¿Es obligatoria la Auditoría de Protección de Datos?

contrato para tratar o ceder datos a un tercero

Son numerosas las consultas recibidas sobre la obligatoriedad de tener que realizar una Auditoría LOPD en las empresas. Por eso, explicamos las diferentes circunstancias en las que es obligatorio o recomendable auditar las medidas de seguridad que garantizan un correcto tratamiento de los datos personales.

¿Qué es una auditoría de protección de datos?

Mediante la auditoría se verifica la correcta implantación de las medidas de seguridad a adoptar en la organización, determinadas en función del nivel que le corresponda: bajo, medio u alto.

ejemplos proteccion de datos

Según un informe de la AEPD: En el sector de Sanidad se ha producido un incremento de las denuncias debidas a los accesos injustificados a las historias clínicas de los denunciantes. Se han declarado infracciones al hospital afectado por incumplimiento de las medidas de seguridad; y al autor de los accesos por desvío de finalidad.

Una vez realizada la auditoría, se elabora un informe que registra los puntos verificados, salvedades detectadas y las medidas necesarias para su corrección. Este informe deberá analizarlo el responsable de seguridad para, a continuación, hacer llegar al responsable del fichero todas las medidas correctoras pendientes de aplicar en la empresa.

¿Es obligatoria?

El informe de auditoría es obligatorio para todas aquellas organizaciones que, por el tipo de datos que almacenan, tienen un nivel de seguridad medio o alto.

¿Cada cuánto hay que realizar una auditoría?

Mínimo cada dos años salvo que se realicen antes cambios sustanciales en el tipo o tratamiento de datos personales implicando una modificación de las medidas de seguridad necesarias.

Objetivos de la auditoría

  1. Satisfacer la obligación de verificar las medidas de seguridad cada 2 años.
  2. Constatar posibles deficiencias en el sistema de información de la empresa, y establecer acciones correctoras.
  3. Considerar oportunidades de mejora y recomendaciones sobre las propias medidas de seguridad auditadas, en un proceso de mejora continua.
  4. Estudiar en detalle flujos de datos personales o procedimientos internos en los que la LOPD tiene un especial impacto, para ajustarlos a la normativa.
  5. Concienciar y preparar al personal sobre la importancia de la información personal, asegurando de esta forma la protección y los derechos de los afectados.

¿Por qué tengo que “renovar” la Protección de Datos?

En dos años los sistemas informáticos, empleados con acceso a datos personales e incluso la dirección postal o datos de contacto de la empresa pueden variar con facilidad, por ello, es recomendable realizar una Auditoría de Protección de Datos anualmente para verificar que se cumple correctamente con la normativa y evitar así posibles incidencias o sanciones.

¿Quién puede hacer la auditoría?

La propia Ley de Protección de Datos indica que la Auditoría se puede realizar de manera interna o externa, ¿qué quiere decir esto? Se puede realizar por la propia organización auditada o por una empresa ajena, como puede ser la consultoría a la que contrató el servicio de adaptación LOPD.

El profesional designado para realizar la auditoría deberá ser especializado en este campo, debidamente capacitado en materia de protección de datos y con la característica de ser independiente, es decir, no tener ningún interés personal o familiar en la entidad auditada.

¿Me sancionarán si no realizo una auditoría de Protección de Datos?

Según la LOPD, el incumplimiento del deber de seguridad será considerado como infracción grave con una sanción de 40.001 a 300.000 €.

Las medidas a adoptar para cumplir el deber de seguridad son una obligación de resultado ya que deben implantarse para evitar cualquier pérdida, alteración o acceso no autorizado a datos de carácter personal. Por tanto, el deber de seguridad no consiste en la obligación de implantar unas medidas sino en implantar esas medidas con un resultado concreto.

Podemos concluir, por tanto, que el hecho de no realizar la auditoría no es sancionable por sí mismo. Lo que se sanciona es la pérdida, alteración, acceso o tratamiento no autorizado de datos personales. Sin embargo, sí es recomendable realizar esa auditoría para asegurarnos de que disponemos de las medidas de seguridad adecuadas para evitar que se produzca ese resultado.

