auditoria de seguridad informÃ¡tica lopd.pdf

UNIVERSIDAD DE CASTILLA-LA MANCHA

ESCUELA SUPERIOR DE INFORMTICA

AUDITORA Y SEGURIDAD INFORMTICA2001/2002

ESTUDIO DE LA LOPD Y SUREGLAMENTO

AUTORES: Javier Crespo Reyero Luis M. De La Gndara Rey

PROFESOR: Antonio Martnez

La ley limitar el uso de la informtica para garantizar el honor y la intimidad personal y familiarde los ciudadanos y el pleno ejercicio de sus derechos

Artculo 18.4 de la Constitucin Espaola

Auditora y Seguridad Informtica ESTUDIO DE LA LOPD Y SU REGLAMENTO

Luis Manuel de la Gndara Rey, Javier Crespo Reyero 3

0 NDICE

1. INTRODUCCIN..............................................................................................................52. LOPD VS LORTAD ..........................................................................................................6

2.1. AMBITO DE APLICACIN..........................................................................................62.2. LOS PRINCIPIOS DE LA LEY ....................................................................................72.3. DERECHOS DE LAS PERSONAS..............................................................................82.4. OTRAS DIFERENCIAS .............................................................................................8

3. PRINCIPIOS DE LA PROTECCIN DE DATOS ...............................................................93.1. CALIDAD DE LOS DATOS ........................................................................................93.2. INFORMACIN EN LA RECOGIDA DE DATOS .........................................................93.3. CONSENTIMIENTO DEL INTERESADO ....................................................................103.4. DATOS ESPECIALMENTE PROTEGIDOS .................................................................103.5. SEGURIDAD DE LOS DATOS ...................................................................................103.6. COMUNICACIN O CESIN DE DATOS ..................................................................11

4. DERECHOS DE LAS PERSONAS ...................................................................................124.1. DERECHO DE CONSULTA AL REGISTRO GENERAL DE PROTECCIN DE DATOS .................................................................124.2. DERECHO DE ACCESO ...........................................................................................134.3. DERECHOS DE RECTIFICACIN Y CANCELACIN .................................................134.4. DERECHO DE OPOSICIN ......................................................................................134.5. DERECHO DE IMPUGNACIN DE VALORES ...........................................................14

5. DISPOSICIONES SECTORIALES ....................................................................................155.1. FICHEROS DE TITULARIDAD PBLICA ...................................................................15

5.1.1. Creacin, modificacin o supresin .................................................................155.1.2. Comunicacin de datos entre administraciones pblicas ..................................155.1.3. Ficheros de las Fuerzas Armadas y Cuerpos de Seguridad ..............................155.1.4. Excepciones a los derechos de los afectados ..................................................16

5.2. FICHEROS DE TITULARIDAD PRIVADA ...................................................................165.2.1. Creacin, notificacin e inscripcin registral ....................................................165.2.2. Censo promocional y datos de acceso pblico .................................................175.2.3. Publicidad y prospeccin comercial .................................................................17

6. MOVIMIENTO INTERNACIONAL DE DATOS ..................................................................187. AGENCIA DE PROTECCIN DE DATOS ........................................................................198. INFRACCIONES Y SANCIONES .....................................................................................21

8.1. TIPOS DE INFRACCIONES, SANCIONES ASOCIADAS Y PRESCRIPCIONES ...........218.1.1. Leves ............................................................................................................218.1.2. Graves ..........................................................................................................218.1.3. Muy graves ...................................................................................................22

9. REGLAMENTO DE MEDIDAS DE SEGURIDAD ...............................................................249.1. NIVELES DE SEGURIDAD ........................................................................................249.2. MEDIDAS DE SEGURIDAD DE NIVEL BSICO .........................................................25

9.2.1. Documento de seguridad ...............................................................................259.2.2. Funciones y obligaciones del personal ............................................................259.2.3. Registro de incidencias ..................................................................................259.2.4. Identificacin y autenticacin ..........................................................................269.2.5. Control de acceso ..........................................................................................269.2.6. Gestin de soportes .......................................................................................269.2.7. Copias de respaldo y recuperacin .................................................................26

9.3. MEDIDAS DE SEGURIDAD DE NIVEL MEDIO ...........................................................279.3.1. Documento de seguridad ...............................................................................279.3.2. Responsable de seguridad .............................................................................279.3.3. Auditoria .......................................................................................................279.3.4. Identificacin y autenticacin ..........................................................................289.3.5. Control de acceso fsico .................................................................................289.3.6. Gestin de soportes .......................................................................................289.3.7. Registro de incidencias ..................................................................................289.3.8. Pruebas con datos reales ...............................................................................28



9.4. MEDIDAS DE SEGURIDAD DE NIVEL ALTO .............................................................299.4.1. Distribucin de soportes .................................................................................299.4.2. Registro de accesos ......................................................................................299.4.3. Copias de respaldo y recuperacin .................................................................299.4.4. Telecomunicaciones ......................................................................................29

10. RECOMENDACIONES FINALES .....................................................................................30 10.1. INFORMACIN EN LA RECOGIDA DE DATOS ......................................................30

10.2. FINALIDAD PARA LA QUE SE RECOGEN LOS DATOS ..........................................3010.3. SEGURIDAD EN EL INTERCAMBIO DE DATOS .....................................................3010.4. PARA TERMINAR ..................................................................................................31

11. EJEMPLO DE APLICACIN ...........................................................................................3212. ANEXOS .........................................................................................................................35

12.1. ANEXO I ................................................................................................................3512.2. ANEXIO II ..............................................................................................................5312.3. ANEXO III ..............................................................................................................59

13. BIBLIOGRAFA Y WEB ..................................................................................................63



1 INTRODUCCIN

El Artculo 18.4 de la Constitucin dice que la ley limitar el uso de la informtica paragarantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio desus derechos.

Con la intencin de hacer realidad este artculo naci el 29 de octubre del ao 1992 laLey Orgnica 5/1992 de Regulacin del Tratamiento Automatizado de Datos de CarcterPersonal conocida como LORTAD. Esta polmica ley tan solo tuvo una vigencia de siete aosen el rgimen jurdico espaol.

El 13 de diciembre de 1999 se procedi a la transposicin a nuestro ordenamiento de laDirectiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa ala proteccin de las personas fsicas en lo que respecta al tratamiento de datos personales y ala libre circulacin de estos datos, viendo la luz de este modo la vigente Ley Orgnica 15/1999de Proteccin de Datos de Carcter Personal, conocida como LOPD.

La Ley Orgnica de Proteccin de Datos de Carcter Personal (LOPD) tiene un mbitode aplicacin mas amplio que la LORTAD, ya que no se limita al soporte digital exclusivamente,sino a todo tipo de soportes fsicos en los que se puedan almacenar ficheros de datos. LaLOPD se divide en siete ttulos y una parte final compuesta por: seis disposiciones adicionales,tres disposiciones transitorias, una disposicin derogatoria y tres disposiciones finales.

La estructura general de la Ley es la siguiente:

TTULO I : Disposiciones Generales.TTULO II : Principios de la proteccin de datos.TTULO III : Derechos de las personas.TTULO IV : Disposiciones sectoriales.

CAPTULO I : Ficheros de titularidad pblica.CAPTULO II : Ficheros de titularidad privada.

TTULO V : Movimiento internacional de datos.TTULO VI : Agencia de Proteccin de Datos.TTULO VII: Infracciones y sanciones.Parte final.

En total, la Ley se compone de 49 artculos que se vern en detalle en los siguientescaptulos de este trabajo.

El artculo 1 de la LOPD expone sus objetivos de esta manera:

La presente Ley orgnica tiene por objeto garantizar y proteger, en lo que concierne altratamiento de los datos personales, las libertades pblicas y los derechos fundamentales delas personas fsicas, y especialmente de su honor e intimidad personal y familiar.

Esperemos que esta nueva Ley logre cumplir con sus objetivos y levante menospolmica en su aplicacin que su precursora, mantenindose, de este modo, vigente por unmayor espacio de tiempo y con un mayor consenso en su interpretacin y subsiguienteaplicacin.

Este trabajo pretende dar una visin general sobre la LOPD y su Reglamento deMedidas de Seguridad, evitando, en la medida de lo posible, el lenguaje jurdico que podraresultar demasiado denso y centrndose, especialmente, en los aspectos ms interesantespara los profesionales dedicados al mundo de la informtica.



2 LOPD Vs LORTAD

Como se ha comentado en la introduccin la LORTAD fue la precursora de la actualLOPD, pero desde su aceptacin ha sido perseguida por la polmica y el desacuerdo. Paraentender mejor la nueva ley que la sustituye es importante hacer una comparacin entre ambase intentar encontrar los puntos que difieren para poder observar la evolucin que ha sufrido eltratamiento de datos de carcter personal desde 1992 hasta la actualidad en el mbito jurdicoespaol.

Las diferencias comienzan ya en el nombre. La eliminacin de una palabra en el objetode la nueva ley: automatizados, tiene una enorme trascendencia a la hora de analizar ambasleyes. Se ha cambiado el fin ltimo de la LORTAD y sin embargo permanece vigente gran partede su articulado.

La LORTAD, segn se expone, de una forma que no deja lugar a ninguna duda, en suartculo primero tena por objeto el desarrollo del artculo 18.4 de la Constitucin, como ya seha comentado en la introduccin. Por lo tanto el fin de la LORTAD era poner freno a lo queentendan los redactores de la Constitucin era un peligro para la defensa de la intimidad de losciudadanos: la implantacin cada da mayor en nuestra sociedad de la nuevas tecnologas dela informacin, especialmente a partir del enorme avance experimentado por lascomunicaciones.

En la LORTAD no tenan en cuenta otro tipo de datos que los de carcter personal ysiempre que fuesen tratados de forma automatizada, la posesin de este tipo de datos, pero enotro soporte, no era objeto de la misma. Se estableca, por decirlo as, una categora de datos:los automatizados, algo que en la LOPD ha dejado de existir.

La LORTAD se refera slo a los datos organizados automatizados aunque posponapara fecha posterior, a juicio del Gobierno, la posible incorporacin al mbito de la Ley los noautomatizados.

La desaparicin de esa distincin de automatizados englobando a todos los datos decarcter personal en una misma categora cambia el panorama y en la prctica plantea lanecesidad de estudiar la nueva situacin creada.

El objeto de la LOPD pretende ser mucho ms amplio que el de la LORTAD, en estafinalidad estaba clara y era muy especfica: cumplir el mandato constitucional de desarrollar elartculo 18.4 de la Constitucin para limitar el uso de algo que se consideraba pernicioso. En elcaso de la LOPD ya no se trata de un artculo sino de la seccin 1 de la Constitucin: De losderechos fundamentales y las libertades pblicas.

2.1. MBITO DE APLICACIN

El mbito de aplicacin de la LOPD se mueve en torno a tres parmetros: de contenido,territorial y temporal.

Entran dentro de su mbito todos los tratamientos de datos automatizados o no decarcter personal concernientes a personas fsicas.

En el aspecto territorial abarca a los ficheros no slo cuando el responsable deltratamiento est establecido en territorio espaol sino cuando no lo est pero utiliza mediossituados en el mismo o le sean de aplicacin las normas internacionales.

Por ltimo, en principio, la temporalidad le viene impuesta por la necesidad de disponerde los datos para el fin para el que se cre el fichero o bien para una finalidad posterior nocompatible con aquella.



La LOPD, siendo consecuente con la filosofa seguida por la LORTAD de que hayasiempre un responsable cuando hay que hacer frente al dao producido por una posibleinfraccin, establece que la ley alcanza al responsable del tratamiento aunque no resida enterritorio espaol y obliga a que cuando el responsable del tratamiento no est establecido enterritorio de la U.E. deba designar un representante en Espaa.

Conocer en la antigua ley si un tipo de registro era una fuente accesible al pblicoalgunas veces no era tarea fcil.

La LORTAD defina las fuentes accesibles al pblico como aquellos ficherosautomatizados de titularidad pblica cuyo objeto legalmente establecido fuese elalmacenamiento de datos para su publicidad con carcter general.

En la LOPD se consideran fuentes accesibles al pblico las siguientes:

- Censo promocional.

- Repertorios telefnicos (normativa especfica).

- Listas de personas pertenecientes a grupos profesionales.

- Diarios oficiales.

- Boletines oficiales.

- Medios de comunicacin.

De esta forma las dudas que se planteaban sobre si un fichero determinado contena ono datos accesibles al pblico ahora con la nueva normativa no se presentan.

2.2. LOS PRINCIPIOS DE LA LEY

No se han producido muchas modificaciones en los principios que inspiran la Ley. Enlas lneas que vienen a continuacin, siguiendo el articulado de la LOPD vamos a irexaminando las diferencias que se han producido entre una y otra ley.

En el artculo 4 punto 2 se produce en la LOPD el cambio de una palabra que puedetener gran importancia a la hora de la aplicacin prctica de la Ley.

La LORTAD deca: no podrn usarse para finalidades distintas, sin embargo la LOPDno habla de finalidades distintas sino incompatibles.

Con la nueva redaccin muchas organizaciones que poseen grandes bases de datos ycuya finalidad en el momento de la recogida de los datos era simplemente, por ejemplo, lafacturacin de un servicio, ahora podrn utilizarlas para otros fines distintos de ste siempreque no sean incompatibles con el mismo algo que hasta ahora legalmente no podan hacer.

El artculo 9 relativo a la seguridad de los datos no sufre prcticamente transformacinalguna; sin embargo su desarrollo reglamentario s que las debe sufrir, ya que el reglamento,que tambin se trata en este trabajo, fue desarrollado para regular ficheros automatizados y aellos va dirigido todo su articulado por lo que el cambio que hay que realizar tiene que sersustancioso. Probablemente se presentarn problemas a la hora de adaptar dicho reglamento.

A la prestacin de servicios por un tercero, el outsourcing, la LOPD le dedica mayoratencin incluyndola bajo el epgrafe: Acceso a los datos por cuenta de terceros en elartculo 12 que figura en el Ttulo referido a los principios de la proteccin de datos.

Una vez cumplida la prestacin de servicios los datos de carcter personal debern serdestruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte odocumento en que conste algn dato de carcter personal objeto del tratamiento.



La LORTAD le dedicaba el artculo 27 dentro de los ficheros de titularidad privada y selimitaba a cinco aos el tiempo en que el prestador del servicio poda almacenar los datosmediante autorizacin del responsable del fichero.

La LOPD no especifica tiempo alguno por lo que se presuma que podrn almacenarseen tanto sean necesarios para la prestacin peridica del servicio.

2.3. DERECHOS DE LAS PERSONAS

Los derechos de las personas que se configuran en la LOPD son: impugnacin devaloraciones, consulta, acceso, rectificacin y cancelacin, oposicin, tutela e indemnizacin.

El derecho de impugnacin de valoraciones que en la LORTAD se refera a lasproducidas por un tratamiento automatizado, en la LOPD es ms general refirindose acualquier tipo de tratamiento.

El derecho de acceso se regula como un derecho gratuito, cosa que no se haca en laLORTAD y entre la informacin que se tiene que facilitar aparte de los datos de carcterpersonal y el origen de los mismos se debe informar de las cesiones realizadas y de las que setenga previsto realizar.

En los derechos de rectificacin y cancelacin se introduce en el artculo el plazo dediez das para hacer efectivos los mismos, que es superior al plazo de cinco das queestableca la LORTAD.

El derecho de oposicin se configura como el derecho que tienen los interesados, endeterminadas circunstancias, a oponerse al tratamiento de los datos que les conciernen, encuyo caso, previa peticin y de forma gratuita sern dados de baja del tratamiento,cancelndose las informaciones que sobre ellos figuren.

2.4. OTRAS DIFERENCIAS

Con la LOPD nace el llamado Censo Promocional, se trata de una copia de datos de:nombre, apellidos y domicilio que constan en el censo electoral. Este se podr usar durante unao para fines publicitarios.

En los artculos correspondientes al movimiento internacional de datos se enumeran lascircunstancias que debe evaluar la Agencia de Proteccin de Datos para que el nivel deproteccin que ofrece el pas se considere adecuado, asimismo se amplan las excepciones ala Ley en esta rea, siguiendo la Directiva comunitaria.

Los tipos de infracciones siguen dividindose en leves, graves y muy graveshabindose modificado en algunos aspectos.

El carcter de muy grave se reserva para los datos especialmente protegidos y losrecabados con fines policiales.

Se incluyen entre los graves algunos casos mas como: no inscribir el fichero cuandohaya sido requerido para ello e incumplir el deber de informacin cuando los datos se recabende persona distinta del afectado.

Las infracciones muy graves tambin han visto incrementados sus casos: no atender uobstaculizar de forma sistemtica el ejercicio de los derechos de los interesados y no atenderde igual forma la notificacin de inclusin en un fichero.



3 PRINCIPIOS DE LA PROTECCIN DE DATOS

Este apartado de la LOPD (artculos 4 a 12) constituye la base en el tratamiento dedatos de carcter personal, ya que se centra en los aspectos relacionados con la manipulaciny gestin de la informacin de un modo general. Expone una serie de principios bsicos quedebern ser contemplados por cualquier ente, pblico o privado, que desee manipularinformacin de carcter personal. Estos principios sern matizados, aumentados o modificadosen los siguientes ttulos de esta ley en funcin de su uso o manipulacin, atendiendo a los finesy titularidad de la empresa que los trate.

3.1. CALIDAD DE LOS DATOS

El artculo 4 proporciona unas directrices fundamentales sobre la calidad de los datos.

Es fundamental que los datos sean pertinentes, adecuados y no excesivos en relacincon el mbito y finalidades determinadas, explcitas y legtimas para las que se hayan obtenido.

De un modo resumido se pueden destacar los siguientes puntos:

- Los datos de carcter personal se podrn recoger para un uso adecuado, ysiempre que no sobrepasen la informacin necesaria para la finalidad a la quesirven, adems, no se podrn usar para un fin distinto al inicialmente propuesto ysern eliminados cuando este fin haya sido alcanzado y no sea necesario sumantenimiento.

