PymeInnova. Aplicación práctica de la Ley de Protección de Datos.
1. ADECUACIÓN PRÁCTICA A LA
LEY ORGÁNICA 15/1999 DE PROTECCIÓN DE
DATOS DE CARACTER PERSONAL
Ponente: Andrés Veyrat. MANACA CONSULTING
2. Adecuación Práctica a la Ley
Orgánica 15/1999, de Protección
de Datos de Carácter Personal
Introducción a Ley Orgánica
15/1999, de Protección de Datos
de Carácter Personal
3. INTRODUCCIÓN A LA LEY ORGÁNICA
15/1999, DE PROTECCIÓN DE DATOS
La protección de datos es el amparo que nos proporciona el
ordenamiento jurídico contra la posible utilización no
autorizada por parte de terceros de nuestros datos
personales susceptibles de tratamiento automatizado, para
confeccionar u obtener una información que puede afectar a
la esfera más intima de la persona, a su privacidad y, por
ende, a su entorno personal, familiar, social, profesional,…
La LOPD protege los datos personales registrados en soporte
físico que los haga susceptibles de tratamiento y a toda
modalidad de uso posterior, centrando toda su protección en
el tratamiento de datos de carácter personal sea cual sea el
soporte o medio de su tratamiento, con el fin de proteger los
derechos fundamentales y libertades publicas de los
ciudadanos.
4. INTRODUCCIÓN A LA LEY ORGÁNICA
15/1999, DE PROTECCIÓN DE DATOS
Ficheros excluidos del ámbito de aplicación de la Ley:
- Ficheros mantenidos por personas físicas en el ejercicio de
actividades exclusivamente personales o domésticas.
- Ficheros sometidos a la normativa sobre protección de
materias clasificadas.
- Ficheros establecidos para la investigación del terrorismo
y de formas graves de delincuencia organizada.
- El Real Decreto 1720/2007, Reglamento de Desarrollo de
la LOPD establece que no es de aplicación a los
tratamientos referidos a personas jurídicas, ni a los ficheros
que se limiten a incorporar los datos de personas físicas que
presten sus servicios en aquellas, consistentes únicamente
en datos identificativos (nombre, apellidos, cargo, dirección
postal o electrónica, teléfono y fax profesionales).
5. INTRODUCCIÓN A LA LEY ORGÁNICA
15/1999, DE PROTECCIÓN DE DATOS
ÁMBITO OBJETIVO
APLICACIÓN LEY
DATOS DE CARÁCTER PERSONAL REGISTRADOS
EN SOPORTE FISICO, SUSCEPTIBLES DE
TRATAMIENTO Y USO POSTERIOR
NO ES APLICABLE LA LOPD EN LOS SUPUESTOS
EN LOS QUE LOS DATOS SOMETIDOS A
TRATAMIENTO HACEN REFERENCIA ÚNICAMENTE
AL MISMO EN SU CONDICIÓN DE ACTIVIDAD
EMPRESARIAL
PERSONAS JURÍDICAS
DATOS EXCLUIDOS DEL
RÉGIMEN DE APLICACIÓN
PERSONAS FALLECIDAS
EMPRESARIOS
INDIVIDUALES
EL TRATAMIENTO DE PERSONA DE CONTACTO ES
MERAMENTE ACCIDENTAL O INCIDENTAL
RESPECTO A LA FINALIDAD DEL TRATAMIENTO,
REFERIDA A LAS PERSONAS JURÍDICAS EN LAS
QUE EL SUJETO PRESTA SUS SERVICIOS
6. INTRODUCCIÓN A LA LEY ORGÁNICA
15/1999, DE PROTECCIÓN DE DATOS
Por dato de carácter personal se entiende cualquier información
concerniente a personas físicas identificadas o identificables. Incluye,
así, todo tipo de información, ya sea numérica, alfabética, gráfica,
fotográfica, acústica o de cualquier otro tipo, susceptible de
recogida, registro, tratamiento o transmisión concerniente a una
persona física identificada o identificable.
Datos identificativos: nombre y apellido, dirección postal o
electrónica, teléfono, fax, DNI /NIF, nº de la Seguridad Social /
Mutualidad, imagen o voz, firma o huella digitalizada, marcas físicas,
firma electrónica, dirección IP fija, etc...
Datos de características personales: estado civil, familia, fecha y
lugar de nacimiento, edad, sexo, nacionalidad, características físicas,
etc...
Datos de circunstancias sociales: propiedades, estilo de vida,
aficiones, licencias, pertenencia a asociaciones, etc...
Datos académicos y profesionales: formación, titulación,
experiencia profesional, detalles de empleo, etc...
Datos económicos: ingresos o rentas, bienes patrimoniales, datos
bancarios, datos económicos de nómina, deducciones impositivas,
impuestos, seguros, hipotecas, tarjeta de crédito, etc...
Datos de transacciones: bienes y servicios suministrados por el
afectado, bienes y servicios recibidos por el afectado, transacciones
financieras, etc...
Datos especialmente protegidos: Datos de salud, afiliación sindical,
ideología, creencias, vida sexual.
7. INTRODUCCIÓN A LA LEY ORGÁNICA
15/1999, DE PROTECCIÓN DE DATOS
Fichero de datos de carácter personal es todo conjunto
organizado de datos de carácter personal, con independencia de la
forma o modalidad de su creación, almacenamiento, organización y
acceso.
Tratamiento es cualquier operación y procedimiento técnico de
carácter automatizado o no, que permita la recogida, grabación,
conservación, elaboración, modificación, bloqueo y cancelación, así
como las cesiones de datos que resulten de comunicaciones,
consultas, interconexiones y transferencias.
Responsable del fichero o tratamiento: persona física o jurídica,
de naturaleza pública o privada, u órgano administrativo, que decida
sobre la finalidad, contenido y uso del tratamiento.
Encargado del tratamiento: la persona física o jurídica, autoridad
pública, servicio o cualquier otro organismo que, sólo o
conjuntamente con otros, trate datos de carácter personal del
tratamiento. Es la persona o entidad que accede a los datos para
prestar un servicio al Responsable del Fichero, obligándose a
prestarlo en el nivel de calidad pertinente, respetando la
confidencialidad y adoptando las medidas de seguridad adecuadas.
8. INTRODUCCIÓN A LA LEY ORGÁNICA
15/1999, DE PROTECCIÓN DE DATOS
Afectado o interesado: persona física titular de los datos que sean
objeto del tratamiento.
Consentimiento del interesado: toda manifestación de voluntad,
libre, inequívoca, específica e informada, mediante la cual es
interesado consienta el tratamiento de datos personales que le
conciernen.
Procedimiento de disociación de datos: todo tratamiento de
datos personales de modo que la información que se obtenga no
pueda asociarse a persona identificada o identificable.
Cesión o comunicación de datos: toda revelación de datos
realizada a persona distinta del interesado.
Fuentes accesibles al público: aquellos ficheros cuya consulta
puede ser realizada, por cualquier persona, no impedida por una
norma limitativa o sin más exigencia que, en su caso, el abono de
una contraprestación. Tienen la consideración de fuentes accesibles
al público, exclusivamente, el censo promocional, los repertorios
telefónicos en los términos previstos por su regulación específica y
las listas de personas pertenecientes a grupos de
profesionales que contengan únicamente los datos de nombre,
titulo, profesión, actividad, grado académico, dirección e indicación
de su pertenencia al grupo. Asimismo, tienen la consideración de
fuentes accesibles al público los diarios y boletines oficiales y los
medios de comunicación.
9. Adecuación Práctica a la Ley
Orgánica 15/1999, de Protección
de Datos de Carácter Personal
Obligaciones legales para la
Adaptación y Cumplimiento de la
LOPD.
Adecuación práctica de Ficheros
Empresariales
10. OBLIGACIONES LEGALES PARA LA
ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
El desarrollo y evolución de las Tecnologías de la
Información, que han aportado nuevos medios y métodos de
trabajo, rapidez en el tratamiento y la posibilidad de interconexión e
intercambio de datos, hace necesario garantizar el equilibrio
entre los tratamientos de datos de carácter personal que
realizan las empresas y los derechos de los ciudadanos.
La LOPD establece obligaciones para todas las Empresas,
Administraciones Públicas, Instituciones, Fundaciones y Profesionales
sobre el tratamiento de datos de carácter personal; y,
principalmente:
- Legalización
- Consentimiento
- Seguridad
- Ejercicio de los derechos de acceso, rectificación,
cancelación y oposición al tratamiento de los datos.
11. OBLIGACIONES LEGALES PARA LA
ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
ASPECTO JURÍDICO
CONSENTIMIENTO
DEBER DE INFORMACIÓN
CALIDAD DE LOS DATOS
CESIÓN DE DATOS
ACCESO A DATOS POR CUENTA DE TERCEROS
12. OBLIGACIONES LEGALES PARA LA
ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
Los datos personales sólo pueden recogerse y ser sometidos a
tratamiento por las empresas:
Si el interesado ha dado su consentimiento.
Si el tratamiento es necesario para el mantenimiento
y/o cumplimiento de un contrato o precontrato de una
relación negocial, laboral y/o administrativa.
Cuando una ley habilita el tratamiento sin requerir el
consentimiento inequívoco de su titular.
Cuando los datos figuren en fuentes accesibles al público
y su tratamiento sea necesario para la satisfacción del interés
legítimo del Responsable del Fichero o de un terceros al que
se le comuniquen los datos.
Si el tratamiento es necesario para proteger un interés vital
del interesado o de otra persona, en el supuesto que el
afectado se encuentre física o jurídicamente incapacitado
para dar su consentimiento.
13. OBLIGACIONES LEGALES PARA LA
ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
CONSENTIMIENTO.
Como regla general, a la hora de recabar los datos es necesario obtener el
consentimiento informado y consciente (consentimiento inequívoco) del
interesado, salvo en los casos expresamente tasados por la ley.
CONSENTIMIENTO
TÁCITO EXPRESO
EXPRESO Y
POR ESCRITO
EXCEPCIONES
Datos
Identificativos
Infracción Grave
Art.44.3.C
Datos Salud,
Vida Sexual
Infracción Grave
Art.44.3.C
Datos Ideología
Afiliación sindical
Infracción muy Grave
Art.44.4.C
Fuentes accesibles
al público
Relación negocial,
laboral, admin.
Protección interés
vital afectado
Funciones
Admins. Públicas
14. OBLIGACIONES LEGALES PARA LA
ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
CONSENTIMIENTO.
