PROTECCIÓN DE DATOS
La
Ley Orgánica de Protección de Datos de Carácter Personal 15/1999, de 13 de
Diciembre, (en adelante LOPD) impone una serie de obligaciones legales para
aquellas personas físicas o jurídicas que posean ficheros con datos de carácter
personal.
Así mismo, desde el 26 de Junio
de 1999 está en vigor el Reglamento de Seguridad (Real Decreto 994/1999 de
11 de junio) que desarrolla la mencionada Ley Orgánica y que establece la
obligación de las empresas de poner en marcha diversas medidas destinadas
a garantizar la protección de dichos datos, afectando a sistemas informáticos,
archivos de soportes de almacenamiento, personal, procedimientos operativos,
etc.
OBLIGACIONES LEGALES DE LA NORMATIVA
DE PROTECCIÓN DE DATOS
1.
Inscripción de los ficheros en el Registro General de la Agencia
de Protección de Datos. Artículo 26 LOPD. Artículos. 5 y 6 R.D 1332/1994,
de 20 de Junio.
2. Redacción
del documento de seguridad. "El responsable del fichero elaborará e implantará
la normativa de seguridad mediante un documento de seguridad de obligado cumplimiento
para el personal con acceso a los datos automatizados de carácter personal
y a los sistemas de información" R.D 994/1999, de 11 de Junio.
3.
Redacción de cláusulas de protección de datos. Artículo 5 LOPD.
4.
Auditoría de Seguridad. Artículo 17 R.D. 994/1999, de 11 de
Junio.
5.
Demás medidas de seguridad de índole técnica y organizativa
necesarias para garantizar la seguridad de los datos objeto de tratamiento.
Artículos 9 y 10 LOPD y R.D 994/1999, de 11 de junio.
6.
Redacción de los contratos, formularios y cláusulas necesarias para
la recogida de datos, los tratamientos por terceros y las cesiones o comunicaciones
de datos.
ALTAS, MODIFICACIONES Y BAJAS
ANTE LA AGENCIA DE PROTECCIÓN DE DATOS
¿En qué consiste el servicio?
En gestionar la inscripción ante
la Agencia de Protección de Datos de los ficheros que contienen datos de carácter
personal; es una obligación básica que exige la Ley 15/1999 de 13 de diciembre
y el reglamento que aprobó el Real Decreto 1332/1994 de 20 de junio.
Los ficheros se pueden crear
por personas, empresas etc., si ello es necesario para el logro u objeto legítimos
de las mismas y siempre que se respeten las garantías que establece la ley.
El articulo 26 de la LOPD añade una condición más para la creación de ficheros:
que se notifique previamente a la agencia de protección de datos.
Visual
realizará para Ud. una clasificación de los ficheros según contenido y finalidad
de los mismos, adecuándose al Formulario Oficial BOE de 27/6/2000 y realizara
su inscripción registral.
La
inscripción debe contener la siguiente información:
1.
responsable del fichero
2.
finalidad del fichero
3.
ubicación
4.
tipos de datos de carácter personal que contiene
5.
medidas de seguridad con la indicación del nivel exigible
6.
cesiones de datos que se prevean realizar
7.
transferencias de datos que se prevean realizar a terceros países.
Deben
notificarse a la Agencia de Protección de Datos las modificaciones que se
produzcan en los siguientes extremos:
1.
finalidad del fichero
2.
responsable del fichero
3.
dirección de su ubicación.
Importante: No se inscriben los
datos, sólo el fichero.
Este servicio se minuta conjuntamente
por necesidad legal con la redacción y aplicación de las medidas de seguridad
correspondientes a cada fichero según niveles de seguridad requeridos por
ley. También incluye las modificaciones o bajas que se produzcan durante los
siguientes dos años.
REDACCIÓN Y APLICACIÓN DE LAS
MEDIDAS DE SEGURIDAD
Todas las empresas que tratan
ficheros con datos de carácter personal, tienen la obligación de elaborar,
implementar y mantener actualizado un Documento de Seguridad donde se establezca
la política y medidas de seguridad aplicadas a dichos ficheros. El Real Decreto
994/1999 establece el contenido del Documento de Seguridad, que dependerá
del tipo de datos que disponga dicha empresa.
