110003 seguridad y alta disponibilidad-material extra

5/24/2018 110003 Seguridad y Alta Disponibilidad-material Extra

1/149

MATERIAL EXTRA

Gua de proteccin de datosGua de seguridad de datos 2008Trptico LSSILey Orgnica de Proteccin de Datos

15/1999

Ley de servicios de la sociedad de lainformacin y de comercio electrnico

34/2002

www.FreeLibros.me


2/149

Gua de proteccin de datos:

www.FreeLibros.me


3/149

GuaDEL DERECHO FUNDAMENTAL A LA PROTECCIN DE DATOS DE CARCTER PERSONAL

y: ev s

www.FreeLibros.me


4/149

AGENCIA ESPAOLA DE PROTECCIN DE DATOS: 2004D.L: M-23625-2005NIPO: 052-04-002-2

Diseo Grfico:

Imprime: NILO Industria Grfica, S.A.

n

www.FreeLibros.me


5/149

GuaB A S I C ADEL DERECHO FUNDAMENTAL A LA PROTECCIN DE DATOS

El derecho fundamental a la proteccin de datos personales deriva directamente de la Constitucin y atribu-ye a los ciudadanos un poder de disposicin sobre sus datos, de modo que, en base a su consentimiento,puedan disponer de los mismos.

La Constitucin Europea reconoce en dos ocasiones el derecho fundamental a la proteccin de datos.

Asimismo establece que todos los pases miembros de la Unin Europea debern contar con una autoridad

independiente que garantice y tutele tal derecho.La Ley Orgnica 15/1999 regula el derecho fundamental a la proteccin de datos y dispone que ser laAgencia Espaola de Proteccin de Datos la encargada de tutelar y garantizar el derecho.

En el empeo de facilitar un mejor respeto a la proteccin de datos y divulgar todo lo posible su conocimientoen el marco de una sociedad abierta y democrtica, se ha elaborado esta Gua que tengo el gusto de pre-sentar y que, con un lenguaje sencillo y directo, pretende dar un paso ms en la necesaria normalizacin dela cultura de la proteccin de datos entre los ciudadanos y los responsables de los tratamientos y bases dedatos.

Jos Luis Piar MaasDirector de la Agencia Espaola de Proteccin de Datos

www.FreeLibros.me


6/149

n

iCUIDA TUS DATOS PERSONALES

QU ES EL DERECHO FUNDAMENTAL A LA PROTECCIN DE DATOS?

LEGISLACIN SOBRE PROTECCIN DE DATOS DE CARCTER PERSONAL

LA AGENCIA ESPAOLA DE PROTECCIN DE DATOS PROTEGE TUS DERECHOS

CUNDO PUEDEN TRATARSE DATOS PERSONALES?

PRINCIPIOS DE PROTECCIN DE DATOS

DATOS SENSIBLES

ESTOS SON TUS DERECHOS: HAZLOS VALER

5

6

7

9

11

12

14

15DERECHO DE INFORMACIN EN LA RECOGIDA DE DATOSTUS DATOS PERSONALES VAN A SER INCLUIDOS EN UN FICHERO?QU TRATAMIENTOS VAN A REALIZARSE CON TUS DATOS?S CONSCIENTE DE QUE ESTS FACILITANDO TUS DATOS PERSONALES

DERECHO DE CONSULTA AL REGISTRO GENERAL DE PROTECCIN DE DATOSQUIN EST TRATANDO TUS DATOS PERSONALES?DERECHO DE ACCESODERECHO DE RECTIFICACINDERECHO DE CANCELACINDERECHO DE OPOSICIN

18

17

www.FreeLibros.me


7/149

QU PUEDES HACER EN CASO DE VIOLACIN DE TUS DERECHOS?

CDIGOS TIPO

ALGUNOS CASOS SIGNIFICATIVOS DE FICHEROS DE DATOS PERSONALES

n

i TUTELA DE DERECHOSPROCEDIMIENTO SANCIONADOR

. FICHEROS DE INFORMACIN SOBRE SOLVENCIA PATRIMONIAL Y CRDITO Y SOBRECUMPLIMIENTO O INCUMPLIMIENTO DE OBLIGACIONES DINERARIAS: FICHEROS DE MOROSOS

FICHEROS DE INFORMACIN SOBRE SOLVENCIA PATRIMONIAL Y CRDITOFICHEROS SOBRE CUMPLIMIENTO O INCUMPLIMIENTO DE OBLIGACIONES DINERARIAS:FICHEROS DE MOROSOS

CARACTERSTICAS ESPECIALES DE ESTOS FICHEROS

FICHEROS DE MARKETING Y PUBLICIDAD

28

25

29

2627

29

34

www.FreeLibros.me


8/149

Gua www.FreeLibros.me


9/149

5El nombre, los apellidos, la fecha de nacimiento, la direccin postal o la direccin de correo electrnico, el nmerode telfono, el nmero de identificacin fiscal, el nmero de matrcula del coche, la huella digital, el ADN, una foto-grafa, el nmero de seguridad social, ... son datos que identifican a una persona, ya sea directa o indirectamente.

Una persona facilita sus datos personales cuando abre una cuenta en el banco, cuando se matricula en un curso deidiomas, cuando se apunta al gimnasio, cuando solicita participar en un concurso, cuando reserva un vuelo o unhotel, cuando pide hora para una consulta mdica, cuando busca trabajo, cada vez que efecta un pago con su tar-jeta de crdito, cuando navega por Internet ..... Son mltiples los rastros de datos que se dejan a menudo en todas

estas gestiones.

Los datos personales permiten identificar a una persona.

Es habitual que prcticamente para cualquier actividadsea necesario que los datos personales se recojan y

utilicen en la vida cotidiana.

Los mecanismos de recogida y tratamientos de los datospersonales se encuentran en constante evolucin.

CUIDA TUS DATOS PERSONALES

www.FreeLibros.me


10/149

6Ello supone que el desarrollo y la aplicacin de las nuevas tecnologas ha introducido comodidad y rapidez en el inter-cambio de datos, lo que ha contribuido tambin al incremento del nmero de tratamientos de datos que se realizancotidianamente. La bondad que aportan estas tcnicas es indudable respecto del progreso de las sociedades moder-nas y de la calidad de vida de los ciudadanos, pero se hace necesario garantizar el equilibrio entre modernizacin ygaranta de los derechos de los ciudadanos.

Esta ponderacin entre derecho del ciudadano a preservar el control

sobre sus datos personales y la aplicacin de las nuevas tecnologasde la Informacin, es el contexto en el que el Legislador consagra elderecho fundamental a la proteccin de datos de carcter personal.

El derecho fundamental a la proteccin de datos reconoce al ciudadanola facultad de controlar sus datos personales y la capacidad para

disponer y decidir sobre los mismos.

QU ES EL DERECHO FUNDAMENTAL A LA PROTECCIN DE DATOS?

www.FreeLibros.me


11/149

7De ambos preceptos deriva el derecho fundamental a la proteccin de datos de carcter personal, que ha sido defi-nido como autnomo e independiente por la Sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre.

Tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de datos personales, las libertades pbli-cas y los derechos fundamentales de las personas fsicas, y especialmente de su honor e intimidad personal y familiar.

La LOPD garantiza una serie de derechos a las personas fsicas, titulares de los datos, tales como el derecho a ser infor-mado de cundo y porqu se tratan sus datos personales, el derecho a acceder a los datos y, en caso necesario, el

derecho a la modificacin o supresin de los datos o el derecho a la oposicin al tratamiento de los mismos.

En desarrollo del citado artculo 18.4, fue aprobada la LeyOrgnica 15/1999, de 13 de diciembre, de Proteccin de

Datos de Carcter Personal (en lo sucesivo LOPD).

La LOPD garantiza al ordenamiento jurdico espaol laDirectiva 95/46/CE (Directiva sobre proteccin de datos).

El derecho a la proteccin de datos es un derecho en constanteevolucin que se ha visto reconocido en el Tratado Europeo por

el que se establece una Constitucin para Europa.

La Constitucin Espaola en su artculo 10 reconoce el derecho a ladignidad de la persona. Por su parte, el artculo 18.4 dispone que la

ley limitar el uso de la informtica para garantizar el honor y la intimidadpersonal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.

LEGISLACIN SOBRE PROTECCIN DE DATOS DE CARCTER PERSONAL

www.FreeLibros.me


12/149

8La Constitucin Europea ha recogido expresamente el derecho fundamental a la proteccin de datos en dos ocasio-nes, en la Parte I, Ttulo VI (De la vida democrtica de la Unin), el artculo I-51 (Proteccin de datos de carcter per-sonal) establece en el epgrafe primero que "toda persona tiene derecho a la proteccin de los datos de carcter per-sonal que le conciernan" y en la Parte II (Carta de los Derechos Fundamentales de la Unin), Ttulo II (Libertades), seintroduce en el artculo II-68 la segunda referencia al derecho a la proteccin de datos, sealando de nuevo que "todapersona tiene derecho a la proteccin de los datos de carcter personal que le conciernan", y aadiendo que "estosdatos se tratarn de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o envirtud de otro fundamento legtimo previsto por la ley", y que "toda persona tiene derecho a acceder a los datos reco-gidos que la conciernan y a obtener su rectificacin".

Asimismo, en ambos preceptos se establece que una autoridad independiente se encargar de la garanta del dere-cho fundamental a la proteccin de datos personales.

La Constitucin Europea exige que en todos los Estados miembrosexista una autoridad independiente que controle y garantice el

Derecho Fundamental a la proteccin de datos.

www.FreeLibros.me


13/149

9La Agencia Espaola de Proteccin de Datos (en lo sucesivo AEPD)es el ente de derecho pblico que vela por el cumplimiento de lanormativa sobre proteccin de datos personales, actuando paraello con plena independencia de las Administraciones Pblicas.

En este sentido:

INFORMA sobre el contenido, los principios y las garantas del derecho fundamental a la proteccin de datos regula-do en la LOPD.

AYUDAal ciudadano a ejercitar sus derechos y a los responsables y encargados de tratamientos a cumplir las obliga-ciones que establece la LOPD.

TUTELA al ciudadano en el ejercicio de los derechos de acceso, rectificacin, cancelacin y oposicin cuando no hansido adecuadamente atendidos por los responsables de los ficheros.

