Ir al contenido principal

Guía implantación LOPD en Pymes (II)

Antes de comentar las fases que propongo para la adecuación de pymes y micropymes a la LOPD, creo que es necesario comentar aquellos términos más importantes de la Ley y el Reglamento que la desarrolla. Todo ello, para cumplir el objetivo de estos post, es decir, hacerlos más comprensibles para quienes no estén familiarizados con la LOPD. Es cierto que, lógicamente, se perderá rigor en las definiciones (todas ellas se pueden consultar en la Ley y el Reglamento, donde se encontrará una definición exhaustiva de las mismas), pero entiendo que se ganará en su comprensión.

Por tanto, la definición (a mi manera) de los términos más importantes es la siguiente:

- Dato de carácter personal: cualquier dato de una persona física que lo identifique (por ejemplo: nombre y apellidos, foto, imagen de una videocámara,…) o a través del cual se le pueda identificar (por ejemplo: dirección de correo electrónico compuesta por la inicial del nombre y primer apellido, la voz,…), y cualquier otro dato perteneciente a una persona física identificada o identificable (por ejemplo: estado civil, su salario,...).

- Interesado o afectado: persona física titular de sus datos de carácter personal (todos somos interesados o afectados con respecto a nuestros datos).

- Fichero: conjunto organizado de datos de carácter personal, bien esté informatizado, en soporte papel o se encuentre al mismo tiempo informatizado y en soporte papel. Por ejemplo: Fichero de Personal, Fichero de Contactos,…

- Responsable de Fichero o Tratamiento: persona física (autónomo) o jurídica (pyme o micropyme) que decide sobre la creación, finalidad y uso del Fichero o Tratamiento.

- Encargado de Tratamiento: persona física (autónomo) o jurídica (pyme o micropyme) que sola o conjuntamente con otras accede a los datos de un Responsable de Fichero o Tratamiento para prestarle un servicio. Ejemplos típicos serían las Asesoría Laborales, Contables, Fiscales, Jurídicas, etc. que acceden a los datos de una empresa para la elaboración de nóminas,…

Una misma persona física o jurídica puede desempeñar un doble papel en lo que respecta a la protección de datos de carácter personal. Por ejemplo, una Asesoría de las citadas anteriormente será responsable de los ficheros que precise para el normal desarrollo de sus actividades como empresa (de sus propios ficheros de empleados, clientes, proveedores, contactos,…) y será al mismo tiempo encargado de tratamiento de los ficheros de sus clientes que sean Responsables de Fichero o Tratamiento a los que precise acceder para prestarles a estos un servicio (ficheros de empleados de sus empresas cliente para elaborar las nóminas,…).

El Responsable del Fichero o Tratamiento y, en su caso, los Encargados de Tratamiento son los responsables indicados en la Ley y, por tanto, quienes deben cumplir la normativa y se exponen a las correspondientes sanciones en caso de incumplimiento.

- Cesión o comunicación de datos: revelación de datos de carácter personal a cualquier persona física o jurídica diferente del interesado (ejemplos típicos son: a otro autónomo, a otra empresa, a una administración pública, a una mutua, etc.). No se considera cesión el acceso a los datos por parte de un Encargado de Tratamiento.

- Cesionario: persona física o jurídica a la que se revelan los datos. Será Responsable del Fichero o Tratamiento de esos datos que se le ceden, ya que los utilizará para sus propias finalidades.

- Agencia Española de Protección de Datos (AEPD): es una autoridad de control independiente cuya principal misión es la de velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación y, en especial, defender los derechos de los afectados. Es obligatorio que los Responsables de Fichero o Tratamiento le declararen los ficheros que utilizan (Entre otras cuestiones, se declaran los campos que contiene cada fichero, no el contenido concreto de los mismos).

Además, describo muy brevemente los principales principios de la Ley:

- Calidad de los datos: no se pueden solicitar datos excesivos con respecto a la finalidad para la que estos se recaban, no se podrán utilizar para fines incompatibles para los que se recogen y deben ser exactos y estar permanentemente actualizados. El detalle de este principio se encuentra en el artículo 4 de la LOPD.

- Derecho de información: en el momento de recabarse los datos se le debe informar a las personas, básicamente, de la existencia de un fichero o tratamiento, de quién es el Responsable del Fichero o Tratamiento, de la finalidad para la que van a ser utilizados y, si es el caso, de los destinatarios o cesionarios de la información. Un ejemplos típico de cómo informar a los interesados es el incluir el texto correspondiente en formularios, páginas web, mensajes de correo electrónico, carteles ubicados en los lugares de recogida de datos, carteles de videovigilancia, etc. El detalle se encuentra en el artículo 5 de la LOPD. Para el caso concreto de videovigilancia existe una instrucción de la AEPD en la que en su artículo 3 se trata este asunto (Instrucción 1/2006, de 8 de noviembre).

