La LOPD y el Reglamento Europeo obligan a toda entidad, sea persona física o jurídica, que trate datos personales concernientes a personas físicas.
Por lo tanto, todas aquellas empresas o entidades que almacenen en sus sistemas informáticos y traten datos personales de clientes, proveedores, empleados, socios, administradores, agentes, pacientes, alumnos, etc… están obligadas al cumplimiento de la normativa de protección de datos.
NORMATIVA VIGENTE EN PROTECCIÓN DE DATOS
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de derechos digitales (LOPDGDD)
Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD)
GLOSARIO DE TÉRMINOS Y DEFINICIONES
Datos de Carácter Personal
Cualquier información sobre una persona física identificada o identificable, es decir, cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo que permita determinar la identidad de una persona desde el punto de vista físico, fisiológico, psíquico, económico, cultural o social se considerará dato de carácter personal. Los datos relacionados con la salud, la ideología, la religión, las creencias, la afiliación sindical, el origen racial o étnico, la vida sexual y las infracciones penales o administrativas se consideran de nivel alto y están sujetos a una protección legal especial.
Tratamiento de datos
Cualquier operación o procedimiento técnico, automatizado o no, que permitan la recogida, registro, organización, conservación, modificación, consulta, utilización, transmisión, difusión, supresión o destrucción de datos personales.
Fichero
Todo conjunto estructurado de datos personales, informatizados o no, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.
Responsable del Tratamiento
Persona física o jurídica, pública o privada, que decida sobre la finalidad, contenido y uso del tratamiento. Generalmente, cualquier empresa o entidad que maneje datos de clientes, proveedores, personal, currículum, etc…
Encargado de Tratamiento
Persona física o jurídica, pública o privada, que trate datos por cuenta del responsable. En la práctica, cualquier entidad que para la prestación de sus servicios al responsable deba tener acceso a datos personales de sus ficheros (asesoría, informáticos, banco, aseguradoras, abogado,..)
Consentimiento
Manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta y consiente el tratamiento de sus datos personales.
Incidencia
Cualquier anomalía que afecte o pudiera afectar a la seguridad de los datos personales. Ej.: pérdida de información, accesos no autorizado, uso por terceros de su contraseña, existencia de virus, desaparición de soportes informáticos y, en general, toda situación que pueda comprometer el buen uso y funcionamiento del sistema informático.
Responsable de Seguridad
Persona designada por el Responsable del fichero dentro de su organización para coordinar y gestionar todo lo referente a la protección de datos personales.
Usuarios de los Ficheros
Personal interno del responsable del fichero que cuenta con acceso a los ficheros que contienen datos personales para el ejercicio habitual de las funciones inherentes a su puesto de trabajo.
TIPOS DE DATOS Y NIVELES DE SEGURIDAD
Pueden ser:
De carácter identificativo: nombre, DNI, dirección, teléfono, e-mail,...
Características personales: lugar/fecha de nacimiento, sexo, peso,...
Circunstancias sociales: aficiones y estilos de vida, tiempo de ocio,...
Académicos y profesionales: titulación, experiencia profesional,…
Detalles de empleo: profesión, puesto de trabajo, historial,…
De información comercial: actividades y negocios, sector, mercado,…
Financieros y de seguros: datos bancarios, nóminas,…
De transacciones: préstamos, multas, indemnizaciones,…
La LOPD clasifica los datos en función del nivel de seguridad que deben cumplir:
Nivel básico
Datos personales no considerados de nivel medio o alto.
Nivel medio
Infracciones administrativas o penales, Hacienda Pública, Servicios financieros, Solvencia patrimonial y crédito, y aquellos que, en su conjunto, permitan evaluar la personalidad del individuo.
Nivel alto
Ideología, religión, origen racial, salud, vida sexual, y los datos policiales recabados sin consentimiento.
OBLIGACIONES LEGALES PARA EL RESPONSABLE
- Implantar las medidas de seguridad, técnicas y organizativas, que garanticen la confidencialidad e integridad de los datos tratados, que cumplan con los principios de protección de datos y que protejan los derechos de los interesados.
- Documentar un registro de las actividades de tratamiento efectuadas bajo su responsabilidad, detallando los datos del responsable, los fines del tratamiento, la categoría de datos tratados y de destinatarios, los plazos de conservación de los datos y, en su caso, las transferencias internacionales previstas.
- Redacción de contratos de cesión de datos con los encargado del tratamiento (cuando se cedan datos personales a gestorías o terceros que presten sus servicios al responsable) y la firma de las cláusulas de confidencialidad y deber de secreto para todo el personal interno que intervenga en los tratamientos.
- Facilitar información a los afectados sobre los derechos de acceso, rectificación, supresión, limitación y portabilidad de datos que pueden ejercer, así como implantar los procedimientos necesarios para atenderlos según los plazos establecidos.
