Seguridad informática contra todo malware

Seguridad informática contra virus, phishing y spyware, protección del correo electrónico y navegación segura en internet.

Ley Orgánica de Protección de Datos de Carácter Personal de España



 

La Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal, (LOPD), es una Ley Orgánica española que tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor, intimidad y privacidad personal y familiar. Su objetivo principal es regular el tratamiento de los datos y ficheros, de carácter personal, independientemente del soporte en el cual sean tratados, los derechos de los ciudadanos sobre ellos y las obligaciones de aquellos que los crean o tratan.

La protección de datos es el derecho que tienen todos los ciudadanos a que sus datos personales no sean utilizados por parte de terceros sin la autorización debida. Cuando hablamos de datos de carácter personal, nos referimos a cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas fí­sicas identificadas o identificables.

Conocer toda la información posible sobre la ley orgánica de protección de datos es útil para todos los ciudadanos ya que puede interesar a cualquier persona física titular de los datos que sean objeto de cualquier operación o procedimiento técnico, sea o no automatizado, que permita la recogida, grabación, conservación, elaboración, modificación, consulta, utilización, modificación, cancelación, bloqueo o supresión, así como las cesiones de datos que resulten de comunicaciones, interconexiones y transferencias.

La Constitución Española de 1978, en el artículo 18.4:

“La Ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”

* La Ley Orgánica 5/92 de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal de 26 de Octubre (LORTAD): No es hasta ese año 1992 cuando nace la primera Ley española que regula de forma específica esta materia.

En la actualidad se encuentra derogada, su ámbito de aplicación se circunscribía únicamente a los ficheros de carácter personal que se tratan en soportes automatizados.

* La Directiva Europea 95/46 CE de 24 de Octubre del Parlamento Europeo y del Consejo relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

Finalmente, es a finales de 1999, cuando se publica la Ley Orgánica de Protección de Datos, que amplia el ámbito de aplicación a todo tipo de ficheros, independientemente del soporte en el cual sean tratados. Asimismo se adecua a lo establecido en la Directiva Europea 95/46 CE. Su ámbito de aplicación se circunscribe a todo tipo de ficheros de carácter personal, independientemente del tipo de soporte en el cual se traten (automatizados y no automatizados).

* El Real Decreto 1720/2007, de 21 de Diciembre de desarrollo de la Ley Orgánica de Protección de Datos. Se trata de un desarrollo de la Ley Orgánica 15/99 de Protección de Datos de 13 de Diciembre; desarrolla tanto los principios de la ley, como las medidas de seguridad a aplicar en los sistemas de información. Se aplica tanto a ficheros en soporte automatizado, como en cualquier otro tipo de soportes.

* El Real Decreto 994/1999 de Medidas de Seguridad de los ficheros automatizados que contengan datos de carácter personal de 11 de Junio de 1999 (RMS) : Es un reglamento que desarrolla la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal (LORTAD), regula las medidas técnicas y organizativas que deben aplicarse a los sistemas de información en los cuales se traten datos de carácter personal de forma automatizada.(Parcialmente en vigor, quedará completamente derogado el 19 de Abril de 2010)

Los datos personales se clasifican en función de su mayor o menor grado de sensibilidad, siendo los requitos legales y de medidas de seguridad informáticas más estrictos en función de dicho mayor grado de sensibilidad, siendo obligatorio por otro lado, en todo caso la declaración de los ficheros de protección de datos a la Agencia Española de Protección de Datos. La normativa básica en materia de protección de datos y reglamento de desarrollo impone una serie de obligaciones para todas las organizaciones que traten y almacenen datos de carácter personal. La normativa es de obligado cumplimiento para todo tipo de organización que simplemente mantenga una base de datos, aplicaciones informáticas o ficheros automatizados o no con datos identificativos de personas. Toda empresa que recoja datos de carácter personal deberá cumplir tanto con las obligaciones legales como con la implantación de una serie de medidas técnicas y organizativas que la citada normativa exige.

Entre las obligaciones destacan:

  • Inscribir los ficheros en el Registro de la Agencia Española de Protección de Datos (RGPD).
  • Generar el documento de seguridad
  • Implantar Medidas de seguridad técnicas, jurídicas y organizativas
  • Estudiar cesión y acceso a datos por cuenta de terceros
  • Garantizar entre otros, el derecho de información en la recogida de los datos personales, así como los derechos de acceso, rectificación, cancelación y oposición (derechos ARCO).
  • Creación de contratos, formularios y claúsulas necesarias para la recogida de datos, tratamientos por terceros y las cesiones de datos.

Dentro de la gestión de las obligaciones y la inclusión de los datos de carácter personal en un fichero, destacan las figuras del responsable del fichero y del encargado del tratamiento. El responsable del fichero es una persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que sólo o conjuntamente con otros decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase materialmente. El encargado de tratamiento es la persona física o jurídica, pública o privada, u órgano administrativo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento o del responsable del fichero, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y la delimita el ámbito de su actuación para la prestación de un servicio.

El encargado de tratamiento tiene las siguientes obligaciones:

  • Adoptar el mismo nivel de seguridad que aplique el responsable del fichero
  • No puede aplicar los datos a un fin distinto al que figure en el contrato de servicios con el responsable
  • No puede ceder los datos a otras personas, ni siquiera para su conservación
  • Una vez cumplida la prestación contractual, deberá destruir los datos salvo que medie autorización expresa del responsable porque razonablemente se presuma la posibilidad de ulteriores encargos, por un plazo máximo de cinco años.
  • Necesidad de plasmar la relación de prestación de servicios mediante contrato de encargado de tratamiento.

Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequí­voco:

  • De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.
  • Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
  • De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
  • De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
  • De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

Se permite sin embargo, el tratamiento de datos de carácter personal sin haber sido recabados directamente del afectado o interesado, aunque no se exime de la obligación de informar de forma expresa, precisa e inequívoca, por parte del responsable del fichero o su representante, dentro de los tres meses siguientes al inicio del tratamiento de los datos.

Excepción: No será necesaria la comunicación en tres meses de dicha información si los datos han sido recogidos de “fuentes accesibles al público”, y se destinan a la actividad de publicidad o prospección comercial, en este caso “en cada comunicación que se dirija al interesado se le informará del origen de los datos y de la identidad del responsable del tratamiento así como de los derechos que le asisten”.

Una persona fí­sica puede dar su consentimiento de diferentes maneras para el tratamiento de sus datos de carácter personal:

A) Consentimiento inequívoco: el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa.

B) Consentimiento expreso: los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una ley o el afectado consienta expresamente

C) Consentimiento expreso y por escrito: se requiere consentimiento expreso y por escrito del afectado respecto a los datos relativos a la ideologí­a, afiliación sindical, religión y creencias y sólo podrán ser cedidos con consentimiento expreso.

Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.

El consentimiento exigido en el apartado anterior no será preciso:

  • Cuando la cesión está autorizada en una ley.
  • Cuando se trate de datos recogidos de fuentes accesibles al público.
  • Cuando el tratamiento responda a la libre y legí­tima aceptación de una relación jurí­dica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique.
  • Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco será preciso el consentimiento cuando la comunicación tenga como destinatario a instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas.
  • Cuando la cesión se produzca entre Administraciones públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos.
  • Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica.

Será nulo el consentimiento para la comunicación de los datos de carácter personal a un tercero, cuando la información que se facilite al interesado no le permita conocer la finalidad a que destinarán los datos cuya comunicación se autoriza o el tipo de actividad de aquel a quien se pretenden comunicar.

El consentimiento para la comunicación de los datos de carácter personal tiene también un carácter de revocable.

Aquel a quien se comuniquen los datos de carácter personal se obliga, por el solo hecho de la comunicación, a la observancia de las disposiciones de la presente Ley.

Si la comunicación se efectúa previo procedimiento de disociación, no será aplicable lo establecido en los apartados anteriores.

Acceso a los datos por cuenta de terceros.

1. No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento.

2. La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.

En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el artículo 9 de esta Ley que el encargado del tratamiento está obligado a implementar.

3. Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento.

4. En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado también responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente.

Ciertos aspectos de la ley fueron declarados inconstitucionales en noviembre del 2000 y suprimidos del texto vigente.

Se considera que el aumento en la creación de ficheros y tratamientos de datos de carácter personal incide en el derecho a la protección de los datos de los ciudadanos; esta preocupación fue recogida por las instancias europeas que incluso dispuso que el 28 de enero se celebrara anualmente el “Dí­a Europeo de la Protección de Datos”. La celebración se remonta a 2006, cuando el Comité de Ministros del Consejo de Europa estableció la celebración anual del Día de la Protección de Datos en Europa el día 28 de enero, en conmemoración del aniversario de la firma del Convenio 108 del Consejo de Europa para la protección de personas con respecto al tratamiento automatizado de datos de carácter personal.

Un cumplimiento muy riguroso de la regulación sobre la protección de datos podría ralentizar el trabajo normal de un Responsable de Ficheros por la acreditación documental de los principios de información y consentimiento de la LOPD; también en sentido contrario un cumplimiento meramente de obligaciones formales, dejaría sin sentido a la ley y desprotegidos a los ciudadanos e iria frente al “espiritu” de la LOPD.

La posibilidad de que las empresas puedan recabar datos sin el consentimiento del afectado ha sido criticada y ciertas resoluciones de la AEPD han sido motivo de controversia:

* En Octubre de 2008, la “Agencia Española de Protección de Datos” sancionó al Partido Popular (PP), entonces en la oposición, con una multa de 60.101,21 euros por una infracción grave de la Ley Orgánica de Protección de Datos de Carácter Personal consistente en la inclusión, sin su consentimiento, de cuatro vecinos de El Grove como “falsos voluntarios” de las listas de las elecciones del País Vasco de mayo de 2007.

* La posibilidad que ofrecen algunas webs de “enviar a un amigo” cierta información, o “recomienda esta página a un amigo” también han sido sancionadas en aplicación estricta de la LOPD.

* La AEPD también resolvió que los datos relativos a los abortos practicados eran confidenciales, a raíz de la denuncias criminales interpuestas contra varias clí­nicas por presuntos abortos irregulares.

* En 2008, una sentencia del Tribunal Supremo declaró los “libros de bautismo” de la Iglesia Católica no son “ficheros de datos”, desautorizando una resolución de 20 de octubre de 2006 dictada por la “Agencia Española de Protección de Datos”; la agencia había dado la razón a un apostata que solicitaba que, a través de la Agencia se cancelara su inscripción en el Libro de Bautismo.

* Por incumplimientos de la legislación de proteccion de datos han sido sancionadas diversas aseguradoras y centros de salud, dado que intercambiaban información médica de los pacientes sin su consentimiento expreso. No obstante se les aplican sanciones reducidas por no apreciarse “intencionalidad en la comisión de la infracción”.

* LA AEPD sancionó a una empresa después de que un pirata informático intentara chantajearla al encontrar un agujero en su seguridad y posteriormente la denunciara

* La LOPD sigue teniendo lagunas y los agentes sociales han solicitado ciertas reformas. En agosto de 2008, Bernat Soria, ministro socialista de Sanidad y Consumo declaró que se actuaría mediante la creación de una Ley contra las empresas que estaban realizando llamadas comerciales no consentidas a los domicilios, habitualmente a las horas de las comidas, lo cual constituía un comportamiento popularmente denominado spam telefónico.

Puede consultarse la legislación relativa a la LOPD en el BOE número 298 de 14/12/1999.

Glosario de términos sobre la protección de datos.

publicidad




Temas: ,

Si te parecio interesante la entrada, puedes considerar suscribirte de forma totalmente gratuita, por feed o por email, para recibir nuevos contenidos cuando sean publicados, te avisaremos de noticias, utilidades para proteger tu ordenador y consejos para la navegacion segura en internet.

Puedes compartir la entrada en algunas redes sociales:



Publicaciones relacionadas:


1 Comentario

Trackbacks

  1. Protección de Datos - Apuntes & Cursos

Enviar un comentario

Gracias por aportar tu punto de vista al respecto.