ACTIVIDADES 3º TRIMESTRE
PROYECTO 1:
CONTRATO DE AGENCIA
CONTRATO
DE
AGENCIA
NORMATIVA APLICABLE
El contrato de agencia se regula por la LEY 12/1992 de 27 May.
-
CAPITULO PRIMERO. DISPOSICIONES GENERALES
-
Artículo 1 Contrato de agencia.
-
Artículo 4 Prescripción de acciones.
-
-
CAPITULO II. CONTENIDO DEL CONTRATO
-
SECCION PRIMERA. Actuación del agente
-
Artículo 7 Actuación por cuenta de varios empresarios.
-
-
SECCION. 2ª Obligaciones de las partes
-
Artículo 10 Obligaciones del empresario.
-
-
-
CAPITULO III. EXTINCION DEL CONTRATO
-
Artículo 29 Indemnización de daños y perjuicios.
-
Artículo 31 Prescripción.
-
RD Leg. 2/2015 de 23 Oct. (texto refundido de la Ley del Estatuto de los Trabajadores)
-
TEXTO REFUNDIDO DE LA LEY DEL ESTATUTO DE LOS TRABAJADORES
-
TÍTULO I. De la relación individual de trabajo
-
CAPÍTULO III. Modificación, suspensión y extinción del contrato de trabajo
-
SECCIÓN 2.ª. Garantías por cambio de empresario
-
Artículo 42. Subcontratación de obras y servicios.
-
-
-
-
RD 118/2005 4 Feb. (estatutos generales de los colegios de agentes comerciales de España y de su Consejo General)
RD 22 Ago. 1885 (Código de Comercio)
-
CÓDIGO DE COMERCIO
-
LIBRO PRIMERO. DE LOS COMERCIANTES Y DEL COMERCIO EN GENERAL
-
TÍTULO III. De la Contabilidad de los empresarios
-
SECCIÓN PRIMERA. De los libros de los empresarios
-
Artículo 32
-
Artículo 33
-
-
-
-
CONCEPTO
La ley 12/1992, de 27 de Mayo, reguladora del contrato de agencia, define como aquel por el que una persona física o jurídica, denominada agente, se obliga frente a otra de manera continuada o estable a cambio de una remuneración, a promover actos u operaciones de comercio por cuenta ajena o promoverlos y concluirlos por cuenta y en nombre ajenos, como intermediario independiente, sin asumir, salvo pacto en contrario, el riesgo y ventura de tales operaciones.
El aspecto clave que caracteriza este tipo de contratación será la independencia del agente frente al empresario o principal, es decir, no existe un vínculo o relación laboral entre los mismos. Es más, independientemente de que el contrato firmado por las partes establezca que se trata de un contrato de agencia, la ley entiende que no es independiente aquel que actuando como agente no pueda organizar su actividad profesional ni el tiempo dedicado a la misma conforme a sus propios criterios, y por tanto no se trataría realmente de un contrato de agencia, o contrato de carácter mercantil, si no de una relación enmarcada dentro del derecho laboral.
ELEMENTOS
Los elementos que componen el contrato de agencia son los siguientes:
- La relación entre el principal y el agente es estable, lo que constituye una diferencia sustancial entre el contrato de agencia y el de comisión. Con la agencia, la relación entre el principal y el agente no se agota en un único acto, sino que actuaciones periódicas son un indicio de que nos encontramos ante un contrato de agencia. Esto tampoco significa que el contrato de agencia deba ser indefinido, sino que la existencia de este contrato o del de comisión se probará caso por caso atendiendo también a otros elementos diferenciadores.
- El agente no actúa en nombre propio. El carácter del contrato de agencia es personal (in tuito persone), lo que significa que se firma entre principal y agente porque el primero confía en que el agente le puede transferir directamente los resultados de las operaciones que realiza, y por eso precisamente contrata con dicho agente.
1. El artículo 12 de la Ley de Agencia impone algunas exigencias sobre ellos: siempre debe existir una relación directa entre el agente y el acto que él lleva a cabo para que luego pueda serle retribuido.
2. Existe la posibilidad de que se pacte en exclusiva una suma determinada, caso en el que el agente tiene derecho a percibir comisión por todos los actos u operaciones que concluya.
- Es un contrato oneroso, se pactan distintas formas de retribución, que pueden ser una cantidad fija o una comisión, que puede variar según el valor o el volumen de las operaciones. Los actos que dan derecho a comisión son actos u operaciones que se llevan a cabo durante la vigencia del contrato.
- Es un contrato consensual entre las partes que lo suscriben, aunque debe reunir unos determinados requisitos de forma a efectos de prueba.
- El agente es independiente con respecto al principal, tanto respecto de su organización como respecto a la manera en la que va a realizar aquello que se le ha encomendado, salvo en lo que se someta expresamente a las instrucciones del principal.
OBLIGACIONES DE LAS PARTES
El contenido del contrato de agencia puede determinarse a partir de las obligaciones
de las partes; en este caso, de las obligaciones del agente y de las del principal.
MODELO DEL CONTRATO DE AGENCIA
Modelo de contrato de agencia por virtud del cual el agente se obliga frente a un empresario, de manera continuada o estable,
a promover actos u operaciones de comercio por cuenta ajena, como intermediario independiente, a cambio de una remuneración.
¿COMO UTILIZAR EL CONTRATO DE AGENCIA?
Las partes fundamentales de este documento, y cuyo contenido deberá ser especificado con precisión, serán: las funciones u operaciones de comercio encomendadas al agente, así como la zona geográfica donde desarrollará su actividad profesional y, en caso de no asumir el empresario o principal de forma exclusiva el riesgo y responsabilidad de las operaciones, cómo se estructurará dicha asunción del riesgo de las operaciones.
Las partes podrán acordar el tipo de remuneración que recibirá el agente por el ejercicio de su actividad profesional; así, aquella podrá ser una remuneración fija, una comisión asociada al volumen de trabajo desarrollado, o bien, una parte en remuneración fija y otra en comisión.
El contrato deberá ser firmado y un ejemplar entregado a cada parte. Para dotarlo de un mayor nivel de seguridad, las firmas han de figurar no sólo en la sección final del documento, sino también en el borde izquierdo de cada página que compone el documento, incluyendo, en su caso, las páginas de los anexos, si los hubiere, como por ejemplo, aquel anexo donde se recogiese una lista de clientes captados con anterioridad por el empresario o principal, etc.
ENLACES A CONSULTAR:
Entre las obligaciones del agente se encuentran:
El art. 9 de la LCA recoge las obligaciones del agente.
En primer lugar, establece la obligación de una actuación conforme a las exigencias y principios de la buena fe. El agente debe actuar profesionalmente velando por los intereses que representa, estos son, los del empresario. Ha de actuar cuidando la confianza que ha depositado en él el empresario, debiendo realizar todo aquello que redunde en beneficio de aquel y apartándose de aquellos actos que le puedan perjudicar.
El artículo, en su apartado segundo, recoge de forma más expresa y particular las concretas obligaciones del agente, y son:
-
Actuar con la debida diligencia: El agente ejerce su actividad profesional sujeto a la diligencia de un ordenado comerciante. Y así, debe llevar a cabo la promoción y, en algunos casos, conclusión de los actos y operaciones encomendadas.
-
Comunicación e información al empresario: El agente debe comunicar al empresario toda la información que conozca por la actividad que desempeña y que sea necesaria y trascendental para lograr una buena gestión de las operaciones. Sobretodo, es importante la información relativa a la solvencia económica de terceros con los que existan operaciones pendientes de ser finalizadas o ejecutadas.
-
Aceptar las instrucciones recibidas del empresario: El agente ha de acatar las instrucciones del empresario relativas al desarrollo de su actividad profesional. Pero, es importante que la obediencia a estas instrucciones no afecta la independencia con la que actúa el agente.
-
Recepción de reclamaciones: El agente recibirá todas las reclamaciones que terceros hagan al empresario por defectos, vicios de calidad o cantidad en los bienes y servicios comercializados. Es decir, el agente actuará como un transmisor de las reclamaciones efectuadas por los clientes como consecuencia de las operaciones realizadas.