INFRACCIONES Y SANCIONES PREVISTAS EN LA LOPD
El régimen sancionador viene recogido en el Art. 71 y ss. de la LOPDGDD, distinguiéndose tres tipos de infracciones.
Tipos de infracciones leves:
- Recoger datos de los afectados sin facilitar la información exigida.
- No atender una solicitud de un interesado sobre sus derechos.
- Disponer de un registro de actividades de tratamiento incompleto.
- No notificar a la Agencia una violación de seguridad de los datos personales.
Tipos de infracciones graves:
- No disponer del registro de actividades de tratamiento obligatorio.
- No atender reiteradamente los derechos de los titulares de los datos.
- No adoptar las medidas de seguridad necesarias para garantizar la confidencialidad e integridad de los datos.
- Encargar un tratamiento de datos a un tercero sin la firma de un contrato de cesión.
- La contratación de un encargado de tratamiento que no ofrezca las garantías suficientes de integridad y confidencialidad de los datos comunicados.
Tipos de infracciones muy graves:
- Tratar datos personales vulnerando los principios de protección de datos.
- Utilización de los datos para una finalidad incompatible con la finalidad para la que fueron recogidos, sin consentimiento del afectado o sin base que lo legitime.
- Vulnerar el deber de confidencialidad y secreto establecido en el Art. 5 LOPDGDD.
- Obstaculizar la función inspectora de la Agencia de Protección de Datos.
¿CÓMO AFECTA LA PROTECCIÓN DE DATOS A SU ACTIVIDAD O NEGOCIO?
La LOPD y el Reglamento Europeo obligan a toda entidad, sea persona física o jurídica, que trate datos personales concernientes a personas físicas.
Por lo tanto, todas aquellas empresas o entidades que almacenen en sus sistemas informáticos y traten datos personales de clientes, proveedores, empleados, socios, administradores, agentes, pacientes, alumnos, etc… están obligadas al cumplimiento de la normativa de protección de datos.
NORMATIVA VIGENTE EN PROTECCIÓN DE DATOS
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de derechos digitales (LOPDGDD)
Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD)
GLOSARIO DE TÉRMINOS Y DEFINICIONES
Datos de Carácter Personal
Cualquier información sobre una persona física identificada o identificable, es decir, cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo que permita determinar la identidad de una persona desde el punto de vista físico, fisiológico, psíquico, económico, cultural o social se considerará dato de carácter personal. Los datos relacionados con la salud, la ideología, la religión, las creencias, la afiliación sindical, el origen racial o étnico, la vida sexual y las infracciones penales o administrativas se consideran de nivel alto y están sujetos a una protección legal especial.
Tratamiento de datos
Cualquier operación o procedimiento técnico, automatizado o no, que permitan la recogida, registro, organización, conservación, modificación, consulta, utilización, transmisión, difusión, supresión o destrucción de datos personales.
Fichero
Todo conjunto estructurado de datos personales, informatizados o no, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.
Responsable del Tratamiento
Persona física o jurídica, pública o privada, que decida sobre la finalidad, contenido y uso del tratamiento. Generalmente, cualquier empresa o entidad que maneje datos de clientes, proveedores, personal, currículum, etc…
Encargado de Tratamiento
Persona física o jurídica, pública o privada, que trate datos por cuenta del responsable. En la práctica, cualquier entidad que para la prestación de sus servicios al responsable deba tener acceso a datos personales de sus ficheros (asesoría, informáticos, banco, aseguradoras, abogado,..)
Consentimiento
Manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta y consiente el tratamiento de sus datos personales.
Incidencia
Cualquier anomalía que afecte o pudiera afectar a la seguridad de los datos personales. Ej.: pérdida de información, accesos no autorizado, uso por terceros de su contraseña, existencia de virus, desaparición de soportes informáticos y, en general, toda situación que pueda comprometer el buen uso y funcionamiento del sistema informático.
Responsable de Seguridad
Persona designada por el Responsable del fichero dentro de su organización para coordinar y gestionar todo lo referente a la protección de datos personales.
Usuarios de los Ficheros
Personal interno del responsable del fichero que cuenta con acceso a los ficheros que contienen datos personales para el ejercicio habitual de las funciones inherentes a su puesto de trabajo.
TIPOS DE DATOS Y NIVELES DE SEGURIDAD
Pueden ser:
De carácter identificativo: nombre, DNI, dirección, teléfono, e-mail,...
Características personales: lugar/fecha de nacimiento, sexo, peso,...
Circunstancias sociales: aficiones y estilos de vida, tiempo de ocio,...
