Información simplificada sobre la nueva GDPR/RGPD
Presentamos esta información detallada para facilitar la comprensión integral de la nueva legislación. Nuestro objetivo es asegurar que los conceptos clave y las implicaciones de la ley sean accesibles y claros para todos los interesados.
Niveles de Seguridad
Tipo de Información que trata y almacena su Empresa | BÁSICO | MEDIO | ALTO |
---|---|---|---|
Ficheros de datos de caracter personal | ✓ | ||
Ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales | ✓ | ||
Ficheros que contengan datos sobre Hacienda Pública | ✓ | ||
Ficheros que contengan datos sobre Servicios Financieros | ✓ | ||
Ficheros que contengan datos sobre solvencia patrimonial y crédito | ✓ | ||
Ficheros que contengan datos relacionados con la ideología, origen racial, salud, creencias, filiación sindical, religión y sexo, principalmente | ✓ |
Obligaciones que dicta la Ley
¿A qué obliga la LOPD en materia de copias de seguridad? | BÁSICO | MEDIO | ALTO | Solución |
---|---|---|---|---|
Deberán garantizar la restauración de los datos al momento anterior a producirse la pérdida | ✓ | ✓ | ✓ | Restauración garantiza a cualquier punto que se haya definido en el sistema |
Realización de copias de seguridad con al menos una frecuencia semanal (art. 14.3) | ✓ | ✓ | ✓ | Copias Programadas definidas por el Administrador o usuario, con la frecuencia que sea necesaria. |
Autorización necesaria para la ejecución de procedimientos de restauración (art. 21.2) | ✓ | ✓ | Las copias de seguridad se almacenan encriptadas. Solo se puede restaurar si se sabe la contraseña de encriptación. | |
Almacenamiento externo de copias y procedimientos de restauración de datos (art. 25) | ✓ | Redundando el almacenamiento seguro externo |
¿Qué es la LOPD?
La Ley Orgánica de Protección de Datos de Carácter Personal 15/1999 de 13 de diciembre (LOPD), aprobada por REAL DECRETO 1720/2007, de 21 de diciembre, tiene por objeto proteger y garantizar las libertades y los derechos fundamentales de las personas físicas, su honor e intimidad personal y familiar.
La LOPD establece unas obligaciones en relación a la protección de datos de carácter personal contenidos en ficheros automatizados y no automatizados (en papel) que poseen empresas privadas y administraciones públicas, y que son tratados por éstas con diferentes finalidades; gestión de personal, proveedores, clientes, campañas de marketing, etc.
Tipos y niveles de datos
Los datos de carácter personal se clasifican en tres niveles atendiendo a su naturaleza y finalidad. A cada nivel le corresponden unas medidas de seguridad, siendo las de nivel alto las más estrictas:
- Nivel básico – Todos los datos de carácter personal estarán, como mínimo, en este nivel.A todos los ficheros con datos personales se les deberán aplicar las medidas de seguridad de nivel básico.
- Nivel medio – En general, los datos relativos a infracciones administrativas o penales, sobre solvencia patrimonial o crédito, sobre servicios financieros, y aquellos que permitan determinar un perfil de las personas.A estos datos será de aplicación las medidas de nivel básico y las de nivel medio.
- Nivel alto – En general, los datos relativos a ideología, afiliación sindical, religión,
creencias, origen racial, salud o vida sexual.
Los que contengan o se refieran a datos recabados para fines policiales sin consentimiento de las personas afectadas. Y aquéllos que contengan datos derivados de actos de violencia de género.A estos datos se les aplicarán las medidas definidas para el nivel básico, el medio y el alto.
Ley Orgánica de Economía Sostenible (LES Ley 2/2011, de 4 de marzo) –> La LES en su disposición final quincuagésima sexta, modifica la Ley Orgánica 15/1999 de 13 de diciembre, de Protección de Datos de Carácter Personal.
Se han modificado los apartados 1 a 5 del artículo 45, siendo la redacción resultante la siguiente:
- Las infracciones leves serán sancionadas con multa de 900 a 40.000 euros.
- Las infracciones graves serán sancionadas con multa de 40.001 a 300.000 euros.
- Las infracciones muy graves serán sancionadas con multa de 300.001 a 600.000 euros.
- La cuantía de las sanciones se graduará atendiendo a los siguientes criterios:
- El carácter continuado de la infracción.
- El volumen de los tratamientos efectuados.
- La vinculación de la actividad del infractor con la realización de tratamientos de datos de carácter personal.
- El volumen de negocio o actividad del infractor.
- Los beneficios obtenidos como consecuencia de la comisión de la infracción.
- El grado de intencionalidad.
- La reincidencia por comisión de infracciones de la misma naturaleza.
- La naturaleza de los perjuicios causados a las personas interesadas o a terceras personas.
- La acreditación de que con anterioridad a los hechos constitutivos de infracción la entidad imputada tenía implantados procedimientos adecuados de actuación en la recogida y tratamiento de Ios datos de carácter personal, siendo la infracción consecuencia de una anomalía en el funcionamiento de dichos procedimientos no debida a una falta de diligencia exigible al infractor.
- Cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora.
- El órgano sancionador establecerá la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad …
Obligaciones básicas de las empresas.
En definitiva, todas las empresas deberán:
- Declarar los ficheros automatizados (informáticos) y no automatizados (en papel) con datos de carácter personal a la Agencia de Protección de Datos.
- Legitimar los datos personales de que dispone mediante el cumplimiento de los siguientes principios de la
LOPD:
- Principio del consentimiento del afectado.
- Principio de información al afectado.
- Principio de calidad de los datos.
- Proteger los ficheros automatizados y no automatizados para preservar la confidencialidad, integridad y disponibilidad de los datos siguiendo lo establecido en el Reglamento de Seguridad.
Como aspectos básicos se requiere:
- Disponer de un Documento de Seguridad.
- Definir e implantar los Procedimientos requeridos.
- Nombrar un Responsable de Seguridad (si se dispone de datos de nivel medio o alto).
- Formar y concienciar en materia de seguridad de la información a todo el personal que gestione datos personales.
¿A qué obliga la LOPD en materia de backup y recuperación de datos?
Niveles | Obligaciones |
---|---|
Nivel Bajo, Medio y Alto |
|
Niveles medio y Alto |
|
Nivel Alto |
|
¿Para quién es obligatorio hacer Backup online o remoto?
Sector | Organizaciones | Datos Sensibles |
---|---|---|
Sector de la Formación | Centros de formación, Colegios, Universidades, etc.: |
|
Sector de la Salud | Centros médicos, Gabinetes de psicología, Mutuas, Laboratorios, etc. |
|
Sector Servicios | Asesorías jurídicas, laborales y contables; Banca, Consultoría, Seguros, ETTs, etc. |
|
Órganos Administrativos: Ayuntamiento, Diputación, Colegios, etc. | ||
Sector Ocio | Armerías, Clubes deportivos, Agencias matrimoniales. |
|
Otros sectores | Partidos políticos, Centros religiosos, Sindicatos, etc. |
|
Qué dice exactamente la normativa:
Artículo | Descripción |
---|---|
Art. 94.1. Obligación de realizar salvaguarda de datos | “Deberán establecerse procedimientos de actuación para la realización como mínimo semanal de copias de respaldo, salvo que en dicho período no se hubiera producido ninguna actualización de los datos.” |
Art. 94.2. Obligación de realizar procedimientos para la restauración de los datos | “Asimismo, se establecerán procedimientos para la recuperación de los datos que garanticen en todo momento su reconstrucción en el estado en que se encontraban al tiempo de producirse la pérdida o destrucción.” |
Art. 94.3. Verificación periódica de la copia | “El responsable del fichero se encargará de verificar cada seis meses la correcta definición, funcionamiento y aplicación de los procedimientos de realización de copias de respaldo y de recuperación de los datos.” |
Art. 101.2. Cifrado de los datos | “La distribución de los soportes que contengan datos de carácter personal se realizará cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha información no sea accesible o manipulada durante su transporte.” |
Art. 102. Copias de respaldo en un lugar diferente a aquél en que se encuentran los equipos informáticos que los tratan | “Deberá conservarse una copia de respaldo de los datos y de los procedimientos de recuperación de los mismos en un lugar diferente de aquel en que se encuentren los equipos informáticos que los tratan…” |
Art. 103. Registro de accesos | Cada usuario sólo tendrá acceso a los datos de su PC, a los que accederá con claves de Usuario y Contraseña propios. El acceso queda registrado. |
Art. 104. Transmisión de datos por redes de Telecomunicaciones | “la transmisión de datos de carácter personal a través de redes públicas o redes inalámbricas de comunicaciones electrónicas se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros.” Los datos se transmiten, cifrados y comprimidos, bajo un protocolo de comunicación seguro SSL (https). |
Infracciones y sanciones
Se clasifican en tres niveles y cada uno dispone de un rango de sanción que es acumulable:
- Leves: serán sancionadas con multa de entre 900€ y 40.000€.
- Graves: serán sancionadas con multa de entre 40.001€ y 300.000€.
- Muy graves: serán sancionadas con multa de entre 300.001€ y 600.000€.