Los datos personales se encuentran regidos actualmente por 3 leyes así como en las instrucciones y resoluciones de la A.E.P.D.
La LOPD, Ley Orgánica de protección de datos de carácter personal
La LGT, Ley general de Telecomunicaciones.
La LSSI, Ley de Servicios de la Sociedad de la Información y Comercio Electrónico.
¿Qué es la LOPD?
Es la ley que regula aspectos sobre el tratamiento de los datos personales.
Modo de captación del consentimiento.
Derechos de las personas a acceder, rectificar, cancelar y oponerse al tratamiento de sus datos.
Establece el deber de los responsables de la creación e inscripción de los ficheros.
Regula las transferencias internacionales de datos.
Regula la seguridad del tratamiento de los DP.
Establece los procedimientos tramitados por la Agencia Española de Protección de Datos (AEPD).
¿Qué es la A.E.P.D.?
La A.E.P.D. Agencia Española de Protección de Datos, es el ente independiente que debe garantizar el cumplimiento de las previsiones y mandatos establecidos en la Normativa existente y vigente en materia de Protección de Datos
Se le asignan las competencias necesarias para su ejercicio, clasificándolas en dos tipos de funciones:
Funciones Inspectoras.
Funciones Instructoras.
¿Quién es el responsable de un fichero que tenga que ser protegido por contener datos personales?
El responsable de un fichero o tratamiento es la entidad, persona u órgano administrativo que decide sobre la finalidad, el contenido y el uso del tratamiento de los datos personales.
Obligaciones.
Notificar la inscripción de los ficheros en el Registro de la AEPD.
Cumplir con la legislación que le sea de aplicación.
Asegurar que los datos son de calidad, adecuados, veraces, obtenidos lícita y legítimamente, y tratados para la finalidad con la que se recogieron.
No usarlos para otros fines, no recoger más datos de los necesarios, mantenerlos actualizados, y cancelarlos si ya no son necesarios.
Garantizar el cumplimiento de los deberes de secreto y seguridad.
Informar a los titulares de los datos sobre la recogida de los mismos.
Obtener el consentimiento para el tratamiento de los mismos.
Facilitar y garantizar el ejercicio de los derechos de oposición, acceso, rectificación y cancelación.
Asegurar que en relaciones con terceros que le presten servicios y que necesiten el acceso a los datos, se siga cumpliendo lo dispuesto en la LOPD.
¿Quién es el encargado de un fichero que tenga que ser protegido por contener datos personales?
El encargado del fichero es la persona física o jurídica (pública, privada o administración) que trata datos de carácter personal por cuenta del responsable del fichero.
Debe existir un contrato de servicios que define el ámbito de actuación y la prestación del servicio.
Obligaciones.
Tratar los datos por cuenta del responsable. Podrá tener o no carácter remunerado y ser temporal o indefinido.
Trata los datos según las instrucciones del responsable.
No se considera encargado del tratamiento a la persona física que tenga acceso a los datos personales en su condición de empleado.
La realización de un tratamiento por cuenta de terceros, debería estar regulado en un contrato. El responsable deberá velar por que el encargado del tratamiento reúna las garantías para el cumplimiento de la LOPD.
En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato será considerado responsable del tratamiento, respondiendo de las infracciones cometidas personalmente.
Niveles de seguridad para el tratamiento y la inscripción de un fichero en la LOPD
Existen tres niveles para clasificar las medidas de seguridad exigibles a los ficheros de datos personales.
Nivel Alto.
Ideología, afiliación sindical, religión, creencias, raza, salud o vida sexual.
Los recabados con fines policiales o derivados de actos de violencia de género.
Nivel Medio.
Relativos a la comisión de infracciones administrativas o penales.
Hacienda Pública y servicios financieros.
Información solvencia patrimonial y de crédito.
Seguridad Social y Mutuas de Trabajo.
Nivel Básico.
Cualquier fichero o tratamiento de datos personales
Transferencias dinerarias de asociados o miembros.
Salud. Grado de discapacidad o invalidez para el cumplimiento de deberes públicos.
¿Qué se debe de documentar en el documento interno de seguridad?
El documento interno de seguridad tiene que contener al menos:
Ámbito de aplicación. Recursos protegidos.
Medidas, normas, procedimientos, reglas y estándares de seguridad.
Funciones y obligaciones de los empleados.
Estructura y descripción de los ficheros.
Procedimiento de notificación, gestión y respuesta ante incidencias.
Procedimientos de backup y recuperación.
Medidas para transporte, destrucción y/o reutilización de soportes y documentos.
En niveles medio y alto además debe incluir:
La identificación del responsable de seguridad.
Control periódico del cumplimiento del documento.
La AEPD proporciona el programa Evalúa para que empresas u administraciones autoevalúen el grado de cumplimiento de la LOPD.
LSSI
¿Qué es la ley LSSI? Es la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico.
Primera ley que reguló el entorno de Internet.
Algunos artículos fueron modificados por la Ley General de las Telecomunicaciones (LGT) y la Ley de Firma Electrónica.
Se aplica al comercio electrónico y otros servicios de Internet cuando forman parte de una actividad económica.
¿Cómo se aplica la ley LSSI?
Obliga a las empresas a mostrar en su página web la siguiente información.
Denominación social, CIF, domicilio y medio de comunicación (email, teléfono, fax, …)
Datos de inscripción registral.
Códigos de conducta.
Información relativa a la protección de datos.
Precios de los productos o servicios (incluyendo impuestos y gastos de envío).
Datos relativos a la autorización administrativa necesaria para ejercer la actividad.
Si se realizan contratos online, además debe incluir.
Trámites a seguir para contratar online.
Si el documento electrónico se archivará y será accesible.
Medios técnicos para identificar y corregir errores en la introducción de datos.
Lenguas en las que se podrá formalizar el contrato.
Condiciones generales del contrato.
Posibilidad y plazo del desestimiento.
Confirmación del envío al finalizar el proceso.
LSSI publicidad, Regula la utilización de la vía electrónica con fines publicitarios. Obliga a que:
El anunciante se identifique claramente.
El carácter publicitario debe resultar inequívoco.
Identificar claramente las ofertas, concursos o juegos publicitarios y expresar clara e inequívocamente loas condiciones de participación.
Obtener con carácter previo la solicitud o expresa autorización del destinatario en las comunicaciones vía email o SMS, identificando el mensaje como tal. (PUBLI)Establecer procedimientos sencillos para facilitar la revocación del consentimiento.
Servicios de intermediación de la SI.
Proveedores de accesos a Internet.
Servicios de alojamiento de datos.
Enlaces y buscadores.
Deben cumplir las siguientes obligaciones:
Colaborar con los órganos públicos.
Informar a los clientes de los medios técnicos que aumentan la seguridad.
Informar de las responsabilidades de los usuarios por el uso de Internet con fines ilícitos.
No son responsables de los contenidos que transmiten o alojan, salvo que conozcan su ilicitud y no actúen.
No hay comentarios:
Publicar un comentario