La Ley obliga a que cuando se dispongan de datos de carácter personal registrados en soporte físico (papel o informático):

* Cumplir las medidas de seguridad necesarias en función del tipo de datos que posean.

* Notificar a la Agencia de Protección de Datos de la existencia de ficheros con datos.

 Se considera dato de carácter personal a todo aquel que nos identifica: Nombre y apellidos, DNI, una imagen, un teléfono, nuestro curriculum, datos de salud, afiliación sindical, los datos de una factura con nuestro número de cuenta, etc.

¿Quienes están obligados ?

Todas personas físicas que realicen una actividad económica, empresas, entidades públicas y otros organismos que gestionen datos de carácter personal.

¿Por qué debo adaptarme a la Ley Orgánica de Protección de Datos?

•  Para fomentar la adopción de medidas de seguridad, tanto técnicas como organizativas, que protegerían a su negocio de la pérdida de activos críticos. 
• Para mantenerse en la legalidad, alejando el riesgo de ser sancionado, por no cumplir con sus obligaciones como responsable de los datos que le hayan delegado, para la presentación de un servicio concreto, una relación contractual o una relación laboral.

Tipo de Infracción / Sanción

LEVE (de 900 a 40.000 €)

• No inscribir el fichero en el Registro General
• Incumplimiento del deber de información al afectado

GRAVE (de 40.001 a 300.000 €)

• Tratar datos de carácter personal sin recabar el consentimiento de las personas afectadas.
• Impedir u obstaculizar el ejercicio de los derechos de acceso, rectificación, posición y cancelación.

MUY GRAVE (de 300.001 a 600.000 €)

• Recoger datos protegidos sin conocimiento expreso.
• Comunicar o ceder datos sin consentimiento.
• Recoger datos de forma fraudulenta.

Las medidas de seguridad se clasifican en tres niveles acumulativos (básico, medio y alto) atendiendo a la naturaleza de la información tratada, en relación con la menor o mayor necesidad de garantizar la confidencialidad y la integridad de la información. 

Nivel Básico:

Se aplicará entre otros, a los ficheros que solo contengan datos identificativos y a todos los niveles Medio y Alto.

Ejemplos: nombre, domicilio, teléfono, DNI, número de afiliación a la seguridad social, fotografía, firmas, correos electrónicos, datos bancarios, edad, fecha de nacimiento, sexo, nacionalidad, etc.

 Nivel Medio:

Se aplicará esta protección, entre otros, a los ficheros que contengan datos relativos a solvencia patrimonial, operaciones financieras y de crédito; además de los ficheros que contengan  un conjunto de datos que ofrezcan una definición de las características de la personalidad  de los ciudadanos y que permitan evaluar aspectos de la personalidad o del comportamiento de los mismos.

Ejemplos: datos de personalidad, hábitos de consumo, hábitos de carácter, datos seguridad social, solvencia patrimonial y crédito, antecedentes penales, sanciones administrativas, pruebas psicotécnicas, currículos, etc.

 Nivel Alto:

Son las que se aplican a los ficheros que contienen datos especialmente protegidos como los relativos a ideología, afiliación sindical y política, religión y creencias, origen racial, salud, alimentación, bajas laborales, vida y práctica sexual, etc.a

Según RD 1720/2007 por el cual se desarrolla la Ley Orgánica de Protección de Datos 15/1999.

  Medidas de Seguridad Nivel Básico:

• Redacción documento de seguridad
• Definición funciones del personal
• Registro de incidencias
• Identificación y autentificación de usuarios
• Control de acceso
• Gestión de soportes y documentos.
• Contratos con encargados de tratamiento
• Derechos de acceso, rectificación y cancelación
• Obligatoriedad copia de seguridad

 Medidas de Seguridad Nivel Medio:

• Incluye las medidas del nivel anterior
• Nombramiento Responsable seguridad
• Auditoria Bienal
• Control de acceso físico
• Registro de salida/entrada de soportes.

 Medidas de Seguridad Nivel Alto:

• Incluye las medidas del nivel anterior
• Copias de respaldo y recuperación, copia de seguridad externalizada.
• Registro de accesos, registro de logs durante 24 meses mínimo.
• Cifrado de copias, copia de seguridad encriptada
• Cifrado de telecomunicaciones, envío de mails encriptadas.

• ANÁLISIS Y DIAGNÓSTICO DE SEGURIDAD 

Realización de una toma de datos in situ en al empresa con el fin de recabar la información necesaria para identificar los ficheros existentes y elaborar toda la documentación jurídica y administrativa (Documento de Seguridad, Cláusulas Legales, etc.), así como gestionar el registro de sus ficheros de datos ante la Agencia Española de Protección de Datos (AEPD).

Este primer paso de la consultoría de protección de datos nos permite definir los niveles de seguridad a aplicar en cada uno de los ficheros. 

• ALTA Y REGISTRO DE FICHEROS EN AEPD

 Una vez analizada la situación de su empresa, clasificamos sus ficheros en función de su contenido y finalidad, redactamos la documentación necesaria para realizar su inscripción y tramitamos el alta en la A.E.P.D..

Nuestro trabajo dentro del servicio de consultoría de protección de datos será el de cumplimentar los formularios y realizar la presentación de las solicitudes de inscripción de los ficheros, legalizando de esta manera la situación de su empresa ante la Agencia Española de Protección de Datos. 

• ELABORACIÓN DE DOCUMENTACIÓN DE SEGURIDAD

 En esta fase del servicio de consultoría de protección de datos, se diseñan y elaboran los procedimientos legales, que serán personalizados para su empresa :

a) Redacción del Documento de Seguridad.

En nuestro Despacho Profesional, redactaremos las medidas de seguridad de índole técnica y organizativa para su empresa. En tal documento se establecerán los requisitos y condiciones que deban reunir los ficheros y las personas que intervengan en el tratamiento de los datos de carácter personal .

b) Elaboración del documento de confidencialidad.

Consiste en la redacción de los contratos entre la empresa y los trabajadores con acceso a información, quedando recogidas las cláusulas de deber de secreto .

También se elaborarán las cláusulas, circulares y textos legales necesarios para comunicar diversos aspectos referentes al cumplimiento de la LOPD.

c) Elaboración de contratos de tratamiento de datos. Estudio de la cesión de datos.

 Redacción de los contratos destinados a los proveedores externos (como asesoría laboral o fiscal, mantenimiento informático, etc.), donde se establecerá expresamente que el encargado del tratamiento (asesoría), únicamente tratará los datos conforme a las instrucciones de la empresa (responsable), y que no los aplicará o utilizará con fin distinto al que figure en dicho contrato.

d) Redacción de las cláusulas legales de información

Consiste en la redacción de las cláusulas legales de la información para que los interesados a los que se les soliciten los datos personales sean previamente informados de modo expreso, preciso e inequívoco mediante éstas, utilizadas como notas de advertencia legal informativas.

e) Mantenimiento de la LOPD en el tiempo

• Revisión de todo el sistema de protección como mínimo una vez al año.
• Atención telefónica para consultas y asistencia técnica.
• Atención telefónica de consultas jurídicas.
• Mantenimiento y actualización del Documento de Seguridad.
• Mantenimiento y actualización de las Notificaciones sobre ficheros.
• Información periódica sobre novedades relativas a la protección de datos.
• Informe de Auditoría completa bienal obligatoria

f) Formación al Responsable de Seguridad

Solicite más información a través de la siguiente dirección de e-mail.