Si necesita ayuda, tenemos una lista de preguntas frecuentes y respuestas. Haga clic en una pregunta para ver su respuesta.

¿Qué nivel de medidas de seguridad deben implantarse en un fichero de titularidad privada?

Todos los ficheros o tratamientos de datos de carácter personal deberán adoptar las medidas de nivel básico establecidas en el Reglamento de desarrollo de la LOPD aprobado mediante Real Decreto 1720/2007, de 21 de diciembre (RLOPD).

Deberán implantarse, además de las medidas de nivel básico, las medidas de nivel medio, cuando:

○ Se trate de un fichero responsabilidad de las entidades financieras para finalidades relacionadas con la prestación de servicios financieros.
○ Se trate de un fichero para la prestación de servicios de información de solvencia patrimonial o crédito.
○ Tenga la finalidad de realizar tratamientos sobre cumplimiento/incumplimiento de obligaciones dinerarias.
○ Se trate de ficheros responsabilidad de las mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social.
○ Contengan un conjunto de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos. (CV)

Se implantarán las medidas de seguridad de nivel alto para cualquier fichero de datos de carácter personal que se refiera a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual, así como para los que contengan datos derivados de actos de violencia de género y los ficheros a los que se refiere el artículo 32 de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo.

¿Qué nivel de medidas de seguridad deben implantarse en un fichero de titularidad pública?

Todos los ficheros o tratamientos de datos de carácter personal deberán adoptar las medidas de nivel básico establecidas en el Reglamento de desarrollo de la LOPD (RD 1720/2007, de 21 de diciembre).

Deberán implantarse, además de las medidas de seguridad de nivel básico, las medidas de nivel medio en los siguientes ficheros de datos de carácter personal:

○ Los relativos a la comisión de infracciones administrativas o penales.
○ Aquellos de los que sean responsables Administraciones Tributarias y se relacionen con el ejercicio de potestades tributarias.
○ Aquellos de los que sean responsables las Entidades Gestoras y Servicios Comunes de la Seguridad Social y se relacionen con el ejercicio de sus competencias. De igual modo, aquellos de los que sean responsables las mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social.
○ Aquellos que contengan un conjunto de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos. (CV)

Se implantarán las medidas de seguridad de nivel alto para cualquier fichero de datos de carácter personal que se refiera a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual, los que contengan o se refieran a datos recabados para fines policiales sin consentimiento de las personas afectadas, así como para los que contengan datos derivados de actos de violencia de género y en los ficheros de las Notarías para la gestión y registro de las obligaciones en materia de blanqueo de capitales.

Un dato de carácter personal es cualquier información numérica, alfabética, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables, tanto la relativa a su identidad (como nombre y apellidos, domicilio, filiación, una fotografía o video, etc...) como la relativa a su existencia y ocupaciones (estudios, trabajo, enfermedades, etc.). Debemos prestar atención a las nuevas tecnologías y las redes sociales.

Ejemplos de datos de carácter personal son las direcciones postales, las cuentas de correo electrónico, el DNI, las altas y bajas médicas, la información financiera y fiscal o la afiliación política, curriculums vitae(CV), etc.

Los datos relativos a una persona jurídica (domicilio, denominación social, CIF, etc.) no tienen la consideración de datos de carácter personal, por lo tanto, no le será de aplicación el Reglamento de Protección de Datos. En cambio números de cuenta de dicha sociedad y DNI del titular de la sociedad si es un dato personal.

La instalación de videocámaras ¿Supone un tratamiento de datos de carácter personal?

La imagen es un dato de carácter personal ya que identifica o hace identificable a una persona.

En este sentido, la instalación de cámaras, con diversas finalidades como podría ser la seguridad, el control laboral, el acceso a zonas restringidas captando la matrícula del coche y la imagen del conductor, o incluso la monitorización de una UVI, supondría un tratamiento de datos de carácter personal y en consecuencia, se le aplicaría la normativa de protección de datos.

La Lista Robinson (www.listarobinson.es) se configura como un fichero de exclusión publicitaria con la finalidad de quien se registre en el mismo, evite recibir publicidad de entidades con las que no se mantiene o no se ha mantenido ningún tipo de relación.

El citado fichero de exclusión no impide recibir publicidad de las entidades que obtuvieron consentimiento para ello, por ejemplo cuando se contrató el servicio de telefonía. En estos casos procede que el usuario revoque el consentimiento inicialmente prestado o ejercite el derecho de oposición.

Por otra parte, se podrán presentar reclamaciones ante esta Agencia relacionadas con la recepción de publicidad:

○ Si no es cliente de la entidad que realiza la publicidad, y figura en guías con marca de oposición a la publicidad o en un fichero de exclusión publicitaria (lista Robinson).
○ Si es cliente, pero a los 10 días de haberse opuesto sigue recibiendo comunicaciones comerciales de la misma entidad, en cuyo caso deberá presentar la documentación acreditativa de haber solicitado la oposición y de haber recibido publicidad con posterioridad.
○ Si se reciben comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.
○ Si se reciben comunicaciones comerciales en las que se disimule o se oculte la identidad del remitente por cuenta de quien se efectúa la comunicación o que contravengan lo dispuesto en la Ley, o aquellas en las que se incite a los destinatarios a visitar páginas de internet que contravengan lo dispuesto en la Ley.

Las medidas de seguridad adoptadas deberán ajustarse a las previsiones contenidas en los artículos 79 y siguientes del Reglamento de desarrollo de la LOPD, que establece tres niveles de seguridad (básico, medio y alto) en función de la tipología de datos que se recaben. Ambos, el responsable y el encargado del tratamiento, en sus áreas de responsabilidad que dependerá del modelo de Cloud implantado deberán implementar estas medidas. En particular, aquellas que sean responsabilidad del prestador del servicio de Cloud, la deberá exigir el responsable del tratamiento mediante el oportuno contrato escrito (artículo 12 LOPD).

Entre estas medidas destacan las siguientes:

○ Ambas partes deberán intercambiar información sobre la naturaleza de los datos para establecer un nivel de seguridad apropiado.
○ El proveedor de servicios Cloud ha de garantizar la conservación de los datos, mediante la realización de copias de seguridad periódicas y dotando a su infraestructura de los mayores niveles de seguridad física y lógica.
○ El proveedor ha de establecer mecanismos seguros de autenticación para el acceso a la información por parte de los responsables del tratamiento así como por parte de los clientes, en los términos que el responsable determine. Estos mecanismos han de permitir la compartición e intercambio de información sin que por supuesto sea posible que personas no autorizadas accedan a información reservada o confidencial.
○ En caso de cifrado de datos, el proveedor ha de dar a conocer al responsable el nivel de seguridad ofrecido por las técnicas de cifrado de la información que aplique en sus sistemas. Asimismo, es fundamental acordar el procedimiento de recuperación y migración de los datos a la terminación de la relación entre el responsable y el proveedor; así como el mecanismo de borrado de los datos por parte del proveedor una vez que estos han sido transferidos al responsable o al nuevo proveedor designado por éste.
○ Habida cuenta de que en numerosos casos los ficheros contendrán datos especialmente protegidos es necesario que el encargado del tratamiento establezca un registro de los accesos realizados a los datos.

El denominado 'derecho al olvido' es la manifestación de los tradicionales derechos de cancelación y oposición aplicados a los buscadores de internet.

En concreto, incluye el derecho a limitar la difusión universal e indiscriminada de datos personales en los buscadores generales cuando la información es obsoleta o ya no tiene relevancia ni interés público, aunque la publicación original sea legítima (en el caso de boletines oficiales o informaciones amparadas por las libertades de expresión o de información).