Poniendo como ejemplo una empresa interesada en promocionar una lnea demuebles en pino macizo esta no podr recabar informacin entre sus clientespotenciales sobre su raza, creencias o ideologa, ya que no tienen ningn tipo derelacin con su propsito, que es el de vender muebles.

- Todos los datos almacenados debern ser exactos, y en caso de que no lo fueranpodrn ser cancelados y sustituidos por los datos rectificados sin perjuicio delafectado.

- Por ltimo, destacar el ltimo punto de este articulo, en el que se dice,textualmente: Se prohibe la recogida de datos por medios fraudulentos, deslealeso ilcitos.

Este es un punto a tener en cuenta, ya que este tipo de actos estntipificados como faltas muy graves con multas que oscilan entre los 50 y 100millones de pesetas, como mas adelante veremos.

3.2. INFORMACIN EN LA RECOGIDA DE DATOS

El titular del fichero tiene la obligacin de informar al afectado cuando se recaban losdatos, de manera que el interesado pueda conocer esencialmente quin, cmo y para qu setratan sus datos; ello supone que el interesado debe ser informado con carcter previo altratamiento de sus datos y de modo expreso, preciso e inequvoco de lo siguiente :

- La existencia del fichero de tratamiento de datos, de la obligatoriedad de contestara las preguntas del formulario, de las consecuencias de no suministrarlos, de laposibilidad que tiene de cancelar y modificar estos datos y de la identidad delresponsable de este fichero de datos.

- En el caso de que los datos no hayan sido directamente pedidos al interesado laempresa tiene el deber de comunicrselo al usuario en un plazo mximo de 3meses desde su inclusin en el registro de datos. Esto no se contempla cuando los



datos sirvan para fines histricos, cientficos o estadsticos. Tampoco se contemplaen el caso de datos pblicos, como el nombre y la direccin, que puedan serusados para publicidad. En este ltimo caso tan solo se le informar al interesadode sus derechos y del origen de los datos cuando reciba dicha publicidad.

3.3. CONSENTIMIENTO DEL INTERESADO

Es el consentimiento el principio fundamental para cualquier tratamiento de datos decarcter personal, pudiendo afirmarse que constituye una condicin de licitud del mismo.Mediante el consentimiento otorgado por el interesado para que se recojan sus datos stepuede controlar cundo, dnde y cmo se pueden tratar sus datos, bien por aquella persona oentidad que los recaba o bien para su comunicacin a terceros. Si bien el consentimiento no esnecesario en ciertos casos que se reflejan en el primer guin de este apartado.

- El afectado debe dar su consentimiento inequvoco al tratamiento de sus datossalvo que la ley revoque estos derechos. De cualquier modo, el consentimiento noser necesario cuando sean necesarios para las funciones de las Administracionespblicas; sean datos de carcter pblico; sean necesarios en una relacin negocial,laboral o administrativa o cuando estos datos tengan como objeto proteger uninters del afectado.

- El interesado podr revocar el consentimiento que ha otorgado sobre sus datos sitiene causa justificada para ello. Adems, en el caso de que no sea necesario suconsentimiento podr oponerse a su tratamiento si puede justificar alguna causaque lo excluya.

3.4. DATOS ESPECIALMENTE PROTEGIDOS

Existe una categora de datos que la LOPD denomina especialmente protegidos y queson aquellos datos a los que la norma otorga un mayor grado de proteccin, imponiendoespeciales obligaciones respecto de los mismos, tales como la necesidad de obtener elconsentimiento expreso, y en su caso por escrito.

El artculo 7 proporciona las directrices para tratar los datos especialmente protegidosque pueden vulnerar los derechos fundamentales del individuo. Segn el art.16 apartado 2 dela constitucin nadie podr ser obligado a declarar sobre su ideologa, religin o creencias.Esto es lo que intenta proteger este artculo basndose en los siguientes puntos:

- Solo se podrn tratar los datos de carcter personal que revelen la ideologa,afiliacin sindical, religin y creencias con el consentimiento expreso y por escritodel afectado. Las entidades sin animo de lucro cuyo fin sea poltico, religioso,filosfico o sindical estn exentas de este requisito.

- Con respecto a los datos sobre salud, raza o vida sexual solo podrn ser tratadoscuando el afectado consienta expresamente, cuando la ley as lo disponga ocuando sean datos necesarios para el tratamiento mdico.

- De cualquier modo, queda expresamente prohibido por la ley crear ficheros cuyanica finalidad sea la de recabar informacin sobre ideologas, afiliacionessindicales, religin, creencias, origen racial, o vida sexual.

3.5. SEGURIDAD DE LOS DATOS

En el artculo 9 se proporcionan una serie de lneas gua, muy bsicas, sobre laseguridad de los datos almacenados en ficheros. El Real Decreto 994/1999 del 11 de junioaprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengandatos de carcter personal. Este reglamento se tratar en profundidad en este trabajo dada laimportancia que tiene para la prctica de la auditoria informtica.



El responsable del fichero y quienes intervengan en cualquier fase del tratamiento delos datos tienen la obligacin de guardar el secreto profesional incluso despus de finalizar sutratamiento.

3.6. COMUNICACIN O CESIN DE DATOS

Existe la posibilidad de ceder a un tercero los datos personales siempre que sea parafines directamente relacionados con el propietario de los datos y el responsable del archivo, ysiempre con el consentimiento previo del primero. Existen una serie de casos en los que noser necesario ese consentimiento:

- En general, cualquier cesin de datos a entes pblicos de la Administracin o dembito jurdico estn exentos de pedir consentimiento al interesado, tampoco sernecesario cuando la cesin est autorizada por la ley o en el caso de unaemergencia mdica.

- Destacar, por ltimo, que cualquiera que reciba datos de carcter personalvalindose de este artculo debe atenerse a todas las disposiciones de la LOPDque estamos viendo.

En ocasiones, los responsables de los datos se ven obligados a dar acceso a untercero para que realice algn tipo de tratamiento con los datos del fichero. El artculo 12 tratasobre este hecho, pero en este caso no se considerar comunicacin de datos, como se havisto en el artculo 11.

Este servicio estar regulado por un contrato por escrito que garantiza que los datostan solo se usarn del modo estipulado en dicho contrato. Cumplida la prestacin los datossern destruidos o devueltos al responsable.

En el caso de que se usen los datos para otros fines distintos a los pactados serconsiderado tambin responsable del tratamiento, respondiendo de las infracciones en las quehubiera incurrido.



4 DERECHO DE LAS PERSONAS

Ser obligatorio que todo aquel encargado de recoger, tratar y ceder datos de carcterpersonal inscriba los ficheros, creados para el almacenamiento de estos datos, en el RegistroGeneral de la Agencia de Proteccin de Datos, haciendo figurar un responsable de fichero otratamiento.

El tratamiento de datos de carcter personal puede suponer una acumulacin deinformacin que permita crear un perfil de la persona fuera de su control. Por eso, para evitareste riesgo, se conceden al ciudadano una serie de derechos que le otorguen la facultad depoder ejercer un control sobre el uso de sus datos por parte de quienes los traten. Estosderechos se convierten en un mecanismo, por el cual, se garantiza que los ciudadanos puedanacceder, rectificar y cancelar aquellos datos que no sean exactos o relacionados con lasfinalidades para las que fueron recogidos. De esta forma, cada interesado podr conocer entodo momento, y con la mayor informacin posible, los datos recogidos sobre su persona.

Cada uno de los derechos ser independiente, lo que supone que el ejercicio de algunono es requisito previo para el ejercicio de otro.

Para ejercitar correctamente los derechos de los interesados cuyos datos son objeto detratamiento por parte del responsable del fichero, es necesario el cumplimiento de unosrequisitos formales, tales como el envo de una solicitud a dicho responsable (esta contendr elnombre y apellidos del interesado o de su representante, fotocopia de su DNI, la peticin enque se concreta la solicitud, etc.). Adems, el ejercicio de estos derechos ser, en principio,gratuito y sin suponer ningn gasto para el interesado. Por su parte, el responsable deltratamiento deber contestar al interesado, tanto si constan datos del solicitante en el ficherocomo sino, y subsanar aquellos en caso de inexactitud.

Los interesados podrn reclamar, de forma reglamentaria, ante la Agencia deProteccin de Datos las actuaciones contrarias a lo dispuesto en la ley, pudiendo dar a conocera sta (o en su caso al organismo competente de cada Comunidad Autnoma) la denegacin,total o parcial, del ejercicio de los derechos de oposicin, acceso, rectificacin o cancelacin.Dichos organismos debern asegurarse de la procedencia o improcedencia de la denegacin,teniendo un plazo mximo de 6 meses para dictar la resolucin de la tutela de derechos.Contra estas resoluciones proceder recurso contencioso-administrativo. As mismo, losinteresados que sufran dao o lesin en sus bienes o derechos, como consecuencia delincumplimiento de esta ley por parte del responsable del tratamiento, tendrn derecho a serindemnizados y, dependiendo de s los ficheros son de titularidad pblica o privada, podrejercitar las correspondientes acciones ante las Administraciones pblicas o ante la jurisdiccinordinaria respectivamente.

A continuacin se concretan los derechos que el interesado puede ejercitar ante elresponsable del fichero respecto a los datos objeto de tratamiento.