El Real Decreto 994/1999 de aprobación
del Reglamento hace hincapié en la consideración de gravedad el no respetar
las debidas medidas de seguridad que por vía reglamentaria se determinen respecto
a los ficheros, locales, programas o equipos que contengan datos de carácter
personal.
¿En qué consiste el servicio?
En establecer por Visual
las medidas de índole técnica y organizativa necesarias para garantizar la
seguridad que deben reunir los ficheros automatizados, los centros de tratamiento,
locales, equipos, sistemas, programas y las personas que intervengan en el
tratamiento automatizado de datos de carácter personal sujetos a la ley.
NIVELES
DE SEGURIDAD
Para fijar los niveles de seguridad
se ha tenido en cuenta un solo parámetro: la naturaleza de la información
en relación con la mayor o menor necesidad de garantizar la confidencialidad
y la integridad de ésta. Los niveles establecidos son tres: básico, medio
y alto.
|
| NIVEL
BÁSICO
|
| TIPO
DE DATOS
| ·
Nombre ·
Apellidos ·
Direcciones
de contacto (tanto físicas como electrónicas) ·
Teléfono
(tanto fijo como móvil) ·
Otros
|
| MEDIDAS
DE SEGURIDAD OBLIGATORIAS
| ·
Documento
de seguridad ·
Régimen
de funciones y obligaciones del personal ·
Registro
de incidencias ·
Identificación
y autenticación de usuarios ·
Control
de acceso ·
Gestión
de soportes ·
Copias
de respaldo y recuperación
|
|
| NIVEL
MEDIO
|
| TIPO
DE DATOS
| ·
Comisión
infracciones penales ·
Comisión
infracciones administrativas ·
Información
de Hacienda Pública ·
Información
de servicios financieros
|
| MEDIDAS
DE SEGURIDAD OBLIGATORIAS
| ·
Medidas
de seguridad de nivel básico ·
Responsable
de Seguridad ·
Auditoría
bianual ·
Medidas
adicionales de Identificación y autenticación de usuarios ·
Control
de acceso físico
|
|
| NIVEL
ALTO
|
| TIPO
DE DATOS
| ·
Ideología ·
Religión ·
Creencias ·
Origen
racial ·
Salud
·
Vida
|
| MEDIDAS
DE SEGURIDAD OBLIGATORIAS
| ·
Medidas
de seguridad de nivel básico y medio ·
Seguridad
en la distribución de soportes ·
Registro
de accesos ·
Medidas
adicionales de copias de respaldo ·
Cifrado
de telecomunicaciones
|
Para la aplicación de las medidas de seguridad
en los ficheros, se parte de un mínimo obligatorio para todos los ficheros:
1.
documento de seguridad
2.
funciones y obligaciones del personal
3.
formación del personal
4.
registro de incidencias
5.
identificación y autenticación
6.
control de acceso
7.
gestión de soportes
8.
copias de respaldo y recuperación
Plazos
para implantar las medidas de seguridad
·
Para
los ficheros creados con anterioridad al 26 de junio de 1999:
·
El
26 de marzo de 2000 finalizó el plazo para implantar las medidas de seguridad
de nivel básico.
·
El
26 de junio de 2000 finalizó el plazo para implantar las medidas de seguridad
en aquellos ficheros y tratamientos con datos personales de nivel medio (los
relativos a la comisión de infracciones administrativas o penales, Hacienda
Pública, servicios financieros y ficheros de información sobre solvencia patrimonial
y crédito).
·
El
26 de junio de 2002 finalizó el plazo para implantar las medidas de seguridad
en los ficheros y tratamiento con datos personales de nivel alto ( los que
revelen la ideología, afiliación sindical, religión, creencias, o que hagan
referencia al origen racial, a la salud y a la vida sexual).