CONSENTIMIENTO
TRATAMIENTO DATOS
REFERIDO A TRATAMIENTO CONCRETO
DELIMITACIÓN DE FINALIDADES
RESTO DE CONDICIONES TRATAMIENTO
CONSENTIMIENTO
CESIÓN DATOS
FINALIDAD A LA QUE SE DESTINARAN LOS DATOS
ACTIVIDAD DESARROLLADA POR CESIONARIO
CORRESPONDE AL RESPONSABLE DEL FICHERO LA PRUEBA DE LA EXISTENCIA
DEL CONSENTIMIENTO DEL AFECTADO
15. OBLIGACIONES LEGALES PARA LA
ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
CONSENTIMIENTO MENORES DE EDAD.
NO PUEDEN RECABARSE DEL MENOR DATOS QUE PERMITAN OBTENER INFORMACIÓN SOBRE DEMÁS
MIEMBROS DEL GRUPO FAMILIAR, A EXCEPCIÓN DATOS IDENTIFICATIVOS PADRES/TUTORES
PARA RECABAR AUTORIZACIÓN
LA INFORMACIÓN DEBERÁ EXPRESARSE EN LENGUAJE COMPRENSIBLE POR EL MENOR
CORRESPONDE AL RESPONSABLE FICHERO ARTICULAR PROCEDIMIENTOS COMPROBACIÓN
EDAD DEL MENOR Y AUTENTICIDAD CONSENTIMIENTO PATERNO
CONSENTIMIENTO
TRATAMIENTO DATOS
MENORES 14 AÑOS
MAYORES 14 AÑOS
CONSENTIMIENTO MENOR SALVO
SUPUESTOS EXIGIDOS LEY
CONSENTIMIENTO PATERNO
CONSENTIMIENTO PATERNO/TUTOR
16. OBLIGACIONES LEGALES PARA LA
ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
REVOCACIÓN DEL CONSENTIMIENTO.
REVOCACIÓN
CONSENTIMIENTO
RECIBIDA POR
RESPONSABLE
MEDIO SENCILLO Y
GRATUITO
SOLICITUD
AFECTADO
CESE EN EL PLAZO MÁXIMO 10 DÍAS,
POSIBILIDAD BLOQUEO ART.16.4 LOPD
COMUNICACIÓN REVOCACIÓN A
CESIONARIOS EN PLAZO MAXIMO 10 DIAS
RESPUESTA EXPRESA INTERESADO
MAIL
TELF. GRATUITO
PREFRANQUEO
17. OBLIGACIONES LEGALES PARA LA
ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
DEBER DE INFORMACIÓN AL AFECTADO.
Cuando los datos sean recabados del propio interesado, se deberá informar
al interesado de forma expresa, precisa e inequívoca de:
DEBER DE
INFORMACIÓN
EXISTENCIA DEL
FICHERO,
FINALIDAD Y
DESTINATARIO
CARÁCTER
OBLIGATORIO O
FACULTATIVO
RESPUESTAS
CONSECUENCIA
OBTENCIÓN DATOS /
NEGATIVA A
SUMINISTRARLOS
POSIBILIDAD
EJERCICIO DE
DERECHOS
INFRACCIÓN
LEVE
INFRACCIÓN
LEVE
INFRACCIÓN
GRAVE
INFRACCIÓN
LEVE
IDENTIDAD Y
DIRECCIÓN DEL
RESPONSABLE
TRATAMIENTO
INFRACCIÓN
LEVE
18. OBLIGACIONES LEGALES PARA LA
ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
DEBER DE INFORMACIÓN AL AFECTADO.
RECABO CONSENTIMIENTO
SOLICITUD TERMINOS ART.5 LOPD
CONCESIÓN PLAZO 30 DÍAS NEGATIVA AL TRATAMIENTO
SILENCIO = SE CONCEDE EL CONSENTIMIENTO
PODRÁ ADJUNTARSE LA LEYENDA A FACTURAS
EN CASO DE DEVOLUCIÓN COMUNICACIÓN, NO SE PODRÁN TRATAR
LOS DATOS
FACILITAR AL AFECTADO UN MEDIO SENCILLO Y GRATUITO PARA
MANIFESTAR SU OPOSICIÓN AL TRATAMIENTO
PARA MISMOS TRATAMIENTOS Y FINALIDADES, SOLO PODRÁ SOLICITARSE
CONSENTIMIENTO CADA 12 MESES
19. OBLIGACIONES LEGALES PARA LA
ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
DEBER DE INFORMACIÓN AL AFECTADO.
RECABO CONSENTIMIENTO PARA
FINALIDADES DISTINTAS RELACIÓN
CONTRACTUAL
DEBERÁ PERMITIRSE AL AFECTADO
QUE MANIFIESTE
EXPRESAMENTE SU NEGATIVA
A TRAVÉS DE CASILLAS DE
AUTOMARCACIÓN
FACILITANDO MEDIOS SENCILLOS
Y GRATUITOS DE OPOSICIÓN
20. OBLIGACIONES LEGALES PARA LA
ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
ACREDITACIÓN DEL DEBER DE INFORMACIÓN AL AFECTADO.
DEBER INFORMACIÓN
PRUEBA
SOLICITUD TERMINOS ART.5 LOPD
MEDIO DE RECOGIDA QUE PERMITA PRUEBA CUMPLIMIENTO
DEBER DE INFORMACIÓN
CONSERVACIÓN SOPORTE DE RECOGIDA DATOS HASTA
FINALIZACIÓN TRATAMIENTO
SE PERMITE CONSERVACIÓN A TRAVÉS DE MEDIOS ELECTRÓNICOS
(DIGITALIZACIÓN SOPORTES RECOGIDA DATOS)
21. OBLIGACIONES LEGALES PARA LA
ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
CALIDAD DE LOS DATOS.
Los datos personales deben adecuarse a la finalidad para la que fueron
recabados, ser exactos, no mantenerse indefinidamente sin justificación y ser
recogidos de forma lícita.
CALIDAD DATOS
ADECUADOS,
PERTINENTES
Y NO EXCESIVOS EN
RELACIÓN AL FIN
USO DEL DATO PARA
FINALIDAD
COMPATIBLE PARA LA
QUE FUE RECOGIDO
DATOS EXACTOS Y
PUESTOS
AL DIA
ALMACENAMIENTO
PERMITE
EJERCICIO DERECHO
DE ACCESO
INFRACCIÓN GRAVE INFRACCIÓN GRAVE INFRACCIÓN GRAVE INFRACCIÓN GRAVE
22. OBLIGACIONES LEGALES PARA LA
ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
CESIÓN / COMUNICACIÓN DE DATOS.
La cesión de datos es toda revelación de datos realizada a persona distinta
del afectado; así, el término revelación incluye consulta de datos,
publicación de datos, interconexión de ficheros y comunicación del fichero
a terceros.
CESIÓN DE DATOS
FINES DIRECTAMENTE
RELACIONADOS
+
CONSENTIMIENTO
FINES DIRECTAMENTE
RELACIONADOS
+
EXCEPCIÓN
CONSENTIMIENTO
PREVIO CONSENTIMIENTO
INFORMADO DE FINALIDAD,
CESIÓN Y
ACTIVIDAD DEL CESIONARIO
INFRACCIÓN MUY GRAVE INFRACCIÓN MUY GRAVE INFRACCIÓN MUY GRAVE
23. CESIÓN DATOS CONSENTIMIENTO DEL AFECTADO
RELACIÓN JURÍDICA COMPORTE COMUNICACIÓN
EXCEPCIONES
COMUNICACIÓN A DEFENSOR PUEBLO, TRIB. CUENTAS,
JUECES Y TRIBUNALES
CESIÓN ADMINISTRACIONES PÚBLICAS
RELACIÓN JURÍDICA ENTRE PARTES
PROTECCIÓN DEL INTERES VITAL
COMPETENCIAS IDÉNTICAS O
MISMAS MATERIAS
RECABADOS PARA OTRA
ADMINISTRACIÓN PÚBLICA
FINES ESTADÍSTICOS, CIENTIFICOS,
HISTÓRICOS
OBLIGACIONES LEGALES PARA LA
ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
24. OBLIGACIONES LEGALES PARA LA
ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
En el caso que el Responsable del Fichero no haya solicitado el previo
consentimiento del interesado para la cesión de los datos y, con
posterioridad, proceda a cederlos a terceras empresas, deberá comunicar
al afectado el consentimiento para la cesión, así como informar de los
datos del cesionario, finalidades y dirección del Cesionario.
Obligaciones que asume el Cesionario:
- Se obliga por el sólo hecho de la cesión a cumplir con la LOPD.
- Deberá informar, en la primera comunicación que realice al interesado
de forma expresa, precisa e inequívoca de:
a) El contenido del tratamiento,
b) La procedencia de los datos,
c) De la existencia de un fichero, finalidad y destinatario
de la información.
d) De la posibilidad de ejercitar los derechos de acceso,
rectificación, cancelación y oposición al tratamiento.
e) De la identidad y dirección del Responsable del
Fichero.
25. OBLIGACIONES LEGALES PARA LA
ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
ACCESO A DATOS POR CUENTA DE TERCEROS.
Son casos en los que existe una relación entre un tercero y el
Responsable del Fichero en virtud de la cual aquél presta a este último un
servicio, cualquiera que sea su naturaleza (por ejemplo, asesoría fiscal,
laboral, publicidad, hosting, etc..), cuyo servicio exigirá, en muchos casos,
que los datos personales almacenados en el fichero deban salir de su
ubicación principal para ser conocidos y tratados por el tercero.
La LOPD establece que no se considera comunicación de datos el acceso
de un tercero a los datos cuando dicho acceso sea necesario para la
prestación de un servicio al Responsable del Fichero.
El art.12 LOPD establece que el Acceso a los datos por cuenta de terceros
deberá siempre regularse a través de un contrato, preferiblemente
escrito.
