f t i c n D ! >
Para más INFO haz CLIC en la Imagen
Para más INFO haz CLIC en la Imagen
Para más INFO haz CLIC en la Imagen

Información simplificada sobre la nueva GDPR/RGPD

Presentamos esta información detallada para facilitar la comprensión integral de la nueva legislación. Nuestro objetivo es asegurar que los conceptos clave y las implicaciones de la ley sean accesibles y claros para todos los interesados.

Niveles de Seguridad

Tipo de Información que trata y almacena su Empresa BÁSICO MEDIO ALTO
Ficheros de datos de caracter personal
Ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales
Ficheros que contengan datos sobre Hacienda Pública
Ficheros que contengan datos sobre Servicios Financieros
Ficheros que contengan datos sobre solvencia patrimonial y crédito
Ficheros que contengan datos relacionados con la ideología, origen racial, salud, creencias, filiación sindical, religión y sexo, principalmente

Obligaciones que dicta la Ley

¿A qué obliga la LOPD en materia de copias de seguridad? BÁSICO MEDIO ALTO Solución
Deberán garantizar la restauración de los datos al momento anterior a producirse la pérdida Restauración garantiza a cualquier punto que se haya definido en el sistema
Realización de copias de seguridad con al menos una frecuencia semanal (art. 14.3) Copias Programadas definidas por el Administrador o usuario, con la frecuencia que sea necesaria.
Autorización necesaria para la ejecución de procedimientos de restauración (art. 21.2) Las copias de seguridad se almacenan encriptadas. Solo se puede restaurar si se sabe la contraseña de encriptación.
Almacenamiento externo de copias y procedimientos de restauración de datos (art. 25) Redundando el almacenamiento seguro externo

¿Qué es la LOPD?

La Ley Orgánica de Protección de Datos de Carácter Personal 15/1999 de 13 de diciembre (LOPD), aprobada por REAL DECRETO 1720/2007, de 21 de diciembre, tiene por objeto proteger y garantizar las libertades y los derechos fundamentales de las personas físicas, su honor e intimidad personal y familiar.

La LOPD establece unas obligaciones en relación a la protección de datos de carácter personal contenidos en ficheros automatizados y no automatizados (en papel) que poseen empresas privadas y administraciones públicas, y que son tratados por éstas con diferentes finalidades; gestión de personal, proveedores, clientes, campañas de marketing, etc.

Tipos y niveles de datos

Los datos de carácter personal se clasifican en tres niveles atendiendo a su naturaleza y finalidad. A cada nivel le corresponden unas medidas de seguridad, siendo las de nivel alto las más estrictas:

  • Nivel básico – Todos los datos de carácter personal estarán, como mínimo, en este nivel.A todos los ficheros con datos personales se les deberán aplicar las medidas de seguridad de nivel básico.
  • Nivel medio – En general, los datos relativos a infracciones administrativas o penales, sobre solvencia patrimonial o crédito, sobre servicios financieros, y aquellos que permitan determinar un perfil de las personas.A estos datos será de aplicación las medidas de nivel básico y las de nivel medio.
  • Nivel alto – En general, los datos relativos a ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual.
    Los que contengan o se refieran a datos recabados para fines policiales sin consentimiento de las personas afectadas. Y aquéllos que contengan datos derivados de actos de violencia de género.A estos datos se les aplicarán las medidas definidas para el nivel básico, el medio y el alto.

Ley Orgánica de Economía Sostenible (LES Ley 2/2011, de 4 de marzo) –> La LES en su disposición final quincuagésima sexta, modifica la Ley Orgánica 15/1999 de 13 de diciembre, de Protección de Datos de Carácter Personal.

Se han modificado los apartados 1 a 5 del artículo 45, siendo la redacción resultante la siguiente:

  1. Las infracciones leves serán sancionadas con multa de 900 a 40.000 euros.
  2. Las infracciones graves serán sancionadas con multa de 40.001 a 300.000 euros.
  3. Las infracciones muy graves serán sancionadas con multa de 300.001 a 600.000 euros.
  4. La cuantía de las sanciones se graduará atendiendo a los siguientes criterios:
    • El carácter continuado de la infracción.
    • El volumen de los tratamientos efectuados.
    • La vinculación de la actividad del infractor con la realización de tratamientos de datos de carácter personal.
    • El volumen de negocio o actividad del infractor.
    • Los beneficios obtenidos como consecuencia de la comisión de la infracción.
    • El grado de intencionalidad.
    • La reincidencia por comisión de infracciones de la misma naturaleza.
    • La naturaleza de los perjuicios causados a las personas interesadas o a terceras personas.
    • La acreditación de que con anterioridad a los hechos constitutivos de infracción la entidad imputada tenía implantados procedimientos adecuados de actuación en la recogida y tratamiento de Ios datos de carácter personal, siendo la infracción consecuencia de una anomalía en el funcionamiento de dichos procedimientos no debida a una falta de diligencia exigible al infractor.
    • Cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora.
  5. El órgano sancionador establecerá la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad …

Obligaciones básicas de las empresas.

En definitiva, todas las empresas deberán:

  • Declarar los ficheros automatizados (informáticos) y no automatizados (en papel) con datos de carácter personal a la Agencia de Protección de Datos.
  • Legitimar los datos personales de que dispone mediante el cumplimiento de los siguientes principios de la LOPD:
    • Principio del consentimiento del afectado.
    • Principio de información al afectado.
    • Principio de calidad de los datos.
  • Proteger los ficheros automatizados y no automatizados para preservar la confidencialidad, integridad y disponibilidad de los datos siguiendo lo establecido en el Reglamento de Seguridad.

Como aspectos básicos se requiere:

  • Disponer de un Documento de Seguridad.
  • Definir e implantar los Procedimientos requeridos.
  • Nombrar un Responsable de Seguridad (si se dispone de datos de nivel medio o alto).
  • Formar y concienciar en materia de seguridad de la información a todo el personal que gestione datos personales.

¿A qué obliga la LOPD en materia de backup y recuperación de datos?

Niveles Obligaciones
Nivel Bajo, Medio y Alto
  • Deberán establecerse procedimientos de actuación para la realización como mínimo semanal de copias de respaldo, salvo que en dicho período no se hubiera producido ninguna actualización de los datos.
  • Asimismo, se establecerán procedimientos para la recuperación de los datos que garanticen en todo momento su reconstrucción en el estado en que se encontraban al tiempo de producirse la pérdida o destrucción. (art.94.1 del Reglamento de Desarrollo de la LOPD (RLPOD), RD 1720/2007)
Niveles medio y Alto
  • Necesaria autorización para la ejecución de procedimientos de restauración de datos. (RLOPD art.100.2)
Nivel Alto
  • Deberá conservarse una copia de respaldo de los datos y de los procedimientos de recuperación de los mismos en un lugar diferente de aquel en que se encuentren los equipos informáticos que los tratan (RLOPD art.102).

¿Para quién es obligatorio hacer Backup online o remoto?

Sector Organizaciones Datos Sensibles
Sector de la Formación Centros de formación, Colegios, Universidades, etc.:
  • el patrimonio familiar
  • IRPF
  • raza y religión para realizar matriculaciones.
Sector de la Salud Centros médicos, Gabinetes de psicología, Mutuas, Laboratorios, etc.
  • Historial médico: se entienden por “datos de carácter personal relativos a la salud las informaciones concernientes a la salud pasada, presente y futura, física o mental, de un individuo. Pudiendo tratarse de informaciones sobre un individuo con buena salud, enfermo o fallecido. Comprenden igualmente las informaciones relativas al abuso del alcohol o al consumo de drogas.”
Sector Servicios Asesorías jurídicas, laborales y contables; Banca, Consultoría, Seguros, ETTs, etc.
  • Ideología y creencias. Donaciones, afiliación a partidos, sindicatos.
  • Salud: altas, bajas, minusvalías, Partes, discapacidad.
  • Expedientes de solicitud que contengan datos relacionados con ideología, origen racial, salud, creencias, filiación sindical, religión y sexo.
Órganos Administrativos: Ayuntamiento, Diputación, Colegios, etc.
Sector Ocio Armerías, Clubes deportivos, Agencias matrimoniales.
  • Certificados de salud para obtener permisos de armas, datos sobre salud, raza, ideología y preferencias sexuales, minusvalías, etc.
Otros sectores Partidos políticos, Centros religiosos, Sindicatos, etc.
  • Datos que contienen información sobre ideología, religión y/o afiliación, así como los derivados de actos de violencia de género.

Qué dice exactamente la normativa:

Artículo Descripción
Art. 94.1. Obligación de realizar salvaguarda de datos “Deberán establecerse procedimientos de actuación para la realización como mínimo semanal de copias de respaldo, salvo que en dicho período no se hubiera producido ninguna actualización de los datos.”
Art. 94.2. Obligación de realizar procedimientos para la restauración de los datos “Asimismo, se establecerán procedimientos para la recuperación de los datos que garanticen en todo momento su reconstrucción en el estado en que se encontraban al tiempo de producirse la pérdida o destrucción.”
Art. 94.3. Verificación periódica de la copia “El responsable del fichero se encargará de verificar cada seis meses la correcta definición, funcionamiento y aplicación de los procedimientos de realización de copias de respaldo y de recuperación de los datos.”
Art. 101.2. Cifrado de los datos “La distribución de los soportes que contengan datos de carácter personal se realizará cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha información no sea accesible o manipulada durante su transporte.”
Art. 102. Copias de respaldo en un lugar diferente a aquél en que se encuentran los equipos informáticos que los tratan “Deberá conservarse una copia de respaldo de los datos y de los procedimientos de recuperación de los mismos en un lugar diferente de aquel en que se encuentren los equipos informáticos que los tratan…”
Art. 103. Registro de accesos Cada usuario sólo tendrá acceso a los datos de su PC, a los que accederá con claves de Usuario y Contraseña propios. El acceso queda registrado.
Art. 104. Transmisión de datos por redes de Telecomunicaciones “la transmisión de datos de carácter personal a través de redes públicas o redes inalámbricas de comunicaciones electrónicas se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros.” Los datos se transmiten, cifrados y comprimidos, bajo un protocolo de comunicación seguro SSL (https).

Infracciones y sanciones

Se clasifican en tres niveles y cada uno dispone de un rango de sanción que es acumulable:

  • Leves: serán sancionadas con multa de entre 900€ y 40.000€.
  • Graves: serán sancionadas con multa de entre 40.001€ y 300.000€.
  • Muy graves: serán sancionadas con multa de entre 300.001€ y 600.000€.