Buscar en este blog

martes, 15 de julio de 2008

¿Como cubre la LOPD? (Parte I)

La Ley Orgánica de Protección de Datos, y su correspondiente Reglamento de Desarrollo, aprobado por Real Decreto 1720/2007, marca un gran número de medidas a adoptar, por parte de las organizaciones que tienen datos de carácter personal, que son diferentes y acumulativas según el nivel de seguridad que marcan los datos.

Pero para empezar, aclarar que los datos no son de las organizaciones que los tienen, son de las propias personas físicas, que disponen del derecho de acceso, rectificación, cancelación, bloqueo o denegación, que pueden ejercer ante las citadas organizaciones, que han de realizar los derechos ejercidos y comunicarlo al titular de los datos, generalmente en un plazo de diez días máximo. Para velar por el cumplimiento del ejercicio de los derechos esta la Agencia Española de Protección de Datos, a la que se puede pedir amparo.

Otra aclaración importante, es que no se distingue entre medios automatizados o no automatizados, es decir en formato digital-electrónico o documental-papel. Tampoco se diferencia entre ficheros de organizaciones públicas o privadas, todas han de cumplir determinados requisitos, aunque con excepciones en algunos casos para los públicos.

La primera obligación es nombrar un Responsable de Fichero, que será el responsable de que la organización cumpla con todo lo que marca la ley, además de ser el interlocutor con la Agencia Española de Protección de Datos. En algunos casos también un Responsable de Seguridad, que ayude al primero.

La segunda obligación es la de inscripción de los ficheros en la Agencia Española de Protección de Datos, que ha de hacerse antes de incluir datos personales en los mismos. La citada agencia nos notificara un número de registro para cada fichero.

Tercera y quizás la mas compleja, la redacción del Documento de Seguridad, en el que se recogen todas las medidas de seguridad que se han de aplicar en la organización, todos los ficheros inscritos ante la agencia, los responsables de tratamiento y sus obligaciones, si existen responsables de seguridad y sus obligaciones. Como se gestionan los derechos de acceso, rectificación, cancelación, bloqueo o denegación, así como se informa de los mismos. Quien puede acceder a los datos, como, cuando y porque. Como se gestionan las copias de seguridad. Como se gestionan los soportes. Como se gestionan las incidencias. Etc. Todo ello adaptado a los diferentes entornos que existen en las organizaciones, según usen los datos, quien los uses y para que, así como si son el formato documental-papel, electrónico o mixto (el más habitual).

Cuarta, dependiendo del nivel de seguridad de los datos, se tomaran diferentes medias, de modo acumulativos, es decir, todos los ficheros las marcadas para el nivel básico, las de nivel medio más las de nivel básico para los ficheros marcados como nivel medio, y así sucesivamente. Todas estas medidas se desarrollan en el Documento de Seguridad, aquí solo las enumeraremos, siendo diferentes para cada nivel de seguridad:

- BASICO: Funciones y obligaciones del personal. Registro de incidencias. Control de accesos. Gestión de soportes y documentos. Identificación y autenticación. Copias de respaldo y recuperación.
- MEDIO: Responsable de seguridad. Auditoria. Gestión de soportes y documentos. Identificación y autenticación. Control de acceso físico. Registro de incidencias.
- ALTO: Gestión y distribución de soportes. Copias de respaldo y recuperación. Registro de accesos. Telecomunicaciones.

Quinta, para los ficheros no automatizados, además y entre otras medidas, se les aplicara las siguientes medidas, también acumulativas:

- BASICO: Criterios de archivo, dispositivos de almacenamiento y custodia de soportes.
- MEDIO: Responsable de seguridad y Auditoria.
- ALTO: Almacenamiento de la información, copia o reproducción, acceso a la documentación y traslado de documentación.

Sexta, la adaptación documental, que incluye las páginas Web, los correos electrónicos, los formularios o los contratos, con la inclusión de las diferentes “coletillas informativas”, la inclusión de un “Aviso Legal” en la pagina Web, así como la correcta planificación de la pagina. También a de incluirse las cláusulas correspondientes en los contratos de nuestros tratadores de datos o en los que nosotros tratemos dados de otros.

Además de todo esto, siempre esta la Agencia Española de Protección de Datos, para velar y hacer cumplir con lo que marca la ley, además de ayudarnos a ello con la publicación de diferentes guías, resoluciones, consultas, etc.

miércoles, 2 de julio de 2008

¿Qué cubre la LOPD?

La Ley Orgánica de Protección de Datos, y su correspondiente Reglamento de Desarrollo, aprobado por Real Decreto 1720/2007, es un mecanismo jurídico complejo, con el que la administración y en concreto la Agencia Española de Protección de Datos, como órgano encargado de la vigilancia y cumplimiento de la citada ley, tiene por objetivo “garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades publicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal”. Comprende por tanto el tratamiento automatizado y el no automatizado de los datos de carácter personal.

Pero para aclarar lo que nos indica la ley, nada mejor que el sentido común. Podemos interpretar, que nuestros datos personales, tanto DNI, nombre y apellidos, teléfono, correo electrónico, como los que están más especialmente protegidos, como nuestras finanzas, religión, salud, imagen, etc. están cubiertos por la citada ley.

Esto significa que tenemos el derecho a saber quien tiene nuestros datos, como y para que los utiliza, además de acceder, rectificar, cancelar, bloquear o denegar el uso que hace de ellos cualquier organización, no solo las empresas, autónomos, profesionales liberales, etc., sino también la asociación de vecinos, el club deportivo, etc. Esto incluye a los organismos públicos, con ciertas limitaciones en su caso. No siendo necesario que esos datos estén tratados automatizadamente, es decir en ficheros electrónicos o mas coloquialmente en ordenador.

Como se puede apreciar de estas líneas, es una ley que cubre a todas las personas físicas, no diferenciando por el tamaño de la organización que tiene los datos, aunque si marca diferentes medidas de protección según el tipo de datos.

Por ultimo, desconfíe de las organizaciones que no le informan de la recogida de sus datos, más aun si es por Internet. Y si tiene dudas de si esa organización cumple la ley, puede empezar por buscar en la página de la Agencia Española de Protección de Datos si tienen ficheros inscritos o incluso presentar una denuncia si cree que sus datos están siendo usados de manera fraudulenta. El despacho www.abogadosedo.es puede ayudarles en cualquiera de estos casos.