Aplicación de LOPD en Zaragoza
Le ofrecemos nuestros servicios profesionales de adaptación a la LEGISLACIÓN vigente de una forma fácil, sencilla y asequible.
La ley establece la obligación de todas las empresas y empresarios autónomos, de adaptarse a la legislación vigente en materia de protección de datos de carácter personal y sus medidas de seguridad
La Ley Orgánica de Protección de Datos de Carácter Personal 15/1999 de 13 de diciembre (LOPD), tiene por objeto proteger y garantizar las libertades y los derechos fundamentales de las personas físicas, su honor e intimidad personal y familiar.
¿Qué es la LOPD?
La LOPD establece unas obligaciones en relación a la protección de datos de carácter personal contenidos en ficheros automatizados y no automatizados (en papel) que poseen empresas y administraciones públicas, y que son tratados por éstas con diferentes finalidades; gestión personal, proveedores, clientes, campañas de marketing, etc.
Obligaciones básicas de las empresas
En definitiva, todas las empresas deberán:
- Declarar los ficheros automatizados (informáticos) y no automatizados (en papel) con datos de carácter personal a la Agencia de Protección de Datos.
- Legitimar los datos personales de que dispone mediante el cumplimiento de los siguientes principios de la LOPD:
- Principio del consentimiento del afectado.
- Principio de información al afectado.
- Principio de calidad de los datos.
- Proteger los ficheros automatizados y no automatizados para preservar la confidencialidad, integridad y disponibilidad de los datos siguiendo lo establecido en el Reglamento de Seguridad.
Como aspectos básicos se requiere:
- Disponer de un Documento de Seguridad.
- Definir e implantar los Procedimientos requeridos.
- Nombrar un Responsable de Seguridad (si se dispone de datos de nivel medio o alto).
- Formar y concienciar en materia de seguridad de la información a todo el personal que gestione datos personales.
- Cumplir con las Medidas de Seguridad según el tipo o nivel de datos disponga. Determinadas en el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/99, de 13 de Diciembre, de Protección de Datos de Carácter Personal.
Tipos y niveles de datos
Los datos de carácter personal se clasifican en tres niveles atendiendo a su naturaleza y finalidad. A cada nivel le corresponden unas medidas de seguridad, siendo las de nivel alto las más estrictas:
Nivel básico
- Todos los datos de carácter personal estarán, como mínimo, en este nivel.
- A todos los ficheros con datos personales se les deberán aplicar las medidas de seguridad de nivel básico.
Nivel medio
- En general, los datos relativos a infracciones administrativas o penales, sobre solvencia patrimonial o crédito, sobre servicios financieros, y aquellos que permitan determinar un perfil de las personas.
- A estos datos será de aplicación las medidas de nivel básico y las de nivel medio.
Nivel alto:
- En general, los datos relativos a ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual.
- A estos datos se les aplicarán las medidas definidas para el nivel básico, el medio y el alto
Medidas de seguridad
Medidas de seguridad Nivel Básico (Bajo):
- Documento de seguridad.
- Definición de funciones del personal.
- Registro de incidencias.
- Identificación y autentificación de usuarios.
- Control de acceso.
- Gestión de soportes y documentos.
- Mantenimiento de copias de seguridad y soportes informáticos. Obligatoria copia de seguridad y privar acceso.
Medidas de seguridad Nivel Medio:
- Incluye las medidas del nivel anterior.
- Responsable de seguridad.
- Auditoria bienal.
- Control de acceso físico. (Servidores en armario rack, habitación, etc.)
Medidas de seguridad Nivel Alto:
- Incluye las medidas de los dos niveles anteriores.
- Distribución de soportes. (Copias externalizadas)
- Registro de accesos. (Guardar los logs durante 24 meses mínimo)
- Cifrado de copias. (Copias de seguridad encriptados)
- Cifrado de telecomunicaciones. (Envió de Emails encriptados)
Regimen sancionador
LEVES:
- No atender la solicitud de rectificación o cancelación por motivos formales.
- No proporcionar información a la APD.
- No solicitar inscripción de fichero en el RGPD (puede ser infracción grave).
- Recoger datos sin proporcionar información a los afectados.
- Incumplir el deber de secreto (puede ser infracción grave).
Se sancionan con multas de 900€ a 40.000€
GRAVES:
- Recoger datos personales sin consentimiento expreso de los afectados.
- Tratar de usar datos de carácter personal incumpliendo la legislación (puede ser infracción muy grave).
- Mantener datos inexactos, sin rectificar o cancelar.
- Mantener ficheros, locales, programas o equipos con datos personales sin las debidas medidas de seguridad.
- Vulnerar el deber de secreto de ficheros de nivel medio.
Se sancionan con multas de 40.001€ a 300.000€
MUY GRAVES:
- Recoger datos personales de forma engañosa o fraudulenta.
- Comunicar o ceder los datos de carácter personal, fuera de los casos en que esté permitido.
- Transferencia de datos a países sin nivel equiparable de protección y sin autorización de la APD.
- No atender sistemáticamente los derechos de acceso, rectificación, cancelación u oposición.
- No atender sistemáticamente el deber de notificación de la inclusión de datos personales.
Se sancionan con multas de 300.001€ a 600.000€