4.1. DERECHO DE CONSULTA AL REGISTRO GENERAL DE PROTECCIN DEDATOS

Con objeto de conocer la existencia de tratamientos de datos de carcter personal, susfinalidades y la identidad del responsable del tratamiento, cualquier persona podr consultar,pblica y gratuitamente, el Registro General de Proteccin de Datos para obtener informacin atal fin.

De esta forma, el interesado podr estar al tanto del uso de sus datos y controlar elperfil creado con stos, pudiendo as ejercitar, ante el responsable del tratamiento, otrosderechos que crea oportunos.



4.2. DERECHO DE ACCESO

Se refiere a la facultad reconocida a todo interesado, cuyos datos personales sonsometidos a tratamiento, para solicitar y obtener informacin gratuita sobre que datos estnsiendo tratados, el origen de stos y las cesiones o comunicaciones realizadas o que se prevnrealizar.

Esto garantiza que el individuo pueda conocer qu datos se estn tratando y quinformacin puede llegar a obtenerse de los mismos.

Este derecho slo podr ser ejercitado gratuitamente por el interesado a intervalos noinferiores a 12 meses, o antes si se acredita un inters legitimo al efecto. Ante este ejercicio, elresponsable del fichero dispondr de un plazo de 30 das para resolver la peticin efectuada,comunicando al interesado la decisin sobre la procedencia o no del ejercicio de este derecho,independientemente de que figuren o no datos del mismo en el fichero cuestionado. Tendrotros 10 das ms para proporcionarle los datos siempre y cuando la peticin de acceso fueraestimatoria, en cuyo caso la informacin que obtenga el interesado ser mediante la meraconsulta de los datos por medio de su visualizacin o mediante escrito, copia, telecopia ofotocopia, certificada o no, en forma legible e inteligible, y siempre sin utilizar claves o cdigosque requieran el uso de dispositivos mecnicos especficos que obstaculicen el ejercicio.

Cuando el interesado sea menor de edad o incapacitado se comprobar que el derechose ejerce a travs de un representante legal.

4.3. DERECHOS DE RECTIFICACIN Y CANCELACIN

Otorgan la posibilidad al interesado de exigir al responsable del fichero que cumpla conel principio de calidad de datos, pudiendo solicitarle que rectifique aquellos datos de carcterpersonal cuyo tratamiento no se ajuste a lo dispuesto en la ley y, en particular, cuando stosresulten inexactos o incompletos, y que los cancele cuando dejen de ser necesarios para el finen el que hubieran sido registrados. Con esto se asegura que los datos se mantengan de formaadecuada y no excesiva en relacin con el mbito y finalidades legtimas para las que serecogieron.

Siempre que no exista una disposicin legal contraria, los datos, totales o parciales,sobre los que se ejerciten los derechos de rectificacin y cancelacin podrn ser excluidos deun determinado fichero de datos personales, bien por ser errneos o bien por negarse el titulara su tratamiento.

La cancelacin dar lugar al bloqueo de los datos, conservndose nicamente adisposicin de las Administraciones pblicas, Jueces y Tribunales, para la atencin de lasposibles responsabilidades nacidas del tratamiento, durante el plazo de prescripcin de stas.Cumplido este plazo se proceder a la supresin definitiva.

Como los anteriores, estos dos derechos, personales e independientes, exigen lasmismas formalidades de identificacin y representacin. Se ejercern gratuitamente por elinteresado mediante una solicitud al responsable del fichero, teniendo este ltimo la obligacinde hacerlos efectivos en un plazo de 10 das. Pero cuando existan causas para ello, cabe laposibilidad de que el responsable del tratamiento se oponga a la solicitud de rectificacin ocancelacin. Estas causas se pueden deber al amparo legal del tratamiento o a la relacincontractual entre el interesado y el responsable.

4.4. DERECHO DE OPOSICIN

Este derecho, a pesar de su falta de definicin en la ley, se perfila como toda negativaa la continuacin del tratamiento de los datos personales por parte del interesado. Supone queen los casos en los que no se requiera el consentimiento de ste para el tratamiento de susdatos, y siempre que una ley no disponga lo contrario, pueda oponerse al tratamiento de losmismos cuando existan motivos fundados y legtimos.



El ejercicio de este derecho ser gratuito.

4.5. DERECHO DE IMPUGNACIN DE VALORACIONES

Consiste en la facultad que se concede a las personas para no verse sometidas a lasdecisiones con efectos jurdicos basadas exclusivamente en un tratamiento de datos destinadoa evaluar determinados aspectos de su personalidad o definicin de sus caractersticas. As, elafectado podr impugnar los actos administrativos o decisiones privadas que impliquen unavaloracin de su comportamiento fundamentada en dicho tratamiento de datos, pues stanicamente podr tener valor probatorio y siempre a peticin del mismo.

El afectado tendr derecho a obtener informacin del responsable del fichero sobre loscriterios de valoracin y el programa utilizado en el tratamiento que sirvi para adoptar dichadecisin.



5 DISPOSICIONES SECTORIALES

Los ficheros de titularidad pblica se rigen por un marco legal distinto al de los ficherosde titularidad privada, por este motivo el TITULO IV de LOPD se divide en dos captulos quemuestran la normativa para cada uno de estos dos tipos de ficheros.

5.1. FICHEROS DE TITULARIDAD PBLICA

Este captulo abarca los artculos del 20 al 24 y regula el uso de los ficheros en laAdministraciones Pblicas y en las Fuerzas y Cuerpos de Seguridad.

5.1.1. Creacin, modificacin o supresin

El Registro General de Proteccin de Datos (RGPD) es el rgano de la Agencia deProteccin de Datos al que corresponde velar por la publicidad de la existencia de los ficherosde datos de carcter personal como veremos ms adelante.

La creacin, modificacin o supresin de un fichero de titularidad pblica solo podrcrearse cuando aparezca publicado en el Boletn Oficial del Estado y deber ser comunicado alRegistro General de Proteccin de Datos detallando los siguientes puntos:

- Cual es su finalidad y para que se va a emplear.

- Las personas a las que se las va a pedir sus datos y el procedimiento de recogidade estos.

- La estructura que tendr el fichero y los tipos de datos, as como la seguridad quedebern tener; bsica, media o alta.

- La Administracin responsable del fichero. Como va a manipular los datos, o en sucaso, la transferencia de estos a pases terceros.

En el caso de que se desee destruir un fichero deber especificarse cual es el destinode los mismos y como sern destruidos.

5.1.2. Comunicacin de datos entre Administraciones pblicas

El artculo 21 especifica como se realizar la comunicacin de datos entre lasAdministraciones Pblicas, este artculo dispone que los ficheros realizados por unaAdministracin no sern comunicados a otras Administraciones Pblicas, salvo que, al sercreado el fichero, se haya establecido de ese modo o cuando sea para fines cientficos,estadsticos o histricos.

Una Administracin que elabore un fichero con destino a otra si podr comunicar datosde carcter personal.

Por supuesto, queda excluida la posibilidad de transferir los ficheros de titularidadpblica a uno de carcter privado, salvo cuando la ley prevea otra cosa.

5.1.3. Ficheros de las fuerzas armadas y cuerpos de seguridad.

En el artculo 22 se tratan los ficheros recogidos y tratados por las Fuerzas y Cuerposde Seguridad. Lo primero que advierte la ley es que, todos los ficheros recogidos para finesadministrativos estarn sujetos a la ley para la proteccin de los datos.



Tan solo podrn recoger informacin sin el consentimiento de las personas afectadascuando resulten necesarios para la prevencin de un peligro real para la seguridad pblica opara la prevencin de infracciones penales.

Tambin se dispone la cancelacin de los datos personales registrados con finespoliciales cuando ya no sean necesarios para la investigacin que justific su almacenamiento.

5.1.4. Excepciones a los derechos de los afectados

Los derechos de los afectados a acceder, rectificar y cancelar un fichero de titularidadpblica son los resueltos en el TITULO III de la LOPD, sin embargo, existen una serie deexcepciones que son las siguientes:

- Los responsables de los cuerpos de seguridad podrn denegar el acceso alafectado cuando entienden que pone en peligro la seguridad pblica o la defensadel estado.

- La Hacienda Pblica tambin podr negar el acceso o modificacin de datos si seobstaculiza las actualizaciones destinadas a hacer cumplir las obligacionestributarias.

En cualquier caso, el afectado podr recurrir al Director de la Agencia de Proteccin deDatos o al organismo competente de su Comunidad Autnoma en el caso de que no est deacuerdo con esta denegacin.

5.2. FICHEROS DE TITULARIDAD PRIVADA

El resto de los artculos del Titulo IV (del 25 al 32) tratan los ficheros de titularidadprivada del mismo modo que en el captulo anterior pero adaptndose a la diferente naturalezade estos.

5.2.1. Creacin, notificacin e inscripcin registral

Para la creacin de un fichero con datos de carcter personal la persona o entidadinteresada en promoverlo deber respetar las garantas que establece la LOPD para laproteccin de las personas.

Adems de observar la Ley debe dar los siguientes pasos para poder inscribir en elRGPD el fichero creado.

- Notificacin previa a la Agencia de Proteccin de Datos.

