Ministerio de Industria, Turismo y Comercio, es una plataforma para el desarrollo de la Sociedad del
Conocimiento a través de proyectos del ámbito de la innovación y la tecnología.
Datos de contacto:
Instituto Nacional de Tecnologías de la Comunicación (INTECO)
Observatorio de la Seguridad de la Información
Avda. José Aguado, 41. Edificio INTECO. 24005 León
Teléfono: +(34) 987 877 189 / Email: observatorio@inteco.es
www.inteco.es
2. Marco legal 9
3. P
rincipios básicos de la protección de datos de carácter personal 12
5. F
icheros incluidos en el ámbito de aplicación de la LOPD 24
8. F
ase II: Legitimación de datos de carácter personal 39
9. F
ase III: Políticas de seguridad de los datos 52
Anexo II Glosario 78
(
1. Contexto y destinatarios de la guía
1.1. B
ENEFICIOS QUE APORTA EL CUMPLIMIENTO DE LA NORMATIVA
DE PROTECCIÓN DE DATOS
1.1.2. C
alidad en la gestión administrativa de procesos
basados en las TIC y suelo indispensable para el de-
sarrollo futuro de la Ley 11/2007
Entre los beneficios para las EELL de la implantación de las medidas exigi-
das, además de dar cumplimiento a la Ley, estarían los siguientes:
• M
ejora la calidad en la gestión administrativa de procesos basados en
las TIC.
• G
enera un fondo imprescindible para el desarrollo de la adaptación
a la Ley 11/2007 de Acceso Electrónico de los Ciudadanos a los Ser-
vicios Públicos. Esta Ley tiene entre sus objetivos la creación de las
condiciones de confianza en el uso de las tecnologías. Al mismo tiempo,
establece las medidas necesarias para la preservación de la integridad
de los derechos fundamentales y, en especial, los relacionados con la
intimidad por medio de la garantía de seguridad de los sistemas, datos y
comunicaciones.
• L
os coordinadores de protección de datos de Ayuntamientos y mancomu-
nidades, consultores tecnológicos, responsables de informática y aseso-
res jurídicos de la Administración Local.
•E
laborar el Documento de Seguridad (o actualizarlo, en caso de que ya
exista), describiendo claramente los objetivos, alcance y nivel de los fi-
cheros afectados, la organización de la protección de datos en la Entidad
y las medidas de seguridad a implementar.
•F
acilitar los recursos materiales, técnicos y humanos necesarios para
la debida implantación de las medidas de seguridad requeridas por el
RDLOPD.
• C
omunicar y dar formación a todos los usuarios y técnicos que acceden
a los datos de carácter personal de la Entidad.
•L
a función del derecho fundamental a la intimidad del art. 18.1 CE es la de
proteger frente a cualquier invasión que pueda realizarse en el ámbito de
la vida personal y familiar que la persona desea excluir del conocimiento
ajeno y de las intromisiones de terceros en contra de su voluntad (por
todas STC 144/1999, de 22 de julio, FJ 8).
Marco legal (
Guía para entidades locales: cómo adaptarse a la normativa sobre protección de datos
•E
n cambio, el derecho fundamental a la protección de datos persigue
garantizar a la persona un poder de control sobre sus datos perso-
nales, sobre su uso y destino, con el propósito de impedir su tráfico
ilícito y lesivo para la dignidad y derecho del afectado.
10 ) Marco legal
Operativamente, la Ley se apoya en el Reglamento de Medidas de Segu-
ridad de los Ficheros Automatizados que contengan Datos de Carácter
Personal, aprobado por Real Decreto 994/1999 de 11 de junio y publicado
en el BOE de 25 de junio de 1999. El Reglamento constituye un instrumento
para facilitar los mecanismos prácticos de cumplimiento de las prescripcio-
nes establecidas en la LOPD, cuyo nuevo Reglamento de Desarrollo ha
sido aprobado por Real Decreto 1720/2007 de 21 de diciembre. Este
Reglamento, en vigor desde el 19 de abril de 2008, deroga al anterior, y
articula, entro otras, las siguientes novedades:
•S
e aplica también a los ficheros y tratamientos no automatizados (ma-
nuales) y se fijan criterios específicos sobre las medidas de seguridad de
los mismos.
•S
e garantiza que las personas, antes de consentir que sus datos sean re-
cogidos y tratados, puedan tener un pleno conocimiento de la utilización
que se vaya a hacer de los mismos.
•E
l interesado dispondrá de un medio sencillo y gratuito para ejercitar sus
derechos de acceso, rectificación, cancelación y oposición, sin tener que
usar correo certificado ni otros medios que supongan un gasto adicional.
•T
odos los datos derivados de la violencia de género pasan del nivel bási-
co de seguridad a un nivel alto.
Marco legal ( 11
3. rincipios básicos de la protección de
P
datos de carácter personal
Este principio de calidad garantiza además que los datos sean exactos y es-
tén actualizados y que no se mantendrán indefinidamente sin justificación.
Los datos deberán ser tratados de forma leal y lícita.
El bloqueo de los datos consiste en la identificación y reserva de los mismos con el fin de impedir su trata-
miento excepto para su puesta a disposición de las Administraciones públicas, Jueces y Tribunales, para la
atención de las posibles responsabilidades nacidas del tratamiento y sólo durante el plazo de prescripción
de dichas responsabilidades. Transcurrido ese plazo deberá procederse a la supresión de los datos. (art.
5.1 b) RDLOPD)
a. D
e la existencia de un fichero o tratamiento de datos de carácter per-
sonal, de la finalidad de la recogida de éstos y de los destinatarios
de la información.
d. D
e la posibilidad de ejercitar los derechos de acceso, rectificación,
cancelación y oposición.
e. D
e la identidad y dirección del responsable del tratamiento o, en su
caso, de su representante.
• C
uando los datos de carácter personal se recojan para el ejercicio de las
funciones propias de las Administraciones Públicas en el ámbito de
sus competencias.
• C
uando se refieran a las partes de un contrato o precontrato de una re-
lación negocial, laboral o administrativa y sean necesarios para su man-
tenimiento o cumplimiento.
• C
uando el tratamiento de los datos tenga por finalidad proteger un interés
vital del interesado en los términos del artículo 7 apartado 6 de la Ley.
• C
uando los datos figuren en fuentes accesibles al público y su trata-
miento sea necesario para la satisfacción del interés legítimo perseguido
por el responsable del fichero o por el del tercero a quien se comuniquen
nal objeto del tratamiento sólo podrán ser comunicados a un tercero para el
cumplimiento de fines directamente relacionados con las funciones legítimas
del cedente y del cesionario con el previo consentimiento del interesado.
• A
fectado / interesado: es la persona física titular de los datos que serán
objeto del tratamiento. En el caso que nos ocupa, los afectados serían los
ciudadanos cuyos datos están siendo tratados por la Entidad Local.
• R
esponsable de fichero o tratamiento: la Entidad local que decide so-
bre la finalidad, contenido y uso del tratamiento se considera responsable
del fichero.
• E
ncargado de tratamiento: persona física o jurídica, autoridad pública,
servicio o cualquier otro organismo que, solo o conjuntamente con otros,
trate datos personales por cuenta del responsable del fichero (que en
este caso será la Entidad Local).
• C
esionario de datos: persona física o jurídica, pública o privada u órga-
no administrativo, al que se revelen los datos.
• R
esponsable de seguridad: persona/s a las que el responsable del
fichero ha asignado formalmente la función de coordinar y controlar las
medidas de seguridad aplicables.
• U
suario: persona autorizada para acceder a datos o recursos.
El Anexo II incluye un Glosario que profundiza en las definiciones de los agentes implicados y conceptos
referentes a la protección de datos.
• V
elar por el cumplimiento de la legislación sobre protección de datos y
controlar su aplicación, en especial en lo relativo a los derechos de infor-
mación, acceso, rectificación, oposición y cancelación de datos.
• E
mitir las autorizaciones previstas en la Ley o en sus disposiciones re-
glamentarias.
• D
ictar, en su caso y sin perjuicio de las competencias de otros órganos,
las instrucciones precisas para adecuar los tratamientos a los principios
de la presente Ley.
• A
tender las peticiones y reclamaciones formuladas por las personas afec-
tadas.
• P
roporcionar información a las personas acerca de sus derechos en ma-
teria de tratamiento de los datos de carácter personal.
• R
equerir a los responsables y los encargados de los tratamientos, previa
audiencia de éstos, la adopción de las medidas necesarias para la ade-
cuación del tratamiento de datos a las disposiciones de esta Ley y, en
su caso, ordenar la cesación de los tratamientos y la cancelación de los
ficheros, cuando no se ajuste a sus disposiciones.
• R
ecabar de los responsables de los ficheros cuanta ayuda e información
estime necesaria para el desempeño de sus funciones.
• V
elar por la publicidad de la existencia de los ficheros de datos con ca-
rácter personal, a cuyo efecto publicará periódicamente una relación de
dichos ficheros con la información adicional que el Director de la Agencia
determine.
• R
edactar una memoria anual y remitirla al Ministerio de Justicia.
• E
jercer el control y adoptar las autorizaciones que procedan en relación
con los movimientos internacionales de datos, así como desempeñar las
funciones de cooperación internacional en materia de protección de datos
personales.
• V
elar por el cumplimiento de las disposiciones que la Ley de la Función
Estadística Pública establece respecto a la recogida de datos estadísticos y
al secreto estadístico, así como dictar las instrucciones precisas, dictaminar
sobre las condiciones de seguridad de los ficheros constituidos con fines ex-
clusivamente estadísticos y ejercer la potestad a la que se refiere el artículo
46 de la Ley respecto de las infracciones de las Administraciones Públicas.
• C
uantas otras le sean atribuidas por normas legales o reglamentarias.
• V
elar por el cumplimiento de la legislación vigente sobre protección de da-
tos de carácter personal y controlar su aplicación, especialmente aquello
que hace referencia a los derechos de información, acceso, rectificación,
cancelación y oposición.
• V
elar por el cumplimiento de las disposiciones que la Ley de Estadística
de Cataluña dispone con respecto a la recogida de datos estadísticos y al
secreto estadístico, y adoptar las medidas correspondientes para garan-
tizar las condiciones de seguridad de los ficheros constituidos con finali-
dades exclusivamente estadísticas, salvo aquello que hace referencia a
las transferencias internacionales de datos. A estos efectos, la Agencia,
dentro de su ámbito de competencias, puede adoptar instrucciones y re-
soluciones dirigidas en los órganos administrativos y solicitar la colabora-
ción del Instituto de Estadística de Cataluña.
• D
ictar, sin perjuicio de competencias de otros órganos, las instrucciones
necesarias para adecuar los tratamientos personales a los principios de
la legislación en materia de protección de datos de carácter personal.
• R
equerir a los responsables y a los encargados del tratamiento la adop-
ción de las medidas necesarias para la adecuación del tratamiento de da-
tos personales objeto de investigación a la legislación vigente en materia
de protección de datos de carácter personal y, si ocurre, ordenar el cese
de los tratamientos y la cancelación de los ficheros, excepto lo que hace
referencia a las transferencias internacionales de datos.
4.2.3. A
gencia de Protección de Datos de la Comunidad de
Madrid
• V
elar por el cumplimiento de la legislación en materia de protección de
datos y controlar su aplicación.
• E
jercer labores informativas, encaminadas a facilitar a las personas el
conocimiento de sus derechos en materia de protección de datos.
• D
ar trámite a las peticiones y reclamaciones formuladas por los ciudada-
nos en el ejercicio de sus derechos de acceso, rectificación, cancelación
y oposición en relación con los ficheros sobre los que la Agencia Autonó-
mica de la Comunidad de Madrid tiene atribuidas competencias.
• D
ictar, en su caso, las instrucciones que sean necesarias para adaptar los
tratamientos de datos de carácter personal a los principios de la normati-
va aplicable en materia de protección de datos.
• A
doptar las medidas que resulten de aplicación, para que los responsa-
bles de los ficheros adapten los tratamientos de datos de carácter perso-
nal a la normativa vigente en materia de protección de datos.
• O
rdenar la inmovilización de los ficheros que no se ajusten a las disposi-
ciones legales en materia de protección de datos.
• V
elar por el cumplimiento de la legislación sobre protección de datos y
controlar su aplicación, en especial en lo relativo a los derechos de infor-
mación, acceso, rectificación, oposición y cancelación de datos.
• D
ictar, en su caso, y sin perjuicio de las competencias de otros órganos,
las instrucciones precisas para adecuar los tratamientos a los principios
de la legislación vigente en materia de protección de datos.
• A
tender las peticiones y reclamaciones formuladas por los afectados.
• P
roporcionar información a las personas acerca de sus derechos en ma-
teria de tratamiento de los datos de carácter personal.
• R
equerir a los responsables y a los encargados de los tratamientos,
previa audiencia de éstos, la adopción de las medidas necesarias para
la adecuación del tratamiento de datos a la legislación en vigor y, en su
caso, ordenar la cesación de los tratamientos y la cancelación de los fi-
cheros cuando no se ajuste a dicha legislación, salvo en la que se refiera
a transferencias internacionales de datos.
• V
elar por la publicidad de la existencia de los ficheros de datos con carác-
ter personal, a cuyo efecto publicará anualmente una relación de dichos
ficheros con la información adicional que el director de la Agencia Vasca
de Protección de Datos determine.
• V
elar por el cumplimiento de las disposiciones que la legislación sobre
la función estadística pública establece respecto a la recogida de da-
tos estadísticos y al secreto estadístico, así como dictar las instrucciones
precisas, dictaminar sobre las condiciones de seguridad de los ficheros
constituidos con fines exclusivamente estadísticos y ejercer la potestad a
la que se refiere el artículo 24.
• C
olaborar con la Agencia de Protección de Datos del Estado y entidades
similares de otras comunidades autónomas en cuantas actividades sean
necesarias para una mejor protección de la seguridad de los ficheros de
datos de carácter personal y de los derechos de los ciudadanos en rela-
ción con los mismos.
• A
tender a las consultas que en materia de protección de datos de ca-
rácter personal le formulen las Administraciones Públicas, instituciones y
corporaciones a que se refiere el artículo 2.1 de esta ley, así como otras
personas físicas o jurídicas, en relación con los tratamientos de datos de
carácter personal incluidos en el ámbito de aplicación de la ley.
En cuanto a los ficheros manuales, para poder determinar que los datos
registrados son susceptibles de tratamiento, y en consecuencia, se encuen-
tren incluidos en el ámbito de aplicación de la LOPD, hay que atender a los
siguientes requisitos:
• Q
ue el tratamiento se refiera a datos de carácter personal comprendidos
en un fichero en soporte no automatizado.
• Q
ue dichos datos se encuentren estructurados u ordenados conforme a
criterios específicos relativos a personas físicas, que permitan acceder sin
esfuerzos desproporcionados a sus datos personales, ya sea aquél centra-
lizado, descentralizado o repartido de forma funcional o geográfica.
• L
os ficheros sometidos a la normativa sobre protección de mate-
rias clasificadas.
• Los
ficheros establecidos para la investigación del terrorismo y
de formas graves de delincuencia organizada. No obstante, en
estos supuestos el responsable del fichero comunicará previa-
mente la existencia del mismo, sus características generales y su
finalidad a la Agencia Española de Protección de Datos.
Las obligaciones que establece la LOPD son de aplicación a todas las EELL,
independientemente de su tamaño, siempre que almacenen y traten datos
de carácter personal en sus sistemas de información.
Órgano de la AEPD al que corresponde velar por la publicidad de los ficheros y tratamientos de datos
de carácter personal, con miras a hacer posible el ejercicio de los derechos de información, acceso, recti-
ficación y cancelación de datos.
• Ciudadanos.
• Empleados.
• P
ersonas afectadas por actividades de gestión de manera indirecta, mul-
tas o trámites específicos de carácter puntual.
• E
l desarrollo de la ordenanza propiamente dicha, donde se explique de
manera clara la finalidad de la publicación y las medidas de seguridad a
adoptar respecto a los ficheros de datos personales.
• A
nexos por cada fichero de carácter personal que deba crear el organis-
mo, detallando la siguiente información obligatoria:
· L
os servicios o unidades ante los que pudiesen ejercitarse los dere-
chos de acceso, rectificación, cancelación y oposición.
Como señala el art. 55.1 del RDLOPD: “Todo fichero de datos de carácter personal de titularidad
pública será notificado a la Agencia Española de Protección de Datos por el órgano competente de la
Administración responsable del fichero para su inscripción en el Registro General de Protección de
Datos, en el plazo de treinta días desde la publicación de su norma o acuerdo de creación en el diario
oficial correspondiente”.
• F
ormulario de notificación de ficheros, en el que se facilitan datos del
tipo: responsable del fichero, origen y finalidad de los datos tratados, nivel
de seguridad aplicable al fichero, Boletín Oficial o Diario de la Provincia
en el que se realizó el trámite de disposición pública, etc.
El artículo 130.3 del RDLOPD establece que: “La notificación se efectuará en soporte electrónico,
ya mediante comunicación electrónica a través de Internet mediante firma electrónica o en soporte
informático, utilizando al efecto el programa de ayuda para la generación de notificaciones que la
Agencia pondrá a disposición de los interesados de forma gratuita. Será igualmente válida la notifica-
ción efectuada en soporte papel cuando para su cumplimentación hayan sido utilizados los modelos
o formularios publicados por la Agencia”
• D
eclaración tipo: mediante esta opción del formulario electrónico, se
pueden declarar ficheros de titularidad pública de forma rápida y simpli-
ficada, ya que la notificación está precumplimentada parcialmente para
ficheros relacionados con la gestión de los de recursos humanos, gestión
del padrón, gestión económica o control de acceso. Si el responsable
considera que la declaración tipo no se ajusta parcialmente a los reque-
rimientos propios de la Entidad en cuestión, puede realizar algunos cam-
bios añadiendo datos específicos.
• D
eclaración normal: en el caso de que la declaración tipo no se adapte
al fichero que el responsable pretende notificar, deberá optar por este
formato de declaración, donde se presenta un formulario vacío.
La firma electrónica asocia la identidad de una persona o de un equipo informático al mensaje o docu-
mento que se envía, basándose en un método criptográfico para cifrar y descifrar información utilizando
técnicas que hacen posible el intercambio de mensajes de manera segura y que las comunicaciones sólo
puedan ser leídos por las personas a quienes van dirigidas.
• F
ormulario en papel: Los responsables que no dispongan de los medios
necesarios para la notificación de ficheros a través de Internet podrán
presentar el formulario electrónico cumplimentado en soporte papel. Para
ello, se ha de cumplimentar tanto el formulario Notificación de ficheros
como la Hoja de Solicitud de forma correcta.
• R
ecoger los datos imprescindibles para el ejercicio de las competencias
de la Entidad Local.
• F
acilitar a los ciudadanos el ejercicio de los derechos de Acceso, Rectifi-
cación, Cancelación y Oposición.Se analiza a continuación las implicacio-
nes para la Entidad de cada una de estas obligaciones.
• L
a existencia de un fichero o tratamiento de datos de carácter personal,
la finalidad de la recogida de éstos y los destinatarios de la información.
• E
l carácter obligatorio o facultativo de su respuesta a las preguntas
que les sean planteadas.
• L
as consecuencias de la obtención de los datos o de la negativa a su-
ministrarlos.
• L
a posibilidad de ejercitar los derechos de acceso, rectificación, cance-
lación y oposición.
• L
a identidad y dirección del responsable del tratamiento o, en su caso,
de su representante.
Debe utilizarse algún medio que asegure, sin lugar a dudas, que el intere-
sado ha leído el texto y otorga su consentimiento. En el caso de recoger
los datos mediante una página web, se suele obligar a marcar una casilla
situada al lado del texto.
Cuando los datos de carácter personal no hayan sido recabados directamente por la EELL que realiza su
tratamiento, el interesado deberá ser informado, en un plazo de tres meses, de forma expresa, precisa e
inequívoca de la procedencia de los datos recogidos, así como de la finalidad de la recogida, de la identi-
dad y dirección del responsable y de la posibilidad de ejercicio de los derechos A.R.C.O
Por un lado, se podrán ceder los datos del padrón a otras Administraciones
Públicas o miembros de la corporación política que lo soliciten, sin consenti-
miento previo del afectado, solamente cuando sean necesarios para el ejerci-
cio de sus respectivas competencias, y exclusivamente para asuntos en los
que la residencia o el domicilio sean datos relevantes (por ejemplo, para enviar
una carta personalizada por necesidades de información: información cultural
de la Entidad Local, actividades sociales, aparcamientos de residentes, etc.).
Otros datos especialmente protegidos, como los datos de salud, vida sexual
u origen racial o etnia, necesitarán el consentimiento del interesado cuando
no exista una ley que posibilite su recogida. En el caso de los datos de salud
hay que considerar como datos personales los referentes a salud pasada,
presente y futura, física o mental de un individuo. Se consideran datos de
salud los referidos a porcentaje de discapacidad o su información genética.
En este sentido hay una excepción: estos datos podrán ser tratados sin
consentimiento cuando resulten necesarios para la prevención o el diagnós-
tico médico, la prestación de asistencia sanitaria o la gestión de servicios
Cabe destacar que todos aquellos datos que vayan a ser cedidos a otros
Organismos Públicos, salvo que la Ley disponga lo contrario (ej. contrato
negocial, datos públicos por interés legitimo, etc.), han de tener la autori-
zación pertinente, tal y como determina el artículo 6.1 de la LOPD. No será
preciso dicho consentimiento para recoger datos personales si así viene
establecido en una ley, o cuando se recojan en el ejercicio de las funciones
propias de las Administraciones Públicas en el ámbito de sus competencias,
por ejemplo los casos de la Agencia Estatal de Administración Tributaria y
los datos solicitados por Jueces, Ministerio Fiscal, Tribunales, etc.
El apartado tercero del artículo 123 del RDLOPD, señala que la obligación
de secreto se extiende a las informaciones que los funcionarios conozcan
en el ejercicio de las funciones de inspección, incluso después de haber
cesado en las mismas.
Todo ciudadano tiene una serie de derechos en relación a los datos perso-
nales que se almacenan o tratan por parte de las distintas EELL, que, a su
vez, tienen la obligación legal de facilitar su ejercicio.
• R
egistro electrónico, para recibir a través de correo electrónico todo tipo
de solicitudes, escritos y comunicaciones dirigidos a la Administración.
• A
tención telefónica que posibilite, dentro de unos criterios de seguridad,
recibir las solicitudes o comunicados de una manera directa y personal.
• N
ombre y apellidos.
• F
otocopia del DNI del interesado. En los casos excepcionales descritos
anteriormente, además, serán necesarios los datos del representante le-
gal y el documento acreditativo de la representación. La fotocopia del DNI
puede ser sustituida siempre que se acredite la identidad por cualquier
otro medio válido legalmente (pasaporte, permiso de conducir, etc.).
• D
ocumentación adicional para la justificación de la petición que se formula.
El responsable del fichero deberá adoptar las medidas oportunas para ga-
rantizar que todas las personas de su organización que tengan acceso a
datos de carácter personal puedan informar del procedimiento a seguir por
el interesado para el ejercicio de sus derechos.
• Q
ue le sea denegado el ejercicio de sus derechos respecto a los datos
personales.
• O
rigen de los datos, que puede ser el propio interesado u otra Entidad
que los ha cedido. En el caso de que los datos provengan de fuentes
externas, deberán especificarse las mismas, identificando la información
que proviene de cada una de ellas.
El responsable del fichero deberá contestar toda solicitud que se le dirija, con
independencia de que figuren o no datos personales del interesado en sus
ficheros, debiendo utilizar cualquier medio que permita acreditar el envío y la
recepción, es decir, se debe responder igualmente cuando no se tienen datos
de carácter personal del interesado que ejercita su derecho de acceso.
• C
uando no sea necesario su consentimiento para el tratamiento, como
consecuencia de la concurrencia de un motivo legítimo y fundado, refe-
rido a su concreta situación personal, que lo justifique, siempre que una
Ley no disponga lo contrario.
• C
uando se trate de ficheros que tengan por finalidad la realización de
actividades de publicidad y prospección comercial, en los términos pre-
vistos en el artículo 51 del Reglamento, cualquiera que sea la empresa
responsable de su creación.
• C
uando el tratamiento tenga por finalidad la adopción de una decisión
referida al afectado y basada únicamente en un tratamiento automatizado
de sus datos de carácter personal, en los términos previstos en el artículo
36 del Reglamento.
12 Disponibles Modelos de ejercicio del derecho de oposición: Disponibles Modelos de ejercicio del de-
recho de oposición: https://www.agpd.es/portalweb/canalciudadano/denunciasciudadano/derecho_oposi-
cion_den/index-ides-idphp.php
Las medidas deberán ser adoptadas e implantadas por el responsable del fi-
chero, y en su caso por el Encargado del Tratamiento donde se traten datos de
carácter personal. Las medidas se pueden clasificar de la siguiente forma:
• M
edidas organizativas, destinadas a establecer procedimientos, nor-
mas, reglas y estándares de aplicación, que garanticen la seguridad y
cuyos destinatarios son los usuarios que tratan los datos de los ficheros.
• M
edidas técnicas, destinadas principalmente a conservar la integridad
física de la información, para evitar robos, pérdidas o alteraciones no jus-
tificadas.
NIVEL BÁSICO
Nombre, apellidos, DNI, teléfono, domicilio, nº cta bancaria • Los referidos a ideología, afiliación
sindical, religión, creencias, origen racial, salud o vida sexual, cuando los datos se utilicen
únicamente con la finalidad de realizar una transferencia dineraria a las entidades de las que
los afectados sean miembros • Los ficheros no automatizados que de forma incidental con-
tengan datos especialmente protegidos • Los ficheros cuyo tratamiento tenga como finalidad
el cumplimiento de deberes públicos, en el caso de datos como el grado de minusvalía o la
declaración de la condición de invalidez.
NIVEL MEDIO
Comisiones de infracciones administrativas o penales • Aquello de lo que sean responsables
las Administraciones tributarias y se relacionen con el ejercicio de sus potestades tributarias
• Ficheros de entidades gestoras, servicios comunes de la Seguridad Social, mutuas de
accidentes de trabajo y enfermedades profesionales de la Seguridad Social • Hacienda
pública (datos relativos a tributos u otras obligaciones fiscales que trata la administración,
no los relativos a los impuestos que declaran las empresas) • Datos que permitan deducir el
comportamiento de los ciudadanos.
NIVEL ALTO
Ideología o afiliación sindical • Religión o creencias • Origen radical o étnico • Salud (servicios
sociales, necesidades de atención médica especial) • Vida sexual • Recogidos para fines policiales
sin consentimiento del interesado • Violencia de género.
• A
cceso a través de redes de comunicaciones desde una ubicación ex-
terna a los sistemas de información que tratan los datos personales.
• T
ratamiento de los datos fuera de la ubicación de los sistemas de
información que los almacenan.
• G
eneración de ficheros temporales necesarios para desarrollar las
actividades de la Entidad Local.
Documento de seguridad
13 El RDLOPD obliga a fijar políticas de seguridad para aquel personal que no está autorizado al acceso
a los datos de carácter personal pero pueden hacer peligrar la seguridad como por ejemplo personal de
limpieza que abandona documentación en el exterior, personal de mantenimiento que desconecta el fluido
eléctrico sin avisar, etc.
14 Las medidas comunes a los dos tipos de tratamiento se han ubicado en esta primera parte, en la de
ficheros automatizados. Quedará indicado de forma explícita las medidas de seguridad que afectan sólo a
cada tipo de ficheros tanto automatizados como no automatizados.
15 Se recomienda la lectura de la Guía de Seguridad de la AEPD disponible en www.agpd.es
Todo el personal que acceda a los datos de carácter personal está obligado
a conocer y observar las medidas, normas, procedimientos, reglas y
estándares que afecten a las funciones que desarrolla.
Se deben incluir las obligaciones detalladas de los perfiles que afectan a to-
dos los ficheros (por ejemplo, administrador/es de los sistemas, responsable/s
de informática, responsable/s de seguridad, responsable/s de seguridad físi-
ca, etc). Es importante que se concrete la persona o cargo que corresponde
a cada perfil. También deben contemplarse los procedimientos de actuación
o delegación de funciones para casos de ausencia. Este apartado se propone
principalmente como un recopilatorio que agrupe las medidas que en el resto
del Documento se asignan a perfiles concretos.
Identificación y autenticación
Control de acceso
Para ello, una vez identificados los usuarios, se han de establecer meca-
nismos para evitar que puedan acceder a datos o recursos con derechos
distintos de los autorizados, asegurando la confidencialidad y disponibilidad
de la información.
Respecto del control de acceso, se deben atender para el nivel básico: la re-
lación actualizada de usuarios y accesos autorizados, el control de accesos
permitidos a cada usuario según las funciones asignadas, los mecanismos
que eviten el acceso a datos o recursos con derechos distintos de los auto-
rizados, la concesión de permisos de acceso sólo por personal autorizado
así como las mismas condiciones para personal ajeno con acceso a los
recursos de datos.
Gestión de soportes
lo permita, así como las pruebas con datos reales y la copia de seguridad y
aplicación del nivel de seguridad correspondiente.
Responsable de seguridad
Auditoría
Identificación y autenticación
Gestión de soportes
Registro de incidencias
Será necesaria la autorización por escrito del responsable del fichero para la
ejecución de los procedimientos de recuperación de los datos.
La finalidad última de esta medida consiste en evitar que, ante cualquier in-
cidencia que pueda producirse en la distribución de los datos o en el soporte
que los contiene, terceras personas no autorizadas puedan acceder a la
información y modificarla. Por ello, se recomienda la utilización de mecanis-
mos de seguridad mediante claves de acceso a los ficheros o la encriptación
de los datos con programas especializados para evitarlo.
Registro de accesos
Esta medida implica que todas las aplicaciones o programas internos que
traten con datos de carácter personal, han de configurarse para que regis-
tren y almacenen los datos de todos aquellos usuarios que acceden o inten-
tan acceder a la aplicación.
Telecomunicaciones
Habitualmente se utilizan redes de telecomunicaciones abiertas16 para trans-
mitir ficheros y archivos. Para evitar que durante la transmisión de datos
puedan producirse intercepciones o manipulaciones no deseadas de datos
16 Tipo de redes en las cuales los datos no son cifrados mientras se transmiten entre dos puntos, permi-
tiendo que puedan ser interceptados.
Criterios de archivo
Almacenamiento de la información
Copia o reproducción
Acceso a la documentación
Traslado de la documentación
• Padrón de habitantes.
• Padrón de vehículos.
• Servicios sociales.
• Licencia de actividad de locales comerciales.
• Videovigilancia.
PADRÓN DE HABITANTES
Por otro lado, respecto a los fines estadísticos, los Ayuntamientos están
obligados a facilitar la información de los datos del padrón al Instituto
Nacional de Estadística, siempre que se justifique su petición dentro de las
competencias que le otorga la Ley de Función Estadística Pública.
PADRÓN DE VEHÍCULOS
SERVICIOS SOCIALES
Los Servicios Sociales están disponibles y son accesibles para todos los
ciudadanos sin discriminación por algún motivo personal. Los ficheros de
datos personales gestionados por los Servicios Sociales de las Entida-
des Públicas Locales se clasifican con nivel de seguridad alto.
Por lo tanto, cuando una entidad local recabe datos deberá manifestar una
adecuada justificación de la finalidad de la propia prestación social.
Es habitual en las EELL que esta solicitud sea en formato papel, por lo que
se debe incorporar a la misma un texto explicativo en el que se indiquen
claramente los siguientes puntos:
• E
xistencia de un fichero, declarado en la Agencia de Protección de Datos,
donde se van a incorporar los datos de la solicitud indicando quién es el
responsable del fichero.
• Finalidad del tratamiento de los datos.
• Cesiones a terceros (en su caso).
• F
orma de ejercer los derechos de acceso, rectificación, cancelación y
oposición, ofreciendo un medio de contacto para su ejercicio.
VIDEOVIGILANCIA
• P
ara cumplir con el deber de información, se debe colocar en las zonas
videovigiladas al menos un distintivo informativo ubicado en lugar su-
ficientemente visible, tanto en espacios abiertos como cerrados.
• E
ste distintivo deberá de incluir una referencia a la “Ley Orgánica 15/1999,
de Protección de Datos”, una indicación de la finalidad para la que se tratan
los datos y una mención expresa a la identificación del responsable ante
quién puedan ejercitarse los derechos en materia de Protección de Datos.
• A
fectado o interesado: persona física titular de los datos que sean ob-
jeto del tratamiento.
• R
esponsable del fichero o tratamiento: persona física o jurídica, de
naturaleza pública o privada, u órgano administrativo, que decida sobre
la finalidad, contenido y uso del tratamiento.
• E
ncargado del fichero o tratamiento: persona física o jurídica, auto-
ridad pública, servicio o cualquier otro organismo que, solo o conjunta-
mente con otros, trate datos personales por cuenta del responsable del
tratamiento.
• R
esponsable de Seguridad: persona o personas a las que el responsa-
ble del fichero ha asignado formalmente la función de coordinar y contro-
lar las medidas de seguridad aplicables.
• A
uditoría: examen crítico y sistemático que realiza una persona o grupo
de personas independientes del sistema auditado.
• D
atos de carácter personal: cualquier elemento que permite determi-
nar, de manera directa o indirecta, la identidad física, fisiológica, psíquica,
económica, cultural o social de una persona física.
• F
ichero: conjunto organizado de datos de carácter personal, cualquiera
que sea la forma o modalidad de su creación, almacenamiento, organiza-
ción y acceso. Es, por tanto, el soporte físico, sea automatizado o no, en
el que se recoge y almacena, de manera organizada, el conjunto de datos
que integra la información.
• F
ichero automatizado: conjunto de datos almacenados en dispositivos
informáticos (PC, lectores DVD, etc.) que requieren de herramientas ca-
paces de descifrar la información que contienen para su tratamiento.
• F
ichero no automatizado: conjunto de datos almacenados en soportes
que no requieren de herramientas para su tratamiento, como el papel.
• S
istema de tratamiento: modo en que se organiza o utiliza un sistema
de información. Atendiendo al sistema de tratamiento, los sistemas de
información podrán ser automatizados, no automatizados o parcialmente
automatizados.
Glosario ( 79
Guía para entidades locales: cómo adaptarse a la normativa sobre protección de datos
• B
loqueo de datos: la identificación y reserva de los datos con el fin de
impedir su tratamiento.
• C
opia de respaldo: copia de los datos de un fichero automatizado en un
soporte que posibilite su recuperación.
• F
uentes accesibles al público: aquellos ficheros cuya consulta puede
ser realizada por cualquier persona, no impedida por una norma que lo
limite. Tienen la consideración de fuentes de acceso público, exclusiva-
mente, el censo promocional, los repertorios telefónicos en los términos
previstos por su normativa específica y las listas de personas pertene-
cientes a grupos de profesionales que contengan únicamente los datos
sde nombre, título, profesión, actividad, grado académico, dirección e
indicación de su pertenencia al grupo. Asimismo, tienen el carácter de
fuentes de acceso público, los Diarios y Boletines Oficiales y los medios
de comunicación.
80 ) Glosario
más información
http://www.inteco.es
http://observatorio.inteco.es