25
© 2013 eZone Solutions, S.L. All Rights Reserved. eZone Solutions Ley Orgánica de Protección de Datos de Carácter Personal (LOPD)
| Date post: | 19-Jun-2015 |
| Category: |
Technology |
| Upload: | ezone-solutions |
| View: | 270 times |
| Download: | 0 times |
© 2013 eZone Solutions, S.L. All Rights Reserved.
eZone SolutionsLey Orgánica de
Protección de Datos de Carácter Personal
(LOPD)
© 2013 eZone Solutions, S.L. All Rights Reserved.
Índice
1. Objetivo de la Ley
2. Ámbito de aplicación
3. Definiciones
4. Principios de la LOPD
5. Derechos ARCO
6. Comunicación de datos
7. Medidas de seguridad
8. ¿Cómo cumplir con la Ley?
9. Régimen sancionador
10. Webs de interés
© 2013 eZone Solutions, S.L. All Rights Reserved.
1. Objetivo de la Ley
Garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar.
© 2013 eZone Solutions, S.L. All Rights Reserved.
2. Ámbito de aplicación
La Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal, es de aplicación: A los datos de carácter personal registrados en soporte físico, que
los haga susceptibles de tratamiento.
Por el contrario, no es de aplicación: A los datos de personas jurídicas, ni a los ficheros con los datos
de las personas físicas que presten sus servicios en ellas consistentes únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, telf. y número de fax profesionales.
A los datos relativos a empresarios individuales, cuando hagan referencia a ellos en su calidad de ‘empresario’.
A los datos de las personas fallecidas.
© 2013 eZone Solutions, S.L. All Rights Reserved.
3. Definiciones
Afectado o interesado: persona física titular de los datos que sean objeto del tratamiento.
Datos de carácter personal: cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables.
Fichero de datos (Art. 3.b LOPD): todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.
Responsable del Fichero: persona física o jurídica que decide sobre la finalidad, contenido y uso del tratamiento, aunque no lo realice materialmente.
© 2013 eZone Solutions, S.L. All Rights Reserved.
4. Principios de la LOPD (I)
© 2013 eZone Solutions, S.L. All Rights Reserved.
4. Principios de la LOPD (II)
Obtener y procesar la información de manera leal y lícita, informando y solicitando el consentimiento.
Guardar información sólo para los fines explícitos y legales para los que se solicitó.
Utilizar y comunicar información sólo de manera compatible con los fines para los que se recogió. No comunicar datos a terceros si no se cuenta con el consentimiento del afectado, salvo que exista habilitación legal para ello.
Conservar la información que tenga de las personas de forma segura y protegida, guardando el deber de secreto.
© 2013 eZone Solutions, S.L. All Rights Reserved.
4. Principios de la LOPD (y III)
Asegurar que la información es adecuada, pertinente y no excesiva.
Tener la información exacta, completa y actualizada.
No conservar la información más allá del tiempo necesario para su propósito.
Posibilitar el ejercicio de los derechos de acceso, rectificación, cancelación y oposición (derechos ARCO).
© 2013 eZone Solutions, S.L. All Rights Reserved.
5. Derechos ARCO
La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de carácter personal, recoge una serie de derechos fundamentales de los ciudadanos como son el derecho de acceso, el derecho de rectificación, de cancelación y oposición de sus datos.
Los plazos de contestación son: Derecho de acceso: 1 mes. Resto de derechos: 10 días.
El derecho lo debe ejercer el afectado (o su representante legal) mediante comunicación escrita, adjuntando fotocopia del DNI o documento identificativo equivalente, en el domicilio de la compañía.
© 2013 eZone Solutions, S.L. All Rights Reserved.
6. Comunicación de datos
No se pueden comunicar datos a terceros sin el consentimiento previo del afectado.
Excepciones: Una ley autoriza la comunicación. Se subcontrata un servicio para el cual es necesario que la
empresa subcontratada necesite tener acceso a datos personales almacenados en ficheros del Responsable del fichero. En este caso, es necesario hacer firmar ala empresa subcontratada un contrato de “Encargado del tratamiento” (ver artículo 12 de la LOPD).
© 2013 eZone Solutions, S.L. All Rights Reserved.
7. Medidas de seguridad (I)
Dependiendo del tipo de datos que se almacenen y traten, será necesario adoptar unas medidas de seguridad u otras.
Los datos se clasifican en tres niveles: básico, medio y alto.
Las medidas de seguridad son acumulativas, es decir:Fichero de nivel básico: medidas de seguridad de nivel básicoFichero de nivel medio: medidas de nivel básico + nivel medioFichero de nivel alto: medidas de nivel básico + medio + alto
Nivel básico: todos los ficheros o tratamientos de datos de carácter personal deberán adoptar las medidas de seguridad calificadas de nivel básico.
© 2013 eZone Solutions, S.L. All Rights Reserved.
7. Medidas de seguridad (II)
Nivel medio: Deberán implantarse, además de las medidas de seguridad de nivel básico, las medidas de nivel medio, en los siguientes ficheros o tratamientos de datos de carácter personal:
a) Datos relativos a la comisión de infracciones administrativas o penales.
b) Prestación de servicios de información sobre solvencia patrimonial y crédito.
c) Aquéllos de los que sean responsables Administraciones tributarias y se relacionen con el ejercicio de sus potestades tributarias.
d) Aquellos de los que sean responsables las entidades financieras para finalidades relacionadas con la prestación de servicios financieros.
© 2013 eZone Solutions, S.L. All Rights Reserved.
7. Medidas de seguridad (III)
Nivel medio (continuación)
e) Aquellos de los que sean responsables las Entidades Gestoras y Servicios Comunes de la Seguridad Social y se relacionen con el ejercicio de sus competencias. También mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social.
e) Aquellos que contengan un conjunto de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos.
Ejemplo: Fichero de “Selección de personal”.
© 2013 eZone Solutions, S.L. All Rights Reserved.
7. Medidas de seguridad (IV)
Nivel alto: Además de las medidas de nivel básico y medio, las medidas de nivel alto se aplicarán en los siguientes ficheros o tratamientos de datos de carácter personal:
a) Los que se refieran a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual.
b) Los que contengan o se refieran a datos recabados para fines policiales sin consentimiento de las personas afectadas.
c) Aquellos que contengan datos derivados de actos de violencia de género.
Ejemplo: Fichero de “Pacientes”.
© 2013 eZone Solutions, S.L. All Rights Reserved.
7. Medidas de seguridad (V)
Excepciones del nivel alto
En caso de ficheros o tratamientos de datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual bastará la implantación de las medidas de seguridad de nivel básico cuando:
a) Los datos se utilicen con la única finalidad de realizar una transferencia dineraria a las entidades de las que los afectados sean asociados o miembros.
b) Se trate de ficheros o tratamientos no automatizados en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad.
© 2013 eZone Solutions, S.L. All Rights Reserved.
7. Medidas de seguridad (y VI)
Excepciones del nivel alto (continuación)
También podrán implantarse las medidas de seguridad de nivel básico en los ficheros o tratamientos que contengan datos relativos a la salud, referentes exclusivamente al grado de discapacidad o la simple declaración de la condición de discapacidad o invalidez del afectado, con motivo del cumplimiento de deberes públicos.
© 2013 eZone Solutions, S.L. All Rights Reserved.
8. ¿Cómo cumplir con la Ley? (I)
Para cumplir con la Ley, el Responsable del Fichero debe:
Declarar ficheros en la Agencia Española de Protección de Datos.
Cumplir con el deber de información y obtener el consentimiento de los afectados. En todo formulario en el que se recojan datos personales deberá aparecer un aviso informativo del siguiente tipo:
De conformidad con lo dispuesto en el art. 5 de la Ley Orgánica 15/1999 sobre Protección de Datos de Carácter Personal (LOPD), le informamos que sus datos personales formarán parte de un fichero el titular del cual es LA EMPRESA con la finalidad de XXXXX.Puede ejercitar sus derechos de acceso, rectificación, cancelación y oposición mediante comunicación escrita, adjuntando fotocopia del DNI o documento identificativo equivalente, ante LA EMPRESA en C/XXX. Barcelona.
Disponer de datos exactos y actualizados, procediendo a su eliminación una vez dejen de ser necesarios para su finalidad.
© 2013 eZone Solutions, S.L. All Rights Reserved.
8. ¿Cómo cumplir con la Ley? (y II)
Definir el procedimiento para el ejercicio de los derechos ARCO.
No comunicar datos a terceros sin consentimiento del afectado, salvo que una ley lo autorice.
Los empleados están obligados a guardar secreto respecto a los datos personales a los que tengan acceso.
Firmar contratos de Encargado del Tratamiento con empresas terceras que tengan acceso a datos personales para prestar un servicio a la compañía.
