LOPD: Ficheros, Movimientos de Datos y Obligaciones

From FdIwiki ELP
Jump to: navigation, search

Introducción

La protección de datos de carácter es un derecho fundamental recogido en la Constitución Española y que otorga al titular de este derecho la facultad de controlar sus datos y a disponer y decidir sobre los mismos. La Ley Orgánica de Protección de Datos (LOPD) y el reglamento que la desarrolla el Real Decreto 1720/2007 de 21 de Diciembre concretan y desarrollan este derecho. A nivel europeo se reconoce, por parte del Parlamento Europeo y del Consejo, el derecho de las personas físicas a la protección en el tratamiento de sus datos personales, en la Directiva 95/46 CE

La normativa de este de derecho surge cómo respuesta a la necesidad de proteger los datos de carácter personal para que no sean utilizados de forma inadecuada por terceros, tratados o cedidos a terceras personas, sin el consentimiento inequívoco del titular.

Esta regulación ofrece a los ciudadanos las garantías y mecanismos necesarios, para proteger sus datos personales y controlar el uso que se hace de ellos. Con este motivo se establecen obligaciones que toda persona física o jurídica tiene que cumplir siempre que posea ficheros con carácter personal.

Las empresas, han de garantizar este derecho de protección de datos personales de los que disponen, obligación que no se ve afectada por el tamaño, facturación o sector de actividad, por ello es necesario que las organizaciones independientemente de su tamaño establezcan unas medidas jurídicas y organizativas que garanticen el uso correcto de estos datos. El nivel de exigencia en la protección de los datos es igual para todas empresas, no importa el tamaño de la misma, la LOPD establece un marco legal para todas empresas.

La adaptación a la normativa por parte de la empresa exige una monitorización y seguimiento constante y demanda de ésta un esfuerzo decidido y continuado

¿Por qué es necesario proteger los datos personales?

Razones para explicar o justificar la necesidad de proteger los datos de carácter personal, que pueden ser de carácter operativo (mejoras o beneficios que afectan a la empresa) o de carácter legal (derivan de la obligatoriedad a adoptar medidas para la protección de datos).

  • Los datos personales son un activo valiosos para empresa.
  • La información ordenada y sistematizada ayuda a aumentar la calidad de las operaciones de la empresa.
  • Una empresa que garantiza la protección de los datos personales con los que trabaja ofrece una mayor confianza.
  • La protección de los datos en un derecho fundamental y por lo tanto debe velar por su garantía y respeto.
  • Adaptarse a la normativa de protección de datos es más sencillo de lo que se podría pensar.
  • Puede orientar a la empresa hacia un entorno de seguridad más ambicioso.

Ficheros Privados y Públicos

¿Qué es un fichero?

Físicamente un fichero es el soporte en el que se encuentren almacenados o registrados los datos de carácter personal, pero jurídicamente el término fichero está definido de una manera mucho más amplia y abstracta, incluyendo a:

  • “todo conjunto organizado de datos de carácter personal, que permita el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso” |artículo 3.b de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal y artículo 5.1.k del Real Decreto 1720/2007.

Por lo tanto, bastará con que exista un conjunto de datos de carácter personal organizado de alguna manera que permita acceder a los datos utilizando algún criterio determinado para que legalmente se considere que estamos ante un fichero, independientemente de que el almacenamiento, organización y acceso a los datos se lleve a cabo de manera manual (ficheros no automatizados) o a través procedimientos informatizados (ficheros automatizados).

La normativa sobre protección de datos diferencia entre dos tipos de ficheros, los ficheros automatizados y los ficheros no automatizados:

  • Ficheros automatizados. Que permita acceder a la información relativa a una persona física determinada utilizando procedimientos de búsqueda. Están claramente incluidos dentro de este concepto los ficheros de datos personales que almacenan la información en soportes informáticos (bases de datos, archivos, carpetas etc.) y que se encuentran organizados de manera que se puede acceder a los datos personales utilizando cualquier tipo de aplicación o procedimiento informatizado.
  • Ficheros no automatizados. Los ficheros no automatizados están definidos legalmente como “todo conjunto de datos de carácter personal organizado de forma no automatizada y estructurado conforme a criterios específicos relativos a personas físicas, que permitan acceder sin esfuerzos desproporcionados a sus datos personales, ya sea aquél centralizado, descentralizado o repartido de forma funcional o geográfica” (artículo 5.1.n Real Decreto 1720/20007). El mejor ejemplo de un fichero no automatizado lo tenemos en los archivadores existentes en la mayoría de las organizaciones en los que se almacenan expedientes de documentos organizados por grupos de personas (empleados, clientes, proveedores etc.) y estructurados de manera que se pueda localizar cada expediente utilizando criterios identificativos determinados (búsqueda alfabética por nombre o apellidos, etc.).

