Saltar al contenido principal

Consultas Online

avatar

Consulta formulada por:

Beatriz Aragonés Martínez

Hemos creado un fichero con clave en la APD ¿Tenemos que enviarles información anual?

29.06.14

Hola,

Estamos registrados en la Agencia de Protección de Datos y hemos creado el fichero con clave para que no pueda acceder un tercero, ¿tenemos que enviarles información anual? Creo que tenemos también que generar una memoria o instrucción técnica sobre cómo gestionamos los datos, ¿estoy en lo cierto?

Gracias.

Compárte en las redes sociales

Respuestas

avatar
#1

Opinión anónima

30.06.14

Buenas tardes,

la Asociación, como sujeto obligado por la Ley de Protección de Datos de Carácter Personal (en adelante LOPD) realiza, indudablemente, un tratamiento de datos personales (asociados, empleados, etc.), que la obliga, con carácter previo a la creación de un fichero (ver 1) físico/automatizado de datos personales, a notificar a la Agencia Española de Protección de Datos (en adelante AEPD): quien es el responsable de ese/os fichero/s, su identificación, su finalidad o usos previstos, su sistema de tratamiento, su ubicación, el tipo de datos de carácter personal (colectivo de personas) que contiene, las medidas de seguridad, con indicación del nivel básico, medio o alto exigible y, en su caso, las posibles cesiones a realizar, la identificación del encargado de tratamiento y las transferencias de datos que se prevean a terceros países.

Puesto que la inscripción en el Registro General de un fichero debe encontrarse actualizada en todo momento, deberán comunicarse a la AEPD los cambios que se produzcan en la finalidad del fichero (niveles de seguridad), en su responsable (cambio de personalidad jurídica)y en la dirección de su ubicación.

Sobre la “memoria o instrucción técnica”, entiendo que se refiere al Documento de Seguridad que la Asociación debe elaborar, donde se recojan las medidas de índole técnica y organizativa acordes a la normativa de seguridad y que será de obligado cumplimiento para el personal con acceso a los sistemas de información; contenido mínimo:

a) Ámbito de aplicación del documento con especificación detallada de los recursos protegidos.

b) Medidas, normas, procedimientos de actuación, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en el reglamento.

c) Funciones y obligaciones del personal en relación con el tratamiento de los datos de carácter personal incluidos en los ficheros.

d) Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan.

e) Procedimiento de notificación, gestión y respuesta ante las incidencias.

f) Los procedimientos de realización de copias de respaldo y de recuperación de los datos en los ficheros o tratamientos automatizados.

g) Las medidas que sea necesario adoptar para el transporte de soportes y documentos, así como para la destrucción de los documentos y soportes, o en su caso, la reutilización de estos últimos.

(1) Fichero: todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.

Saludos,

avatar
#2

Aportada por:

Valentín Playá Serra

Abogado y especialista en Tecnologias de la Informacion

Trabaja en:

Asesor particular

30.06.14

Beatriz,

no hay que enviar información anual.

Sí hay que elaborar un documento de seguridad explicando las medidas de seguridad que tienen los ficheros físicos y electrónicos que contienen datos personales. En la web de la agencia encontrarás ejemplos.

Saludos,

avatar
#3

Respuesta del participante:

Beatriz Aragonés Martínez

30.06.14

Muchas gracias Manuel y Valentín por las respuestas.
Un abrazo,

avatar
#4

Aportada por:

Rafael Perez Castillo

Funcionario de la Junta de Andalucí­a. Abogado no ejerciente. Doctorando en Derecho.

Trabaja en:

Asesor particular

06.07.14

Estimada Beariz: en relación con la consulta establecida, paso a informarte lo siguiente: inicialmente, debemos de partir de lo dispuesto en el art. 25 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, el cual establece que:
“Podrán crearse ficheros de titularidad privada que contengan datos de carácter personal cuando resulte necesario para el logro de la actividad u objeto legítimos de la persona, empresa o entidad titular y se respeten las garantías que esta Ley establece para la protección de las personas.”
Así pues, dispone dicho precepto legal que podrá crearse ficheros de titularidad privada que contengan datos de carácter personal cuando resulte necesario para el logro de la actividad u objeto legítimos de la persona, empresa o entidad titular y se respeten las garantías que la Ley establece para la protección de las personas.
A su vez, el art. 26 de la Ley Orgánica 15/1999, menciona que:
“1. Toda persona o entidad que proceda a la creación de ficheros de datos de carácter personal lo notificará previamente a la Agencia de Protección de Datos.
2. Por vía reglamentaria se procederá a la regulación detallada de los distintos extremos que debe contener la notificación, entre los cuales figurarán necesariamente el responsable del fichero, la finalidad del mismo, su ubicación, el tipo de datos de carácter personal que contiene, las medidas de seguridad, con indicación del nivel básico, medio o alto exigible y las cesiones de datos de carácter personal que se prevean realizar y, en su caso, las transferencias de datos que se prevean a países terceros.
3. Deberán comunicarse a la Agencia de Protección de Datos española o autonómica, según corresponda, los cambios que se produzcan en la finalidad del fichero automatizado, en su responsable y en la dirección de su ubicación.
4. El Registro General de Protección de Datos inscribirá el fichero si la notificación se ajusta a los requisitos exigibles.
En caso contrario podrá pedir que se completen los datos que falten o se proceda a su subsanación.
5. Transcurrido un mes desde la presentación de la solicitud de inscripción sin que la Agencia de Protección de Datos hubiera resuelto sobre la misma, se entenderá inscrito el fichero automatizado a todos los efectos.”
De este precepto legal cabe referir que el apartado tercero dispone la obligatoria comunicación a la Agencia Española de Protección de Datos de los cambios que se produzcan en la finalidad del fichero automatizado, en su responsable y en la dirección de su ubicación.
En una ordenación secuencial lógica lo previsto en el apartado cuarto del precepto legal que se analiza, debiera proceder a lo establecido en lo previsto en el apartado tercero comentado, en cuanto que parece que los cambios de que se trata deberán ser notificados una ve que esté inscrito el fichero privado en la Agencia. de Protección de Datos.
No obstante, aunque la cuestión no está suficiente clara, cabe entender que cualquier duda que se plantee debe resolverse en favor de la obligatoriedad de la inscripción de los datos necesarios para el ejercicio de todos los derechos del afectado. Así lo establece el art. 39.2 de Ley Orgánica 15/1999, de 13 de diciembre, el cual dispone que: “Serán objeto de inscripción en el Registro General de Protección de Datos:
a) Los ficheros de que sean titulares las Administraciones públicas.
b) Los ficheros de titularidad privada.
c) Las autorizaciones a que se refiere la presente Ley.
d) Los códigos tipo a que se refiere el artículo 32 de la presente Ley.
e) Los datos relativos a los ficheros que sean necesarios para el ejercicio de los derechos de información, acceso, rectificación, cancelación y oposición.”
Por su parte, el art. 24 del Real Decreto 428/1993, de 26 de marzo, por el que se aprueba el Estatuto de la Agencia de Protección de Datos, refiere que:
“4. En los asientos de inscripción de cualesquiera ficheros de datos de carácter personal figurarán los datos relativos a los ficheros que sean necesarios para el ejercicio de los derechos de información, acceso, rectificación y cancelación.”
De esta suerte, un cambio en la previsión de las cesiones o transferencias que se vayan a realizar al poder afectar a los derechos de los afectados, no se ve la razón de este cambio, u otros, respecto de la información notificada e inscrita en su día en la Agencia, no deban acceder al Registro.
Por su parte, respecto al hecho de generar una memoria o instrucción técnica sobre cómo gestionamos los datos, cabe entender, tal como refieren mis compañeros Valentín y Manuel V., que se están refiriendo al denominado “documento de seguridad. A tal efecto, el art. 9 de la Ley Orgánica 15/1999, establece en su punto 1 que “el responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural”.
A su vez, el Real Decreto 1720/2007, de 21 de diciembre, aprobó el Reglamento de desarrollo de la Ley Orgánica de Protección de Datos Personales que, en su Título VIII, establece las medidas de índole técnico y organizativo que los responsables de los tratamiento o los ficheros y los encargados de tratamiento han de implantar para garantizar la seguridad en los ficheros, los centros de tratamiento, locales, equipos, sistemas, programas y las personas que intervengan en el tratamiento de datos de carácter personal.
Entre estas medidas, se encuentra la elaboración de un documento que recogerá las medidas de índole técnica y organizativa acorde a la normativa de seguridad vigente que será de obligado cumplimiento para el personal con acceso a los datos de carácter personal.
Al respecto, te reenvío el link de enlace -https://www.agpd.es/portalwebAGPD/canalresponsable/guia_documento/index-ides-idphp.php-, donde podrás encontrar un modelo de Documento de Seguridad.
Espero haberte ayudado.
Cordialmente.
Rafael Perez Castillo.
rperezcastillo@gmail.com

solucionesong.org
Un proyecto de