Sanciones impuestas por la AEPD (2011)

La cuantía de las sanciones ha aumentado un 12 % respecto al 2010, habiendo bajado el número de sanciones en un 13,98 %

La distribución de sanciones que ha puesto la AEPD según su gravedad es:

• Graves: 66,49 %
• Leves: 32,78 %
• Muy graves: 0,73 %

Las infracciones según la ley infringida son:

• Ley Orgánica de Protección de Datos: 96,46 %
• Ley de Servicios de la Sociedad de Información (LSSI): 3,02 %
• Ley General de Telecomunicaciones: 0,52 %

En cuanto al nº de sanciones y denuncias durante el año 2011:

• Sanciones resueltas: 674 (-12,12 % respecto al 2010)
• Actuaciones de inspección: 5.389 (+25,56 % respecto al 2010)
• Denuncias: 7.648 (+ 51,60 % respecto al 2010)
• Reclamaciones: 2.230 (+ 34,58 % respecto al 2010)

Los 5 sectores más sancionados:
(% variación respecto al 2010)

1. Telecomunicaciones: 249 (+47,34 %)
2. Videovigilancia: 122 (-53,44 %)
3. Entidades financieras: 79 (-15,96 %)
4. Comunicaciones electrónicas comerciales (spam, LSSI): 29 (-44,23 %)
5. Servicios de Internet (menos spam): 23 (+53,33 %)

(Fuente: Memoria 2011 de la AEPD)

Nuevo Reglamento Europeo de Protección de Datos (II)

En esta segunda parte vamos a enumerar algunas de las más destacadas novedades del nuevo Reglamento General de Protección de Datos:

•Las Fuerzas y Cuerpos de Seguridad y los Jueces y Tribunales quedan fuera de este Reglamento. Para ellos se redacta una Directiva específica.

 •Es bastante probable que se elimine la obligación de notificar ficheros a un Registro Administrativo tal como existe hoy en España. Aunque, en conversaciones mantenidas con alguna persona con criterio en la Administración no queda claro si finalmente en España se aplicará por la aplicación del principio de transparencia, de acceso, y de facilitar el ejercicio de derechos por los ciudadanos.

•Se aclaran y definen las formas de otorgar consentimiento. No se autorizan el tácito ni el presunto.

 •Se definen y amplían las categorías de datos. Se amplía la información necesaria a incluir en las cláusulas de información en la recogida de datos.

 •Se incluye un nuevo derecho: “Derecho al Olvido”.

•Se regula la confección de perfiles-segmentación en base a comportamientos.

 •Se prohíbe hacer perfiles a menores. Menor se define según la “UN Convention on the Rights of the Child”.

•Se introduce claramente el concepto de “responsabilidad ”, “debida diligencia” y la obligación de mantener carga de prueba de la correcta aplicación de la normativa.

•Muy Importante: en caso de pérdida, robo, hacking, o cualquier otra circunstancia que permita que los datos sean accedidos o comunicados a personal no autorizado, se introduce la obligación de notificar el hecho a la Autoridad de cada país (en España a la Agencia Española de Protección de Datos) y a las personas afectadas en un plazo de 24 horas desde que se conoce. (Brecha de seguridad).

•Se regula el marketing directo y publicidad, y como se podrá realizar: consentimiento expreso.

•Para determinados tratamientos (entre otros, para videovigilancia, menores, biométricos, genéticos,…) será necesario un Informe de Impacto sobre la protección de datos personales. Los informes de Impacto deberán ser públicos.

•Se introduce y se regula la figura del D.P.O. (Data Privacy Officer) para empresas de 250 empleados o más. La figura del D.P.O. será obligatorio para TODAS las Administraciones Públicas. La figura del DPO deberá tener los conocimientos y experiencia suficientes en Protección de Datos.

•Se regulan las relaciones entre Titular de Ficheros/Encargado(s) de Tratamiento, definiendo las responsabilidades. Se regula la responsabilidad por la elección del encargado de tratamiento, así como la diligencia en asegurarse del cumplimiento del Reglamento por parte del Encargado.

•Se introducen ya directamente en el texto legal los conceptos de “Privacy By Design” y de “Privacy By Default”. En estos conceptos se insta a introducir la atención a la protección de datos personales desde el diseño inicial de las operaciones y tratamientos, y que se activarán por defectos todos los mecanismos de protección de la privacidad.

•Los informes que por ley deban presentar las entidades, p.e.: Informe Anual de Auditoría de Cuentas u otros exigibles, deberán incluir un apartado específico sobre el cumplimiento de la normativa y los riesgos incurridos.

•Se autoriza a Organizaciones, Asociaciones u otros tipos de entidades efectuar denuncias en nombre de los afectados. 

 

Sanciones

 
Se establecen tres niveles de sanciones, atendiendo a su efectividad, proporcionalidad y capacidad de disuasión:

Hasta 250.000 € o hasta 0,5 % de su volumen de negocios anual a nivel mundial.

Hasta 500.000 € o hasta 1 %  de su volumen de negocios anual a nivel mundial.

Hasta 1.000.000 € o hasta 2 % de su volumen de negocios anual a nivel mundial.

El REGLAMENTO es bastante más denso, pero en términos generales estas son las novedades más relevantes. De estos cambios se deducen que serán necesarias muchas acciones de adaptación en las entidades, por ejemplo:

1.Será necesario cambiar TODAS las cláusulas de información, en papel y on-line

2.Se deberán revisar y actualizar los consentimientos recibidos

3.Será necesario revisar y adaptar TODOS los contratos de tratamiento por terceros.

4.Será necesario mantener con extrema diligencia toda la documentación exigible.

5.Se deberá nombrar un Delegado de Protección de Datos, interno o externo, en los casos requeridos, no obstante para menos de 250 empleados será una buena práctica para mostrar diligencia.

6.Se deberán notificar en 24 horas a la AEPD y a los afectados los robos, pérdidas o hackeos de datos personales.

7.Se deberán establecer políticas, procedimientos y procesos específicos para el cumplimiento de esta normativa, y para evidenciar la diligencia en el cumplimiento. 

 

La conclusión es que la UE se toma en serio la protección del derecho a la protección de datos personales y está decidida a que se cumpla de manera uniforme en toda la UE, por lo que todas las entidades afectadas harían bien en prepararse anticipadamente en el cumplimiento.

La Consultoría externa deberá ser efectuada por empresas de reconocida solvencia, preparación y experiencia en protección de datos, para evitar los riesgos de una incompleta o incorrecta aplicación de la normativa.

Nuevo Reglamento Europeo (I)
 

Legislación LOPD

Me parecía interesante resumir en un esquema toda la legislación relativa a la Protección de Datos.

Aunque a simple vista, para muchas personas, parece que la legislación relativa a Protección de Datos se centra en la Ley 15/1999, en el esquema siguiente podéis ver toda la normativa referente a la Protección de Datos y que debemos tener presente para cumplir correctamente la LOPD.

Normativa a tener en cuenta:

• Normativa europea: Directivas, decisiones, convenios y reglamentos.
• Normativa estatal: Ley y Reglamento de la LOPD, Instrucciones, Informes Jurídicos, Recomendaciones, Convenios,  etc.
• Normativa autonómica.
• Normativa sectorial: Hospitales, Videovigilancia, Seguros y Banca, Seguridad Privada, Enseñanza, etc.

 

 

 

Transferencia Internacional de Datos (TID)

Sirva este post para empresas que presten servicios de Cloud Computing.

Regulación en la LOPD y RLOPD:

Las transferencias internacionales de datos, se regulan en los artículos 33 y 34 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (LOPD) y en el Título VI del Reglamento de desarrollo de la Ley Orgánica de Protección de Datos de Carácter Personal, aprobado por el Real Decreto 1720/2007, de 21 de diciembre, (RLOPD).

Una transferencia internacional de datos, es un tratamiento de datos que supone una transmisión de los mismos fuera del territorio del Espacio Económico Europeo (EEE), bien constituya una cesión o comunicación de datos, bien tenga por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero establecido en territorio español (art. 5.1.s. RLOPD). 

Además se regula en la: 

Instrucción 1/2000, de 1 de diciembre, de la Agencia de Protección, relativa a las normas por las que se rigen los movimientos internacionales de datos.

En las citadas normas, será necesario:

 

El exportador de datos es la persona física o jurídica, pública o privada, u órgano administrativo situado en territorio español que realiza una transferencia de datos de carácter personal a un país tercero (art. 5.1.j. RLOPD). 

 

El importador de datos es la persona física o jurídica, pública o privada, u órgano administrativo receptor de los datos, en caso de transferencia internacional de los mismos a un tercer país, ya sea responsable del tratamiento, encargado del tratamiento o tercero. (art. 5.1.ñ. RLOPD).

