correo electrónico, fichero que deberá de notificar al Registro General de Protección de Datos. Asimismo deberá de informar a los trabajadores en los términos del artículo

5.1 LOPD, así como permitir el ejercicio de los derechos de acceso, rectificación, cancelación y oposición de los trabajadores respecto de sus datos, además de implantar las medidas de seguridad que en su caso correspondan.

No obstante, cabe plantearse la existencia de alternativas tecnológicas que permitan al empresario satisfacer las obligaciones derivadas de la sentencias 281/2005 sin que se efectúe una comunicación de datos de carácter personal al Sindicato, eximiéndole por tanto del cumplimiento de las obligaciones de la LOPD, por el hecho de ser cesionario.

A tal efecto cabe implantar las llamadas listas de distribución, esta tipología de servicio de envío de correo electrónico ofrece posibilidades que permitirían materializar los objetivos que persigue la citada sentencia del Alto Tribunal evitando realizar una comunicación de datos personales.

En primer lugar, estas listas pueden funcionar mediante el envío de correo con información a una dirección genérica o institucional del tipo informació[email protected] organizacion.es, por tanto el remitente no accede a un solo dato personal.Asimismo, mediante una adecuada programación pueden incorporar todos y cada uno de los elementos que permiten cumplir con las distintas disposiciones vigentes en materia de protección de datos:

a) Información en la recogida.Tanto en la identificación del asunto del mensaje como a través de un pié estandarizado permiten incluir todas y cada una de las indicaciones del art. 5 LOPD. Es más, en la activación de la lista, el responsable del fichero podría remitir un primer mensaje informativo.

b) Consentimiento. De la STC 281/2005, y de los distintos extremos citados en este informe, se deduce que el tratamiento consistente en realizar envíos a una lista de correo que resulta amparado por el legítimo ejercicio de un derecho fundamental no requeriría consentimiento de los afectados, esto es de los trabajadores concernidos por los envíos.

c) Oposición al tratamiento. Sin perjuicio de lo anterior el ejercicio del derecho de oposición puede ejercerse en este tipo de listas mediante una simple instrucción informática automatizada que permite solicitar la baja en ellas.

d) Derechos de acceso, rectificación y cancelación. La propia dinámica del funcionamiento de una lista de distribución permite gestionar estos derechos, -incluso de modo automatizado-, de un modo ágil a través de comunicaciones telemáticas con el administrador de la lista.

En este caso, el sindicato únicamente conocerá una dirección genérica y la gestión de dicha lista recaerá en el empresario, debiendo éste de cumplir con la LOPD dado que es él quien realiza el tratamiento.”

RESUMEN

El tema 11 ha tratado de determinar los desafíos que tiene la legislación de protección de datos española y su desarrollo de cara a afrontar la revolución tecnológica que supone internet.

En ese sentido se ha hecho referencia a la relación entre redes sociales y la protección de los datos que se cuelgan en las mismas, teniendo que existir limitaciones a la posibilidad de cargar información, ya sea en vídeo, foto u otro dato, de otra persona sin su consentimiento; así como también nos hemos referido a la especial protección del menor en este contexto.

Ya en el segundo epígrafe hemos hablado del correo electrónico, considerado, sobre la base de la ley, como dato personal y por tanto amparado por la LOPD. Y dicho esto, también hemos abordado ladisyuntiva que supone la cesión de correos electrónicos por parte de las empresas donde desempeñan su función los trabajadores, hacia las secciones sindicales con el objeto de informar a los trabajadores.

AUTOEVALUACIÓN TEMA 11

1. ¿Por qué se considera dato personal el correo electrónico?

  • Porque con él se puede enviar información personal
  • Porque permite su información la vinculación directa o indirecta con una persona física
  • Porque una dirección de correo siempre tiene significado
  • b y c son falsas

TEMA 12 IMPLANTACIÓN EN LA EMPRESA

12.1 Inscripción de Ficheros

El Registro General de Protección de Datos es el órgano de la Agencia Española de Protección de Datos al que corresponde velar por la publicidad de la existencia de los ficheros y tratamientos de datos de carácter personal, con miras a hacer posible el ejercicio de los derechos de información, acceso, rectificación, oposición y cancelación de datos regulados en los artículos 14 a 17 de la Ley Orgánica 15/99, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Son objeto de inscripción en el Registro General de Protección de Datos:

  • Los ficheros de las Administraciones Públicas
  • Los ficheros de titularidad privada
  • Las autorizaciones de transferencias internacionales de datos de carácter personal con destino a países que no presten un nivel de protección equiparable al que presta la LOPD a que se refiere el art. 33.1 de la citada Ley.
  • Los códigos tipo , a que se refiere el artículo 32 de la LOPD.
  • Los datos relativos a los ficheros que sean necesarios para el ejercicio de los derechos de información, acceso, rectificación, cancelación y oposición.