GARANTIZAel derecho a la proteccin de datos investigando aquellas actuaciones de los responsables o encargados

de ficheros que puedan ser contrarias a los principios y garantas contenidos en la LOPD. Impone, en su caso, la corres-pondiente sancin.

La estructura orgnica de la AEPD es la siguiente:

LA AGENCIA ESPAOLA DE PROTECCIN DE DATOS PROTEGE TUS DERECHOS

www.FreeLibros.me


14/149

10DIRECTOR

REGISTRO GENERAL DEPROTECCIN DE DATOS

INSPECCIN DE DATOS SECRETARA GENERAL

HABILITACIN

INFORMTICA

ADMINISTRACINGENERAL

GESTINPRESUPUESTARIA

ATENCINCIUDADANO

ADMINISTRACINGENERAL Y ATENCIN

AL CIUDADANO

SECTORPRIVADO

SECTORPBLICO

INSTRUCCININSPECCIN

UNIDAD APOYOCONSEJO

CONSULTIVO

ORGANIGRAMA

www.FreeLibros.me


15/149

11CUNDO PUEDEN TRATARSE DATOS PERSONALES?Los datos personales de un ciudadano slo pueden tratarse, es decir, recogerse y emplearse, si:

El interesado ha dado su consentimiento.

El tratamiento es necesario para el mantenimiento o cumplimiento de un contrato oprecontrato de una relacin negocial, laboral o administrativa.

El tratamiento es necesario para proteger un inters vital del interesado o de otra per-sona, en el supuesto de que el afectado est fsica o jurdicamente incapacitado paradar su consentimiento.

El tratamiento es necesario para cumplir las funciones de las Administraciones Pblicasen el mbito de sus competencias.

Cuando los datos figuren en fuentes accesibles al pblico y su tratamiento sea necesa-rio para la satisfaccin del inters legtimo del responsable del fichero o de un terceroa quienes se comuniquen los datos.

Cuando una ley habilite el tratamiento sin requerir el consentimiento inequvoco de sutitular.

www.FreeLibros.me


16/149

12PRINCIPIOS DE PROTECCIN DE DATOSEl tratamiento de datos de carcter personal ha de realizarse de acuerdo con los principios de informacin, calidad,finalidad, consentimiento y seguridad. Dichos principios se plasman en diversos preceptos de la LOPD.

Todo responsable de un fichero o tratamiento de datos personales est obligado a cumplir los citados principios reco-gidos en la LOPD.

Una empresa ser la responsable de los ficheros de sus clientes, de sus proveedores, de sus empleados; un mdico serresponsable del tratamiento de los datos personales que conforman las historias clnicas de sus pacientes; un hotel serresponsable del fichero de sus huspedes; un gimnasio ser responsable del fichero de sus socios; un centro educativoser responsable del fichero de sus alumnos; ...

Los principios de la LOPD pretenden proteger los datos personales de los interesados:

El responsable de un fichero o tratamiento es la entidad,la persona o el rgano administrativo que decide sobre

la finalidad, el contenido y el uso del tratamiento delos datos personales.

www.FreeLibros.me


17/149

Los datos deben tratarse de manera leal y lcita.

Los datos deben recogerse con fines determinados, explcitos y legtimos.Los datos deben ser adecuados, pertinentes y no excesivos en relacin conel mbito y los fines para los que se han recogido.

Los datos deben ser exactos y mantenerse actualizados de manera querespondan con veracidad a la situacin actual de su titular.

Los responsables deben atender a los interesados que soliciten el acceso asus datos personales.

Los datos personales slo deben conservarse durante el tiempo necesariopara las finalidades del tratamiento para el que han sido recogidos. Debenser cancelados cuando hayan dejado de ser necesarios o pertinentes parael fin con que se obtuvieron.

Todo responsable o encargado de un tratamiento tiene que adoptar todaslas medidas necesarias para garantizar la seguridad de los datos persona-

les e impedir cualquier alteracin, prdida, tratamiento o acceso no auto-rizado.

El responsable tiene que notificar al Registro General de Proteccin deDatos la creacin, modificacin o supresin de cualquier fichero o trata-miento de datos personales.

13

www.FreeLibros.me


18/149

Se consideran datos sensibles aquellos datos referidos aideologa, creencias, religin, afiliacin sindical, salud,

origen racial o vida sexual de las personas.

Como norma general los datos de ideologa, creencias, religin o afiliacin sindical no pueden ser tratados ni almacena-dos en ficheros. Slo pueden ser objeto de tratamiento con el consentimiento expreso y por escrito del afectado.

Los datos relativos al origen racial, a la salud y a la vida sexual slo podrn ser recogidos, tratados y cedidos, si algu-na Ley as lo dispone por razones de inters general, o en caso de que el afectado haya consentido expresamente.

Los datos sensibles pueden ser objeto de tratamiento, si resulta necesario para la prevencin o para el diagnsticomdicos, para la prestacin de asistencia sanitaria o de un tratamiento mdicos o para la gestin de servicios sanita-rios, siempre que dicho tratamiento de datos se realice por un profesional sanitario.

Tambin pueden ser tratados estos datos cuando sea necesario para salvaguardar el inters vital del afectado o de otrapersona, en el supuesto de que el afectado est fsica o jurdicamente incapacitado para prestar su consentimiento.

Los profesionales sanitarios correspondientes podrn proceder al tratamiento de los datos de carcter personal relati-vos a la salud de las personas que acuden a los centros sanitarios pblicos o privados, de acuerdo con la legislacinsanitaria, y guardando el deber de secreto, obligacin que subsistir an despus de finalizar su relacin asistencial.

14DATOS SENSIBLES

www.FreeLibros.me


19/149

15ESTOS SON TUS DERECHOS: HAZLOS VALER

El derecho a la proteccin de datos puede considerarse una condicin preventiva para la garanta de otras libertades yderechos fundamentales.

La LOPD reconoce especficamente a los ciudadanos los siguientes derechos en materia de proteccin de datos:

Toda persona tiene derecho a saber porqu y cmo son tratadossus datos personales y decidir acerca del tratamiento

DERECHO DE INFORMACIN EN LA RECOGIDA DE DATOS

DERECHO DE CONSULTA AL REGISTRO GENERAL DEPROTECCIN DE DATOS

DERECHO DE ACCESO

DERECHO DE RECTIFICACIN

DERECHO DE CANCELACIN

DERECHO DE OPOSICIN

www.FreeLibros.me


20/149

Tales derechos pueden ejercerse respecto de cualquier fichero o tratamientode datos personales, ya sean automatizados o no automatizados

Los derechos de acceso, rectificacin, cancelacin y oposicin tienen carcter personalsimo, es decir, slo pueden ejer-cerse por el titular de los mismos o por su representante legal. No obstante, podr encomendarse su ejercicio a unrepresentante, siempre que el mismo pueda acreditar suficientemente tal condicin.

Todos estos derechos tienen carcter gratuito

Estos derechos deben ser respetados por los responsables de los tratamientos de datos personales.

En la pgina web de la Agencia www agpd es se encuentran disponibles los modelos de solicitudes para ejercitarestos derechos, as como para interponer en su caso las relamaciones oportunas ante la propia Agencia.

16

Si un ciudadano ejercita estos derechos y no recibe, a su juicio, la contestacin ade-cuada puede dirigirse a la Agencia Espaola de Proteccin de Datos para solicitar latutela de estos derechos, para lo cual se instruir el correspondiente procedimiento.

ESTOS SON TUS DERECHOS

El ciudadano tiene derecho a ser informado, en el momento que facilita sus datos personales.

El derecho de consulta permite al ciudadano, dirigindose al Registro General de Proteccin de Datos de la AEPD,conocer de la existencia de un fichero o tratamiento de datos.

El ciudadano puede ejercitar los derechos de acceso, rectificacin, cancelacin y oposicin ante el responsable de unfichero o de un tratamiento con el fin de conocer sus datos personales, para solicitar que sean modificados o can-

celados, o bien para oponerse a su tratamiento

www.FreeLibros.me


21/149

DERECHO DE INFORMACIN EN LA RECOGIDA DE DATOS.Tus datos personales van a ser incluidos en un fichero?Qu tratamientos van a realizarse con tus datos personales?S CONSCIENTE DE QUE ESTS FACILITANDO TUS DATOS PERSONALES.

Cualquier persona tiene derecho a saber si sus datos personales van a ser incluidos en un fichero, y los tratamientosque se realizan con esos datos.

Esta obligacin general del responsable debe ser facilitada con carcter general, salvo que la informacin se deduzca ine-quvocamente de la naturaleza de los propios datos personales y de las circunstancias en las que se produce la recogida.

El ciudadano debe ser informado de la recogida de sus datos y de su utilizacin. Este derecho de informacin es esencial por-que condiciona el ejercicio de otros derechos tales como el derecho de acceso, rectificacin, cancelacin y oposicin.

El art. 5 de la LOPD recoge la obligacin que tienen los responsables de ficheros o tratamientos de informar a los ciu-dadanos de la incorporacin de sus datos a un fichero, de la identidad y direccin del responsable, de la finalidad delfichero, de los destinatarios de la informacin, as como de la posibilidad de ejercitar los derechos de acceso, rectifica-cin, cancelacin y oposicin.

En el caso de utilizar Internet como medio de recogida de los datos, tambin debe facilitarse esta informacin a los

usuarios que registran sus datos.

Los responsables tienen obligacin de informar al ciudadanocuando recojan datos personales que le afecten.

17

Cuando los datos se recojan directamente de los afectados, la informacin deberfacilitarse con carcter previo a la recogida de los datos personales.


www.FreeLibros.me


22/149

En el caso de que los datos de carcter personal no hubieransido recabados del interesado, el responsable del fichero o surepresentante deben informarle de esa recogida en el plazo delos tres meses siguientes al momento del registro de los datos,

salvo que ya hubiera sido informado con anterioridad.

La AEPD no dispone de los datos personales de los ciudadanos incluidos en los ficherosdeclarados, pero s puede, previa solicitud de la persona afectada o bien de su representante,

facilitar la direccin de la oficina o dependencia del responsable del fichero o tratamiento antela que se pueden ejercer los derechos de acceso, rectificacin, cancelacin u oposicin, siendo el

citado responsable quien debe atender la peticin efectuada por la persona titular de los datos.

Si est previsto que los datos sean transmitidos a otras personas, la informacin debe realizarse a lo ms tardar en elmomento en que se produzca la primera comunicacin de los datos.

La consulta al RGPD puede realizarse por escrito o a travs de la pgina web de la Agencia www.agpd.es, en la quemensualmente se actualiza la informacin sobre los ficheros y tratamientos inscritos.

El art. 14 de la LOPD, permite a cualquier ciudadano dirigirse al Registro General de Proteccin de Datos (en lo suce-sivo RGPD) con el fin de obtener informacin sobre la existencia de tratamientos de datos de carcter personal, de susfinalidades y de la identidad del responsable del mismo. La consulta al RGPD es pblica y gratuita, y su objeto es hacerposible a todo ciudadano el ejercicio de los derechos de acceso, rectificacin, cancelacin y oposicin.

18

DERECHO DE CONSULTA AL REGISTRO GENERAL DE PROTECCIN DE DATOS.Quin est tratando tus datos personales?


En la medida de lo posible esta informacin debe estar incluida en los cuestionarios o impresos de recogida de losdatos.

www.FreeLibros.me


23/149

DERECHO DE ACCESO19

El ejercicio del derecho de acceso permite controlar la exactitud delos datos, y en caso de ser necesario, hacerlos rectificar o cancelar.

Esta informacin puede obtenerse bien mediante la mera consulta delos datos por medio de su visualizacin en pantalla, o bien a travs de

escrito, copia, telecopia o fotocopia, certificada o no, realizada enforma inteligible, sin utilizar claves o cdigos que requieran parasu comprensin el uso de dispositivos mecnicos especficos.

Toda persona tiene derecho a dirigirse al responsable o encargado de un fichero o tratamiento para conocer la tota-lidad de los datos personales que le afecten y as mismo, recibir una copia inteligible de los mismos, y cualquier infor-macin sobre su origen.

Ejerciendo el derecho de acceso, la persona puede informase de las finalidades del tratamiento, del tipo de datos regis-trados, de su origen, de los destinatarios de los datos y de las posibles transferencias de datos a otros pases.

En virtud del derecho de acceso, regulado en el art. 15 de la LOPD, el ciudadano puede solicitar y obtener gratuita-mente informacin sobre sus datos de carcter personal sometidos a tratamiento, as como la informacin disponiblesobre el origen de dichos datos y de las comunicaciones realizadas o que se prevean realizar.

El derecho de acceso respecto de los tratamiento realizados por una determinada entidad, persona u rgano admi-nistrativo, slo podr ejercitarse a intervalos no inferiores a doce meses, salvo que el ciudadano acredite un interslegtimo que posibilite su ejercicio con anterioridad al cumplimiento de dicho perodo.


www.FreeLibros.me


24/149

La obligacin de contestar a dicha solicitud ha de producirse con independencia de que figuren o no datos persona-les del ciudadano en sus ficheros. La contestacin al derecho de acceso ha de practicarse utilizando cualquier medioque permita acreditar el envo y la recepcin de la misma.

Puede denegarse el derecho de acceso si:

20

puede suponer un peligro para la defensa del Estado o la seguridad pbli-ca, la proteccin de los derechos y libertades de terceros o las necesida-des de las investigaciones que se estn realizando.

o en el caso de ficheros de la Hacienda Pblica, si este derecho obstaculi-za las actuaciones administrativas tendentes a asegurar el cumplimientode las obligaciones tributarias y, en todo caso, cuando el afectado estsiendo objeto de actuaciones inspectoras.


Para ejercer este derecho el ciudadano tiene que dirigirse al responsable del fichero o tratamiento, aportando foto-copia del DNI o documento que acredite la identidad y sea admitido en Derecho, o en caso de representacin, docu-mento acreditativo de la misma, e indicando el domicilio a efectos de notificaciones, la fecha y firma del solicitante.Los ciudadanos deben utilizar cualquier medio que permita acreditar el envo y la recepcin de la solicitud.

El responsable del fichero o tratamiento tiene que resolver la solicitud deacceso en el plazo mximo de un mes a contar desde la fecha en que

haya recibido la solicitud. En caso de estimar la solicitud, el acceso debehacerse efectivo en el plazo de los diez das siguientes a la notificacin.

www.FreeLibros.me


25/149

DERECHO DE RECTIFICACIN 21El artculo 16 de la LOPD, reconoce al ciudadano el derecho a dirigirse al responsable de un fichero o tratamientopara que rectifique sus datos personales.

La solicitud de rectificacin debe indicar el dato que se estima errneo y la correccin que debe realizarse y debe iracompaada de la documentacin justificativa de la rectificacin solicitada.

El responsable del fichero o tratamiento tiene el deber de atender el derecho de rectificacin en el plazo de diez dashbiles.

Deber contestar de forma motivada a la solicitud que se le dirija, con independencia de que figuren o no datos per-sonales del afectado en sus ficheros, debiendo utilizar cualquier medio que permita acreditar el envo y la recepcinde su respuesta.

Si un ciudadano contrasta que sus datos personales son inexactostiene derecho a solicitar su rectificacin ante el responsable.

Este derecho puede ejercitarse cuando el tratamientocontenga datos inexactos o incompletos.

Si los datos rectificados hubieran sido cedidos previamentea un tercero, el responsable del fichero tiene la obligacin

de notificar al cesionario la rectificacin practicada.


www.FreeLibros.me


26/149

Este derecho, regulado en el art. 16 de la LOPD, ofrece al ciudadano la posibilidad de dirigirse al responsable parasolicitar la cancelacin de sus datos personales.

Este derecho puede ejercerse cuando el tratamiento no se ajuste a lo dispuesto en la LOPD y, en particular, cuandolos datos resulten inexactos o incompletos.

En la solicitud de cancelacin, el interesado debe indicar la existencia del dato errneo o inexacto, en cuyo caso deberacompaar la documentacin justificativa.

El bloqueo tendr una duracin equivalente al plazo de prescripcin de dichas responsabilidades, debindose proce-der a la total supresin de los datos una vez cumplido el mismo.

El responsable del fichero o tratamiento tiene la obligacin de hacer efectivo el derecho de cancelacin en el plazode diez das naturales.

Deber contestar de forma motivada a la solicitud que se le dirija, con independencia de que figuren o no datos per-sonales del afectado en sus ficheros, debiendo utilizar cualquier medio que permita acreditar el envo y la recepcinde su respuesta.

22DERECHO DE CANCELACINESTOS SON TUS DERECHOSSi un ciudadano verifica que sus datos personales son inexactos ose han tratado ilegalmente, tiene derecho a solicitar su supresin.

La cancelacin dar lugar al bloqueo de los datos cuando sea precisoconservar stos nicamente a disposicin de las AdministracionesPblicas, Jueces y Tribunales, de cara a posibles responsabilidades.

www.FreeLibros.me


27/149

23Si los datos cancelados hubieran sido cedidos previamentea un tercero, el responsable del fichero deber notificar al

cesionario la cancelacin efectuada.

El responsable del fichero o tratamiento podr denegar la cancelacin, tanto en el caso de ficheros privados comopblicos, cuando exista un deber legal de conservacin de los datos, durante el plazo establecido en cada caso por lalegislacin aplicable. Asimismo, podr denegar la cancelacin cuando la conservacin del dato sea necesaria para el

cumplimiento de las obligaciones contractuales que le vinculen con el interesado y justifiquen el tratamiento de losdatos y, en todo caso, cuando su cancelacin pudiese causar perjuicio al propio ciudadano titular de los mismos o aterceros.

Toda persona tiene la posibilidad de oponerse, por un motivo legitimo y fundado, referido a una situacin personalconcreta, a figurar en un fichero o al tratamiento de sus datos personales, siempre que una ley no disponga lo con-trario. En principio, el ciudadano tiene la facultad de disponer y decidir sobre los usos de los datos personales que leconciernen, y por lo tanto, puede oponerse a aparecer en un determinado fichero o a que sus datos sean comunica-dos a terceros.

Este derecho de oposicin se encuentra regulado en los arts. 6.4, 17 y 30.4 de la LOPD. Se ejercita mediante una soli-citud por escrito dirigida al responsable del fichero o tratamiento, en la que se hagan constar los motivos fundados ylegtimos relativos a una concreta situacin personal del afectado, que justifican el ejercicio de este derecho.

DERECHO DE OPOSICIN


El ciudadano puede oponerse mediante su simple solicitud, a que susdatos sean tratados con fines de publicidad y de prospeccin comercial

www.FreeLibros.me


28/149

En el caso de que sea procedente acceder a la oposicin, el responsable delfichero ha de excluir del tratamiento los datos del ciudadano solicitante.

En relacin a los tratamientos de datos con fines de publicidad y de prospeccin comercial, los ciudadanos puedenejercer el derecho de oposicin y, a su simple solicitud, el responsable ha de dar de baja sus datos personales en eltratamiento, cancelando de este modo las informaciones que figuraban en el mismo.

El derecho de oposicin puede ejercitarse:

cuando no es obligatoria la recogida de los datos

renunciando a otorgar el consentimiento para el tratamiento de datosespecialmente protegidos de ideologa, religin o creencias

solicitando la eliminacin de datos contenidos en ficheros comerciales

sealando, en su caso, con una x la casilla destinada a indicar que noest de acuerdo con la cesin o comercializacin de sus datos

24

Puede ejercerse en el momento de la recogida de la informacin o posteriormente, dirigindose al responsable del fichero.

El derecho de oposicin no puede ejercerse ante muchos ficheros de titularidad pblica,como por ejemplo, los de Hacienda Pblica, los ficheros policiales, Seguridad Social, ...

El responsable del fichero o tratamiento tiene un plazo mximo de un mes a contar desde la recepcin de la peticin,para resolver la solicitud de oposicin. Si transcurrido este plazo no se ha recibido de forma expresa una respuesta ala peticin de acceso, sta puede entenderse desestimada a los efectos de presentar una reclamacin de tutela dederechos ante la AEPD.

www.FreeLibros.me


29/149

QU PUEDES HACER EN CASO DE VIOLACIN DE TUS DERECHOS? 25En caso de sospechar que han sido violados tus derechos en materia de proteccin de datos, en primer lugar debesintentar determinar la identidad del responsable del tratamiento. Para ello puedes ejercer tu derecho de consulta alRegistro General de Proteccin de Datos, as como los derechos de acceso, rectificacin, cancelacin y/u oposicin,segn sea el caso.