-
Contabilidad organizada y separada: El agente tiene la obligación de llevar una contabilidad independiente respecto de cada empresario por cuya cuenta actúe.
Entre las obligaciones del principal se encuentran:
Las obligaciones del empresario se recogen en el art. 10 LCA.
Al igual que con el agente, se le exige al empresario una actuación leal y de acuerdo con el principio de buena fe. Se trata pues de la aplicación al contrato de agencia del principio de buena fe que proclama el art. 7.1 y 1258 del Código Civil y el art. 57 del Código de Comercio en relación con los contratos mercantiles. Este principio constituye un modelo ideal de conducta y fuente de obligaciones para ambas partes. El empresario no solo debe al agente el cumplimiento de todo aquello que se ha pactado en el contrato o las obligaciones concretas del art. 10.2 LCA, sino también la lealtad y buena fe en todas las situaciones que nazcan del contrato.
En el apartado segundo del art. 10, se añaden unas obligaciones más concretas, y son:
-
Facilitar al agente el ejercicio de la actividad profesional: El empresario debe actuar diligentemente. Debe entregar al agente, con la suficiente antelación, la documentación necesaria para desarrollar la actividad profesional (muestrarios, catálogos, tarifas, etc.).
-
Deber de información: El empresario tiene la obligación de poner en conocimiento del agente toda la información necesaria para el cumplimiento de la actividad profesional.
-
Obligación de pago: El empresario ha de satisfacer la remuneración pactada con el agente para la ejecución del contrato de agencia.
-
Comunicación de aceptación: El empresario, en el plazo de 15 días, debe comunicar al agente si acepta o rechaza la operación propuesta por éste. En caso de aceptación de la operación, deberá comunicar también su ejecución (total o parcial) o su falta de ejecución.
Los datos personales de las partes que intervienes en la situación (agente o participe).
Lugar y fecha de la situación.
Las partes que intervienes en el conflicto y las personas que los representan.
INSTRUCCIONES PARA CUMPLIMENTAR EL MODELO DE CONTRATO
PROYECTO 2:
LA LOPD EN CONTRATOS PRIVADOS
PORTABILIDAD
L
LIMITACIÓN
¿QUÉ ES LA LOPD?
Tiene por objeto proteger y garantizar las libertades y los derechos fundamentales
de las personas físicas, su honor e intimidad personal y familiar.
Por otro lado, está el beneficio que una empresa puede obtener en la adaptación
de sus sistemas a la Ley de Protección de Datos (LOPD) para proteger el
contenido y sus datos, tanto de las empresas como de los empleados.
LOS DERECHOS DE LOS TITULARES DE LOS DATOS
Los derechos de los titulares de los datos se encuentran en los
artículos 13 a 18, de Ley Orgánica 3/2018, de 5 de diciembre, de
Protección de Datos Personales y garantía de los derechos digitales.
Los básicos del LOPD se denomina ARCO:
- Artículo 13. Derecho de acceso
- Artículo 14. Derecho de rectificación
- Artículo 15. Derecho de cancelación
- Artículo 18. Derecho de oposición
Según la ley RGPD, se añadieron 2 nuevos derechos:
- Artículo 16. Derecho a la limitación del tratamiento
- Artículo 17. Derecho a la portabilidad
Como ejercer los derechos
Para poder ejercer cualquier derecho, el titular debe aportar al responsable:
- fotocopia del DNI o documento equivalente
- petición en que se concreta la solicitud
- dirección a efectos de notificaciones, fecha y firma
- documentos acreditativos de la petición que formula, en su caso
Derecho de acceso
Se trata del derecho de una persona a solicitar información al responsable de un fichero sobre si sus datos personales están siendo tratados. En caso afirmativo, se deberá determinar con qué finalidad, el origen de esos datos y las comunicaciones realizadas o previstas de los mismos.
No es necesario justificar el ejercicio de este derecho si no se ha ejercido en los últimos 12 meses.
El plazo máximo para la resolución de la solicitud por parte del responsable del fichero es de 30 días desde la recepción de ésta.
Tras la comunicación de resolución, el demandante dispondrá de 10 días hábiles para realizar el acceso.
Derecho de rectificación
Es el derecho que permite a la persona afectada solicitar la modificación de datos que sean inexactos o incompletos.
En este caso debe justificarse qué datos son los referidos y su corrección, aportando documentación justificativa de la rectificación solicitada.
El responsable del fichero dispone de 10 días hábiles para llevar a cabo la resolución.
Derecho de cancelación.
Es por el cual el afectado puede solicitar la supresión de los datos que resulten inadecuados o excesivos, sin perjuicio del deber de bloqueo.
Debe indicarse el dato a cancelar y el motivo, aportando documentación justificativa de la rectificación solicitada.
El responsable del fichero dispone de 10 días hábiles para llevar a cabo la resolución.
Derecho de oposición.
Se trata del derecho de una persona a oponerse al tratamiento de sus datos personales o el cese de éstos en los casos:
- que no sea necesario su consentimiento,
- en los que los ficheros se usen con finalidades publicitarias,
- o que el tratamiento tenga por finalidad la adopción de una decisión referida al afectado.
Deberán hacerse constar los motivos fundados y legítimos, relativos a una concreta situación personal de la persona afectada, que justifiquen el ejercicio de este derecho.
El responsable del fichero dispone de 10 días hábiles para llevar a cabo la resolución.
Derecho a la limitación del tratamiento.
Este derecho es una de las mayores novedades de este reglamento.
Se trata de la supresión de los datos personales del interesado sin dilación siempre y cuando dichos datos:
- ya no sean necesarios conforme a su finalidad
- retire el consentimiento
- ejerza el derecho a oposición sobre los mismos o sean tratados de forma ilícita o que se de alguna de las siguientes circunstancias:
- los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo
- el interesado retire el consentimiento en que se basa el tratamiento y este no se base en otro fundamento jurídico
- el interesado se oponga al tratamiento con arreglo al derecho de oposición, por motivos particulares o por mercadotecnia, y no prevalezcan otros motivos legítimos para el tratamiento
- datos personales hayan sido tratados ilícitamente
- los datos personales deban suprimirse para el cumplimiento de una obligación legal
- los datos personales se hayan obtenido en relación con la oferta de servicios de la sociedad de la información
Derecho a la portabilidad.
El derecho a la portabilidad de datos es una de las novedades que trae el reglamento.
En resumen es, la traslación de la portabilidad en telefonía móvil, al mundo de la privacidad.
Este derecho se caracteriza por la posibilidad de solicitar al responsable del tratamiento que se le faciliten los datos personales en un formato estructurado y claro a otro responsable.
LAS OBLIGACIONES DE LOS RESPONSABLES DE LOS FICHEROS
El RGPD establece en los artículos 24 y 25 que el Responsable del Tratamiento debe establecer medidas para la protección de los datos desde el diseño y por defecto, es decir, aplicar a los tratamientos de datos personales las medidas técnicas y organizativas que garanticen que no son accesible a terceras personas sin la aprobación o intervención del interesado de los datos.
La nueva LOPD, es su artículo 28 detalla que, a la hora de aplicar medidas,
el responsable del tratamiento debe tener en cuenta el mayor riesgo que se
pueda producir en los siguientes supuestos:
- Tratamiento no incidental de categorías especiales de datos.
- Privación de derechos o control de los datos de los interesados.
- Perjuicio económico, moral o social significativo para a los interesados del tratamiento.
- Tratamiento que revele una evaluación de aspectos personales de los interesados.
- Tratamiento de datos de personas vulnerables en especial, menores o personas discapacitadas.
- Tratamiento masivo de datos, tanto en la recogida como en su tratamiento.
- Cuando se efectúen transferencias de datos a países cuyo nivel de seguridad no sea adecuado.
Obligaciones:
1. LEGALIZACIÓN
Obligación de registrar los ficheros ante la AEPD:
- Quién: el Responsable del Fichero debe notificar la creación de ficheros para su inscripción en el Registro General de Protección de Datos de la AEPD.
- Cuándo: con anterioridad al uso de los ficheros, cuando se produzcan cambios respecto a la inscripción inicial, o cuando cesa el uso del fichero.
