Presentación
  ¿Quieres formar parte de la red de despachos de Consell Expert ?
  Información de interés
  Enlaces de interés
  Contactar
 
  Red de despachos
 
  Gestoría Virtual
  Club de negocios
  Normas ISO Calidad y
   Mediambiente
  Protección de datos Implantación-seguimiento
  Prevención de riesgos
   laborales
Área restringida
Usuario:
Clave:

 
inicio presentación despachos asociados contactar Domingo 5 de Septiembre de 2010

1. LA PROTECCIÓN DE LOS DATOS PERSONALES

Todos los paises europeos han desarrollado, en sus legislaciones nacionales, textos normativos para regular la protección de los datos personales y, de esta forma, adaptarse a la DIRECTIVA 95/46/CE DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 24 de octubre de 1995 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. En España esta regulación afecta a derechos fundamentales recogidos en la constitución, por lo que se legisló mediante ley orgánica, además de otras normas de desarrollo.

:: El objeto de la ley

La Directiva europea tiene como objeto la protección de las libertades y de los derechos fundamentales de las personas físicas, y, en particular, del derecho a la intimidad, en lo que respecta al tratamiento de los datos personales.

Por tanto, la legislación nacional correspondiente afecta a todas las organizaciones que posean archivos con datos personales. Estos datos personales pueden ir desde los datos más generales sobre nombre, domicilio, DNI, teléfono, cuentas corrientes; hasta los datos de carácter más íntimo como la raza, ideología, creencias o vida sexual. Lógicamente la ley es más estricta cuanto más sensibles son los datos. Esta claro que pocas organizaciones recogen datos sobre la ideología o creencias de las personas, pero hay miles de ellas que en sus archivos informáticos mantienen datos personales para poder girar recibos, o mantienen datos sobre infracciones legales o fiscales para asesorar a sus clientes sobre ellas.

En definitiva, lo que la ley pretende es que las empresas que posean estos datos establezcan las cautelas necesarias para evitar su uso indebido y que permitan a los afectados el ejercicio de sus derechos.

Básicamente los afectados (es decir la personas de las que se poseen datos), tienen derecho al acceso, cancelación o modificación de los datos.

Se establecen tres regímenes de protección según sea el contenido de los datos:

Nivel Básico

Los ficheros con nivel de protección básico son los que contienen datos sobre nombre, teléfono, domicilio, datos familiares, titulación, etc. La verdad es que cuesta encontrar organizaciones que no posean estos tipos de datos.
Para estos datos se establece que se deben de aplicar las siguientes medidas:
  • Redacción, registro en la Agencia de protección de datos e implantación del Documento de seguridad.
  • Descripción de las funciones y obligaciones del personal.
  • Mantenimiento de un registro de incidencias.
  • Identificación y autenticación (uso de passwoord) de los usuarios de los datos.
  • Control de los soportes físicos o magnéticos de los datos.
  • Control de las copias de seguridad que se realicen.
Nivel Intermedio

Los datos con un nivel de protección intermedia tienen un carácter más sensible para la intimidad o el derecho al honor de los afectados. Estos datos pueden ser datos relativos a infracciones administrativas, penales y frente a la Hacienda Pública; los datos relativos a la solvencia patrimonial o al cumplimiento de obligaciones financieras; o datos que permitan una evaluación de la personalidad del afectado. Los poseedores típicos de estos datos serían asesorías fiscales, asesorías jurídicas, abogados, empresas de selección de personal.

En este caso las obligaciones serían las contempladas para los datos de nivel básico, además de las siguientes medidas adicionales:

  • Designación de responsables de seguridad
  • Realización de auditorías internas cada 2 años.
  • Control del acceso físico a los datos
  • Realización de pruebas del sistema de seguridad con datos reales
Nivel Alto

Para los datos relativos a la ideología, la religión, las creencias, el origen racial, la salud, la vida sexual o los obtenidos para fines policiales, se aplicarán la medidas anteriores más otras de carácter más extraordinario, como son las siguientes:

  • Mantenimiento de un registro de acceso y de copias de los datos.
  • Revisión del registro mensualmente.
  • Encriptado de las telecomunicaciones.
  • Control de copias de seguridad.
:: Contenido del documento de seguridad

El documento de seguridad es un procedimiento por escrito que debe recoger:
  • Las medidas organizativas para garantizar la seguridad de los ficheros.
  • Las medidas técnicas para garantizar la seguridad de los ficheros.
  • Los puestos informáticos, locales, equipos, sistemas, programas, y personas que intervengan en el tratamiento de los datos.
  • Las funciones del personal y su relación con el uso del fichero.
  • Los registros establecidos.
En resumen, se trata de documentar e informar sobre las medidas necesarias para garantizar la seguridad que deben de reunir los ficheros durante todo su ciclo, desde su creación, su tratamiento, su cesión a terceros, transporte, comunicación y cancelación.

