El derecho de acceso es el derecho del afectado a obtener información sobre si sus propios datos de carácter personal están siendo objeto de tratamiento, la finalidad del tratamiento que, en su caso, se esté realizando, así como el origen de dichos datos y las cesiones previstas de los mismos.

El responsable del fichero o tratamiento podrá denegar el acceso en estos casos:

a) Cuando la solicitud sea formulada por una persona distinta del afectado y no se acredita que actúa en representación de aquél.

b) Cuando el derecho ya se ha ejercitado en los doce meses anteriores a la solicitud, salvo que se acredite un interés legítimo al efecto.

c) Cuando lo prevea una Ley o una norma de derecho comunitario.

Es decir, que el titular de los datos solo podrá solicitar un derecho de acceso una vez cada 12 meses, siempre que no acredite un interés legítimo para acortar este plazo de tiempo.

IMPORTANTE

El responsable del fichero dispone de un mes para estimar la solicitud de acceso, y cuenta con 10 días para responder a dicha solicitud una vez estimada.

¿Qué he de hacer, de cara a la LOPD, cuando se incorpora un nuevo trabajador en la empresa?

Cuando se incorpora un trabajador a la entidad, debemos realizar las siguientes acciones:

1. Identificar el perfil al que pertenece ese usuario y, si es necesario, crear un perfil nuevo para él si no existe perfil adaptado a su tratamiento.

2. Incorporar este usuario a la lista de usuarios y accesos autorizados, de forma que conste en el documento de seguridad los ficheros a los que va a tener acceso de forma efectiva.

3. Crearle un identificador único para el acceso a los sistemas y una contraseña personal.

4. Crearle las autorizaciones que precise ese trabajador para sus funciones:

a. Salida de soportes y/o documentos fuera de las instalaciones.

b. Uso de portátiles.

c. Trabajo fuera de los locales.

d. Dispositivos a los que tiene acceso.

e. Etc.

5. Darle a firmar el compromiso de confidencialidad y deber de secreto.

6. Darle una formación LOPD relacionada con sus funciones.

Servicio recuperación de impagados

El informe 00376 de la AEPD resuelve la consulta planteada sobre si el servicio que se suministra a una empresa de recuperación de impagados se ajusta a la normativa de protección de datos.

La consulta en concreto se plantea sobre si la localización de teléfonos de morosos se adecúa a la LOPD, así como de la situación que se produce cuando dicha empresa contacta con un teléfono que no corresponde al deudor y para realizar la verificación de la identidad, se facilita el DNI del deudor y el importe de la deuda.

De dicho informe jurídico se extrae lo siguiente:

La compañía que le busca el teléfono es encargada del tratamiento de la primera. Por tanto, debe de existir un contrato de acceso a datos por cuenta de terceros entre ambas.
Siempre y cuando la búsqueda del teléfono sea en fuentes accesibles al público, no precisa del consentimiento de los titulares de los datos.

Es este supuesto, la comunicación de datos a una persona distinta al titular de los datos, si no existe previo consentimiento del interesado, sería contrario a lo previsto en la LOPD.

¿Cuándo he de actualizar el Documento de Seguridad?

La LOPD establece que el Documento de Seguridad deberá mantenerse actualizado, de forma que refleje en todo momento la realidad de la organización.

A tal efecto, deberemos estar atentos a los siguientes cambios para actualizar el Documento de Seguridad:

Usuarios que acceden a los ficheros.
Modificaciones en los procedimientos.
Encargados del tratamiento y servicios prestados.
Equipamiento informático.
Actualizaciones/instalaciones de software.
Incidencias que se produzcan.
Personas autorizadas para salidas de soportes, uso de portátiles, etc.
Administradores de los ficheros y responsables de seguridad.
Comenzamos a recoger datos que antes no se recogían (ej. Correo electrónico de los clientes).

Nuevos soportes que deban incluirse en el inventario de soportes y documentos.

Sanción por incumplimiento de las medidas de seguridad

En el procedimiento sancionador PS/00517 de la AEPD podemos ver la sanción que puede sufrir una empresa si no toma las medidas necesarias para asegurarse de que se cumplen las medidas de seguridad descritas en el Documento de Seguridad.

Según los hechos, fue un ciudadano el que alertó a la Policía Local de que documentación con datos personales se encontraba en un contenedor de basura.

En la inspección se comprobó que dicha documentación estaba en un contenedor de residuos orgánicos correspondiente a una gestoría.

Dicha gestoría tenía inscritos los ficheros en la AEPD, disponía de Documento de Seguridad en regla y todo el personal había sido instruido sobre las medidas de seguridad instauradas, así como los procedimientos a llevar a cabo para el tratamiento de los datos.

Dichos documentos habían terminado en el cubo de la basura por descuido de una persona de limpieza, que había vaciado en el cubo de basura documentación que debía destruirse previamente.

Este hecho infringe los artículos 9 y 10, relativos a la seguridad de los datos y al deber de secreto.

Resultado: Sanción de 4.000€ por vulneración del artículo 9 de la LOPD, relativo a la seguridad de los datos.

IMPORTANTE

No es suficiente con detallar perfectamente las medidas de seguridad en el Documento de Seguridad. Además, han de cumplirse

¿Cualquiera puede conocer si mi empresa ha inscrito los ficheros en la Agencia Española de Protección de Datos?

Según establece la Ley, cualquier persona podrá conocer, recabando para ello la información oportuna del Registro General de Protección de Datos (RGPD) de:

La existencia de tratamientos de datos de carácter personal,
sus finalidades, y
la identidad del responsable del tratamiento.

El Registro General es de consulta pública y gratuita.

El catálogo de ficheros inscritos en el RGPD, se puede consultar en la web de la Agencia Española de Protección de Datos (www.agpd.es ).

Para realizar la consulta únicamente es necesario introducir la razón social o el CIF de la empresa que se desea consultar, mostrándose entonces, los ficheros que tiene notificados, así como de detalle de los mismos.

Esta consulta no necesita de ningún tipo de acreditación para realizarse, pudiendo hacerse en cualquier momento, por cualquier persona y de forma anónima.

Cartel de videovigilancia no válido

En el procedimiento sancionador PS/00328 de la AEPD podemos ver la sanción que puede sufrir una empresa si el cartel informativo de zona videovigilada no cumple con los requisitos formales establecidos.

Según los hechos, la Policía Municipal de Madrid denuncia la instalación de cámaras de videovigilancia en el establecimiento ATOLÓN, titularidad de INVERSIONES ALABARDERO SL, sin cumplir los requisitos exigidos en la LOPD.

Los responsables del local presentaron documentación en la que se hace constar que la instalación de las cámaras de seguridad ha sido efectuada por la entidad "Securitas Direct", así como un CD con fotografías de los carteles instalados en el establecimiento, y en las mismas se puede apreciar que el cartel instalado recoge: "Securitas Direct. Instalación Protegida. Camaras de videovigilancia 24 horas" y un número de teléfono.

Sin embargo, según la AEPD, dicho cartel no es conforme a la normativa en materia de protección de datos, porque omite un dato fundamental en la medida en que no recoge la identidad del responsable del fichero ante el que ejercitar los derechos de acceso, rectificación, cancelación, y oposición reconocidos en los arts. 15 y siguientes de la LOPD, así como la referencia a la "Ley Orgánica 15/1999, de Protección de Datos".

Resultado: Sanción de 2.000€ por vulneración del artículo 5.1 de la LOPD, relativo al derecho de información.

IMPORTANTE

El cartel informativo debe incluir la identidad del responsable del fichero y el domicilio ante el cual pueden ejercerse los derechos de acceso y cancelación de las imágenes.

Tratamiento de datos de menores de edad

El informe

0046 de la AEPD resuelve la consulta planteada sobre el tratamiento de datos personales de los menores de edad a los que se facilita una tarjeta de fidelización.

De dicho informe jurídico se extrae lo siguiente:

a) Si es un menor de 14 años ó incapaz, el consentimiento ha de ser otorgado por los padres.

la cláusula informativa debe estar elaborada en un lenguaje comprensible a la edad del menor.

No se podrán recabar del menor datos que permitan obtener información sobre los demás miembros del grupo familiar, o sobre las características del mismo, como los datos relativos a la actividad profesional de los progenitores, información económica, datos sociológicos, o cualesquiera otros, sin el consentimiento de los titulares de tales datos (únicamente podrán recabarse los datos de la identidad y dirección del padre, madre o tutor con la única finalidad de recabar la autorización prevista en el apartado a).

Corresponde al responsable del fichero articular los procedimientos que garanticen que se ha comprobado de modo efectivo la edad del menor y la autenticidad del consentimiento prestado en su caso, por los padres, tutores o representantes legales.

¿Qué se debe hacer, de cara al cumplimiento de la LOPD, cuando un trabajador se va de la empresa?

Para cumplir correctamente la LOPD, cuando se va un trabajador a la entidad, debemos realizar las siguientes acciones:

1. Eliminar o marcar la fecha de baja de este usuario en la lista de usuarios y accesos autorizados, de forma que ya no conste en el documento de seguridad como usuario autorizado para acceder a los ficheros con datos personales.

2. Eliminar o bloquear el identificador que tenía asignado para el acceso a los sistemas.

3. Dar de baja las autorizaciones que tuviera ese trabajador para sus funciones:

a. Salida de soportes y/o documentos fuera de las instalaciones.

b. Uso de portátiles.

c. Trabajo fuera de los locales.

d. Dispositivos a los que tiene acceso.

e. Etc.

4. Cancelar todos los privilegios de ese trabajador así como las conexiones remotas que tuviera habilitadas.

Sanción por carecer de medidas de seguridad

En la resolución

R/01306 de la AEPD podemos ver la sanción que puede sufrir una entidad por no tener implantadas las medidas de seguridad exigidas.

Con fecha 29 de marzo de 2010 tiene entrada en la AEPD un escrito de D. A.A.A., en el que declara que, la empresa HIPERCOR, S.A., no cuenta con las medidas de seguridad oportunas con relación a información de datos clínicos, ya que desde dos terminales ubicados en el muelle de recepción de mercancías, donde tiene su puesto de trabajo, se pueden visualizar, entre otros, análisis clínicos de trabajadores de la empresa.

Durante la visita de las inspectoras de la AEPD, el denunciante accede a un equipo informático que está en el muelle, observándose que aunque el sistema pide un usuario y contraseña para acceder, el usuario sale ya por defecto, y la contraseña es la misma que el nombre de usuario.

Se puede además comprobar que desde ese equipo, a través de la red local es posible acceder a carpetas que están situadas en el equipo de la Jefa de Recursos Humanos del centro, en concreto es posible acceder a una carpeta denominada "Servicio Médico" y que contiene los resultados analíticos de los empleados del centro.

A las 15:30 horas, las inspectoras de la Agencia y los representantes de la entidad, se trasladan al muelle, verificándose que ha sido subsanado el error.

Resultado: Sanción de 20.000 € por vulneración del artículo 9.1 de la LOPD en relación a las medidas de seguridad.

Fuente AEPD

Más...

Dando a firmar el contrato al encargado del tratamiento, ¿ya no tengo que preocuparme de lo que él haga?

¿Con quién tengo que hacer un contrato de acceso a datos por cuenta de terceros?

¿Cómo puedo limitar el acceso a los equipos?

El informe de auditoría y su conservación

Página 4 de 5

¡Atención! Este sitio usa cookies y tecnologías similares.

Si no cambia la configuración de su navegador, usted acepta su uso. Saber más

Acepto

POLÍTICA DE COOKIES

¿Qué son las cookies?

Una cookie es un fichero que se descarga en su ordenador al acceder a determinadas páginas web. Las cookies permiten a una página web, entre otras cosas, almacenar y recuperar información sobre hábitos de navegación de un usuario o de su equipo y, dependiendo de la información que contengan y de la forma que utilice su equipo, pueden utilizarse para reconocer al usuario.

¿Qué tipos de cookies existen?

Las cookies se pueden clasificar de estas tres formas:

- De sesión o persistentes

Las cookies de sesión recopilan y almacenan datos del usuario mientras navega por la página web. Se suelen emplear para almacenar información que solo interesa conservar para la prestación del servicio solicitado por el usuario en una sola ocasión.

Las cookies persistentes se diferencian de las anteriores en que permanecen instaladas en el terminal (ordenador, tablet...) durante un tiempo definido, tiempo que depende del responsable de la cookie.

- Propias o de terceros

Las cookies propias están creadas o gestionadas por esta página web y su finalidad es mejorar el uso y rendimiento de la web, detectar necesidades de nuestros usuarios y analizar posibles mejoras a introducir.

Las cookies de terceros están creadas y gestionadas por prestadores de servicios publicitarios y análisis ajenos a nosotros.

- Técnicas, de personalización, de análisis o de publicidad.

Las cookies técnicas permiten al usuario la navegación a través de nuestra página web y la utilización de diferentes opciones o servicios que en ella existan, de forma que nos permita, a través de los resultados de los análisis de navegación, mejorar la oferta de productos y servicios que ofrecemos.

Las cookies de personalización permiten al usuario acceder al servicio con algunas características de carácter general predefinidas en función de una serie de criterios en el terminal del usuario.

Las cookies de análisis nos permiten el seguimiento y análisis del comportamiento de los usuarios en nuestra página web, con el fin de medir la actividad de la misma y elaborar perfiles de navegación, introduciendo mejoras en función de los resultados de dichos análisis.

Las cookies de publicidad nos permiten la gestión eficiente de los espacios incluidos en nuestra página web, adecuando el contenido de la publicidad al uso que el usuario haga en aquélla.

¿Qué cookies utiliza esta web?

Google Maps (GAPS, HSID, SSID, APISID, PREF, NID, SID): utilizadas para visualizar ubicaciones geográficas. Estas cookies son gestionadas enteramente por Google.

Política de privacidada de Google

¿Cómo puedo desactivar o eliminar estas cookies?

Puede usted permitir, bloquear o eliminar las cookies instaladas en su equipo mediante la configuración de las opciones del navegador instalado en su ordenador.

• Firefox

• Chrome

• Explorer

• Safari

• Opera

• Otros navegadores: consulte la documentación del navegador que tenga instalado.

Suárez & Sanjuán

En qué circunstancias puedo denegar el ejercicio de un derecho de acceso

¿Qué he de hacer, de cara a la LOPD, cuando se incorpora un nuevo trabajador en la empresa?

Servicio recuperación de impagados

¿Cuándo he de actualizar el Documento de Seguridad?

Sanción por incumplimiento de las medidas de seguridad

¿Cualquiera puede conocer si mi empresa ha inscrito los ficheros en la Agencia Española de Protección de Datos?

Cartel de videovigilancia no válido

En el procedimiento sancionador PS/00328 de la AEPD podemos ver la sanción que puede sufrir una empresa si el cartel informativo de zona videovigilada no cumple con los requisitos formales establecidos.

Tratamiento de datos de menores de edad

¿Qué se debe hacer, de cara al cumplimiento de la LOPD, cuando un trabajador se va de la empresa?

Sanción por carecer de medidas de seguridad

Más...

Dando a firmar el contrato al encargado del tratamiento, ¿ya no tengo que preocuparme de lo que él haga?

¿Con quién tengo que hacer un contrato de acceso a datos por cuenta de terceros?

¿Cómo puedo limitar el acceso a los equipos?

El informe de auditoría y su conservación

¡Atención! Este sitio usa cookies y tecnologías similares.