Ley de Protección de datos Personales (Cont.)

Ley de Protección de datos Personales (Continuación)

Momento de tratamiento de los datos recabados

  • Deber de guardar secreto

El Responsable del Fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal (Encargados de Tratamiento y Responsables de Seguridad) están obligados al “secreto profesional” respecto de los mismos, obligación que subsiste incluso terminada la relación con el titular del fichero o el Responsable del mismo.

  • Deber de Medidas de Seguridad

El Reglamento de Medidas de Seguridad establece la necesidad de implantar medidas de seguridad sobre los datos personales en función del tipo de dato que se trate.

  • Existen tres tipos de datos:

NIVEL BÁSICO

  • Todos los ficheros o tratamientos de datos de carácter personal deberán adoptar las medidas de seguridad calificadas de nivel básico. También aquellos ficheros que contengan datos de ideología, afiliación sindical, religión, creencias, salud, origen racial o vida sexual, cuando:

Los datos se utilicen con la única finalidad de realizar una transferencia dineraria a entidades de las que los afectados sean asociados o miembros;

  • se trate de ficheros o tratamientos no automatizados de forma incidental o accesoria, que no guarden relación con la finalidad del fichero; y
  • datos de salud, que se refieran exclusivamente al grado o condición de discapacidad o invalidez, con motivo del cumplimiento de deberes públicos.

NIVEL MEDIO

  • Infracciones administrativas o penales.
  • Solvencia patrimonial y el crédito.
  • Obligaciones tributarias para las Administraciones tributarias y se relacionen con el ejercicio de sus potestades tributarias.
  • Datos financieros para las entidades financieras para finalidades relacionadas con la prestación de servicios financieros.
  • Datos cuyos responsables son las Entidades Gestoras y Servicios Comunes de la Seguridad Social y se relacionen con el ejercicio de sus competencias.
  • Datos responsables de las mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social.
  • Aquéllos que contengan un conjunto de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento.

NIVEL ALTO

  • Los que se refieran a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual.
  • Los que contengan o se refieran a datos recabados para fines policiales sin consentimiento de las personas afectadas.
  • Aquéllos que contengan datos derivados de actos de violencia de género.

Además, para los ficheros y tratamientos automatizados existen tres tipos diferentes de medidas de seguridad en virtud del tipo de dato que se trate:

NIVEL BASICO

  • Redacción Documento de Seguridad (art. 88 RMS). El contenido tipo del Documento de seguridad es:
    • Ámbito de aplicación del documento con especificación detallada de los recursos protegidos.
    • Medidas, normas, procedimientos de actuación, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en este reglamento.
    • Funciones y obligaciones del personal en relación con el tratamiento de los datos de carácter personal incluidos en los ficheros.
    • Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan.
    • Procedimiento de notificación, gestión y respuesta ante las incidencias.
    • Los procedimientos de realización de copias de respaldo y de recuperación de los datos en los ficheros o tratamientos automatizados.
    • Las medidas que sea necesario adoptar para el transporte de soportes y documentos, así como para la destrucción de los documentos y soportes, o en su caso, la reutilización de estos últimos.
  • Funciones y obligaciones del personal. (art. 89, RMS)
  • Registro de incidencias (art. 90).
  • Control de acceso (art.91).
  • Gestión de soportes y documentos (art. 92).
  • Identificación y autenticación (art. 93).
  • Copias de respaldo y recuperación (art. 94).

NIVEL MEDIO (además de las del nivel básico)

  • Responsable de seguridad (art. 95, RMS).
  • Auditoría bianual (art. 96, RMS).
  • Gestión de soportes y documentos (art. 97, RMS).
  • Identificación y autenticación (art. 98, RMS).
  • Control de acceso físico (art. 99, RMS).
  •  Registro de incidencias (art. 100, RMS).

NIVEL ALTO (además de las del nivel básico y medio)

  • Gestión y distribución de soportes (art. 100, RMS).
  • Copias de respaldo y recuperación (art. 102, RMS).
  • Registro de accesos (art. 103, RMS).
  • Telecomunicaciones (art. 104, RMS).

También, para los ficheros y tratamientos no automatizados existen tres tipos diferentes de medidas de seguridad en virtud del tipo de dato que se trate:

NIVEL BASICO

  • Documento de seguridad.
  • Funciones y obligaciones del personal.
  • Registro de incidencias.
  • Control de acceso.
  • Gestión de soportes.
  • Criterios de archivo (art. 106, RMS).
  • Dispositivos de almacenamiento (art. 107, RMS).
  • Custodia de los soportes (art. 108, RMS).

NIVEL MEDIO

  • Responsable de seguridad (art. 109, RMS).
  • Auditoría bianual (art. 110, RMS).

NIVEL ALTO

  • Almacenamiento de la información (art. 111, RMS).
  • Copia o reproducción (art. 112, RMS).
  • Acceso a la documentación (art. 113, RMS).
  • Traslado de documentación (art. 114, RMS).

Momento de utilización y comunicación de datos

  • Comunicación o cesión de datos

La comunicación o cesión de datos supone su revelación a una persona distinta del interesado cuando el acceso tiene por objeto el establecimiento de un nuevo vínculo entre quien accede a los datos y el afectado.
Los datos solo pueden ser comunicados a un tercero:




  • Para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y cesionario.
  • Con el propio consentimiento del interesado.

El Responsable del Fichero, en el momento de efectuar la primera cesión de los daos deberá informar de ello a los interesados, así como de:

  • La finalidad del fichero al que se ceden los datos.
  • Naturaleza de los datos cedidos.
  • Identificación del cesionario.

No será necesario el consentimiento del interesado para la cesión de datos cuado:

  • La ley lo autorice expresamente.
  • Los datos hayan sido obtenidos de fuentes accesibles al público. Entendiéndose por fuente accesible al público:
  • Censo promocional.
  • Repertorios telefónicos en los términos previstos por su normativa específica.
  • Listas de personas pertenecientes a grupos profesionales que contengan únicamente el nombre, título, profesión, actividad, grado académico, dirección e indicación de su partencia al grupo.
  • Diarios, Boletines Oficiales y medios de comunicación.
  • Los destinatarios sean determinados Organismos Públicos:
  •  Defensor del Pueblo.
  • Ministerio Fiscal.
  • Jueces o Tribunales.
  • Tribunal de Cuentas.
  • La cesión se haga a las Administraciones Públicas y se prevea el tratamiento de los datos con fines históricos, científicos o estadísticos.
  • Cuando la cesión sea precedida de disociación.
  • Cuando sea necesario el aporte de datos de carácter personal para solucionar una urgencia.
  •  Acceso por cuenta de Terceros

No se considera cesión o comunicación de datos el acceso a los datos de carácter personal por parte de terceras personas distintas del Responsable del fichero como consecuencia de la prestación de un servicio profesional o empresarial que realice dicho tercero a favor del Responsable del Fichero.

La realización de tratamiento por cuenta de terceros debe estar regulada en un contrato entre el Responsable del Fichero y el Tercero.

El contrato deberá constar por escrito o por cualquier medio que permita acreditar su celebración y contenido.

El contrato deberá contener al menos las siguientes disposiciones:

  • Que el tratamiento de los datos por parte del tercero autorizado se hará siempre conforme a las instrucciones que indique el Responsable del Tratamiento.
  • Que no se utilizaran los datos por el tercero para fines distintos de los que figuren en el propio contrato.
  • Que los datos no se comunicarán por el tercero autorizado a ninguna otra persona, ni siquiera para su conservación.
  • Que el tercero autorizado debe establecer las medidas de seguridad de los datos que establece la Ley de Protección de Datos de carácter Personal.
  • Una vez cumplida la finalidad establecida en el contrato, el tercero autorizado deberá devolver los datos y cualquier soporte o documento en que se consten tales datos.

Derechos del Afectado (Derechos ARCO)

DERECHO DE ACCESO

El derecho de acceso es el derecho del afectado a obtener información sobre si sus propios datos de carácter personal están siendo objeto de tratamiento, la finalidad del tratamiento que, en su caso, se esté realizando, así como la información disponible sobre el origen de dichos datos y las comunicaciones realizadas o previstas de los mismos.

En virtud del derecho de acceso el afectado podrá obtener del responsable del tratamiento información relativa a datos concretos, a datos incluidos en un determinado fichero, o a la totalidad de sus datos sometidos a tratamiento.

No obstante, cuando razones de especial complejidad lo justifiquen, el responsable del fichero podrá solicitar del afectado la especificación de los ficheros respecto de los cuales quiera ejercitar el derecho de acceso, a cuyo efecto deberá facilitarle una relación de todos ellos.

Al ejercitar el derecho de acceso, el afectado podrá optar por recibir la información a través de uno o varios de los siguientes sistemas de consulta del fichero:

  • Visualización en pantalla.
  • Escrito, copia o fotocopia remitida por correo, certificado no.
  • Telecopia.
  • Correo electrónico u otros sistemas de comunicaciones electrónicas.
  • Cualquier otro sistema que sea adecuado a la configuración implantación material del fichero o a la naturaleza del tratamiento, ofrecido por el responsable.

Los sistemas de consulta del fichero previstos en el apartado anterior podrán restringirse en función de la configuración o implantación material del fichero o de la naturaleza del tratamiento, siempre que el que se ofrezca al afectado sea gratuito y asegure la comunicación escrita si éste así lo exige.

Si tal responsable ofreciera un determinado sistema para hacer efectivo el derecho de acceso y el afectado lo rechazase, aquél no responderá por los posibles riesgos que para la seguridad de la información pudieran derivarse de la elección.

Del mismo modo, si el responsable ofreciera un procedimiento para hacer efectivo el derecho de acceso y el afectado exigiese que el mismo se materializase a través de un procedimiento que implique un coste desproporcionado, surtiendo el mismo efecto y garantizando la misma seguridad el procedimiento ofrecido por el responsable, serán de cuenta del afectado los gastos derivados de su elección.