Académicos y profesionales: titulación, experiencia profesional,…
Detalles de empleo: profesión, puesto de trabajo, historial,…
De información comercial: actividades y negocios, sector, mercado,…
Financieros y de seguros: datos bancarios, nóminas,…
De transacciones: préstamos, multas, indemnizaciones,…
La LOPD clasifica los datos en función del nivel de seguridad que deben cumplir:
Nivel básico
Datos personales no considerados de nivel medio o alto.
Nivel medio
Infracciones administrativas o penales, Hacienda Pública, Servicios financieros, Solvencia patrimonial y crédito, y aquellos que, en su conjunto, permitan evaluar la personalidad del individuo.
Nivel alto
Ideología, religión, origen racial, salud, vida sexual, y los datos policiales recabados sin consentimiento.
OBLIGACIONES LEGALES PARA EL RESPONSABLE
- Implantar las medidas de seguridad, técnicas y organizativas, que garanticen la confidencialidad e integridad de los datos tratados, que cumplan con los principios de protección de datos y que protejan los derechos de los interesados.
- Documentar un registro de las actividades de tratamiento efectuadas bajo su responsabilidad, detallando los datos del responsable, los fines del tratamiento, la categoría de datos tratados y de destinatarios, los plazos de conservación de los datos y, en su caso, las transferencias internacionales previstas.
- Redacción de contratos de cesión de datos con los encargado del tratamiento (cuando se cedan datos personales a gestorías o terceros que presten sus servicios al responsable) y la firma de las cláusulas de confidencialidad y deber de secreto para todo el personal interno que intervenga en los tratamientos.
- Facilitar información a los afectados sobre los derechos de acceso, rectificación, supresión, limitación y portabilidad de datos que pueden ejercer, así como implantar los procedimientos necesarios para atenderlos según los plazos establecidos.
INFRACCIONES Y SANCIONES PREVISTAS EN LA LOPD
El régimen sancionador viene recogido en el Art. 71 y ss. de la LOPDGDD, distinguiéndose tres tipos de infracciones.
Tipos de infracciones leves:
- Recoger datos de los afectados sin facilitar la información exigida.
- No atender una solicitud de un interesado sobre sus derechos.
- Disponer de un registro de actividades de tratamiento incompleto.
- No notificar a la Agencia una violación de seguridad de los datos personales.
Tipos de infracciones graves:
- No disponer del registro de actividades de tratamiento obligatorio.
- No atender reiteradamente los derechos de los titulares de los datos.
- No adoptar las medidas de seguridad necesarias para garantizar la confidencialidad e integridad de los datos.
- Encargar un tratamiento de datos a un tercero sin la firma de un contrato de cesión.
- La contratación de un encargado de tratamiento que no ofrezca las garantías suficientes de integridad y confidencialidad de los datos comunicados.
Tipos de infracciones muy graves:
- Tratar datos personales vulnerando los principios de protección de datos.
- Utilización de los datos para una finalidad incompatible con la finalidad para la que fueron recogidos, sin consentimiento del afectado o sin base que lo legitime.
- Vulnerar el deber de confidencialidad y secreto establecido en el Art. 5 LOPDGDD.
- Obstaculizar la función inspectora de la Agencia de Protección de Datos.
¿CÓMO AFECTA LA PROTECCIÓN DE DATOS A SU ACTIVIDAD O NEGOCIO?
La LOPD y el Reglamento Europeo obligan a toda entidad, sea persona física o jurídica, que trate datos personales concernientes a personas físicas.
Por lo tanto, todas aquellas empresas o entidades que almacenen en sus sistemas informáticos y traten datos personales de clientes, proveedores, empleados, socios, administradores, agentes, pacientes, alumnos, etc… están obligadas al cumplimiento de la normativa de protección de datos.
NORMATIVA VIGENTE EN PROTECCIÓN DE DATOS
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de derechos digitales (LOPDGDD)
Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD)
GLOSARIO DE TÉRMINOS Y DEFINICIONES
Datos de Carácter Personal
Cualquier información sobre una persona física identificada o identificable, es decir, cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo que permita determinar la identidad de una persona desde el punto de vista físico, fisiológico, psíquico, económico, cultural o social se considerará dato de carácter personal. Los datos relacionados con la salud, la ideología, la religión, las creencias, la afiliación sindical, el origen racial o étnico, la vida sexual y las infracciones penales o administrativas se consideran de nivel alto y están sujetos a una protección legal especial.
Tratamiento de datos
Cualquier operación o procedimiento técnico, automatizado o no, que permitan la recogida, registro, organización, conservación, modificación, consulta, utilización, transmisión, difusión, supresión o destrucción de datos personales.
Fichero
Todo conjunto estructurado de datos personales, informatizados o no, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.