 

Para realizar la inscripción inicial del fichero y, en su caso, la posterior modificación o supresión de la inscripción, se encuentra disponible en la Sede Electrónica de la Agencia Española de Protección de Datos el Servicio Electrónico NOTA a través del que deberán efectuarse las solicitudes de inscripción de ficheros en el Registro General de Protección de Datos (aprobado mediante Resolución de la AEPD de 12 de julio de 2006- B.O.E. 181 de 31 de julio).

Este formulario permite la presentación de forma gratuita de notificaciones a través de Internet con certificado de firma electrónica. En caso de no disponer de un certificado de firma electrónica, también puede presentar la notificación a través de Internet, para lo cual deberá remitir a la Agencia la Hoja de solicitud correspondiente al envío realizado debidamente firmada.

Así mismo, permite notificar de forma simplificada, los ficheros de titularidad privada de comunidades de propietarios, clientes, libro recetario de las oficinas de farmacia, pacientes, gestión escolar, nóminas, recursos humanos y videovigilancia y los de titularidad pública de recursos humanos, gestión del padrón, gestión económica o control de acceso. A través de esta opción, el formulario electrónico muestra una notificación precumplimentada que podrá completar, o en su caso, adaptar a la situación concreta del fichero a notificar. En el caso de que ninguna de las notificaciones tipo previstas por la AEPD se adapte al fichero que pretende notificar, podrá seleccionar la opción de notificación normal.

Además, para los responsables que utilicen sus propios programas informáticos o los desarrolladores de aplicativos de protección de datos, se encuentran disponibles los formatos y especificaciones XML que deben cumplir sus aplicaciones para enviar notificaciones a la AEPD.

Consultar ficheros inscritos

12.2 Quién debe notificar

Están obligados a notificar la creación de ficheros para su inscripción en el RGPD, de acuerdo con lo dispuesto en la LOPD, aquellas personas físicas o jurídicas, de naturaleza pública o privada, u órgano administrativo, que procedan a la creación de ficheros que contengan datos de carácter personal. También aquellos entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados y sean responsables de ficheros de datos de carácter personal.

La creación, modificación o supresión de los ficheros de las Administraciones Públicas sólo podrán hacerse por medio de disposición general publicada en el "Boletín Oficial del Estado" o diario oficial correspondiente.

Podrán crearse ficheros de titularidad privada que contengan datos de carácter personal cuando resulte necesario para el logro de la actividad u objeto legítimos de la persona, empresa o entidad titular y se respeten las garantías establecidas en la LOPD.

Toda persona o entidad que proceda a la creación de ficheros de datos de carácter personal lo notificará previamente a la Agencia Española de Protección de Datos.

Cualquier modificación posterior en el contenido de la inscripción de un fichero en el RGPD, deberá comunicarse a la Agencia Española de Protección de Datos, mediante una solicitud de modificación o de supresión de la inscripción, según corresponda. En ambos casos será necesario citar el Código de Inscripción asignado por el RGPD al fichero.

La no notificación de la existencia de un fichero supondría una infracción leve, tal y como señala el art. 44.2.b) de la LOPD, quedando sujeto al régimen sancionador previsto en esta Ley.

12.3 Naturaleza de los ficheros

La LOPD distingue entre ficheros de titularidad pública y privada. Serán ficheros privados, según el artículo 5.1.l) del RLOPD, aquellos "de los que sean responsables las personas, empresas o entidades de derecho privado, con independencia de quien ostente la titularidad de su capital o de la procedencia de sus recursos económicos, así como los ficheros de los que sean responsables las corporaciones de derecho público, en cuanto dichos ficheros no se encuentren estrictamente vinculados al ejercicio de potestades de derecho público que a las mismas atribuye su normativa específica".

