¿Su empresa cumple con las obligaciones de la LOPD?

La LOPD (Ley Orgánica de Protección de Datos) obliga a todas las organizaciones, empresas e instituciones a garantizar la seguridad de los datos de carácter personal que tratan y almacenan en sus sistemas de información y clasifica esos datos en 3 niveles de seguridad (básico, medio y alto). Para cada nivel impone una serie de obligaciones en materia de backup: desde garantizar la restauración de los datos al momento anterior de producirse la pérdida hasta disponer de copias almacenadas externamente de forma segura.

Niveles de Seguridad

Tipo de Información que trata y almacena su Empresa

BÁSICO

MEDIO

ALTO

Ficheros de datos de caracter personal ok
Ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales ok
Ficheros que contengan datos sobre Hacienda Pública ok
Ficheros que contengan datos sobre Servicios Financieros ok
Ficheros que contengan datos sobre solvencia patrimonial y crédito ok
Ficheros que contengan datos relacionados con la ideología, origen racial, salud, creencias, filiación sindical, religión y sexo, principalmente ok

 

Obligaciones de la Ley

¿A qué obliga la LOPD en materia de copias de seguridad?

BÁSICO

MEDIO

ALTO

¿Qué le aporta JUMBOCOPY?

Deberán garantizar la restauración de los datos al momento anterior a producirse la pérdida ok ok ok Restauración garantiza a cualquier punto que se haya definido en el sistema
Realización de copias de seguridad con al menos una frecuencia semanal (art. 14.3) ok ok ok Copias Programadas definidas por el Administrador o usuario. Con la frecuencia que sea necesaria.
Autorización necesaria para la ejecución de procedimientos de restauración (art. 21.2) ok ok Solo se puede restaurar si se sabe la contraseña de encriptación. Las copias de seguridad se almacenan encriptadas.
Almacenamiento externo de copias y procedimientos de restauración de datos (art. 25) ok Almacenamiento seguro externo. En Centros de datos redundados y Europeos conformes a todas las normativas europeas de seguridad.

¿Qué es la LOPD?

La Ley Orgánica de Protección de Datos de Carácter Personal 15/1999 de 13 de diciembre (LOPD), aprobada por REAL DECRETO 1720/2007, de 21 de diciembre, tiene por objeto proteger y garantizar las libertades y los derechos fundamentales de las personas físicas, su honor e intimidad personal y familiar.

La LOPD establece unas obligaciones en relación a la protección de datos de carácter personal contenidos en ficheros automatizados y no automatizados (en papel) que poseen empresas privadas y administraciones públicas, y que son tratados por éstas con diferentes finalidades; gestión de personal, proveedores, clientes, campañas de marketing, etc.

Tipos y niveles de datos –> Los datos de carácter personal se clasifican en tres niveles atendiendo a su naturaleza y finalidad. A cada nivel le corresponden unas medidas de seguridad, siendo las de nivel alto las más estrictas:

  • Nivel básico – Todos los datos de carácter personal estarán, como mínimo, en este nivel.A todos los ficheros con datos personales se les deberán aplicar las medidas de seguridad de nivel básico.
  • Nivel medio – En general, los datos relativos a infracciones administrativas o penales, sobre solvencia patrimonial o crédito, sobre servicios financieros, y aquellos que permitan determinar un perfil de las personas.A estos datos será de aplicación las medidas de nivel básico y las de nivel medio.
  • Nivel alto – En general, los datos relativos a ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual.
    Los que contengan o se refieran a datos recabados para fines policiales sin consentimiento de las personas afectadas. Y aquéllos que contengan datos derivados de actos de violencia de género.A estos datos se les aplicarán las medidas definidas para el nivel básico, el medio y el alto.

 

Ley Orgánica de Economía Sostenible (LES Ley 2/2011, de 4 de marzo)–> La LES en su disposición final quincuagésima sexta, modifica la Ley Orgánica 15/1999 de 13 de diciembre, de Protección de Datos de Carácter Personal.

A grandes rasgos estas modificaciones afectan a las causas de los tres tipos de infracciones, y al importe de las sanciones para estas infracciones.

Se da nueva redacción a los apartados 2 a 4 del artículo 44, afectando a los tres tipos de infracciones.

La modificación principal es que queda como infracción muy grave: La transferencia internacional de datos de carácter personal con destino a países que no proporcionen un nivel de protección equiparable sin autorización del Director de la Agencia Española de Protección de Datos salvo en los supuestos en los que conforme a esta Ley y sus disposiciones de desarrollo dicha autorización no resulta necesaria.

Se modifican los apartados 1 a 5 del artículo 45, siendo la redacción resultante la siguiente:

1. Las infracciones leves serán sancionadas con multa de 900 a 40.000 euros.

2. Las infracciones graves serán sancionadas con multa de 40.001 a 300.000 euros.

3. Las infracciones muy graves serán sancionadas con multa de 300.001 a 600.000 euros.

4. La cuantía de las sanciones se graduará atendiendo a los siguientes criterios:

– El carácter continuado de la infracción.

– El volumen de los tratamientos efectuados.

– La vinculación de la actividad del infractor con la realización de tratamientos de datos de carácter personal.

– El volumen de negocio o actividad del infractor.

– Los beneficios obtenidos como consecuencia de la comisión de la infracción.

– El grado de intencionalidad.

– La reincidencia por comisión de infracciones de la misma naturaleza.

– La naturaleza de los perjuicios causados a las personas interesadas o a terceras personas.

– La acreditación de que con anterioridad a los hechos constitutivos de infracción la entidad imputada tenía implantados procedimientos adecuados de actuación en la recogida y tratamiento de Ios datos de carácter personal, siendo la infracción consecuencia de una anomalía en el funcionamiento de dichos procedimientos no debida a una falta de diligencia exigible al infractor.

– Cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora.

5. El órgano sancionador establecerá la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad …

Obligaciones básicas de las empresas.

En definitiva, todas las empresas deberán:

Declarar los ficheros automatizados (informáticos) y no automatizados (en papel) con datos de carácter personal a la Agencia de Protección de Datos.

Legitimar los datos personales de que dispone mediante el cumplimiento de los siguientes principios de la LOPD:

  • Principio del consentimiento del afectado.
  • Principio de información al afectado.
  • Principio de calidad de los datos.

Proteger los ficheros automatizados y no automatizados para preservar la confidencialidad, integridad y disponibilidad de los datos siguiendo lo establecido en el Reglamento de Seguridad.

Como aspectos básicos se requiere:

  • Disponer de un Documento de Seguridad.
  • Definir e implantar los Procedimientos requeridos.
  • Nombrar un Responsable de Seguridad (si se dispone de datos de nivel medio o alto).
  • Formar y concienciar en materia de seguridad de la información a todo el personal que gestione datos personales.

 

¿A qué obliga la LOPD en materia de backup y recuperación de datos?

Nivel Bajo, Medio y Alto:

– Deberán establecerse procedimientos de actuación para la realización como mínimo semanal de copias de respaldo, salvo que en dicho período no se hubiera producido ninguna actualización de los datos.

– Asimismo, se establecerán procedimientos para la recuperación de los datos que garanticen en todo momento su reconstrucción en el estado en que se encontraban al tiempo de producirse la pérdida o destrucción. (art.94.1 del Reglamento de Desarrollo de la LOPD (RLPOD), RD 1720/2007)

Niveles medio y Alto: Necesaria autorización para la ejecución de procedimientos de restauración de datos. (RLOPD art.100.2)

Nivel Alto: Deberá conservarse una copia de respaldo de los datos y de los procedimientos de recuperación de los mismos en un lugar diferente de aquel en que se encuentren los equipos informáticos que los tratan (RLOPD art.102).

 

¿Para quién es obligatorio hacer Backup online o remoto?

Sector de la Formación: Centros de formación, Colegios, Universidades, etc.
Tienen bases de datos con información sobre : el patrimonio familiar, IRPF, raza y religión para realizar matriculaciones.

Sector de la Salud: Centros médicos, Gabinetes de psicología, Mutuas, Laboratorios, etc.
Tienen bases de datos con información sobre : Historial médico.
Se entienden por “datos de carácter personal relativos a la salud las informaciones concernientes a la salud pasada, presente y futura, física o mental, de un individuo. Pudiendo tratarse de informaciones sobre un individuo con buena salud, enfermo o fallecido. Comprenden igualmente las informaciones relativas al abuso del alcohol o al consumo de drogas.”

Sector Servicios: Asesorías jurídicas, laborales y contables; Banca, Consultoría, Seguros, ETTs, etc.
Órganos Administrativos: Ayuntamiento, Diputación, Colegios, etc.

Tienen bases de datos con información sobre :

– Ideología y creencias. Donaciones, afiliación a partidos, sindicatos.
– Salud: altas, bajas, minusvalías, Partes, discapacidad.
– Expedientes de solicitud que contengan datos relacionados con ideología, origen racial, salud, creencias, filiación sindical, religión y sexo.

 Sector Ocio: Armerías, Clubes deportivos, Agencias matrimoniales.
Certificados de salud para obtener permisos de armas, datos sobre salud, raza, ideología y preferencias sexuales, minusvalías, etc.

Otros sectores: Partidos políticos, Centros religiosos, Sindicatos, etc.
Datos que contienen información sobre ideología, religión y/o afiliación, así como los derivados de actos de violencia de género.

Qué dice exactamente la normativa:

Art. 94.1. Obligación de realizar salvaguarda de datos: “Deberán establecerse procedimientos de actuación para la realización como mínimo semanal de copias de respaldo, salvo que en dicho período no se hubiera producido ninguna actualización de los datos.”

Art. 94.2. Obligación de realizar procedimientos para la restauración de los datos: “Asimismo, se  establecerán procedimientos para la recuperación de los datos que garanticen en todo momento su reconstrucción en el estado en que se encontraban al tiempo de producirse la pérdida o destrucción.”

Art. 94.3. Verificación periódica de la copia: “El responsable del fichero se encargará de verificar cada seis meses la correcta definición, funcionamiento y aplicación de los procedimientos de realización de copias de respaldo y de recuperación de los datos.”

Art. 101.2. Cifrado de los datos: “La distribución de los soportes que contengan datos de carácter personal se realizará cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha información no sea accesible o manipulada durante su transporte.”

Art. 102. Copias de respaldo en un lugar diferente a aquél en que se encuentran los equipos informáticos que los tratan: “Deberá conservarse una copia de respaldo de los datos y de los procedimientos de recuperación de los mismos en un lugar diferente de aquel en que se encuentren los equipos informáticos que los tratan…”

Art. 103. Registro de accesos: Cada usuario sólo tendrá acceso a los datos de su PC, a los que accederá con claves de Usuario y Contraseña propios. El acceso queda registrado.

Art. 104. Transmisión de datos por redes de Telecomunicaciones: “la transmisión de datos de carácter personal a través de redes públicas o redes inalámbricas de comunicaciones electrónicas se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros.” Los datos se transmiten, cifrados y comprimidos, bajo un protocolo de comunicación seguro SSL (https).

JumboCopy en sus diferentes versiones: Enterprise, Pro, EndPoint y MailArchiver como herramienta Online, habilita el cumplimiento de todos estos artículos.

Infracciones y sanciones

Las infracciones se clasifican en tres niveles y cada uno dispone de un rango de sanción que es acumulable:

Leves: serán sancionadas con multa de entre 900€ y 40.000€.
Graves: serán sancionadas con multa de entre 40.001€ y 300.000€.
Muy graves: serán sancionadas con multa de entre 300.001€ y 600.000€.

 

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR