Conceptos Aplicacion LOPD
-
Upload
ascendia-reingenieria-consultoria -
Category
Business
-
view
1.857 -
download
1
description
Transcript of Conceptos Aplicacion LOPD
Protección de Datos Puntos Fundamentales
Actualmente la Protección de Datos de Carácter
Personal es una realidad que no pueden dejar de
observar tanto las organizaciones privadas como
las públicas. Fruto de esta actualidad es la
publicación el 19 de Enero de 2008 en el BOE
del Real Decreto 1720/2007, de 21 de
diciembre, por el que se aprueba el Reglamento
de Desarrollo de la Ley Orgánica 15/1999, de 13
de diciembre, de Protección de Datos de Carácter
Personal, en vigor desde el 19 de abril de
2008, que viene a determinar y normalizar
las medidas de seguridad y las experiencias
acumuladas por parte de la Agencia Española
de Protección de Datos desde la entrada en
vigor de la Ley Orgánica de Protección de
Datos (LOPD) en el año 1999.
Toda organización ha de adecuarse a esta
normativa cumpliendo las exigencias
legalmente establecidas.
Conceptos de aplicación de la Ley Orgánica de Protección de Datos
(LOPD)
2 de 14
Conceptos de aplicación de la Ley Orgánica de Protección de Datos (LOPD)
La Ley Orgánica de Protección de Datos de
Carácter Personal, es de obligado
cumplimiento y afecta a cualquier
organización que trate Datos de Carácter
Personal (DCP). Esta ley deriva de un derecho
constitucional: el derecho a la intimidad
personal y familiar de todos los ciudadanos.
Además, está vinculada a la siguiente
legislación:
>>>> Ley Orgánica 15/1999, de 13 de
Diciembre, de Protección de Datos de
Carácter Personal (LOPD).
>>>> Real Decreto 1720/2007, de 21 de
diciembre, por el que se aprueba el
Reglamento de Desarrollo de la Ley
Orgánica 15/1999, de 13 de
diciembre, de Protección de Datos de
Carácter Personal, en vigor desde el
19 de Abril de 2008 (RLOPD).
>>>> Directiva 95/46/CE del Parlamento
Europeo y del Consejo, de 24 de
Octubre de 1995, relativa a la
protección de las personas físicas en
lo que respecta al tratamiento de
datos personales y a la libre
circulación de datos.
>>>> Instrucciones de la Agencia de
Protección de Datos.
A QUÉ AFECTA LA LEY
La LOPD es aplicable a los Datos de Carácter
Personal (DCP) registrados en soporte físico,
que los haga susceptibles de tratamiento, y a
toda modalidad de uso posterior de estos
datos por los sectores público y privado.
Están excluidos de protección, los ficheros
mantenidos por personas físicas en el
ejercicio de actividades exclusivamente
personales o domésticas (e.j.: una agenda
personal no es un fichero sometido a la
aplicación de esta Ley). Así como los ficheros
sometidos a la normativa sobre protección de
materias clasificadas, los ficheros
establecidos para la investigación de
terrorismo y de formas graves de delincuencia
organizada se regirán además por la
legislación específica en cada caso.
ALCANCE DE LA LEGISLACIÓN
Se regirá por la LOPD todo tratamiento de
datos de carácter personal cuando:
>>>> Sea efectuado en territorio español en
el marco de las actividades
desarrolladas por el responsable del
fichero.
>>>> Si no está establecido en territorio
español, le será de aplicación la
LEGISLACIÓN APLICABLE
3 de 14
Conceptos de aplicación de la Ley Orgánica de Protección de Datos (LOPD)
legislación española en aplicación de
normas de Derecho Internacional
Público.
>>>> Cuando el responsable de fichero no
esté establecido en el territorio de la
Unión Europea y utilice en el
tratamiento de los datos medios
situados en territorio español, salvo
que tales medios se utilicen
únicamente con fines de tránsito.
Además de ser un requisito legal de obligado
cumplimiento para toda organización pública
o privada, independientemente de su tamaño
y actividad, aporta una serie de valores
añadidos:
>>>> Mejora de la imagen y proyección
comercial dirigida a clientes,
proveedores, personal interno,
administraciones públicas y terceros.
