Consultas Online
Consulta formulada por:
ONG en proceso de constitución
Tenemos varias dudas relacionadas con la LOPD
21.01.13
Hola,
Estamos a la espera del ministerio para el registro oficial de una nueva asociación, y tenemos varias dudas sobre la LOPD.
En cuanto empecemos a tener socios, se realizará un fichero tipo excell, con los datos personales básicos (nombre, domicilio, contacto y formación). Me ha quedado claro gracias a las demás consultas del foro que hay que registrarlo en la Agencia de Protección de Datos, pero no sé cuándo debemos hacerlo o notificarlo, desde el principio aunque no se supere la decena de socios, o más adelante. Es que no entendemos si lo que se notifica en el registro es la existencia de un fichero o lo que contiene el fichero.
En cuanto al representante del mismo, ¿debe ser una persona física o puede ser la misma asociación?
Y por último, ¿a que se refiere con medidas de seguridad?. Entiendo que en nuestro caso es de nivel básico pero en la práctica que significa, por ejemplo ¿que el excell tenga una clave de seguridad?
Muchas gracias de antemano,
Estefanía
Respuestas
Aportada por:
Mabel Cueto (IP-PRIVACY®)
Trabaja en:
Asesor particular
21.01.13
Hola, buenas tardes Estefanía,
Como muy bien comentas, la asociación debe de notificar los ficheros que correspondan.
El momento de la notificación no depende de si son 10 ó 5 socios. La asociación debe de hacer dicha notificación desde el principio, desde su misma creación. Y con relación a qué se notifica en el registro?, te comento que se notifica la futura y presente existencia de un fichero X, cuya denominación será “Socios”, por ejemplo y que el tipo de datos que se trataran serán: nombre, domicilio, DNI, estudios, No. cta. bancaria, etc. (marcando unos recuadros de un formulario de inscripción fichero) Por ejemplo.
En sentido general, el responsable del o los ficheros puede ser persona física o jurídica. Pero en vuestro caso como sois una asociación y ésta es la Responsable del fichero, debe de ser notificado a nombre/como responsable del mismo, la asociación como persona jurídica.
Y por último, ¿a que se refiere con medidas de seguridad?. Las medidas de seguidad se refieren a las pautas, tanto técnicas como organizativas que la asociación debe cumplir y aplicar en el tratamiento de datos de carácter personal. Tanto a nivel automatizado (información/tratamiento en soporte informático) como a nivel noautomatizado (información/tratamiento a nivel papel).
Según el tipo de datos que la asociación trate, será de nivel básico, medio o alto. De acuerdo a lo que comentas, será de nivel básico; en ese sentido, por mencionarte algunas medidas, serían: a) notificación de ficheros; b) Redacción de Documento de Seguridad; c) Documentos de confidencialidad para empleados, proveedores; d) Relación de usuarios de los sistemas de información de la asociación; e) formulario de incidencias; f) establecer medidas técnicas de acceso a la información a nivel informatizado(tanto en el inicio del ordenador, como para entrar a las aplicaciones y/o archivos a nivel infomatizado a través de Usuario/contraseña; y a nivel papel, que los armarios archivadores o muebles donde se archive la información, tenga posibilidad de cierre bajo llave; g) etc.
Espero haber dado un poco de luz a tus dudas. En cualquier caso, quedo a tu disposición.
Que tengas buen resto del día.
Saludos cordiales,
Mabel Cueto
Aportada por:
Funcionario de la Junta de Andalucía. Abogado no ejerciente. Doctorando en Derecho.
Trabaja en:
Asesor particular
21.01.13
Hola Estefanía: en relación con la consulta planteada, paso a informarte lo siguiente: inicialmente, debemos de partir de lo dispuesto en el artículo 14 de la Ley Orgánica 1/2002, reguladora del Derecho de Asociación, a cuyo tenor:
“2. Los asociados podrán acceder a toda la documentación que se relaciona en el apartado anterior, a través de los órganos de representación, en los términos previstos en la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal”.
De esta suerte, pues, siempre que se proceda al tratamiento de datos personales, definidos en el art. 3,a) de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos Personales, como “cualquier información concerniente a personas físicas identificadas o identificables,” que suponga la inclusión de dichos datos en un fichero, considerado por la propia norma (artículo 3.b).), como “conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso,” el fichero se encontrará sometido a la Ley, siendo obligatoria su inscripción en el Registro General de Protección de Datos, conforme dispone el artículo 26 de la Ley Orgánica 15/1999, de 13 de diciembre, el cual sienta que:
“Toda persona o entidad que proceda a la creación de ficheros de datos de carácter personal lo notificará previamente a la Agencia Española de Protección de Datos.
Por vía reglamentaria se procederá a la regulación detallada de los distintos extremos que debe contener la notificación, entre los cuales figurarán necesariamente el responsable del fichero, la finalidad del mismo, su ubicación, el tipo de datos de carácter personal que contiene, las medidas de seguridad, con indicación del nivel básico, medio o alto exigible y las cesiones de datos de carácter personal que se prevean realizar y, en su caso, las transferencias de datos que se prevean a países terceros.
Deberán comunicarse a la Agencia Española de Protección de Datos los cambios que se produzcan en la finalidad del fichero automatizado, en su responsable y en la dirección de su ubicación.
El Registro General de Protección de Datos inscribirá el fichero si la notificación se ajusta a los requisitos exigibles. En caso contrario podrá pedir que se completen los datos que falten o se proceda a su subsanación.
Transcurrido un mes desde la presentación de la solicitud de inscripción sin que la Agencia Española de Protección de Datos hubiera resuelto sobre la misma, se entenderá inscrito el fichero automatizado a todos los efectos.”
Tanto para inscribir, como para suprimir o modificar la inscripción de un fichero en el Registro General de Protección de Datos, se deberá cumplimentar el modelo establecido en la Resolución de 12 de julio de 2006, de la Agencia Española de Protección de Datos, (B.O.E. 181 de 31 de julio de 2006), por la que se aprueban los formularios electrónicos a través de los que deberán efectuarse las solicitudes de inscripción de ficheros en el Registro General de Protección de Datos, así como los formatos y requerimientos a los que deben ajustarse las notificaciones remitidas en soporte informático o telemático.
El formulario electrónico de NOtificaciones Telemáticas a la AEPD (NOTA) permite la presentación de notificaciones a través de Internet (con y sin certificado de firma electrónica reconocido), mediante soporte informático (disquete, CDROM) y en soporte papel. Dicho formulario interactivo, en formato PDF, se encuentra disponible en la página web de la Agencia ( www.agpd.es )
De lo indicado en el citado artículo 26 de la Ley Orgánica se desprende que la notificación de los ficheros habrá de ser previa a la creación de los mismos, por lo que la ausencia de dicha notificación sería una conducta constitutiva de infracción leve, con arreglo a lo dispuesto en el artículo 44.2.c) de la propia Ley.
-En lo relativo al responsable de un fichero o tratamiento es la entidad, persona o el órgano administrativo que decide sobre la finalidad, el contenido y el uso del tratamiento de los datos personales. De esta forma, una sociedad mercantil será la responsable de los ficheros que contienen datos relativos a sus empleados y a sus clientes; un autónomo o empresario individual será responsable del tratamiento de los datos personales de sus clientes, una asociación sera responsable del fichero de sus socios, recayendo la responsabilidad del fichero normalmante, siempre y cuando venga determinado por los estatutos asociativos, en la figura del Secretario de la entidad asociativa, el cual debe velar por evitar que los datos personales tengan accesos no autorizados, o se usen para fines no autorizados (artículo 9 de la Ley Orgánica 15/199, de 13 de diciembre).
Por último, en lo relativo a las medidas de seguridad que deberá tener el fichero privado de la entidad asociativa, el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, fija tres niveles datos de carácter personal, atendiendo a la naturaleza de la información, correspondiente a vuestra entidad asociativa el nivel básico relativo a la protección de datos de carácter personal.
A tal efecto, te remito en archivo adjunto un documento relativo a la Guia Responsable de Ficheros.
Espero haberte ayudado.
Cordialmente,
Rafael Pérez Castillo.
rperezcastillo@gmail.com
Esta aportación tiene un documento que la complementa. ¡Descárgalo!
Aportada por:
Consultora Especializada en Protección de Datos. Shocktech y Protechplus, S.L.U. www.protechplus.es
Trabaja en:
Asesor particular
21.01.13
Estimada Estefenía,
Es importante que comprendas lo que significa globalmente cumplir con la LOPD, puesto que la notificación de los ficheros es sólo una parte de todo el proceso, como lo puedes ver en el documento que ha adjuntado Rafael.
Lo primero decirte que la LOPD es una ley de obligado cumplimiento para toda empresa, entidad o profesional que trate datos de carácter personal.