26. OBLIGACIONES LEGALES PARA LA
ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
ACCESO A DATOS POR
CUENTA DE TERCEROS
ACCESO NECESARIO PARA LA PRESTACIÓN DE UN
SERVICIO AL RESPONSABLE DEL FICHERO
INDICACIÓN DE AUTORIZACIÓN PARA LA
SUBCONTRATACIÓN A TERCEROS
EL ENCARGADO DEL TRATAMIENTO SOLO TRATARÁ
LOS DATOS CONFORME INSTRUCCIONES Y NO LOS
APLICARÁ PARA FIN DISTINTO AL CONTRACTUAL
EL ENCARGADO DEL TRATAMIENTO DEBERÁ ADOPTAR
MEDIDAS DE SEGURIDAD A LOS DATOS
UNA VEZ FINALIZADO EL TRATAMIENTO DEVOLVERÁ O
DESTRUIRÁ LOS DATOS
27. OBLIGACIONES LEGALES PARA LA
ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
ACCESO A DATOS POR CUENTA DE TERCEROS
LA SUBCONTRATACIÓN SOBREVENIDA DEBERÁ SER AUTORIZADA
POR RESPONSABLE DEL FICHERO
AUTORIZACIÓN EXPRESA DEL RESPONSABLE AL ENCARGADO PARA LA
SUBCONTRATACIÓN DE SERVICIOS
NO ES NECESARIA
LA AUTORIZACIÓN
TRATAMIENTO DE ACUERDO INSTRUCCIONES
RESPONSABLE FICHERO
PREVISIÓN CONTRACTUAL DE
SUBCONTRATACIÓN SERVICIOS Y EMPRESAS
FORMALIZACIÓN CONTRATO ACCESO A DATOS
ENTRE ENCARGADO Y SUBCONTRATISTA
29. Carácter personalísimo de los derechos.
DERECHOS EJERCICIO
CARÁCTER PERSONALÍSIMO
DENEGACIÓN CUANDO SOLICITUD SEA FORMULADA POR PERSONA
DISTNTA AL AFECTADO O NO SE ACREDITE REPRESENTACIÓN
POR EL AFECTADO, ACREDITANDO SU IDENTIDAD
POR SU REPRESENTANTE LEGAL
POR REPRESENTANTE VOLUNTARIO
DERECHOS DE ACCESO, RECTIFICACIÓN,
CANCELACIÓN Y OPOSICIÓN
30. Condiciones generales para el ejercicio de los derechos.
EJERCICIO
DERECHOS
DEBE CONCEDERSE UN MEDIO SENCILLO Y GRATUITO PARA EL
EJERCICIO DE LOS DERECHOS
SU EJERCICIO ES INDEPENDIENTE
EL RESPONSABLE DEBERÁ ATENDER LA SOLICITUD DE EJERCICIO DE
DERECHOS SIEMPRE QUE EL INTERESADO HAYA UTILIZADO UN MEDIO
QUE PERMITA ACREDITAR EL ENVIO Y RECEPCIÓN DE LA SOLICITUD, Y
LA MISMA CUMPLA LOS REQUISITOS DEL ART.25.1
SI EL RESPONSABLE DISPONE DE UN SERVICIO DE ATENCIÓN AL PÚBLICO,
PODRÁ CONCEDERSE LA POSIBILIDAD DE EJERCICIO DE LOS DERECHOS
POR DICHO MEDIO.
LA IDENTIDAD SE COMPROBARÁ POR CÓDIGO DE CLIENTE
DERECHOS DE ACCESO, RECTIFICACIÓN,
CANCELACIÓN Y OPOSICIÓN
31. Procedimiento.
EJERCICIO
DERECHOS
NOMBRE, APELLIDOS, FOTOCOPIA DNI
DOCUMENTACIÓN REPRESENTACIÓN
SOLICITUD DEL AFECTADO
EL RESPONSABLE DEBERÁ PROBAR EL CUMPLIMIENTO DEL DEBER DE RESPUESTA
RECIBIDA SOLICITUD, EL RESPONSABLE DEBERÁ CONTESTAR A LA MISMA
EN TODO CASO (INCLUIDA SUBSANACIÓN DEFECTOS)
PETICIÓN CONCRETA
DIRECCIÓN NOTIFICACIÓN
DOCUMENTACIÓN ACREDITATIVA
EL PERSONAL DEL RESPONSABLE DEBE CONOCER EL PROCEDIMIENTO DE RESPUESTA DE
SOLICITUDES EJERCICIO DERECHOS
DERECHOS DE ACCESO, RECTIFICACIÓN,
CANCELACIÓN Y OPOSICIÓN
32. Ejercicio de los derechos ante un encargado de tratamiento.
EJERCICIO
DERECHOS
NOMBRE, APELLIDOS, FOTOCOPIA DNI
DOCUMENTACIÓN REPRESENTACIÓN
SOLICITUD DEL AFECTADO
SI SE CONTRATO AL ENCARGADO EL EJERCICIO DE DERECHOS ESTE RESPONDERÁ
A LA SOLICITUD
RECIBIDA SOLICITUD, EL ENCARGADO DEL TRATAMIENTO DARÁ TRASLADO DE LA MISMA
AL RESPONSABLE DEL FICHERO
PETICIÓN CONCRETA
DIRECCIÓN NOTIFICACIÓN
DOCUMENTACIÓN ACREDITATIVA
DERECHOS DE ACCESO, RECTIFICACIÓN,
CANCELACIÓN Y OPOSICIÓN
33. Derecho de acceso.
DERECHO
DE
ACCESO
DERECHO A OBTENER INFORMACIÓN SOBRE SI SUS DATOS ESTÁN
SIENDO OBJETO DE TRATAMIENTO, FINALIDAD DEL MISMO, ORIGEN
DE LOS DATOS Y CESIONES REALIZADAS O PREVISTAS
ES INDEPENDIENTE ESTE DERECHO DE LOS REGULADOS POR LA
LEY 30/1992 REGIMEN JURÍDICO ADMINIS. PUBLICAS Y PROCEDIMIENTO
COMÚN
PODRÁ VERSAR LA SOLICITUD SOBRE UN FICHERO O SOBRE TODOS
LOS FICHEROS. EL RESPONSABLE DEBERÁ INDICAR LISTA DE FICHEROS
AL SOLICITANTE.
DERECHOS DE ACCESO, RECTIFICACIÓN,
CANCELACIÓN Y OPOSICIÓN
34. Ejercicio del derecho de Acceso.
SOLICITUD
ACCESO
VISUALIZACIÓN EN PANTALLA
PODRÁ RECIBIR LA INFORMACIÓN
A TRAVÉS DE
EL SISTEMA UTILIZADO PARA HACER EFECTIVO EL DERECHO DEBERÁ SER
GRATUITO Y POR MEDIO DE COMUNICACIÓN ESCRITA
SI EL RESPONSABLE OFRECE UN SISTEMA PARA HACER EFECTIVO EL DERECHO
Y EL AFECTADO LO RECHAZASE, NO SERÁ RESPONSABLE DE LOS RIESGOS DE
SEGURIDAD PARA LA INFORMACIÓN Y, SI EL PROCEDIMIENTO SOLICITADO
POR EL AFECTADO IMPLICA COSTE ADICIONAL AL OFRECIDO, EL COSTE
ADICIONAL DEBERÁ ABONARLO EL AFECTADO
ESCRITO, COPIA O FOTOCOPIA
TELECOPIA
CORREO ELECTRÓNICO
OTRO SISTEMA DE CONFIGURACIÓN
DERECHOS DE ACCESO, RECTIFICACIÓN,
CANCELACIÓN Y OPOSICIÓN
35. Otorgamiento de acceso.
SOLICITUD
DE
ACCESO
EL RESPONSABLE RESOLVERÁ LA SOLICITUD EN EL PLAZO MÁXIMO DE
30 DÍAS DESDE LA RECEPCIÓN DE LA SOLICITUD
LA INFORMACIÓN FACILITADA
ESTIMADA LA SOLICITUD, EL ACCESO DEBERÁ HACERSE EFECTIVO EN
EL PLAZO DE LOS 10 DÍAS SIGUIENTES
SERÁ LEGIBLE E INTELEGIBLE
COMPRENDERÁ DATOS BASE AFECTADO
ORIGEN DE LOS DATOS
USOS Y FINALIDADES
CESIONES Y COMUNICACIONES
DERECHOS DE ACCESO, RECTIFICACIÓN,
CANCELACIÓN Y OPOSICIÓN
36. Denegación derecho de acceso.
DENEGACIÓN
DE
ACCESO
PODRÁ DENEGARSE EL DERECHO DE ACCESO SI EL MISMO SE
EJERCITASE EN INTERVALOS INFERIORES A 12 MESES, SALVO QUE
SE ACREDITE UN INTERÉS LEGÍTIMO
EN TODO CASO, EL RESPONSABLE INFORMARÁ AL AFECTADO DE SU
DERECHO A RECABAR LA TUTELA DE LA AGPD
PODRÁ DENEGARSE CUANDO ASÍ SE ESTABLEZCA POR LEY O EL
RESPONSABLE SE ENCUENTRE SUJETO A NORMAS OBLIGATORIAS QUE
IMPIDAN EL EJERCICIO DEL DERECHO DE ACCESO
DERECHOS DE ACCESO, RECTIFICACIÓN,
CANCELACIÓN Y OPOSICIÓN
37. Derechos de rectificación y cancelación.
DERECHO A QUE SE MODIFIQUEN LOS DATOS QUE
RESULTEN INEXACTOS O INCOMPLETOS
RECTIFICACIÓN
CANCELACIÓN
DERECHO A QUE SE SUPRIMAN LOS DATOS QUE
RESULTEN INADECUADOS O EXCESIVOS, SIN
PERJUICIO DEL BLOQUEO DE DATOS PREVISTO
POR LA LEY
DERECHOS DE ACCESO, RECTIFICACIÓN,
CANCELACIÓN Y OPOSICIÓN
38. Ejercicio derecho de Rectificación y cancelación.
EJERCICIO
DERECHO
INDICACIÓN DE DATOS A QUE SE
REFIERE
SOLICITUD DEL AFECTADO
RECIBIDA
SOLICITUD
RESOLVERÁ EN EL PLAZO MÁXIMO DE 10 DÍAS
DATOS CORREGIDOS
DOCUMENTACIÓN ACREDITATIVA
SI LOS DATOS HUBIEREN SIDO CEDIDOS, INFORMAR AL CESIONARIO
EN EL PLAZO DE 10 DÍAS PARA QUE RECTIFIQUE O CANCELE
DERECHOS DE ACCESO, RECTIFICACIÓN,
CANCELACIÓN Y OPOSICIÓN
39. Denegación derechos de rectificación y cancelación.
DENEGACIÓN
NO PODRÁ CANCELARSE DATOS QUE DEBAN CONSERVARSE POR
OBLIGACIÓN LEGAL APLICABLE A LOS MISMOS O A LA RELACIÓN
JURÍDICA/NEGOCIO ENTRE PARTES
EN TODO CASO, EL RESPONSABLE INFORMARÁ AL AFECTADO DE SU
DERECHO A RECABAR LA TUTELA DE LA AGPD
PODRÁ DENEGARSE CUANDO ASÍ LO ESTABLEZCA UNA LEY QUE
IMPIDA AL RESPONSABLE REVELAR DATOS AL AFECTADO
DERECHOS DE ACCESO, RECTIFICACIÓN,
CANCELACIÓN Y OPOSICIÓN
40. Derecho de oposición.
DERECHO DEL AFECTADO A QUE NO
SE LLEVE A CABO EL TRATAMIENTO
DE SUS DATOS O SE CESE EN EL
MISMO
OPOSICIÓN CUANDO NO SEA NECESARIO SU CONSENTIMIENTO
PARA EL TRATAMIENTO, SIEMPRE QUE EXISTA
UN INTERÉS LEGÍTIMO Y FUNDADO A SU
CONCRETA SITUACIÓN PERSONAL
CUANDO SE TRATE DE FICHEROS DE PUBLICIDAD Y
PROSPECCIÓN COMERCIAL (ART.51).