Adoptar las medidas de seguridad del RD1720/2007, entre las que se incluyen, disponer del Documento de Seguridad, tener un registro de incidencias y/o realizar de una auditoría bienalmente.
© 2013 eZone Solutions, S.L. All Rights Reserved.
9. Régimen sancionador (I)
Sanciones Leves - de 900 a 40.000 eurosa) No remitir a la Agencia Española de Protección de Datos las
notificaciones previstas en esta Ley o en sus disposiciones de desarrollo.
b) No solicitar la inscripción del fichero de datos de carácter personal en el Registro General de Protección de Datos.
c) El incumplimiento del deber de información al afectado acerca del tratamiento de sus datos de carácter personal cuando los datos sean recabados del propio interesado.
d) La transmisión de los datos a un encargado del tratamiento sin dar cumplimiento a los deberes formales establecidos en el artículo 12 de esta Ley.
© 2013 eZone Solutions, S.L. All Rights Reserved.
9. Régimen sancionador (II)
Graves - de 40.001 a 300.000 eurosa) Proceder a la creación de ficheros de titularidad pública o iniciar la
recogida de datos de carácter personal para los mismos, sin autorización de disposición general, publicada en el “Boletín Oficial del Estado” o diario oficial correspondiente.
b) Tratar datos de carácter personal sin recabar el consentimiento de las personas afectadas, cuando el mismo sea necesario conforme a lo dispuesto en esta Ley y sus disposiciones de desarrollo.
c) Tratar datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en el artículo 4 de la presente Ley y las disposiciones que lo desarrollan, salvo cuando sea constitutivo de infracción muy grave.
d) La vulneración del deber de guardar secreto acerca del tratamiento de los datos de carácter personal al que se refiere el artículo 10 de la presente Ley.
© 2013 eZone Solutions, S.L. All Rights Reserved.
9. Régimen sancionador (III)
Graves - de 40.001 a 300.000 euros (cont.)e) El impedimento o la obstaculización del ejercicio de los derechos de
acceso, rectificación, cancelación y oposición.
f) El incumplimiento del deber de información al afectado acerca del tratamiento de sus datos de carácter personal cuando los datos no hayan sido recabados del propio interesado.
g) El incumplimiento de los restantes deberes de notificación o requerimiento al afectado impuestos por esta Ley y sus disposiciones de desarrollo.
h) Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen.
© 2013 eZone Solutions, S.L. All Rights Reserved.
9. Régimen sancionador (IV)
Graves - de 40.001 a 300.000 euros (cont.)i) No atender los requerimientos o apercibimientos de la Agencia
Española de Protección de Datos o no proporcionar a aquélla cuantos documentos e informaciones sean solicitados por la misma
j) La obstrucción al ejercicio de la función inspectora.
k) La comunicación o cesión de los datos de carácter personal sin contar con legitimación para ello en los términos previstos en esta Ley y sus disposiciones reglamentarias de desarrollo, salvo que la misma sea constitutiva de infracción muy grave.
© 2013 eZone Solutions, S.L. All Rights Reserved.
9. Régimen sancionador (y V)
Muy graves - de 300.001 a 600.000 eurosa) La recogida de datos en forma engañosa o fraudulenta.
b) Tratar o ceder los datos de carácter personal a los que se refieren los apartados 2, 3 y 5 del artículo 7 de esta Ley salvo en los supuestos en que la misma lo autoriza o violentar la prohibición contenida en el apartado 4 del artículo 7.
c) No cesar en el tratamiento ilícito de datos de carácter personal cuando existiese un previo requerimiento del Director de la Agencia Española de Protección de Datos para ello.
d) La transferencia internacional de datos de carácter personal con destino a países que no proporcionen un nivel de protección equiparable sin autorización del Director de la Agencia Española de Protección de Datos salvo en los supuestos en los que conforme a esta Ley y sus disposiciones de desarrollo dicha autorización no resulta necesaria.
© 2013 eZone Solutions, S.L. All Rights Reserved.
10. Webs de interés
http://www.agpd.es: Agencia Española Protección de Datos http://www.apd.cat: Autoritat Catalana de Protecció de Dades
© 2013 eZone Solutions, S.L. All Rights Reserved.
Contacto
Oficina BarcelonaAribau 168-170, 3º 2ª
08036 Barcelona902 888 318
www.eZone.net
Oficina MadridAvda. De Manoteras, 18 4º
28050 Madrid