>>>> Mejora la seguridad de los sistemas
de información propios de la
compañía
>>>> Sensibilización al personal interno
respecto a la fuga de información y al
tratamiento de la misma
>>>> Establece una metodología de
trabajo que una vez integrada,
mejora la gestión del sistema de
información en su conjunto.
PRINCIPIOS DE PROTECCION DE DATOS
Los datos de carácter personal sólo se podrán
recoger para su tratamiento cuando sean
adecuados, pertinentes y no excesivos, en
relación con el ámbito y las finalidades
determinadas, explicitas y legitimas para las
que se hayan obtenido. Estos condicionantes
han de ponerse en relación con el caso en
concreto.
Los datos de carácter personal objeto de
tratamiento no podrán usarse para finalidades
incompatibles con aquéllas para la que los
datos se hubieran recogido. No se considerará
incompatible el tratamiento posterior de
estos con fines históricos, estadísticos o
científicos.
Los datos de carácter personal incorporados a
un fichero han de responder a la situación
actual, de manera que recojan todas las
modificaciones surgidas, y una vez
incorporadas responderán a la realidad y han
de ser exactos, de manera que si resultan ser
inexactos o incompletos, en todo o en parte,
han de ser cancelados o sustituidos de oficio
por el responsable del fichero.
Cuando se ha cumplido la finalidad para la
que se recabaron los datos han de ser
cancelados o destruidos, en caso de no ser
posible han de ser bloqueados.
No serán conservados en forma que permita la
identificación del interesado durante un
periodo superior al necesario para los fines en
PRINCIPIOS BÁSICOS
VENTAJAS DE LA ADECUACIÓN A LA LEY ORGÁNICA DE PROTECCIÓN DE DATOS
4 de 14
Conceptos de aplicación de la Ley Orgánica de Protección de Datos (LOPD)
base a los cuales hubieran sido recabados o
registrados.
Se prohíbe la recogida de datos por medios
fraudulentos, desleales o ilícitos.
Los interesados a los que se soliciten datos de
carácter personal deberán ser previamente
informados de modo expreso, preciso e
inequívoco:
>>>> De que sus datos van a ser incluidos
en un fichero, de la finalidad de la
recogida y de los destinatarios de la
información.
>>>> De la obligatoriedad o no de dar esos
datos.
>>>> De las consecuencias de la obtención
de los datos o de la negativa a
suministrarlos.
>>>> De la posibilidad de ejercer los
derechos de acceso, rectificación,
cancelación y oposición.
>>>> De la identidad y dirección del
responsable del tratamiento o, en su
caso, de su representante para que
los afectados puedan ejercer sus
derechos.
Todas estas advertencias deberán ser
recogidas en aquellos cuestionarios e
impresos utilizados para la recogida de los
datos.
El tratamiento de los datos de carácter
personal requerirá el consentimiento
inequívoco, es decir, expreso o tácito, del
afectado, salvo que la ley disponga otra cosa.
Para los datos especialmente protegidos
consentimiento expreso y por escrito dada la
importancia de los mismos.
No será preciso el consentimiento, cuando los
datos de carácter personal sean recogidos de
fuentes accesibles al público, por las
Administraciones Públicas, en las relaciones
contractuales de una relación comercial,
laboral o administrativa, y en los puntos
desarrollados en el art, 7.6 de la L.O. 15/99.
LA SEGURIDAD DE LOS DATOS
El Responsable del Fichero y en su caso el
Encargado del Tratamiento, deberán adoptar
las medidas de índole jurídica, técnica y
organizativa necesarias que garanticen la
seguridad de los datos de carácter personal y
eviten su alteración, pérdida, tratamiento o
acceso no autorizado.
>>>> Medidas Jurídicas. Disponer de
cláusulas de confidencialidad
firmadas con los empleados, contratos
de prestación de servicio con
empresas de servicios como
prevención de riesgos laborales,
asesoría legal, jurídica, laboral o
REQUISITOS LEGALES: ¿A QUÉ NOS OBLIGA LA LOPD?
5 de 14
Conceptos de aplicación de la Ley Orgánica de Protección de Datos (LOPD)
fiscal; cláusulas en correos
electrónicos y avisos legales en
páginas web, informar por escrito a
cualquier persona de la recogida de
datos en procesos de formación,
análisis de la satisfacción del cliente
u otros, establecer la señalética
adecuada en procesos de grabación de
imágenes (indicada y regulada por la
LOPD), etc.
>>>> Medidas Técnicas. Establecer
restricciones de acceso a DCP por
parte de los empleados, exigir
identificación y mantener registro de
accesos a los DCP, realizar copias de
seguridad, protección de servidores,
contratación de programas de
antivirus, firewalls u otros, enviar
nóminas cifradas, contraseñas con
caducidad, bloqueo de equipo ante la
introducción de reiterada de
contraseña errónea, etc.
>>>> Medidas Organizativas. Definir y
asignar responsabilidades en torno al
equipo en lo relativo al tratamiento
de DCP, establecer procedimientos de
trabajo interno ajustados a los
requerimientos legales, formación al
personal manteniendo registro de la
misma, registro de entradas y salidas
de DCP. Todas estas medidas deben
estar documentadas por la
organización.
DERECHOS ARCO
Aplicables a cualquier persona, con o sin
relación con la organización
Derecho de Acceso. Obliga al Responsable de
Fichero a informar por escrito y disponer de
un protocolo para dar la información
solicitada en un plazo no superior a 1 mes.
Derecho de Rectificación y Cancelación.
Obliga al Responsable de Fichero a informar
por escrito al interesado de que se han
cancelado/rectificado sus datos en un plazo
de 10 días.
Derecho de Oposición. El interesado puede
oponerse al tratamiento de sus datos.
Los requerimientos mínimos en lo que se
refiere a las medidas de seguridad vienen
desarrollados en el Real Decreto 1720/2007,
de 21 de diciembre, por el que se aprueba el
Reglamento de Desarrollo de la LOPD.
Tanto el Responsable del Fichero, como el
Encargado de Tratamiento, así como
cualquier persona que intervenga en cualquier
fase del proceso, están obligados al secreto
profesional respecto de los mismos y al deber
de guardarlos, obligaciones que subsistirán
aun después de finalizar sus relaciones con el
titular del fichero o, en su caso, con el
responsable del mismo.
6 de 14
Conceptos de aplicación de la Ley Orgánica de Protección de Datos (LOPD)
NIVELES DE SEGURIDAD APLICABLES
Se establecen tres diferentes niveles de
seguridad, atendiendo a la naturaleza de la
información tratada, en relación con la mayor
o menor necesidad de garantizar la
confidencialidad y la integridad de la
información, clasificándolos según los tres
siguientes tipos:
Todos los ficheros deberán adoptar las
medidas de seguridad calificadas de nivel
básico.
Deberán implantarse, además de las medidas
de seguridad de nivel básico, las medidas de
nivel medio, en los ficheros que contengan
datos:
>>>> relativos a la comisión de infracciones
administrativas o penales,
>>>> cuyo funcionamiento se rija por el
artículo 29 de la Ley Orgánica
15/1999, de 13 de diciembre
(prestación de servicios de solvencia
patrimonial y crédito),
>>>> de los que sean responsables
Administraciones tributarias y se
relacionen con el ejercicio de sus
potestades tributarias,
>>>> de los que sean responsables las
entidades financieras para finalidades
relacionadas con la prestación de
servicios financieros,
>>>> de los que sean responsables las
Entidades Gestoras y Servicios
Comunes de la Seguridad Social y se
relacionen con el ejercicio de sus
competencias. De igual modo,
aquellos de los que sean responsables
las mutuas de accidentes de trabajo y
enfermedades profesionales de la
Seguridad Social,
>>>> que contengan un conjunto de datos
de carácter personal que ofrezcan una
definición de las características o de
la personalidad de los ciudadanos y
que permitan evaluar determinados
aspectos de la personalidad o del
comportamiento de los mismos.
Además de las medidas de nivel básico y
medio, las medidas de nivel alto se aplicarán
en los siguientes ficheros o tratamientos de
datos de carácter personal:
>>>> los que se refieran a datos de
ideología, afiliación sindical, religión,
creencias, origen racial, salud o vida
sexual,
>>>> los que contengan o se refieran a
datos recabados para fines policiales
sin consentimiento de las personas
afectadas,
>>>> que contengan datos derivados de
actos de violencia de género.
A los ficheros de los que sean responsables los
operadores que presten servicios de
comunicaciones electrónicas disponibles al
público o exploten redes públicas de
comunicaciones electrónicas respecto a los
datos de tráfico y a los datos de localización,
se aplicarán, además de las medidas de
seguridad de nivel básico y medio, la medida
de seguridad de nivel alto relativa al registro
7 de 14
Conceptos de aplicación de la Ley Orgánica de Protección de Datos (LOPD)
de accesos (recogida en el artículo 103 del
RLOPD).
En caso de ficheros o tratamientos de datos
de ideología, afiliación sindical, religión,
creencias, origen racial, salud o vida sexual
bastará la implantación de las medidas de
seguridad de nivel básico cuando:
>>>> Los datos se utilicen con la única
finalidad de realizar una transferencia
dineraria a las entidades de las que
los afectados sean asociados o
miembros.
>>>> Se trate de ficheros o tratamientos no
automatizados en los que de forma
incidental o accesoria se contengan
aquellos datos sin guardar relación
con su finalidad.
También podrán implantarse las medidas de
seguridad de nivel básico en los ficheros o
tratamientos que contengan datos relativos a
la salud, referentes exclusivamente al grado
de discapacidad o la simple declaración de la
condición de discapacidad o invalidez del
afectado, con motivo del cumplimiento de
deberes públicos.
Las medidas incluidas en cada uno de los
niveles descritos anteriormente tienen la
condición de mínimos exigibles, sin perjuicio
de las disposiciones legales o reglamentarias
específicas vigentes que pudieran resultar de
aplicación en cada caso o las que por propia
iniciativa adoptase el Responsable del
Fichero.
El responsable del fichero deberá elaborar e
implantar la normativa de seguridad mediante
un documento de obligado cumplimiento para
el personal: Documento de Seguridad.
Los ficheros de nivel medio y alto están
obligados, por ley, a una pasar una auditoria,
interna o externa, bienal.
NOTIFICACIÓN DE FICHEROS
Toda entidad que proceda a la creación de
ficheros de datos de carácter personal lo
notificará previamente a la Agencia Española
de Protección de Datos, así como todos
aquellos cambios que se produzcan en la
finalidad del fichero, en su responsable, en la
ubicación, etc.
El interesado (titular de los datos de carácter
personal) tendrá derecho a solicitar por
escrito y obtener gratuitamente informacion
de sus datos de carácter personal sometidos a
tratamiento, el origen de dichos datos, así
como las comunicaciones realizadas o que se
prevén hacer de los mismos.
La Disposición Adicional primera de la LOPD
establece que los ficheros y tratamientos
automatizados inscritos o no en el Registro de
la Agencia de Protección de Datos deberán
adecuarse a la L.O 15/99 dentro del plazo de
3 años, a contar de su entrada en vigor.
En el caso de los ficheros y tratamientos no
automatizados el plazo establecido para su
adecuación a la L.O. 15/99 es de 12 años, a
contar desde el 24 de Octubre de 1995, fecha
en que entra en vigor la Directiva 95/46/CE.
8 de 14
Conceptos de aplicación de la Ley Orgánica de Protección de Datos (LOPD)
CESIÓN Y TRANSFERENCIA DE DATOS
Se entiende por cesión de datos toda
revelación de datos realizada a una persona
distinta del interesado.
Los datos de carácter personal objeto del
tratamiento solo podrán ser comunicados a un
tercero para el cumplimiento de fines
directamente relacionados con las funciones
legítimas del cedente y del cesionario con el
previo consentimiento del interesado. No será
preciso el consentimiento:
>>>> Cuando la cesión está autorizada en
una ley.
>>>> Cuando se trata de datos recogidos de
fuentes accesibles al público.
