Índice

2. Índice

3. Introducción Detalles del Real Decreto • Entró en vigor el 19 de abril de 2008 • Deroga el anterior Real Decreto 994/1999 de 11 de junio de Medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal. • Dos objetivos: • Dotar de seguridad jurídica el ordenamiento en materia de protección de datos de carácter personal • Contribuir al logro de una mayor claridad en la aplicación práctica • Instrumentos previos: • Ley Orgánica 5/1992 • Real Decreto 428/1993 • Real Decreto 1332/1994 • Directiva 95/46/CE del Parlamento Europeo • Ley Orgánica 15/1999 • Real Decreto 994/1999 • Ley 34/2002 • Ley 32/2003

4. Introducción Vista General • Se amplían y modifican las medidas y niveles de seguridad aplicables a cada tipo de fichero • Se regulan medidas de seguridad específicas en el tratamiento de datos en soporte papel • Se modelan y aseguran las medidas a adoptar en materia de información y obtención del consentimiento a la hora de la recogida de datos personales • Se dota de norma a la subcontratación del tratamiento de los datos de personas a terceros • Se fijan los requisitos necesarios para las transferencias internacionales de datos de personas, dependiendo del país y receptor de los datos, así como establecer los niveles de seguridad • No se aplicará a: • Datos de personas jurídicas • Datos de personas físicas que presten sus servicios en personas jurídicas (datos exclusivos profesionales) • Datos de empresarios individuales que hagan referencia a su actividad (sin perjuicio de la aplicación de la Ley 34/2002 Servicios Sociedad Información)

5. Introducción Consecuencias • Modificaciones en las medidas de seguridad aplicadas en todo tipo de ficheros, en cualquiera de los niveles • Revisión y modificación de los archivos de “contactos” • Adopción de medidas concretas en aquellos documentos en papel que contengan datos de personas, así como en aquellos que sirvan para la captación de este tipo de datos

6. Niveles y Medidas de Seguridad Cambios en los Niveles • Se establece una nueva clasificación de datos de personas en niveles • Se degradan de Alto a Básico los siguientes datos: • Grado de discapacidad o invalidez: para cumplimiento de deberes públicos • Ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual: • para transferencias dinerarias • siempre que sean tratados de forma incidental o accesoria • Consecuencias • Revisar y aplicar las medidas de seguridad requeridas en cada caso • Revisar y modificar el Documento de Seguridad • Revisar la inscripción de los ficheros efectuada con anterioridad a la aplicación del Real Decreto

7. Niveles y Medidas de Seguridad Medidas de Nivel Básico • Definición de funciones y obligaciones de los usuarios en el documento de seguridad • Registro de incidencias • Control de accesos • Inventario e identificación del contenido en archivos y documentos • Identificación y autenticación de la persona que accede a archivos y documentos • Copias de seguridad

8. Niveles y Medidas de Seguridad Medidas de Nivel Medio • Todas las medidas de Nivel Básico • Designación de los responsables de seguridad • Auditoría con periodicidad bienal • Registro de soportes y documentos almacenados, así como entradas y salidas • Registro de Incidencias

9. Niveles y Medidas de Seguridad Medidas de Nivel Alto • Todas las de Nivel Medio • Cifrado y mecanismos de protección en la transmisión de datos • Copias y/o reproducción • Registro de accesos • Tratamiento y distribución de soportes portátiles con medidas específicas de control de acceso e interpretación

10. Información y Consentimiento Subcontratación • El responsable del tratamiento puede subcontratar el tratamiento de los datos a un tercero. • El responsable del tratamiento deberá comprobar que el encargado del tratamiento cumple las garantías dispuesta en el Reglamento. • En el caso de que el encargado del tratamiento de otro uso a los datos o los comunique incumpliendo las estipulaciones del contrato, será considerado, también, responsable del tratamiento respondiendo a las sanciones pertinentes. • Consecuencias • Obligación de formalizar contrato de encargado de tratamiento donde se especifiquen los servicios y empresas subcontratados. • El subcontratista se debe ajustar a las instrucciones del responsable del tratamiento. • Los datos se conservarán bloqueados hasta la finalización del contrato, momento en que serán destruidos salvo que la ley exija su conservación. • El encargado del tratamiento debe comunicar al responsable las solicitudes de los interesados para el ejercicio de sus derechos de acceso, rectificación, cancelación u oposición

