Aplicación de LOPD en Zaragoza

Le ofrecemos nuestros servicios profesionales de adaptación a la LEGISLACIÓN vigente de una forma fácil, sencilla y asequible.

La ley establece la obligación de todas las empresas y empresarios autónomos, de adaptarse a la legislación vigente en materia de protección de datos de carácter personal y sus medidas de seguridad

La Ley Orgánica de Protección de Datos de Carácter Personal 15/1999 de 13 de diciembre (LOPD), tiene por objeto proteger y garantizar las libertades y los derechos fundamentales de las personas físicas, su honor e intimidad personal y familiar.

¿Qué es la LOPD?

La LOPD establece unas obligaciones en relación a la protección de datos de carácter personal contenidos en ficheros automatizados y no automatizados (en papel) que poseen empresas y administraciones públicas, y que son tratados por éstas con diferentes finalidades; gestión personal, proveedores, clientes, campañas de marketing, etc.

Obligaciones básicas de las empresas

En definitiva, todas las empresas deberán:

  • Declarar los ficheros automatizados (informáticos) y no automatizados (en papel) con datos de carácter personal a la Agencia de Protección de Datos.
  • Legitimar los datos personales de que dispone mediante el cumplimiento de los siguientes principios de la LOPD:
  • Principio del consentimiento del afectado.
  • Principio de información al afectado.
  • Principio de calidad de los datos. 
  • Proteger los ficheros automatizados y no automatizados para preservar la confidencialidad, integridad y disponibilidad de los datos siguiendo lo establecido en el Reglamento de Seguridad.

Como aspectos básicos se requiere:

  • Disponer de un Documento de Seguridad.
  • Definir e implantar los Procedimientos requeridos.
  • Nombrar un Responsable de Seguridad (si se dispone de datos de nivel medio o alto).
  • Formar y concienciar en materia de seguridad de la información a todo el personal que gestione datos personales.
  • Cumplir con las Medidas de Seguridad según el tipo o nivel de datos disponga. Determinadas en el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/99, de 13 de Diciembre, de Protección de Datos de Carácter Personal. 

Tipos y niveles de datos

Los datos de carácter personal se clasifican en tres niveles atendiendo a su naturaleza y finalidad. A cada nivel le corresponden unas medidas de seguridad, siendo las de nivel alto las más estrictas:

Nivel básico

  •  Todos los datos de carácter personal estarán, como mínimo, en este nivel.
  • A todos los ficheros con datos personales se les deberán aplicar las medidas de seguridad de nivel básico.

Nivel medio

  •  En general, los datos relativos a infracciones administrativas o penales, sobre solvencia patrimonial o crédito, sobre servicios financieros, y aquellos que permitan determinar un perfil de las personas.
  • A estos datos será de aplicación las medidas de nivel básico y las de nivel medio.

Nivel alto:

  •  En general, los datos relativos a ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual.
  • A estos datos se les aplicarán las medidas definidas para el nivel básico, el medio y el alto

Medidas de seguridad

Medidas de seguridad Nivel Básico (Bajo):

  • Documento de seguridad.
  • Definición de funciones del personal.
  • Registro de incidencias.
  • Identificación y autentificación de usuarios.
  • Control de acceso.
  • Gestión de soportes y documentos.
  • Mantenimiento de copias de seguridad y soportes informáticos. Obligatoria copia de seguridad y privar acceso.

Medidas de seguridad Nivel Medio:

  • Incluye las medidas del nivel anterior.
  • Responsable de seguridad.
  • Auditoria bienal.
  • Control de acceso físico. (Servidores en armario rack, habitación, etc.)

Medidas de seguridad Nivel Alto:

  • Incluye las medidas de los dos niveles anteriores.
  • Distribución de soportes. (Copias externalizadas)
  • Registro de accesos. (Guardar los logs durante 24 meses mínimo)
  • Cifrado de copias. (Copias de seguridad encriptados)
  • Cifrado de telecomunicaciones. (Envió de Emails encriptados)

 Regimen sancionador

LEVES:

  • No atender la solicitud de rectificación o cancelación por motivos formales.
  • No proporcionar información a la APD.
  • No solicitar inscripción de fichero en el RGPD (puede ser infracción grave).
  • Recoger datos sin proporcionar información a los afectados.
  • Incumplir el deber de secreto (puede ser infracción grave).

Se sancionan con multas de 900€ a 40.000€

GRAVES:

  • Recoger datos personales sin consentimiento expreso de los afectados.
  • Tratar de usar datos de carácter personal incumpliendo la legislación (puede ser infracción muy grave).
  • Mantener datos inexactos, sin rectificar o cancelar.
  • Mantener ficheros, locales, programas o equipos con datos personales sin las debidas medidas de seguridad.
  • Vulnerar el deber de secreto de ficheros de nivel medio.

Se sancionan con multas de 40.001€ a 300.000€

MUY GRAVES:

  • Recoger datos personales de forma engañosa o fraudulenta.
  • Comunicar o ceder los datos de carácter personal, fuera de los casos en que esté permitido.
  • Transferencia de datos a países sin nivel equiparable de protección y sin autorización de la APD.
  • No atender sistemáticamente los derechos de acceso, rectificación, cancelación u oposición.
  • No atender sistemáticamente el deber de notificación de la inclusión de datos personales.

Se sancionan con multas de 300.001€ a 600.000€

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *