Aplicación de LOPD en Zaragoza

Le ofrecemos nuestros servicios profesionales de adaptación a la LEGISLACIÓN vigente de una forma fácil, sencilla y asequible.

La ley establece la obligación de todas las empresas y empresarios autónomos, de adaptarse a la legislación vigente en materia de protección de datos de carácter personal y sus medidas de seguridad

La Ley Orgánica de Protección de Datos de Carácter Personal 15/1999 de 13 de diciembre (LOPD), tiene por objeto proteger y garantizar las libertades y los derechos fundamentales de las personas físicas, su honor e intimidad personal y familiar.

¿Qué es la LOPD?

La LOPD establece unas obligaciones en relación a la protección de datos de carácter personal contenidos en ficheros automatizados y no automatizados (en papel) que poseen empresas y administraciones públicas, y que son tratados por éstas con diferentes finalidades; gestión personal, proveedores, clientes, campañas de marketing, etc.

Obligaciones básicas de las empresas

En definitiva, todas las empresas deberán:

• Declarar los ficheros automatizados (informáticos) y no automatizados (en papel) con datos de carácter personal a la Agencia de Protección de Datos.
• Legitimar los datos personales de que dispone mediante el cumplimiento de los siguientes principios de la LOPD:
• Principio del consentimiento del afectado.
• Principio de información al afectado.
• Principio de calidad de los datos. 
• Proteger los ficheros automatizados y no automatizados para preservar la confidencialidad, integridad y disponibilidad de los datos siguiendo lo establecido en el Reglamento de Seguridad.

Como aspectos básicos se requiere:

• Disponer de un Documento de Seguridad.
• Definir e implantar los Procedimientos requeridos.
• Nombrar un Responsable de Seguridad (si se dispone de datos de nivel medio o alto).
• Formar y concienciar en materia de seguridad de la información a todo el personal que gestione datos personales.
• Cumplir con las Medidas de Seguridad según el tipo o nivel de datos disponga. Determinadas en el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/99, de 13 de Diciembre, de Protección de Datos de Carácter Personal. 

Tipos y niveles de datos

Los datos de carácter personal se clasifican en tres niveles atendiendo a su naturaleza y finalidad. A cada nivel le corresponden unas medidas de seguridad, siendo las de nivel alto las más estrictas:

Nivel básico

•  Todos los datos de carácter personal estarán, como mínimo, en este nivel.
• A todos los ficheros con datos personales se les deberán aplicar las medidas de seguridad de nivel básico.

Nivel medio

•  En general, los datos relativos a infracciones administrativas o penales, sobre solvencia patrimonial o crédito, sobre servicios financieros, y aquellos que permitan determinar un perfil de las personas.
• A estos datos será de aplicación las medidas de nivel básico y las de nivel medio.

Nivel alto:

•  En general, los datos relativos a ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual.
• A estos datos se les aplicarán las medidas definidas para el nivel básico, el medio y el alto

Medidas de seguridad

Medidas de seguridad Nivel Básico (Bajo):

• Documento de seguridad.
• Definición de funciones del personal.
• Registro de incidencias.
• Identificación y autentificación de usuarios.
• Control de acceso.
• Gestión de soportes y documentos.
• Mantenimiento de copias de seguridad y soportes informáticos. Obligatoria copia de seguridad y privar acceso.

Medidas de seguridad Nivel Medio:

• Incluye las medidas del nivel anterior.
• Responsable de seguridad.
• Auditoria bienal.
• Control de acceso físico. (Servidores en armario rack, habitación, etc.)

Medidas de seguridad Nivel Alto:

• Incluye las medidas de los dos niveles anteriores.
• Distribución de soportes. (Copias externalizadas)
• Registro de accesos. (Guardar los logs durante 24 meses mínimo)
• Cifrado de copias. (Copias de seguridad encriptados)
• Cifrado de telecomunicaciones. (Envió de Emails encriptados)

 Regimen sancionador

LEVES:

• No atender la solicitud de rectificación o cancelación por motivos formales.
• No proporcionar información a la APD.
• No solicitar inscripción de fichero en el RGPD (puede ser infracción grave).
• Recoger datos sin proporcionar información a los afectados.
• Incumplir el deber de secreto (puede ser infracción grave).

Se sancionan con multas de 900€ a 40.000€

GRAVES:

• Recoger datos personales sin consentimiento expreso de los afectados.
• Tratar de usar datos de carácter personal incumpliendo la legislación (puede ser infracción muy grave).
• Mantener datos inexactos, sin rectificar o cancelar.
• Mantener ficheros, locales, programas o equipos con datos personales sin las debidas medidas de seguridad.
• Vulnerar el deber de secreto de ficheros de nivel medio.

Se sancionan con multas de 40.001€ a 300.000€

MUY GRAVES:

• Recoger datos personales de forma engañosa o fraudulenta.
• Comunicar o ceder los datos de carácter personal, fuera de los casos en que esté permitido.
• Transferencia de datos a países sin nivel equiparable de protección y sin autorización de la APD.
• No atender sistemáticamente los derechos de acceso, rectificación, cancelación u oposición.
• No atender sistemáticamente el deber de notificación de la inclusión de datos personales.

Se sancionan con multas de 300.001€ a 600.000€