>>>> Cuando el tratamiento responda a la
libre y legítima aceptación de una
relación jurídica cuyo desarrollo,
cumplimiento y control implique
necesariamente la conexión de dicho
tratamiento con ficheros de terceros.
>>>> En este caso la comunicación solo
será legítima en cuanto se limite a la
finalidad que la justifique.
>>>> Cuando la comunicación que deba
efectuarse tenga por destinatario al
Defensor del Pueblo, el Ministerio
Fiscal o los Jueces o Tribunales o el
tribunal de Cuentas, en el ejercicio
de las funciones que tiene atribuidas.
>>>> Cuando la cesión se produzca entre
Administraciones Públicas y tenga por
objeto el tratamiento posterior de los
datos con fines históricos, estadísticos
o científicos.
>>>> Cuando la cesión de datos de carácter
personal relativos a la salud sea
necesaria para solución ante una
urgencia que requiera acceder a un
fichero o para realizar los estudios
epidemiológicos en los términos
establecidos en la legislación sobre
sanidad estatal o autonómica.
>>>> Cuando los datos han sufrido un
procedimiento de disociación no es
necesario el consentimiento porque
no son datos de carácter personal.
No se considerará comunicación de datos el
acceso de un tercero cuando dicho acceso sea
necesario para la prestación de un servicio al
responsable del tratamiento. Este tratamiento
deberá estar regulado en un contrato escrito.
El encargado de tratamiento únicamente
tratará los datos conforme a las instrucciones
del responsable del tratamiento y no los
utilizará para fines distintos a los que figuren
9 de 14
Conceptos de aplicación de la Ley Orgánica de Protección de Datos (LOPD)
en el contrato. Una vez cumplida la
prestación contractual, los datos de carácter
personal deberán ser destruidos o devueltos
al responsable del tratamiento. El servicio
prestado por el encargado del tratamiento
podrá tener o no carácter remunerado y ser
temporal o indefinido.
El encargado de tratamiento tendrá la misma
responsabilidad que el responsable del fichero
si los comunica o utiliza incumpliendo las
estipulaciones del contrato.
Cuando el Responsable del Tratamiento
contrate la prestación de un servicio que
comporte un tratamiento de datos personales
deberá velar por que el Encargado del
Tratamiento reúna las garantías para el
cumplimiento de lo dispuesto en este
Reglamento.
El Encargado del Tratamiento no podrá
subcontratar con un tercero la realización de
ningún tratamiento que le hubiera
encomendado el Responsable del
Tratamiento, salvo que hubiera obtenido de
éste autorización para ello. En este caso, la
contratación se efectuará siempre en nombre
y por cuenta del Responsable del
Tratamiento.
TRANSFERENCIAS INTERNACIONALES
Se define transferencia internacional de datos
como el transporte de datos entre sistemas
informáticos por cualquier medio de
transporte, así como de datos por correo o
por cualquier otro medio convencional.
No podrán realizarse transferencias
temporales ni definitivas de datos de carácter
personal que hayan sido objeto de
tratamiento o hayan sido recogidos para
someterlos a dicho tratamiento con destino a
países que no proporcionen el nivel de
protección que presta la LOPD.
La Orden de 2 de Febrero de 1995, del
Ministerio de Justicia e Interior, establece la
relación de países con protección de datos de
carácter personal equiparable a la española, a
efectos de transferencia internacional de
datos.
La adecuación del nivel de protección que
ofrece el país de destino lo evaluará la AEPD
atendiendo a la naturaleza de los datos, la
finalidad y la duración del tratamiento o de
los tratamientos previstos, el país de origen y
el país de destino, las normas de derecho
vigentes en el país tercero de que se trate, el
contenido de los informes de la Comisión de
la Unión Europea, así como las normas
profesionales y las medidas de seguridad en
vigor en dichos países.
La transferencia de datos a países que no
tengan un nivel de seguridad equivalente al
español está prohibida, salvo que lo autorice
el Director de la AEPD.