 

"Las comunicaciones de datos en el EEE constituyen cesiones de datos a efectos de la aplicación de la LOPD."

 

Una transferencia internacional de datos no excluye en ningún caso la aplicación de las disposiciones contenidas en la LOPD y en el RLOPD. Para que la transferencia internacional de datos pueda considerarse conforme a lo dispuesto en las citadas normas, será necesario:

 

 Autorización del Director de la Agencia Española de Protección de Datos, salvo:

  

1.Que los datos se transfieran a un país que ofrezca un nivel adecuado de protección.

 

 2.Que se trate de supuestos legalmente excepcionados de la autorización del Director.

 

 

Países con un nivel adecuado de protección.

La relación de países cuyo nivel de protección se considera equiparable por la Agencia Española de Protección de Datos, según lo establecido en el art. 67 del Reglamento de desarrollo de la LOPD, es la siguiente: 

 

Suiza, de acuerdo con la Decisión de la Comisión 2000/518/ CE, de 26 de julio de 2000

  

Las entidades estadounidenses adheridas a los principios de “Puerto Seguro” (safe harbor), de acuerdo con la Decisión 2000/520/CE de la Comisión de 26 de julio de 2000

  

Canadá respecto de las entidades sujetas al ámbito de aplicación de la ley canadiense de protección de datos, de acuerdo con la Decisión 2002/2/CE de la Comisión de 20 de diciembre de 2001

  

Argentina, de acuerdo con la Decisión 2003/490/CE, de la Comisión de 30 de junio de 2003

 

 Guernsey, de acuerdo con la Decisión 2003/821/CE de la Comisión, de 21 de noviembre de 2003

  

Isla de Man, de acuerdo con la Decisión 2004/411/CE de la Comisión, de 28 de abril de 2004

  

Jersey, de acuerdo con la Decisión 2008/393/CE de la Comisión, de 8 de mayo 2008

  

Islas Feroe, de acuerdo con la Decisión 2010/146/UE de la Comisión de 5 de marzo de 2010

  

Andorra, de acuerdo con la Decisión 2010/625/UE, de la Comisión de 19 de octubre de 2010

  

Israel, de acuerdo con la Decisión de la Comisión de 31 de enero de 2011 de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo.

 

Uruguay, de acuerdo con la Decisión 2012/484/UE de la Comisión de 21 de agosto de 2012. de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo.

 

 

Supuestos legalmente excepcionados de la autorización del director de la AEPD.

 

El artículo 34 de la LOPD y 66.2 del RLOPD establecen los supuestos en los que no será necesaria la autorización previa del Director de la Agencia Española de Protección de Datos: 

 

Cuando la transferencia internacional de datos de carácter personal resulte de la aplicación de tratados o convenios en los que sea parte España.

  

Cuando la transferencia se haga a efectos de prestar o solicitar auxilio judicial internacional

 

Cuando la transferencia sea necesaria para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamiento médicos o la gestión de servicios sanitarios.

 

Cuando se refiera a transferencias dinerarias conforme a su legislación específica.

 

Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista.

 

Cuando la transferencia sea necesaria para la ejecución de un contrato entre el afectado y el responsable del fichero o para la adopción de medidas precontractuales adoptadas a petición del afectado.

 

Cuando la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar, en interés del afectado, por el responsable del fichero y un tercero.

  

Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público. Tendrá esta consideración la transferencia solicitada por una Administración fiscal o aduanera para el cumplimiento de sus competencias.

 

Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.

 

Cuando la transferencia se efectúe, a petición de persona con interés legítimo, desde un Registro público y aquélla sea acorde con la finalidad del mismo.

 

Autorización del Director de la AEPD

En aquéllos supuestos en los que sea necesaria la autorización del Director de la Agencia Española de Protección de Datos para transmisiones de datos fuera del territorio del EEE, la autorización podrá ser otorgada en caso de que el exportador aporte las garantías de respeto a la protección de la vida privada de los afectados y a sus derechos y libertades fundamentales y se garantice el ejercicio de sus respectivos derechos.

Cesión o comunicación de datos vs. TID

Aquí vamos a introducir este concepto.

 

Cesión o comunicación de datos: Toda revelación de datos realizada a una persona distinta del interesado. (Art. 11 de la LOPD)

 

La TID, supone una transmisión de datos fuera del EEE, bien constituya una cesión o comunicación de datos.

 

Luego:

  

• Dentro del EEE se considera una cesión (igual que si comunicamos los datos a un tercero dentro de territorio español).
• Fuera del EEE se considera TID.

 

RESUMIENDO:

 

1. Las TID se regulan en los art. 33 y 34 de la LOPD y en el Título VI del RLOPD.
2. Normativa Europea: Directiva 95/46/CE y
3. Decisión 2000/520/CE (Puerto seguro)

  
Definición (art. 5.1.s. RLOPD):

Una transferencia internacional de datos, es un tratamiento de datos que supone una transmisión de los mismos fuera del territorio del Espacio Económico Europeo (EEE), bien constituya una cesión o comunicación de datos, bien tenga por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero establecido en territorio español.

No se considera TID dentro del espacio económico europeo.

 
La ley establece que se puede realizar una TID, en los casos:


1.Países con nivel equiparable a la legislación española: Suiza, Canadá, Argentina, Guemsey, Isla de Man, Jersey Islas Feroe, Andorra, Israel y Uruguay.

2.EEUU: Entidades adheridas al protocolo de “Puerto Seguro” (safe harbor).

3.Supuestos legalmente excepcionados de la autorización del Director de la AEPD.

4.Reglas corporativas vinculantes (BCR): Grupo multinacional. (Autorización Director).

5.Autorización del director de AEPD.


En todos los casos, las transferencias internacionales de datos deberán ser notificadas al Registro General de Protección de Datos a fin de proceder a su inscripción.

Constituye falta muy grave, de acuerdo con lo dispuesto en el artículo 44.4.e) de la LOPD, " La transferencia temporal o definitiva de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento, con destino a países que no proporcionen un nivel de protección equiparable sin autorización del Director de la Agencia Española de Protección de Datos“.

Para resumir, las empresas españolas se encuentran en muchos casos en una situación jurídicamente insegura y empresarialmente arriesgada.
Hoy por hoy, y a falta de una regulación más adecuada a la realidad del CLOUD, el mejor consejo es contratar los servicios con proveedores de ámbito del EEE o que realicen toda su cadena de tratamiento en países catalogados con “nivel adecuado de protección”.

En enero de 2012 la AEPD realizó una encuesta pública sobre el CLOUD, lo cual hace prever una modificación de la legislación española.

 Síntesis del articulado:

 

Nuevo Reglamento Europeo de Protección de Datos (I)

Se prevee que para el próximo año se apruebe el nuevo Reglamento Europeo de Protección de Datos que va a sustituir a la Directive CE/95//46.

El grupo de autoridades europeas de protección de datos (Grupo de Trabajo del Artículo 29) ha aprobado, durante su sesión plenaria del 22 y 23 de marzo celebrada en Bruselas con la participación del director de la AEPD, José Luis Rodríguez Álvarez, un dictamen sobre las propuestas de reforma del marco normativo europeo de protección de datos de la Comisión Europea.

Algunas de las novedades son:

Aparece la figura del Delegado de Protección de Datos. 

Es una persona que debe ayudar al Responsable del Tratamiento y el Encargado del Tratamiento en el cumplimiento interno de la normativa de Protección de Datos.

Puede ser un empleado o funcionario (personal interno) o un tercero contratado al efecto. En ambos casos, resulta imprescindible que pueda desarrollar sus tareas con independencia.

 

Tiene más funciones, competencias y responsabilidades que el actual Responsable de Seguridad. Se le exigirá formación e independencia. Se comunicará su nombre y apellidos a la autoridad de control y su nombramiento será por 2 años prorrogables.

 

 

Otro concepto nuevo es el Informe de Impacto de Privacidad.

 

Las evaluaciones de impacto son análisis que reflejan cómo afectan determinados tratamientos a los derechos de los afectados. Entendemos que, por lógica, deben efectuarse con carácter previo al inicio del tratamiento.

 

El Informe de Impacto consta de 3 partes básicas: 

 

1º. Parte descriptiva, donde se detallaráen quéconsiste el tratamiento de datos

2º. Parte de evaluació de riesgos, en la que se podrí aplicar alguna de las metodologís utilizadas para los anáisis de riesgo con la finalidad de obtener resultados objetivos.
3º. Parte relativa a medidas adoptadas.

El art. 33.3 indica su contenido mínimo:

Una descripción general de las operaciones de tratamiento previstas.