Ficheros Privados

Fichero de titularidad Privada (RD 1720/2007) Art. 5.1

Los ficheros de los que sean responsable las personas, empresas o entidades de derecho privado, con independencia de quien ostente la titularidad de su capital o de la procedencia de sus recursos económicos, así como los ficheros de los que sean responsables las corporaciones de derecho público en cuanto dichos ficheros no se encuentren estrictamente vinculados al ejercicio de potestades de derecho público que a las mismas atribuye su normativa específica.

Las condiciones o requisitos de su creación

Según se proclama en el artículo 25 de la LOPD: “Podrán crearse ficheros de titularidad privada que contengan datos de carácter personal cuando resulte necesario para el logro de la actividad u objeto legítimos de la persona, empresa o entidad titular y se respeten las garantías que esta ley establece para la protección de las personas.”

La creación de los ficheros de titularidad privada constituye una necesidad para la actividad u objetivo que desempeñe la entidad y por lo tanto deberán respetar las garantías legalmente establecidas.

Aunque físicamente los datos de carácter personal se encuentren almacenados en distintos tipos de ficheros e incluso aunque geográficamente se encuentren ubicados en distintas instalaciones, todos los ficheros físicos existentes en una organización determinada (automatizados y no automatizados) que hayan sido creados con la misma finalidad se agrupan en un solo fichero jurídico que es el que hay que notificar a la Agencia Española de Protección de Datos para su inscripción en el Registro General de Protección de Datos.

Para comprender mejor esta idea vamos a analizar cómo suelen tratar las empresas los datos personales de sus clientes; de manera general, los datos de los clientes se encuentran almacenados un software de facturación, en varios archivos informáticos (hojas de cálculo, archivos de texto...) y también en varias carpetas y archivadores que contienen la documentación de los clientes en formato papel (fichas, facturas etc.).

Pues bien, aunque físicamente existe un fichero automatizado (formado por todos los archivos y aplicaciones informáticas) y un fichero no automatizado (formado por todas las carpetas y archivadores ordenados alfabéticamente por nombre y apellidos) jurídicamente se trata de un solo fichero de carácter “mixto” (automatizado y no automatizado) que ha sido creado con la finalidad de gestionar las relaciones comerciales entre la empresa y sus clientes.

Ficheros Públicos

Ficheros de titularidad pública (RD 1720/2007) Art. 5.1

Los ficheros de los que sean responsables los órganos constitucionales o con relevancia constitucional del Estado o las instituciones autonómicas con funciones análogas a los mismos, las Administraciones públicas territoriales, así como las entidades u organismos vinculados o dependientes de las mismas y las Corporaciones de derecho público siempre que su finalidad sea el ejercicio de potestades de derecho público. (art. 5.1.m)

Criterios conformadores del fichero público:

  • Titularidad de una Administración pública o entidad de derecho público.
  • Ejercicio de potestades públicas (aplicación del derecho administrativo).

Concepto de “administración pública” (art. 2 Ley 30/1992 LPC.):

  • Administración general del Estado.
  • Administraciones de las CCAA.
  • Entidades que integran las Administraciones Locales.
  • Entidades de derecho público con personalidad jurídica propia vinculadas o dependientes de las anteriores, cuando ejerzan potestades administrativas.

Para el tratamiento de los ficheros públicos en la actualidad en España, existen tan sólo tres Agencias de Protección de Datos Autonómicas que realizan funciones muy diversas que pasan siempre por la coordinación y el asesoramiento en materia LOPD. Hasta la fecha, tan sólo la Comunidad de Madrid, la del País Vasco y la Generalitat de Cataluña han creado sus propias agencias de protección de datos.

Aparte de esto, los archivos públicos cuentan con unas características propias que podemos resumir en torno a los tres elementos con los que caracterizábamos al conjunto de los archivos:

  • En primer lugar, los documentos que gestionan se encuentran sujetos a un régimen jurídico especial, en tanto que forman parte, desde el momento de su creación, del patrimonio documental, bien del Estado, bien de las distintas Comunidades Autónomas. En el caso de los archivos de la Administración General del Estado, dicho régimen se encuentra recogido en el Título VII de la Ley 16/1985, de 25 junio, del Patrimonio Histórico Español (BOE nº 155, de 29 de junio).
  • Buena parte de sus funciones se encuentran también reguladas en textos normativos (leyes, reglamentos), y suelen ejercerse en el marco de sistemas (sistemas de archivos) definidos de forma más o menos precisa y extensa en dichos textos. En el apartado siguiente desarrollaremos el concepto de sistema de archivos para contextualizar nuestro ámbito de estudio: el sistema archivístico de la Administración General del Estado.
  • Por último, estos archivos son servidos generalmente a través de cuerpos específicos de funcionarios (Cuerpos Facultativo de Archiveros, Bibliotecarios y Arqueólogos, y de Ayudantes de Archivos, Bibliotecas y Museos).

Movimientos internacional de datos

No podrán realizarse transferencias temporales ni definitivas de datos personales a países que no proporcionen un nivel de protección equiparable al que presta la presente Ley, salvo que se obtenga autorización previa del Director de la Agencia de Protección de Datos, en el caso de que la protección sea equiparable no se precisara la autorización del director de la Agencia de Protección de datos.

Se consideran países con nivel de protección adecuado los Estados Miembros de la Unión Europea, Islandia, Liechtenstein, Noruega y los Estados que la Comisión Europea ha declarado que garantizan un nivel de protección adecuado: Suiza, Argentina, Guernsey, Isla de Man.

Foto1RM.png

El nivel de protección que ofrece el país de destino se evaluará por la Agencia de Protección de Datos atendiendo a la naturaleza de los datos, la finalidad y la duración del tratamiento o de los tratamientos previstos, el país de origen y el país de destino final, el contenido de los informes de la Comisión de la Unión Europea, así como las normas y medidas de seguridad de dichos países.

Foto2RM.png


Artículo 34. Excepciones.

  • Cuando la transferencia internacional de datos de carácter personal resulte de la aplicación de tratados o convenios en los que sea parte España.
  • Cuando la transferencia se haga a efectos de prestar o solicitar auxilio judicial internacional.
  • Cuando la transferencia sea necesaria para la gestión de servicios sanitarios.
  • Cuando se refiera a transferencias monetarias.
  • Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista.
  • Cuando la transferencia sea necesaria para la ejecución de un contrato entre el afectado y el responsable del fichero.
  • Cuando la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar.
  • Cuando la transferencia sea exigida para la salvaguarda de un interés público.
  • Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
  • Cuando la transferencia se efectúe, a petición de persona con interés legítimo, desde un Registro público.
  • Cuando la transferencia tenga como destino un Estado miembro de la Unión Europea, o un Estado respecto del cual la Comisión de las Comunidades Europeas garantice un nivel de protección adecuados.

Obligaciones previas al tratamientos de datos

Las obligaciones son:

La total disposición o acuerdo de creación, modificación o supresión de ficheros.

Los autónomos y empresas debieran analizar qué datos personales se manejan en el desarrollo de su actividad para identificar los ficheros que se deben inscribir ante la Agencia de Protección de Datos.

Notificación de la creación, modificación, supresión de ficheros a la Agencia Española de Protección de Datos.

Solicitud de supresión, modificación y creación

Supresión
Modificación
Creación

Una vez ha sido completada la información requerida, puede enviarse la notificación a la Agencia Española de Protección de Datos. Una vez reciban la notificación del fichero y la solicitud de inscripción en la Agencia Española de Protección de Datos, evaluarán la información y si es correcta procederán a la inscripción del Fichero, o en caso de contener errores solicitarán al Responsable del Fichero la corrección de los mismos. Una vez inscrito el Fichero en el Registro, la Agencia Española de Protección de Datos, lo comunicará indicando el código de inscripción (necesario para posteriores modificaciones o cancelación del fichero) que se le ha asignado al Fichero.

Designar a un responsable de seguridad.

El responsable del fichero confeccionará y establecerá la normativa de seguridad mediante un documento de obligado cumplimiento para el personal con acceso a los datos automatizados de carácter personal y a los sistemas de información.

El documento (llamado documento de seguridad) deberá contener, como mínimo, los siguientes aspectos:

  • Ámbito de aplicación del documento con especificación detallada de los recursos protegidos.
  • Medidas, normas, procedimientos, y reglas orientados a garantizar el nivel de seguridad exigido en este Reglamento.
  • Funciones y obligaciones del personal.
  • Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan.
  • Procedimiento de notificación, gestión y respuesta ante las incidencias.
  • Los procedimientos de elaboración de copias de seguridad y de recuperación de datos.

Algunas de las funciones de los responsables de seguridad son:

  • Velar por el cumplimiento de las normas de seguridad.
  • Determinar y describir los recursos informáticos a los que se aplicará el Documento de Seguridad.
  • Establecer y comprobar la aplicación del procedimiento de notificación, tratamiento y registro de incidencias.
  • Establecer y comprobar la aplicación del procedimiento de elaboración de copias de seguridad y recuperación de datos y su periodicidad.
  • Elaborar y mantener actualizada la lista de usuarios que tengan acceso autorizado al Sistema Informático, con especificación del nivel de acceso que tiene cada usuario.
  • Establecer y comprobar la aplicación de un sistema que limite el acceso de los usuarios únicamente a aquellos datos y recursos que precisen para el desarrollo de sus funciones.
  • Establecer los controles periódicos y las auditorias necesarias para comprobar el nivel de cumplimiento del documento.

Identificar los niveles de seguridad que corresponden a cada fichero.

La LOPD distingue, según los datos personales que se incluyan en el fichero, tres niveles de seguridad, en relación a los cuales establece unas normas mínimas de seguridad que se han de cumplir que son un nivel bajo, medio y alto.

Garantizar los derechos de los usuarios

Los derechos que la LOPD otorga a los usuarios sobre los que se recogen datos de carácter personal, se pueden resumir en cuatro:

Derecho de Acceso

 Los usuarios tienen derecho a conocer los datos personales que son tratados por las empresas. Plazo máximo para dar respuesta tras la solicitud por parte del usuario: 30 días. 

Derecho de Rectificación

 Los usuarios tienen derecho a solicitar la rectificación de aquellos datos que consideren incorrectos y/o inexactos. Plazo máximo para dar respuesta tras la solicitud por parte del usuario: 10 días. 

Derecho de Cancelación

 Los usuarios podrán solicitar la cancelación de sus datos cuando estos no sean necesarios para el mantenimiento de la relación con la empresa. Plazo máximo para dar respuesta tras la solicitud por parte del usuario: 10 días. 

Derecho de Oposición

 Los usuarios podrán oponerse al tratamiento de sus datos cuando los mismos no sean necesarios para el mantenimiento de la relación con la empresa. Plazo máximo para dar respuesta tras la solicitud por parte del usuario: 10      días.

El acceso a datos por cuenta de terceros.

Se basa en la prestación de un servicio al Responsable del Fichero por parte de una tercera empresa, que accede a los datos del fichero para el cumplimiento de la prestación contratada; actuando en nombre, por cuenta y de acuerdo a las instrucciones establecidas y dadas por el Responsable del Fichero.

En el acceso a los datos por cuenta de terceros no es necesario recabar el consentimiento del interesado, pero si cumplir con los requisitos que se establezcan en la firma de un contrato de acceso a datos. Los contenidos del contrato fijarán:

  • Objeto de la prestación contratada.
  • Expresa mención de que dicho acceso a los datos del fichero es necesario para el cumplimiento del objeto contractual.
  • Obligaciones del Encargado del Tratamiento.
  • Determinación de las responsabilidades de las partes.

La cesión de datos

La LOPD define la cesión de datos como “toda revelación de datos realizada por persona distinta del interesado”. Se establecen dos requisitos iniciales y concurrentes que deberán darse en toda cesión:

  • Sólo será posible la cesión de los datos para el cumplimiento de fines directamente relacionados con las funciones de cedente y cesionario.
  • El previo consentimiento informado del interesado.

Conclusiones

El uso de información es parte de cualquiera de las actividades de todo proceso de negocio. La Ley 15/1999 de Protección de Datos de Carácter Personal (conocida por los amigos como LOPD y temida por la gente en general por sus famosas multas) sólo establece ciertos mínimos cuando lo que se tiene entre manos son datos de carácter personal. Ello implica que toda organización debe esforzarse por entender esas restricciones y debe dar cumplimiento, cada vez que maneja este tipo de información, de aquellas cosas que la regulación ha establecido. Por resumir de forma escueta y clara, a pesar de obviar detalles, matices y excepciones particulares que las hay y muchas, las tareas más básicas son:

  1. Registrar el fichero ante la Agencia de Protección de Datos.
  2. Informar a cada propietario de los datos (Afectado o cliente que nos entrega información) de qué vamos a hacer con ellos (Finalidad) y quienes somos (Responsable del fichero).
  3. Indicarle en el momento de la recogida de datos que tiene unos derechos reconocidos por la Ley y determinar cómo pueden ser ejercicios.
  4. Proteger los sistemas de información con unas mínimas medidas de seguridad que afectan a los datos tanto en soporte papel cómo almacenados en sistemas informáticos.

Creadores

 Mónica Morán Blanco - 4ºC - GII
 Rubén Barrado González - 4ºC - GIS