- Para qué: permite que los titulares de los datos puedan conocer quienes son los responsables de los ficheros ante los que ejercitar directamente los derechos de acceso, rectificación, cancelación y oposición.
- Incumplimiento: supondría un a infracción leve o grave, quedando sujeto al régimen sancionador.
2. LEGITIMACIÓN
El Responsable del Fichero ha de cumplir una serie de principios y preceptos como:
2.1. CALIDAD DE LOS DATOS
Los datos de carácter personal:
- Deben ser adecuados, pertinentes y no excesivos según ámbito y finalidades
- No podrán ser usados para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos
- Deben ser exactos y puestos al día De ser inexactos o incompletos rectificación o cancelación de oficio (10 días) por RF
- Deben ser tratados de forma leal y lícita. Se prohíbe la recogida de datos por medios fraudulentos, desleales o ilícitos.
- Se procederá a su cancelación si no necesario o pertinente según finalidad
Excepción: Conservación para el cumplimiento de obligaciones legales o contractuales
2.2. DEBER DE INFORMACIÓN
Los interesados a los que se soliciten datos personales deberán ser informados de:
- La existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de datos y de los destinatarios de la información
- El carácter obligatorio o facultativo de su respuesta a las preguntas que le sean planteadas
- Las consecuencias de la obtención de los datos o la negativa a suministrarlos
- La posibilidad de ejercitar los derechos acceso, cancelación, rectificación y oposición
- La identidad y dirección del responsable del fichero o de su representante
- Cuando se utilicen cuestionarios u otros documentos para la recogida, deben figurar de forma clara y legible los puntos anteriores.
2.3. CONSENTIMIENTO IMPRESCINDIBLE
- Los datos de carácter personal únicamente podrán ser objeto de tratamiento o cesión si el interesado hubiera prestado previamente su consentimiento para ello.
- La solicitud del consentimiento debe ir referida a un tratamiento o serie de tratamientos concretos, con delimitación de la finalidad para los que se recaba, así como de las restantes condiciones que concurran en el tratamiento o serie de tratamientos
- Corresponde al responsable del fichero la prueba de la existencia del consentimiento del afectado por cualquier medio de prueba admisible en derecho
- En el caso de tratamiento de datos de menores de catorce años se requerirá el consentimiento de los padres o tutores.
Forma de recabar el consentimiento:
- Expresa: Mediante la suscripción del correspondiente documento en el que se plasme la autorización o consentimiento de sus datos de carácter personal.
- Tácita: El responsable podrá dirigirse al afectado informándole de los extremos del art. 5 LOPD, concediéndole un plazo de treinta días para manifestar su negativa al tratamiento, advirtiéndole que en el caso de no producirse, se entenderá que consiente el tratamiento.
Existen diferentes tipos admisibles de consentimiento, en función del nivel de seguridad de los datos:
- Consentimiento tácito: datos de nivel básico y medio (nombre y apellidos, DNI, fotografía, etc.)
- Consentimiento expreso: datos de nivel alto, en cuanto a origen racial, salud y vida sexual.
- Consentimiento expreso y por escrito: datos de nivel alto: Ideología, afiliación sindical, religión y creencias.
2.4. CESIÓN DE DATOS
En caso de que el responsable del fichero decida ceder los datos de éste a un tercero para su tratamiento, siempre deberá informar de esta cesión y del uso de los datos y debe contar, la cesión, con el consentimiento de la persona.
2.5. DEBER DE SECRETO
El responsable del fichero y el encargado de su tratamiento, incluidos las empresas a las que les han sido cedidos deben cumplir con el secreto profesional, incluso una vez que la relación contractual haya finalizado.
2.6. SEGURIDAD DE LOS DATOS
Responsables y personas encargadas de su tratamiento deben tomar las medidas de seguridad necesarias en todos los ámbitos para que los datos no sufran alteración, robo o filtración.
2.7. DERECHOS ARCO
Además de informar de la posibilidad de ejercer sus derechos ARCO deben tomar las medidas necesarias para que puedan ejercerse y ejercerlos cuando sean solicitados.
2.8. INSCRIPCIÓN DE FICHEROS
Los responsables están obligados a comunicar a la Agencia Española de Protección de Datos la existencia de estos ficheros, para que sean añadidos al Registro General de Protección de Datos.
2.9. DEBER DE COLABORACIÓN
Además, los responsables de ficheros están obligados a colaborar con la Agencia en todo lo que ella considere necesario para hacer un buen uso y tratamiento del fichero.
EL DOCUMENTO DE SEGURIDAD
¿QUÉ ES EL DOCUMENTO DE SEGURIDAD?
El documento de seguridad es el documento mediante el cual se elabora y adoptan las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos de carácter personal, su adopción es de obligado cumplimiento para el responsable del fichero, o en su caso, del encargado del tratamiento.
¿ES OBLIGATORIO TENERLO?
Siempre que recojamos y tratemos datos personales de personas físicas, estaremos obligados a cumplir con la LOPD y, en ese caso, estaremos obligados a disponer de un documento de seguridad.
Por tanto, una de las obligaciones básicas para cumplir con la normativa de protección de datos es disponer de un documento de seguridad. En definitiva, sí es obligatorio disponer de un documento de seguridad.
¿DONDÉ ESTÁ REGULADO EL DOCUMENTO Y QUE TIENE QUE CONTENER?
Se regula en el artículo 88.1 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (RLOPD).
El documento de seguridad debe contener las medidas de seguridad, tanto técnicas como organizativas de la empresa, en relación a los datos personales que recoge y trata. Por tanto, el documento de seguridad contendrá:
- Identificación de la empresa, sus servicios y ámbito de aplicación del documento de seguridad.
- Los ficheros que la empresa tiene (clientes, pacientes, trabajadores, cámaras de seguridad, etc.) y su estructura, tipos de datos que se recogen, nivel de seguridad del fichero y la empresa encargada de gestionar el fichero si la hubiere.
- Cuáles son las medidas de seguridad que las empresa tiene para proteger esos ficheros, entre otras: armarios cerrados con llave, despachos cerrados con llave, destructoras de papel en los despachos que contiene documentación en soporte papel, contraseñas personales en los ordenadores con acceso a datos personales, caducidad de las contraseñas, etc.
- Relación de los encargados del tratamiento, es decir, de las empresas a las que se ha contratado la prestación de un servicio y en función de dicha prestación tienen acceso a datos personales.
- Inventario de: los soportes con acceso a datos personales dónde se realizan las copias de seguridad, de los equipos informáticos que tienen acceso a datos y de los programas informáticos.
- Lista del personal de la empresa con acceso a datos y las funciones de cada uno de ellos (a qué ficheros acceden y que pueden acceder con los datos personales que tratan).
MODELO DEL DOCUMENTO DE SEGURIDAD
La Agencia Española de Protección de Datos, órgano competente en España en materia de protección de datos, ha puesto a
disposición de su página web una guía para elaborar el documento de seguridad y un modelo de documento de seguridad editable que paso a adjuntar:
LOS NIVELES DE SEGURIDAD
El Responsable del Fichero deberá adoptar las medidas de índole técnica y organizativa necesarias para garantizar la seguridad de los datos de carácter personal:
NIVELES DE SEGURIDAD MEDIDAS DE SEGURIDAD
1. NIVEL BÁSICO:
- Aplicable a todos los ficheros con datos de carácter personal, nombre, dirección, teléfono, correo electrónico.
DOCUMENTO DE SEGURIDAD
- Elaboración de un documento, de obligado cumplimiento para el personal de la empresa, que contenga las medidas de seguridad requeridas en función del tipo de datos tratados por el Responsable del fichero.
FUNCIONES Y OBLIGACIONES DEL PERSONAL
- Definición de las funciones y obligaciones del personal con acceso a DCP y SI Difusión entre el personal, de las normas que les afecten y de las consecuencias de su incumplimiento.
REGISTRO DE INCIDENCIAS
- Tipo de incidencia, momento en que se ha producido, persona que la notifica, persona a la que se comunica, efectos derivados y medidas correctoras. Procedimiento definido para la notificación y gestión de incidencias que afecten a DCP.
