Sanciones impuestras por la AEPD (2010)

La distribución de sanciones que ha puesto la AEPD según su gravedad es:

• Graves: 63,14 %
• Leves: 34,35 %
• Muy graves: 2,50 %

Las infracciones según la ley infringida son:

• Ley Orgánica de Protección de Datos: 92,49 %
• Ley de Servicios de la Sociedad de Información (LSSI): 7,23 %
• Ley General de Telecomunicaciones: 0,28 %

En cuanto al nº de sanciones y denuncias durante el año 2010:

• Sanciones resueltas: 767 (+ 8,18 respecto al 2009)
• Actuaciones de inspección: 4.302 (+4,01 % respecto al 2009)
• Denuncias: 4.220 (+ 4 % respecto al 2009)

Los 5 sectores más sancionados:

1. Videovigilancia: 262
2. Telecomunicaciones: 169
3. Entidades financieras: 64
4. Comunicaciones electrónicas comerciales (spam, LSSI): 52
5. Asociaciones, federaciones, colegios profecsionales y clubes: 26

Datos de 2010 recogidos en la memoria de la AEPD.

Modificación de las infracciones y sanciones

La Ley 2/2011 de 4 de marzo, de Economía Sostenible ha pasado a modificar las infracciones y sanciones en materia de protección de datos, quedando como sigue:

Son infracciones leves:

a) No remitir a la Agencia Española de Protección de Datos las notificaciones previstas en esta Ley o en sus disposiciones de desarrollo.

b) No solicitar la inscripción del fichero de datos de carácter personal en el Registro
General de Protección de Datos.

c) El incumplimiento del deber de información al afectado acerca del tratamiento de sus datos de
carácter personal cuando los datos sean recabados del propio interesado.

d) La transmisión de los datos a un encargado del tratamiento sin dar cumplimiento a los deberes formales establecidos en el artículo 12 de esta Ley.

Son infracciones graves:

a) Proceder a la creación de ficheros de titularidad pública o iniciar la recogida de datos de carácter personal para los mismos, sin autorización de disposición general, publicada en el “Boletín Oficial del Estado” o diario oficial correspondiente.

b) Tratar datos de carácter personal sin recabar el consentimiento de las personas afectadas, cuando el mismo sea necesario conforme a lo dispuesto en esta Ley y sus disposiciones de desarrollo.

c) Tratar datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en el artículo 4 de la presente Ley y las disposiciones que lo desarrollan, salvo cuando sea constitutivo de infracción muy grave.

d) La vulneración del deber de guardar secreto acerca del tratamiento de los datos de carácter personal al que se refiere el artículo 10 de la presente Ley.

e) El impedimento o la obstaculización del ejercicio de los derechos de acceso, rectificación, cancelación y oposición.

f) El incumplimiento del deber de información al afectado acerca del tratamiento de sus datos de carácter personal cuando los datos no hayan sido recabados del propio interesado.

g) El incumplimiento de los restantes deberes de notificación o requerimiento al afectado impuestos por esta Ley y sus disposiciones de desarrollo.

h) Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen.

i) No atender los requerimientos o apercibimientos de la Agencia Española de Protección de Datos o no proporcionar a aquélla cuantos documentos e informaciones sean solicitados por la misma.

j) La obstrucción al ejercicio de la función inspectora.

k) La comunicación o cesión de los datos de carácter personal sin contar con legitimación para ello en los términos previstos en esta Ley y sus disposiciones reglamentarias de desarrollo, salvo que la misma sea constitutiva de infracción muy grave.

Son infracciones muy graves:

a)La recogida de datos en forma engañosa o fraudulenta.

b) Tratar o ceder los datos de carácter personal a los que se refieren los apartados 2, 3 y 5 del artículo 7 de esta Ley salvo en los supuestos en que la misma lo autoriza o violentar la prohibición contenida en el apartado 4 del artículo 7.

c) No cesar en el tratamiento ilícito de datos de carácter personal cuando existiese un previo requerimiento del Director de la Agencia Española de Protección de Datos para ello.

d) La transferencia internacional de datos de carácter personal con destino a países que no proporcionen un nivel de protección equiparable sin autorización del Director de la Agencia Española de Protección de Datos salvo en los supuestos en los que conforme a esta Ley y sus disposiciones de desarrollo dicha autorización no resulta necesaria.