- Proporcionar los siguientes datos:o Responsable del fichero.o La finalidad del mismo.o Su ubicacin.o El tipo de datos de carcter personal que contiene.o Las medidas de seguridad (Alta, media, baja)o Las cesiones y transferencias de datos que se prevean realizar.

- Cualquier cambio en estos datos deber ser comunicado a la Agencia deproteccin de Datos.

- Si transcurrido un mes desde que se presenta la solicitud la Agencia no ha resueltonada sobre la misma se considera que el fichero ha sido inscrito en el RGPD.

La primera vez que se efecte una cesin de datos deber ser comunicada a losafectados, indicando todos los datos relevantes de dicha cesin.



5.2.2. Censo promocional y datos de acceso pblico

El Censo promocional es un servicio que se brinda a quienes se dediquen a larecopilacin de direcciones, reparto de documentos, publicidad, venta a distancia o actividadesanlogas. Este tipo de empresas tienen la posibilidad de pedir, a cambio de unacontraprestacin, al Instituto Nacional de Estadstica o a los rganos equivalentes de laComunidades Autnomas una copia del censo promocional con validez para un ao.

Este censo promocional facilitado contiene el nombre, apellidos y domicilio de losindividuos que constan en el censo promocional. Estos individuos podrn solicitar no apareceren dicho censo promocional si lo consideran oportuno.

Otra fuente de datos pblicos son los listados de los Colegios profesionales, aunquetambin tienen la posibilidad de indicar que sus datos personales no pueden utilizarse parafines de publicidad o prospeccin comercial.

5.2.3. Publicidad y prospeccin comercial

Cualquier empresa dedicada a la publicidad y otras actividades anlogas que usendatos de carcter personal debern atenerse a los siguientes puntos:

- Los datos siempre sern de fuentes accesibles al pblico o facilitados por lospropios interesados con su consentimiento.

- Los afectados tendr derecho a conocer el origen de los datos as como el resto deinformacin al que se refiere el artculo 15.

- Se debe brindar la posibilidad a los afectados de oponerse al tratamiento de susdatos, en cuyo caso la entidad estar obligada a darles de baja en su fichero.

Por ltimo, comentar la existencia de Cdigos Tipo, realizados mediante acuerdosentre empresas o convenios administrativos que establecen las condiciones de utilizacin delos ficheros de carcter personal en su entorno. En general, estos cdigos tienen carcterdeontolgico o de buena prctica profesional y debern ser depositados en el RGPD.



6 MOVIMIENTO INTERNACIONAL DE DATOS

El trasiego de informacin de un pas a otro (pensemos por ejemplo en el uso comercialde Internet) supone un traslado de grandes cantidades de datos de carcter personal, el culpuede provocar perjuicios en la privacidad de las personas. Es por esto que la LOPD seencarga de regular este movimiento internacional de datos.

Como norma general establece que no se pueden efectuar transferencias de datos decarcter personal, que hayan o vayan a ser sometidos a tratamiento, a pases que noproporcionen un nivel de proteccin equiparable al nuestro, salvo previa autorizacin delDirector de la Agencia de Proteccin de Datos.

La evaluacin del nivel de proteccin ser realizada por la Agencia de Proteccin deDatos considerando todas las circunstancias que concurran en la transferencia, en especial a lanaturaleza de los datos, a la finalidad del tratamiento, a la duracin de ste, al pas de origen yal de destino final, a las normas de derecho vigentes en el tercer pas, al contenido de losinformes de la Comisin de la Unin Europea, a las normas profesionales y a las medidas deseguridad en vigor.

No obstante, existen una serie de excepciones en las que no ser de aplicacin lanorma general:

- Cuando la transferencia internacional de datos de carcter personal resulte de laaplicacin de tratados o convenios en los que sea parte Espaa.

- Cuando la transferencia se haga a efectos de prestar o solicitar auxilio judicialinternacional.

- Cuando la transferencia sea necesaria para la prevencin o para el diagnsticomdico, la prestacin de asistencia sanitaria o tratamiento mdico o la gestin deservicios sanitarios.

- Cuando se refiera a transferencias dinerarias conforme a su legislacin especfica.

- Cuando el afectado haya dado su consentimiento inequvoco a la transferenciaprevista.

- Cuando la transferencia sea necesaria para la ejecucin de un contrato entre elafectado y el responsable del fichero o para la adopcin de medidasprecontractuales adoptadas a peticin del afectado.

- Cuando la transferencia sea necesaria para la celebracin o ejecucin de uncontrato celebrado o por celebrar, en inters del afectado, por el responsable delfichero y un tercero.

- Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda deun inters pblico. Tendr esta consideracin la transferencia solicitada por unaAdministracin fiscal o aduanera para el cumplimiento de sus competencias.

- Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa deun derecho en un proceso judicial.

- Cuando la transferencia se efecte, a peticin de persona con inters legtimo,desde un Registro pblico y aqulla sea acorde con la finalidad del mismo.

- Cuando la transferencia tenga como destino un Estado miembro de la UninEuropea, o un Estado respecto del cual la Comisin de las ComunidadesEuropeas, en el ejercicio de sus competencias, haya declarado que garantiza unnivel de proteccin adecuado.



7 AGENCIA DE PROTECCIN DE DATOS

Los artculos del 35 al 42 establecen la organizacin, el rgimen jurdico y lascompetencias del organismo que vela por el cumplimiento de la LOPD, este organismo sellama Agencia de Proteccin de Datos y tiene carcter de ente de derecho pblico.

La Agencia de Proteccin de Datos se estructura del siguiente modo:

- El director tiene consideracin de alto cargo y ser nombrado por el ConsejoConsultivo para un periodo de cuatro aos. Tiene potestad para ejercer susfunciones de manera independiente y objetiva y, tan solo, deber atender alConsejo Consultivo en la toma de decisiones.

- El Consejo Consultivo est compuesto por los siguientes miembros:

Un Diputado, Propuesto por el Congreso de los Diputados.Un Senador, propuesto por el Senado.Un representante de la Administracin Central, propuesto por el Gobierno.Un representante de la Administracin Local, propuesto por la Federacin Espaolade Municipios y Provincias.Un miembro de la Real Academia de la Historia.Un experto en la materia, propuesto por el Consejo Superior de Universidades.Un representante de los usuarios y consumidores.Un representante de cada Comunidad Autnoma.Un representante del sector de ficheros privados.

- El Registro General de Proteccin de Datos (RGPD) es un rgano integrado en laAgencia de Proteccin de Datos.

Es el encargado del procedimiento de inscripcin de los ficheros, tanto detitularidad pblica como privada. Adems de ocuparse de su inscripcin lo har desu modificacin, cancelacin, reclamaciones y recursos contra las resolucionescorrespondientes por va reglamentaria.

- Las autoridades de control sern las encargadas de la inspeccin de los ficherosque trata esta Ley, pudiendo solicitar la informacin que necesiten para llevaracabo su cometido. Los funcionarios que realicen esta funcin estn obligados aguardar secreto sobre las informaciones que manipulen y sern considerados comoautoridad pblica.

Las funciones que ejerce la Agencia de Proteccin de Datos son las siguientes:

Director

Registro General Inspeccin

Consejo Consultivo



- Velar por el cumplimiento de la legislacin sobre proteccin de datos y controlarsu aplicacin. Velar por el cumplimiento de las disposiciones que la Ley de laFuncin Estadstica Pblica establece respecto a la recogida de datos estadsticos.

- Sancionar en los trminos previstos en el Titulo VII que se estudiar en elsiguiente punto de este trabajo. Adems atender las reclamaciones realizadas porpersonas afectadas.

- Informar a las personas acerca de sus derechos en materia de tratamiento de losdatos de carcter personal, as como de los proyectos de disposiciones generalesque desarrollen esta Ley. Redactar una memoria anual que ser remitida alMinisterio de Justicia.

- Emitir la autorizaciones previstas en la Ley y dictar las instrucciones precisaspara adecuar los tratamientos a los principios de la LOPD

- Desempear las funciones necesarias para el movimiento internacional de losdatos realizando una labor unificadora en el mbito internacional.

Adems de la Agencia de Proteccin de Datos cada Comunidad Autnoma tendrrganos correspondientes con la consideracin de autoridades de control que gestionarn losficheros de datos de carcter personal creados o gestionados por las ComunidadesAutnomas.

De cualquier modo, el director de la Agencia de Proteccin de Datos tiene la ltimapalabra en la aplicacin de la LOPD. En el caso de que constate que el mantenimiento o usode un determinado fichero de las Comunidades Autnomas no est siendo tratado conforme alo expuesto en la Ley podr pedir a la Administracin correspondiente que se adopten medidascorrectoras en un plazo determinado.

Agencia de Proteccin de Datos

Inspectora Sancionadora Informativa Reguladora Unificadora



8 INFRACCIONES Y SANCIONES

La LOPD establece un rgimen sancionador al que se encuentran sujetos tanto losresponsables de los ficheros como los encargados de los tratamientos.

Este rgimen fija tres niveles de infraccin, clasificados en leves, graves y muy graves,los cules llevan asociadas la imposicin de las correspondientes sanciones econmicas.

