¿QUÉ ES? Es el DERECHO que toda persona física tiene para mantener un control de disposición sobre sus datos personales, especialmente sobre su uso y destino. Se trata de un derecho fundamental, que busca proteger la intimidad y privacidad frente a las vulneraciones de tales derechos que puedan proceder de un tráfico ilícito y lesivo para la dignidad y derecho del afectado. El ordenamiento jurídico español ha querido poner a disposición de las personas los mecanismos necesarios, que permitan exigir a terceros, que pretendan hacer uso de sus datos personales, la adopción de medidas por una parte informativas y por otra de seguridad, que permitan garantizar un uso leal y legal de sus datos. Tiene la consideración de derecho fundamental y como tal, ha sido desarrollado por una Ley Orgánica y el Tribunal Constitucional lo ha considerado en sus más recientes sentencias como un derecho fundamental autónomo e independiente del derecho a la intimidad. La OBLIGACIÓN que toda persona que intervenga en cualquier fase del tratamiento de datos personales debe cumplir con el fin de garantizar la seguridad de datos, y evitar la apertura de inspecciones por parte de la Agencia Española de Proteccion de Datos y, en su caso, de los correspondientes procediminetos sancionadores.

DEFINICIONES Datos de carácter personal Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables. (Nombre, apellidos y dirección, DNI, correo electrónico personalizado, etc.) Fichero Todo conjunto organizado de datos de caracter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso. Tratamiento de datos Operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, asi como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias. Responsable del fichero o tratamiento Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento de datos. Afectado o interesado Persona física titular de los datos que sean objeto del tratamiento. Encargado del tratamiento La persona física o jurídica, autoridad pública, servicio o qualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento. Consentimineto del interesado Toda manifestacion de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que la conciernen. Cesión o comunicación de datos Toda revelación de datos realizada a una persona distinta del interesado.

RESPONSABLE DE FICHEROS El artículo 3, la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal, define al Responsable de Fichero como: La persona física o jurídica de naturaleza pública o privada, u órgano administrativo, que decide sobre la finalidad, contenido y uso del tratamiento de los datos que se manejan. Todo Responsable de Fichero debe cumplir los siguientes requisitos, según el nivel de datos en que se mueva: Nivel de Datos Básico: • Disponer del Documento de Seguridad donde se deberá reflejar:   - El ámbito de aplicación   - Las medidas, normas, procedimientos y estándares de seguridad.   - Funciones y obligaciones del personal.   - Estructura y descripción de ficheros y sistemas de información.   - Procedimiento de notificación, gestión y respuesta ante incidencias.   - Procedimiento de realización de Copias de Respaldo y recuperación de datos. • Definir y establecer las funciones y obligaciones del personal de la empresa. • Habilitar y gestionar el registro de incidencias a disposición de todos los usuarios, con el fin de que registren las anomalías que se pudieran presentar con respecto a la seguridad de los datos. • Establecer procedimientos de asignación y gestión de contraseñas así como los periodos en que se modificarán. Las contraseñas estarán almacenadas con un formato ininteligible. • Mantener una relación actualizada de usuarios y los accesos autorizados de cada uno de ellos. • Cada usuario accederá únicamente a los datos y recursos necesarios para el desarrollo de sus funciones. La concesión de permisos será dada por personal autorizado para ello. • Mantener el Registro de Soportes para identificar, registrar y almacenar todos los Soportes que contengan Datos de Carácter Personal. • Habilitar el modelo de autorización para Salida de Soportes. • Establecer procedimientos para realizar Copias de Seguridad de la información que se maneja, de tal forma que se pueda garantizar la reconstrucción de los datos en el estado en que se encontraban en el momento de producirse la pérdida o destrucción de los mismos. Las Copias de Seguridad se deberían hacer, al menos, semanalmente. • El archivo de los documentos no automatizados debe realizarse según criterios que faciliten su consulta y localización para garantizar el ejercicio de los derechos ARCO. • Los dispositivos de almacenamiento de ficheros no automatizados, deberán estar dotados de mecanismos que obstaculicen su apertura. Durante la revisión o tramitación de los mismos, la persona a cargo, deberá ser diligente y custodiar la documentación para evitar accesos no autorizados. Nivel de Seguridad Medio: • Además del contenido especificado para el Documento de Seguridad de Nivel Básico, deberá especificarse:   - Identificación del/los Responsable/s de Seguridad.   - Control periódico del cumplimiento del documento.   - Medidas a adoptar en caso de tener que reutilizar o desechar soportes. • Control de acceso físico a los locales donde se encuentren ubicados los Sistemas de Información. • Mantener un registro de Entrada y Salida de Soportes. • Establecer medidas que impidan la recuperación posterior de información de un soporte que vaya a ser desechado o reutilizado. • Realizar una auditoría cada dos años, interna o externa. Nivel de Seguridad Alto: • Además de las medidas establecidas para el nivel medio: • Proceder al cifrado de datos en la distribución de soportes. • Mantener Copias de Seguridad en un lugar diferente del que se encuentren los equipos. • Mantener un registro de usuarios, hora, fichero, tipo de acceso y registro accedido. El control de accesos se deberá mantener al menos durante dos años. • Realizar transmisiones cifradas de datos. • Control de accesos autorizados a ficheros no automatizados e identificación de accesos para documentos accesibles por múltiples usuarios. • Almacenamiento de la documentación no automatizada en áreas (armarios, archivadores, ... ) con acceso protegido con puertas con llave. • La copia o reproducción de ficheros no automatizados solamente por personal autorizado. • Se deben establecer medidas adicionales que impidan el acceso o manipulación de los datos durante el traslado de los mismos. Además: • Los accesos a través de redes de telecomunicaciones deben garantizar un nivel de seguridad equivalente al de los accesos en modo local. • La ejecución de trabajos fuera de los locales del responsable o del encargado del tratamiento debe ser previamente autorizada por el responsable del fichero, constando en el documento de seguridad, y garantizar el nivel de seguridad. • Los ficheros temporales deberán cumplir el nivel de seguridad correspondiente y serán borrados una vez que hayan dejado de ser necesarios. • Acceso facilitado a un encargado del tratamiento deberá constar en el documento de seguridad y deberá comprometerse al cumplimiento de las medidas de seguridad previstas.

NIVELES DE SEGURIDAD Las medidas de seguridad se clasifican en tres niveles acumulativos (básico, medio y alto) atendiendo a la naturaleza de la información tratada, en relación con la menor o mayor necesidad de garantizar la confidencialidad y la integridad de la información. Nivel Alto: Se aplicarán a los ficheros o tratamientos de datos: • de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual y respecto de los que no se prevea la posibilidad de adoptar el nivel básico. • recabados con fines policiales sin consentimiento de las personas afectadas. • derivados de actos de violencia de género. Nivel Medio: Se aplicarán a los ficheros o tratamiento de datos: • relativos a la comisión de infracciones administrativas o penales. • que se rijan por el artículo 29 de la LOPD (prestación de servicios de solvencia patrimonial y crédito). • de Administraciones tributarias, y que se relacionen con el ejercicio de sus potestades tributarias. • de entidades financieras para las finalidades relacionadas con la prestación de servicios financieros. • de Entidades Gestoras y Servicios Comunes de Seguridad Social, que se relacionen con el ejercicio de sus competencias. • de mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social. • que ofrezcan una definición de la personalidad y permitan evaluar determinados aspectos de la misma o del comportamiento de las personas. • de los operadores de comunicaciones electrónicas, respecto de los datos de tráfico y localización. Nivel Básico: Se aplicarán a cualquier otro fichero que contenga datos de carácter personal. También aquellos ficheros que contengan datos de ideología, afiliación sindical, religión, creencias, salud, origen racial o vida sexual, cuando: • los datos se utilicen con la única finalidad de realizar una transferencia dineraria a entidades de las que los afectados sean asociados o miembros. • se trate de ficheros o tratamientos no automatizados o sean tratamientos manuales de estos tipos de datos de forma incidental o accesoria, que no guarden relación con la finalidad del fichero. • en los ficheros o tratamientos que contengan datos de salud, que se refieran exclusivamente al grado o condición de discapacidad o la simple declaración de invalidez, con motivo del cumplimiento de deberes públicos.