 

SANCIONES:

ANTES:

1. Las infracciones leves serán sancionadas con multa de 600 a 60.000 €.
2. Las infracciones graves serán sancionadas con multa de 60.001 a 300.000 €.
3. Las infracciones muy graves serán sancionadas con multa de 300.001 a 600.000 €.

AHORA:

1. Las infracciones leves serán sancionadas con multa de 900 a  40.000 €.
2. Las infracciones graves serán sancionadas con multa de 40.001 a 300.000 €.
3. Las infracciones muy graves serán sancionadas con multa de 300.001 a 600.000 €.

Se añade un nuevo apartado 6 al artículo 45, pasando los actuales apartados 6 y 7 a ser los apartados 7 y 8, siendo el texto del nuevo apartado el siguiente:

«6. Excepcionalmente el órgano sancionador podrá, previa audiencia de los interesados y atendida la naturaleza de los hechos y la concurrencia significativa de los criterios establecidos en el apartado anterior, no acordar la apertura del procedimiento sancionador y, en su lugar, apercibir al sujeto responsable a fin de que, en el plazo que el órgano sancionador determine, acredite la adopción de las medidas correctoras que en cada caso resultasen pertinentes, siempre que concurran los siguientes presupuestos:

a) Que los hechos fuesen constitutivos de infracción leve o grave conforme a lo dispuesto en esta Ley.

b) Que el infractor no hubiese sido sancionado o apercibido con anterioridad.

Si el apercibimiento no fuera atendido en el plazo que el órgano sancionador hubiera determinado procederá la apertura del correspondiente procedimiento sancionador por dicho incumplimiento.»

El Responsable de Seguridad

Se regula en el artículo 95 del Reglamento 1720/2007.

¿Quién es el responsable de seguridad?  

• La designación de  responsable de seguridad es obligada a tenor del art. 95 del Reglamento  1720/2007 como  una de las medidas de seguridad para el tratamiento de ficheros de nivel medio y alto.
• Su designación, identificación y funciones delegadas  deben encontrarse plasmadas en el documento de seguridad.
• Es la persona encargada de velar por el cumplimiento de las medidas,  reglas y normas de seguridad establecidas por el responsable del fichero. 
• No hay  impedimento  legal para que coincida con la persona del responsable  del fichero según tamaño de la empresa. 
• Es persona delegada del responsable del fichero y no se halla sujeta a  responsabilidad por infracción a la LOPD.

Funciones del Responsable de Seguridad

Funciones principales:

1.VELARÁ  por el cumplimiento de las normas de seguridad contenidas en el documento de Seguridad.

2.Se ASEGURARÁ  de que no existan tratamientos de datos sin identificar y puedan suponer riesgo para el responsable del Fichero.

3.COMUNICARÁ al responsable del fichero las incidencias.

4.REVISARÁ los procedimientos de copias de respaldo cada 6 meses.

 Otras funciones:

1.MANTENDRÁ actualizada la lista de usuarios con acceso a los recursos.

2.CONTROLARÁ la asignación de contraseñas.

3.VIGILARÁ el cambio periódico de contraseñas.

4.COMPROBARÁ el sistema de limitación de acceso de los usuarios.

5.COMPROBARÁ los mecanismos para evitar que un usuario pueda acceder a recursos de datos distintos a los asignados.

Para ficheros de nivel alto, además:

1.CONTROLARÁ el libro de registro de accesos y revisará al menos una vez al mes la información  de control registrada.

2.INFORMARÁ periódicamente al Responsable del Fichero y elaborará un informe de la revisiones y problemas detectados.

• De cada intento de acceso se guardarán, como mínimo, la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado.

• El período mínimo de conservación de los datos registrados será de dos años.

Para distinguir las figuras de responsables y encargados se ofrece a continuación un repaso de sus responsabilidades:

Responsable de seguridad: Persona o personas a las que el responsable del fichero ha asignado formalmente la función de coordinar y controlar las medidas de seguridad. Su función es proteger y salvaguardar la información sensible dentro de la empresa.