·
A
partir del 26 de junio de 1999 todo sistema informático que se ponga en funcionamiento
por primera vez y contenga datos de carácter personal debe de incorporar las
medidas de seguridad que le correspondan según el tipo de datos que contengan.
Las
medidas de seguridad de nivel medio y alto incorporan además de las básicas
otros elementos como el sometimiento a auditorias internas o externas al menos
cada dos años
AUDITORIA DE SEGURIDAD DE SISTEMAS
DE INFORMACIÓN
En el marco de las disposiciones
de la Ley Orgánica de Protección de Datos de Carácter Personal 15/1999 y su
reglamento publicado en el Real Decreto 994/1999 se establece una reglamentación
mínima de seguridad informática para las bases de datos que contengan estos
datos.
La legislación española determina
que los ficheros de datos de carácter personal de nivel Medio y por consiguiente
los de nivel Alto, deben ser sometidos a una auditoría interna o externa que
verifique el cumplimiento del reglamento de los procedimientos e instrucciones
vigentes en materia de seguridad de datos al menos cada dos años. Este nivel
atañe a los médicos, farmacéuticos, gestores y empresas con una gestión de
nóminas completa. Si bien la Ley sólo ordena las auditorias informáticas para
las bases de segundo o tercer nivel, cualquier empresa debería realizar una
auditoria informática para determinar no sólo el cumplimento o no de la citada
reglamentación sino la seguridad de su sistema informático y por extensión
de su activo más preciado, la información sobre sus clientes, proveedores,
etc.
¿En
qué consiste el servicio?
Visual se centra en la
vulnerabilidad de las instalaciones, posibles accesos indeseados, virus, hackers,
así como en elementos más cercanos como seguridad física, estado de seguridad
de las copias, etc. y se deberá dictaminar sobre la adecuación de las medidas
y controles del reglamento, identificar sus deficiencias y proponer las medidas
correctoras o complementarias necesarias. Se deberán incluir los datos, hechos
y observaciones en que se basen los dictámenes alcanzados y recomendaciones
propuestas.
Los informes de auditoría serán
analizados por el responsable de seguridad que elevara las conclusiones al
responsable del fichero para que adopte las medidas correctoras adecuadas
y quedarán a disposición de la Agencia de Protección de Datos.
Entendemos que una auditoría
de estas características, se adecua mejor externamente, para garantizar la
independencia de la misma. Visual asume este servicio de auditoría
externa con un compromiso de calidad y transparencia.
SANCIONES
Se establecen una serie de sanciones
a los responsables de los ficheros y a los encargados del tratamiento de los
ficheros que contengan datos de carácter personal. Estas se clasifican en
leves, graves y muy graves, atendiendo a la infracción cometida.
|
| SANCIONES
|
| LEVES
| Multa
de 601,01 € a 60.101,21 € (100.000 a 10.000.000 de pesetas)
|
| GRAVES
| Multa
de 60.101,21 € a 300.506,05 € (10.000.000 a 50.000.000 pesetas)
|
| MUY
GRAVES
| Multa
de 300.506,05 € a 601.012,10 € (50.000.000 a 100.000.000 de pesetas)
|
Es de
vital importancia que las empresas que recojan datos de carácter personal
se adecuen a la normativa de protección de datos ya que la Agencia de Protección
de Datos es muy estricta e impone multas de elevada cuantía a todas aquellas
que no la cumplan.
¿Qué coste
tiene?
Aunque cada empresa tiene necesidades
diferentes, en general y salvo excepciones las minutas se aplican conjuntamente
con el servicio de inscripción de ficheros ante la A.P.D.
| Alta de 1 fichero + medidas básicas + modificaciones
o bajas durante 2 años
| 150,25€
|
| Alta de 2 ficheros + medidas básicas + modificaciones
o bajas durante 2 años
| 270.45€
|
| Alta de 3 ficheros + medidas básicas + modificaciones
o bajas durante 2 años
| 360.61€
|
| Alta de 1 fichero + medidas medias
| Consultar precio
|
| Alta de 1 fichero + medidas altas
| Consultar precio
|