- Consentimiento del interesado: En principio, el tratamiento o cesión de los datos de carácter personal requieren del consentimiento inequívoco del interesado (hay datos - salud, afiliación política y sindical, etc, - para los que éste deberá ser expreso y, para algunos de ellos, expreso y por escrito) salvo que haya una Ley que disponga otra cosa (por ejemplo la cesión de los datos de los trabajadores a las administraciones tributarias,..) o se encuentre entre los supuestos para los que la propia LOPD establece que no se precisará el consentimiento (por ejemplo: para ceder los datos del salario de los trabajadores a las entidades bancarias correspondientes para hacer efectivo su pago, ya que esta cesión es necesaria para el cumplimiento del contrato laboral suscrito entre el empleado y la empresa,…). El detalle se encuentra en el artículo 6 de la LOPD.

Para Finalizar, también muy brevemente, indicar que los principales derechos de los interesados son los siguientes:

- Consulta de los ficheros inscritos (declarados a la AEPD) en el Registro General de Protección de Datos (se puede hacer a través de la página web de la AEPD - www.agpd.es -). Se verán los ficheros declarados del Responsable de Fichero o Tratamiento seleccionado y, entre otra información referente a los mismos, los campos que contienen los ficheros.

- Acceso, rectificación, cancelación y oposición: los puede ejercer cualquier interesado ante el Responsable del Fichero o Tratamiento, que debe implantar un procedimiento para responder, y, básicamente, consisten, respectivamente, en el derecho que el interesado tiene a conocer los datos concretos que se tratan sobre él, a rectificar aquellos que resulten ser inexactos o incompletos, a cancelar aquellos que sean excesivos o revocar el consentimiento que dio para que se trataran y a oponerse al tratamiento de los datos. Si el Responsable del Fichero o Tratamiento no atiende la solicitud del interesado, éste puede solicitar la tutela de la AEPD.

Una vez dicho esto, en los siguientes post describiré las fases que propongo para la adecuación de pymes y micropymes a la LOPD.

Comentarios

Entradas populares de este blog

Criptografía (I): cifrado Vigenère y criptoanálisis Kasiski

Hace unos días mi amigo Iñaki Regidor (@Inaki_Regidor), a quien dedico esta entrada :), compartió en las redes sociales un post titulado "Criptografía: el arte de esconder mensajes" publicado en uno de los blogs de EiTB.

En ese post se explican ciertos métodos clásicos para cifrar mensajes, entre ellos el cifrado de Vigenère, y, al final del mismo, se propone un reto consistente en descifrar un mensaje, lo que me ha animado a escribir este post sobre el método Kasiski para atacar un cifrado polialfabético (conociendo la clave descifrar el mensaje es muy fácil, pero lo que contaré en este post es la forma de hacerlo sin saberla).

El mensaje a descifrar es el siguiente:

LNUDVMUYRMUDVLLPXAFZUEFAIOVWVMUOVMUEVMUEZCUDVSYWCIVCFGUCUNYCGALLGRCYTIJTRNNPJQOPJEMZITYLIAYYKRYEFDUDCAMAVRMZEAMBLEXPJCCQIEHPJTYXVNMLAEZTIMUOFRUFC

Como ya he dicho el método de Vigenère es un sistema de sustitución polialfabético, lo que significa que, al contrario que en un sistema de sustitución monoalfabético, c…

¿Qué significa el emblema de la profesión informática? (I)

Todas o muchas profesiones tienen un emblema que las representa simbólicamente y en el caso de la  informática:


"es el establecido en la resolución de 11 de noviembre de 1977 para las titulaciones universitarias superiores de informática, y está constituido por una figura representando en su parte central un núcleo toroidal de ferrita, atravesado por hilos de lectura, escritura e inhibición. El núcleo está rodeado por dos ramas: una de laurel, como símbolo de recompensa, y la otra, de olivo, como símbolo de sabiduría. La corona será la de la casa real española, y bajo el escudo se inscribirá el acrónimo de la organización.".

Veamos los diferentes elementos tomando como ejemplo el emblema del COIIE/EIIEO (Colegio Oficial de Ingenieros en Informática del País Vasco/Euskadiko Informatikako Ingeniarien Elkargo Ofiziala).



Pero no sólo el COIIE/EIIEO adopta el emblema establecido en dicha resolución, sino que éste se adopta también como imagen corporativa por la mayoría de los cole…

Criptografía (XXIII): cifrado de Hill (I)

En este post me propongo explicar de forma comprensible lo que he entendido sobre el cifrado de Hill, propuesto por el matemático Lester S. Hill, en 1929, y que se basa en emplear una matriz como clave para cifrar un texto en claro y su inversa para descifrar el criptograma correspondiente.

Hay tres cosas que me gustan de la criptografía clásica, además de que considero que ésta es muy didáctica a la hora de comprender los sistemas criptográficos modernos: la primera de ellas es que me "obliga" a repasar conceptos de matemáticas aprendidos hace mucho tiempo y, desgraciadamente, olvidados también hace demasiado tiempo, y, por consiguiente, que, como dice Dani, amigo y coautor de este blog, me "obliga" a hacer "gimnasia mental"; la segunda es que, en la mayoría de las ocasiones, pueden cifrarse y descifrase los mensajes, e incluso realizarse el criptoanálisis de los criptogramas, sin más que un simple lápiz y papel, es decir, para mi es como un pasatiempo: …