CONTROL DE ACCESO
- Cada usuario accederá únicamente a los datos y recursos necesarios para el desarrollo de sus funciones.
- Relación actualizada de usuarios y perfiles de usuarios, y accesos autorizados a los mismos
- Mecanismos que eviten el acceso a datos o recursos con derechos distintos de los autorizados
- Concesión, alteración o anulación de permisos de acceso sólo por personal autorizado según el Documento de Seguridad
GESTIÓN DE SOPORTES Y DOCUMENTOS
- Medidas que eviten el acceso indebido o recuperación de la información contenida en soportes desechados
- Acceso restringido al personal autorizado en el Documento de Seguridad Salida de soportes autorizada por el Responsable de Seguridad Identificar el tipo de información que contienen Inventario
IDENTIFICACIÓN Y AUTENTICACIÓN
- Identificación inequívoca y personalizada de usuarios que intenten acceder a los Sistemas de Información Mecanismos de identificación y autenticación de usuarios: Procedimiento de asignación, distribución y almacenamiento de contraseñas que garantice la confidencialidad e integridad de las mismas Caducidad de las contraseñas (Máximo: 1 año)
- Almacenamiento inteligible de contraseñas activas
COPIAS DE RESPALDO
- Verificar la definición, funcionamiento y aplicación de los procedimientos de copias y recuperación (mínimo: 6 meses)
Copias de respaldo (mínimo: semanal)
2. NIVEL MEDIO:
- Datos relativos a la comisión de infracciones administrativas o penales
- Aquellos de los que sean responsables las administraciones tributarias, las entidades financieras y las Entidades Gestoras y Servicios Comunes de la Seguridad Social.
- Ficheros sobre solvencia patrimonial o de crédito
- Ficheros con datos suficientes para poder evaluar la personalidad del individuo.
- Ficheros de los que sean responsables los operadores que presten servicios de comunicaciones electrónicas.
DOCUMENTO DE SEGURIDAD
- Identificación del responsable/s de seguridad
- Controles periódicos para verificar su cumplimiento
GESTIÓN DE SOPORTES Y DOCUMENTOS
- Registro de entrada y salida de soportes
IDENTIFICACIÓN Y AUTENTICACIÓN
- Mecanismo que limite número de intentos reiterados de acceso no autorizado al Sistema de Información
RESPONSABLE DE SEGURIDAD
- Designación de uno o varios Responsables de Seguridad Encargados de coordinar y controlar las medidas del DS
- No supone delegación de responsabilidad del RF
AUDITORIA
- Auditoria ordinaria (interna o externa)
- Bienal Extraordinaria: modificaciones sustanciales en los Sistemas de Información
- Elaboración de un informe de auditoria
CONTROL DE ACCESO FÍSICO
- Control de acceso físico a los locales donde se ubican los Sistemas de Información.
GESTIÓN Y DISTRIBUCIÓN DE SOPORTES
- Identificación mediante etiquetado comprensible y significativo para usuarios autorizados, que permita identificar su contenido.
- Cifrado de datos en la distribución de soportes
- Cifrado de dispositivos portátiles fuera de las instalaciones del responsable del fichero.
COPIAS DE RESPALDO Y RECUPERACIÓN
- Conservarse una copia en un lugar diferente de aquel en que se encuentren los equipos informáticos
REGISTRO DE ACCESOS
- De cada acceso se registrará, el usuario, hora fichero accedido, tipo de acceso autorizado/denegado y registro accedido. - - Control del registro de accesos por responsable de seguridad.
- Informe mensual.
- Conservación datos registrados: 2 años.
TELECOMUNICACIONES
- La transmisión a través de redes pública o inalámbricas de comunicaciones
electrónicas debe realizarse cifrando los datos
3. NIVEL ALTO:
- Datos de salud, ideología, afiliación sindical, religión, creencias, origen racial o
étnico y vida sexual.
- Datos recabados para fines policiales sin consentimiento de las personas
- Datos de derivados de actos de violencia de género
P
1. Legalización
Todos aquellos ficheros que contengan datos de carácter personal, objeto de tratamiento por una Organización, habrán de ser inscritos ante el Registro General de la Agencia Española de Protección de Datos.
2. Legitimación
El tratamiento de datos de carácter personal, en cualquier Organización, debe llevarse a cabo conforme a una serie de principios básicos recogidos en la normativa.
¿QUÉ ES LA LOPD?
Tiene por objeto proteger y garantizar las libertades y los derechos fundamentales
de las personas físicas, su honor e intimidad personal y familiar.
Por otro lado, está el beneficio que una empresa puede obtener en la adaptación
de sus sistemas a la Ley de Protección de Datos (LOPD) para proteger el
contenido y sus datos, tanto de las empresas como de los empleados.
LOS DERECHOS DE LOS TITULARES DE LOS DATOS
Los derechos de los titulares de los datos se encuentran en los
artículos 13 a 18, de Ley Orgánica 3/2018, de 5 de diciembre, de
Protección de Datos Personales y garantía de los derechos digitales.
Los básicos del LOPD se denomina ARCO:
- Artículo 13. Derecho de acceso
- Artículo 14. Derecho de rectificación
- Artículo 15. Derecho de cancelación
- Artículo 18. Derecho de oposición
Según la ley RGPD, se añadieron 2 nuevos derechos:
- Artículo 16. Derecho a la limitación del tratamiento
- Artículo 17. Derecho a la portabilidad
Como ejercer los derechos
Para poder ejercer cualquier derecho, el titular debe aportar al responsable:
- fotocopia del DNI o documento equivalente
- petición en que se concreta la solicitud
- dirección a efectos de notificaciones, fecha y firma
- documentos acreditativos de la petición que formula, en su caso
Derecho de acceso
Se trata del derecho de una persona a solicitar información al responsable de un fichero sobre si sus datos personales están siendo tratados. En caso afirmativo, se deberá determinar con qué finalidad, el origen de esos datos y las comunicaciones realizadas o previstas de los mismos.
No es necesario justificar el ejercicio de este derecho si no se ha ejercido en los últimos 12 meses.
El plazo máximo para la resolución de la solicitud por parte del responsable del fichero es de 30 días desde la recepción de ésta.
Tras la comunicación de resolución, el demandante dispondrá de 10 días hábiles para realizar el acceso.
Derecho de rectificación
Es el derecho que permite a la persona afectada solicitar la modificación de datos que sean inexactos o incompletos.
En este caso debe justificarse qué datos son los referidos y su corrección, aportando documentación justificativa de la rectificación solicitada.
El responsable del fichero dispone de 10 días hábiles para llevar a cabo la resolución.
Derecho de cancelación.
Es por el cual el afectado puede solicitar la supresión de los datos que resulten inadecuados o excesivos, sin perjuicio del deber de bloqueo.
Debe indicarse el dato a cancelar y el motivo, aportando documentación justificativa de la rectificación solicitada.
El responsable del fichero dispone de 10 días hábiles para llevar a cabo la resolución.
Derecho de oposición.
Se trata del derecho de una persona a oponerse al tratamiento de sus datos personales o el cese de éstos en los casos:
- que no sea necesario su consentimiento,
- en los que los ficheros se usen con finalidades publicitarias,
- o que el tratamiento tenga por finalidad la adopción de una decisión referida al afectado.
Deberán hacerse constar los motivos fundados y legítimos, relativos a una concreta situación personal de la persona afectada, que justifiquen el ejercicio de este derecho.
El responsable del fichero dispone de 10 días hábiles para llevar a cabo la resolución.
Derecho a la limitación del tratamiento.
Este derecho es una de las mayores novedades de este reglamento.
Se trata de la supresión de los datos personales del interesado sin dilación siempre y cuando dichos datos:
- ya no sean necesarios conforme a su finalidad
- retire el consentimiento
- ejerza el derecho a oposición sobre los mismos o sean tratados de forma ilícita o que se de alguna de las siguientes circunstancias:
- los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo
- el interesado retire el consentimiento en que se basa el tratamiento y este no se base en otro fundamento jurídico
- el interesado se oponga al tratamiento con arreglo al derecho de oposición, por motivos particulares o por mercadotecnia, y no prevalezcan otros motivos legítimos para el tratamiento
- datos personales hayan sido tratados ilícitamente
- los datos personales deban suprimirse para el cumplimiento de una obligación legal
- los datos personales se hayan obtenido en relación con la oferta de servicios de la sociedad de la información
Derecho a la portabilidad.
