Bloque I. Tema 8. La protección de datos personales y su normativa reguladora. Las Agencias de Protección de Datos: competencias y funciones

Índice de contenido

Bloque I. Tema 8. La protección de datos personales y su normativa reguladora. Las Agencias de Protección de Datos: competencias y funciones        1

Productos Software        1

Datos de carácter personal y medidas de seguridad        1

Datos que precisan medidas de nivel medio        2

Datos que precisan medidas de nivel alto        2

Datos protegidos y medidas de seguridad        3

El Documento de Seguridad        5

Medidas de Seguridad        5

Infracciones y Sanciones        8

Productos Software

Disposición adicional única de RD 1720/2007, de 21 de diciembre, del reglamento de desarrollo.

Los productos de software destinados al tratamiento automatizado de datos personales deberán incluir en su descripción técnica el nivel de seguridad básico, medio o alto, que permitan alcanzar de acuerdo con lo establecido en el Título VIII de este reglamento.

Datos de carácter personal y medidas de seguridad

Las medidas de seguridad exigibles a los ficheros y tratamientos se clasifican en tres niveles: básico, medio y alto.

Un DCP es cualquier información concerniente a personas físicas identificadas o identificables. Todo fichero o tratamiento de estos datos deberá llevar las medidas de seguridad de nivel básico.

Las medidas de seguridad que hay que tomar según que datos se exponen en el Título VIII del Reglamento de Desarrollo (RD 1720/2007 de 21 de diciembre).

Las medidas de seguridad en sí están el Capítulo II del mismo Título, el cual detalla el documento de seguridad.

Datos que precisan medidas de nivel medio

Además de las de nivel básico, requerirán las de nivel medio:

  1. Los relativos a la comisión de infracciones administrativas o penales.
  2. Aquellos cuyo funcionamiento se rija por el artículo 29 de la LO 15/1999 de 13 de diciembre (Prestación de servicios de solvencia patrimonial y crédito)
  3. Aquellos de los que sean responsables Administraciones tributarias y se relacionen con el ejercicio de sus potestades tributarias.
  4. Aquéllos de los que sean responsables las entidades financieras para finalidades relacionadas con la prestación de servicios financieros.
  5. Aquéllos de los que sean responsables las Entidades Gestoras y Servicios Comunes de la Seguridad Social y se relacionen con el ejercicio de sus competencias. De igual modo, aquellos de los que sean responsables las mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social.
  6. Aquéllos que contengan un conjunto de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos.

¿cuales son las conclusiones sobre las características que tienen en común estos datos? Pues está claro que cuando se está hablando de dinero, no es tan importante como para las medidas de protección de nivel alto, que son datos que van más con la personalidad, moral, intimidad de los individuos, pero sí es suficientemente importante para la persona el derecho a la protección en lo que respecta a su pasta.

Uno que se parece a los datos especialmente protegidos, que es donde hay que tener mucho cuidado de no confundirse, es el conjunto de datos que permitan evaluar la personalidad de un individuo. Se acerca a lo que se puede pensar como religión, creencias, ideología, afiliación sindical, pero no llega, quedándose en algo más vago como “la personalidad”. Así que se queda con las de nivel medio.

Y ya las que hay que memorizar son las de la Seguridad Social y las de las infracciones administrativas y penales. Resumen:

Datos que precisan medidas de nivel alto

Además de las medidas de nivel básico y medio, las medidas de nivel alto se aplicarán en los siguientes ficheros o tratamientos de datos de carácter personal:

  1. Los que se refieran a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual.
  2. Los que contengan o se refieran a datos recabados para fines policiales sin consentimiento de las personas afectadas.
  3. Aquéllos que contengan datos derivados de actos de violencia de género.

Datos protegidos y medidas de seguridad

Ahora vamos a ver la relación entre los datos especialmente protegidos con los datos que necesitan medidas de seguridad de nivel medio.

  1. Nadie podrá ser obligado a declarar sobre su ideología, religión o creencias. Hay derecho a no prestar el consentimiento. Y expreso y por escrito como vemos a continuación.
  2. Solo con consentimiento expreso y por escrito podrán tratarse:
    • ideología
    • religión
    • creencias
    • afiliación sindical
    A excepción de los ficheros mantenidos por partidos políticos, sindicatos, grupos religiosos, fundaciones y otras entidades sin ánimo de lucro con similares funciones para sus asociados o miembros, siempre con el previo consentimiento.
  3. Tratamiento para origen racial, salud y vida sexual solo por razones de interés general y por una ley, o bien cuando haya consentimiento expreso -aquí ya no dice por escrito-
  4. Prohibidos los ficheros cuyo único fin sea almacenar algunos de los datos anteriores.
  5. Las infracciones penales o administrativas solo podrán tratarse o almacenarse por las Administraciones Públicas.
  6. Se exceptúa lo dicho en 2 y 3: ideología, religión, creencias, afiliación sindical, origen racial, salud y vida sexual para prevención  o diagnóstico médico o gestión de servicios sanitarios.

Deberán implantarse las medidas de nivel medio:

  •  Los relativos a la prestación de servicios de información sobre solvencia patrimonial y crédito.
  • Aquellos de los que sean responsables las Administraciones tributarias y se relacionen con sus potestades.
  • Aquellos de los que sean responsables entidades financieras para el ejercicio de sus funciones.
  • Las Entidades Gestoras y Servicios Comunes de la Seguridad Social.
  • Los que contengan un conjunto de datos que ofrezcan una definición de las características o de la personalidad de los ciudadanos o permita evaluarlas.
  • Los relativos a la comisión de infracciones administrativas o penales.

Ahora vamos a ver la relación de los datos especialmente protegidos con los datos que precisan medidas de seguridad de nivel alto.

 

  1. Nadie podrá ser obligado a declarar sobre su ideología, religión o creencias. Hay derecho a no prestar el consentimiento. Y expreso y por escrito como vemos a continuación.
  2. Solo con consentimiento expreso y por escrito podrán tratarse:
    • ideología
    • religión
    • creencias
    • afiliación sindical
    A excepción de los ficheros mantenidos por partidos políticos, sindicatos, grupos religiosos, fundaciones y otras entidades sin ánimo de lucro con similares funciones para sus asociados o miembros, siempre con el previo consentimiento.
  3. Tratamiento para origen racial, salud y vida sexual solo por razones de interés general y por una ley, o bien cuando haya consentimiento expreso -aquí ya no dice por escrito-
  4. Prohibidos los ficheros cuyo único fin sea almacenar algunos de los datos anteriores.
  5. Las infracciones penales o administrativas solo podrán tratarse o almacenarse por las Administraciones Públicas.
  6. Se exceptúa lo dicho en 2 y 3: ideología, religión, creencias, afiliación sindical, origen racial, salud y vida sexual para prevención  o diagnóstico médico o gestión de servicios sanitarios.
  • Los que se refieran a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual. Con esto cubrimos puntos 1, 2 y 3 de los datos que necesitan medidas de seguridad de nivel alto.
  • Los que contengan o se refieran a datos recabados para fines policiales sin consentimiento de las personas afectadas.
  • Aquéllos que contengan datos derivados de actos de violencia de género.

Lo que está claro aquí es que todos los datos especialmente protegidos necesitan medidas de protección de nivel alto. No hay datos especialmente protegidos que no las necesiten, salvo unas excepciones que sí están contempladas:

No es cierta la implicación de que todas las medidas de seguridad de nivel alto son solo para los datos especialmente protegidos, ya que aparecen los datos recabados para fines policiales sin el consentimiento del afectado y los datos de violencia de género, como datos que requerirán medidas de protección de nivel alto, pero sin ser datos especialmente protegidos según la ley o el reglamento.

El Documento de Seguridad

Recogerá las medidas de índole técnica y organizativa acordes a la normativa de seguridad vigente que será de obligado cumplimiento para el personal con acceso a los sistemas de información.

Deberá contener, como mínimo, los siguientes aspectos:

  1. Ámbito de aplicación del documento con especificación detallada de los recursos protegidos.
  2. Medidas, normas, procedimientos de actuación, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en este reglamento.
  3. Funciones y obligaciones del personal.
  4. Estructura de los ficheros y descripción de los sistemas de información que los tratan.
  5. Procedimientos de notificación, gestión y respuesta ante las incidencias.
  6. Los procedimientos de realización de copias de respaldo en los ficheros o tratamientos automatizados.
  7. Las medidas que sea necesario adoptar para el transporte de soportes y documentos.

Si hay que aplicar medidas de nivel alto además:

  1. La identificación del responsable o responsables de seguridad.
  2. Los controles periódicos que deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento.