La cuanta de las sanciones, actualizada peridicamente, depender de la naturalezade los derechos personales afectados, del volumen de los tratamientos realizados, de losbeneficios obtenidos, del grado de intencionalidad, de la reincidencia, de los daos y perjuicioscausados a las personas interesadas y a terceras personas, y de cualquier otra circunstanciarelevante para determinar el grado de antijuridicidad y culpabilidad presentes en la concretaactuacin infractora.

8.1. TIPOS DE INFRACCIONES, SANCIONES ASOCIADAS Y PRESCRIPCIONES 8.1.1. Leves

Son infracciones leves:

- No atender la solicitud del interesado de rectificacin o cancelacin de los datossujetos a tratamiento cuando proceda legalmente.

- No proporcionar la informacin que solicite la Agencia de Proteccin de Datos en elejercicio de las competencias que tiene legalmente atribuidas, en relacin conaspectos no sustantivos de la proteccin de datos.

- No solicitar la inscripcin del fichero de datos de carcter personal en el RegistroGeneral de Proteccin de Datos, cuando no sea constitutivo de infraccin grave.

- Proceder a la recogida de datos de carcter personal de los propios afectados sinproporcionarles la informacin que seala el artculo 5 de la LOPD (ver anexo I).

- Incumplir el deber de secreto establecido en el artculo 10 de la LOPD (ver anexoI), salvo que constituya infraccin grave.

Estas infracciones sern sancionadas con multa de 100.000 a 10.000.000 de pesetas.

Tanto infracciones como sanciones prescribirn al ao (ver plazos e interrupciones delas prescripciones en los apartados 2, 3, 5 y 6 del artculo 47 de la LOPD en el anexo I).

8.1.2. Graves:

Son infracciones graves:

- Proceder a la creacin de ficheros de titularidad pblica o iniciar la recogida dedatos de carcter personal para los mismos, sin autorizacin de disposicingeneral.

- Proceder a la creacin de ficheros de titularidad privada o iniciar la recogida dedatos de carcter personal para los mismos con finalidades distintas de las queconstituyen el objeto legtimo de la empresa o entidad.

- Proceder a la recogida de datos de carcter personal sin recabar el consentimientoexpreso de las personas afectadas, en los casos de que ste sea exigible.



- Tratar los datos de carcter personal o usarlos posteriormente infringiendo losprincipios y garantas establecidos en la LOPD o con el incumplimiento de losmandatos de proteccin que impongan las disposiciones reglamentarias dedesarrollo, cuando no constituye infraccin muy grave.

- El impedimento o la obstaculizacin del ejercicio de los derechos de acceso yoposicin y la negativa a facilitar la informacin que sea solicitada.

- Mantener datos de carcter personal inexactos o no efectuar las rectificaciones ocancelaciones de los mismos que legalmente procedan cuando resulten afectadoslos derechos de las personas que la LOPD ampara.

- La vulneracin del deber de guardar secreto sobre los datos de carcter personalincorporados a ficheros que contengan datos relativos a la comisin de infraccionesadministrativas o penales, Hacienda pblica, servicios financieros, prestacin deservicios de solvencia patrimonial y crdito, as como aquellos otros ficheros quecontengan un conjunto de datos de carcter personal suficientes para obtener unaevaluacin de la personalidad del individuo.

- Mantener los ficheros, locales, programas o equipos que contengan datos decarcter personal sin las debidas condiciones de seguridad que por vareglamentaria se determinen.

- No remitir a la Agencia de Proteccin de Datos las notificaciones previstas en laLOPD o en sus disposiciones de desarrollo, as como no proporcionar en plazo a lamisma cuantos documentos e informaciones deba recibir o sean requeridos poraqul a tales efectos.

- La obstruccin al ejercicio de la funcin inspectora.

- No inscribir el fichero de datos de carcter personal en el Registro General deProteccin de Datos, cuando haya sido requerido para ello por el Director de laAgencia de Proteccin de Datos.

- Incumplir el deber de informacin que se establece en los artculos 5, 28 y 29 de laLOPD (ver anexo I), cuando los datos hayan sido recabados de persona distinta delafectado.

Estas infracciones sern sancionadas con multa de 10.000.000 a 50.000.000 depesetas.

Tanto infracciones como sanciones prescribirn a los dos aos (ver plazos einterrupciones de las prescripciones en los apartados 2, 3, 5 y 6 del artculo 47 de la LOPD enel anexo I).

8.1.3. Muy graves:

Son infracciones muy graves:

- La recogida de datos en forma engaosa y fraudulenta.

- La comunicacin o cesin de los datos de carcter personal, fuera de los casos enque estn permitidas.

- Recabar y tratar los datos de carcter personal a los que se refiere el apartado 2del artculo 7 cuando no medie el consentimiento expreso del afectado; recabar ytratar los datos referidos en el apartado 3 del articulo 7 cuando no lo disponga unaley o el afectado no haya consentido expresamente, o violentar la prohibicincontenida en el apartado 4 del artculo 7 (ver anexo I).



- No cesar en el uso ilegtimo de los tratamientos de datos de carcter personalcuando sea requerido para ello por el Director de la Agencia de Proteccin deDatos o por las personas titulares del derecho de acceso.

- La transferencia temporal o definitiva de datos de carcter personal que hayan sidoobjeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento,con destino a pases que no proporcionen un nivel de proteccin equiparable sinautorizacin del Director de la Agencia de Proteccin de Datos.

- Tratar los datos de carcter personal de forma ilegtima o con menosprecio de losprincipios y garantas que les sean de aplicacin, cuando con ello se impida o seatente contra el ejercicio de los derechos fundamentales.

- La vulneracin del deber de guardar secreto sobre los datos de carcter personal aque hacen referencia los apartados 2 y 3 del artculo 7 (ver anexo I), as como losque hayan sido recabados para fines policiales sin consentimiento de las personasafectadas.

- No atender, u obstaculizar de forma sistemtica el ejercicio de los derechos deacceso, rectificacin, cancelacin u oposicin.

- No atender de forma sistemtica el deber legal de notificacin de la inclusin dedatos de carcter personal en un fichero.

Estas infracciones sern sancionadas con multa de 50.000.000 a 100.000.000 depesetas.

Tanto infracciones como sanciones prescribirn a los tres aos (ver plazos einterrupciones de las prescripciones en los apartados 2, 3, 5 y 6 del artculo 47 de la LOPD enel anexo I).

Cuando cualquiera de las infracciones de estos tres niveles se cometan en ficheroscuyos responsables son las Administraciones pblicas, el Director de la Agencia de Proteccinde Datos tomar las medidas oportunas para que cesen o se corrijan los efectos de lainfraccin, notificndolo al responsable del fichero, al rgano del que depende y a losafectados. Las sanciones aplicadas en este caso, sern las establecidas en la legislacin sobrergimen disciplinario de las Administraciones pblicas.

En el caso de utilizacin o cesin ilcita de datos que atenten contra los derechosfundamentales de las personas, el director de la Agencia de Proteccin de Datos podr exigir alos responsables de los ficheros que cesen en este uso o cesin. Si el infractor desatiende esterequerimiento, se podrn inmovilizar tales ficheros con el objeto de restaurar los derechos delas personas afectadas.



9 REGLAMENTO DE MEDIDAS DE SEGURIDAD

El objeto de este reglamento es el desarrollo de lo dispuesto en la LORTAD referente ala seguridad de los ficheros automatizados que contienen datos de carcter personal, y hastaque no sea modificado para aplicacin y desarrollo de la LOPD continuar en vigor siempreque no se oponga a esta ltima. Se deduce pues, que slo ser de aplicacin para aquellostratamientos de datos automatizados citados de forma comn tanto en la LORTAD como en laLOPD.

Segn su artculo primero, establece medidas de naturaleza tcnica y organizativanecesarias para garantizar la seguridad que deben reunir:

- Los ficheros automatizados.

- Los centros de tratamiento y locales.

- Los equipos, sistemas y programas.

- Las personas que intervengan en el tratamiento automatizado de los datos decarcter personal.

de modo que se pueda asegurar la confidencialidad e integridad de la informacin, la intimidadpersonal y el pleno ejercicio de los derechos personales frente a su alteracin, prdida,tratamiento o acceso no autorizado.

9.1. NIVELES DE SEGURIDAD

Dependiendo de la naturaleza de la informacin y del grado de necesidad de garantizarsu confidencialidad e integridad, las medidas de seguridad se pueden clasificar en tres niveles,que son: bsico, medio y alto. Estas medidas pueden ser tcnicas u organizativas, pudiendoser las tcnicas de tipo fsico o lgico.

Como veremos a continuacin de forma grfica, todos los ficheros que contengan datosde carcter personal han de cumplir unas medidas de seguridad bsicas, establecindose otrasadicionales para aquellos que, por la naturaleza de sus datos, exigen un grado de proteccinms alto.

NIVEL BASICO:- Todos los ficheros que contengan datos de carcter personal.-

NIVEL MEDIO: Ficheros que contengan datos relativos a- Comisin de infracciones administrativas o penales.- Hacienda pblica.- Servicios financieros.- Solvencia patrimonial y crdito.-

NIVEL ALTO: Ficheros que contengan datos sobre- Ideologa.- Religin.- Creencias.- Origen racial.- Salud.- Vida sexual.- Y recabados para fines policiales sin consentimiento

de las personas afectadas.