¿Qué va a pasar con la entrada en vigor del Reglamento europeo de Protección de Datos?

El nuevo Reglamento Europeo de Protección de Datos, que será aplicable a partir de mayo de 2018, obligará a las empresas a valorar los riesgos producidos por el uso de datos personales, y a invertir en medidas de seguridad y procesos de verificación para cumplir con la normativa y evitar así sanciones que podrían llegar a los 20 millones de euros.

Las empresas deben adoptar medidas que aseguren con certeza que se encuentran en condiciones de cumplir los principios, derechos y garantías que exige el Reglamento.

Una de las principales novedades de esta normativa es la Responsabilidad activa de la empresa por la que se considera que si se actúa después de haberse producido la infracción, puede causar importantes perjuicios para los afectados difíciles de reparar.

Entre las obligaciones que impone el Reglamento está la de elaborar una evaluación de impacto cuando las actividades de tratamiento de datos impliquen un riesgo específico para los afectados por su naturaleza, alcance y fines.

El hecho de que la nueva normativa se haya construido desde la máxima de la prevención, y no de la reparación de daños cuando se ha cometido la infracción, hace que el auditor interno tenga un papel esencial a la hora de trabajar e implantar medidas de seguridad y mecanismos de verificación, y de probar ante una posible inspección que, efectivamente, la empresa está adaptada al Reglamento.

Pasos a seguir en una Auditoría de Protección de Datos

pasos-auditoria-lopd

A la hora de auditar el cumplimiento de la normativa de Protección de Datos en la empresa debemos seguir los siguientes pasos:

  • Revisar los documentos de la empresa: debemos comprobar que se hayan firmado todos los contratos necesarios en materia de protección de datos, como los contratos de consentimiento, de confidencialidad o de acceso a datos por terceros. También tendremos que revisar si se han realizado modificaciones en el Documento de Seguridad o se ha actualizado este.
  • Revisar el sistema informático de la empresa: habrá que comprobar si tenemos un sistema para asignar nuevos usuarios con contraseñas individualizadas, si las contraseñas caducan como mínimo una vez al año. Igualmente revisar si se realizan copias de seguridad, en qué formato y con qué periodicidad.
  • Revisar las instalaciones de nuestra empresa: comprobaremos si disponemos de sistemas seguros de destrucción de la información y si el acceso a archivos con datos personales, a las copias de seguridad o al servidor está limitado de algún modo.
  • Entrevistar a los responsables de los departamentos de nuestra empresa que puedan tener acceso a los datos personales para detectar si los circuitos de tratamiento de datos son acordes a lo que establece la normativa.

Una vez revisados estos puntos, el auditor debe emitir un informe detallando los errores que la empresa debe corregir y las recomendaciones o propuestas de mejora. La empresa debe implantar las medidas propuestas por el auditor para mejorar el cumplimiento de la normativa de Protección de Datos y garantizar que los datos personales son tratados cumpliendo estrictos controles de seguridad y privacidad.

El informe de esa auditoría no se envía a la Agencia Española de Protección de Datos sino que es un documento interno que la empresa debe conservar y poner a disposición de la AEPD si ésta se lo solicita.

El nuevo RGPD de mayo de 2018, obligará a las empresas a valorar los riesgos producidos por el uso de datos personales, y a invertir en medidas de seguridad y procesos de verificación para cumplir con la normativa.

Resumen sobre la obligatoriedad de una auditoría LOPD

  • Obligatorio para organizaciones con un nivel de seguridad medio o alto.
  • Puede auditarse de manera interna o externa.
  • Se debe realizar un Informe de Auditoría mínimo cada dos años.
  • Se verificará el cumplimiento de las medidas de seguridad.

¿Necesitas cumplir la LOPD?