Se define como tratamiento a cualquier operación o procedimiento técnico, sea o no automatizado, que permita la recogida, grabación, conservación, elaboración, modificación, consulta, utilización, cancelación, bloqueo o supresión, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias. (Art.5.t RLOPD).
Quien debe velar por la seguridad de estos datos, cumpliendo con la LOPD es el Responsable del Fichero: la persona física o jurídica, de naturaleza pública o privada, u órgano administrativo que sólo o conjuntamente con otros decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase materialmente. (Art.5.q RLOPD).
El Reglamento obliga a establecer:
● El Entorno Jurídico, Contratos entre Responsables de los Ficheros y Encargados de Tratamiento , Prestadores de servicios, personal interno y externo
● Medidas Técnicas sobre el sistema de información y atendiendo al nivel de seguridad.
Ejemplos de medidas técnicas nivel básico:
Control de Acceso
o Relación actualizada de usuarios y accesos autorizados.
o Control de accesos permitidos a cada usuario según las funciones asignadas.
o Mecanismos que eviten el acceso a datos o recursos con derechos distintos de los autorizados.
o Concesión de permisos de acceso sólo por personal autorizado.
o Mismas condiciones para personal ajeno con acceso a los recursos de datos
Identificación y autenticación (Automatizados)
o Identificación y autenticación personalizada.
o Procedimiento de asignación y distribución de contraseñas.
o Almacenamiento ininteligible de las contraseñas.
o Periodicidad del cambio de contraseñas (<1 año).
Copias de Respaldo
o Copia de respaldo semanal.
Criterios de Archivo
o El archivo de los documentos debe realizarse según criterios que faciliten la consulta y localización para garantizar el ejercicio de los derechos de Acceso, Rectificación, Cancelación, Oposición y Revocación (ARCOR).
Almacenamiento
o Dispositivos de almacenamiento dotados de mecanismos que obstaculicen su apertura.
● Medidas de Gestión: tienen que ver con la actualización del documento de seguridad y sus inventarios y registros, la garantía de los derechos ARCOR de los afectados, las revisiones de seguridad semestrales de los procedimientos implantados y las auditorías bianuales.
Garantía de los derechos de acceso, rectificación, cancelación, opo-sición y revocación: el Responsable del Fichero o Tratamiento deberá adoptar las medidas oportunas para garantizar que las personas de su organización que tiene acceso a datos de carácter personal puedan informar del procedimiento a seguir por el afectado para el ejercicio de sus derechos. Deberá establecer un procedimiento de contestación y de gestión que garantice el ejercicio de los derechos del afectado.
Notificación de los ficheros ante la Agencia de Protección de Datos
Todo fichero de datos de carácter personal será notificado a La Agencia Española de Protección de Datos por la persona o entidad pública o privada que pretenda crearlos, con carácter previo a su creación. (Art 55.1 y 2- RLOPD).
El Documento de Seguridad. (Art. 88 RLOPD)
Es un documento interno de la organización, que debe mantenerse siempre actualizado. Disponer del documento de seguridad es una obligación para todos los responsables de ficheros, y en su caso, para los Encargados del Tratamiento, con independencia del nivel de seguridad que sea necesario aplicar.
Los apartados mínimos que debe incluir el documento de seguridad son los siguientes:
Parte I: Ámbito de aplicación del documento de seguridad con especificación detallada de los recursos protegidos.
Parte II: Medidas, normas, procedimientos, reglas y estándares exigidos en el reglamento, 1720/2007 de 21 de diciembre, atendiendo al nivel de seguridad del responsable.
Parte III: Procedimientos implantados por el responsable fichero para garantizar atendiendo a su nivel de seguridad lo exigido en el reglamento, 1720/2007 de 21 de diciembre.
Parte IV Anexos
Anexo I Relación de ficheros.
Anexo II Registro de ficheros temporales.
Anexo III Relación de terminales.
Anexo IV Relación de aplicaciones.
Anexo V Relación de ubicaciones.
Anexo VI Relación de sedes.
Anexo VII Registro de soportes.
Anexo VIII Relación de usuarios y niveles de acceso.
Anexo IX Personal externo con acceso a datos.
Anexo X Autorización y delegación de autorizaciones.
Anexo XI Prestadores de servicios con acceso a datos sin autorización a tratamiento.
Anexo XII Relación de encargados del tratamiento.
Quedo disponible para ampliar la información que necesiten.
Cordial saludo,
CLARA OSPINA
clarao@asesorshock.com