Para empresas certificadas o que estén en fase de implantación de Normas de calidad o de medio ambiente ISO 9001, 14001, QS 9000, etc, este documento se podría incluir dentro del apartado de control de la documentación y de los registros. Y todo el tema de los derechos de los afectados dentro del apartado de comunicación. De hecho nuestra recomendación es integrar en un sistema común todos los documentos de calidad, medio ambiente, protección de datos personales o de prevención de riesgos laborales.

:: Régimen sancionador

La ley crea la Agencia de protección de datos con funciones de inspección.
La ley gradúa las sanciones según sean éstas leves, graves o muy graves.
  • Las infracciones leves se sancionan con multas de 100.000 a 10.000.000 de ptas
  • Las infracciones graves con multas de 10.000.000 a 50.000.000 de ptas
  • Las muy graves con multas de hasta 100.000.000 ptas
  • Se anexa una ampliación sobre este tema.
2. NUESTRO TRABAJO

Nuestro trabajo puede descomponerse en 6 puntos:
  • Análisis previo.
  • Propuesta de documento de seguridad.
  • Registro en la Agencia de protección de datos.
  • Formación de los responsables.
  • Propuesta de modificaciones en los sistemas informáticos.
  • Auditorías internas.
:: Análisis previo.

Nuestro trabajo consiste en estudiar los archivos que mantiene, el tratamiento que se les realiza, las medidas de seguridad establecidas, el acceso de los afectados a los datos y las carencias de seguridad de su sistema informático. Es decir, en que medida se cumplen los requisitos de la legislación. Una vez realizado este análisis le presentaremos nuestro programa de trabajo junto con nuestras condiciones económicas.

:: Consultoría

Como consecuencia de este estudio, propondremos las medidas para alinear su organización con lo que la legislación establece y las correcciones necesarias en su sistema informático. Redactaremos el documento de seguridad y nos ocuparemos del registro y legalización del mismo , así como de las características de los archivos. Las empresas que lo necesiten contarán también con nuestro soporte para la realización de auditorías internas. Informática
Nuestros técnicos, si Ud. lo desea, se encargarán de los ajustes necesarios en su sistema informático y de que se implante eficazmente el docuemento de seguridad.

3. NUESTRO ENFOQUE

Diseño del modelo a la medida de las características de cada cliente, asesorando sobre las distintas posibilidades de cumplir los requisitos de la norma.

Simplificación documental. Elaboraremos un sistema de seguridad sencillo que garantice el cumplimiento de la ley sin crear burocracias que dificulten el trabajo de la empresa y comprometa sus resultados.

Participación. Contaremos con los responsables de la empresa en el diseño del sistema. Nosotros aportaremos nuestra experiencia y conocimiento de la legislación, nuestro cliente su experiencia y necesidades para el día a día.

Informatización. Aprovecharemos al máximo los sistemas informáticos de la empresa ya instalados.

Tutoría. Al concluir el proyecto, nuestro apoyo continúa. Durante un año le ofrecemos gratuitamente el servicio de tutoría, para aclarar cualquier duda que pueda aparecer. La tutoría se ofrece por fax, por internet, através de nuestra web, y, si es necesario, mediante visita personal.

4. DEFENSA JURÍDICA

No queremos dejar ningún cabo suelto. Pensamos que nuestros clientes deben de contar con la mejor defensa jurídica especializada ante posibles inspecciones o demandas de afectados. Durante el primer año, a contar desde la fecha de registro del documento de seguridad, contará con un servicio gratuito de defensa jurídica de hasta un millón de pesetas. A partir del primer año le ofreceremos el mismo en condiciones muy ventajosas.

ANEXO

:: Infracciones y sanciones

Leves:

  1. No atender, por motivos formales, la solicitud del interesado de rectificación o cancelación de los datos personales objeto de tratamiento cuando legalmente proceda.
  2. No proporcionar la información que solicite la Agencia de Protección de Datos en el ejercicio de las competencias que tiene legalmente atribuidas, en relación con aspectos no sustantivos de la protección de datos.
  3. No solicitar la inscripción del fichero de datos de carácter personal en el Registro General de Protección de Datos, cuando no sea constitutivo de infracción grave.
  4. Proceder a la recogida de datos de carácter personal de los propios afectados sin proporcionarles la información que señala el artículo 5 de la presente Ley.
  5. Incumplir el deber de secreto establecido en el artículo 10 de esta Ley, salvo que constituya infracción grave
Graves:

  1. Proceder a la creación de ficheros de titularidad pública o iniciar la recogida de datos de carácter personal para los mismos, sin autorización de disposición general, publicada en el "Boletín Oficial del Estado" o diario oficial correspondiente.
  2. Proceder a la creación de ficheros de titularidad privada o iniciar la recogida de datos de carácter personal para los mismos con finalidades distintas de las que constituyen el objeto legítimo de la empresa o entidad.
  3. Proceder a la recogida de datos de carácter personal sin recabar el consentimiento expreso de las personas afectadas, en los casos en que éste sea exigible.
  4. Tratar los datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en la presente Ley o con incumplimiento de los preceptos de protección que impongan las disposiciones reglamentarias de desarrollo, cuando no constituya infracción muy grave.
  5. El impedimento o la obstaculización del ejercicio de los derechos de acceso y oposición y la negativa a facilitar la información que sea solicitada.
  6. Mantener datos de carácter personal inexactos o no efectuar las rectificaciones o cancelaciones de los mismos que legalmente procedan cuando resulten afectados los derechos de las personas que la presente Ley ampara.
  7. La vulneración del deber de guardar secreto sobre los datos de carácter personal incorporados a ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros, prestación de servicios de solvencia patrimonial y crédito, así como aquellos otros ficheros que contengan un conjunto de datos de carácter personal suficientes para obtener una evaluación de la personalidad del individuo.
  8. Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen.
  9. No remitir a la Agencia de Protección de Datos las notificaciones previstas en esta Ley o en sus disposiciones de desarrollo, así como no proporcionar en plazo a la misma cuantos documentos e informaciones deba recibir o sean requeridos por aquél a tales efectos.
  10. La obstrucción al ejercicio de la función inspectora.
  11. No inscribir el fichero de datos de carácter personal en el Registro General de Protección de Datos, cuando haya sido requerido para ello por el Director de la Agencia de Protección de Datos.
  12. Incumplir el deber de información que se establece en los artículos 5, 28 y 29 de esta Ley, cuando los datos hayan sido recabados de persona distinta del afectado.
Muy graves:

  1. La recogida de datos en forma engañosa y fraudulenta.
  2. La comunicación o cesión de los datos de carácter personal, fuera de los casos en que estén permitidas.
  3. Recabar y tratar los datos de carácter personal a los que se refiere el apartado 2 del artículo 7 cuando no medie el consentimiento expreso del afectado; recabar y tratar los datos referidos en el apartado 3 del artículo 7 cuando no lo disponga una Ley o el afectado no haya consentido expresamente, o violentar la prohibición contenida en el apartado 4 del artículo 7.
  4. No cesar en el uso ilegítimo de los tratamientos de datos de carácter personal cuando sea requerido para ello por el Director de la Agencia de Protección de Datos o por las personas titulares del derecho de acceso.
  5. La transferencia temporal o definitiva de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento, con destino a países que no proporcionen un nivel de protección equiparable sin autorización del Director de la Agencia de Protección de Datos.
  6. Tratar los datos de carácter personal de forma ilegítima o con menosprecio de los principios y garantías que les sean de aplicación, cuando con ello se impida o se atente contra el ejercicio de los derechos fundamentales g) La vulneración del deber de guardar secreto sobre los datos de carácter personal a que hacen referencia los apartados 2 y 3 del artículo 7, así como los que hayan sido recabados para fines policiales sin consentimiento de las personas afectadas.
  7. No atender, u obstaculizar de forma sistemática el ejercicio de los derechos de acceso, rectificación, cancelación u oposición.
  8. No atender de forma sistemática el deber legal de notificación de la inclusión de datos de carácter personal en un fichero.
Prescripción de la infracción

Leves: 1 año
Graves: 2 años.
Muy graves: 3 años.

:: Sanciones

Leves: 100.000 a 10.000.000 ptas.
Graves: 10.000.001 a 50.000.000 ptas.
Muy graves: 50.000.001 a 100.000.000 ptas.

La cuantía de las sanciones se graduará atendiendo a la naturaleza de los derechos personales afectados, al volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de intencionalidad, a la reincidencia, a los daños y perjuicios causados a las personas interesadas y a terceras personas, y a cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora.

Prescripción de la sanción.

Leves: 1 año.
Graves: 2 años.
Muy graves: 3 años.

Inmovilización de ficheros

En el caso de utilización o cesión ilícita de datos que atenten contra los derechos fundamentales, el Director de la A.P.D. podrá requerir a los responsables de los ficheros, tanto públicos como privados, la cesación de la utilización o cesión ilícita de los datos. Si se desatiende el requerimiento, se podrán inmovilizar los ficheros mediante resolución motivada.

[ Contactar con nosotros ]
 :: Almuerzo con la prensa


>>> ver noticias

 :: Enlaces recomendados










© 2006 - 2010 Consell Expert es propiedad de GRUP ADELAI III, S.L. CIF B64431240 | Aviso legal

Creación y diseño página web Tucan IT