Si no obtienes un resultado satisfactorio con este procedimiento puedes acudir a la Agencia Espaola de Proteccin deDatos.

Las actuaciones contrarias al derecho fundamental a la proteccin de datos decarcter personal pueden ser denunciadas por los ciudadanos ante la AEPD y,

en su caso, posteriormente ante la jurisdiccin contencioso-administrativa.

Adems, si de dichas actuaciones se derivase un perjuicio para los interesados, los mismos podrn reclamar la corres-pondiente indemnizacin, bien ante la jurisdiccin civil, bien ante el rgano administrativo responsable, a travs, eneste caso, del procedimiento establecido al efecto en la Ley 30/1992, de 26 de noviembre, de Rgimen Jurdico de lasAdministraciones Pblicas y del Procedimiento Administrativo Comn.

Al ponerte en contacto con la AEPD debers describir el problemacon los suficientes pormenores, para ello puedes utilizar los formu-

larios disponibles en la pgina web de la AEPD www gpd es

www.FreeLibros.me


30/149

26El procedimiento de tutela tiene por finalidad garantizar elejercicio efectivo por parte del ciudadano de los derechos

de acceso, rectificacin, cancelacin y oposicin.

El ciudadano al que le haya sido denegado el ejercicio de los derechos de acceso, rectificacin, cancelacin y oposicinpuede ponerlo en conocimiento de la AEPD, para que sta constate la procedencia o improcedencia de la denegacin.

Para solicitar la tutela de derechos, el ciudadano tiene que presentar en la AEPD un escrito, en el que se expresen conclaridad sus datos, el contenido de la reclamacin y los preceptos de la LOPD que considere vulnerados.

La Agencia, a continuacin, da traslado de la reclamacin al responsable del fichero o tratamiento instndole paraque, en el plazo de quince das, formule las alegaciones que estime pertinentes.

QU PUEDES HACER EN CASO DE VIOLACIN DE TUS DERECHOS?

La AEPD tramitar el correspondiente procedimiento administrativo y resolver elmismo en el plazo mximo de seis meses, dando traslado de su resolucin a las partes.

Los procedimientos de tutela de derechos no tienen carcter sancionador, limitndose a estimar o desestimar las recla-maciones planteadas por los ciudadanos ante la Agencia. Sin embargo, en algunas ocasiones, los hechos constatadosen los citados procedimientos pueden dar lugar a la iniciacin de procedimientos sancionadores.

Las resoluciones del Director de la Agencia Espaola de Proteccin de Datos son firmes enva administrativa por lo que contra las mismas slo se podr interponer recurso potesta-tivo de reposicin, o bien recurso contencioso-administrativo ante la Audiencia Nacional.

TUTELA DE DERECHOS

El derecho a la tutela de derechos de los ciudadanos por parte de la AEPD est reconocido en el art. 18 de la LOPD.

www.FreeLibros.me


31/149

PROCEDIMIENTO SANCIONADOR

Los arts. 43 a 49 de la LOPD regulan el procedimiento sancionador que podr tramitar la AEPD. Este procedi-miento se inicia contra los responsables de ficheros cuando existan pruebas razonables de que se ha produci-do alguna infraccin de los principios y garantas contenidos en la LOPD.

El procedimiento sancionador se inicia siempre de oficio mediante acuerdo del Director de la Agencia cuando

existan pruebas razonables de que se ha producido alguna infraccin de los principios y garantas contenidosen la LOPD.

El rgimen sancionador establecido en los arts. 43 y siguientes de la LOPD, articula las infracciones en trestipos: leves, graves y muy graves.

Normalmente el acuerdo de iniciacin se origina como consecuencia de una denuncia realizada por un ciuda-dano o de un tercero. En otras ocasiones se debe al conocimiento por parte de la AEPD de un hecho presun-tamente ilcito, por ejemplo, a travs de alguna noticia aparecida en los medios de comunicacin social.

27

La AEPD investiga la denuncia y puede suspender temporalmente el tratamiento.En caso de concluir que se ha violado la LOPD la Agencia puede ordenar la

supresin o destruccin de los datos o prohibir el tratamiento.

www.FreeLibros.me


32/149

Un cdigo tipo es un documento de buenas prcticas en la aplicacin de losprincipios y garantas de proteccin de datos de carcter personal que ha sidoadoptado mediante un acuerdo sectorial, un convenio administrativo o unadecisin de empresa, por una organizacin de responsables de ficheros o

tratamientos de datos de titularidad pblica o privada.

El art. 32 de la LOPD establece que los cdigos tipo debern ser inscritos en el Registro General de Proteccin de Datosde la AEPD.

El hecho de que un sector de actividad haya elaborado un cdigo tipo y ste haya sido inscrito en el RGPD puede apor-tar una garanta adicional a la voluntad y el compromiso de la entidad que exhibe dicho Cdigo de conducta, ademsde una transparencia en el desarrollo de sus tratamientos de datos.

El cumplimiento de la LOPD es obligatorio para todos los responsables de ficheros o tratamientos de datos de carc-

ter personal.Un cdigo tipo no garantiza de manera absoluta el cumplimiento

de la normativa de proteccin de datos de carcter personal.

28CDIGOS TIPOLos responsables de ficheros o tratamientos de datos de carcter personal estn obligados a cumplir los principios ylas garantas que establece la LOPD. El cumplimiento de estas obligaciones muchas veces redunda en un aumento decalidad en la prestacin de sus servicios y ello, en una mejor consideracin por parte de las personas con las que man-tiene una relacin contractual, negocial, laboral, .....

www.FreeLibros.me


33/149

29FICHEROS DE INFORMACIN SOBRE SOLVENCIA PATRIMONIAL Y CRDITO Y SOBRE CUMPLIMIENTO OINCUMPLIMIENTO DE OBLIGACIONES DINERARIAS: FICHEROS DE MOROSOS

FICHEROS DE INFORMACIN SOBRE SOLVENCIA PATRIMONIAL Y CRDITO

Estos ficheros aparecen regulados en el artculo 29.1 de la LOPD y su rgimen es similar al de los restantes ficherossometidos a la misma. No obstante, se establecen determinadas especialidades en cuanto a la recogida de los datos.

Los responsables de este tipo de ficheros se encuentran habilitados por laLOPD para realizar tratamientos sobre datos de carcter personal obtenidosbien de los registros y fuentes accesibles al pblico establecidos al efecto, obien de informaciones facilitadas por el interesado o con su consentimiento.

A tal fin el art. 3,j) de la LOPD indica que tienen la consideracin de fuentes de acceso pblico, exclusivamente, el

censo promocional, los repertorios telefnicos en los trminos previstos en la normativa especfica, las listas de per-sonas pertenecientes a grupos profesionales (nicamente los datos relativos a nombre, ttulo, profesin, actividad,grado acadmico, direccin e indicacin de su pertenencia a grupo), los diarios y boletines oficiales y los medios decomunicacin social. Adems, en estos casos, ser necesario que la consulta de estas fuentes pueda ser realizada porcualquier persona no impedida por una norma limitativa o sin ms exigencia que, en su caso, el abono de una con-traprestacin.

ALGUNOS CASOS SIGNIFICATIVOS DE FICHEROS O TRATAMIENTOS DEDATOS PERSONALES

El art. 29 de la LOPD regula los ficheros o tratamientos de datos de carcter personal derivados de la prestacin deservicios de informacin sobre solvencia patrimonial y crdito. A tal efecto, distingue entre los ficheros o tratamien-tos de prestacin de informacin sobre la solvencia patrimonial y el crdito y los ficheros sobre cumplimiento o incum-plimiento de obligaciones dinerarias (generalmente denominados "ficheros de morosos").

www.FreeLibros.me


34/149

30

Adems, el ciudadano tiene derecho a solicitar al responsable del tratamientoque le comunique los datos, as como las evaluaciones y apreciaciones que sehayan comunicado durante los ltimos seis meses y el nombre y direccin de

la persona o entidad a quien se hayan revelado dichos datos.

FICHEROS SOBRE CUMPLIMIENTO O INCUMPLIMIENTO DE OBLIGACIONES DINERARIAS: FICHERO DEMOROSOS

El artculo 29.2 de la LOPD permite tratar datos de carcter personal relativosal cumplimiento o incumplimiento de obligaciones dinerarias facilitados por

los acreedores o por quien acte por su cuenta o inters.

Este caso da lugar a los ficheros o tratamientos comunes de solvencia patrimonial y crdito, conocidos popularmen-te como "ficheros de morosos".

Como en el caso de los ficheros de informacin sobre la solvencia patrimonial y el crdito, el ciudadano tiene derecho asolicitar al responsable que le comunique los datos, as como las evaluaciones y apreciaciones que se hayan comunicadodurante los ltimos seis meses y el nombre y direccin de la persona o entidad a quien se hayan revelado dichos datos.

En todo caso, este tipo de ficheros debern observar las siguientes reglas en el momento de realizar la recogida de losdatos:

No debern incorporarse datos personales que supongan una informacin sesgada respecto de aquella queha aparecido publicada.

Los datos han de referirse a una informacin exacta.

No debern incorporar aquellas informaciones que por su naturaleza y circunstancias no permitan una iden-

tiicacin completa del interesado

www.FreeLibros.me


35/149

ALGUNOS CASOS SIGNIFICATIVOS DE FICHEROS O TRATAMIENTOSDE DATOS PERSONALES 31

La inclusin de los datos de carcter personal en los ficheros relativos al cumplimientoo incumplimiento de obligaciones dinerarias, slo podr efectuarse cuando exista unadeuda cierta, vencida y exigible, que haya resultado impagada, y despus de que se

haya requerido al ciudadano afectado el pago de la deuda por el acreedor.

No podrn ser incluidos en ficheros de esta naturaleza los datos personales de un ciudadano cuando exista un prin-cipio de prueba documental que contradiga la existencia de la propia deuda. Del mismo modo, tal circunstanciadeterminar la cancelacin cautelar del dato personal desfavorable en los supuestos en que ya se hubiera efectuadola inclusin en el fichero.

