RESUMEN LOPD

El documento de seguridad es una de las partes fundamentales de la protección de datos. Se trata de un documento mediante el cual se elabora y adoptan las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos de carácter personal, su adopción es de obligado cumplimiento para el responsable del fichero, o en su caso, del encargado del tratamiento.

¿Cuándo es obligatorio adoptar el documento de seguridad?
El Real Decreto 1720/2007 establece que es obligatoria su adopción siempre que se traten datos personales, cualquiera que sea el nivel de seguridad al que correspondan.

¿Constituye alguna infracción la inexistencia del documento de seguridad?
Se considera una infracción grave «Mantener lo ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen» Artículo 43.h) Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal (en adelante LOPD).

¿Dónde se encuentra el fundamento legal de la obligatoriedad de adopción del documento de seguridad?
El artículo 9 de la LOPD, establece en su párrafo 1 que «El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural».

¿Cuál es el contenido del documento de seguridad de nivel básico?
Artículo 88 R.D 1720/2007

El documento deberá contener, como mínimo, los siguientes aspectos:
a) Ámbito de aplicación del documento con especificación detallada de los recursos protegidos.
b) Medidas, normas, procedimientos de actuación, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en este reglamento.
c) Funciones y obligaciones del personal en relación con el tratamiento de los datos de carácter personal incluidos en los ficheros.
d) Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan.
e) Procedimiento de notificación, gestión y respuesta ante las incidencias.
f) Los procedimientos de realización de copias de respaldo y de recuperación de los datos en los ficheros o tratamientos automatizados.
g) Las medidas que sea necesario adoptar para el transporte de soportes y documentos, así como para la destrucción de los documentos y soportes, o en su caso, la reutilización de estos últimos.

¿Es de obligatorio que los empleados conozcan la existencia y contenido del documento de seguridad o sólo concierne al responsable del fichero?
Toda persona con acceso a datos personales, o que intervenga en alguna fase del tratamiento de los mismos, debe ceñirse a lo establecido en el documento de seguridad, en el cual se establecerán claramente las funciones y obligaciones del personal. Artículo 9.1 R.D 994/1999.
Sin embargo, es responsabilidad del responsable del fichero adoptar las medidas necesarias para que el personal conozca las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento. Artículo 89.2 R.D 1720/2007

¿Cuál es el contenido del documento de seguridad de nivel medio?
Artículo 109 y ss R.D 1720/2007

¿Cuál es el contenido del documento de seguridad de nivel alto?
Artículo 111 y ss R.D 1720/2007

b<>¿Qué consecuencias puede tener el incumplimiento?
Tanto por denuncia de los titulares de los datos, como de oficio, la organización o profesional puede ser inspeccionado por la Agencia Española de Protección de Datos, que, si comprueba el incumplimiento de las obligaciones impuestas por la normativa, o la vulneración de derechos de los titulares de los datos, puede iniciar un expediente sancionador.

Las infracciones y correspondientes sanciones son:
LEVES, sancionables con multas de hasta 60.101 € (Ejemplo: incumplimiento del deber de secreto).
GRAVES, sancionables con multas de hasta 300.506 € (Ej.: impedir el ejercicio de los derechos del titular de los datos).
MUY GRAVES, sancionables con multas de hasta 601.012 € (Ej.: Cesión de datos fuera de los casos permitidos).

CURSO DE LEY DE PROTECCIÓN DE DATOS

Este curso es de sumo interés para las empresas ya que La Ley de protección de Datos de Carácter Personal, establece unas obligaciones que les afecta especialmente respecto a los usuarios por varias razones:
– La obligatoriedad de su implementación para la totalidad de las empresas y profesionales
– Las multas que conlleva su incumplimiento. (Desde 601,01 euros hasta 601.012,10 euros)
– La existencia de una Agencia de Protección de Datos que desempeña un papel activo en la persecución de las infracciones. (La Agencia se financia exclusivamente de las sanciones que impone a las empresas incumplidoras.)
– La sensibilización de los ciudadanos cuyos datos se manejan, que cada vez son más conscientes de sus derechos y de la forma de ejercerlos, lo que ha aumentado el número de sanciones para las empresas.

Más información