CUANDO EL TRATAMIENTO TENGA POR FINALIDAD
LA ADOPCIÓN DE UNA DECISIÓN REFERIDA AL
AFECTADO, BASADA ÚNICAMENTE EN UN
TRATAMIENTO AUTOMATIZADO DE DATOS
DERECHOS DE ACCESO, RECTIFICACIÓN,
CANCELACIÓN Y OPOSICIÓN
41. Ejercicio del derecho de Oposición.
EJERCICIO
DERECHO
SOLICITUD DEL AFECTADO
RECIBIDA
SOLICITUD
RESOLVERÁ EN EL PLAZO MÁXIMO DE 10 DÍAS
MOTIVOS FUNDADOS Y LEGITIMOS
QUE JUSTIFICAN EL EJERCICIO
DEBERÁ EXCLUIR DEL TRATAMIENTO LOS DATOS O DENEGAR
MOTIVADAMENTE LA SOLICITUD EN EL PLAZO DE 10 DÍAS
DERECHOS DE ACCESO, RECTIFICACIÓN,
CANCELACIÓN Y OPOSICIÓN
42. Derecho de oposición a las decisiones basadas únicamente en un
tratamiento automatizado de datos.
LOS INTERESADOS TIENEN DERECHO A NO VERSE SOMETIDOS A UNA DECISIÓN CON EFECTOS
JURÍDICOS O QUE LES AFECTE SIGNIFICATIVAMENTE, QUE SE BASE ÚNICAMENTE EN UN
TRATAMIENTO AUTOMATIZADO DE DATOS DESTINADO A EVALUAR DETERMINADOS
ASPECTOS DE SU PERSONALIDAD (RENDIMIENTO LABORAL, CRÉDITO, FIABILIDAD)
PODRÁN VERSE
AFECTADOS POR
LA DECISIÓN
SE HAYAN ADOPTADO EN EL MARCO DE UN CONTRATO A PETICIÓN
DEL INTERESADO, Y SE LE OTORGUE LA POSIBILIDAD DE ALEGAR
LO QUE ESTIME. DEBERÁ HABERSELE INFORMADO PREVIAMENTE
DE LA POSIBILIDAD DE TALES DECISIONES
ESTÉ AUTORIZADA POR UNA NORMA CON RANGO DE LEY QUE
ESTABLEZCA MEDIDAS QUE GARANTICEN EL INTERES DEL
INTERESADO
DERECHOS DE ACCESO, RECTIFICACIÓN,
CANCELACIÓN Y OPOSICIÓN
43. OBLIGACIONES LEGALES PARA LA
ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
ASPECTO ORGANIZATIVO
TIPOLOGIA DE DATOS Y ESTRUCTURA FICHEROS
INSCRIPCIÓN Y NOTIFICACIÓN DE FICHEROS AL
REGISTRO GENERAL DE PROTECCIÓN DE DATOS
44. OBLIGACIONES LEGALES PARA LA
ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
LOCALIZACIÓN FICHEROS.
Localización de ficheros con datos personales existentes (como por
ejemplo, clientes, proveedores, colaboradores, agentes, usuarios web,
trabajadores, nóminas, contactos, curriculum y selección de personal,
reconocimientos médicos, concursos, etc…).La información a recabar es:
- Tipología de datos que contienen los ficheros.
- Determinación de las finalidades de los tratamientos realizados.
- Adecuación de los datos al principio de calidad.
- Trazabilidad de los datos (origen, forma y soporte de recogida,
consentimiento, datos adquiridos de terceros).
- Deberes de secreto y confidencialidad en el tratamiento.
- Cancelaciones y bloqueo de datos.
- Cesiones y transferencias internacionales de datos.
- Terceras empresas encargadas del tratamiento de los datos.
Recabada la información, se procederá a su análisis con la finalidad de la
determinación del inventario de ficheros físicos y lógicos, así como los
ficheros temporales.
45. OBLIGACIONES LEGALES PARA LA
ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
INFORMACIÓN NECESARIA A RECABAR DE CADA FICHERO.
Objeto y finalidad del fichero.
Determinación del Departamento afectado.
Determinación vida del dato personal:
MOMENTO IMPLICACIONES
Origen y procedencia
-Deber de información durante la recogida.
-Recabo del consentimiento.
-Solicitud de datos adecuados, no excesivos y
pertinentes con el fin del tratamiento.
VIDA
DATO
Tratamientos
-Implantación medidas seguridad
-Encargados tratamiento
-Gestión y respeto derechos del afectado
-Solo tratamientos conforme a finalidades
consentidas
Salida y cancelación -Cesiones de datos
-Cancelaciones y bloqueos datos
-Supresión datos
-Supresión ficheros
46. OBLIGACIONES LEGALES PARA LA
ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
ORIGEN Y PROCEDENCIA.
Fuentes Internas:
- Extracciones parciales para tratarlos en otro fichero para otra
finalidad (obtenidos de un fichero corporativo general o fichero
especifico).
- Que se hayan extraído de un fichero corporativo para realizar
un report concreto o bajo determinado criterio de búsqueda y
se almacenan en un soporte concreto.
- Extracciones puntuales: ficheros temporales de un fichero
especifico, creados para una finalidad concreta y limitada en el
tiempo.
Fuentes Externas:
- Propio interesado o su representante legal. Atención especial
a datos de menores.
- Otras personas distintas del interesado (debiendo informarle
y, en su caso, recabar su consentimiento).
- Fuentes accesibles al público.
- Registros Públicos.
- Entidades privadas: cesiones y comercialización de bases de
datos.
47. OBLIGACIONES LEGALES PARA LA
ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
Soportes de recogida:
a) Soporte papel.
b) Soporte informático/magnético.
c) Vía telemática.
Procedimiento de recogida:
a) Encuestas o entrevistas.
b) Formularios o cupones.
c) Transmisión electrónica de datos/Internet.
Tipología de datos tratados.
Sistema de Tratamiento.
Encargado del Tratamiento.
Nivel de Seguridad.
Cesiones y Transferencias Internacionales de Datos.
48. OBLIGACIONES LEGALES PARA LA
ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
FICHERO 1: FICHERO DE RECURSOS HUMANOS EMPRESA
Finalidad general: Gestión integrada de Recursos Humanos del personal laboral (gestión
nóminas, gestión administrativa laboral, prevención de riesgos laborales, formación,
selección de personal, seguros).
1.- Tipología de datos recogidos:
Identificativos: DNI/NIF, Nº SS/Mutualidad, Nombre y apellidos, Dirección postal y
electrónica, Teléfono.
Datos de características personales: datos de estado civil, datos de familia, fecha
nacimiento, lugar nacimiento, edad, sexo, nacionalidad,
Datos académicos y profesionales: formación, titulaciones, experiencia profesional,
pertenencia a colegios profesionales,
Datos de detalle empleo: profesión, puesto de trabajo, datos no económicos de nómina,
historial del trabajador, control horario,
Datos económico-financieros: datos bancarios, datos económico de nómina, planes de
pensiones, deducciones impositivas, seguros y subsidios/beneficios fiscales.
Datos especialmente protegidos: afiliación sindical y datos salud (incapacidad).
49. OBLIGACIONES LEGALES PARA LA
ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
2.- FINALIDADES PREVISTAS: Gestión de Recursos Humanos.
- Gestión contable, fiscal y administrativa: Gestión económica y
contable, gestión fiscal, gestión administrativa.
- Recursos Humanos: Gestión de personal, gestión de nóminas,
formación de personal, prestaciones sociales, selección de personal,
prevención de riesgos laborales.
Servicios Económico-financieros y seguros: Otro tipo de
seguros.
- Control Horario y Selección de Personal.
3.- PROCEDENCIA Y RECOGIDA:
Datos recabados del propio interesado, a través de encuestas, entrevistas, formularios y
contratos.
4.- DATOS ESPECIALMENTE PROTEGIDOS:
- Afiliación sindical: necesario consentimiento expreso y por escrito.
- Datos salud para reconocimientos: consentimiento expreso y firmado. Para ciertos
datos de salud (mutuas), cabe citar como ley que permite su tratamiento el RDLG
1/1994, TRLGSS.
FICHERO 1: FICHERO DE RECURSOS HUMANOS EMPRESA
50. OBLIGACIONES LEGALES PARA LA
ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
5.- Principio de calidad de los datos.
- Los datos no podrán destinarse a otras finalidades distintas de las señaladas. Gestión
de Recursos Humanos.
-Deberán mantenerse actualizados y puestos al día.
-Deberá procederse a su cancelación cuando concluya la relación laboral, procediendo
primero a su bloqueo y conservación por los siguientes plazos legales:
Acciones derivadas del contrato laboral: art.59 ET fija el plazo de 1 año desde la
finalización relación.
- Pago cuotas SS: art.21 TRLGSS establece un plazo de prescripción de 5
años.
- Prestaciones indebidas: art.45.3 TRLGSS fija un plazo de 4 años.
- Infracciones y sanciones del orden Social: art.4 Ley 8/1988 fija plazos de 3
y 5 años (prestación desempleo).
- Conservación documentación: art.13 Ley 8/1988, fija un plazo de 5 años.
FICHERO 1: FICHERO DE RECURSOS HUMANOS EMPRESA
51. OBLIGACIONES LEGALES PARA LA
ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
6.- Deber de información.
Nuevos Contratos: Cláusula LOPD contratos laborales.
• Los datos que ha proporcionado serán incorporados a un Fichero titularidad de _______,
debidamente inscrito en la Agencia Española de Protección de Datos, con la finalidad de
gestionar la identificación del personal, así como confeccionar las nóminas y desarrollar la
gestión de recursos humanos y mantenimiento de relaciones con las Administraciones Públicas.
Dado que entre sus datos pueden encontrarse algunos especialmente protegidos como datos de
salud y datos de afiliación sindical, se le informa expresamente de su necesidad de tratamiento.
• Así mismo, usted presta el consentimiento para las cesiones y comunicaciones a terceros,
necesarias para llevar a cabo las finalidades antes expuestas, tales como entidades bancarias,
Administraciones Públicas, Mutuas Laborales y, en su caso, pago de cuotas sindicales.
• ________ tiene implantadas todas las medidas de seguridad exigidas por el RD. 1720/2007, a
fin de garantizar la confidencialidad absoluta en el almacenamiento y tratamiento de los datos
personales, así como evitar accesos por parte de terceros no autorizados.
• Podrá acceder y ejercitar los derechos de acceso, rectificación, cancelación y oposición
regulados por la LO. 15/1999, 13 de Diciembre, de Protección de Datos de Carácter Personal a
través de carta dirigida al Responsable del Fichero a la dirección indicada en el
encabezamiento.
FICHERO 1: FICHERO DE RECURSOS HUMANOS EMPRESA
52. OBLIGACIONES LEGALES PARA LA
ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
Contratos Preexistentes
Cláusula LOPD información adjunta a nómina o enviada a través de
comunicación específica.
• De conformidad con la LO 15/1999, 13 de diciembre, de Protección de Datos de Carácter
Personal sus datos de carácter personal necesarios para el mantenimiento y gestión de la
relación laboral, se encuentran incorporados a un Fichero titularidad de __________, que tiene
por finalidad gestionar la identificación del personal, gestión de nóminas y el desarrollo de la
gestión de recursos humanos, así como el mantenimiento de relaciones con las
Administraciones Públicas. Dado que entre sus datos pueden encontrarse algunos
especialmente protegidos como datos de salud y datos de afiliación sindical, se le informa
expresamente de su necesidad de tratamiento.
• Así mismo, usted presta el consentimiento para las cesiones y comunicaciones a terceros,
necesarias para llevar a cabo las finalidades antes expuestas, tales como entidades bancarias,
Mutuas Laborales, Administraciones Públicas y, en su caso, pago de cuotas sindicales.
• Podrá acceder y ejercitar los derechos de acceso, rectificación, cancelación y oposición
regulados por la LO. 15/1999, 13 de Diciembre, de Protección de Datos de Carácter Personal a
través de carta dirigida al Responsable del Departamento de Recursos Humanos de ________.
FICHERO 1: FICHERO DE RECURSOS HUMANOS EMPRESA
53. OBLIGACIONES LEGALES PARA LA
ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
7.- Consentimiento. Como regla general, salvo en el caso de tratarse datos
especialmente protegidos, no será necesario recabar el consentimiento de los
empleados para realizar aquellos tratamientos que se encuentran o puedan encuadrarse
como necesarios para el mantenimiento, control y desarrollo de la relación laboral
(art.6.2).
a) Datos de salud: El dato de incapacidad es un dato especialmente protegido y
conlleva la necesidad de solicitar el consentimiento expreso para su tratamiento.
1.- Realización de reconocimientos médicos a trabajadores: establecido por el art.22.2
Ley 31/1995, de Seguridad e Higiene en el Trabajo y Prevención de Riesgos Laborales.
a) Si se trata de reconocimientos obligatorios, no será necesario el
consentimiento del trabajador.
b) Reconocimientos voluntarios, requiere el consentimiento expreso del
trabajador.
2.- Realización de tratamientos datos de salud en el ámbito laboral: bajas laborales.
Será necesario el consentimiento expreso del trabajador.
FICHERO 1: FICHERO DE RECURSOS HUMANOS EMPRESA
54. OBLIGACIONES LEGALES PARA LA
ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
8.- CESIONES DE DATOS.
- Cesión de datos de trabajadores a Mutuas de Accidentes de Trabajo y enfermedades
Profesionales colaboradoras de la Seguridad Social: No requerirá el consentimiento
expreso del trabajador, dado que son necesarios para poder cubrir las coberturas y
prestaciones exigidas, y sin las cuales no podría mantenerse lícitamente la relación
laboral.
- Contratación de pólizas de seguro colectivas o planes de pensiones: No será necesario
recabar el consentimiento para el tratamiento y cesión de los datos de los empleados a
la Compañía de Seguros con quien se tenga contratada la póliza colectiva.
- Recogida y cesión datos a Agencia Tributaria: se realiza en cumplimiento de la LGT; no
es necesario el consentimiento salvo en los casos del porcentaje de incapacidad (donde
deberá comunicarse específicamente dicha situación al interesado en la formalización
del contrato).
- Comunicación de datos a la Tesorería General de la Seguridad Social: Es una
obligación establecida a la Empresa y regulada en la LGSS.
- Comunicación datos Fundación Tripartita (FORCEM). Al considerarse por el art.4.2 e)
ET como un derecho del trabajador, deberá informarse de la cesión de los datos a la
Fundación y a la Empresa que realiza la formación.
FICHERO 1: FICHERO DE RECURSOS HUMANOS EMPRESA
55. OBLIGACIONES LEGALES PARA LA
ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
9.- SELECCIÓN DE PERSONAL. CLÁUSULAS INFORMATIVAS.
RECEPCIÓN CURRÍCULUMS VITAE (ALMACENAMIENTO).
Tu Curriculum Vitae ha sido incorporado a un fichero automatizado de datos, que
tiene como finalidad la gestión de procesos de selección de personal realizados por
________.
De conformidad a la Ley Orgánica 15/1999 de Protección de Datos podrás ejercitar
tus derechos de acceso, modificación, cancelación y oposición al tratamiento de tus
datos personales, de manera sencilla, enviándonos una carta, adjuntando fotocopia
de tu DNI, a la siguiente dirección: ___________.
PROCESOS DE SELECCIÓN SIN CONSERVACIÓN POSTERIOR.
__________ informa que, una vez finalizado el proceso de selección, los Currículum
Vitae recibidos no serán conservados en ningún tipo de soporte (informático o papel)
y se procederá a a su destrucción segura, adoptando las adecuadas medidas de
seguridad.
FICHERO 1: FICHERO DE RECURSOS HUMANOS EMPRESA
59. OBLIGACIONES LEGALES PARA LA
ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
Finalidad general: Gestión integrada de CLIENTES-PROVEEDORES (gestión
contable, fiscal y administrativa de clientes y proveedores).
1.- TIPOLOGÍA DE DATOS RECOGIDOS:
a)Identificativos: DNI/NIF, Razón Social, Nombre y apellidos, Dirección postal y
electrónica, Teléfono, fax
b)Datos de detalle empleo: puesto de trabajo,
c)Datos económico-financieros: datos bancarios, deducciones impositivas
impuestos.
d)Datos de transacciones: Bienes y servicios suministrados por el afectado, bienes
y servicios recibidos por el afectado, transacciones financieras.
2.- FINALIDADES PREVISTAS: Gestión de Clientes y Proveedores.
Gestión contable, fiscal y administrativa: Gestión económica y contable,
gestión fiscal, gestión administrativa, gestión de facturación, gestión de
clientes, gestión de proveedores, gestión de cobros pagos, históricos de
relaciones comerciales.
Finalidades varias: Fines históricos, estadísticos y científicos; otras
finalidades.
3.- PROCEDENCIA Y RECOGIDA:
Datos recabados del propio interesado, a través de encuestas, entrevistas,
FICHERO 2: FICHERO DE CLIENTES-PROVEEDORES EMPRESA
60. OBLIGACIONES LEGALES PARA LA
ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
4.- Consentimiento. Como regla general, no será necesario recabar el consentimiento
de los clientes/proveedores para realizar aquellos tratamientos que se encuentran o
puedan encuadrarse como necesarios para el mantenimiento, control, desarrollo y
cumplimiento de la relación negocial (art.6.2).
5.- PRINCIPIO DE CALIDAD DE LOS DATOS.
- Los datos no podrán destinarse a otras finalidades distintas de las señaladas. Gestión
de CLIENTES-PROVEEDORES.
- Deberán mantenerse actualizados y puestos al día.
- Deberá procederse a su cancelación cuando concluya la relación negocial, procediendo
primero a su bloqueo y conservación por los siguientes plazos legales:
- Obligaciones Tributarias (plazo de conservación de 4 años).
- Obligaciones derivadas del contrato de suministro (15 años).
- Obligaciones contables (plazo de conservación de 4 años)
FICHERO 2: FICHERO DE CLIENTES-PROVEEDORES EMPRESA
61. OBLIGACIONES LEGALES PARA LA
ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
6.- DEBER DE INFORMACIÓN.
- Nuevos Contratos: Cláusula LOPD contratos con Clientes y/o
Proveedores en cumplimiento art.5.1.
• El Cliente/Proveedor autoriza a _____________ al uso y tratamiento informático de
todos los datos de carácter personal que facilite, siendo incorporados a un fichero de
tratamiento automatizado, que se encuentra debidamente inscrito en la Agencia
Española de Protección de Datos, y cuya finalidad exclusiva es el seguimiento y
mantenimiento de la relación contractual, así como el envío de comunicaciones
informativas.
• _____________ tiene implantadas todas las medidas de seguridad exigidas por el
Real Decreto 1720/2007, de 11 de Diciembre, a fin de garantizar la confidencialidad
absoluta en el almacenamiento y tratamiento de los datos personales, así como
evitar accesos por parte de terceros no autorizados.
• Podrá acceder y ejercitar los derechos de acceso, rectificación, cancelación y
oposición regulados por la Ley Orgánica 15/1999, de 13 de Diciembre, de Protección
de Datos de Carácter Personal a través de carta dirigida a _________ a la dirección
indicada en el encabezamiento.
No deseo recibir comunicaciones promocionales/comerciales de ___________.
FICHERO 2: FICHERO DE CLIENTES-PROVEEDORES EMPRESA
62. OBLIGACIONES LEGALES PARA LA
ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
Contratos Preexistentes: Cláusula LOPD información adjunta a
comunicación informativa.
Con motivo de la reciente Adaptación a la Ley Orgánica 15/1999, 13 de Diciembre, de
Protección de Datos de Carácter Personal del Fichero de Datos de Carácter Personal
“CLIENTES-PROVEEDORES” de __________, queremos informarle que:
De conformidad con la Ley Orgánica 15/1999 de Protección de Datos, le informamos de
que sus datos personales forman parte de un fichero titularidad de _____________,
cuya finalidad es la gestión y seguimiento de la relación contractual, así como el envío
de comunicaciones informativas.
Que podrá ejercer sus derechos de acceso, rectificación, cancelación y oposición,
adjuntando fotocopia de su DNI, en la dirección siguiente: ________, Att. Responsable
Fichero “CLIENTES-PROVEEDORES”, C/___________________.
No deseo recibir comunicaciones promocionales/comerciales de _____________.
FICHERO 2: FICHERO DE CLIENTES-PROVEEDORES EMPRESA
63. OBLIGACIONES LEGALES PARA LA
ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
Comunicaciones generales. Leyenda a incorporar en hojas de pedido,
albaranes, facturas, etc…
De conformidad con la Ley Orgánica 15/1999 de Protección de Datos, le informamos de
que sus datos personales forman parte de un fichero titularidad de _____________,
cuya finalidad es la gestión y seguimiento de la relación contractual, así como el envío
de comunicaciones informativas.
Podrá ejercer sus derechos de acceso, rectificación, cancelación y oposición, adjuntando
fotocopia de su DNI, en la dirección siguiente: _______________, Att. Responsable
Fichero “CLIENTES-PROVEEDORES”, C/_______________.
FICHERO 2: FICHERO DE CLIENTES-PROVEEDORES EMPRESA
64. OBLIGACIONES LEGALES PARA LA
ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
Comunicaciones generales. Datos obtenidos a través de formularios
de recogida datos.
De conformidad con la LOPD 15/1999 le informamos de que los datos proporcionados a
través en el presente formulario serán incorporados, salvo que en el plazo de 30 días
manifieste lo contrario, a un fichero de tratamiento automatizado titularidad de
____________ inscrito en la Agencia Española de Protección de Datos, cuya finalidad es
el envío de comunicaciones informativas (postales y electrónicas) sobre sus productos y
servicios, así como la gestión de la relación contractual en su caso.
Si desea ejercer sus derechos de acceso, rectificación, cancelación y oposición al
tratamiento de sus datos, solo tiene que enviarnos una carta, adjuntando fotocopia de
su DNI, _______________, Att. Responsable del Fichero.
C/______________________.
No deseo recibir comunicaciones promocionales / comerciales de ___________.
FICHERO 2: FICHERO DE CLIENTES-PROVEEDORES EMPRESA
65. OBLIGACIONES LEGALES PARA LA
ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
Comunicaciones generales. Datos obtenidos de fuentes accesibles al
público.
De conformidad con la LOPD 15/1999 le informamos de que sus datos personales han
sido obtenidos de fuentes accesibles al público, y han sido incorporados a un fichero
titularidad de ______________, inscrito en la Agencia Española de Protección de Datos,
cuya finalidad es el envío de comunicaciones informativas sobre sus servicios, así como
la gestión de la relación contractual en su caso.
Si desea ejercer sus derechos de acceso, rectificación, cancelación y oposición al
tratamiento de sus datos, solo tiene que enviarnos una carta, adjuntando fotocopia de
su DNI, _______________, Att. Responsable del Fichero.
C/______________________.
Datos obtenidos de fuentes accesibles al público: repertorios telefónicos, ferias, medios
de comunicación, grupos profesionales.
FICHERO 2: FICHERO DE CLIENTES-PROVEEDORES EMPRESA
66. OBLIGACIONES LEGALES PARA LA
ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
CLÁUSULA INFORMACIÓN LOPD RECOGIDA Y CESIÓN DE DATOS A
OTRAS EMPRESAS
Le informamos, de conformidad con la Ley Orgánica 15/1999, de Protección de
Datos Personales que los datos facilitados van a ser incorporados, salvo que en el
plazo de 30 días manifieste lo contrario, a un fichero de tratamiento automatizado
titularidad de ____________ inscrito en la Agencia Española de Protección de Datos,
cuya finalidad es el envío de comunicaciones informativas (postales y electrónicas)
sobre sus productos y servicios, así como la gestión de la relación contractual en su
caso.
Asimismo, usted otorga su consentimiento expreso para la cesión de los datos a
_______________,con domicilio social en ______________, para las finalidades
siguientes ___________________________.
Podrá ejercer sus derechos de acceso, rectificación, cancelación y oposición a través
carta, adjuntando fotocopia de su DNI, en la siguiente dirección:
_________________, Att. Responsable del Fichero. C/________________.
No deseo recibir comunicaciones promocionales/ comerciales de ______.
Autorizo expresamente la cesión de mis datos a _____________
FICHERO 2: FICHERO DE CLIENTES-PROVEEDORES EMPRESA
70. OBLIGACIONES LEGALES PARA LA
ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
Finalidad general: Control de acceso a edificaciones.
1.- TIPOLOGÍA DE DATOS RECOGIDOS:
a)Identificativos: Imágenes.
2.- FINALIDADES PREVISTAS: Videovigilancia.
3.- PROCEDENCIA Y RECOGIDA:
Datos recabados del propio interesado, a través de soportes magnéticos.
4.- CONSENTIMIENTO. Como regla general, no será necesario recabar el
consentimiento para la grabación de imágenes con la finalidad de videovigilancia.
5.- DEBER DE INFORMACIÓN: Deberá ponerse a disposición del afectado la
información necesaria para conocer la grabación de sus imágenes.
FICHERO 3: FICHERO DE VIDEOVIGILANCIA – CÁMARAS SEGURIDAD
71. OBLIGACIONES LEGALES PARA LA
ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
De conformidad a la Ley Orgánica 15/1999 de Protección de
Datos y con la Instrucción 1/2006 le informamos sobre el
tratamiento de datos personales con fines de vigilancia a
través de sistemas de videocámaras, se le informa sus
datos personales (imágenes) se incorporarán a un fichero
denominado “VIDEOVIGILANCIA”, titularidad de _______, y
serán tratados con la única finalidad de seguridad a través
de un sistema de vigilancia de las instalaciones, siendo
conservados únicamente por el plazo de 30 días naturales,
procediéndose posteriormente al borrado y/o destrucción
del soporte de grabación con las debidas garantías de
seguridad.
Puede ejercer sus derechos de acceso, rectificación,
cancelación y oposición, adjuntando fotocopia de su DNI,
en_______, Departamento Responsable Seguridad.
C/___________.
FICHERO 3: FICHERO DE VIDEOVIGILANCIA – CÁMARAS SEGURIDAD
75. OBLIGACIONES LEGALES PARA LA
ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
ASPECTO TÉCNICO
MEDIDAS DE SEGURIDAD – NIVEL DE SEGURIDAD
MEDIDAS DE SEGURIDAD APLICABLES A TODOS LOS
NIVELES DE SEGURIDAD
ELABORACIÓN DOCUMENTO DE SEGURIDAD
MEDIDAS APLICABLES A FICHEROS
EN SOPORTE PAPEL
ACUERDO DE CONFIDENCIALIDAD
76. OBLIGACIONES LEGALES PARA LA
ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
SEGURIDAD DE LOS DATOS.
El Responsable del Fichero deberá adoptar las medidas, técnicas y
organizativas, necesarias que garanticen la seguridad de los datos de
carácter personal y eviten su alteración, pérdida, tratamiento o acceso
no autorizado, de acuerdo al estado de la tecnología y la naturaleza de
los datos almacenados.
Medidas Organizativas: aquellas medidas destinadas a establecer
procedimientos, normas, reglas y estándares de seguridad, cuyos
destinatarios son los usuarios que tratan los datos de los ficheros.
Tienden a garantizar la confidencialidad, integridad y seguridad de los
datos almacenados en programas y sistemas informáticos, que se
encuentran situados físicamente en un determinado local o centro.
Medidas Técnicas: medidas destinadas principalmente a la conservar
la integridad de la información (su no alteración, pérdida o robo) y en
menor medida a la confidencialidad de los datos personales. Los
destinatarios de estas medidas son los sistemas de información,
ficheros, locales, equipos y demás elementos materiales que tratan los
datos.
78. OBLIGACIONES LEGALES PARA LA
ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
1 AÑO DESDE LA ENTRADA
EN VIGOR
FICHEROS AUTOMATIZADOS
PREEXISTENTES
Disposición Transitoria Segunda R.D. 1720/2007: Plazos de
implantación medidas de Seguridad.
FICHEROS NUEVA CREACIÓN
FICHEROS NO AUTOMATIZADOS
PREEXISTENTES
NIVEL BÁSICO: 1 AÑO DESDE
ENTRADA EN VIGOR
NIVEL MEDIO: 18 MESES DESDE
ENTRADA EN VIGOR
NIVEL ALTO: 2 AÑOS DESDE
ENTRADA EN VIGOR
DESDE
ENTRADA EN VIGOR
19 DE ABRIL 2008
79. OBLIGACIONES LEGALES PARA LA
ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
Las medidas de seguridad se dividen en tres niveles, en función de
la sensibilidad de los datos contenidos en el Fichero.
- Cuando se tratan datos de salud, ideología política o
religiosa, el nivel de seguridad será el alto.
- Cuando se traten datos relativos a la comisión de servicios
financieros, hacienda pública, etc.., o cuando de los datos de
carácter personal que contenga el fichero pueda obtenerse
una evaluación de la personalidad del individuo, el nivel de
seguridad será el medio.
- Todos los ficheros que contengan datos de carácter
personal, deberán adoptar las medidas de seguridad
calificadas como de nivel básico.
80. OBLIGACIONES LEGALES PARA LA
ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
Aplicación de los Niveles de Seguridad RD 1720/2007.
BÁSICO
MEDIO
ALTO
APLICACIÓN DE ESTE NIVEL A TODO FICHERO DE DATOS
FICHEROS RELATIVOS A INFRACCIONES ADMINISTRATIVAS O PENALES
FICHEROS RELATIVOS A SOLVENCIA PATRIMONIAL Y CRÉDITO
FICHEROS DE LAS ADMINISTRACIONES TRIBUTARIAS
FICHEROS DE ENTIDADES FINANCIERAS
FICHEROS DE MUTUAS LABORALES, ENTIDADES GESTORAS SEG. SOCIAL,
ENFERMEDADES LABORALES, ACCIDENTES TRABAJO
FICHEROS QUE CONTENGAN UN CONJUNTO DE DATOS QUE OFREZCAN UNA
DEFINICIÓN DE LAS CARACTERÍSTICAS Y PERSONALIDAD DEL AFECTADO
QUE PERMITA EVALUAR DETERMINADOS ASPECTOS DE SU PERSONALIDAD
FICHEROS QUE REFIERAN A DATOS DE IDEOLOGÍA, AFILIACIÓN SINDICAL,
CREENCIAS, RELIGIÓN, SALUD O VIDA SEXUAL
DATOS POLICIALES RECABADOS SIN CONSENTIMIENTO DEL AFECTADO
DATOS DE VIOLENCIA DE GÉNERO
81. OBLIGACIONES LEGALES PARA LA
ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
Aplicación de los Niveles de Seguridad RD 1720/2007.
FICHEROS DE OPERADORES QUE PRESTEN SERVICIOS
DE COMUNICACIONES ELECTRÓNICAS O EXPLOTEN
REDES DE TELECOMUNICACIONES RESPECTO A DATOS
DE LOCALIZACIÓN Y TRÁFICO
SE TRATEN CON LA ÚNICA FINALIDAD DE REALIZAR
TRANSFERENCIAS DINERARIAS
NIVEL DE SEGURIDAD MEDIO
+
REGISTRO ACCESOS
NIVEL ALTO
TRATAMIENTO DE DATOS
ESPECIALMENTE PROTEGIDOS
SE TRATE DE TRATAMIENTOS NO AUTOMATIZADOS QUE
TRATEN DICHOS DATOS DE MANERA INCIDENTAL O
ACCESORIA SIN GUARDAR RELACIÓN CON LA FINALIDAD
DEL FICHERO
FICHEROS QUE CONTENGAN DATOS DE SALUD (GRADO DE
DISCAPACIDAD O DECLARACIÓN DISCAPACIDAD O INVALIDEZ)
TRATADOS CON MOTIVO DEL CUMPLIMIENTO DE DEBERES
PÚBLICOS
NIVEL DE SEGURIDAD
BÁSICO
82. ENCARGADO DEL TRATAMIENTO.
ELABORACIÓN DE UN DOCUMENTO SEGURIDAD
TRATAMIENTO DE DATOS
EN UBICACIÓN DEL ENCARGADO IDENTIFICACIÓN FICHERO, RESPONSABLE, FINALIDADES DEL
TRATAMIENTO Y FECHA COMIENZO - FIN DEL MISMO
IMPLANTACIÓN DE MEDIDAS DE SEGURIDAD APLICABLES EN
FUNCIÓN NIVEL DE SEGURIDAD Y MEDIDAS ADICIONALES
ESTABLECIDAS POR RESPONSABLE FICHERO
ESTAR REGULADO CONTRACTUALMENTE
QUEDAR CONSTANCIA EN EL DOC. SEG.