La LOPD estipula que podrán crearse ficheros de titularidad privada que contengan datos de carácter personal cuando resulte necesario para el logro de la actividad u objeto legítimos de la persona, empresa o entidad y se respeten las garantías que la Ley establece para la protección de las personas.

El artículo 5.1.m) del RLOPD define los ficheros públicos como aquellos "de los que sean responsables los órganos constitucionales o con relevancia constitucional del Estado las instituciones autonómicas con funciones análogas a los mismos, las Administraciones públicas territoriales, así como las entidades u organismos vinculados o dependientes de las mismas y las Corporaciones de derecho público siempre que su finalidad sea el ejercicio de potestades públicas".

La determinación de la titularidad pública de los ficheros no ofrece dificultades cuando nos referimos a órganos de las administraciones públicas, órganos constitucionales o de relevancia constitucional, pero cuando se trata de corporaciones de derecho público o de entidades que atienden tanto al ejercicio de potestades públicas como a intereses privados se hace preciso determinar qué ficheros de los que puedan ser responsables son de una u otra titularidad para su correcta creación e inscripción en el Registro General de Protección de Datos. En estos casos el ejercicio de potestades públicas es el criterio que resulta determinante para establecer la titularidad pública de los ficheros en aquellos supuestos en los que la actividad del responsable no se encuentre plenamente sometida al derecho administrativo y sea revisable ante la jurisdicción contencioso administrativa.

Entre los responsables de ficheros que tienen una naturaleza mixta podemos destacar los siguientes:

Colegios Profesionales

Los Colegios Profesionales son Corporaciones de derecho público, amparadas por la Ley y reconocidas por el Estado, con personalidad jurídica propia y plena capacidad para el cumplimiento de sus fines.

Se rigen por la Ley 2/1974, de 13 de febrero, sobre Colegios Profesionales, por sus Leyes de creación, Estatutos Particulares, Reglamentos de Régimen Interior, y demás disposiciones estatales o autonómicas.

Son fines esenciales de estas Corporaciones la ordenación del ejercicio de las profesiones, la representación exclusiva de las mismas y la defensa de los intereses profesionales de los colegiados así como ejercer cuantas funciones le sean encomendadas por la Administración.

Junto al ejercicio de estas potestades públicas sometidas al derecho administrativo, realizan otras actividades íntegramente sometidas al derecho privado, por lo que dependiendo de la actividad que desarrollen, administrativa o privada, tendrán ficheros de dos naturalezas, públicos o privados.

De conformidad con esta distinción se podrán considerar ficheros públicos los que contengan los datos de carácter personal correspondientes a la incorporación de colegiados, al ejercicio de las funciones públicas de ordenación y control de la actividad profesional que dichas entidades tienen asignadas legal o estatutariamente o que les sean encomendadas por las Administraciones Públicas competentes, así como al ejercicio de la potestad sancionadora: "Colegiados"?Control deontológico de la profesión""Visados", "Peritos""Turno de oficio". Así mismo, para la aplicación de la Ley 2/2007, de 15 de marzo, de Sociedades Profesionales, los Colegios Profesionales crearán el fichero de "Sociedades profesionales" que, en atención a su finalidad, será de titularidad pública.

Los ficheros de titularidad privada serían los creados con la única finalidad de llevar a cabo la gestión interna del Colegio o Consejo o de adoptar mecanismos que faciliten el desempeño de la profesión colegiada cuando la adopción no implique el ejercicio de potestades administrativas ni lleve aparejada la existencia de un acto administrativo, por ejemplo los relativos a la gestión de recursos humanos del personal que presta sus servicios en el colegio: "Nóminas""Personal""Laboral", o los relativos a la gestión contable del colegio: "Facturación""Clientes""Proveedores""Contabilidad""Suministros".

Cámaras de Comercio, Industria, Servicios y Navegación

La Ley 4/2014, de 1 de abril, Básica de las Cámaras Oficiales de Comercio, Industria, Servicios y Navegación y las correspondientes de cada Comunidad Autónoma, las definen como Corporaciones de derecho público, integrantes de la denominada Administración Corporativa, que ejercen potestades públicas sometidas al derecho administrativo, junto con el ejercicio de otras actividades íntegramente sometidas al derecho privado.

En consecuencia, se podrían considerar ficheros de titularidad pública los ficheros propios de las Cámaras Oficiales que contengan los datos de carácter personal correspondientes a las funciones público-administrativas necesarias para el cumplimiento de sus fines y el ejercicio de las funciones que tiene atribuidas legalmente.