Read more


Medidas de seguridad de nivel alto

Todas las empresas, independientemente de su tamaño, están obligadas a tomar una serie de medidas de seguridad, por lo tanto les es aplicable la Ley de Protección de Datos en sus actividades diarias. “Se deben adoptar las medidas de carácter técnico que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado.”

Las medidas de seguridad aplicables al tratamiento de datos personales dependen de la naturaleza de la información. La LOPD clasifica los ficheros en tres niveles: básico, medio y alto.

Ficheros de nivel alto

Además de las medidas de nivel básico y medio, las medidas de nivel alto se aplicarán en los siguientes ficheros o tratamientos de datos de carácter personal:

  • Los que se refieran a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual.
  • Los que contengan o se refieran a datos recabados para fines policiales sin consentimiento de las personas afectadas.
  • Aquéllos que contengan datos derivados de actos de violencia de género.

Medidas de seguridad en ficheros de nivel alto

Estas son las medidas a aplicar según los correspondientes artículos del Reglamento LOPD:

¿Necesitas cumplir la LOPD?

Read more


Nivel de medidas de seguridad a implantar en un fichero

Medidas de seguridad de ficheros de datos personales

Hoy me han contado un caso de una pequeña empresa de mi ciudad que sufrió un ataque en sus sistemas informáticos perdiendo toda la información almacenada en ello. Y como este al día ocurren veinte mil. Por algo dicen que los datos son el petróleo del siglo XXI.

¿Proteges adecuadamente tu información? ¿Dispones de las medidas de seguridad adecuadas para protegerla? ¿Revisas y actualizas periódicamente estas medidas? ¿Te has preguntado por dónde empezar a dar los primeros pasos para mejorar la seguridad de tu negocio?

La información es uno de los activos más valiosos de los que disponen las empresas y esto lo saben quienes pretenden hacerse con esa información con fines delictivos.

¿Qué son las medidas de seguridad en Protección de Datos?

Como hemos dicho, es muy común encontrar empresas que sufren toda clase de ataques informáticos. Uno de los más frecuentes son los ataques de malware, virus o troyanos que pueden ser desarrollados para el robo de datos genéricos o con algún otro fin específico.

Para evitar todo esto, la LOPD establece el principio de seguridad de los datos por el que se impone al responsable del fichero la obligación de adoptar las medidas técnicas y organizativas precisas que protejan la seguridad de los datos de carácter personal y eviten su modificación, extravío, gestión o acceso no autorizado.

La ley establece también que el responsable del fichero, y el encargado del tratamiento, deberán implantar las medidas técnicas y organizativas necesarias para proteger los datos personales que manejan, según la situación tecnológica, el carácter de los datos almacenados y los riesgos a que están expuestos, ya procedan de la acción humana o del entorno físico o natural.

Niveles de seguridad de los ficheros de datos personales

nivel-seguridad-datos-ficheros

Las medidas de seguridad a adoptar dependen del nivel de seguridad correspondiente a los datos personales que deben protegerse.

El nivel básico de seguridad, se aplicará entre otros, a los ficheros que solo contengan datos identificativos y a todos los niveles medio y alto de seguridad. Por tanto, todos los ficheros o tratamientos de datos de carácter personal deberán adoptar las medidas de nivel básico establecidas en el Reglamento de desarrollo de la LOPD (RD 1720/2007, de 21 de diciembre).

Deberán implantarse, además de las medidas de seguridad de nivel básico, las medidas de nivel medio en los siguientes ficheros de datos de carácter personal:

  • Los relativos a la comisión de infracciones administrativas o penales.
  • Aquellos de los que sean responsables Administraciones Tributarias y se relacionen con el ejercicio de potestades tributarias.
  • Aquellos de los que sean responsables las Entidades Gestoras y Servicios Comunes de la Seguridad Social y se relacionen con el ejercicio de sus competencias. De igual modo, aquellos de los que sean responsables las mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social.
  • Aquellos que contengan un conjunto de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos.