Cuando el acceso a los datos de carcter personal se haga a travs de una red decomunicaciones, o el tratamiento se haga fuera de los locales de ubicacin del fichero, otrabajemos con ficheros temporales, se garantizar el nivel de seguridad correspondiente altipo de fichero con arreglo a los criterios establecidos anteriormente.

9.2. MEDIDAS DE SEGURIDAD DE NIVEL BSICO

9.2.1. Documento de seguridad

Se trata de un documento elaborado por el responsable del fichero que contiene lanormativa de seguridad, cuyo cumplimiento es obligatorio para todo el personal con acceso alos datos automatizados de carcter personal y a los sistemas de informacin.

Englobado dentro de las medidas organizativas de seguridad, donde se ponen demanifiesto las polticas, los planes de seguridad y los planes de contingencia que se debenadoptar. Su contenido debe adecuarse a las disposiciones vigentes en materia de seguridad dedatos de carcter personal, y bsicamente se centra en:

- El mbito de aplicacin y especificacin detallada de los recursos protegidos (plande seguridad). Por ejemplo, se indicarn las bases de datos a las que se refiere.

- Las medidas, normas, procedimientos, reglas y estndares que garanticen el nivelde seguridad exigido (poltica). Por ejemplo, explicacin de las normas deseguridad (sistema de contrasea, ordenadores en locales protegidos, etc.) queimpiden el acceso no autorizado a la base de datos.

- Las funciones y obligaciones del personal (poltica). Por ejemplo, explicacin de loslmites que el personal tiene para acceder a la informacin de la base de datos.

- La estructura de los ficheros con datos de carcter personal y la descripcin de lossistemas de informacin que los tratan (plan de seguridad). Por ejemplo, elcontenido de la base de datos (tipo de datos que contiene) y descripcin de losprogramas utilizados para su acceso.

- Los procedimientos de notificacin, gestin y respuesta ante las incidencias (plande seguridad). Por ejemplo, tiene que existir un procedimiento por el cual senotifica al responsable de la base de datos cualquier incidencia detectada y comose procesa.

- Los procedimientos de realizacin de copias de respaldo y recuperacin de datos(plan de contingencia).

Se mantendr actualizado en todo momento y deber ser revisado en caso de que seproduzcan cambios relevantes en el sistema de informacin o en la organizacin.

9.2.2. Funciones y obligaciones del personal

Deben estar claramente definidas y documentadas.

El responsable del fichero dar a conocer al personal con acceso a los datos y alsistema de informacin las normas de seguridad que afecten al desarrollo de sus funciones ascomo las consecuencias de su incumplimiento.

9.2.3. Registro de incidencias

El procedimiento de notificacin y gestin de incidencias contendr, como medidaorganizativa, un registro (en formato papel o electrnico) en el que conste:

- El tipo de incidencia.



- El momento en que se ha producido.

- La persona que realiza la notificacin.

- A quin se le comunica.

- Los efectos derivados de la misma.

9.2.4. Identificacin y autenticacin

Medida lgica en la que el responsable del fichero se encarga de que exista unarelacin actualizada de usuarios con acceso autorizado al sistema de informacin y deimplantar procedimientos de identificacin y autenticacin para dicho acceso.

En la relacin de usuarios se reflejan los derechos de acceso autorizados para cadauno de ellos (lectura, acceso parcial a datos, etc.).

El mecanismo de autenticacin puede basarse en la existencia de contraseas, encuyo caso habr un procedimiento de asignacin, distribucin y almacenamiento ininteligibleque garantice su confidencialidad e integridad. Estas se cambiarn de forma peridica segndetermine el documento de seguridad.

Es evidente que las contraseas deben ser fciles de recordar y difciles de imaginar,con una longitud mnima que garantice un nmero elevado de posibilidades de forma que nopuedan ser descubiertas por intentos, nunca sern cedidas y se distribuirn por canalesseguros.

9.2.5. Control de acceso

Se trata de una medida lgica en la que el responsable del fichero crear mecanismospara evitar que los usuarios puedan acceder a datos o recursos con derechos distintos de losautorizados. Con esto se consigue que los usuarios tengan solamente acceso a aquello quenecesiten para el desarrollo de sus funciones.

Unicamente el personal autorizado, el cul aparece en el documento de seguridad,podr conceder, alterar o anular dicho acceso.

9.2.6. Gestin de soportes

Los soportes informticos que contengan datos de carcter personal (disquetes, cintas,etc.) debern estar inventariados e identificados de forma expresa y estarn almacenados enun lugar restringido al personal autorizado.

El responsable del fichero ser el nico que autorice la salida de dichos soportes fuerade los locales en que est ubicado el fichero.

Se trata, por tanto, de una medida de seguridad fsica.

9.2.7. Copias de respaldo y recuperacin

Medida de seguridad fsica a cargo del responsable del fichero, el cual verificar ladefinicin y correcta aplicacin de los procedimientos de realizacin de copias de respaldo y derecuperacin de datos.

Estos procedimientos deben garantizar la reconstruccin de los datos en el estado enque se encontraban cuando se produjo la prdida o destruccin.

Las copias de respaldo se realizarn al menos semanalmente, excepto en el caso deque no exista ninguna variacin en los datos.



9.3. MEDIDAS DE SEGURIDAD DE NIVEL MEDIO

Las medidas a implementar en ficheros que contengan datos de carcter personal ysea aplicable el nivel medio de seguridad son las correspondientes al nivel bsico ms las quese citan a continuacin.

9.3.1. Documento de seguridad

Adems de lo contenido en el documento de nivel bsico, ste incluir:

- La identificacin del responsable o responsables de seguridad.

- Los controles peridicos a realizar para verificar el cumplimiento de lo dispuesto enel propio documento (plan de auditoria interna).

- Las medidas que sea necesario adoptar cuando un soporte vaya a ser desechadoo reutilizado.

Como en el nivel bsico, se trata de una medida organizativa.

9.3.2. Responsable de seguridad

Ser el responsable del fichero el que, como medida organizativa, designe uno o variosresponsables de seguridad encargados de coordinar y controlar las medidas establecidas en eldocumento de seguridad. Esto no supone la delegacin de la responsabilidad que correspondeal responsable del fichero.

En trminos generales y como veremos ms adelante, el responsable o responsablesde seguridad deben:

- Analizar los informes de auditoria y transmitir las conclusiones al responsable delfichero para que adopte las medidas correctoras adecuadas.

- Controlar los mecanismos que permiten el registro de acceso.

- Revisar peridicamente la informacin de control registrada y elaborar, al menosuna vez al mes, un informe de las revisiones realizadas y los problemasdetectados.

9.3.3. Auditora

Al menos cada dos aos, y como medida de seguridad organizativa, los sistemas deinformacin e instalaciones de tratamiento de datos se vern sometidos a una auditora, internao externa, de los procedimientos e instrucciones vigentes en materia de seguridad de datos,con el fin de verificar el cumplimiento del reglamento.

El informe de auditoria, que ser analizado por el responsable de seguridad y quequedar a disposicin de la Agencia de Proteccin de Datos, deber:

- Dictaminar sobre la adecuacin de las medidas y controles al reglamento.

- Identificar sus deficiencias.

- Proponer las medidas correctoras o complementarias necesarias.

- Incluir los datos, hechos y observaciones en que se basen los dictmenesalcanzados y recomendaciones propuestas.

Toda esta documentacin deber estar archivada y disponible en todo momento.



9.3.4. Identificacin y autenticacin

Medida lgica en la que el responsable del fichero establecer mecanismos quepermitan la identificacin inequvoca y personalizada de todo aquel usuario que intente accederal sistema de informacin, as como la verificacin de que est autorizado.

Se limitar el nmero de intentos de acceso no autorizados.

9.3.5. Control de acceso fsico

Se trata de una medida de seguridad fsica en la que se establece que slo el personalautorizado (el indicado en el documento de seguridad) tendr acceso a los locales dnde seencuentren los sistemas de informacin con datos de carcter personal.

9.3.6. Gestin de soportes

Consiste en establecer sistemas de registro de entrada y salida de soportesinformticos que permitan, directa o indirectamente, conocer:

- El tipo de soporte.

- La fecha y la hora.

- El emisor y el destinatario, respectivamente.

- El nmero de soportes.

- El tipo de informacin que contienen.

- La forma de envo.

- La persona autorizada responsable de la recepcin y entrega, respectivamente.

En definitiva se trata de realizar un inventario de soportes.

Cuando un soporte vaya a ser desechado o reutilizado, se adoptarn las medidasnecesarias para garantizar la destruccin real y segura de la informacin que contiene, conobjeto de impedir cualquier posible recuperacin posterior.

Tambin se adoptarn medidas, para evitar la recuperacin indebida de la informacinalmacenada en los soportes cuando vayan a salir fuera de los locales como consecuencia deoperaciones de mantenimiento.

9.3.7. Registro de incidencias

Adems de lo comentado para el nivel de seguridad bsico, en este nivel el registro deincidencias contendr los procedimientos realizados para la recuperacin de los datos. Seindicar la persona que ejecut el proceso, bajo autorizacin por escrito del responsable delfichero, los datos restaurados y, cuando corresponda, que datos se han tenido que grabarmanualmente.