Responsable del fichero o responsable del tratamiento: Persona que decide sobre la finalidad, contenido y uso del tratamiento. El responsable del fichero o tratamiento es la persona jurídica o física, privada o pública, que decide sobre el tratamiento de los datos, es decir, toma decisiones sobre qué hacer con los mismos. Es el responsable durante toda la vida del dato, desde que entra a formar parte del sistema de información hasta la eliminación del mismo.

Encargado del tratamiento: Persona jurídica o física, privada o pública, que accede a datos de la empresa a la que se le está prestando un determinado servicio. Es decir la persona que trate datos personales por cuenta del responsable del fichero o responsable de tratamiento.

¿Qué es el Docmento de Seguridad?

El Documento de Seguridad se regula en el artículo 88 del Reglamento 1720/2007.

 

ES UN DOCUMENTO INTERNO DE LA ORGANIZACIÓN.

• Corresponde al Responsable del Fichero o del Tratamiento, elaborar el Documento de Seguridad, cuya finalidad es recoger las medidas de índole técnica y organizativa acordes a la normativa de seguridad.
• Será de obligado cumplimiento para el personal con acceso a los sistemas de información.
• Podrán elaborarse distintos documentos de seguridad agrupando ficheros o tratamientos según el sistema de tratamiento utilizado para su organización, o bien atendiendo a criterios organizativos del Responsable.
• Podrá ser único y comprensivo de todos los ficheros o tratamientos, o bien individualizado para cada fichero o tratamiento.

¿Qué debe contener?

 

Como mínimo:

a.Ámbito de aplicación del documento con especificación detallada de los recursos protegidos.

b.Medidas, normas, procedimientos de actuación, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en este reglamento.

c.Funciones y obligaciones del personal en relación con el tratamiento de los datos de carácter personal incluidos en los ficheros.

d.Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan.

e.Procedimiento de notificación, gestión y respuesta ante las incidencias.

f.Los procedimientos de realización de copias de respaldo y de recuperación de los datos en los ficheros o tratamientos automatizados.

g.Las medidas que sea necesario adoptar para el transporte de soportes y documentos, así como para la destrucción de los documentos y soportes, o en su caso, la reutilización de estos últimos.

Además:

  

En caso de que fueran de aplicación a los ficheros las medidas de seguridad de nivel medio o las medidas de seguridad de nivel alto, el documento de seguridad deberá contener:

 

a)La identificación del responsable o responsables de seguridad.

 

b)Los controles periódicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento.

 

Y además. cuando exista un tratamiento de datos por cuenta de terceros, el documento de seguridad deberá contener la identificación de los ficheros o tratamientos que se traten en concepto de encargado con referencia expresa al contrato o documento que regule las condiciones del encargo, así como de la identificación del responsable y del período de vigencia del encargo.

¿Se puede delegar la llevanza del Documento de Seguridad?

 

ØEn aquellos casos en los que datos personales de un fichero o tratamiento se incorporen y traten de modo exclusivo en los sistemas del encargado, el responsable deberá anotarlo en su documento de seguridad.

ØCuando tal circunstancia afectase a parte o a la totalidad de los ficheros o tratamientos del responsable, podrá delegarse en el encargado la llevanza del documento de seguridad, salvo en lo relativo a aquellos datos contenidos en recursos propios.

 

ØEste hecho se indicará de modo expreso en el contrato celebrado al amparo del artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, con especificación de los ficheros o tratamientos afectados.

ØEn tal caso, se atenderá al documento de seguridad del encargado al efecto del cumplimiento de lo dispuesto en el Reglamento 1720/2007.

 

Actualización y revisión del Documento de Seguridad.

 

ØEl documento de seguridad deberá mantenerse en todo momento actualizado y será revisado siempre que se produzcan cambios relevantes en el sistema de información, en el sistema de tratamiento empleado, en su organización, en el contenido de la información incluida en los ficheros o tratamientos o, en su caso, como consecuencia de los controles periódicos realizados.

ØEn todo caso, se entenderá que un cambio es relevante cuando pueda repercutir en el cumplimiento de las medidas de seguridad implantadas.

ØEl contenido del documento de seguridad deberá adecuarse, en todo momento, a las disposiciones vigentes en materia de seguridad de los datos de carácter personal.