DERECHOS DE LA PERSONA En cumplimiento de las disposiciones legales vigentes, se ofrecerá a las personas a las que se les recaban Datos Personales la posibilidad de ejercitar sus derechos. El ejercicio de los mismos es personal y se ejercitará por el afectado ante cada uno de los Responsables de Fichero. Para ellos se utilizará cualquier medio que permita acreditar el envío y recogida de la solicitud para el ejercicio de los derechos. Se deberá acompañar la copia del DNI del afectado así como el listado de ficheros a consultar. Derecho de Acceso: Permite al afectado solicitar y obtener gratuitamente información de sus datos de carácter personal sometidos a tratamiento, el origen de dichos datos, así como las comunicaciones realizadas o que se tengan previsto hacer de los mismos. No puede ser ejercitado en plazos inferiores a 12 meses y el plazo máximo de respuesta es de un mes desde la recepción de la solicitud... (Saber más) Derecho de Rectificación y Cancelación: Es personal y por ello el afectado podrá dirigirse al Responsable de Fichero para reclamar la Modificación/Cancelación de sus datos. Se realizará por cualquier medio que permita acreditar el envío y recogida de su solicitud, acompañando la copia del DNI. El Responsable de Fichero dispone de un plazo máximo de diez días para contestar. De no ser así, el afectado podrá dirigirse a la Agencia Española de Protección de Datos, acompañando la documentación acreditativa de haber solicitado la Rectificación/Cancelación de sus datos... (Saber más) Derecho de Oposición Derecho de Indemnización: Los afectados que, como consecuencia del incumplimiento de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal, sufran daño o lesión en sus bienes, tendrán derecho a ser indemnizados.

RECURSOS PROTEGIDOS Se denomina Recurso Protegido a cualquier parte integrante de Sistema de Información por medio del cual se puede acceder a Ficheros que contengan Datos de Carácter Personal. Locales de Tratamiento y Almacenamiento de Datos Aquellas ubicaciones en donde se albergan los servidores, equipos informáticos, soportes, etc. que contienen Datos de Carácter Personal. Servidores Dispositivos que contienen Datos de Carácter Personal, incluyendo cualquier dispositivo informático que los almacena. Serán objeto de especial protección, para garantizar la disponibilidad y confidencialidad de los mismos, principalmente cuando se acceda a los mismos desde una red de comunicaciones interna (intranet) o externa (Red Corporativa, Internet). Equipos Informáticos de Sobremesa, Portátiles, Impresoras Dispositivos informáticos desde los cuales se puede acceder a Datos de Carácter Personal. Sistemas Operativos y Aplicaciones Informáticas Programas o aplicaciones desde los que se puede acceder a Datos Personales y que son usualmente utilizadas por los usuarios para acceder a ellos o utilizarlos. Soportes para Copia o Almacenamiento de Información Medios y canales de comunicación por el que circulan Datos Personales, a través de una red de comunicaciones interna o externa, serán objeto de especial protección, para garantizar la disponibilidad y confidencialidad de los mismos. Ficheros Automatizados Conjuntos de Datos de Carácter Personal almacenados en Soportes Informáticos. Ficheros No Automatizados Conjuntos Organizados de Datos Personales almacenados en soportes físicos. Cualquier fichero manual o almacenado en un soporte convencional.

