de nivel medio:Designar uno o varios responsables de seguridad.Realizar auditorías internas y externas al menos cada dos años. Estas auditorías deben ser analizadas por el responsable de seguridad competente.Establecer sistemas de registros de entrada y salidas de soportes.Establecer un mecanismo que limite la posibilidad de intentos reiterados de acceso no autorizado al sistema de información.Solo el personal autorizado en el documento de seguridad podrá acceder a los lugares donde se encuentren los equipos físicos que den soporte a los sistemas de información.Registrar los procedimientos realizados de recuperación de datos en el registro de incidencias.
3 Medidas de nivel alto:Identificar los soportes mediante sistemas de etiquetado comprensibles y con significado. La distribución de los soportes debe hacerse cifrando los datos para que la información no pueda ser accesible o manipulada.Conservar una copia de seguridad de los datos y de los procedimientos de recuperación de los mismos. Se debe conservar una copia de seguridad de los datos en un lugar distinto de donde estos se encuentran.En cada intento de acceso se deben almacenar, por lo menos: la identificación del usuario, fecha y hora en que se realizó, fichero al que se accedió, tipo de acceso y si se ha autorizado o denegado el acceso. Si el acceso se ha autorizado, también se deben guardar los datos identificativos del usuario.Conservar los datos de acceso registrados durante, por lo menos, dos años.Revisar una vez al mes la información de control registrada y elaborar un informe de las revisiones realizadas. Estas revisiones serán efectuadas por el responsable de seguridad.No será necesario el registro de accesos cuando el responsable del tratamiento o fichero sea una persona física o cuando este garantice que únicamente él tiene acceso y trata los datos personales.Los ficheros no automatizados deben almacenarse en áreas en las que el acceso esté protegido con puertas de acceso con sistemas de apertura mediante llave o dispositivo equivalente. Estas áreas permanecerán cerradas cuando no sea necesario el acceso a los documentos.Las copias o la reproducción de los documentos solo pueden realizarse bajo el control del responsable de seguridad. Se deberá proceder a la destrucción de las copias o reproducciones desechadas.Cuando se traslade físicamente la documentación de un fichero no automatizado se deben adoptar medidas para impedir el acceso o manipulación de la información trasladada.
4.6. La Agencia Española de Protección de Datos
La Agencia Española de Protección de Datos es un ente de derecho público, con personalidad jurídica propia y plena capacidad pública y privada, que actúa con plena independencia de las Administraciones Públicas en el ejercicio de sus funciones. Las principales funciones de este ente se representan en la siguiente tabla:
Funciones de la Agencia Española de Protección de Datos (AEPD) |
Velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación, sobre todo en lo relativo en los derechos A.R.C.O. |
Atender las peticiones y reclamaciones de los afectados, además de informarles de sus derechos y promover campañas de difusión. |
Controlar a los agentes implicados en el tratamiento de los datos. |
Elaborar las normas concernientes a la protección de datos. |
Tutelar los derechos y garantías de los abonados y usuarios en el ámbito de las comunicaciones electrónicas. |
Velar por la publicidad de los tratamientos. |
Ejercer la potestad sancionadora cuando se produzca alguna infracción. |
Autorizar las transferencias internacionales de datos. |
En términos generales, la AEPD se encarga de comprobar la legalidad de los tratamientos de los datos y de sancionar a aquellos que no cumplan con la legislación vigente. También es la responsable de difundir y dar publicidad a toda normativa referente a la protección de datos.
Nota
La AEPD pone a disposición de los usuarios su página web: <http://www.agpd.es>. En ella se puede realizar cualquier consulta en materia de protección de datos.
4.7. Infracciones y sanciones
Los responsables de los ficheros y los encargados de los tratamientos deben cumplir con la LOPD, y en caso contrario están sujetos a ser sancionados. Las sanciones aplicables se distinguen según el tipo de infracción cometida, diferenciando entre sanciones leves, graves y muy graves:
1 Sanciones leves: desde 900 hasta 40000 €. Se consideran infracciones leves:No remitir a la AEPD las notificaciones previstas en la LOPD.No solicitar la inscripción del fichero de datos personales en el Registro General de Protección de Datos.No informar al afectado sobre el tratamiento de sus datos cuando estos sean recabados del propio interesado.Transmitir los datos a un encargado del tratamiento sin cumplir los deberes formales establecidos.No inscribir los ficheros en la AEPD.
2 Sanciones graves: desde 40001 hasta 300000 €. Se consideran infracciones graves:Tratar datos de carácter personal sin el consentimiento de las personas afectadas.Tratar datos personales con una finalidad distinta de la que se crearon.Vulnerar el derecho de secreto.Impedir u obstaculizar el ejercicio de los derechos A.R.C.O.No informar al afectado sobre el tratamiento de sus datos cuando estos no han sido recabados del propio interesado.Incumplir los restantes deberes de notificación o requerimiento al afectado impuestos por la LOPD.Mantener los ficheros, locales, programas o equipos sin las medidas de seguridad reglamentarias.No atender los requerimientos y notificaciones de la AEPD o no proporcionar la información que les sea solicitada.Obstaculizar las inspecciones.Comunicar o ceder datos personales sin contar con legitimación para ello, excepto cuando conlleve una infracción muy grave.Proceder a la creación de ficheros de titularidad pública o iniciar la recogida de datos de carácter personal sin autorización de disposición general, publicada en el Boletín Oficial del Estado (BOE) o en el diario oficial correspondiente.
3 Sanciones muy graves: desde 300001 hasta 600000 €. Se consideran infracciones muy graves:Recoger datos de forma engañosa o fraudulenta.Tratar o ceder datos referentes a ideología, afiliación sindical, religión y creencias sin el consentimiento expreso del afectado.Tratar o ceder datos que hagan referencia al origen racial, salud y vida sexual cuando no lo disponga una ley o el afectado no lo haya consentido expresamente.Violar la prohibición de crear ficheros sobre ideología, afiliación sindical, religión, creencias, origen racial o étnico o vida sexual, con la única finalidad de almacenar datos personales.No cesar en el tratamiento ilícito de datos personales cuando sea requerido por la Agencia de Protección de Datos o por los titulares del derecho de acceso.Transferir internacionalmente datos personales con destino a países que no proporcionen un nivel de protección equiparable sin autorización del Director de la Agencia de Protección de Datos.
Nota
La cuantía final de las sanciones se gradúa atendiendo a una serie de criterios establecidos en la misma LOPD. Unos ejemplos son: el carácter continuado de la infracción, el volumen de los tratamientos efectuados, los beneficios obtenidos por cometer la infracción, etc.
A modo de resumen, en la siguiente tabla se muestran los diferentes tipos de infracciones, las sanciones correspondientes y su prescripción:
Tipo de infracción | Sanción | Prescripción |
Leve | Desde 900 a 40000 € | Un año |
Grave | Desde 40001 a 300000 € | Dos años |
Muy grave | Desde 300001 a 600000 € | Tres años |
Actividades
7. Comente si considera adecuadas las medidas económicas para sancionar las infracciones en materia de protección de datos personales (tanto leves como graves y muy graves). Señale otras medidas no económicas que considere efectivas para estas infracciones.