Página de inicio de INTECO-CERT, Centro de Respuesta a Incidentes en TI para PYMEs y Ciudadanos

  • Utiles gratuitos
  • Formación seguridad pymes
  • Gestión de incidencias
  • Suscripción RSS/Boletines

Enlace a la red social de Facebook Enlace a la red social de Twitter Enlace al canal de Inteco-Cert en el portal de videos YouTube

Enlace al canal de Inteco-Cert en Scribd Enlace al canal de Inteco-Cert en Slideshare

Encuesta de Calidad de INTECO-CERT

  • 1.- ¿Ha encontrado en el portal de INTECO-CERT la información que buscaba? *
  • 2.- ¿Dicha información le ha resultado útil / interesante? *

Ley Orgánica de Protección de Datos

La Ley Orgánica de Protección de Datos de Carácter Personal (LOPD) define que datos de carácter personal son cualquier información concerniente a personas físicas identificadas o identificables.

¿Que son los ficheros de datos personales?

Todo conjunto organizado de datos de carácter personal, cualquiera que sea la forma su creación, organización y acceso. El Nuevo Reglamento de desarrollo de la Ley Orgánica de Protección de Datos ha sido aprobado el 21 de diciembre por el Consejo de Ministros. Entre sus novedades más importantes destaca el aumento del ámbito de aplicación de la Ley a los ficheros y tratamientos no automatizados o en soporte papel.

¿A que estoy obligado por crear ficheros?

  • Inscribirlos en el Registro General de Protección de datos
  • Informar y obtener consentimiento acerca del tratamiento
  • Adoptar medidas establecidas en el Nuevo Reglamento de Protección de Datos 1720/07
  • Guardar secreto
  • Informar a los titulares de los datos del ejercicio de los derechos de Acceso, Rectificación, Cancelación y Oposición.

"En general la Ley de Protección de Datos obliga a todas las personas físicas o jurídicas que traten ficheros de datos personales"

¿A qué me obliga la LOPD?

La LOPD obliga a respetar el derecho a la intimidad de las personas que tiene su base en la Constitución Española y respetar la privacidad de los datos almacenados en los ficheros.

¿Qué es el tratamiento de datos?

Por tratamiento de datos entendemos operaciones y procedimientos técnicos de carácter personal que permitan la recogida, grabación, conservación, modificación, bloqueo y cancelación así como cesiones que se deriven de comunicaciones o consultas.

Niveles de los datos

La ley establece tres niveles de medidas de seguridad (básico, medio, alto) los cuales deberán ser implantadas dependiendo de los distintos datos personales incluidos en el fichero (salud, ideología, religión, creencias...).

Tipo de datos

  • Nivel básico es cualquier conjunto de datos que se refieren a una persona identificada o identificable. : nombre, apellidos, teléfono,...
  • El nivel medio incluye datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros y los servicios de solvencia y crédito.
  • El nivel alto incluye datos de ideología, religión, creencias, origen racial, salud o vida sexual, así como los recabados para fines policiales sin consentimiento de las personas afectadas.

Lo habitual en el caso de PYMEs es tener una administración de empleados, cuya nómina puede incluir datos de carácter personal de nivel alto: el tipo de contrato utilizado, en términos de la Seguridad Social, desvela posibles discapacidades del propio empleado; además se recaba información para Hacienda de la discapacidad de personas que están a cargo de los empleados. También las posibles afiliaciones sindicales son datos personales de nivel alto.

Si dicho fichero está en manos de una gestoría o no, no cambia la obligación de notificarlo a la AEPD. Si la gestión del fichero es realizada por terceros (típicamente gestorías), se debe hacer constar qué gestoría se hace cargo del tratamiento de los datos. En la mayoría de PYMEs, los otros ficheros de datos personales sólo tienen datos de nivel básico. Aunque también deben ser declarados ante la agencia española de protección de datos, su nivel de protección es más fácil de cumplir.

Documento de Seguridad

Su cumplimiento alcanza a todo tipo de datos y ficheros (nivel alto, medio, bajo). Además constituye la primera medida que responsable de seguridad debe cumplir.

Para facilitar el cumplimiento de las exigencias legales, la Agencia de Protección de Datos de Carácter Personal ha elaborado un modelo de documento de seguridad en pdf. Este documento se debe personalizar para cada empresa, con su nombre, ...

Medidas de Seguridad

La LOPD establece la obligación de adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado. Se trata de garantizar la seguridad en los ficheros, los centros de tratamiento, locales, equipos, sistemas, programas y las personas que intervengan en el tratamiento de datos de carácter personal.

Las Medidas de Seguridad vienen reguladas en el título VIII del Reglamento de desarrollo de la LOPD -Real Decreto 1720/2007, de 21 de diciembre (artículos 79 a 114). Este Reglamento de desarrollo de la LOPD clasifica las Medidas de Seguridad atendiendo a dos criterios:

  • Según los niveles de seguridad: Medidas de Seguridad de nivel básico, medio y alto.
  • Según la aplicación de las Medidas de Seguridad a ficheros y tratamientos automatizados o no automatizados.

"La seguridad de la información es el conjunto de sistemas y procedimientos que garantizan la confidencialidad, la integridad y la disponibilidad de la misma"

Derechos y deberes de la LOPD

La LOPD establece una serie de derechos y deberes relativos a los datos personales y su tratamiento. Los interesados a los que se soliciten datos personales deben ser informados de la posibilidad de ejercitar los derechos Acceso, Rectificación, Cancelación, Oposición. El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al deber de guardar secreto profesional.