Una evaluación de los riesgos para los derechos y libertades de los interesados.

Las medidas contempladas para hacer frente a los riesgos.

Las garantías, medidas de seguridad y mecanismos destinados a garantizar la protección de datos personales y aprobar la conformidad del mismo al reglamento

 

También aparecen conceptos nuevos como: brecha de seguridad y derecho al olvido.

 

En cuanto a Transferencia Internacional de Datos, más flexibilidad para países que no cumplan con el nivel adecuado de protección de datos y que operen dentro de la Unión Europea.

Nuevo Reglamento Europeo (II)

Sanciones impuestras por la AEPD (2010)

La distribución de sanciones que ha puesto la AEPD según su gravedad es:

• Graves: 63,14 %
• Leves: 34,35 %
• Muy graves: 2,50 %

Las infracciones según la ley infringida son:

• Ley Orgánica de Protección de Datos: 92,49 %
• Ley de Servicios de la Sociedad de Información (LSSI): 7,23 %
• Ley General de Telecomunicaciones: 0,28 %

En cuanto al nº de sanciones y denuncias durante el año 2010:

• Sanciones resueltas: 767 (+ 8,18 respecto al 2009)
• Actuaciones de inspección: 4.302 (+4,01 % respecto al 2009)
• Denuncias: 4.220 (+ 4 % respecto al 2009)

Los 5 sectores más sancionados:

1. Videovigilancia: 262
2. Telecomunicaciones: 169
3. Entidades financieras: 64
4. Comunicaciones electrónicas comerciales (spam, LSSI): 52
5. Asociaciones, federaciones, colegios profecsionales y clubes: 26

Datos de 2010 recogidos en la memoria de la AEPD.

Modificación de las infracciones y sanciones

La Ley 2/2011 de 4 de marzo, de Economía Sostenible ha pasado a modificar las infracciones y sanciones en materia de protección de datos, quedando como sigue:

Son infracciones leves:

a) No remitir a la Agencia Española de Protección de Datos las notificaciones previstas en esta Ley o en sus disposiciones de desarrollo.

b) No solicitar la inscripción del fichero de datos de carácter personal en el Registro
General de Protección de Datos.

c) El incumplimiento del deber de información al afectado acerca del tratamiento de sus datos de
carácter personal cuando los datos sean recabados del propio interesado.

d) La transmisión de los datos a un encargado del tratamiento sin dar cumplimiento a los deberes formales establecidos en el artículo 12 de esta Ley.

Son infracciones graves:

a) Proceder a la creación de ficheros de titularidad pública o iniciar la recogida de datos de carácter personal para los mismos, sin autorización de disposición general, publicada en el “Boletín Oficial del Estado” o diario oficial correspondiente.

b) Tratar datos de carácter personal sin recabar el consentimiento de las personas afectadas, cuando el mismo sea necesario conforme a lo dispuesto en esta Ley y sus disposiciones de desarrollo.

c) Tratar datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en el artículo 4 de la presente Ley y las disposiciones que lo desarrollan, salvo cuando sea constitutivo de infracción muy grave.

d) La vulneración del deber de guardar secreto acerca del tratamiento de los datos de carácter personal al que se refiere el artículo 10 de la presente Ley.

e) El impedimento o la obstaculización del ejercicio de los derechos de acceso, rectificación, cancelación y oposición.

f) El incumplimiento del deber de información al afectado acerca del tratamiento de sus datos de carácter personal cuando los datos no hayan sido recabados del propio interesado.

g) El incumplimiento de los restantes deberes de notificación o requerimiento al afectado impuestos por esta Ley y sus disposiciones de desarrollo.

h) Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen.

i) No atender los requerimientos o apercibimientos de la Agencia Española de Protección de Datos o no proporcionar a aquélla cuantos documentos e informaciones sean solicitados por la misma.

j) La obstrucción al ejercicio de la función inspectora.

k) La comunicación o cesión de los datos de carácter personal sin contar con legitimación para ello en los términos previstos en esta Ley y sus disposiciones reglamentarias de desarrollo, salvo que la misma sea constitutiva de infracción muy grave.