En este sentido, los ficheros que traten datos relativos a "Censo público de empresas de las Cámaras"?Censo Electoral de las Cámaras""Formación""Empresas (personas físicas y jurídicas) beneficiarias de subvenciones tramitadas por las Cámaras" y"Empresas (personas físicas y jurídicas) relacionadas con las Cámaras en el desempeño de sus funciones de carácter público-administrativo", se encuadrarían en los ficheros correspondientes al desempeño de las funciones públicas peculiares de cada Cámara previstas en la Ley 4/2014, por lo que deberían cumplir los requisitos de creación, modificación o supresión de los ficheros de titularidad pública.

Para inscribir estos ficheros se deberán atener al régimen de los ficheros de titularidad pública, contenido en el artículo 20 de la LOPD y en el 52 y siguientes del RLOPD, con la singularidad de que deberán publicar, en el Boletín Oficial que corresponda, un Acuerdo plenario del órgano competente o una Orden de la Administración tutelante de la Comunidad Autónoma correspondiente, en la que se regule la creación, modificación o supresión de los ficheros de titularidad pública de esa Cámara.

Serían ficheros privados los correspondientes al desempeño de otras actividades íntegramente sometidas al derecho privado, como los relativos a la gestión de recursos humanos del personal que presta sus servicios en la Cámara: "Empleados","Nóminas""Personal""Laboral", o los relativos a la gestión contable de la cámara: "Facturación""Clientes", "Proveedores","Contabilidad""Suministros", o a otras actividades relacionadas con la "Mediación" o el "Arbitraje".

Cámaras Agrarias, Consejos Reguladores de Denominaciones de Origen e Indicaciones Geográficas Protegidas, Comunidades de Regantes

Las consideraciones expuestas para las Cámaras de Comercio, Industria y Navegación son de aplicación a estas Corporaciones de derecho público.

Ejemplo de ficheros de titularidad pública de este tipo de entidades serían:

  • Cámaras Agrarias:
    • Registro de titulares de explotaciones
  • Consejos Reguladores de las Denominaciones de Origen e Indicaciones Geográficas Protegidas:
    • Registro:
      • -de viticultores
      • -de olivares
      • -de almazaras
      • -de plantas envasadoras
    • Régimen sancionador
  • Comunidades de Regantes:
    • Regantes
    • Comuneros

Fundaciones

La Ley 50/2002, de 26 de diciembre, de Fundaciones establece en su artículo 46.1.a) que las fundaciones del sector público estatal "no podrán ejercer potestades públicas", por lo que sus ficheros tendrán la consideración de ficheros privados.

Consorcios

Los ficheros de los Consorcios, a los que se refiere el artículo 6 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común y el artículo 110 del Real Decreto Legislativo 781/1986, de 18 de abril, por el que se aprueba el Texto Refundido de las disposiciones legales vigentes en materia de régimen local, serán públicos o privados dependiendo de que su finalidades sean el ejercicio de potestades públicas, sin que la presencia de una Administración pública en un consorcio sea un criterio definitorio de titularidad pública.

Federaciones deportivas

El artículo 33 de la Ley 10/1990, de 15 de octubre, del Deporte establece que las Federaciones deportivas españolas, bajo la coordinación y tutela del Consejo Superior de Deportes ejercerán una serie de funciones, entre otras, la de calificar y organizar, en su caso, las actividades y competiciones deportivas de ámbito estatal, la promoción general de su modalidad deportiva, los planes de preparación de deportistas de alto nivel, la formación de técnicos deportivos, la prevención, control y represión del uso de sustancias y grupos farmacológicos prohibidos y métodos no reglamentarios del deporte, la potestad disciplinaria.

La jurisprudencia del Tribunal Supremo atribuye a las federaciones deportivas, no obstante su carácter de entidades privadas, un carácter mixto en atención a las funciones que ejercen (STS, de 22.12.10), pues junto a las atribuciones que le son propias también ejercen por delegación funciones públicas de carácter administrativo, actuando en este caso como agentes de la Administración pública.

En consecuencia, los ficheros de las Federaciones deportivas que se creen para el ejercicio de las funciones públicas de carácter administrativo serían de titularidad pública, como los de federados, competiciones y resultados, controles de salud y de dopaje, sanciones, mientras que aquellos ficheros que respondieran a actividades propias de las Federaciones deportivas, como el de empleados, o proveedores, serían de titularidad privada.

Notarías

La Orden JUS/484/2003, de 19 de febrero, por la que se regulan los ficheros automatizados de datos de carácter personal del Cuerpo de Notarios crea los siguientes ficheros de titularidad pública de las notarías:

  • "Administración y organización de la notaría"
  • "Personal de la notaría"

A su vez, la Orden EHA/114/2008, de 29 de enero, reguladora del cumplimiento de determinadas obligaciones de los notarios en el ámbito de la prevención del blanqueo de capitales dispone la creación del fichero de titularidad pública:

  • "Cumplimiento de las obligaciones de tratamiento y comunicación de datos derivadas de lo dispuesto en el artículo 17 y 24 de la Ley del notariado"

Como fichero de titularidad privada, las notarías han creado el fichero de

  • "Videovigilancia"

12.4 Notificaciones Telemáticas a la AEPD

12.4.1 ¿Qué es el Sistema NOTA?

  • El sistema de NOtificaciones Telemáticas a la AEPD (NOTA), aprobado mediante Resolución de la Agencia Española de Protección de Datos de 12 de julio de 2006 (BOE núm. 181 de 31 de julio de 2006), permite a los responsables de ficheros con datos de carácter personal de titularidad pública y de titularidad privada:

    • Cumplir con la obligación que la LOPD establece de notificar sus ficheros a la Agencia Española de Protección de Datos a través de una herramienta que le informa y asesora acerca de los requerimientos de la notificación.
    • Presentar de forma gratuita de notificaciones a través de Internet con certificado de firma electrónica. En caso de no disponer de un certificado de firma electrónica, también puede presentar la notificación a través de Internet, para lo cual deberá remitir a la Agencia la Hoja de solicitud correspondiente al envío realizado debidamente firmada.
    • Notificar de forma simplificada una serie de ficheros relacionados con la gestión de comunidades de propietarios, clientes y/o proveedores, libro recetario de las oficinas de farmacia, pacientes, gestión escolar, videovigilancia, nóminas y recursos humanos de titularidad privada; y con la gestión económica, del padrón, recursos humanos, controles de acceso, nóminas, registro, agenda, historia clínica, alumnos y profesores en el caso de ficheros de titularidad pública. En el caso de que ninguna de las notificaciones tipo previstas por la AEPD se adapte al fichero que pretende notificar, podrá seleccionar la opción de notificación normal.
    • Conocer el estado de tramitación de las notificaciones remitidas a través de Internet, mediante certificado de firma electrónica o mediante el código de envío generado por el formulario electrónico.
    • Consultar el contenido completo de la inscripción de sus ficheros en la web de la Agencia.
  • Además, para los responsables que utilicen sus propios programas informáticos o los desarrolladores de aplicativos de protección de datos, se encuentran disponibles los formatos y especificaciones que deben cumplir sus aplicaciones para enviar notificaciones a la AEPD.

12.4.2 Formas de presentación de una notificación mediante NOTA

Formatos de Presentación

  • Telemático, a través de Internet, incorporando la posibilidad de utilizar firma electrónica.
  • Para aquellos responsables de ficheros que requieran de un sistema más ágil de intercambio de información y quieran cumplir con sus obligaciones mediante sus propias aplicaciones informáticas, así como para aquellos desarrolladores de programas de protección de datos que quieran ofrecer a sus clientes la posibilidad de presentar las notificaciones de sus ficheros, se ha previsto un sistema de comunicación con la AEPD en formato XML a través de Internet con y sin certificado de firma electrónica reconocido.
 

Dónde se presenta la notificación

Las notificaciones realizadas a través de Internet con certificado de firma electrónica se remiten al Registro Telemático de la AEPD creado mediante Resolución de la Agencia Española de Protección de Datos de 12 de julio de 2006 (BOE núm. 181 de 31 de julio de 2006). Una vez cumplimentada la notificación se procederá a la firma de la solicitud para lo cual el sistema le mostrará los certificados de firma de los que dispone, ya sea instalados en su navegador o en su tarjeta criptográfica, para que seleccione el certificado con el que firmar la solicitud, procediéndose a continuación a su envío.