El derecho a la portabilidad de datos es una de las novedades que trae el reglamento.
En resumen es, la traslación de la portabilidad en telefonía móvil, al mundo de la privacidad.
Este derecho se caracteriza por la posibilidad de solicitar al responsable del tratamiento que se le faciliten los datos personales en un formato estructurado y claro a otro responsable.
LAS OBLIGACIONES DE LOS RESPONSABLES DE LOS FICHEROS
El RGPD establece en los artículos 24 y 25 que el Responsable del Tratamiento debe establecer medidas para la protección de los datos desde el diseño y por defecto, es decir, aplicar a los tratamientos de datos personales las medidas técnicas y organizativas que garanticen que no son accesible a terceras personas sin la aprobación o intervención del interesado de los datos.
La nueva LOPD, es su artículo 28 detalla que, a la hora de aplicar medidas,
el responsable del tratamiento debe tener en cuenta el mayor riesgo que se
pueda producir en los siguientes supuestos:
- Tratamiento no incidental de categorías especiales de datos.
- Privación de derechos o control de los datos de los interesados.
- Perjuicio económico, moral o social significativo para a los interesados del tratamiento.
- Tratamiento que revele una evaluación de aspectos personales de los interesados.
- Tratamiento de datos de personas vulnerables en especial, menores o personas discapacitadas.
- Tratamiento masivo de datos, tanto en la recogida como en su tratamiento.
- Cuando se efectúen transferencias de datos a países cuyo nivel de seguridad no sea adecuado.
Obligaciones:
1. LEGALIZACIÓN
Obligación de registrar los ficheros ante la AEPD:
- Quién: el Responsable del Fichero debe notificar la creación de ficheros para su inscripción en el Registro General de Protección de Datos de la AEPD.
- Cuándo: con anterioridad al uso de los ficheros, cuando se produzcan cambios respecto a la inscripción inicial, o cuando cesa el uso del fichero.
- Para qué: permite que los titulares de los datos puedan conocer quienes son los responsables de los ficheros ante los que ejercitar directamente los derechos de acceso, rectificación, cancelación y oposición.
- Incumplimiento: supondría un a infracción leve o grave, quedando sujeto al régimen sancionador.
2. LEGITIMACIÓN
El Responsable del Fichero ha de cumplir una serie de principios y preceptos como:
2.1. CALIDAD DE LOS DATOS
Los datos de carácter personal:
- Deben ser adecuados, pertinentes y no excesivos según ámbito y finalidades
- No podrán ser usados para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos
- Deben ser exactos y puestos al día De ser inexactos o incompletos rectificación o cancelación de oficio (10 días) por RF
- Deben ser tratados de forma leal y lícita. Se prohíbe la recogida de datos por medios fraudulentos, desleales o ilícitos.
- Se procederá a su cancelación si no necesario o pertinente según finalidad
Excepción: Conservación para el cumplimiento de obligaciones legales o contractuales
2.2. DEBER DE INFORMACIÓN
Los interesados a los que se soliciten datos personales deberán ser informados de:
- La existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de datos y de los destinatarios de la información
- El carácter obligatorio o facultativo de su respuesta a las preguntas que le sean planteadas
- Las consecuencias de la obtención de los datos o la negativa a suministrarlos
- La posibilidad de ejercitar los derechos acceso, cancelación, rectificación y oposición
- La identidad y dirección del responsable del fichero o de su representante
- Cuando se utilicen cuestionarios u otros documentos para la recogida, deben figurar de forma clara y legible los puntos anteriores.
2.3. CONSENTIMIENTO IMPRESCINDIBLE
- Los datos de carácter personal únicamente podrán ser objeto de tratamiento o cesión si el interesado hubiera prestado previamente su consentimiento para ello.
- La solicitud del consentimiento debe ir referida a un tratamiento o serie de tratamientos concretos, con delimitación de la finalidad para los que se recaba, así como de las restantes condiciones que concurran en el tratamiento o serie de tratamientos
- Corresponde al responsable del fichero la prueba de la existencia del consentimiento del afectado por cualquier medio de prueba admisible en derecho
- En el caso de tratamiento de datos de menores de catorce años se requerirá el consentimiento de los padres o tutores.
Forma de recabar el consentimiento:
- Expresa: Mediante la suscripción del correspondiente documento en el que se plasme la autorización o consentimiento de sus datos de carácter personal.
- Tácita: El responsable podrá dirigirse al afectado informándole de los extremos del art. 5 LOPD, concediéndole un plazo de treinta días para manifestar su negativa al tratamiento, advirtiéndole que en el caso de no producirse, se entenderá que consiente el tratamiento.
Existen diferentes tipos admisibles de consentimiento, en función del nivel de seguridad de los datos:
- Consentimiento tácito: datos de nivel básico y medio (nombre y apellidos, DNI, fotografía, etc.)
- Consentimiento expreso: datos de nivel alto, en cuanto a origen racial, salud y vida sexual.
- Consentimiento expreso y por escrito: datos de nivel alto: Ideología, afiliación sindical, religión y creencias.
2.4. CESIÓN DE DATOS
En caso de que el responsable del fichero decida ceder los datos de éste a un tercero para su tratamiento, siempre deberá informar de esta cesión y del uso de los datos y debe contar, la cesión, con el consentimiento de la persona.
2.5. DEBER DE SECRETO
El responsable del fichero y el encargado de su tratamiento, incluidos las empresas a las que les han sido cedidos deben cumplir con el secreto profesional, incluso una vez que la relación contractual haya finalizado.
2.6. SEGURIDAD DE LOS DATOS
Responsables y personas encargadas de su tratamiento deben tomar las medidas de seguridad necesarias en todos los ámbitos para que los datos no sufran alteración, robo o filtración.
2.7. DERECHOS ARCO
Además de informar de la posibilidad de ejercer sus derechos ARCO deben tomar las medidas necesarias para que puedan ejercerse y ejercerlos cuando sean solicitados.
2.8. INSCRIPCIÓN DE FICHEROS
Los responsables están obligados a comunicar a la Agencia Española de Protección de Datos la existencia de estos ficheros, para que sean añadidos al Registro General de Protección de Datos.
2.9. DEBER DE COLABORACIÓN
Además, los responsables de ficheros están obligados a colaborar con la Agencia en todo lo que ella considere necesario para hacer un buen uso y tratamiento del fichero.
EL DOCUMENTO DE SEGURIDAD
¿QUÉ ES EL DOCUMENTO DE SEGURIDAD?
El documento de seguridad es el documento mediante el cual se elabora y adoptan las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos de carácter personal, su adopción es de obligado cumplimiento para el responsable del fichero, o en su caso, del encargado del tratamiento.
¿ES OBLIGATORIO TENERLO?
Siempre que recojamos y tratemos datos personales de personas físicas, estaremos obligados a cumplir con la LOPD y, en ese caso, estaremos obligados a disponer de un documento de seguridad.
Por tanto, una de las obligaciones básicas para cumplir con la normativa de protección de datos es disponer de un documento de seguridad. En definitiva, sí es obligatorio disponer de un documento de seguridad.
¿DONDÉ ESTÁ REGULADO EL DOCUMENTO Y QUE TIENE QUE CONTENER?
Se regula en el artículo 88.1 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (RLOPD).
El documento de seguridad debe contener las medidas de seguridad, tanto técnicas como organizativas de la empresa, en relación a los datos personales que recoge y trata. Por tanto, el documento de seguridad contendrá:
- Identificación de la empresa, sus servicios y ámbito de aplicación del documento de seguridad.
- Los ficheros que la empresa tiene (clientes, pacientes, trabajadores, cámaras de seguridad, etc.) y su estructura, tipos de datos que se recogen, nivel de seguridad del fichero y la empresa encargada de gestionar el fichero si la hubiere.