11. Información y Consentimiento Consentimiento • Se incluyen dos nuevas excepciones de obtención de consentimiento: • Cuando el tratamiento o cesión tengan por objeto la satisfacción de un interés legítimo del responsable del tratamiento • Cuando sean necesarios para el cumplimiento de un deber jurídico • Salvo cuando sea necesario el consentimiento expreso , éste debe recabarse en contacto con el afectado y con un plazo de 30 días para manifestar su negativa. • Se obliga al responsable de datos a facilitar un medio gratuito y sencillo para comunicar su negativa al tratamiento de sus datos. • Es obligatorio demostrar el cumplimiento del deber de información a través de medios adecuados y accesibles por el interesado y a conservarlos durante el tiempo que dure el tratamiento de los datos. • Consecuencias • Conservar la documentación utilizada para la información al interesado • Conservar los documentos en los que conste el consentimiento del interesado • Informar con claridad y consentimiento de forma fehaciente de la finalidad del tratamiento. Se elaborarán tantos consentimientos como finalidades existan.

12. Información y Consentimiento Menores de edad Se mantiene la postura adoptada hasta ahora por la AEPD y en el nuevo Reglamento se permite el tratamiento de los datos de mayores de catorce años, siempre con su consentimiento, salvo que se exija para su patria potestad o tutela. Para menores de catorce años, se requerirá el consentimiento de los padres o tutores sin excepción alguna. La información dirigida a los menores sobre el tratamiento de sus datos deberá expresarse en un lenguaje claro y comprensible para los menores. En ningún caso se permitirá la solicitud de datos que permitan obtener información del resto de los miembros del grupo familiar. Es responsabilidad del responsable del tratamiento articular aquellos procedimientos que aseguren de modo efectivo la edad del menor y la autenticidad del consentimiento aportado por los padres o tutores.

13. Información y Consentimiento Transferencia internacional • No será necesaria la autorización del Director de la AEPD cuando la transferencia se realice a un Estado que garanticen un nivel adecuado de protección sobre datos de personas. • No obstante, será necesario efectuar la inscripción de la transferencia en el Registro General de Protección de Datos. • Consecuencias • Se necesita autorización de la transferencia cuando el Estado receptor no garantice el nivel apropiado, salvo en los supuestos previsto en los apartados de la a) a la j) del artículo 34 de la LOPD. • Se aportará contrato por escrito en el que consten las garantías de protección necesarias. • Los grupos multinacionales de empresas deberán adoptar medidas y normas, vinculantes a todas las empresas del grupo, donde consten las garantías necesarias de protección.

14. Información y Consentimiento Derechos de acceso Deberá concederse al afectado o interesado un medio sencillo y gratuito que en ningún caso podrá suponer un ingreso adicional para el responsable del fichero o tratamiento ante el cual tales derechos se ejercitan. La norma declara expresamente contrarios a la LOPD y la normativa que la desarrollo a los supuestos en los que se establece como medio para ejercitar los derechos del interesado el envío de cartas o semejantes. La obligación de tener prueba de los deberes de informar y recabar el consentimiento del interesado, por parte del responsable del fichero. Conservación de los documentos acreditativos del párrafo anterior.

15. Disposiciones transitorias • En el plazo de un año desde la entrada en vigor del reglamento deberán notificarse a la AEPD las modificaciones que resulten necesarias en los códigos tipo inscritos en el Registro. • Plazos de implantación de medidas: • Ficheros automatizados (anteriores al reglamento): un año • Ficheros no automatizados( anteriores al reglamento): • Medidas de nivel básico: un año • Medidas de nivel medio: dieciocho meses • Medidas de nivel alto: dos años • Para los nuevos ficheros: inmediato • Las solicitudes para el acceso, oposición, rectificación y cancelación efectuadas antes de la entrada en vigor del reglamento, no les será de aplicación el mismo. • Los procedimientos iniciados antes de la entrada en vigor del reglamento no les será aplicado el mismo. • Las actuaciones previas iniciadas antes de la entrada en vigor del reglamento no les será aplicado el mismo.

16. Otras consideraciones • En el caso de fusión, escisión, cesión global de activos y pasivos, aportación o transmisión del negocio o rama de actividad y cualquiera otras operaciones de reestructuración societaria contempladas en la normativa mercantil, se exime a las sociedades implicadas de obtener el consentimiento de los interesados para proceder a realizar la operación que interese, ello sin perjuicio de la obligación de informar. • El reglamento recoge en un capítulo específico los tratamientos para actividades de publicidad y prospección comercial. La empresa que contrate una campaña publicitaria deberá asegurarse que que ésta a recabado los datos cumpliendo con lo establecido en la Ley. • Régimen específico para regular el contenido que deben tener los Códigos Tipo.

17. Contacto Esperamos que haya sido de su utilidad esta breve introducción al Real Decreto 1720/2007. Si desea establecer una sesión específica de profundización no dude en contactar con nosotros info@puntoip.es Tlf: 91 789 34 34