CUMPLIR MEDIDAS DE SEGURIDAD FIJADAS
TRATAMIENTO DE DATOS
EN UBICACIÓN DEL RESPONSABLE
O VÍA ACCESO REMOTO
OBLIGACIONES LEGALES PARA LA
ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
83. Prestaciones de servicio sin acceso a datos.
OBLIGACIONES ESPECÍFICAS DE SECRETO Y
CONFIDENCIALIDAD
ESTAR REGULADO CONTRACTUALMENTE
ESPECIFICACIÓN DETALLADA SERVICIO
PROHIBICIÓN EXPRESA DE ACCESO A DATOS
DEBERÁN ADOPTARSE MEDIDAS
PARA EL ACCESO A SISTEMAS
Y RECURSOS QUE NO IMPLIQUEN
TRATAMIENTO DE DATOS
Delegación de Autorizaciones.
LA DELEGACIÓN DE AUTORIZACIONES DE ACCESO DEBERÁ QUEDAR EXPRESAMENTE AUTORIZADA,
RECOGIDA Y REGISTRADA EN EL DOCUMENTO DE SEGURIDAD
OBLIGACIONES LEGALES PARA LA
ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
84. Acceso a datos a través de redes de comunicaciones.
PROCEDIMIENTOS DE AUTORIZACIÓN A USUARIOS
FIJACIÓN DE MEDIDAS DE SEGURIDAD PARA EL
ACCESO A TRAVÉS DE REDES
REGISTRO DE AUTORIZACIONES EN DOC. SEG.
DEBERÁN ADOPTARSE MEDIDAS
PARA EL ACCESO
Régimen de trabajo fuera de los locales del Responsable del Fichero.
PROCEDIMIENTOS DE AUTORIZACIÓN A USUARIOS
FIJACIÓN DE MEDIDAS DE SEGURIDAD PARA
EQUIPOS PORTÁTILES
REGISTRO DE AUTORIZACIONES EN DOC. SEG.
DISPOSITIVOS PORTÁTILES
TELETRABAJO
OBLIGACIONES LEGALES PARA LA
ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
85. Ficheros temporales o copias de trabajo de documentos.
PROCEDIMIENTOS DE AUTORIZACIÓN A USUARIOS
CREACIÓN FICHEROS TEMPORALES: EXTRACCIONES
PUNTUALES DATOS PARA FINALIDADES TEMPORALES
MIENTRAS ESTÉN ACTIVOS, SE LES APLICAN LAS
MEDIDAS DE SEGURIDAD DE ACUERDO AL NIVEL
REGISTRO DE AUTORIZACIONES EN DOC. SEG.
DEBERÁN ADOPTARSE MEDIDAS
SIGUIENTES
PROCEDIMIENTOS DE BORRADO Y DESTRUCCIÓN
SEGURA UNA VEZ FINALIZADA SU UTILIZACIÓN
FICHEROS DE TRABAJO CREADOS POR USUARIOS AUTORIZADOS O PROCESOS QUE SON
NECESARIOS PARA UN TRATAMIENTO OCASIONAL O COMO PASO INTERMEDIO PARA LA
REALIZACIÓN DE UN TRATAMIENTO.
OBLIGACIONES LEGALES PARA LA
ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
86. Documento de Seguridad.
RECOGE MEDIDAS DE SEGURIDAD TÉCNICAS Y ORGANIZATIVAS
OBLIGADO CUMPLIMIENTO PARA PERSONAL QUE ACCEDE A SISTEMA Y DATOS
ÁMBITO DE APLICACIÓN Y DESCRIPCIÓN DETALLADA RECURSOS
MEDIDAS, NORMAS, PROCEDIMIENTOS QUE GARANTICEN NIVEL SEGURIDAD
FUNCIONES Y OBLIGACIONES PERSONAL
CONTENIDO
MÍNIMO
ESTRUCTURA FICHERO Y DESCRIPCIÓN SISTEMA TRATAMIENTO
PROCEDIMIENTOS DE GESTIÓN Y NOTIFICACIÓN INCIDENCIAS
PROCEDIMIENTOS DE COPIAS DE SEGURIDAD Y RECUPERACIÓN
MEDIDAS DE SEGURIDAD TRANSPORTE, ENTRADA Y SALIDA DATOS
PROCEDIMIENTOS DE DESTRUCCIÓN/BORRADO DE SOPORTES
IDENTIFICACIÓN TRATAMIENTOS POR CUENTA DE TERCEROS
IDENTIFICACIÓN RESPONSABLE DE SEGURIDAD
CONTROLES PERIÓDICOS DE VERIFICACIÓN MEDIDAS ESTABLECIDAS
NIVEL MEDIO
Y ALTO
OBLIGACIONES LEGALES PARA LA
ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
87. Funciones y Obligaciones del personal.
DEBEN RECOGERSE EN EL DOC. SEG. LAS FUNCIONES Y OBLIGACIONES DE USUARIOS Y/O PERFILES
DE USUARIOS QUE ACCEDEN AL SISTEMA Y A LOS FICHEROS DE DATOS
DEBE PROPORCIONARSE A LOS USUARIOS LA INFORMACIÓN QUE LES SEA DE APLICACIÓN
TIPO DE INCIDENCIA
FECHA Y HORA
PERSONA QUE NOTIFICA
CONTENIDO PERSONA A QUIEN SE COMUNICA
EFECTOS CAUSADOS
MEDIDAS CORRECTORAS
Registro de Incidencias.
PROCEDIMIENTO DE NOTIFICACIÓN, GESTIÓN Y REGISTRO DE INCIDENCIAS QUE AFECTEN AL
SISTEMA INFORMATICO, RECURSOS Y A DATOS.
TRATAMIENTO AUTOMATIZADO DE DATOS: NIVEL BÁSICO
OBLIGACIONES LEGALES PARA LA
ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
88. Control de Acceso.
ACCESO A RECURSOS QUE PRECISEN SEGÚN FUNCIONES
SE ESTABLECERÁN MECANISMOS DE CONTROL DE ACCESOS
CONCEDER, ALTERAR O ANULAR EL ACCESO DE LOS USUARIOS
POR PERSONAL EXPRESAMENTE AUTORIZADO
Gestión de soportes y documentos.
IDENTIFICACIÓN E INVENTARIADO DE SOPORTES
SOLO ACCESIBLES PARA EL PERSONAL AUTORIZADO
SALIDA DE SOPORTES DEBE ESTAR PREVIAMENTE AURORIZADA
ADOPCIÓN DE MEDIDAS TRASLADO DE DOCUMENTACIÓN
DESTRUCCIÓN/BORRADO DE SOPORTES DEBE GARANTIZAR
LA IMPOSIBILIDAD DE RECUPERACIÓN INFORMACIÓN
DOCUMENTACIÓN SENSIBLE: ARCHIVO E IDENTIFICACIÓN
ESPECÍFICA
GESTIÓN
SOPORTES
LISTA ACTUALIZADA DE USUARIOS A SISTEMA Y FICHEROS
CONTROL
ACCESO
SISTEMA
OBLIGACIONES LEGALES PARA LA
ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
89. Identificación y autenticación.
IDENTIFICACIÓN INEQUÍVOCA Y PERSONALIZADA DE USUARIOS CON ACCESO A SISTEMA,
RECURSOS Y DATOS
CONTRASEÑAS PERSONALIZADAS DE ACCESO
DOCUMENTO SEGURIDAD DEBE RECOGER EL PROCEDIMIENTO DE
ASIGNACIÓN, DISTRIBUCIÓN Y ALMACENAMIENTO
CAMBIO DE CONTRASEÑAS EN PERIODOS INFERIORES A 1 AÑO
OBLIGACIONES LEGALES PARA LA
ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
90. Copias de respaldo y recuperación.
PROCEDIMIENTOS SEMANALES DE COPIA DE SEGURIDAD
DEBE GARANTIZARSE LA RESTUARACIÓN AL MOMENTO
ANTERIOR A LA PÉRDIDA DE DATOS
SI AFECTA A FICHEROS PARCIALMENTE AUTOMATIZADOS,
PODRÁ RECUPERARSE INFORMACIÓN DE LOS DOCUMENTOS
EN SOPORTE PAPEL MEDIANTE SU GRABACIÓN
COMPROBACIÓN Y VERIFICACIÓN DE PROCEDIMIENTOS DE
BACKUP Y RESTAURACIÓN CADA 6 MESES
BACKUP DE CONFIGURACIÓN Y FICHEROS PARA PRUEBAS
CON DATOS REALES ANTERIORES A IMPLANTACIÓN O
MODIFICACIÓN SISTEMA INFORMÁTICO Y/O SOFTWARE
DE TRATAMIENTO DE DATOS
DEBE RECOGERSE PROCEDIMIENTOS Y EJECUCIÓN DE
BACKUPS, PRUEBAS Y RECUPERACIONES DATOS EN
DOCUMENTO DE SEGURIDAD
COPIA DE SEGURIDAD
OBLIGACIONES LEGALES PARA LA
ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
91. Responsable de Seguridad.
PERSONA DESIGNADA POR EL RESPONSABLE DEL FICHERO ENCARGADA DE CONTROLAR Y
COORDINAR LAS MEDIDAS DE SEGURIDAD.