Son infracciones muy graves:

a)La recogida de datos en forma engañosa o fraudulenta.

b) Tratar o ceder los datos de carácter personal a los que se refieren los apartados 2, 3 y 5 del artículo 7 de esta Ley salvo en los supuestos en que la misma lo autoriza o violentar la prohibición contenida en el apartado 4 del artículo 7.

c) No cesar en el tratamiento ilícito de datos de carácter personal cuando existiese un previo requerimiento del Director de la Agencia Española de Protección de Datos para ello.

d) La transferencia internacional de datos de carácter personal con destino a países que no proporcionen un nivel de protección equiparable sin autorización del Director de la Agencia Española de Protección de Datos salvo en los supuestos en los que conforme a esta Ley y sus disposiciones de desarrollo dicha autorización no resulta necesaria.

 

SANCIONES:

ANTES:

1. Las infracciones leves serán sancionadas con multa de 600 a 60.000 €.
2. Las infracciones graves serán sancionadas con multa de 60.001 a 300.000 €.
3. Las infracciones muy graves serán sancionadas con multa de 300.001 a 600.000 €.

AHORA:

1. Las infracciones leves serán sancionadas con multa de 900 a  40.000 €.
2. Las infracciones graves serán sancionadas con multa de 40.001 a 300.000 €.
3. Las infracciones muy graves serán sancionadas con multa de 300.001 a 600.000 €.

Se añade un nuevo apartado 6 al artículo 45, pasando los actuales apartados 6 y 7 a ser los apartados 7 y 8, siendo el texto del nuevo apartado el siguiente:

«6. Excepcionalmente el órgano sancionador podrá, previa audiencia de los interesados y atendida la naturaleza de los hechos y la concurrencia significativa de los criterios establecidos en el apartado anterior, no acordar la apertura del procedimiento sancionador y, en su lugar, apercibir al sujeto responsable a fin de que, en el plazo que el órgano sancionador determine, acredite la adopción de las medidas correctoras que en cada caso resultasen pertinentes, siempre que concurran los siguientes presupuestos:

a) Que los hechos fuesen constitutivos de infracción leve o grave conforme a lo dispuesto en esta Ley.

b) Que el infractor no hubiese sido sancionado o apercibido con anterioridad.

Si el apercibimiento no fuera atendido en el plazo que el órgano sancionador hubiera determinado procederá la apertura del correspondiente procedimiento sancionador por dicho incumplimiento.»

El Responsable de Seguridad

Se regula en el artículo 95 del Reglamento 1720/2007.

¿Quién es el responsable de seguridad?  

• La designación de  responsable de seguridad es obligada a tenor del art. 95 del Reglamento  1720/2007 como  una de las medidas de seguridad para el tratamiento de ficheros de nivel medio y alto.
• Su designación, identificación y funciones delegadas  deben encontrarse plasmadas en el documento de seguridad.
• Es la persona encargada de velar por el cumplimiento de las medidas,  reglas y normas de seguridad establecidas por el responsable del fichero. 
• No hay  impedimento  legal para que coincida con la persona del responsable  del fichero según tamaño de la empresa. 
• Es persona delegada del responsable del fichero y no se halla sujeta a  responsabilidad por infracción a la LOPD.

Funciones del Responsable de Seguridad

Funciones principales:

1.VELARÁ  por el cumplimiento de las normas de seguridad contenidas en el documento de Seguridad.

2.Se ASEGURARÁ  de que no existan tratamientos de datos sin identificar y puedan suponer riesgo para el responsable del Fichero.

3.COMUNICARÁ al responsable del fichero las incidencias.

4.REVISARÁ los procedimientos de copias de respaldo cada 6 meses.

 Otras funciones:

1.MANTENDRÁ actualizada la lista de usuarios con acceso a los recursos.

2.CONTROLARÁ la asignación de contraseñas.

3.VIGILARÁ el cambio periódico de contraseñas.

4.COMPROBARÁ el sistema de limitación de acceso de los usuarios.

5.COMPROBARÁ los mecanismos para evitar que un usuario pueda acceder a recursos de datos distintos a los asignados.

Para ficheros de nivel alto, además:

1.CONTROLARÁ el libro de registro de accesos y revisará al menos una vez al mes la información  de control registrada.

2.INFORMARÁ periódicamente al Responsable del Fichero y elaborará un informe de la revisiones y problemas detectados.

• De cada intento de acceso se guardarán, como mínimo, la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado.

• El período mínimo de conservación de los datos registrados será de dos años.

Para distinguir las figuras de responsables y encargados se ofrece a continuación un repaso de sus responsabilidades:

Responsable de seguridad: Persona o personas a las que el responsable del fichero ha asignado formalmente la función de coordinar y controlar las medidas de seguridad. Su función es proteger y salvaguardar la información sensible dentro de la empresa.