Una vez recibida la notificación en el Registro Telemático de la AEPD, se emitirá por el mismo medio un mensaje de confirmación de la recepción de la solicitud, disponiendo del botón para acceder al documento acreditativo de su presentación, en el que constarán los datos proporcionados por el interesado, junto con la acreditación de la fecha y hora en que produjo la recepción y una clave de identificación de la transmisión. El mensaje de confirmación se configurará de forma que pueda ser impreso o archivado informáticamente por el interesado y que garantizará la identidad del registro y tendrá el valor de recibo de presentación a efectos de lo dispuesto en el artículo 6.3 del Real Decreto 772/1999.

En las notificaciones realizadas a través de Internet sin firma electrónica, una vez cumplimentada la notificación y realizado el envío, deberá pulsar el botón «Descargar justificante» para acceder a la Hoja de solicitud que confirma que la notificación ha sido enviada correctamente. Dicha Hoja de solicitud, firmada por la persona que efectúa la notificación, es la que deberá remitir a la AEPD.

12.4.3 Pasos para la notificación de un fichero mediante el Servicio Electrónico NOTA

  • Responder a las preguntas iniciales del asistente dependiendo de la titularidad del fichero o ficheros y la forma de presentación elegida.
  • Cumplimentar los datos del declarante y del responsable del fichero. Una vez cumplimentados estos apartados, sus datos ya no podrán ser modificados. Se mostrará a continuación un mensaje informando que a partir de ese punto podrá interrumpir la notificación y reanudarlas posteriormente mediante un código de reanudación.
  • Seleccionar el tipo de operación a realizar sobre el fichero. En caso de solicitudes de alta, deberá elegir el tipo de formulario a cumplimentar.
  • Cumplimentar los distintos apartados de la notificación, que se irán mostrando en distintas páginas en función del tipo de operación seleccionado.
  • Una vez cumplimentada cada solicitud, se mostrará una pantalla de resumen con el índice de solicitudes contenidas en la notificación. Desde esta pantalla podrá añadir nuevas solicitudes de inscripción para el mismo responsable del fichero o bien proceder al envío de la notificación.
  • Enviar la notificación: En el caso de presentación mediante Trámite Electrónico, se mostrará una ventana con los certificados de firma electrónica reconocidos que tenga instalados para que elija el certificado con el que firmar la notificación. En cualquier caso, una vez realizado el envío correctamente recibirá un mensaje de confirmación, disponiendo del botón "Descargar justificante" para acceder al documento acreditativo de la presentación. La no recepción del mensaje de confirmación o, en su caso, la recepción de un mensaje de error implica que no se ha producido la recepción del mismo, debiendo realizarse la presentación en otro momento.
  • Enviar la Hoja de solicitud firmada a la AEPD. En el caso de presentación mediante Trámite Electrónico no será necesario remitir la Hoja de solicitud.

12.4.4 Notificación mediante XML

Intercambios masivos XML.

De forma complementaria a la notificación mediante el formulario electrónico NOTA, la Agencia ha querido poner a disposición de los responsables de ficheros un sistema de notificación basado en un formato estándar que permita el intercambio de información entre diferentes plataformas (formato XML). De esta forma, tanto los responsables que desarrollen sus propios programas como los desarrolladores de paquetes ofimáticos de protección de datos para las PYME’s podrán comunicarse con la AEPD para notificar sus ficheros, pudiendo presentar sus solicitudes con y sin certificado de firma electrónica. Para ello se pueden consultar las normas que deberán cumplir las aplicaciones desarrolladas por terceros para que puedan presentar validamente las notificaciones al RGPD.

Estos mensajes en formato XML pueden ser presentados con y sin certificado electrónico de firma reconocido. En el caso de que se presenten firmados electrónicamente deberán utilizar el estándar de firma Xml Digital Signature, cuya especificación de sintaxis y procesamiento se encuentra enhttp://www.w3.org/2000/09/xmldsig# . En este caso, una vez enviadas las notificaciones al Registro Telemático de la AEPD, éste devolverá un mensaje confirmando la recepción del envío incluyendo, a su vez, los datos necesarios para que el programa desarrollado por terceros configure el acuse de recibo de acuerdo con el formato establecido en la Resolución de la Agencia Española de Protección de Datos de 12 de julio de 2006 por la que se aprueban los formularios electrónicos a través de los que deberán efectuarse las solicitudes de inscripción de ficheros en el Registro General de Protección de Datos, así como los formatos y requerimientos a los que deben ajustarse las notificaciones remitidas en soporte informático o telemático

En el caso de que las notificaciones se presenten mediante formato XML sin certificado de firma electrónica, el servidor web de la AEPD devolverá un mensaje confirmando la recepción del envío e incluyendo, a su vez, los datos necesarios para que el programa desarrollado por terceros configure la Hoja de solicitud de acuerdo con el formato establecido en la Resolución de la Agencia Española de Protección de Datos de 12 de julio de 2006.