Se señalará el nivel alto para cualquier fichero de datos de carácter personal que se refieran a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual, los que contengan o se refieran a datos recabados para fines policiales sin consentimiento de las personas afectadas, así como los que contengan datos derivados de actos de violencia de género.

Excepcionalmente podrán implantarse las medidas de nivel básico en ficheros que traten datos especialmente protegidos cuando dichos datos se utilicen con la única finalidad de realizar una transferencia dineraria a las entidades de las que los afectados sean asociados o miembros, o se trate de ficheros no automatizados en los que de forma incidental o accesoria se contengan datos especialmente protegidos sin guardar relación con su finalidad.

También podrán implantarse las medidas de seguridad de nivel básico en los ficheros o tratamientos que contengan datos relativos a la salud referentes, exclusivamente, al grado de discapacidad o la simple declaración de la condición de discapacidad o invalidez del afectado, con motivo del cumplimiento de deberes públicos.

Medidas de seguridad aplicables

Antes de adoptar las correspondientes medidas de seguridad debemos analizar toda la información que manejamos para clasificarla según el nivel de protección previsto en la LOPD. Así, se indica que las medidas de seguridad demandadas a los ficheros y tratamientos se dividen en tres niveles: básico, medio y alto.

¿Necesitas cumplir la LOPD?

Read more


10 Preguntas frecuentes sobre protección de datos de salud

sector sanitario nivel de seguridad alto lopd

Ayer fui testigo de un hecho bastante preocupante. Acudí a una consulta médica y mientras estaba siendo atendida por mi médico podía ver varios historiales de otros pacientes que estaban abiertos sobre la mesa con todos los datos visibles. Es decir, si hubiera querido, podía haber recopilado datos de salud de otras personas sin su consentimiento.

Los datos de salud, junto con datos sobre ideología, afiliación sindical, religión, creencias, origen racial, vida sexual y comisión de delitos penales o administrativos, son considerados por la LOPD como "datos especialmente protegidos" por afectar especialmente a la intimidad, los derechos fundamentales y las libertades públicas de las personas y, por tanto, se exige una mayor protección que para el resto de datos personales. Estos datos sólo podrán ser recogidos, tratados y cedidos por razones de interés público, cuando lo establezca expresamente una ley o con el consentimiento previo y manifiesto del interesado.

Preguntas sobre tratamiento de datos de salud

Vamos a responder a las dudas más habituales que nos surgen en relación a la protección de nuestros datos sanitarios.

¿Quién se considera el responsable del fichero "Historia Clínica"?

Se considera responsable de ese fichero al Hospital, Clínica o Profesional de la salud que tiene su consulta privada. Con carácter previo a la recogida de los datos personales se debe crear el fichero e inscribirlo. Si tenemos datos informatizados y datos en papel no necesitamos crear dos ficheros, basta con uno, considerado como fichero mixto y al que se aplicarán las medidas de seguridad correspondientes a cada una de las partes.

Solicitud del correo electrónico y el móvil al paciente

Estos datos pueden solicitarse siempre con el consentimiento expreso e informado del paciente y únicamente para la finalidad relacionada con la asistencia sanitaria.

El uso posterior de los datos de salud sólo puede hacerse para fines históricos, estadísticos o científicos. Los datos personales recogidos no pueden usarse para ofrecer productos para curar una enfermedad o para cursos privados ya que esto se considera una infracción de la LOPD por ser opuesto a esa finalidad de asistencia sanitaria.

¿Eres un profesional de la salud?

Cumplimiento del derecho de información en la recogida y tratamiento de datos sanitarios

En el formulario de admisión se debe informar al paciente sobre la recogida de sus datos, salvo en casos de urgencia, en los que esta información puede facilitarse posteriormente.

El texto que se utiliza normalmente para la información es:

Los datos personales recogidos serán incorporados y tratados en el fichero (indicar nombre), cuya finalidad es (describirla) y podrán ser cedidos a (indicar), además de otras cesiones previstas en la Ley. El órgano responsable del fichero es (indicarlo), y la dirección donde el interesado podrá ejercer los derechos de acceso, rectificación, cancelación y oposición ante el mismo es (indicarla).