9.3.8. Pruebas con datos reales

Las pruebas anteriores a la implantacin o modificacin de los sistemas de informacinque traten ficheros con datos de carcter personal no se realizarn con datos reales, salvo quese asegure el nivel de seguridad correspondiente al tipo de fichero tratado.

Se trata de una medida de seguridad lgica.



9.4. MEDIDAS DE SEGURIDAD DE NIVEL ALTO

Las medidas a implementar en ficheros que contengan datos de carcter personal ysea aplicable el nivel alto de seguridad son las correspondientes al nivel bsico, ms lascorrespondientes al nivel medio, ms las de tipo lgico y fsico que se citan a continuacin.

9.4.1. Distribucin de soportes

La distribucin de soportes que contengan datos de carcter personal se realizarcifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que dichainformacin no sea inteligible ni manipulada durante su transporte.

9.4.2. Registro de accesos

Se trata de un registro de las entradas a los ficheros donde, por cada acceso, seguarda bsicamente:

- La identificacin del usuario.

- La fecha y la hora en que se realiz.

- El fichero accedido.

- El tipo de acceso.

- Si ha sido autorizado o denegado.

Cuando el acceso haya sido autorizado, se guardar adems la informacin quepermita identificar el registro accedido.

Todos estos datos sern conservados, al menos, durante dos aos.

Como se dijo en un apartado anterior, los mecanismos que permiten el registro de losdatos estarn controlados por el responsable de seguridad y nunca se debe permitir ladesactivacin de los mismos.

Tambin se cit que otras obligaciones de dicho responsable sern revisar lainformacin de control registrada y elaborar un informe peridico de estas revisiones y de losproblemas detectados, el cul se archivar junto con los de las auditorias realizadas.

9.4.3. Copias de respaldo y recuperacin

Adems de lo dispuesto para el nivel bsico, se deber conservar una copia derespaldo y de los procedimientos de recuperacin de los datos en un lugar diferente de aqulen que se efecta el tratamiento de stos. Por tanto, las copias de seguridad no pueden estaren el mismo local que los ordenadores.

9.4.4. Telecomunicaciones

La transmisin de datos de carcter personal a travs de redes de telecomunicacionesse realizar cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice quela informacin no sea inteligible ni manipulada por terceros.



10 RECOMENDACIONES FINALES

A continuacin presentamos un resumen a modo de recomendacin con todo lo que sededuce a lo largo del documento y orientado, como no, hacia Internet.

10.1. INFORMACIN EN LA RECOGIDA DE DATOS

- Cuando suministre datos personales a cualquier organizacin (proveedores deacceso, proveedores de contenido, vendedores a travs de comercio electrnico,etc.) sea consciente de a quin se los facilita y con qu finalidad.

- Procure averiguar la poltica de sus proveedores y administradores de listas ydirectorios en lo que se refiere a venta, intercambio o alquiler de los datos que lessuministra. Solicite que sus datos personales no vayan unidos a suidentificacin de acceso a Internet.

10.2. FINALIDAD PARA LA QUE SE RECOGEN LOS DATOS

- Desconfe si los datos que le solicitan son excesivos para la finalidad con la que serecogen o innecesarios para el servicio que se le presta.

- Tenga en cuenta que cuando introduce su direccin de correo electrnico en undirectorio, lista de distribucin o grupo de noticias, dicha direccin puede serrecogida por terceros para ser utilizada con una finalidad diferente, como porejemplo, remitirle publicidad no deseada.

- Cuando navegue por Internet, sea consciente de que los servidores Web que visitapueden registrar tanto las pginas a las que accede como la frecuencia y los temaso materias por las que busca, aunque no le informen de ello.

Asimismo, su pertenencia a determinados grupos de noticias y listas dedistribucin puede contribuir a la elaboracin de perfiles ms o menos detalladossobre su persona.

En el caso de que no desee dejar constancia de sus actividades en la red,utilice los mecanismos para preservar el anonimato.

10.3. SEGURIDAD EN EL INTERCAMBIO DE DATOS

- Utilice, siempre que sea posible, las ltimas versiones de los programasnavegadores, ya que cada vez suelen incorporar mejores medidas de seguridad.Considere la posibilidad de activar en dichos programas las opciones que alertensobre los intercambios de datos no deseados y no rellene aquellos datos que nodesee hacer pblicos (por ejemplo, direccin de correo electrnico, nombre,apellidos, etc.).

- No realice transacciones comerciales electrnicas a travs de proveedores consistemas "inseguros" o no fiables. Consulte el manual de su navegador paraaveriguar cmo informa de que se ha establecido una conexin con unservidor seguro.

- Recuerde que existen sistemas de dinero electrnico que preservan el anonimatode sus compras en Internet.

- Utilice los mecanismos de seguridad que tenga a su alcance para proteger susdatos de accesos no deseados. El medio ms fiable para conseguirlo es el cifradode los mismos.



- Salvo que se utilicen mecanismos de integridad, autenticacin y certificacin (firmadigital, notarios electrnicos, etc.) no confe ciegamente en que la persona uorganizacin que le remite un mensaje es quien dice ser y en que el contenido delmismo no se ha modificado, aunque esto sea as en la inmensa mayora de lasocasiones.

10.4. PARA TERMINAR

- Siempre que se le soliciten datos personales que no est obligado legalmente asuministrar, sopese los beneficios que va a recibir de la organizacin que losrecoge frente a los posibles riesgos de utilizacin irregular de los mismos.

- Ante cualquier duda sobre la legalidad de la utilizacin de sus datos de carcterpersonal, pngase en contacto con la Agencia de Proteccin de Datos.



11 EJEMPLO DE APLICACIN

Veamos como una conocida empresa de telecomunicaciones espaola es criticada acausa de su mal proceder a la hora de tratar los datos de carcter personal de los ciudadanosen lo que se refiere al ejercicio de los derechos personales citados en la LOPD.

Este artculo crtico y denunciante ha sido extrado, tal cual, de la web de direccinhttp://www.aui.es/biblio/documentos/proteccion_datos/datos_personales.htm, por lo que no noshacemos responsables de su veracidad y de los efectos que pueda causar a quienes los lean.

Millones de espaoles autorizarn a Telefnica para utilizar sus datos privadosSergio Garca Blanco

Millones de espaoles habrn recibido junto con la factura habitual de Telefnica una hojacomo la siguiente:

Millones de espaoles habrn almacenado directamente la factura sin leer esta hoja, o bienhabrn tirado sin leer la publicidad de Telefnica.

De los restantes, pocos habrn resistido la farragosa presentacin, pasando de leer el resto.

De los que lo hayan ledo, pocos habrn reparado en el siguiente prrafo.

que junto con el anterior.



Significa ni mas ni menos que Telefnica est dispuesta a someter a los datos de nuestrafacturacin a Tratamiento informtico. Esto implica, en cristiano, explotar, analizar, copiar,exportar, ceder a entidades vinculadas, etc.

Tampoco muchos de los pocos lectores restantes habrn cado en que en estos datos figura,de forma detallada, a que telfonos hemos llamado, cuando, y a que hora, por ejemplo.

Esto implica, as por encima y sin descartar posibles alardes imaginativos del explotador (de losdatos) que Telefnica puede saber si usted llama a nmeros de telfono erticos o no, si llamaa determinados partidos o no, si utiliza servicios de entidades bancarias distintas de aquellasen las que tiene su domiciliacin, si tiene acciones (Si llama a brokers de bolsa, por ejemplo), ytodo lo que se pueda deducir cruzando los datos que ellos tienen con las llamadas que ustedha hecho.

Tambin puede saber sus hbitos de vida: A que horas est en casa (Llamadas salientes) o alas que no hay nadie en su casa (Llamadas entrantes no respondidas), si usa proveedores deInternet distintos de los suyos o incluso si aquellos a los que usted llama ms frecuentementeviven en su localidad o fuera, si usan telfonos de la competencia o si todos aquellos a los queusted llama ms asiduamente coincide que tambin llaman a determinada organizacin.

Para tener este tipo de control, Telefnica nos pide delicadamente nuestro consentimiento:

Pero resulta que ya se lo hemos dado sin nosotros saberlo:

Y ahora resulta que somos nosotros los que tenemos que pedir que se respete un derechoque ya tenemos.

En primer lugar: Por qu en el plazo de un mes?. A partir de la recepcin de la factura?.Dnde consta en qu fecha hemos recibido la factura?. A partir de la emisin?. Cuntotarda en llegarnos?.

En segundo lugar: Cmo nos consta que Telefnica recibe nuestra solicitud de que se respetenuestro derecho a la privacidad?. No puede ser que Telefnica no los reciba accidentalmenteen ese apartado de correos?. Quiere decir que para tener constancia fehaciente tenemos queenviarlo por correo certificado?.

Cuntos espaoles van a contestar a Telefnica?. Cuntos van a acercarse a Correos paracertificar que piden a una empresa privada que respete sus derechos a la intimidad yprivacidad de los datos?. Tiene cada ciudadano que pedir individua

Documents

auditoria de seguridad informÃ¡tica lopd.pdf