En todo caso, carecerán de efecto alguno las notificaciones si la hoja de solicitud, debidamente cumplimentada y firmada, no hubiera sido presentada en la Agencia Española de Protección de Datos o en alguno de los Registros y oficinas a los que se refiere el artículo 38.4 de la Ley 30/1992, en el plazo de los diez días siguientes al envío de las notificaciones a través de Internet mediante formato XML sin certificado de firma electrónica reconocido. Puede obtener los formatos y especificaciones XML de Titularidad Pública y formatos y especificaciones XML de Titularidad Privada accediendo a la sección Desarrolladores XML.

(Advertencia de Privacidad: Los datos de carácter personal que se faciliten por correo electrónico, quedarán registrados en un fichero de la Agencia Española de Protección de Datos, con la finalidad de contestar a las consultas y obtener datos estadísticos de las mismas. Por ello pueden ejercitar los derechos de acceso, rectificación, cancelación y oposición ante el Director de la Agencia Española de Protección de Datos, calle Jorge Juan, 6, 28001-Madrid)

12.4.5 Documentación

EVALUACIÓN FINAL

1.La LOPD es aplicable...

  • A todos los ficheros tanto públicos como privados
  • A los ficheros de datos que vayan en soporte informático
  • A todos los ficheros tanto públicos como privados, que contengan datos de carácter personal

2.La finalidad de la creación de esta Ley se encuentra en la necesidad de garantizar la preservación al derecho a la intimidad del ciudadano en la actual “sociedad de la información”.

  • Verdadero
  • Falso

3.¿Qué ficheros deben notificarse?

  • Todos los ficheros de la empresa
  • Los ficheros que ya se habían notificado con la LORTAD
  • Cualquier fichero con datos de carácter personal susceptible de tratamiento

4.¿Cuándo se debe declarar un fichero de datos personales?

  • Solamente cuando alguien denuncie a la empresa
  • Cuando se vaya a crear el fichero de datos
  • Un año después de haberse creado el fichero.

5.El deber de información es una obligación que recae sobre el responsable del fichero de datos

  • Verdadero
  • Falso

6.Es necesario obtener el consentimiento del titular si los datos se recogen para el ejercicio de las funciones propias de las Administraciones Públicas.

  • Verdadero
  • Falso

7.La Agencia de Protección de Datos

  • Un Ente de derecho público, con personalidad jurídica propia y plena capacidad pública y privada
  • Un Ente de derecho público y plena capacidad jurídica pública, adscrito al Ministerio de Administraciones Publicas.
  • Un Ente de derecho público, con personalidad jurídica propia adscrito al Ministerio de Justicia

8.El responsable del tratamiento tendrá la obligación de hacer efectivo el derecho de rectificación y cancelación en el plazo de :

  • 5 días
  • 10 días
  • 15 dias

9.Los ficheros de titularidad privada que contengan datos referentes a las cotizaciones de la Seguridad Social Se incluyen en un nivel de seguridad medio.

  • Verdadero
  • Falso

10.El establecimiento de las medidas de seguridad es una obligación que, de no cumplirse, se incurriría en responsabilidades administrativas.

  • Verdadero
  • Falso

11.Para la cesión de datos entre empresas tiene que existir el consentimiento previo y se tiene el deber de informar al titular de la cesión.

  • Verdadero
  • Falso

12.El deber de secreto es exclusivo para el responsable del fichero.

  • Verdadero
  • Falso

13.El principio de Calidad de los datos hace referencia a...

  • Cuantos más datos personales recoja del titular mejor calidad tendrán
  • Los datos deben ser adecuados para la finalidad con la que se recogen
  • Se deben almacenar los datos aunque sean inexactos

14.Los ficheros de titularidad pública no deben inscribirse en el RGPD

  • Verdadero
  • Falso