Los responsables de estos ficheros slo podrn registrar y ceder los datos de carcter personal que sean determinan-tes para enjuiciar la solvencia econmica de los ciudadanos y que no se refieran, cuando sean adversos, a ms de seisaos, y siempre que respondan con veracidad y exactitud a la situacin actual de stos.

En el caso de que el ciudadano incluido en este tipo de ficherohaya procedido al pago de la deuda deber procederse a la

cancelacin del dato referido al mismo.

Para ello, el acreedor tendr que comunicar al responsable del fichero comn de informacin de solvencia patrimo-nial y crdito, en el plazo de una semana, la inexactitud o inexistencia de la deuda. Por lo tanto, si la deuda ya se hapagado, el acreedor tiene la obligacin de informar al responsable del fichero comn para que proceda a la rectifica-cin del dato del ciudadano que no responde a su situacin actual.

www.FreeLibros.me


36/149

En todo caso, el responsable de un fichero o tratamiento comn de morosidadtiene la obligacin de notificar al ciudadano que ha procedido a incluirlo en el

mismo haciendo referencia de los datos incluidos, as como al derecho quele asiste para recabar informacin de la totalidad de ellos en los trminos

establecidos en la LOPD.

Dicha notificacin deber efectuarse por el responsable en el plazo mximo de treinta das a contar desde el registrodel dato, e informar al afectado de su derecho a recabar informacin sobre los datos recogidos en el mismo.

La inscripcin en el fichero o tratamiento comn de la obligacin incumplida se efectuar, bien en un solo asiento, sifuese de vencimiento nico, bien en tantos asientos como vencimientos peridicos incumplidos existan, sealando,en este caso, la fecha concreta de cada uno de ellos.

Se efectuar una notificacin por cada deuda concreta y determinada, con independencia de que sta se tenga conel mismo o con distintos acreedores.

El responsable del fichero comn deber adoptar las medidas organizativas y tcnicas necesarias que permitan acre-ditar la realizacin material del envo de la comunicacin y la fecha de entrega o intento de entrega de la notificacin.

32

La notificacin se dirigir a la ltima direccin conocida delafectado, a travs de un medio fiable e independiente del

responsable del fichero o tratamiento comn.

CARACTERSTICAS DE ESTOS FICHEROS

COMUNICACIN DE INCLUSIN

www.FreeLibros.me


37/149

33DERECHO DE ACCESOEn relacin con este derecho, los responsables de los ficheros de prestacin de servicios de informacin sobre sol-vencia patrimonial y crdito estn obligados a satisfacer el derecho de acceso, cualquiera que sea el origen de losdatos incluidos en los mismos.

Adems, cuando el ciudadano lo solicite, el responsable del ficherocomn deber informar sobre las evaluaciones y apreciaciones que

se hayan comunicado en los ltimos seis meses, as como el nombre ydireccin de la persona o entidad a quien se hayan revelado los datos.

Las personas o entidades a las que se presta el servicio solamente estn obligadas, ante el ejercicio del derecho deacceso, rectificacin y cancelacin de un ciudadano, a comunicar los datos relativos al mismo a los que tengan acce-so, y la identidad del responsable del fichero comn para que pueda completar el ejercicio de sus derechos.

DERECHOS DE RECTIFICACIN Y CANCELACIN

En los ficheros comunes de prestacin de servicios de informacinsobre solvencia patrimonial y crdito, cuando el afectado lo solicite,

el responsable del fichero deber cumplir la obligacin de atenderlos derechos de rectificacin y cancelacin.

En relacin al ejercicio de estos derechos se pueden plantear los siguientes supuestos:

www.FreeLibros.me


38/149

34 Si la solicitud del ejercicio de los derechos de rectificacin o cancelacin de datos se dirige al responsable delfichero comn, ste trasladar dicha solicitud al acreedor que haya facilitado los datos relativos a la deuda,para que ste resuelva. En el caso de que el responsable del fichero comn no haya recibido contestacin porparte del acreedor en el plazo de diez das, proceder cautelarmente a la rectificacin o cancelacin de losmismos.

Si la solicitud del ejercicio de los derechos de rectificacin o cancelacin de datos se dirige a otra entidad

participante en el sistema y hace referencia a datos que dicha entidad haya facilitado al fichero comn, porser la misma la acreedora del interesado, dicha entidad proceder a la rectificacin o cancelacin de los datosen sus ficheros y a notificarlo al responsable del fichero comn en el plazo de diez das.

Si la solicitud hace referencia a datos que la entidad acreedora no hubiera facilitado al fichero comn, dichaentidad informar al afectado sobre este hecho, proporcionndole, adems, la identidad del responsable delfichero comn para que pueda completar el ejercicio de sus derechos.

FICHEROS DE MARKETING Y PUBLICIDAD

Las entidades que se dedican a la recopilacin de direcciones,reparto de documentos, publicidad, venta a distancia, prospeccin

comercial ... pueden utilizar los nombres y direcciones, as comootros datos personales que figuren en fuentes accesibles al pblico.

Los repertorios telefnicos y las listas de personas pertenecientes a un Colegio profesional, que contengan los datosde nombre, ttulo, profesin, actividad, grado acadmico, y la direccin son fuentes de acceso pblico. Tambin loson los diarios y boletines oficiales y los medios de comunicacin.

www.FreeLibros.me


39/149

35Los interesados pueden ejercer el derecho de acceso para conocer sus datos personales y el origen de los mismos.

Cuando una entidad toma datos personales de una fuente accesible al pblicopara realizar un tratamiento de publicidad o marketing debe informar alinteresado del origen de los datos y de la identidad del responsable del

tratamiento, diarios y boletines oficiales y medios de comunicacin.

Toda persona tiene derecho a oponerse al tratamiento desus datos personales con esta finalidad.

www.FreeLibros.me


40/149

La informacin de esta gua puede ser ampliada en

www.agpd.es

Servicio de Atencin al CiudadanoSagasta n 22. 28004 Madridcorreo - e: [email protected]

tl: 901 100 099 fax: 91 445 56 99

y: ev s

www.FreeLibros.me


41/149

Gua de seguridad de datos 2008

www.FreeLibros.me


42/149

de Seguridad de DatosGUAy: ev s

www.FreeLibros.me


43/149

AGENCIA ESPAOLA DE PROTECCIN DE DATOSNIPO: 052-08-003-6

Diseo Grfico:

Imprime: NILO Industria Grfica, S.A.

N y: ev s

www.FreeLibros.me


44/149

GUAde Seguridad de Datos

www.FreeLibros.me


45/149

indice

INTRODUCCIN

MEDIDAS DE SEGURIDADAPLICACIN DE NIVELESMEDIDAS A APLICAREL DOCUMENTO DE SEGURIDADCUADRO RESUMEN

GUA MODELO DEL DOCUMENTO DE SEGURIDADORGANIZACIN DEL MODELODOCUMENTO DE SEGURIDADMBITO DE APLICACIN DEL DOCUMENTOMEDIDAS, NORMAS, PROCEDIMIENTOS, REGLAS Y ESTNDARES ENCAMINADOS A GARANTIZAR LOSNIVELES DE SEGURIDAD EXIGIDOS EN ESTE DOCUMENTOPROCEDIMIENTO GENERAL DE INFORMACIN AL PERSONALFUNCIONES Y OBLIGACIONES DEL PERSONALPROCEDIMIENTOS DE NOTIFICACIN, GESTIN Y RESPUESTA ANTE LAS INCIDENCIASPROCEDIMIENTOS DE REVISIN

CONSECUENCIAS DEL INCUMPLIMIENTO DEL DOCUMENTO DE SEGURIDAD

ANEXO I - DESCRIPCIN DE FICHEROS

ANEXO II - NOMBRAMIENTOS

ANEXO III - AUTORIZACIONES DE SALIDA O RECUPERACIN DE DATOS

ANEXO IV - DELEGACIN DE AUTORIZACIONES

ANEXO V - INVENTARIO DE SOPORTES

ANEXO VI - REGISTRO DE INCIDENCIAS

ANEXO VII - ENCARGADOS DE TRATAMIENTO

ANEXO VIII - REGISTRO DE ENTRADA Y SALIDA DE SOPORTES

ANEXO IX - MEDIDAS ALTERNATIVAS

COMPROBACIONES PARA LA REALIZACIN DE LA AUDITORA DE SEGURIDADOBJETIVODETERMINACIN DEL ALCANCE DE LA AUDITORAPLANIFICACINRECOLECCIN DE DATOSEVALUACIN DE PRUEBASELABORACIN DEL INFORME

PREGUNTAS FRECUENTES

40404040414153

54

34

37

37

37

38

38

38

39

39

1414151719

29293132

33

4

7

788

10

www.FreeLibros.me


46/149

INTRODUCCIN

El artculo 9 de la Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos decarcter personal (LOPD), establece en su punto 1 que "el responsable del fichero, y, en sucaso, el encargado del tratamiento, debern adoptar las medidas de ndole tcnica y orga-nizativas necesarias que garanticen la seguridad de los datos de carcter personal y evitensu alteracin, prdida, tratamiento o acceso no autorizado, habida cuenta del estado de latecnologa, la naturaleza de los datos almacenados y los riesgos a que estn expuestos, yaprovengan de la accin humana o del medio fsico o natural".

El Reglamento de desarrollo de la LOPD (RLOPD), aprobado por el Real Decreto 1720/2007,

de 21 de diciembre, fue publicado en el BOE nmero 17, de 19 de enero de 2008. El TtuloVIII de este reglamento desarrolla las medidas de seguridad en el tratamiento de datos decarcter personal y tiene por objeto establecer las medidas de ndole tcnica y organizativanecesarias para garantizar la seguridad que deben reunir los ficheros, los centros de trata-miento, locales, equipos, sistemas, programas y las personas que intervengan en el trata-miento de los datos de carcter personal.

Entre estas medidas, se encuentra la elaboracin e implantacin de la normativa de segu-ridad mediante un documento de obligado cumplimiento para el personal con acceso a losdatos de carcter personal.