Responsable del fichero o responsable del tratamiento: Persona que decide sobre la finalidad, contenido y uso del tratamiento. El responsable del fichero o tratamiento es la persona jurídica o física, privada o pública, que decide sobre el tratamiento de los datos, es decir, toma decisiones sobre qué hacer con los mismos. Es el responsable durante toda la vida del dato, desde que entra a formar parte del sistema de información hasta la eliminación del mismo.

Encargado del tratamiento: Persona jurídica o física, privada o pública, que accede a datos de la empresa a la que se le está prestando un determinado servicio. Es decir la persona que trate datos personales por cuenta del responsable del fichero o responsable de tratamiento.

¿Qué es el Docmento de Seguridad?

El Documento de Seguridad se regula en el artículo 88 del Reglamento 1720/2007.

 

ES UN DOCUMENTO INTERNO DE LA ORGANIZACIÓN.

• Corresponde al Responsable del Fichero o del Tratamiento, elaborar el Documento de Seguridad, cuya finalidad es recoger las medidas de índole técnica y organizativa acordes a la normativa de seguridad.
• Será de obligado cumplimiento para el personal con acceso a los sistemas de información.
• Podrán elaborarse distintos documentos de seguridad agrupando ficheros o tratamientos según el sistema de tratamiento utilizado para su organización, o bien atendiendo a criterios organizativos del Responsable.
• Podrá ser único y comprensivo de todos los ficheros o tratamientos, o bien individualizado para cada fichero o tratamiento.

¿Qué debe contener?

 

Como mínimo:

a.Ámbito de aplicación del documento con especificación detallada de los recursos protegidos.

b.Medidas, normas, procedimientos de actuación, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en este reglamento.

c.Funciones y obligaciones del personal en relación con el tratamiento de los datos de carácter personal incluidos en los ficheros.

d.Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan.

e.Procedimiento de notificación, gestión y respuesta ante las incidencias.

f.Los procedimientos de realización de copias de respaldo y de recuperación de los datos en los ficheros o tratamientos automatizados.

g.Las medidas que sea necesario adoptar para el transporte de soportes y documentos, así como para la destrucción de los documentos y soportes, o en su caso, la reutilización de estos últimos.

Además:

  

En caso de que fueran de aplicación a los ficheros las medidas de seguridad de nivel medio o las medidas de seguridad de nivel alto, el documento de seguridad deberá contener:

 

a)La identificación del responsable o responsables de seguridad.

 

b)Los controles periódicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento.

 

Y además. cuando exista un tratamiento de datos por cuenta de terceros, el documento de seguridad deberá contener la identificación de los ficheros o tratamientos que se traten en concepto de encargado con referencia expresa al contrato o documento que regule las condiciones del encargo, así como de la identificación del responsable y del período de vigencia del encargo.

¿Se puede delegar la llevanza del Documento de Seguridad?

 

ØEn aquellos casos en los que datos personales de un fichero o tratamiento se incorporen y traten de modo exclusivo en los sistemas del encargado, el responsable deberá anotarlo en su documento de seguridad.

ØCuando tal circunstancia afectase a parte o a la totalidad de los ficheros o tratamientos del responsable, podrá delegarse en el encargado la llevanza del documento de seguridad, salvo en lo relativo a aquellos datos contenidos en recursos propios.

 

ØEste hecho se indicará de modo expreso en el contrato celebrado al amparo del artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, con especificación de los ficheros o tratamientos afectados.

ØEn tal caso, se atenderá al documento de seguridad del encargado al efecto del cumplimiento de lo dispuesto en el Reglamento 1720/2007.

 

Actualización y revisión del Documento de Seguridad.

 

ØEl documento de seguridad deberá mantenerse en todo momento actualizado y será revisado siempre que se produzcan cambios relevantes en el sistema de información, en el sistema de tratamiento empleado, en su organización, en el contenido de la información incluida en los ficheros o tratamientos o, en su caso, como consecuencia de los controles periódicos realizados.

ØEn todo caso, se entenderá que un cambio es relevante cuando pueda repercutir en el cumplimiento de las medidas de seguridad implantadas.

ØEl contenido del documento de seguridad deberá adecuarse, en todo momento, a las disposiciones vigentes en materia de seguridad de los datos de carácter personal.