10 de 14
Conceptos de aplicación de la Ley Orgánica de Protección de Datos (LOPD)
TIPOS DE INFRACCIONES
El incumplimiento de la legislación vigente,
en materia de protección de datos de
carácter personal, conlleva la imposición de
sanciones por parte de la Agencia Española de
Protección de Datos, que son aplicables a
empresas de cualquier tamaño, desde
pequeñas empresas o pymes, hasta grandes
empresas.
Infracciones leves
Multa entre 601,01 € y 60.101,21 €
>>>> No solicitar la inscripción en la
Agencia Española de Protección de
Datos (AEPD)
>>>> Recabar datos sin proporcionar la
información previa exigida
>>>> No atender las solicitudes de
rectificación o cancelación
>>>> No proporcionar información a la
AEPD cuando sea requerida
Infracciones graves
Multa entre 60.101,21 € y 300.506, 05 €
>>>> No inscribir los ficheros a petición de
la AEPD
>>>> Crear ficheros con finalidades
distintas a las de constitución
>>>> Recabar datos de carácter personal
sin la autorización del afectado
>>>> Evitar el acceso a los ficheros
>>>> Mantener datos inexactos o no
efectuar las rectificaciones exigidas
>>>> Tratar los datos violando los principios
y garantías de la LOPD
>>>> Tratar datos especialmente
protegidos sin la autorización del
afectado
>>>> No remitir a la AEPD las notificaciones
previstas en la LOPD
>>>> Mantener ficheros sin las debidas
condiciones de seguridad
Dentro de la propia Ley se especifican tanto
el tipo de acción sancionable como los
importes que pueden ser aplicados a las
organizaciones que incumplan la ley.
Infracciones muy graves
Multa entre 300.506, 05 € y 601.012,1 €
>>>> Crear ficheros para almacenar
información que revele datos
especialmente protegidos
>>>> Recogida de datos de forma engañosa
o fraudulenta
>>>> Recabar datos especialmente
protegidos sin la autorización del
afectado
>>>> No atender u obstaculizar de forma
sistemática las solicitudes de
rectificación o cancelación
>>>> Vulnerar el secreto sobre datos
especialmente protegidos
INFRACCIONES Y SANCIONES
11 de 14
Conceptos de aplicación de la Ley Orgánica de Protección de Datos (LOPD)
>>>> La comunicación o cesión de datos
cuando no esté autorizada
>>>> No cesar en el uso ilegítimo a petición
de la AEPD
>>>> Tratar los datos de forma ilegítima o
con menosprecio de principios y
garantías que les sean de aplicación
>>>> No atender de forma sistemática a los
requerimientos de la AEPD
>>>> Transferencia temporal o definitiva
de datos de carácter personal con
destino a países sin niveles de
protección equiparables, o sin
autorización
Afectado o interesado: Persona física titular
de los datos que sean objeto del tratamiento.
Cancelación: Procedimiento en virtud del
cual el responsable cesa en el uso de los
datos. La cancelación implicará el bloqueo de
los datos, consistente en la identificación y
reserva de los mismos con el fin de impedir su
tratamiento excepto para su puesta a
disposición de las Administraciones públicas,
Jueces y Tribunales, para la atención de las
posibles responsabilidades nacidas del
tratamiento y sólo durante el plazo de
prescripción de dichas responsabilidades.
Transcurrido ese plazo deberá procederse a la
supresión de los datos.
Cesión o comunicación de datos:
Tratamiento de datos que supone su
revelación a una persona distinta del
interesado.
Consentimiento del interesado: Toda
manifestación de voluntad, libre, inequívoca,
específica e informada, mediante la que el
interesado consienta el tratamiento de datos
personales que le conciernen.
Dato disociado: aquél que no permite la
identificación de un afectado o interesado.
Datos de carácter personal: Cualquier
información numérica, alfabética, gráfica,
fotográfica, acústica o de cualquier otro tipo
concerniente a personas físicas identificadas o
identificables.
Datos de carácter personal relacionados con
la salud: las informaciones concernientes a la
salud pasada, presente y futura, física o
mental, de un individuo. En particular, se
consideran datos relacionados con la salud de
las personas los referidos a su porcentaje de
discapacidad y a su información genética.
Destinatario o cesionario: la persona física o
jurídica, pública o privada u órgano
administrativo, al que se revelen los datos.
Podrán ser también destinatarios los entes sin
personalidad jurídica que actúen en el tráfico
como sujetos diferenciados.
Encargado del tratamiento: La persona física
o jurídica, pública o privada, u órgano
administrativo que, solo o conjuntamente con
otros, trate datos personales por cuenta del
responsable del tratamiento o del responsable
del fichero, como consecuencia de la
existencia de una relación jurídica que le
vincula con el mismo y delimita el ámbito de
GLOSARIO
12 de 14
Conceptos de aplicación de la Ley Orgánica de Protección de Datos (LOPD)
su actuación para la prestación de un servicio.
Podrán ser también encargados del
tratamiento los entes sin personalidad
jurídica que actúen en el tráfico como sujetos
diferenciados.
Exportador de datos personales: la persona
física o jurídica, pública o privada, u órgano
administrativo situado en territorio español
que realice, conforme a lo dispuesto en el
presente Reglamento, una transferencia de
datos de carácter personal a un país tercero.
Fichero: Todo conjunto organizado de datos
de carácter personal, que permita el acceso a
los datos con arreglo a criterios
determinados, cualquiera que fuere la forma
o modalidad de su creación, almacenamiento,
organización y acceso.
Ficheros de titularidad privada: los ficheros
de los que sean responsables las personas,
empresas o entidades de derecho privado,
con independencia de quien ostente la
titularidad de su capital o de la procedencia
de sus recursos económicos, así como los
ficheros de los que sean responsables las
corporaciones de derecho público, en cuanto
dichos ficheros no se encuentren
estrictamente vinculados al ejercicio de
potestades de derecho público que a las
mismas atribuye su normativa específica.
Ficheros de titularidad pública: los ficheros
de los que sean responsables los órganos
constitucionales o con relevancia
constitucional del Estado o las instituciones
autonómicas con funciones análogas a los
mismos, las Administraciones públicas
territoriales, así como las entidades u
organismos vinculados o dependientes de las
mismas y las Corporaciones de derecho
público siempre que su finalidad sea el
ejercicio de potestades de derecho público.
Fichero no automatizado: todo conjunto de
datos de carácter personal organizado de
forma no automatizada y estructurado
conforme a criterios específicos relativos a
personas físicas, que permitan acceder sin
esfuerzos desproporcionados a sus datos
personales, ya sea aquél centralizado,
descentralizado o repartido de forma
funcional o geográfica.
Importador de datos personales: la persona
física o jurídica, pública o privada, u órgano
administrativo receptor de los datos en caso
de transferencia internacional de los mismos
a un tercer país, ya sea responsable del
tratamiento, encargada del tratamiento o
tercero.
Persona identificable: toda persona cuya
identidad pueda determinarse, directa o
indirectamente, mediante cualquier
información referida a su identidad física,
fisiológica, psíquica, económica, cultural o
social. Una persona física no se considerará
identificable si dicha identificación requiere
plazos o actividades desproporcionados.
Procedimiento de disociación: Todo
tratamiento de datos personales que permita
la obtención de datos disociados.
Responsable del fichero o del tratamiento:
Persona física o jurídica, de naturaleza
pública o privada, u órgano administrativo,
que sólo o conjuntamente con otros decida
13 de 14
Conceptos de aplicación de la Ley Orgánica de Protección de Datos (LOPD)
sobre la finalidad, contenido y uso del
tratamiento, aunque no lo realizase
materialmente. Podrán ser también
responsables del fichero o del tratamiento los
entes sin personalidad jurídica que actúen en
el tráfico como sujetos diferenciados.
Tercero: la persona física o jurídica, pública
o privada u órgano administrativo distinta del
afectado o interesado, del responsable del
tratamiento, del responsable del fichero, del
encargado del tratamiento y de las personas
autorizadas para tratar los datos bajo la
autoridad directa del responsable del
tratamiento o del encargado del tratamiento.
Podrán ser también terceros los entes sin
personalidad jurídica que actúen en el tráfico
como sujetos diferenciados.
Transferencia internacional de datos:
Tratamiento de datos que supone una
transmisión de los mismos fuera del territorio
del Espacio Económico Europeo, bien
constituya una cesión o comunicación de
datos, bien tenga por objeto la realización de
un tratamiento de datos por cuenta del
responsable del fichero establecido en
territorio español.
Tratamiento de datos: cualquier operación o
procedimiento técnico, sea o no
automatizado, que permita la recogida,
grabación, conservación, elaboración,
modificación, consulta, utilización,
modificación, cancelación, bloqueo o
supresión, así como las cesiones de datos que
resulten de comunicaciones, consultas,
interconexiones y transferencias.
En particular, en relación con lo dispuesto en
el título VIII del Real Decreto 1720/2007, de
las medidas de seguridad en el tratamiento de
datos de carácter personal, se entenderá por:
Accesos autorizados: autorizaciones
concedidas a un usuario para la utilización de
los diversos recursos. En su caso, incluirán las
autorizaciones o funciones que tenga
atribuidas un usuario por delegación del
responsable del fichero o tratamiento o del
responsable de seguridad.
Autenticación: procedimiento de
comprobación de la identidad de un usuario.
Contraseña: información confidencial,
frecuentemente constituida por una cadena
de caracteres, que puede ser usada en la
autenticación de un usuario o en el acceso a
un recurso.
Control de acceso: mecanismo que en
función de la identificación ya autenticada
permite acceder a datos o recursos.
Copia de respaldo: copia de los datos de un
fichero automatizado en un soporte que
posibilite su recuperación.
Documento: todo escrito, gráfico, sonido,
imagen o cualquier otra clase de información
que puede ser tratada en un sistema de
información como una unidad diferenciada.
Ficheros temporales: ficheros de trabajo
creados por usuarios o procesos que son
necesarios para un tratamiento ocasional o
como paso intermedio durante la realización
de un tratamiento.
14 de 14
Conceptos de aplicación de la Ley Orgánica de Protección de Datos (LOPD)
Identificación: procedimiento de
reconocimiento de la identidad de un usuario.
Incidencia: cualquier anomalía que afecte o
pudiera afectar a la seguridad de los datos.
Perfil de usuario: accesos autorizados a un
grupo de usuarios.
Recurso: cualquier parte componente de un
sistema de información.
Responsable de seguridad: persona o
personas a las que el responsable del fichero
ha asignado formalmente la función de
coordinar y controlar las medidas de
seguridad aplicables.
Sistema de información: conjunto de
ficheros, tratamientos, programas, soportes y
en su caso, equipos empleados para el
tratamiento de datos de carácter personal.
Sistema de tratamiento: modo en que se
organiza o utiliza un sistema de información.
Atendiendo al sistema de tratamiento, los
sistemas de información podrán ser
automatizados, no automatizados o
parcialmente automatizados.
Soporte: objeto físico que almacena o
contiene datos o documentos, u objeto
susceptible de ser tratado en un sistema de
información y sobre el cual se pueden grabar
y recuperar datos.
Transmisión de documentos: cualquier
traslado, comunicación, envío, entrega o
divulgación de la información contenida en el
mismo.
Usuario: sujeto o proceso autorizado para
acceder a datos o recursos. Tendrán la
consideración de usuarios los procesos que
permitan acceder a datos o recursos sin
identificación de un usuario físico.
Tratamiento de datos: Operaciones y
procedimientos técnicos de carácter
automatizado o no, que permitan la recogida,
grabación, conservación, elaboración,
modificación, bloqueo y cancelación, así
como las cesiones de datos que resulten de
comunicaciones, consultas, interconexiones y
transferencias.
ascêndia reingeniería + consultoría colabora con las siguientes Organizaciones
Instituto Nacional de Tecnologías de la Información
Asociación Española para el Fomento de la Seguridad de la Información
Socios de Asociación Andaluza de Comercio Electrónico
Socio fundador del comité de Andalucía de ITSMF (Information Technology Service Management Forum)
www.inteco.es www.ismsforum.es www.andce.es www.itsmf.es
www.ascendiarc.com - [email protected] Avda. Padre García Tejero, 6, Torre B, Local. 41012 – Sevilla
T. 954 298 201 - 902 111 024 F. 954 629 674