Con el objeto de facilitar a los responsables de ficheros y a los encargados de tratamientosde datos personales la adopcin de las disposiciones del RLOPD, la Agencia Espaola deProteccin de Datos pone a su disposicin este documento, en el que se recopila un cua-dro resumen de las medidas de seguridad recogidas en el citado Ttulo VIII, un modelo de"Documento de Seguridad", que sirve de gua y facilita el desarrollo y cumplimiento de lanormativa sobre proteccin de datos, y por ltimo, una relacin de comprobaciones con elobjeto de facilitar la realizacin de la auditora de seguridad.

4

www.FreeLibros.me


47/149

En la web de la Agencia Espaola de Proteccin de Datos se encuentra disponible la ver-sin actualizada de esta Gua de Seguridad (www.agpd.es)

AVISO IMPORTANTE:

Debe entenderse, en cualquier caso, que siempre habr que ate-nerse a lo dispuesto en la LOPD, en el RLOPD, y en el resto de pre-visiones relativas a la proteccin de datos de carcter personal, yque la utilizacin de este modelo como gua de ayuda para des-arrollar un "Documento de Seguridad" debe, en todo caso, teneren cuenta los aspectos y circunstancias aplicables en cada casoconcreto, sin prejuzgar el criterio de la Agencia Espaola deProteccin de Datos en el ejercicio de sus funciones.

5

www.FreeLibros.me


48/149

www.FreeLibros.me


49/149

MEDIDAS DE SEGURIDAD

Las medidas de seguridad exigibles a los ficheros y tratamientos de datos personales seclasifican en tres niveles: BSICO, MEDIO y ALTO.

APLICACION DE NIVELES

A continuacin se indican los ficheros y tratamientos a los que corresponde aplicar lasmedidas de seguridad relativas a cada uno de los niveles que determina el RLOPD.

NIVEL ALTO. Ficheros o tratamientos con datos:

de ideologa, afiliacin sindical, religin, creencias, origen racial, salud o vida sexual yrespecto de los que no se prevea la posibilidad de adoptar el nivel bsico;recabados con fines policiales sin consentimiento de las personas afectadas; yderivados de actos de violencia de gnero.

NIVEL MEDIO. Ficheros o tratamientos con datos:

relativos a la comisin de infracciones administrativas o penales;que se rijan por el artculo 29 de la LOPD (prestacin de servicios de solvencia patrimo-nial y crdito);

de Administraciones tributarias, y que se relacionen con el ejercicio de sus potestades tri-butarias;de entidades financieras para las finalidades relacionadas con la prestacin de serviciosfinancieros;de Entidades Gestoras y Servicios Comunes de Seguridad Social, que se relacionen conel ejercicio de sus competencias;

7

www.FreeLibros.me


50/149

8

de mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social;que ofrezcan una definicin de la personalidad y permitan evaluar determinados aspec-tos de la misma o del comportamiento de las personas; yde los operadores de comunicaciones electrnicas, respecto de los datos de trfico ylocalizacin 1

NIVEL BSICO. Cualquier otro fichero que contenga datos de carcter personal. Tambinaquellos ficheros que contengan datos de ideologa, afiliacin sindical, religin, creencias,salud, origen racial o vida sexual, cuando:

los datos se utilicen con la nica finalidad de realizar una transferencia dineraria a enti-dades de las que los afectados sean asociados o miembros;se trate de ficheros o tratamientos no automatizados o sean tratamientos manuales deestos tipos de datos de forma incidental o accesoria, que no guarden relacin con lafinalidad del fichero; yen los ficheros o tratamientos que contengan datos de salud, que se refieran exclusiva-mente al grado o condicin de discapacidad o la simple declaracin de invalidez, conmotivo del cumplimiento de deberes pblicos.

MEDIDAS A APLICAR

EL DOCUMENTO DE SEGURIDAD

Es un documento interno de la organizacin, que debe mantenerse siempre actualizado.Disponer del documento de seguridad es una obligacin para todos los responsables deficheros y, en su caso, para los encargados del tratamiento, con independencia del nivel deseguridad que sea necesario aplicar.

Los apartados mnimos que debe incluir el documento de seguridad son los siguientes:

mbito de aplicacin: especificacin detallada de los recursos protegidos;medidas, normas, procedimientos, reglas y estndares de seguridad;funciones y obligaciones del personal,

1 Para esta categora de ficheros adems deber disponerse de un registro de accesos

www.FreeLibros.me


51/149

estructura y descripcin de los ficheros y sistemas de informacin;procedimiento de notificacin, gestin y respuesta ante incidencias;procedimiento de copias de respaldo y recuperacin de datos;medidas adoptadas en el transporte, destruccin y/o reutilizacin de soportes y docu-mentos.

A partir del nivel medio de medidas de seguridad, adems de los apartados anteriores,debern incluirse los siguientes:

identificacin del responsable de seguridad ycontrol peridico del cumplimiento del documento

En caso de haber contratado la prestacin de servicios por terceros para determinados fiche-ros, en el documento de seguridad se debe hacer constar esta circunstancia, indicando unareferencia al contrato y su vigencia, as como los ficheros objeto de este tratamiento.

Si se ha contratado la prestacin de servicios en relacin con la totalidad de los ficherosy tratamientos de datos del responsable, y dichos servicios se prestan en las instalacionesdel encargado del tratamiento se podr delegar en ste la llevanza del documento deseguridad.

En el captulo de Gua modelo del Documento de seguridad se encuentra el modelo quefacilita la elaboracin de este documento de seguridad.

9

www.FreeLibros.me


52/149

10

Funciones y obligaciones de losdiferentes usuarios o de los perfi-les de usuarios claramente defini-das y documentadas.

Definicin de las funciones decontrol y las autorizacionesdelegadas por el responsable.

Difusin entre el personal, de lasnormas que les afecten y de lasconsecuencias por su incumpli-miento.

Registro de incidencias: tipo,momento de su deteccin, per-sona que la notifica, efectos ymedidas correctoras.

Procedimiento de notificacin ygestin de las incidencias.

SOLO FICHEROS AUTOMATIZADOS

Anotar los procedimientos derecuperacin, persona que lo eje-cuta, datos restaurados, y en sucaso, datos grabados manual-mente.

Autorizacin del responsable delfichero para la recuperacin dedatos.

Relacin actualizada de usuariosy accesos autorizados.

Control de accesos permitidos a

cada usuario segn las funcionesasignadas.

Mecanismos que eviten el acceso adatos o recursos con derechos dis-tintos de los autorizados.

Concesin de permisos de accesoslo por personal autorizado.

Mismas condiciones para perso-nal ajeno con acceso a los recur-sos de datos.


Control de acceso fsico a loslocales donde se encuentrenubicados los sistemas de infor-macin.

SOLO FICHEROS AUTOMATIZADOSRegistro de accesos: usuario,hora, fichero, tipo de acceso,autorizado o denegado.

Revisin mensual del registro porel responsable de seguridad.

Conservacin 2 aos.

No es necesario este registro si elresponsable del fichero es una per-sona fsica y es el nico usuario.

SOLO FICHEROS NO AUTOMATIZADOS

Control de accesos autorizados.

Identificacin accesos para docu-mentos accesibles por mltiplesusuarios.

El responsable del fichero tieneque designar a uno o varios res-ponsables de seguridad (no es unadelegacin de responsabilidad).

El responsable de seguridad es elencargado de coordinar y contro-lar las medidas del documento.

RESPONSABLEDESEGURIDAD

PERSONAL

INCIDENCIAS

CONTROLDE ACCESO

Nivel BsicoNivel Medio

Nivel Alto

CUADRO

RESUMEN

www.FreeLibros.me


53/149

11


Copia de respaldo y procedi-mientos de recuperacin enlugar diferente del que seencuentren los equipos.


El archivo de los documentosdebe realizarse segn criteriosque faciliten su consulta y locali-zacin para garantizar el ejerci-cio de los derechos de Acceso,Rectificacin, Cancelacin yOposicin (ARCO)


Registro de entrada y salida desoportes: documento o soporte,fecha, emisor/destinatario, nme-ro, tipo de informacin, forma deenvo, responsable autorizadopara recepcin/entrega.


Sistema de etiquetado confidencial.

Cifrado de datos en la distribu-cin de soportes.

Cifrado de informacin en dis-positivos porttiles fuera de lasinstalaciones (evitar el uso dedispositivos que no permitancifrado, o adoptar medidasalternativas).GESTIN DE

SOPORTES

COPIAS DE

RESPALDO

CRITERIOS DEARCHIVO


Nivel AltoSOLO FICHEROS AUTOMATIZADOSIdentificacin y autenticacinpersonalizada.

Procedimiento de asignacin ydistribucin de contraseas.

Almacenamiento ininteligible delas contraseas.

Periodicidad del cambio de con-traseas (


54/149


Dispositivos de almacenamientodotados de mecanismos queobstaculicen su apertura.


Armarios, archivadores de docu-mentos en reas con acceso pro-tegido mediante puertas con llave.


Slo puede realizarse por losusuarios autorizados.

Destruccin de copias desechadas.

ALMACENAMIENTO


Durante la revisin o tramitacinde los documentos, la persona acargo de los mismos debe serdiligente y custodiarla para evitaraccesos no autorizados.

CUSTODIASOPORTES

COPIA OREPRODUCCIN


Transmisin de datos a travs deredes electrnicas cifradas.


Medidas que impidan el accesoo manipulacin.

Al menos cada dos aos, interna oexterna.

Debe realizarse ante modificacio-nes sustanciales en los sistemas deinformacin con repercusiones enseguridad.

Verificacin y control de la adecua-cin de las medidas.

Informe de deteccin de deficienciasy propuestas correctoras.

Anlisis del responsable de seguri-dad y conclusiones elevadas al res-ponsable del fichero.AUDITORIA

TELECOMUNICACIONES

TRASLADODOCUMENTACIN


Nivel Alto

12

www.FreeLibros.me


55/149

13

Los accesos a travs de redes de telecomunicaciones deben garantizar un nivel deseguridad equivalente al de los accesos en modo local.

La ejecucin de trabajos fuera de los locales del responsable o del encargado del trata-miento debe ser previamente autorizada por el responsable del fichero, constar en el

documento de seguridad y garantizar el nivel de seguridad.

Los ficheros temporales debern cumplir el nivel de seguridad correspondiente y sernborrados una vez que hayan dejado de ser necesarios.