- Cuáles son las medidas de seguridad que las empresa tiene para proteger esos ficheros, entre otras: armarios cerrados con llave, despachos cerrados con llave, destructoras de papel en los despachos que contiene documentación en soporte papel, contraseñas personales en los ordenadores con acceso a datos personales, caducidad de las contraseñas, etc.
- Relación de los encargados del tratamiento, es decir, de las empresas a las que se ha contratado la prestación de un servicio y en función de dicha prestación tienen acceso a datos personales.
- Inventario de: los soportes con acceso a datos personales dónde se realizan las copias de seguridad, de los equipos informáticos que tienen acceso a datos y de los programas informáticos.
- Lista del personal de la empresa con acceso a datos y las funciones de cada uno de ellos (a qué ficheros acceden y que pueden acceder con los datos personales que tratan).
MODELO DEL DOCUMENTO DE SEGURIDAD
La Agencia Española de Protección de Datos, órgano competente en España en materia de protección de datos, ha puesto a
disposición de su página web una guía para elaborar el documento de seguridad y un modelo de documento de seguridad editable que paso a adjuntar:
LOS NIVELES DE SEGURIDAD
El Responsable del Fichero deberá adoptar las medidas de índole técnica y organizativa necesarias para garantizar la seguridad de los datos de carácter personal:
NIVELES DE SEGURIDAD MEDIDAS DE SEGURIDAD
1. NIVEL BÁSICO:
- Aplicable a todos los ficheros con datos de carácter personal, nombre, dirección, teléfono, correo electrónico.
DOCUMENTO DE SEGURIDAD
- Elaboración de un documento, de obligado cumplimiento para el personal de la empresa, que contenga las medidas de seguridad requeridas en función del tipo de datos tratados por el Responsable del fichero.
FUNCIONES Y OBLIGACIONES DEL PERSONAL
- Definición de las funciones y obligaciones del personal con acceso a DCP y SI Difusión entre el personal, de las normas que les afecten y de las consecuencias de su incumplimiento.
REGISTRO DE INCIDENCIAS
- Tipo de incidencia, momento en que se ha producido, persona que la notifica, persona a la que se comunica, efectos derivados y medidas correctoras. Procedimiento definido para la notificación y gestión de incidencias que afecten a DCP.
CONTROL DE ACCESO
- Cada usuario accederá únicamente a los datos y recursos necesarios para el desarrollo de sus funciones.
- Relación actualizada de usuarios y perfiles de usuarios, y accesos autorizados a los mismos
- Mecanismos que eviten el acceso a datos o recursos con derechos distintos de los autorizados
- Concesión, alteración o anulación de permisos de acceso sólo por personal autorizado según el Documento de Seguridad
GESTIÓN DE SOPORTES Y DOCUMENTOS
- Medidas que eviten el acceso indebido o recuperación de la información contenida en soportes desechados
- Acceso restringido al personal autorizado en el Documento de Seguridad Salida de soportes autorizada por el Responsable de Seguridad Identificar el tipo de información que contienen Inventario
IDENTIFICACIÓN Y AUTENTICACIÓN
- Identificación inequívoca y personalizada de usuarios que intenten acceder a los Sistemas de Información Mecanismos de identificación y autenticación de usuarios: Procedimiento de asignación, distribución y almacenamiento de contraseñas que garantice la confidencialidad e integridad de las mismas Caducidad de las contraseñas (Máximo: 1 año)
- Almacenamiento inteligible de contraseñas activas
COPIAS DE RESPALDO
- Verificar la definición, funcionamiento y aplicación de los procedimientos de copias y recuperación (mínimo: 6 meses)
Copias de respaldo (mínimo: semanal)
2. NIVEL MEDIO:
- Datos relativos a la comisión de infracciones administrativas o penales
- Aquellos de los que sean responsables las administraciones tributarias, las entidades financieras y las Entidades Gestoras y Servicios Comunes de la Seguridad Social.
- Ficheros sobre solvencia patrimonial o de crédito
- Ficheros con datos suficientes para poder evaluar la personalidad del individuo.
- Ficheros de los que sean responsables los operadores que presten servicios de comunicaciones electrónicas.
DOCUMENTO DE SEGURIDAD
- Identificación del responsable/s de seguridad
- Controles periódicos para verificar su cumplimiento
GESTIÓN DE SOPORTES Y DOCUMENTOS
- Registro de entrada y salida de soportes
IDENTIFICACIÓN Y AUTENTICACIÓN
- Mecanismo que limite número de intentos reiterados de acceso no autorizado al Sistema de Información
RESPONSABLE DE SEGURIDAD
- Designación de uno o varios Responsables de Seguridad Encargados de coordinar y controlar las medidas del DS
- No supone delegación de responsabilidad del RF
AUDITORIA
- Auditoria ordinaria (interna o externa)
- Bienal Extraordinaria: modificaciones sustanciales en los Sistemas de Información
- Elaboración de un informe de auditoria
CONTROL DE ACCESO FÍSICO
- Control de acceso físico a los locales donde se ubican los Sistemas de Información.
GESTIÓN Y DISTRIBUCIÓN DE SOPORTES
- Identificación mediante etiquetado comprensible y significativo para usuarios autorizados, que permita identificar su contenido.
- Cifrado de datos en la distribución de soportes
- Cifrado de dispositivos portátiles fuera de las instalaciones del responsable del fichero.
COPIAS DE RESPALDO Y RECUPERACIÓN
- Conservarse una copia en un lugar diferente de aquel en que se encuentren los equipos informáticos
REGISTRO DE ACCESOS
- De cada acceso se registrará, el usuario, hora fichero accedido, tipo de acceso autorizado/denegado y registro accedido. - - Control del registro de accesos por responsable de seguridad.
- Informe mensual.
- Conservación datos registrados: 2 años.
TELECOMUNICACIONES
- La transmisión a través de redes pública o inalámbricas de comunicaciones
electrónicas debe realizarse cifrando los datos
3. NIVEL ALTO:
- Datos de salud, ideología, afiliación sindical, religión, creencias, origen racial o
étnico y vida sexual.
- Datos recabados para fines policiales sin consentimiento de las personas
- Datos de derivados de actos de violencia de género
¿QUÉ ES LA LOPD?
Tiene por objeto proteger y garantizar las libertades y los derechos fundamentales
de las personas físicas, su honor e intimidad personal y familiar.
Por otro lado, está el beneficio que una empresa puede obtener en la adaptación
de sus sistemas a la Ley de Protección de Datos (LOPD) para proteger el
contenido y sus datos, tanto de las empresas como de los empleados.
LOS DERECHOS DE LOS TITULARES DE LOS DATOS
Los derechos de los titulares de los datos se encuentran en los
artículos 13 a 18, de Ley Orgánica 3/2018, de 5 de diciembre, de
Protección de Datos Personales y garantía de los derechos digitales.
Los básicos del LOPD se denomina ARCO:
- Artículo 13. Derecho de acceso
- Artículo 14. Derecho de rectificación
- Artículo 15. Derecho de cancelación
- Artículo 18. Derecho de oposición
Según la ley RGPD, se añadieron 2 nuevos derechos:
- Artículo 16. Derecho a la limitación del tratamiento
- Artículo 17. Derecho a la portabilidad
Como ejercer los derechos
Para poder ejercer cualquier derecho, el titular debe aportar al responsable:
- fotocopia del DNI o documento equivalente
- petición en que se concreta la solicitud
- dirección a efectos de notificaciones, fecha y firma
- documentos acreditativos de la petición que formula, en su caso
Derecho de acceso
Se trata del derecho de una persona a solicitar información al responsable de un fichero sobre si sus datos personales están siendo tratados. En caso afirmativo, se deberá determinar con qué finalidad, el origen de esos datos y las comunicaciones realizadas o previstas de los mismos.
No es necesario justificar el ejercicio de este derecho si no se ha ejercido en los últimos 12 meses.
El plazo máximo para la resolución de la solicitud por parte del responsable del fichero es de 30 días desde la recepción de ésta.
Tras la comunicación de resolución, el demandante dispondrá de 10 días hábiles para realizar el acceso.
Derecho de rectificación
Es el derecho que permite a la persona afectada solicitar la modificación de datos que sean inexactos o incompletos.