Para tratar estos datos necesitamos igualmente el consentimiento del paciente salvo el caso establecido en la LOPD en que por razones de interés general, así lo establezca una Ley.

¿Pueden los hospitales y clínicas contratar a una empresa externa para grabar los datos en el fichero historia clínica o para destruir documentos?

Esto se considera un acceso a datos por cuenta de tercero y para ello se necesita un contrato entre el responsable del fichero y el tercero en el cual se indiquen expresamente las obligaciones de este. El encargado del tratamiento adquiere idénticas obligaciones al responsable del fichero e incurre en las mismas responsabilidades.

ejemplos proteccion de datos

Multa al Hospital Nuestra Señora de la Salud de 18.000 € por tirar a la basura documento con datos de pacientes. PS/00698/2010

Cesión de datos de pacientes

Otras cuestiones importantes sobre la Protección de Datos sanitarios

Aparte de los casos tratados existen otras cuestiones de especial interés en materia de Protección de Datos que afectan a datos de salud.

Debemos tener en cuenta que sólo los profesionales sanitarios o quienes les representen están facultados para recabar estos datos de salud.

Cuando un paciente facilita sus datos a un profesional sanitario para que éste elabore su ficha médica o en caso de ingreso hospitalario, puede exigir al médico que le informe sobre el uso que se va a dar a esos datos. El paciente debe ser informado de modo claro, conciso e inequívoco que sus datos van a ser almacenados en un fichero, de la finalidad para la que se recogen y de los destinatarios de los mismos.

Así mismo, el paciente puede ejercer los derechos de acceso, rectificación, cancelación y oposición, y para poder hacerlo deberá ser informado de la identidad del responsable del tratamiento y de la dirección del mismo.

Ficheros que contienen datos de pacientes con VIH

Actualmente existe un fichero nacional, que depende del Ministerio de Sanidad en el que se registran los datos de los pacientes enfermos de SIDA (Síndrome de Inmunodeficiencia Adquirida). Se trata de una enfermedad de declaración obligada, por lo que los médicos han de advertir de que tienen un paciente enfermo de SIDA, esta información se remite a las delegaciones provinciales, que la trasladan a las autoridades autonómicas, que a su vez realizan las actualizaciones del fichero y lo envían al Ministerio de Sanidad.

Los médicos tienen obligación de avisar al paciente de que existe este fichero, que incluye su nombre y apellidos, dirección, fecha de nacimiento y fecha de defunción.

El propósito de creación de este fichero es el interés general, para llevar un control de esta enfermedad.

Ficheros con datos sobre donaciones

Existe un fichero de donaciones, en el que se almacenan el nombre, apellidos, dirección y resultados de los análisis del donante. La finalidad de hacer este registro es la de terner acceso a los resultados y poder comunicar al paciente la siguiente cita.

El Real Decreto 1854/1993, de 22 de Octubre, por el que se determina con carácter general los requerimientos técnicos y requisitos mínimos de la hemodonación y bancos de sangre, regula en su artículo 29 el control de estos datos.

Los datos se guardarán durante un plazo no superior a 5 años, sin embargo, si se estima que hay posibilidad de contagio de enfermedades infecciosas se mantendrán indefinidamente.

Los datos genéticos y biométricos

¿Necesitas cumplir la LOPD?

Read more


Nivel de seguridad aplicable a ficheros con datos de menores

Hemos recibido esta consulta por parte de una empresaria y lectora del blog, que nos parece interesante publicar para aclarar el concepto.

ejemplos proteccion de datos

En mi empresa guardamos datos personales de muchos niños debido a la actividad que realizamos. Estos datos son únicamente los de contacto, que en realidad son lógicamente de los padres, así que de los menores en realidad sólo tenemos el nombre. Me ha parecido entender que los datos de menores deben ser especialmente protegido, y en ese caso, ¿qué nivel de seguridad debemos aplicar a ese fichero?

El nivel de seguridad que se debe aplicar a un fichero está en función del tipo de datos de que se componga, sin que la edad de los afectados sea un factor a considerar en este caso.

Las medidas de seguridad a aplicar a un fichero con datos personales de menores de edad serán por tanto las que correspondan al nivel de seguridad exigido por los datos.

En materia de protección de datos el hecho de que se traten datos de menores implica prestar una especial atención al consentimiento tal y como se regula en el artículo 13 de Reglamento de desarrollo de la LOPD:

Artículo 13. Consentimiento para el tratamiento de datos de menores de edad.
  1. Podrá procederse al tratamiento de los datos de los mayores de catorce años con su consentimiento, salvo en aquellos casos en los que la Ley exija para su prestación la asistencia de los titulares de la patria potestad o tutela. En el caso de los menores de catorce años se requerirá el consentimiento de los padres o tutores.
  2. En ningún caso podrán recabarse del menor datos que permitan obtener información sobre los demás miembros del grupo familiar, o sobre las características del mismo, como los datos relativos a la actividad profesional de los progenitores, información económica, datos sociológicos o cualesquiera otros, sin el consentimiento de los titulares de tales datos. No obstante, podrán recabarse los datos de identidad y dirección del padre, madre o tutor con la única finalidad de recabar la autorización prevista en el apartado anterior.
  3. Cuando el tratamiento se refiera a datos de menores de edad, la información dirigida a los mismos deberá expresarse en un lenguaje que sea fácilmente comprensible por aquéllos, con expresa indicación de lo dispuesto en este artículo.
  4. Corresponderá al responsable del fichero o tratamiento articular los procedimientos que garanticen que se ha comprobado de modo efectivo la edad del menor y la autenticidad del consentimiento prestado en su caso, por los padres, tutores o representantes legales.

¿Necesitas cumplir la LOPD?

Read more


Medidas de seguridad de nivel medio

Deberán implantarse, además de las medidas de seguridad de nivel básico, las medidas de nivel medio, en los siguientes ficheros o tratamientos de datos de carácter personal:

a) Los relativos a la comisión de infracciones administrativas o penales. b) Aquellos cuyo funcionamiento se rija por el artículo 29 de la Ley Orgánica 15/1999, de 13 de diciembre. c) Aquellos de los que sean responsables Administraciones tributarias y se relacionen con el ejercicio de sus potestades tributarias. d) Aquéllos de los que sean responsables las entidades financieras para finalidades relacionadas con la prestación de servicios financieros. e) Aquéllos de los que sean responsables las Entidades Gestoras y Servicios Comunes de la Seguridad Social y se relacionen con el ejercicio de sus competencias. De igual modo, aquellos de los que sean responsables las mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social. f) Aquéllos que contengan un conjunto de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos.

Estas son las medidas a aplicar según los correspondientes artículos del Reglamento LOPD:

Read more


Medidas de seguridad de nivel básico

Las medidas de seguridad que se han de adoptar en los ficheros que contengan datos de carácter personal están en función de la tipología de tales datos. Al operar de forma "acumulativa", todos los ficheros o tratamientos de datos de carácter personal deberán adoptar las medidas de seguridad calificadas de nivel básico.

Medidas de seguridad según el Reglamento

Estas son las medidas a aplicar según los correspondientes artículos del Reglamento LOPD:

Read more


Nivel de seguridad en tarjetas de implante

El artículo 33 del Real Decreto 1591/2009, de 16 de octubre, por el que se regulan los productos sanitarios, requiere que determinados implantes se acompañen de una tarjeta de implantación en la que se incluyen varios datos personales. Cuál será el nivel de seguridad a aplicar a estos datos es la cuestión a que se responde en el Informe 0410/2010  (actualización: este informe ha desaparecido de la base de datos de la AEPD) del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD).