Acceso facilitado a un encargado del tratamiento deber constar en el documento deseguridad y deber comprometerse al cumplimiento de las medidas de seguridad pre-vistas.

www.FreeLibros.me


56/149

GUA MODELO DEL DOCUMENTO DE SEGURIDAD

ORGANIZACIN DEL MODELO

El RLOPD especifica que se puede disponer de un solo documento que incluya todos losficheros y tratamientos con datos personales de los que una persona fsica o jurdica searesponsable, un documento por cada fichero o tratamiento, o los que determine el respon-sable atendiendo a los criterios organizativos que haya establecido. Cualquiera de las opcio-nes puede ser vlida. En este caso se ha optado por el primer tipo, organizando el "docu-mento de seguridad" en dos partes: en la primera se recogen las medidas que afectan a

todos los sistemas de informacin de forma comn con independencia del sistema de tra-tamiento sobre el que se organizan: informatizado, manual o mixto, y en la segunda seincluye un anexo por cada fichero o tratamiento, con las medidas que le afecten de formaconcreta. Adems, se han especificado aquellas medidas que afectan slo a ficheros auto-matizados y las que afectan a los no automatizados de forma exclusiva.

El modelo se ha redactado con el objeto de recopilar las exigencias mnimas establecidaspor el Reglamento. Es posible y recomendable incorporar cualquier otra medida que se con-sidere oportuna para aumentar la seguridad de los tratamientos, o incluso, adoptar lasmedidas exigidas para un nivel de seguridad superior al que por el tipo de informacin lescorrespondera, teniendo en cuenta la infraestructura y las circunstancias particulares de la

organizacin.Dentro del modelo se utilizarn los siguientes smbolos convencionales:: Entre los caracteres "", se encuentran los comentariosaclaratorios sobre el contenido que debe tener un campo. Estos textos no deben figurar enel documento final, y deben desarrollarse para ser aplicados a cada caso concreto.

14

www.FreeLibros.me


57/149

NIVEL MEDIO: con esta marca se sealarn las medidas que slo son obligatorias en losficheros que tengan que adoptar un nivel de seguridad medio.

NIVEL ALTO: Con esta marca se sealarn las medidas que slo son obligatorias en losficheros que tengan que adoptar un nivel de seguridad alto.

A: Con esta marca se sealarn las medidas especficas para aplicar exclusivamente aficheros informatizados o automatizados.

M: Con esta marca se sealarn las medidas especficas para aplicar exclusivamente aficheros manuales o no automatizados.

Las medidas que no van precedidas de ninguna de estas marcas deben aplicarse con carc-ter general, tanto a ficheros o tratamientos automatizados como no automatizados y conindependencia del nivel de seguridad.

NOTA ACLARATORIA: Las medidas de seguridad de nivel bsico son exigibles en todos loscasos. Las medidas de nivel medio complementan a las anteriores en el caso de ficheros cla-sificados en este nivel, y las de nivel alto, cuando deban adoptarse, incluyen tambin las denivel bsico y medio.

DOCUMENTO DE SEGURIDAD

El presente Documento y sus Anexos, redactados en cumplimiento de lo dispuesto en elRLOPD recogen las medidas de ndole tcnica y organizativa necesarias para garantizar la

proteccin, confidencialidad, integridad y disponibilidad de los recursos afectados por lodispuesto en el citado Reglamento y en la LOPD.

El contenido de este documento queda estructurado como sigue:mbito de aplicacin del documento.Medidas, normas, procedimientos, reglas y estndares encaminados a garantizar losniveles de seguridad exigidos en este documento.

15

www.FreeLibros.me


58/149

Procedimiento general de informacin al personal.Funciones y obligaciones del personal.Procedimientos de notificacin, gestin y respuestas ante las incidencias.Procedimientos de revisin.Consecuencias del incumplimiento del Documento de Seguridad.

ANEXO I. Descripcin de ficheros.

ANEXO II. Nombramientos.

ANEXO III. Autorizaciones de salida o recuperacin de datos.

ANEXO IV. Delegacin de autorizaciones.

ANEXO V. Inventario de soportes.

ANEXO VI. Registro de incidencias.

ANEXO VII. Encargados de tratamiento.

ANEXO VIII. Registro de entrada y salida de soportes.

ANEXO IX. Medidas alternativas.

16

www.FreeLibros.me


59/149

MBITO DE APLICACIN DEL DOCUMENTO

El presente documento ser de aplicacin a los ficheros que contienen datos de carcterpersonal que se hallan bajo la responsabilidad de , incluyendo

los sistemas de informacin, soportes y equipos empleados para el tratamiento de datos decarcter personal, que deban ser protegidos de acuerdo a lo dispuesto en normativa vigen-te, las personas que intervienen en el tratamiento y los locales en los que se ubican.

Las medidas de seguridad se clasifican en tres niveles acumulativos (bsico, medio y alto)atendiendo a la naturaleza de la informacin tratada, en relacin con la menor o mayornecesidad de garantizar la confidencialidad y la integridad de la informacin.

NIVEL ALTO: Se aplicarn a los ficheros o tratamientos de datos:

de ideologa, afiliacin sindical, religin, creencias, origen racial, salud o vida sexual yrespecto de los que no se prevea la posibilidad de adoptar el nivel bsico;recabados con fines policiales sin consentimiento de las personas afectadas; yderivados de actos de violencia de gnero.

NIVEL MEDIO: Se aplicarn a los ficheros o tratamientos de datos:

relativos a la comisin de infracciones administrativas o penales;que se rijan por el artculo 29 de la LOPD (prestacin de servicios de solvencia patrimo-nial y crdito);de Administraciones tributarias, y que se relacionen con el ejercicio de sus potesta-des tributarias;de entidades financieras para las finalidades relacionadas con la prestacin de servicios

financieros;de Entidades Gestoras y Servicios Comunes de Seguridad Social, que se relacionen conel ejercicio de sus competencias;de mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social;que ofrezcan una definicin de la personalidad y permitan evaluar determinados aspec-tos de la misma o del comportamiento de las personas; y

17

www.FreeLibros.me


60/149

de los operadores de comunicaciones electrnicas, respecto de los datos de trfico ylocalizacin2.

NIVEL BSICO: Se aplicarn a cualquier otro fichero que contenga datos de carcter perso-nal. Tambin aquellos ficheros que contengan datos de ideologa, afiliacin sindical, reli-

gin, creencias, salud, origen racial o vida sexual, cuando:

los datos se utilicen con la nica finalidad de realizar una transferencia dineraria a enti-dades de las que los afectados sean asociados o miembros;se trate de ficheros o tratamientos no automatizados o sean tratamientos manuales deestos tipos de datos de forma incidental o accesoria, que no guarden relacin con lafinalidad del fichero; yen los ficheros o tratamientos que contengan datos de salud, que se refieran exclusiva-mente al grado o condicin de discapacidad o la simple declaracin de invalidez, conmotivo del cumplimiento de deberes pblicos.

En concreto, los ficheros sujetos a las medidas de seguridad establecidas en este documen-to, con indicacin del nivel de seguridad correspondiente, son los siguientes:

.......................En el Anexo I se describen detalladamente cada uno de los ficheros o tratamientos, juntocon los aspectos que les afecten de manera particular.

18

2 Para esta categora de ficheros adems deber disponerse de un registro de accesos.

www.FreeLibros.me


61/149

MEDIDAS, NORMAS, PROCEDIMIENTOS, REGLAS Y ESTNDARES ENCAMINADOS AGARANTIZAR LOS NIVELES DE SEGURIDAD EXIGIDOS EN ESTE DOCUMENTO

IDENTIFICACIN Y AUTENTICACIN

Medidas y normas relativas a la identificacin y autenticacin del personal autorizado paraacceder a los datos personales.

A

.

A

NIVEL MEDIO En los ficheros , se limitar la posibilidad de intentar reiteradamen-te el acceso no autorizado al sistema de informacin.

19

www.FreeLibros.me


62/149

CONTROL DE ACCESO

El personal slo acceder a aquellos datos y recursos que precise para el desarrollo de susfunciones. El responsable del fichero establecer mecanismos para evitar que un usuariopueda acceder a recursos con derechos distintos de los autorizados .

Exclusivamente el est autorizado para conceder, alterar oanular el acceso sobre los datos y los recursos, conforme a los criterios establecidos por elresponsable del fichero .

.

En el Anexo I, se incluye la relacin de usuarios actualizada con acceso autorizado a cadasistema de informacin. Asimismo, se incluye el tipo de acceso autorizado para cada unode ellos. Esta lista se actualizar .

De existir personal ajeno al responsable del fichero con acceso a los recursos deber estarsometido a las mismas condiciones y obligaciones de seguridad que el personal propio.

20

www.FreeLibros.me


63/149

NIVEL ALTO: REGISTRO DE ACCESOS

A

En los accesos a los datos de los ficheros de nivel alto, se registrar por cada acceso la identificacin del usuario, la fecha y horaen que se realiz, el fichero accedido, el tipo de acceso y si ha sido autorizado o denega-do. Si el acceso fue autorizado, se almacenar tambin la informacin que permita identi-ficar el registro accedido.

.

Los datos del registro de accesos se conservaran durante .

El responsable de seguridad revisar al menos una vez al mes la informacin de controlregistrada y elaborar un informe segn se detalla en el captulo de Comprobaciones parala realizacin de la auditora de seguridad de este documento.

No ser necesario el registro de accesos cuando:el responsable del fichero es una persona fsica,el responsable del fichero garantice que slo l tiene acceso y trata los datos personales,yse haga constar en el documento de seguridad.

M

El acceso a la documentacin se limita exclusivamente al personal autorizado.Se establece el siguiente mecanismo para identificar los accesos realizados en el caso de losdocumentos relacionados .

21

www.FreeLibros.me


64/149

GESTIN DE SOPORTES Y DOCUMENTOS

Los soportes que contengan datos de carcter personal debern permitir identificar el tipode informacin que contienen, ser inventariados y sern almacenados en , lugar de acceso restringido al que solo ten-drn acceso las personas con autorizacin que se relacionan a continuacin: .

Los siguientes soportes cumplirn con las obligacio-nes indicadas en el prrafo anterior, dadas sus caractersticas fsicas, que imposibilitan elcumplimiento de las mismas.