Responsable del Tratamiento
Persona física o jurídica, pública o privada, que decida sobre la finalidad, contenido y uso del tratamiento. Generalmente, cualquier empresa o entidad que maneje datos de clientes, proveedores, personal, currículum, etc…
Encargado de Tratamiento
Persona física o jurídica, pública o privada, que trate datos por cuenta del responsable. En la práctica, cualquier entidad que para la prestación de sus servicios al responsable deba tener acceso a datos personales de sus ficheros (asesoría, informáticos, banco, aseguradoras, abogado,..)
Consentimiento
Manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta y consiente el tratamiento de sus datos personales.
Incidencia
Cualquier anomalía que afecte o pudiera afectar a la seguridad de los datos personales. Ej.: pérdida de información, accesos no autorizado, uso por terceros de su contraseña, existencia de virus, desaparición de soportes informáticos y, en general, toda situación que pueda comprometer el buen uso y funcionamiento del sistema informático.
Responsable de Seguridad
Persona designada por el Responsable del fichero dentro de su organización para coordinar y gestionar todo lo referente a la protección de datos personales.
Usuarios de los Ficheros
Personal interno del responsable del fichero que cuenta con acceso a los ficheros que contienen datos personales para el ejercicio habitual de las funciones inherentes a su puesto de trabajo.
TIPOS DE DATOS Y NIVELES DE SEGURIDAD
Pueden ser:
De carácter identificativo: nombre, DNI, dirección, teléfono, e-mail,...
Características personales: lugar/fecha de nacimiento, sexo, peso,...
Circunstancias sociales: aficiones y estilos de vida, tiempo de ocio,...
Académicos y profesionales: titulación, experiencia profesional,…
Detalles de empleo: profesión, puesto de trabajo, historial,…
De información comercial: actividades y negocios, sector, mercado,…
Financieros y de seguros: datos bancarios, nóminas,…
De transacciones: préstamos, multas, indemnizaciones,…
La LOPD clasifica los datos en función del nivel de seguridad que deben cumplir:
Nivel básico
Datos personales no considerados de nivel medio o alto.
Nivel medio
Infracciones administrativas o penales, Hacienda Pública, Servicios financieros, Solvencia patrimonial y crédito, y aquellos que, en su conjunto, permitan evaluar la personalidad del individuo.
Nivel alto
Ideología, religión, origen racial, salud, vida sexual, y los datos policiales recabados sin consentimiento.
OBLIGACIONES LEGALES PARA EL RESPONSABLE
- Implantar las medidas de seguridad, técnicas y organizativas, que garanticen la confidencialidad e integridad de los datos tratados, que cumplan con los principios de protección de datos y que protejan los derechos de los interesados.
- Documentar un registro de las actividades de tratamiento efectuadas bajo su responsabilidad, detallando los datos del responsable, los fines del tratamiento, la categoría de datos tratados y de destinatarios, los plazos de conservación de los datos y, en su caso, las transferencias internacionales previstas.
- Redacción de contratos de cesión de datos con los encargado del tratamiento (cuando se cedan datos personales a gestorías o terceros que presten sus servicios al responsable) y la firma de las cláusulas de confidencialidad y deber de secreto para todo el personal interno que intervenga en los tratamientos.
- Facilitar información a los afectados sobre los derechos de acceso, rectificación, supresión, limitación y portabilidad de datos que pueden ejercer, así como implantar los procedimientos necesarios para atenderlos según los plazos establecidos.
INFRACCIONES Y SANCIONES PREVISTAS EN LA LOPD
El régimen sancionador viene recogido en el Art. 71 y ss. de la LOPDGDD, distinguiéndose tres tipos de infracciones.
Tipos de infracciones leves:
- Recoger datos de los afectados sin facilitar la información exigida.
- No atender una solicitud de un interesado sobre sus derechos.
- Disponer de un registro de actividades de tratamiento incompleto.
- No notificar a la Agencia una violación de seguridad de los datos personales.
Tipos de infracciones graves:
- No disponer del registro de actividades de tratamiento obligatorio.
- No atender reiteradamente los derechos de los titulares de los datos.
- No adoptar las medidas de seguridad necesarias para garantizar la confidencialidad e integridad de los datos.
- Encargar un tratamiento de datos a un tercero sin la firma de un contrato de cesión.
- La contratación de un encargado de tratamiento que no ofrezca las garantías suficientes de integridad y confidencialidad de los datos comunicados.
Tipos de infracciones muy graves:
- Tratar datos personales vulnerando los principios de protección de datos.
- Utilización de los datos para una finalidad incompatible con la finalidad para la que fueron recogidos, sin consentimiento del afectado o sin base que lo legitime.
- Vulnerar el deber de confidencialidad y secreto establecido en el Art. 5 LOPDGDD.
- Obstaculizar la función inspectora de la Agencia de Protección de Datos.