El responsable del fichero resolverá sobre la solicitud de acceso en el plazo máximo de un mes a contar desde la recepción de la solicitud. Transcurrido el plazo sin que de forma expresa se responda a la petición de acceso, el interesado podrá interponer la reclamación ante la Agencia de Protección de Datos.

En el caso de que no disponga de datos de carácter personal de los afectados deberá igualmente comunicárselo en el mismo plazo.

El responsable del fichero o tratamiento podrá denegar el acceso a los datos de carácter personal cuando el derecho ya se haya ejercitado en los doce meses anteriores a la solicitud, salvo que se acredite un interés legítimo al efecto.

En todo caso, el responsable del fichero informará al afectado de su derecho a recabar la tutela de la Agencia Española de Protección de Datos o, en su caso, de las autoridades de control de las comunidades autónomas.

Derecho de rectificación y cancelación

El derecho de rectificación es el derecho del afectado a que se modifiquen los datos que resulten ser inexactos o incompletos.

El ejercicio del derecho de cancelación dará lugar a que se supriman los datos que resulten ser inadecuados o excesivos, sin perjuicio del deber de bloqueo conforme a este reglamento.

La solicitud de rectificación deberá indicar a qué datos se refiere y la corrección que haya de realizarse y deberá ir acompañada de la documentación justificativa de lo solicitado.

En la solicitud de cancelación, el interesado deberá indicar a qué datos se refiere, aportando al efecto la documentación que lo justifique, en su caso.
El responsable del fichero resolverá sobre la solicitud de rectificación o cancelación en el plazo máximo de diez días a contar desde la recepción de la solicitud.

Transcurrido el plazo sin que de forma expresa se responda a la petición, el interesado podrá interponer la reclamación ante la Agencia de Protección de Datos.

En el caso de que no disponga de datos de carácter personal del afectado deberá igualmente comunicárselo en el mismo plazo.

Si los datos rectificados o cancelados hubieran sido cedidos previamente, el responsable del fichero deberá comunicar la rectificación o cancelación efectuada al cesionario, en idéntico plazo, para que éste, también en el plazo de diez días contados desde la recepción de dicha comunicación, proceda, asimismo, a rectificar o cancelar los datos. La rectificación o cancelación efectuada por el cesionario no requerirá comunicación alguna al interesado.

La cancelación no procederá cuando los datos de carácter personal deban ser conservados durante los plazos previstos en las disposiciones aplicables o, en su caso, en las relaciones contractuales entre la persona o entidad responsable del tratamiento y el interesado que justificaron el tratamiento de los datos.

Podrá también denegarse los derechos de rectificación o cancelación en los supuestos en que así lo prevea una ley o una norma de derecho comunitario de aplicación directa o cuando éstas impidan al responsable del tratamiento revelar a los afectados el tratamiento de los datos a los que se refiera el acceso.

En todo caso, el responsable del fichero informará al afectado de su derecho a recabar la tutela de la Agencia Española de Protección de Datos o, en su caso, de las autoridades de control de las Comunidades Autónomas, conforme a lo dispuesto en el artículo 18 de la Ley Orgánica 15/1999, de 13 de diciembre.

Derecho de Oposición

El derecho de oposición es el derecho del afectado a que no se lleve a cabo el tratamiento de sus datos de carácter personal o se cese en el mismo en los siguientes supuestos:

  • Cuando no sea necesario su consentimiento para el tratamiento, como consecuencia de la concurrencia de un motivo legítimo y fundado, referido a su concreta situación personal, que lo justifique, siempre que una Ley no disponga lo contrario.
  • Cuando se trate de ficheros que tengan por finalidad la realización de actividades de publicidad y prospección comercial, cualquiera que sea la empresa responsable de su creación.
  • Cuando el tratamiento tenga por finalidad la adopción de una decisión referida al afectado y basada únicamente en un tratamiento automatizado de sus datos de carácter personal.

El derecho de oposición se ejercitará mediante solicitud dirigida al responsable del tratamiento.

Cuando la oposición se realice como consecuencia de la concurrencia de un motivo legítimo y fundado, en la solicitud deberán hacerse constar los motivos fundados y legítimos, relativos a una concreta situación personal del afectado, que justifican el ejercicio de este derecho.

El responsable del fichero resolverá sobre la solicitud de oposición en el plazo máximo de diez días a contar desde la recepción de la solicitud. Transcurrido el plazo sin que de forma expresa se responda a la petición, el interesado podrá interponer la reclamación ante la Agencia de Protección de Datos.

En el caso de que no disponga de datos de carácter personal de los afectados deberá igualmente comunicárselo en el mismo plazo.

Acceso a más contenido en la sección de categorías y sus entradas Seguridad de la Información

Puntúe el artículo

MaloPobreNormalBuenoExcelente (No existen Votos, Puntúa el primero)
Cargando...

El autor

Admin Gestion-Calidad.com

Consultor-Auditor en Sistemas Integrados de Gestión y Conformidad de Producción

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.