Los siguientes soportes seidentificarn utilizando los sistemas de etiquetado siguientes .

Los soportes se almacenarn de acuerdo a las siguientes normas: .

La salida de soportes y documentos que contengan datos de carcter personal, incluidoslos comprendidos en correos electrnicos, fuera de los locales bajo el control del responsa-ble del tratamiento, deber ser autorizada por el responsable del fichero o aquel en que sehubiera delegado de acuerdo al siguiente procedimiento


65/149

seguir para que se lleve a cabo la autorizacin. Tener en cuenta tambin los ordenadoresporttiles y el resto de dispositivos mviles que puedan contener datos personales>.

En el Anexo III se incluirn los documentos de autorizacin relativos a la salida de soportes

que contengan datos personales.

Los soportes que vayan a ser desechados, debern ser previamente de forma que no sea posible el acceso a lainformacin contenida en ellos o su recuperacin posterior.

En el traslado de la documentacin se adoptarn las para evitar la sustraccin, prdida o acceso indebido a la informacin.

ANIVEL MEDIO : REGISTRO DE ENTRADA Y SALIDA DE SOPORTES

Las salidas y entradas de soportes correspondientes a los ficheros , sern registradas de acuerdo al siguiente procedimien-to: .El registro de entrada y salida de soportes se gestionar mediante y en el que debern cons-tar .

.

23

www.FreeLibros.me


66/149

A

NIVEL ALTO: GESTIN Y DISTRIBUCIN DE SOPORTES

Los soportes relacionados se identificarn mediante el sis-tema de etiquetado .

La distribucin y salida de soportes que contengan datos de carcter personal de los fiche-ros se realizar .

Los siguientes dispositivos porttiles , debido a las razones indicadas , se utilizarn en el tratamiento de datos personales adoptndo-se las medidas que a continuacin se explicitan .

M

CRITERIOS DE ARCHIVO

El archivo de los soportes o documentos se realizar de acuerdo con los criterios .

24

www.FreeLibros.me


67/149

M

ALMACENAMIENTO DE LA INFORMACIN

Los siguientes dispositivos se utilizarn para guardar los documentos con datos personales.

NIVEL ALTO: Los elementos de almacenamiento respecto de los documentos con datos personales, seencuentran en .

M

CUSTODIA DE SOPORTES

En tanto los documentos con datos personales no se encuentren archivados en los dispo-sitivos de almacenamientos indicados en el punto anterior, por estar en proceso de trami-tacin, las personas que se encuentren a su cargo debern custodiarlos e impedir el acce-so a personas no autorizadas.

ACCESO A DATOS A TRAVS DE REDES DE COMUNICACIONES

.

25

www.FreeLibros.me


68/149

A

NIVEL ALTO: Los datos personales correspondientes a los ficheros , que se transmitan a travs de redes pblicas o inalmbricas de comunicaciones elec-trnicas se realizar cifrando previamente estos datos .

RGIMEN DE TRABAJO FUERA DE LOS LOCALES DE LA UBICACIN DEL FICHERO

Se pueden llevar a cabo los siguientes tratamientos de datos personales fuera de los locales del responsable del fiche-ro , as como mediante dispositivos porttiles. Esta autorizacin regir durante.

.

.

M

TRASLADO DE DOCUMENTACIN

Siempre que se proceda al traslado fsico de la documentacin contenida en un fichero,debern adoptarse las siguientes medidas .

26

www.FreeLibros.me


69/149

FICHEROS TEMPORALES O COPIAS DE TRABAJO DE DOCUMENTOS

Los ficheros temporales o copias de documentos creados exclusivamente para trabajostemporales o auxiliares, debern cumplir el nivel de seguridad que les corresponda conarreglo a los criterios expresados en el Reglamento de medidas de seguridad, y sernborrados o destruidos una vez que hayan dejado de ser necesarios para los fines quemotivaron su creacin.

M

NIVEL ALTOCOPIA O REPRODUCCIN

La realizacin de copias o reproduccin de los documentos con datos personales slo se

podrn realizar bajo el control del siguiente personal autorizado .

Las copias desechadas debern ser destruidas imposibilitando el posterior acceso a la infor-macin contenida .

A

COPIAS DE RESPALDO Y RECUPERACIN

Se realizarn copias de respaldo, salvo que no se hubiese producido ninguna actualizacinde los datos, con la siguiente periodicidad .

27

www.FreeLibros.me


70/149

Los procedimientos establecidos para las copias de respaldo y para su recuperacin garan-tizarn su reconstruccin en el estado en que se encontraban al tiempo de producirse laprdida o destruccin. nicamente respecto de los ficheros parcialmente automatizadossiguientes , se grabarn manualmente los datos. .

El responsable del fichero verificar semestralmente los procedimientos de copias de respal-do y recuperacin de los datos.

Las pruebas anteriores a la implantacin o modificacin de sistemas de informacin se rea-lizarn con datos reales previa copia de seguridad, y garantizando el nivel correspondienteal tratamiento realizado.

En el Anexo I se detallan los procedimientos de copia y recuperacin de respaldo para cadafichero.

NIVEL ALTO: En los ficheros se conservar una copia derespaldo y de los procedimientos de recuperacin de los datos en .

NIVEL MEDIO: RESPONSABLE DE SEGURIDAD

Se designa como responsable de seguridad , que con carcter general se encargar de coordinar y controlar las medidasdefinidas en este documento de seguridad. .

En ningn caso, la designacin supone una exoneracin de la responsabilidad que corres-ponde a comoresponsable del fichero de acuerdo con el RLOPD.

28

www.FreeLibros.me


71/149

El responsable de seguridad desempear las funciones encomendadas durante el periodode . Una vez transcurrido este plazo podr nombrar al mismo responsable de seguridad o aotro diferente.

En el Anexo II se encuentran las copias de los nombramientos de responsables de seguridad.

PROCEDIMIENTO GENERAL DE INFORMACIN AL PERSONAL

Las funciones y obligaciones de cada una de las personas con acceso a los datos de carc-ter personal y a los sistemas de informacin estn definidas de forma general en el Captulosiguiente y de forma especfica para cada fichero en la parte del Anexo I correspondiente.

Para asegurar que todas las personas conocen las normas de seguridad que afectan al des-arrollo de sus funciones, as como las consecuencias del incumplimiento de las mismas,

sern informadas de acuerdo con el siguiente procedimiento: .

.

FUNCIONES Y OBLIGACIONES DEL PERSONAL

FUNCIONES Y OBLIGACIONES DE CARCTER GENERAL.

Todo el personal que acceda a los datos de carcter personal est obligado a conocer yobservar las medidas, normas, procedimientos, reglas y estndares que afecten a las fun-ciones que desarrolla.

29

www.FreeLibros.me


72/149

Constituye una obligacin del personal notificar al las incidencias de seguridad de las que tengan conocimiento respecto a losrecursos protegidos, segn los procedimientos establecidos en este Documento, y en con-creto en el apartado de Procedimientos de notificacin, gestin y respuesta ante las inci-dencias.

Todas las personas debern guardar el debido secreto y confidencialidad sobre los datospersonales que conozcan en el desarrollo de su trabajo.

Funciones y obligaciones de .

El personal que realice trabajos que no impliquen el tratamiento de datos personales ten-drn limitado el acceso a estos datos, a los soportes que los contengan, o a los recursos delsistema de informacin.

Cuando se trate de personal ajeno, el contrato de prestacin de servicios recoger expresa-mente la prohibicin de acceder a los datos personales y la obligacin de secreto respectode aquellos datos que hubiera podido conocer durante la prestacin del servicio.

Se delegan las siguientes autorizaciones en los usuarios relacionados .

30

www.FreeLibros.me


73/149

PROCEDIMIENTOS DE NOTIFICACIN, GESTIN Y RESPUESTA ANTE LAS INCIDENCIAS

Se considerarn como "incidencias de seguridad", entre otras, cualquier incumplimiento dela normativa desarrollada en este Documento de Seguridad, as como a cualquier anoma-la que afecte o pueda afectar a la seguridad de los datos de carcter personal de .

El procedimiento a seguir para la notificacin de incidencias ser .

El registro de incidencias se gestionar mediante .

A

NIVEL MEDIO: En el registro de incidencias se consignarn tambin los procedimientos derecuperacin de datos que afecten a los ficheros , del modo que se indica a continuacin .

NIVEL MEDIO: Para ejecutar los procedimientos de recuperacin de datos en los ficherosmencionados en el prrafo anterior, ser necesaria la autorizacin por escrito del responsa-ble del fichero.

31

www.FreeLibros.me


74/149

En el Anexo III se incluirn los documentos de autorizacin del responsable del fichero rela-tivos a la ejecucin de procedimientos de recuperacin de datos.

PROCEDIMIENTOS DE REVISIN

REVISIN DEL DOCUMENTO DE SEGURIDAD

.

NIVEL MEDIO: AUDITORA


75/149

Con carcter extraordinario deber realizarse cuando se lleven a cabo modificaciones sus-tanciales en el sistema de informacin que puedan repercutir en el cumplimiento de lasmedidas de seguridad implantadas, con el objeto de verificar la adaptacin, adecuacin yeficacia de las mismas. Esta auditoria inicia el cmputo de dos aos sealado.

El informe analizar la adecuacin de las medidas y controles a la Ley y su desarrollo regla-mentario, identificar las deficiencias y propondr las medidas correctoras o complementa-rias necesarias.

Los informes de auditora han de ser analizados por el responsable de seguridad competen-te, que elevar las conclusiones al responsable del fichero para que adopte las medidascorrectoras y quedar a disposicin de la Agencia Espaola de Proteccin de Datos, o en sucaso de las autoridades de control de las comunidades autnomas>.

NIVEL ALTO: INFORME MENSUAL SOBRE EL REGISTRO DE ACCESOS

.

CONSECUENCIAS DEL INCUMPLIMIENTO DEL DOCUMENTO DE SEGURIDAD

El incumplimiento de las obligaciones y medidas de seguridad establecidas en el presentedocumento por el personal afectado, se sancionar conforme a .

33

www.FreeLibros.me

5/24/2018 110003 Seguridad y Alta Dispo

110003 seguridad y alta disponibilidad-material extra

Documents