Read more


Test psicotécnicos y LOPD

Los test psicotécnicos son una de las herramientas de uso habitual en las selecciones de personal. Estos tets conllevan la evaluación psicotécnica de aptitudes, características de personalidad y preferencias profesionales de los sujetos. Teniendo en cuenta que el artículo 5.1 g) del Reglamento de desarrollo de la Ley Orgánica 15/1999, define los datos de salud, como “las informaciones concernientes a la salud pasada, presente y futura, física o mental, de un individuo” no cabe duda que nos encontramos ante datos de salud, a los que habrá que aplicar las correspondientes medidas de seguridad de nivel alto.

Read more


Nivel de seguridad en Asesorías fiscales y laborales

La Agencia Española de Protección de Datos (AEPD) ha publicado varios informes de su Gabinete Jurídico analizando la cuestión sobre cuál es el nivel de seguridad exigible a algunos de los datos personales que por lo específico de su actividad mantienen las asesorías fiscales y laborales. El más reciente sobre la materia es el Informe 0511/2009, que aclara algunos de los ficheros sobre los que basta implantar medidas de seguridad de nivel de bajo a pesar de conservar en ciertos casos datos especialmente protegidos.

Tipo de datos que manejan las Asesorías

En cualquier caso, y tratándose de este sector, se ha de recordar el artículo 81 del Real Decreto 1720/2007 (reglamento LOPD), que dice:

2. Deberán implantarse, además de las medidas de seguridad de nivel básico, las medidas de nivel medio, en los siguientes ficheros o tratamientos de datos de carácter personal: a) Los relativos a la comisión de infracciones administrativas o penales.

Datos de trabajadores

En relación con los ficheros de gestión de nóminas o recursos humanos, el citado informe aclara que será posible la implantación de medidas de seguridad de nivel básico siempre que los datos de salud de los trabajadores se limiten a:

  • La mera indicación del grado o porcentaje de minusvalía del afectado o de los miembros de su unidad familiar a los efectos previstos para el cálculo de las retenciones en la legislación reguladora del Impuesto sobre la Renta de las Personas Físicas.
  • La indicación del datos “apto” o “no apto” de un trabajador a los efectos previstos en la Ley de Prevención de Riesgos Laborales.
  • Los datos relacionados con las obligaciones impuestas al empresario por la legislación vigente en materia de seguridad social que se limiten a señalar únicamente la existencia o no de enfermedad común, enfermedad profesional o accidente laboral o no laboral, así como la incapacidad laboral del trabajador.

Para cualquier otro tipo de datos relacionados con la salud de los trabajadores deberán implantarse las medidas de seguridad de nivel alto.

En referencia al tratamiento del dato de afiliación sindical de los trabajadores, se incluye dentro del supuesto contemplado en el artículo 81.5 a) del Reglamento LOPD, que excluye de la implantación de las medidas de seguridad de nivel alto los tratamientos que tengan por objeto la realización de una transferencia dineraria a la organización de la que sea miembro el trabajador.

Datos fiscales

Respecto a las asesorías fiscales, se analizan varios tipos de datos:

  • Casilla correspondiente a la aportación a la Iglesia Católica en el impuesto de la renta. El dato no implica la revelación de las creencias religiosas de los afectados, no procediendo en consecuencia por el mero tratamiento de este dato la implantación de las medidas de nivel alto.
  • Dato de discapacidad. Se aplica la excepción del artículo 81.6 del Reglamento LOPD al tratarse de datos recogidos con motivo del cumplimiento de deberes públicos.
  • Contribución del cliente a partidos políticos u organizaciones sindicales. Se trata de un tema diferente al indicado para el dato de afiliación sindical de los trabajadores, ya que en este caso el tratamiento no se lleva a cabo con la finalidad de efectuar una transferencia dineraria al partido o sindicato, sino con el objeto de especificar la deducción que corresponde como consecuencia de dichas aportaciones. Aquí se aplica la excepción del artículo 81.5.b) del Reglamento, acerca de ficheros o tratamientos no automatizados en los que de forma incidental o accesoria se contengan datos sin guardar relación con su finalidad. Como además recientemente se publicó una modificación parcial de este artículo, ya se pueden incluir también en esta excepción los ficheros automatizados.