En este caso debe justificarse qué datos son los referidos y su corrección, aportando documentación justificativa de la rectificación solicitada.
El responsable del fichero dispone de 10 días hábiles para llevar a cabo la resolución.
Derecho de cancelación.
Es por el cual el afectado puede solicitar la supresión de los datos que resulten inadecuados o excesivos, sin perjuicio del deber de bloqueo.
Debe indicarse el dato a cancelar y el motivo, aportando documentación justificativa de la rectificación solicitada.
El responsable del fichero dispone de 10 días hábiles para llevar a cabo la resolución.
Derecho de oposición.
Se trata del derecho de una persona a oponerse al tratamiento de sus datos personales o el cese de éstos en los casos:
- que no sea necesario su consentimiento,
- en los que los ficheros se usen con finalidades publicitarias,
- o que el tratamiento tenga por finalidad la adopción de una decisión referida al afectado.
Deberán hacerse constar los motivos fundados y legítimos, relativos a una concreta situación personal de la persona afectada, que justifiquen el ejercicio de este derecho.
El responsable del fichero dispone de 10 días hábiles para llevar a cabo la resolución.
Derecho a la limitación del tratamiento.
Este derecho es una de las mayores novedades de este reglamento.
Se trata de la supresión de los datos personales del interesado sin dilación siempre y cuando dichos datos:
- ya no sean necesarios conforme a su finalidad
- retire el consentimiento
- ejerza el derecho a oposición sobre los mismos o sean tratados de forma ilícita o que se de alguna de las siguientes circunstancias:
- los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo
- el interesado retire el consentimiento en que se basa el tratamiento y este no se base en otro fundamento jurídico
- el interesado se oponga al tratamiento con arreglo al derecho de oposición, por motivos particulares o por mercadotecnia, y no prevalezcan otros motivos legítimos para el tratamiento
- datos personales hayan sido tratados ilícitamente
- los datos personales deban suprimirse para el cumplimiento de una obligación legal
- los datos personales se hayan obtenido en relación con la oferta de servicios de la sociedad de la información
Derecho a la portabilidad.
El derecho a la portabilidad de datos es una de las novedades que trae el reglamento.
En resumen es, la traslación de la portabilidad en telefonía móvil, al mundo de la privacidad.
Este derecho se caracteriza por la posibilidad de solicitar al responsable del tratamiento que se le faciliten los datos personales en un formato estructurado y claro a otro responsable.
LAS OBLIGACIONES DE LOS RESPONSABLES DE LOS FICHEROS
El RGPD establece en los artículos 24 y 25 que el Responsable del Tratamiento debe establecer medidas para la protección de los datos desde el diseño y por defecto, es decir, aplicar a los tratamientos de datos personales las medidas técnicas y organizativas que garanticen que no son accesible a terceras personas sin la aprobación o intervención del interesado de los datos.
La nueva LOPD, es su artículo 28 detalla que, a la hora de aplicar medidas,
el responsable del tratamiento debe tener en cuenta el mayor riesgo que se
pueda producir en los siguientes supuestos:
- Tratamiento no incidental de categorías especiales de datos.
- Privación de derechos o control de los datos de los interesados.
- Perjuicio económico, moral o social significativo para a los interesados del tratamiento.
- Tratamiento que revele una evaluación de aspectos personales de los interesados.
- Tratamiento de datos de personas vulnerables en especial, menores o personas discapacitadas.
- Tratamiento masivo de datos, tanto en la recogida como en su tratamiento.
- Cuando se efectúen transferencias de datos a países cuyo nivel de seguridad no sea adecuado.
Obligaciones:
1. LEGALIZACIÓN
Obligación de registrar los ficheros ante la AEPD:
- Quién: el Responsable del Fichero debe notificar la creación de ficheros para su inscripción en el Registro General de Protección de Datos de la AEPD.
- Cuándo: con anterioridad al uso de los ficheros, cuando se produzcan cambios respecto a la inscripción inicial, o cuando cesa el uso del fichero.
- Para qué: permite que los titulares de los datos puedan conocer quienes son los responsables de los ficheros ante los que ejercitar directamente los derechos de acceso, rectificación, cancelación y oposición.
- Incumplimiento: supondría un a infracción leve o grave, quedando sujeto al régimen sancionador.
2. LEGITIMACIÓN
El Responsable del Fichero ha de cumplir una serie de principios y preceptos como:
2.1. CALIDAD DE LOS DATOS
Los datos de carácter personal:
- Deben ser adecuados, pertinentes y no excesivos según ámbito y finalidades
- No podrán ser usados para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos
- Deben ser exactos y puestos al día De ser inexactos o incompletos rectificación o cancelación de oficio (10 días) por RF
- Deben ser tratados de forma leal y lícita. Se prohíbe la recogida de datos por medios fraudulentos, desleales o ilícitos.
- Se procederá a su cancelación si no necesario o pertinente según finalidad
Excepción: Conservación para el cumplimiento de obligaciones legales o contractuales
2.2. DEBER DE INFORMACIÓN
Los interesados a los que se soliciten datos personales deberán ser informados de:
- La existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de datos y de los destinatarios de la información
- El carácter obligatorio o facultativo de su respuesta a las preguntas que le sean planteadas
- Las consecuencias de la obtención de los datos o la negativa a suministrarlos
- La posibilidad de ejercitar los derechos acceso, cancelación, rectificación y oposición
- La identidad y dirección del responsable del fichero o de su representante
- Cuando se utilicen cuestionarios u otros documentos para la recogida, deben figurar de forma clara y legible los puntos anteriores.
2.3. CONSENTIMIENTO IMPRESCINDIBLE
- Los datos de carácter personal únicamente podrán ser objeto de tratamiento o cesión si el interesado hubiera prestado previamente su consentimiento para ello.
- La solicitud del consentimiento debe ir referida a un tratamiento o serie de tratamientos concretos, con delimitación de la finalidad para los que se recaba, así como de las restantes condiciones que concurran en el tratamiento o serie de tratamientos
- Corresponde al responsable del fichero la prueba de la existencia del consentimiento del afectado por cualquier medio de prueba admisible en derecho
- En el caso de tratamiento de datos de menores de catorce años se requerirá el consentimiento de los padres o tutores.
Forma de recabar el consentimiento:
- Expresa: Mediante la suscripción del correspondiente documento en el que se plasme la autorización o consentimiento de sus datos de carácter personal.
- Tácita: El responsable podrá dirigirse al afectado informándole de los extremos del art. 5 LOPD, concediéndole un plazo de treinta días para manifestar su negativa al tratamiento, advirtiéndole que en el caso de no producirse, se entenderá que consiente el tratamiento.
Existen diferentes tipos admisibles de consentimiento, en función del nivel de seguridad de los datos:
- Consentimiento tácito: datos de nivel básico y medio (nombre y apellidos, DNI, fotografía, etc.)
- Consentimiento expreso: datos de nivel alto, en cuanto a origen racial, salud y vida sexual.
- Consentimiento expreso y por escrito: datos de nivel alto: Ideología, afiliación sindical, religión y creencias.
2.4. CESIÓN DE DATOS
En caso de que el responsable del fichero decida ceder los datos de éste a un tercero para su tratamiento, siempre deberá informar de esta cesión y del uso de los datos y debe contar, la cesión, con el consentimiento de la persona.
2.5. DEBER DE SECRETO
El responsable del fichero y el encargado de su tratamiento, incluidos las empresas a las que les han sido cedidos deben cumplir con el secreto profesional, incluso una vez que la relación contractual haya finalizado.
2.6. SEGURIDAD DE LOS DATOS
Responsables y personas encargadas de su tratamiento deben tomar las medidas de seguridad necesarias en todos los ámbitos para que los datos no sufran alteración, robo o filtración.
2.7. DERECHOS ARCO
Además de informar de la posibilidad de ejercer sus derechos ARCO deben tomar las medidas necesarias para que puedan ejercerse y ejercerlos cuando sean solicitados.
2.8. INSCRIPCIÓN DE FICHEROS
Los responsables están obligados a comunicar a la Agencia Española de Protección de Datos la existencia de estos ficheros, para que sean añadidos al Registro General de Protección de Datos.
2.9. DEBER DE COLABORACIÓN
Además, los responsables de ficheros están obligados a colaborar con la Agencia en todo lo que ella considere necesario para hacer un buen uso y tratamiento del fichero.
EL DOCUMENTO DE SEGURIDAD
¿QUÉ ES EL DOCUMENTO DE SEGURIDAD?
El documento de seguridad es el documento mediante el cual se elabora y adoptan las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos de carácter personal, su adopción es de obligado cumplimiento para el responsable del fichero, o en su caso, del encargado del tratamiento.
¿ES OBLIGATORIO TENERLO?
Siempre que recojamos y tratemos datos personales de personas físicas, estaremos obligados a cumplir con la LOPD y, en ese caso, estaremos obligados a disponer de un documento de seguridad.
Por tanto, una de las obligaciones básicas para cumplir con la normativa de protección de datos es disponer de un documento de seguridad. En definitiva, sí es obligatorio disponer de un documento de seguridad.
¿DONDÉ ESTÁ REGULADO EL DOCUMENTO Y QUE TIENE QUE CONTENER?
Se regula en el artículo 88.1 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (RLOPD).
El documento de seguridad debe contener las medidas de seguridad, tanto técnicas como organizativas de la empresa, en relación a los datos personales que recoge y trata. Por tanto, el documento de seguridad contendrá:
- Identificación de la empresa, sus servicios y ámbito de aplicación del documento de seguridad.
- Los ficheros que la empresa tiene (clientes, pacientes, trabajadores, cámaras de seguridad, etc.) y su estructura, tipos de datos que se recogen, nivel de seguridad del fichero y la empresa encargada de gestionar el fichero si la hubiere.
- Cuáles son las medidas de seguridad que las empresa tiene para proteger esos ficheros, entre otras: armarios cerrados con llave, despachos cerrados con llave, destructoras de papel en los despachos que contiene documentación en soporte papel, contraseñas personales en los ordenadores con acceso a datos personales, caducidad de las contraseñas, etc.
- Relación de los encargados del tratamiento, es decir, de las empresas a las que se ha contratado la prestación de un servicio y en función de dicha prestación tienen acceso a datos personales.
- Inventario de: los soportes con acceso a datos personales dónde se realizan las copias de seguridad, de los equipos informáticos que tienen acceso a datos y de los programas informáticos.
- Lista del personal de la empresa con acceso a datos y las funciones de cada uno de ellos (a qué ficheros acceden y que pueden acceder con los datos personales que tratan).
MODELO DEL DOCUMENTO DE SEGURIDAD
La Agencia Española de Protección de Datos, órgano competente en España en materia de protección de datos, ha puesto a
disposición de su página web una guía para elaborar el documento de seguridad y un modelo de documento de seguridad editable que paso a adjuntar:
LOS NIVELES DE SEGURIDAD
El Responsable del Fichero deberá adoptar las medidas de índole técnica y organizativa necesarias para garantizar la seguridad de los datos de carácter personal:
NIVELES DE SEGURIDAD MEDIDAS DE SEGURIDAD
1. NIVEL BÁSICO:
- Aplicable a todos los ficheros con datos de carácter personal, nombre, dirección, teléfono, correo electrónico.
DOCUMENTO DE SEGURIDAD
- Elaboración de un documento, de obligado cumplimiento para el personal de la empresa, que contenga las medidas de seguridad requeridas en función del tipo de datos tratados por el Responsable del fichero.
FUNCIONES Y OBLIGACIONES DEL PERSONAL
- Definición de las funciones y obligaciones del personal con acceso a DCP y SI Difusión entre el personal, de las normas que les afecten y de las consecuencias de su incumplimiento.
REGISTRO DE INCIDENCIAS
- Tipo de incidencia, momento en que se ha producido, persona que la notifica, persona a la que se comunica, efectos derivados y medidas correctoras. Procedimiento definido para la notificación y gestión de incidencias que afecten a DCP.
CONTROL DE ACCESO
- Cada usuario accederá únicamente a los datos y recursos necesarios para el desarrollo de sus funciones.
- Relación actualizada de usuarios y perfiles de usuarios, y accesos autorizados a los mismos
- Mecanismos que eviten el acceso a datos o recursos con derechos distintos de los autorizados
- Concesión, alteración o anulación de permisos de acceso sólo por personal autorizado según el Documento de Seguridad
GESTIÓN DE SOPORTES Y DOCUMENTOS
- Medidas que eviten el acceso indebido o recuperación de la información contenida en soportes desechados
- Acceso restringido al personal autorizado en el Documento de Seguridad Salida de soportes autorizada por el Responsable de Seguridad Identificar el tipo de información que contienen Inventario
IDENTIFICACIÓN Y AUTENTICACIÓN
- Identificación inequívoca y personalizada de usuarios que intenten acceder a los Sistemas de Información Mecanismos de identificación y autenticación de usuarios: Procedimiento de asignación, distribución y almacenamiento de contraseñas que garantice la confidencialidad e integridad de las mismas Caducidad de las contraseñas (Máximo: 1 año)
- Almacenamiento inteligible de contraseñas activas
COPIAS DE RESPALDO
- Verificar la definición, funcionamiento y aplicación de los procedimientos de copias y recuperación (mínimo: 6 meses)
Copias de respaldo (mínimo: semanal)
2. NIVEL MEDIO:
- Datos relativos a la comisión de infracciones administrativas o penales
- Aquellos de los que sean responsables las administraciones tributarias, las entidades financieras y las Entidades Gestoras y Servicios Comunes de la Seguridad Social.
- Ficheros sobre solvencia patrimonial o de crédito
- Ficheros con datos suficientes para poder evaluar la personalidad del individuo.
- Ficheros de los que sean responsables los operadores que presten servicios de comunicaciones electrónicas.
DOCUMENTO DE SEGURIDAD
- Identificación del responsable/s de seguridad
- Controles periódicos para verificar su cumplimiento
GESTIÓN DE SOPORTES Y DOCUMENTOS
- Registro de entrada y salida de soportes
IDENTIFICACIÓN Y AUTENTICACIÓN
- Mecanismo que limite número de intentos reiterados de acceso no autorizado al Sistema de Información
RESPONSABLE DE SEGURIDAD
- Designación de uno o varios Responsables de Seguridad Encargados de coordinar y controlar las medidas del DS
- No supone delegación de responsabilidad del RF
AUDITORIA
- Auditoria ordinaria (interna o externa)
- Bienal Extraordinaria: modificaciones sustanciales en los Sistemas de Información
- Elaboración de un informe de auditoria
CONTROL DE ACCESO FÍSICO
- Control de acceso físico a los locales donde se ubican los Sistemas de Información.
GESTIÓN Y DISTRIBUCIÓN DE SOPORTES
- Identificación mediante etiquetado comprensible y significativo para usuarios autorizados, que permita identificar su contenido.
- Cifrado de datos en la distribución de soportes
- Cifrado de dispositivos portátiles fuera de las instalaciones del responsable del fichero.
COPIAS DE RESPALDO Y RECUPERACIÓN
- Conservarse una copia en un lugar diferente de aquel en que se encuentren los equipos informáticos
REGISTRO DE ACCESOS
- De cada acceso se registrará, el usuario, hora fichero accedido, tipo de acceso autorizado/denegado y registro accedido. - - Control del registro de accesos por responsable de seguridad.
- Informe mensual.
- Conservación datos registrados: 2 años.
TELECOMUNICACIONES
- La transmisión a través de redes pública o inalámbricas de comunicaciones
electrónicas debe realizarse cifrando los datos
3. NIVEL ALTO:
- Datos de salud, ideología, afiliación sindical, religión, creencias, origen racial o
étnico y vida sexual.
- Datos recabados para fines policiales sin consentimiento de las personas
- Datos de derivados de actos de violencia de género
ENLACES A CONSULTAR:
https://protecciondatos-lopd.com/empresas/derechos-arco-que-son/#Derecho_de_Acceso
https://slideplayer.es/slide/5377375/
https://evamunoz.es/que-es-documento-de-seguridad-lopd-contenido-modelo/