Cuando exista un tratamiento de datos por cuenta de terceros:

  1. Identificación de los ficheros o tratamientos que se traten en concepto de encargado con referencia expresa al contrato o documento que regule:
    1. Las condiciones del encargo
    2. La identificación del responsable
    3. El período de vigencia del encargo
  2. Si el encargo es para la totalidad de los ficheros esta circunstancia deberá anotarse en el documento de seguridad.
  3. Podrá delegarse la llevanza del documento en el encargado

Medidas de Seguridad

Aunque esté distribuido de una manera poco ordenada existen medidas de seguridad con el mismo epígrafe en los tres niveles de seguridad, pero que van añadiendo progresivamente responsabilidades. Recordar claramente que si una medida aparece en un nivel y no en el superior no es que no se deba llevar a cabo, esto puede llevar a preguntas con truco. Todo lo de los niveles inferiores se “acumula”. Aquí hay que tratar de memorizar qué medidas y a qué nivel de exigencia se expone en cada nivel de seguridad.

Vamos a ver un resumen al revés, en el que se exponen las medidas de seguridad que hay y en qué nivel aparecen por primera vez. Entre paréntesis estarán los niveles en los que aparece.

Serie de números que nos dice cuantas veces aparece cada medida, en orden que se da a continuación, en cada uno de los niveles. Para las medidas, en las que no pongo nada, si el número es 1 es que es en básico, si es 2 es que es en básico y medio, etc.

Infracciones y Sanciones

En la ley están las generalidades de las infracciones y sanciones, toda la chicha, pero en el Reglamento también se habla del Procedimiento sancionador (Título IX, Capítulo II, Sección 3ª)

Ficheros en general

La mejor manera de aprenderse esto es memorizando las leves y memorizando las muy graves, que ambos grupos son pequeños. Intentaremos crear nemotécnicos o algo parecido.

Son infracciones leves (RISE!!! RISE!! We shall RISEEEEE!!):

  1. No Remitir a la AEPD las notificaciones previstas en este Ley o en sus disposiciones de desarrollo.
  2. El incumplimiento del deber de Información al afectado acerca del tratamiento de sus datos de carácter personal cuando los datos sean recabados del propio interesado.
  3. No Solicitar la inscripción del fichero de datos de carácter personal en el Registro General de Protección de Datos.
  4. La transmisión de los datos a un Encargado del tratamiento sin dar cumplimiento a los deberes formales establecidos en el artículo 12 de esta Ley.

Son infracciones muy graves:

  1. La recogida de datos en forma engañosa o Fraudulenta.
  2. Tratar o ceder datos de carácter personal Especialmente protegidos a los que se refieren los apartados 2, 3 y 5 del artículo 7 de esta Ley salvo en los supuestos en que la misma lo autoriza o violentar la prohibición contenida en el apartado 4 del artículo 7.
    (Son los datos especialmente protegidos: religión, creencias, ideología, afiliación sindical, origen racial, salud, vida sexual, además de los de comisión de infracciones penales o administrativas, que solo los pueden tratar las Administraciones Públicas)
  3. No Cesar en el tratamiento ilícito de datos de carácter personal cuando existiese un previo requerimiento del Director de la Agencia Española de Protección de Datos para ello.
  4. La transferencia internacional de datos de carácter personal con destino a países que no proporcionen un nivel de protección equiparable sin autorización del Director de la AEPD salvo en los supuestos en los que conforme a esta Ley y sus disposiciones de desarrollo dicha autorización no resulta necesaria.

Prescripción

Infracciones: 3 años, 2 años, 1 año y Sanciones: 3 años, 2 años, 1 año.

Ficheros de titularidad pública

Artículo 46. El órgano sancionador dictará una resolución estableciendo las medidas que procede adoptar y se notificará al responsable del fichero. Podrán proceder también actuaciones disciplinarias. Se comunicará al Defensor del Pueblo.

El procedimiento sancionador

Iniciación

Contiene:

  1. Identificación de responsables
  2. Descripción sucinta de hechos y posible calificación sanciones
  3. Indicación de que el órgano competente es AEPD
  4. Indicación al responsable de que puede reconocer voluntariamente su responsabilidad
  5. Designación de instructor
  6. Indicación expresa derecho formular alegaciones
  7. Medidas de carácter provisional
     

El plazo máximo para dictar resolución será el que determinen las normas aplicables a cada procedimiento sancionador y se computará desde la fecha en que se dicte el acuerdo de inicio hasta que se produzca la notificación de la resolución sancionadora, o se acredite debidamente el intento de notificación.

El vencimiento del citado plazo máximo, sin que se haya dictado y notificado resolución expresa, producirá la caducidad del procedimiento y el archivo de las actuaciones.