MSE

Protección de datos

La Ley Orgánica de Protección de Datos de Carácter Personal 15/1999, de 13 de Diciembre, (en adelante LOPD) impone una serie de obligaciones legales para aquellas personas físicas o jurídicas que posean ficheros con datos de carácter personal.
Asimismo, desde el 26 de Junio de 1999 está en vigor el Reglamento de Seguridad (R.D. 994/99 de 11 de junio) que desarrolla la mencionada Ley Orgánica y que establece la obligación de las empresas de poner en marcha diversas medidas destinadas a garantizar la protección de dichos datos, afectando a sistemas informáticos, archivos de soportes de almacenamiento, personal, procedimientos operativos, etc.

OBLIGACIONES LEGALES DE LA NORMATIVA DE PROTECCIÓN DE DATOS
Inscripción de los ficheros en el Registro General de la Protección de Datos. Artículo 26 LOPD. Artículos. 5 y 6 R.D 1332/1994, de 20 de Junio.
Redacción del documento de seguridad. "El responsable del fichero elaborará e implantará la normativa de seguridad mediante un documento de seguridad de obligado cumplimiento para el personal con acceso a los datos automatizados de carácter personal y a los sistemas de información" R.D 994/1999, de 11 de Junio.
Redacción de cláusulas de protección de datos. Artículo 5 LOPD.
Auditoría. Artículo 17 R.D. 994/1999, de 11 de Junio.
Demás medidas de seguridad de índole técnica y organizativas necesarias para garantizar la seguridad de los datos objeto de tratamiento. Artículos 9 y 10 LOPD y R.D 994/1999, de 11 de junio.
Redacción de los contratos, formularios y cláusulas necesarias para la recogida de datos, los tratamientos por terceros y las cesiones o comunicaciones de datos.

NIVELES DE SEGURIDAD
La ley identifica tres niveles de medidas de seguridad, BÁSICO, MEDIO y ALTO, los cuales deberán ser adoptados en función de los distintos tipos de datos personales (datos de salud, ideología, religión, creencias, infracciones administrativas, de morosidad, etc).

		NIVEL BÁSICO
	TIPO DE DATOS	Nombre· Apellidos Direcciones de contacto (tanto físicas como electrónicas)· Teléfono (tanto fijo como móvil) Otros
	MEDIDAS DE SEGURIDAD OBLIGATORIAS	Documento de seguridad Régimen de funciones y obligaciones del personal Registro de incidencias Identificación y autenticación de usuario Control de acceso Gestión de soportes Copias de respaldo y recuperación
		NIVEL MEDIO
	TIPO DE DATOS	Comisión infracciones penales Comisión infracciones administrativas Información de Hacienda Pública Información de servicios financieros
	MEDIDAS DE SEGURIDAD OBLIGATORIAS	Medidas de seguridad de nivel básico Responsable de Seguridad Auditoría bianual Medidas adicionales de Identificación y autenticación de usuarios Control de acceso físico
		NIVEL ALTO
	TIPO DE DATOS	Ideología Religión Creencias Origen racial Salud Vida
	MEDIDAS DE SEGURIDAD OBLIGATORIAS	Medidas de seguridad de nivel básico y medio Seguridad en la distribución de soportes Registro de accesos Medidas adicionales de copias de respaldo Cifrado de telecomunicaciones

SANCIONES
Se establecen una serie de sanciones a los responsables de los ficheros y a los encargados del tratamiento de los ficheros que contengan datos de carácter personal. Estas se clasifican en leves, graves y muy graves atendiendo a la infracción cometida.

	SANCIONES
LEVES	Multa de 601,01 € a 60.101,21 €
GRAVES	Multa de 60.101,21 € a 300.506,05 €
MUY GRAVES	Multa de 300.506,05 € a 601.012,10 €

DERECHOS DE LAS PERSONAS

Impugnación de valoraciones
· Los ciudadanos tienen derecho a no verse sometidos a una decisión con efectos jurídicos, sobre ellos o que les afecte de manera significativa, que se base únicamente en un tratamiento de datos destinados a evaluar determinados aspectos de su personalidad.
. El afectado podrá impugnar los actos administrativos o decisiones privadas que impliquen una valoración de su comportamiento, cuyo único fundamento sea un tratamiento de datos de carácter personal que ofrezca una definición de sus características o personalidad.
. En este caso, el afectado tendrá derecho a obtener información del responsable del fichero sobre los criterios de valoración y el programa utilizados en el tratamiento que sirvió para adoptar la decisión en que consistió el acto.
. La valoración sobre el comportamiento de los ciudadanos, basada en un tratamiento de datos, únicamente podrá tener valor probatorio a petición del afectado.

Derecho de consulta al Registro General de Protección de Datos
Cualquier persona podrá conocer, recabando a tal fin la información oportuna del Registro General de Protección de Datos, la existencia de tratamientos de datos de carácter personal, sus finalidades y la identidad del responsable del tratamiento. El Registro General será de consulta pública y gratuita.

Derecho de acceso
· El interesado tendrá derecho a solicitar y obtener gratuitamente información de sus datos de carácter personal sometidos a tratamiento, el origen de dichos datos, así como las comunicaciones realizadas o que se prevén hacer de los mismos.
· La información podrá obtenerse mediante la mera consulta de los datos por medio de su visualización, o la indicación de los datos que son objeto de tratamiento mediante escrito, copia, telecopia o fotocopia, certificada o no, en forma legible e inteligible, sin utilizar claves o códigos que requieran el uso de dispositivos mecánicos específicos.
· El derecho de acceso a que se refiere este artículo sólo podrá ser ejercitado a intervalos no inferiores a doce meses, salvo que el interesado acredite un interés legítimo al efecto, en cuyo caso podrán ejercitarlo antes.

Derecho de rectificación y cancelación
· El responsable del tratamiento tendrá la obligación de hacer efectivo el derecho de rectificación o cancelación del interesado en el plazo de diez días.
· Serán rectificados o cancelados, en su caso, los datos de carácter personal cuyo tratamiento no se ajuste a lo dispuesto en la Ley Orgánica 15/1999 y, en particular, cuando tales datos resulten inexactos o incompletos.
· La cancelación dará lugar al bloqueo de los datos, conservándose únicamente a disposición de las Administraciones públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de éstas. Cumplido el citado plazo deberá procederse a la supresión.
· Si los datos rectificados o cancelados hubieran sido comunicados previamente, el responsable del tratamiento deberá notificar la rectificación o cancelación efectuada a quien se hayan comunicado, en el caso de que se mantenga el tratamiento por este último, que deberá también proceder a la cancelación.
· Los datos de carácter personal deberán ser conservados durante los plazos previstos en las disposiciones aplicables o, en su caso, en las relaciones contractuales entre la persona o entidad responsable del tratamiento y el interesado.

Procedimiento de oposición, acceso, rectificación o cancelación
· Los procedimientos para ejercitar el derecho de oposición, acceso, así como los de rectificación y cancelación serán establecidos reglamentariamente.
· No se exigirá contraprestación alguna por el ejercicio de los derechos de oposición, acceso, rectificación o cancelación.

Derecho a indemnización
· Los interesados que, como consecuencia del incumplimiento de lo dispuesto en la Ley Orgánica 15/1999 por el responsable o el encargado del tratamiento, sufran daño o lesión en sus bienes o derechos tendrán derecho a ser indemnizados.
· Cuando se trate de ficheros de titularidad pública, la responsabilidad se exigirá de acuerdo con la legislación reguladora del régimen de responsabilidad de las Administraciones públicas.
· En el caso de los ficheros de titularidad privada, la acción se ejercitará ante los órganos de la jurisdicción ordinaria.