Medidas jurídicas y de seguridad para el correcto cumplimiento de la LOPD. |
Marco Legal Aplicable
- Ley Orgánica 15/1999, de 13 de diciembre de Protección de Datos de Carácter Personal (LOPD).
|
- Real Decreto 994/1999, de 11 de junio, del Reglamento de Medidas de Seguridad de los ficheros automatizados que contengan datos de carácter personal.
|
- Directiva 1995/46/CE, relativa a la protección de las personas físicas en el tratamiento de datos y la libre circulación de éstos.
|
- Real Decreto 1332/1994 de 20 de Junio, de desarrollo de la antigua LORTAD.
|
- Instrucciones de la Agencia de Protección de Datos.
|
|
LOPD: Principios y obligaciones
- El derecho de información en la recogida de datos personales.
|
- La protección especial para cierto tipo de datos.
|
|
|
|
- El consentimiento del afectado:
1. Para el tratamiento de los datos.
2. Para la cesión de los datos a un tercero.
|
|
LOPD: Clasificación de los datos
|
Tipo de dato |
Plazo para cumplimiento de la ley |
Nivel Básico
|
Personales: Nombre, teléfono, dirección, etc
|
26 de marzo de 2000 |
Nivel Medio |
Económico- financiero, permita evaluación de la personalidad |
26 de junio de 2000 |
Nivel Alto
|
Creencias religiosas, tendencias sexuales, enfermedades, discapacidades
|
26 de junio de 2002 |
|
LOPD: Infracciones
|
Motivos |
Importe |
Leve
|
No dar de alta los ficheros en la APD, no atender los casos de baja, etc
|
Hasta 60.100 € |
Grave |
No tener documento de seguridad, no guardar secreto, reincidencia en casos de baja
|
Hasta 300.500 € |
Muy Grave
|
Recolección de datos de forma fraudulenta, cesión de los datos no autorizada, medidas de seguridad no adecuadas
|
Hasta 601.000 € |
|
Fases del proceso LOPD
|
Preparación/Recogida de datos
|
- Selección de los ficheros que intervienen.
|
- Recolección de los datos con formularios elaborados para este fin:
1. Tipo de datos.
2. Tipo de medidas presentes.
3. Tipo de conexiones telemáticas existentes.
4. Cesiones a terceros (nacional o internacional).
|
- Designación de un/os responsable/s de ficheros.
|
|
|
- Una vez realizado el análisis técnico-jurídico, se deben:
1. Buscar soluciones para las irregularidades detectadas.
2. Tratarlas en una reunión con el responsable/s de ficheros.
3. Las soluciones aportadas (Técnicas, jurídicas y de procedimiento) serán las reflejadas en el documento de seguridad.
5. Y deberán ser implementadas posteriormente.
|
|
|
El documento de seguridad debe existir para cada fichero y recoge información y procedimientos sobre:
|
|
- Descripción de recursos protegidos.
|
|
- Registro de accesos y cambios.
|
|
|
|
|
|
- Tratamiento telemático de la información.
|
|
|
|
|
|
|
|
- Normativa interna para el tratamiento de datos.
|
|
Medidas de Procedimiento.
|
El documento de seguridad debe existir para cada fichero y recoge información y procedimientos sobre: |
|
- Regularización de los flujos de información.
|
|
- Implementación de las medidas de seguridad para el acceso físico.
|
|
- Formación de usuariosdentificación de usuarios y derechos
|
|
- Regularizar cesiones con contratosestión de contraseñas
|
|
- Procedimiento de eliminación de datos no útiles
|
|
- Procedimiento de acceso/cambio/eliminación de los datos por parte de los implicadosopias de seguridad
|
|
- Procedimientos internos sobre el tratamiento de los datos.
|
|
|
- Implementación de las medidas de seguridad:
|
1. Políticas de identificación y autentificación de usuarios fijos y móviles. |
2. Políticas de cambio de contraseñas (periodicidad, repetición, longitud, etc). |
3. Encriptación de datos a través de redes telemáticas. |
4. Implementación de medidas de acceso (Firewalls, contraseñas de BIOS, etc). |
|
|
|
|
- Adecuación de contratos existentes.
|
|
|
|
|
|
|
- Una vez a acabado el proceso de adecuación a la ley el último paso es el registro de los ficheros con datos personales a la Agencia de Protección de datos. Ofrecemos para ello dos posibilidades:
|
1. Registro de los ficheros a la agencia en nombre del cliente.
|
2. Formación al/los responsable/s de ficheros para el registro y cambio de los ficheros en la agencia (Recomendado). |
|
|
- La ley obliga con una periodicidad mínima de dos años a realizar una auditoría (interna o externa), que verifique el cumplimiento de la normativa.
|
|
|
Fases del proceso LOPD
|