VELAR POR EL CIUMPLIMIENTO DE LAS MEDIDAS DE SEGURIDAD
DETERMINAR Y DESCRIBIR RECURSOS INFORMATICOS A LOS QUE SE APLICAN
ESTABLECER Y COMPROBAR PROCEDIMIENTOS DE INCIDENCIAS
ESTABLECER Y COMPROBAR PROCEDIMIENTOS DE BACKUP Y RECUPERACIÓN
COMPROBAR PROCEDIMIENTOS IDENTIFICACIÓN Y AUTENTICACION
CONCEDER, ALTERAR, ANULAR EL ACCESO AUTORIZADO A DATOS DE ACUERDO
A INSTRUCCIONES RESPONSABLE DEL FICHERO
AUDITAR MEDIDAS DE SEGURIDAD
ELABORAR Y MANTENER ACTUALIZADA LISTA DE USUARIOS Y RECURSOS
A LOS QUE TIENEN ACCESO
FUNCIONES
ESTABLECER PROCEDIMIENTOS CAMBIO CONTRASEÑAS, BLOQUEO DE ACCESO
OBLIGACIONES LEGALES PARA LA
ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
TRATAMIENTO AUTOMATIZADO DE DATOS: NIVEL MEDIO
92. Auditoria.
REALIZACION AUDITORIA, CADA 2 AÑOS O CUANDO SE PRODUZCAN CAMBIOS RELEVANTES,
DE LOS SISTEMAS DE INFORMACIÓN, INSTALACIONES DE TRATAMIENTO Y ALMACENAMIENTO
DE DATOS.
ADECUACIÓN DE MEDIDAS DE SEGURIDAD Y CONTROLES A LA LEGISLACIÓN
VIGENTE
IDENTIFICACIÓN DE DEFICIENCIAS
PROPOSICIÓN MEDIDAS CORRECTORAS Y COMPLEMENTARIAS
INCLUIRÁ LOS DATOS, HECHOS Y OBSERVACIONES EN LOS QUE SE BASEN LOS
DICTÁMENES ALCANZADOS Y LAS RECOMENDACIONES PROPUESTAS
SERÁN ANALIZADOS POR EL RESPONSABLE DE SEGURIDAD QUIEN COMUNICARÁ LOS
MISMOS AL RESPONSABLE DEL FICHERO
DICTAMEN
AUDITORIA
OBLIGACIONES LEGALES PARA LA
ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
93. Gestión de soportes y documentos.
ADEMÁS DE LAS MEDIDAS DE NIVEL BÁSICO, DEBERÁ ESTABLECERSE UN PROCEDIMIENTO DE
REGISTRO DE ENTRADA Y SALIDA DE SOPORTES Y DOCUMENTOS.
TIPO DE SOPORTE / DOCUMENTO
FECHA Y HORA
DESTINATARIOCONTENIDO
REGISTRO
SALIDA NUMERO SOPORTE Y TIPO DE INFORMACIÓN
FORMA ENVIO
RESPONSABLE DE ENTREGA
TIPO DE SOPORTE / DOCUMENTO
FECHA Y HORA
EMISORCONTENIDO
REGISTRO
ENTRADA NUMERO DE SOPORTES Y TIPO DE INFORMACIÓN
FORMA DE ENVIO
RESPONSABLE RECEPCIÓN
OBLIGACIONES LEGALES PARA LA
ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
94. Identificación y autenticación.
Control de Acceso Físico.
ACCESO A UBICACIONES QUE DEN SOPORTE A SISTEMA INFORMATICO POR PERSONAL
EXPRESAMENTE AUTORIZADO.
IDENTIFICACIÓN INEQUÍVOCA Y PERSONALIZADA DE USUARIOS
CONTRASEÑAS PERSONALIZADAS DE ACCESO
MECANISMOS DE BLOQUEO DE ACCESOS NO AUTORIZADOS
CAMBIO DE CONTRASEÑAS EN PERIODOS INFERIORES A 1 AÑO
OBLIGACIONES LEGALES PARA LA
ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
95. TIPO DE INCIDENCIA
FECHA Y HORA
PERSONA QUE NOTIFICA
CONTENIDO PERSONA A QUIEN SE COMUNICA
EFECTOS CAUSADOS
MEDIDAS CORRECTORAS
Registro de Incidencias.
PROCEDIMIENTO DE NOTIFICACIÓN, GESTIÓN Y REGISTRO DE INCIDENCIAS QUE AFECTEN AL
SISTEMA INFORMATICO, RECURSOS Y A DATOS.
REGISTRO DE PROCEDIMIENTOS DE RECUPERACIÓN DE DATOS, CON INDICACIÓN DE PERSONA
QUE REALIZA, DATOS RESTAURADOS Y DATOS GRABADOS MANUALMENTE.
AUTORIZACIÓN EXPRESA RESPONSABLE FICHERO EJECUCIÓN DE PROCEDIMIENTOS DE
RECUPERACIÓN DE DATOS
OBLIGACIONES LEGALES PARA LA
ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
96. Gestión y distribución de soportes.
IDENTIFICACIÓN DE SOPORTES MEDIANTE ETIQUETADO QUE IMPIDA A TERCEROS CONOCER
SU CONTENIDO
DISTRIBUCIÓN DE SOPORTES MEDIANTE CIFRADO DE CONTENIDO
NO UTILIZACIÓN EN DISPOSITIVOS PORTÁTILES QUE NO PUEDAN CIFRARSE. EN SU DEFECTO,
SE ADOPTAR CUANTAS MEDIDAS MINIMICEN RIESGOS DE ACCESO NO AUTORIZADO A LOS
MISMOS
Copia de respaldo y recuperación.
DEBERÁ CONSERVARSE UNA COPIA DE SEGURIDAD Y DE LOS PROCEDIMIENTOS DE
RECUPERACIÓN EN UN LUGAR DISTINTO A LA UBICACIÓN DEL SISTEMA INFORMÁTICO
TRATAMIENTO AUTOMATIZADO DE DATOS: NIVEL ALTO
OBLIGACIONES LEGALES PARA LA
ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
97. Registros de Accesos.
SE CONSERVARÁ LA INFORMACIÓN DE LOGS DE ACCESO DURANTE 2 AÑOS
NO SERÁ NECESARIO EL REGISTRO DE ACCESOS SI EL RESPONSABLE DEL TRATAMIENTO ES
UNA PERSONA FÍSICA Y GARANTICE QUE ÚNICAMENTE ÉL TIENE ACCESO AL SISTEMA Y TRATA
LOS DATOS
LOS MECANISMOS DE REGISTRO DE ACCESO ESTARÁN BAJO CONTROL DIRECTO DEL
RESPONSABLE DE SEGURIDAD, SIN QUE PUEDAN SER MANIPULADOS O DESACTIVADOS.
IDENTIFICACIÓN USUARIO
FECHA Y HORA ACCESO
FICHERO ACCEDIDODE CADA INTENTO DE
ACCESO SE
CONSERVARÁ TIPO DE ACCESO
ACCESO AUTORIZADO O DENEGADO
REGISTRO ACCEDIDO
RESPONSABLE DE SEGURIDAD VERIFICARÁ MENSUALMENTE LA INFORMACIÓN DE CONTROL
REGISTRADA, ELABORANDO INFORME SOBRE LOS RESULTADOS OBTENIDOS
OBLIGACIONES LEGALES PARA LA
ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
98. Obligaciones Comunes.
ALCANCE
NIVEL DE SEGURIDAD
ENCARGADO DEL TRATAMIENTO
OBLIGACIONES
COMUNES
PRESTACIONES SIN ACCESO A DATOS
DELEGACIÓN AUTORIZACIONES
COPIAS TRABAJO DOCUMENTOS
TRATAMIENTO NO AUTOMATIZADO DE DATOS: NIVEL BÁSICO
DOCUMENTO DE SEGURIDAD
FUNCIONES Y OBLIGACIONES PERSONAL
REGISTRO DE INCIDENCIAS
CONTROL DE ACCESO
GESTIÓN DE SOPORTES
RÉGIMEN DE TRABAJO FUERA UBICACIÓN
OBLIGACIONES LEGALES PARA LA
ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
99. Criterios de Archivo.
EL ARCHIVO SE REALIZARÁ CONFORME A LOS CRITERIOS PREVISTOS EN SU LEGISLACIÓN
ESPECÍFICA; EN SU DEFECTO, SERÁN ESTABLECIDOS POR EL RESPONSABLE DEL FICHERO.
CORRECTA CONSERVACIÓN
LOCALIZACIÓN
CONSULTA
ARCHIVO
GARANTIZARÁ
EJERCICIO DERECHOS
Dispositivos de almacenamiento.
DEBERÁN DISPONER DE DISPOSITIVOS DE APERTURA, O ESTAR RADICADOS EN ZONAS DE
ACCESO RESTRINGIDO A PERSONAS AUTORIZADAS
Custodia de soportes.
MIENTRAS NO SE ENCUENTRE ARCHIVADA, LA DOCUMENTACIÓN DEBERÁ SER CUSTODIADA POR
LA PERSONA AUTORIZADA, QUIEN DEBERÁ IMPEDIR EL ACCESO A LA MISMA POR PERSONAS
NO AUTORIZADAS.
OBLIGACIONES LEGALES PARA LA
ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
100. Responsable de Seguridad.
Auditoria.
SE SOMETERÁN A UNA AUTIDORÍA LAS MEDIDAS ADOPTADAS CADA 2 AÑOS.
SE DESIGNARÁ UN RESPONSABLE DE SEGURIDAD, ENCARGADO DE COORDINAR Y CONTROLAR
LAS MEDIDAS DE SEGURIDAD APLICABLES A LOS FICHEROS NO AUTOMATIZADOS
TRATAMIENTO NO AUTOMATIZADO DE DATOS: NIVEL MEDIO
OBLIGACIONES LEGALES PARA LA
ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD
101. Almacenamiento de la información.
ARMARIOS Y ARCHIVADORES EN LOS QUE SE ALMACENEN DOCUMENTOS DEL FICHERO DEBEN
SITUARSE EN ZONAS DE ACCESO RESTRINGIDO, CON PUERTAS DOTADAS DE APERTURA
MEDIANTE LLAVE; EN SU DEFECTO, DEBERÁN ADOPTARSE OTRAS MEDIDAS, JUSTIFICANDO
LAS MISMAS EN EL DOCUMENTO DE SEGURIDAD.
TRATAMIENTO NO AUTOMATIZADO DE DATOS: NIVEL ALTO
Copia o reproducción.
COPIAS DE DOCUMENTOS SÓLO PODRÁN SER REALIZADAS POR PERSONAL AUTORIZADO.
DESTRUCCIÓN SEGURA DE COPIAS O REPRODUCCIONES DESECHADAS (DESTRUCTORAS PAPEL).
Acceso a la documentación.
ACCESO POR PERSONAL AUTORIZADO, CON IDENTIFICACIÓN DEL MISMO.
AUTORIZACIONES DE ACCESO A DOCUMENTACIÓN POR PERSONAL NO AUTORIZADO.
Traslado de Documentación.
DEBERÁN ADOPTARSE MEDIDAS DIRIGIDAS A IMPEDIR EL ACCESO O MANIPULACIÓN.
OBLIGACIONES LEGALES PARA LA
ADAPTACIÓN Y CUMPLIMIENTO DE LA LOPD