LOPD: 3 Preguntas Básicas para una Implantación

1. ¿DEBE CUMPLIR MI ORGANIZACIÓN LO DISPUESTO EN LA LOPD?

La LOPD se aplica a cualquier información (desde un N.I.F. o un nombre y apellido hasta un dato de salud) de una persona física identificada o identificable que esté contenida en un fichero. Toda entidad, bien sea persona física (autónomo) o jurídica (sociedad) que mantenga y trate datos de carácter personal, tales como una relación de trabajadores, clientes, proveedores, socios, pacientes, asegurados, etc., ya sea en un sistema informático o en soporte papel.

LOPD: 3 Preguntas Básicas para una Implantación
2. ¿CUALES SON LAS MEDIDAS DE SEGURIDAD A APLICAR?

No se debe olvidar que la LOPD es aplicable a los datos personales contenidos en un fichero sea del tipo que sea: informático, documental, óptico, etc, y que el Responsable del Fichero deberá garantizar la seguridad de los datos contenidos en él ya que de lo contrario se expondrá a cuantiosas sanciones

Las medidas de seguridad se dividen en los niveles básico, medio y alto dependiendo del tipo de dato que contenga el fichero, y hay que destacar que las medidas a aplicar son acumulativas, es decir, el nivel alto deberá cumplir además de las medidas de seguridad correspondientes a su nivel, las de nivel básico y medio.

Los datos de nivel básico son cualquier tipo de dato personal como un nombre o un N.I.F. y las principales medidas de seguridad a aplicar son:

  1. Redacción de un documento de seguridad en el que se refleje la política de seguridad del Responsable del Fichero.
  2. Poseer mecanismos de identificación y autenticación de los usuarios que entren en el sistema de información.
  3.  Poseer un Registro de Incidencias.
  4. Realizar copias de seguridad.

El nivel de seguridad de nivel Medio se aplica a aquellos datos relativos a los servicios financieros, a los datos que permitan obtener una evaluación de la personalidad del individuo, datos sobre solvencia patrimonial y crédito (ficheros de morosos), datos de la Hacienda Pública y de infracciones administrativas y penales. Las medidas de seguridad más importantes del nivel medio son:

  1. La designación de un responsable de seguridad.
  2. Un sistema de identificación y autenticación de usuarios personalizado.
  3. Control de acceso físico al sistema de información.
  4. Un registro de entrada, salida y un control exhaustivo de soportes.
  5. Un registro de incidencias reforzado.

El nivel máximo de seguridad es el Alto y se aplicará a aquellos datos especialmente protegidos como los de salud, afiliación sindical, etc.. Las principales especificaciones de seguridad son:

  1. Distribución de soportes con datos de carácter personal cifrados.
  2. Existirá un registro de accesos que controle la identificación del usuario, la fecha y hora del acceso, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado.
  3. Auditoría LOPD bianual.

LOPD-3-Preguntas-Basicas-para-una-Implantacion
3. ¿CUALES SON LAS SANCIONES POR NO CUMPLIR LA NORMATIVA?

Aclarar, en primer lugar, que las sanciones que la AEPD impone es su única vía financiación.

La LOPD posee un régimen sancionador dividido en tres tipos de infracciones: leves, graves y muy graves; cuyo importe puede llegar a ser de seis millones de Euros (100 millones de pesetas).
Las Infracciones son las siguientes:

  1. INFRACCIONES LEVES (art. 44.2).
    • No solicitar inscripción en el REGISTRO GENERAL (NO LEGALIZAR).
    • Recoger datos sin INFORMAR al titular (NO LEGITIMAR). (Art. 5 LOPD.). c) No atender solicitudes de rectificación y cancelación por motivos meramente formales.
  2. INFRACCIONES GRAVES (art. 44.3)
    • No aplicar MEDIDAS DE SEGURIDAD.
    • OBSTACULIZACION al ejercicio de los derechos de ACCESO y OPOSICIÓN.
    • MANTENER DATOS INEXACTOS y NO EFECTUAR RECTIFICACION o CANCELACION a petición del interesado.
    • NO GUARDAR SECRETO de los datos ESPECIALMENTE PROTEGIDOS
    • OBSTRUCCION A LA INSPECCION.
    • NO INSCRIBIR un fichero en el REGISTRO GRAL., después de ser requerido por la A.P.D.
  3. INFRACCIONES MUY GRAVES (art. 44.2).
    • Recogida de datos de forma engañosa y fraudulenta.
    • La vulneración del deber de guardar secreto sobre los datos en los que se aplican medidas de seguridad de nivel alto.

La cuantía las sanciones aparece en función del tipo de infracción es:

  • LEVES: entre 601; 01 y 60.101,21 Euros.
  • GRAVES: entre 60.101,22 y 300.506,05 Euros.
  • MUY GRAVES: entre 300.506,06 y 601.012,10 Euros.

En definitiva, que el riesgo por no tener adecuados los sistemas de tratamiento de datos personales a la normativa de protección de datos personales LOPD es demasiado elevado como para no tenerlo en consideración, ya que una sanción puede llegar a afectar a la continuidad de la empresa.

Posted on: 08/03/2008, by :