RESPONSABILIDADES - Responsable de Seguridad Coordinar y controlar las Medidas de Seguridad aplicables.   Obligaciones:   • Coordinar y Controlar las Medidas de Seguridad establecidas en el Documento de Seguridad.   • Verificar que los accesos a los Sistemas de Información a través de redes de comunicaciones garantizan un nivel de seguridad equivalente al correspondiente a los accesos en modo local.   • Verificar que se aplican las medidas de seguridad oportunas sobre los ficheros temporales que contengan Datos Personales y que éstos se borran una vez terminada su utilización.   • Comprobar, al menos trimestralmente, conjuntamente con el Administrador del Sistema, la validez de la Lista de Usuarios y las Autorizaciones correspondientes. • Controlar la existencia y el cumplimiento de los Procedimientos de Control de Acceso.   • Habilitar y gestionar el Registro de Incidencias a disposición de todos los Usuarios.   • Habilitar y gestionar el Registro de Soportes para identificar, registrar y almacenar todos los soportes que contengan Datos Personales en los lugares habilitados para tal fin.   • Gestionar ante el Responsable del Fichero las autorizaciones de salida de soportes que contengan Datos de Carácter Personal. • Realizar las Copias de Respaldo y Recuperación de los Datos de Carácter Personal. Comprobar trimestralmente los procedimientos aplicados para realizar las Copias de Seguridad. - Administrador Persona a la que el Responsable de Fichero ha asignado la función de garantizar la seguridad de los datos que se procesan.   Obligaciones:    • Colaborar con el Responsable de Seguridad en la Implantación y Puesta En Marcha de las Medidas de Seguridad establecidas en el Documento de Seguridad.   • Proponer y desarrollar estándares y procedimientos relacionados con la Seguridad de los Sistemas de Información y los Datos Personales.   • Gestionar los Perfiles de Usuarios de los Sistemas Informáticos y los accesos de cada uno a los Sistemas de Información.   • Dar Soporte a los Usuarios en materia de Seguridad. Implantar equipos, dispositivos y paquetes relacionados con la Seguridad Física y Lógica de los Sistemas Informáticos.   • Controlar y realizar el Seguimiento de la Seguridad Física y Lógica de los Sistemas Informáticos. - Usuarios Personas que participan en alguna fase del tratamiento de los Datos Personales que se encuentran accesibles en los Sistemas de Información.   Obligaciones:   • Confirmar por escrito el Conocimiento y el Compromiso de Cumplimiento de las Normas y Procedimientos establecidos en la Política de Seguridad.   • Utilizar los Datos Personales a los que tenga acceso, en virtud de sus funciones, únicamente para el desempeño de la actividad laboral.   • Guardar el secreto y la confidencialidad de toda la información a la que tenga acceso.   • Cualquier Trabajador que reciba un escrito, fotocopia remitida por correo, telecopia o cualquier otro procedimiento de notificación, en el que una Persona Física comunique su intención de ejercitar los Derechos de Acceso, Rectificación o Cancelación, deberá comunicarlo en el plazo de tiempo más breve posible, máximo de 24 horas, al Responsable de Seguridad o, en su defecto, al Responsable del Fichero.   • Abstenerse de borrar, destruir, dañar, alterar o modificar cualquier información relacionada con Datos Personales contenidos en los Sistemas de Información sin la autorización expresa del Responsable del Fichero, salvo que le haya sido asignada dicha función.   • Abstenerse de realizar copias, transmisiones, comunicaciones o cesiones de cualquier información relacionada con Datos de Carácter Personal contenidos en los Sistemas de Información sin la autorización expresa del Responsable del Fichero, salvo que le haya sido asignada dicha función.   • Los Usuarios están obligados a informar sobre cualquier anomalía, error, imprecisión o fallo que detecten en los Datos contenidos en los Sistemas de Información, comunicando rápidamente la incidencia correspondiente. • Los Usuarios tienen prohibido el acceso a los Sistemas de Información desde fuera de los locales de la misma, sin la autorización expresa del Responsable del Fichero.

NORMAS Y SEGURIDAD Las Normas y Controles relativos al uso de los Sistemas de Información, afectarán al uso y mantenimiento de los Recursos disponibles en los Sistemas de Información, mediante los cuales se puede tener acceso a Datos de Carácter Personal. Normas de Seguridad Generales • Estará disponible un Registro de Usuarios Autorizados para utilizar los Ficheros existentes en los Sistemas de Información. • Es obligación de los usuarios de los Sistemas de Información cumplir la normativa vigente y lo dispuesto en el Documento de Seguridad. • Todos los Usuarios Autorizados, dispondrán de un Código De Usuario particular asociado a una Contraseña que sólo conoce el Usuario. El código de usuario y la contraseña serán absolutamente personales e intransferibles. • Se prohíbe la instalación, por parte de los usuarios, de cualquier aplicación o producto informático en los Sistemas de Información, sin la autorización expresa del Responsable de Seguridad. • No se permite la utilización de recursos de los Sistemas de Información con fines privados o con cualquier otro fin diferente a los estrictamente laborales, sin la correspondiente autorización del Responsable del Fichero. • Se prohíbe la conexión a redes externas (Internet y servicios similares) desde equipos que contengan o tengan acceso a Datos Personales, sin la autorización previa del Responsable del Fichero, salvo que estén implementadas medidas técnicas que garanticen la seguridad de dicha conexión. Si deseas ver más información acerca de: - Normas de Seguridad Relativas a Ficheros Temporales (Saber más) - Normas de Seguridad Relativas a los Controles de Acceso a los Sistemas de Información (Saber más) - Normas y Controles Relativos a los Locales (Saber más) - Normas y Controles Relativos a los Equipos Informáticos (Saber más) - Normas y Controles Relativos a Aplicaciones Informáticas (Saber más) - Normas Relativas al Tratamiento de Información Automatizada (Saber más) - Normas Relativas al Tratamiento de Información No Automatizada (Saber más) - Normas y Controles Relativos a los Soportes (Saber más) - Normas y Controles Relativos a la Protección Antivirus (Saber más) - Accesos a través de Redes de Comunicaciones (Saber más) - Normas y Controles Relativos al Uso de Internet (Saber más) - Normas y Controles Relativos al Uso de Correo Electrónico (Saber más) - Normas y Controles Relativos a las Incidencias (Saber más) - Normas de Seguridad Relativas a la Propiedad Intelectual e Industrial (Saber más)

PREGUNTAS FRECUENTES ¿Puedo utilizar los datos personales recabados de alguien para remitirle publicidad? De acuerdo con el artículo 6 de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal, el tratamiento de los datos de carácter personal requiere el consentimiento inequívoco del afectado. ¿Cómo se puede conseguir que eliminen tus datos de los ficheros de las empresas que te remiten publicidad? Esto se puede evitar ejercitando los derechos de cancelación. Para ello, el afectado deberá dirigirse al responsable de fichero, utilizando cualquier medio que permita acreditar el envío y la recogida de su solicitud, acompañando la copia del D.N.I. Se podrá ver más información acerca del Derecho de Cancelación en el apartado dedicado a “Derechos de las Personas” ¿Es aplicable la LOPD a los ficheros en soporte de papel? ¿Debo obligatoriamente inscribir los ficheros manuales o en papel (listados, fichas, etc...)? La nueva Ley sobre la protección de datos es aplicable tanto a los ficheros automatizados como a los no automatizados. Esta es la gran diferencia con la antigua LORTAD que sólo era aplicable a los ficheros automatizados. El soporte papel (como son los listados o las fichas) entra dentro de la definición de soportes físicos en general. Igualmente, los ficheros en soporte papel entran dentro del ámbito de aplicación de la Ley Orgánica 15/1999, aunque su aplicación queda demorada hasta el 24 de diciembre de 2007 para ficheros preexistentes. ¿Es necesario declarar ante la Agencia Española de Protección de Datos el Documento de Seguridad de los Ficheros Automatizados de Datos de Carácter Personal? El Documento de Seguridad, al igual que las Auditorías Bienales, son de carácter interno, pero debe estar disponible y actualizado por si la Agencia lo requiere. ¿Cómo actúa la Agencia de Protección de Datos? La Agencia Española de Protección de Datos, previo aviso, puede iniciar una inspección de oficio o por denuncia de los afectados. Una vez realizada la inspección, tiene capacidad para imponer las multas contempladas en la ley.