Conceptos básicos sobre la LOPD. Esta presentación quiere proporcionar unos conceptos y conocimientos básicos sobre la legislación española en protección de datos.

1. LOPD: Ley Orgánica de
Protección de Datos

2. Motivación de la Legislación
Tecnologías de la Información
Ventajas
•Aumento de la productividad
•Acceso más rápido a la
información.
Desventajas/Riesgos
•Acceso más fácil a los datos: posible vulneración
del derecho a la protección de la intimidad.
•Un comercial se lleva bases de datos de clientes
•Perdemos un portátil con información de un
proyecto

3. Antecedentes y
Legislación Actual
Constitución Española 1978 (art. 18) Declaración Universal de
Derechos Humanos
Ley Orgánica 5/1992, de 29 de
octubre, de Regulación del
Tratamiento Automatizado de los
Datos de Carácter Personal
(LORTAD)
RD 994/1999 que aprueba el
Reglamento de Medidas de
Seguridad de los Ficheros
Automatizados que Contengan
Datos de Carácter Personal
Ley Orgánica 15/1999, de 13 de
diciembre de Protección de Datos de
Carácter Personal
RD 1720/2007 por el que se
aprueba el Reglamento de
Desarrollo de la Ley Orgánica de
Protección de Datos.

4. Conceptos Básicos
• Dato de carácter personal: Cualquier información concerniente a
personas físicas identificadas o identificables, tanto la relativa a su
identidad (como nombre y apellidos, domicilio, filiación, etc...) como la
relativa a su existencia y ocupaciones (estudios, trabajo, enfermedades,
etc...): Cualquier dato que identifique o permita identificar a una
persona física
• Fichero de datos personales: Todo conjunto organizado de datos
de carácter personal, cualquiera que sea la forma o modalidad de su
creación, almacenamiento, organización y acceso, constituye lo que la ley
llama fichero.

5. Tipos de datos
(niveles)
Infracción administrativa o
penal
Hacienda pública
Servicios financieros, crédito
Solvencia patrimonial
Evaluación de la personalidad
Resto de datos de carácter personal
Ideología u opciones
políticas
Afiliación sindical
Religión
Creencias
Origen racial
Salud y vida sexual
Nivel 3
Nivel 2
Nivel 1
Niveles de seguridad
Niveles de protección
aplicables

6. Figuras Implicadas
Responsable Fichero
Ante quien pueden
ejercitarse los Derechos
ARCO
Unidad de Dchos ARCO
Destinatario al que se le
comunican datos.
Cesionario
Titular de los datosAfectado
Persona designada por el Responsable del
Fichero para coordinar y controlar la
Política de Protección de datos
Responsable Seguridad
Decide sobre la Finalidad,
Uso y Contenido del Fichero,
aunque no lo materialice.
Realiza un tratamiento por
cuenta del Responsable del
Fichero.
Encargado Tratamiento
LA EMPRESA

7. Derechos y Obligaciones
Información
Acceso
Rectificación
Cancelación
Oposición
Indemnización
Derecho de Impugnación de Valores
Derechos del Afectado
Inscripción de Ficheros
Principio de Calidad de los datos
Deber de Información
Principio de Consentimiento
Facilitar el ejercicio derechos
Deber de Secreto
Deber de Seguridad
Respetar Finalidad, uso y contenido del fichero
Obligaciones del Responsable
Garantizar el derecho a la intimidad recogido en la
Constitución y desarrollado en la LOPD 15/1999

8. DERECHOS DELAFECTADO OBLIGACIONES RESP. FICHERO
Derecho de información Notificar a la AEPD los ficheros
Derecho de acceso
Recoger datos adecuados, pertinentes y no
excesivos
Derecho de rectificación Informar previo a la recogida de datos
Derecho de cancelación
Recoger consentimiento para tratamiento
y/o cesión de datos
Derecho de oposición Facilitar el acceso a derechos ARCO
Derecho de impugnación de valores Guardar secreto de los datos obtenidos
Derecho de indemnización
Respetar finalidad, uso y contenido del
fichero
Derecho de consulta Implantar medidas de seguridad

9. Medidas De Seguridad
 Funciones y Obligaciones del personal – Controles y Autorizaciones
 Documento de Seguridad actualizado
 Registro de incidencias
 Identificación y autenticación
 Relación actualizada de usuarios con acceso autorizado
 Procedimiento de asignación, distribución y almacenamiento de contraseñas que
garantice su confidencialidad e integridad
 Contraseñas cambiadas con periodicidad y almacenadas inteligibles (encriptadas)
 Control de acceso
 Inventario e Identificación de Soportes – Autorización para Salidas
 Copias de Seguridad Semanales – Control y Verificación semestral
 Procedimiento de Archivo
 Custodia de documentación en proceso de manipulación o elaboración
 Dispositivos de almacenamiento con mecanismos que impidan el acceso no autorizado

10. Medidas De Seguridad
 Identificación del Responsable de Seguridad
 Auditoría Bienal o siempre que existan cambios sustanciales
 Registro de Entrada y Salida de Soportes
 Limitar el intento de accesos no autorizados al Sistema
 Control de Acceso Físico
 Procedimiento de recuperación de datos en el Registro de Incidencias
Obligaciones Nivel Básico
+

11. Medidas De Seguridad
Obligaciones Nivel Básico y Medio
+
 Etiquetado y Cifrado de Soportes
 Almacenamiento externo de Copia de Seguridad
 Registro de Accesos al Sistema durante dos años
 Cifrado de datos en transmisiones a través de redes de comunicaciones
 Áreas restringidas cerradas para elementos de almacenamiento
 Acceso a la documentación exclusivamente por personal autorizado
 Registro de Accesos a la documentación
 Autorización para copias de documentos en el Documento de Seguridad
 Destrucción Permanente de Documentos
 Garantizar la Seguridad en el Traslado físico de documentos.

12. Responsable de Seguridad
Puesta en marcha de las medidas de seguridad
Controlar el cumplimiento de las medidas de seguridad
Mantener actualizado el Documento de seguridad
Colaborar en la difusión del Documento de seguridad
Gestionar las incidencias del sistema
Controles periódicos de verificación del cumplimiento
 Actualización del listado de Usuarios
 Comprobación de copias de seguridad
 Registros de entradas y salidas
 Estructura de datos de los ficheros
 Plataformas hardware y software
 Incidencias

13.  No solicitar la inscripción de los ficheros ante la AEPD
 Proceder a la recogida de datos sin cumplir con el Deber de Información
 No atender la solicitud de rectificación o cancelación
 No proporcionar a la APD información en relación con aspectos sustantivos
de la protección de datos
 Incumplir el deber de secreto, salvo que constituya infracción grave
Sanción
INFRACCIÓN
Prescripción
LEVE
601,01 € a 60.101,21 €
1 año
Motivos
Infracciones y Sanciones

14.  Crear ficheros con finalidades distintas a las de constitución
 Recabar datos de carácter personal sin consentimiento del afectado
 No atender la solicitud de Acceso y Oposición
 Mantener datos inexactos o no efectuar las rectificaciones exigidas
 Tratar los datos violando los principios y garantías de la LOPD
 Incumplir el Deber de Secreto sobre datos de Nivel Medio
 No remitir a la AEPD las notificaciones previstas
 Mantener Ficheros, Locales, Programas o Equipos sin Medidas Seguridad
 La obstrucción al ejercicio de la función inspectora
 No inscribir el fichero cuando ya ha sido requerido por la AEPD
 Incumplir el Deber de Información cuando los datos se recaben de personas
distintas al afectado
Sanción
INFRACCIÓN
Prescripción
Motivos
Infracciones y Sanciones
GRAVE
60.101,21 € a 300.506,05 €
2 años

15.  Recogida de datos de forma engañosa o fraudulenta
 Recabar datos especialmente protegidos sin consentimiento expreso
 No atender u obstaculizar sistemáticamente el ejercicio de derechos ARCO
 Vulnerar el Deber de Secreto sobre datos especialmente protegidos
 La comunicación o cesión de datos fuera de los casos en los que no esté permitida
 No cesar en el uso ilegítimo a petición de la AEPD
 Tratar los datos de forma ilegítima o con menosprecio de principios y garantías que
sean de aplicación
 No atender sistemáticamente la inscripción de ficheros ante la AEPD
 Transferencia internacional con destino a países sin nivel de protección equiparable
o sin autorización del Dtor. de la AEPD
Sanción
INFRACCIÓN
Prescripción
Motivos
Infracciones y Sanciones
MUY GRAVE
300.506,05 € a 601.012,10 €
3 años

16. ¿Cómo implantar la LOPD?
Esencialmente la LOPD exige a todas las empresas realizar unos
procedimientos legales o ADAPTACIÓN JURÍDICA, LO/15/1999.
Además exige la implantación de unas medidas de seguridad informática
mínimas o ADAPTACIÓN INFORMÁTICA, detalladas en el Real
Decreto de Medidas de Seguridad RD/1720/2007.
Ambos puntos son obligatorios para que las empresas, administraciones y
autónomos puedan CUMPLIR AL 100% LA LOPD.

17. ¿
¿Que Obligaciones Tiene Mi Empresa?
OBLIGACIONES JURÍDICAS OBLIGACIONES TECNOLÓGICAS
Cumplir al
100% la
LOPD
• DOCUMENTO DE SEGURIDAD DINÁMICO
• CONTROL DE E/S SOPORTES
• CONTROL DE INCIDENCIAS
• INSCRIPCIÓN DE FICHEROS
•CONTROL DE USUARIOS
•REGISTRO DE ACCESOS DURANTE 24 MESES
•ENCRIPTACIÓN
•EVITAR ACCESOS NO AUTORIZADOS

18. ¿Qué Ocurre Si Solo
Cumplo una Parte de la LOPD?
SOLO ADAPTACIÓN JURIDICA = SANCIÓN
SOLO ADAPTACIÓN INFORMATICA = SANCIÓN
¿Qué plazo tengo para adaptarme a la LOPD?
-Para ficheros automatizados: 3 años desde 14/09/1999: PLAZO FINALIZADO
-Para ficheros no automatizados: 12 años desde 34/10/1995: PLAZO FINALIZADO