¿Cómo deben cumplir la LOPD las Asesorías?

Al igual que cualquier otra entidad o profesional que maneje datos personales, las Asesorías están obligadas a cumplir las exigencias de la LOPD. Para ello deben seguir una serie de pasos como son:

Análisis del tipo de datos personales que tratamos

En primer lugar hay que realizar un análisis exhaustivo de los ficheros que posee la Asesoría y de la obligatoriedad o no de inscribirlos en la Agencia Española de Protección de Datos. Si incorporan datos personales es obligatoria su inscripción.

Los datos que generalmente manejan las Asesorías son datos de nivel básico y medio.

Inscribir los ficheros

Cumplimentar el formulario NOTA reglamentario establecido por la Agencia de Protección de Datos y remitirlo a su Registro General.

Debemos esperar a que la Agencia de Protección de Datos registre dicho fichero y se asigne un número de inscripción. Ese número significa que los dicheros están inscritos en la Agencia de Protección de Datos y que la Agencia conoce la existencia de esos ficheros asociados a la organización.

Elaborar un Documento de Seguridad

Es obligatorio elaborar el Documento de Seguridad donde se describen los procesos que la organización debe llevar a cabo para salvaguardar la privacidad de los datos personales inscritos en los ficheros.

Los apartados mínimos que debe incluir el Documento de Seguridad son los siguientes: ámbito de aplicación: especificación detallada de los recursos protegidos; medidas, normas, procedimientos, reglas y estándares de seguridad; funciones y obligaciones del personal, estructura y descripción de los ficheros y sistemas de información; procedimiento de notificación, gestión y respuesta ante incidencias; procedimiento de copias de respaldo y recuperación de datos; medidas adoptadas en el transporte, destrucción y/o reutilización de soportes y documentos.

Contratos y cláusulas legales

Elaboración del clausulado de cesión, transferencia internacional, y gestión de datos por parte de terceros si procede. Entre estos están:

  • Contrato para el tratamiento de datos por cuenta de tercero.
  • Compromiso de confidencialidad de los empleados/as en cuanto al uso y divulgación de información.
  • Cláusula para los contratos laborales.
  • Cláusula para formularios utilizados para la recogida de datos de carácter personal (datos clasificados con nivel de seguridad básico y medio)
  • Cláusulas a incluir en los formularios utilizados por la empresa en la recogida de datos de carácter personal (niveles medio y alto)
  • Cláusula clientes-proveedores al iniciar la relación comercial. Derecho de información en la recogida de datos.

Ejercicio de los derechos ARCO

La Ley otorga una gran importancia a los derechos de los ciudadanos a Acceder, Rectificar, Cancelar y Oponerse (A.R.C.O.) en cuanto al uso de sus datos personales. Para ello existen unas plantillas, que deben estar a disposición de todo aquél que lo exija y haga uso de ellas.

Auditoría

Finalmente hay que realizar una auditoria interna cada dos años con la finalidad de delimitar la conformidad del sistema y ofrecer la posibilidad de mejorarlo si es necesario.

La auditoria es una herramienta de control y supervisión  que permite conocer fallos en el manejo de datos personales, mediante  la investigación, revisión, consulta, comprobación, y obtención de toda evidencia sobre un hecho o sistemas  establecido, para el cumplimiento y la garantía del buen uso de los datos personales, llevada a cabo por personal cualificado.

Consiste en una revisión de las medidas informáticas, físicas o de archivos, así como organizativas y documentales que se implantaron en su día y que existen en la asesoría, que tienen que ver con el tratamiento de datos que efectúa ésta, respecto a los datos personales; ver también si es correcto el funcionamiento actual de nuestra empresa de acuerdo con la ley o si se ha producido un cambio que requiera una mejora.

Read more