¿Tener el servidor fuera de España implica cumplir con la LOPD?
¿Que medidas se tienen que tomar en la web y en los mails?
¿Alguna idea del precio que suele cobrar un abogado por ello?
A la primera pregunta: si.
Cito a lo que pone en el art. 2.a de la ley:
Se regirá por la presente Ley Orgánica todo tratamiento de datos de carácter personal:
a) Cuando el tratamiento sea efectuado en territorio español en el marco de las actividades de un
establecimiento del responsable del tratamiento.
La segunda pregunta es bastante mas amplia de contestar. Quiero decir, que las medidas de seguridad y cumplimiento en general de la ley no se limita sólo a "hacer algo" a la web. Si te interesa puedo ampliar mi contestación.
La última pregunta. No necesariamente tiene que ser un abogado y eso dependerá de lo que quieras hacer.
Te escribo esto, pues yo me he dedicado a asesorar sobre la LOPD durante unos siete años.
puede que me equivoque no entiendo del tema pero LOPD implica poner en la web una viso legal, términos y condiciones en el registro y registrar la base de datos?
Va mas allá de eso.
Cumplir con la LOPD conlleva en registrar los ficheros en la AEPD, redactar el documento de seguridad, y cumplir con las medidas de seguridad que establece el RD 1720/2007.
Lo de la coletilla en la web es un paso, pero como puedes ver no se limita a eso.
Que ficheros habría que registrar en la AEPD?
Respuesta: los que tienes. R.D 1720/2007 art.5.K (definición de fichero).
Hay que certificar de alguna forma que realmente se está cumpliendo con las medidas de seguridad del RD 1720/2007?
Respuesta: no, sólo hay que cumplirlas.
Buenas Pablo, me podrías decir cuál es el salario medio de un encargado de tratamiento, el cual realiza auditorías e implantaciones de la LOPD?
Te hago esta pregunta pues actualmente me encuentro realizando dichas labores y estoy con un contrato en prácticas cobrando menos del salario mínimo a 40 horas semanales. Me contrataron como teleoperador y terminé en este puesto con las responsabilidades que conlleva cobrando el mismo salario.
A través de las alertas de google, me ha llegado este post en el que espero poder ayudarte. Como bien ha indicado Pablo, hay ciertas obligaciones que todos los responsables de fichero o tratamiento tienen que cumplir, aunque le faltan algunas respuestas para sacar un diez ;). Yo suelo ser muy "barrio sésamo" explicando esto y lo suelo dividir en cinco pasos que todos los que tratan datos tienen que cumplir. Llevo haciéndolo desde 2006 y la verdad es que casi todo el mundo lo suele entender a la primera. (Eso si, soy de Derecho y puede que a veces, hablemos lenguas distintas XD).
I.- Inscribir los ficheros en el Registro General de Protección de Datos, dependiente de la Agencia Española de Protección de Datos.
Cuando hablamos de inscribir ficheros no quiere decir que le enviemos a la AGPD copia de nuestra base de datos, si no que hablamos de una inscripción conceptual. Es decir, le vamos a indicar la tipología de datos que recogemos, quien es el responsable, a quien los va a ceder y comunicar (no es lo mismo), donde puede ejercitar los derechos arco, las medidas de seguridad que se van a aplicar, etc. Ojo. Cuando hablamos de fichero o tratamiento, no hablo de una base de datos en, por ejemplo MySQL, si no que hablo de un "conjunto organizado de datos de carácter personal, que permita el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso."
Esto quiere decir que puede que haya ficheros de tratamiento automatizado (ficheros informáticos), ficheros de tratamiento no automatizado (ficheros en papel, como expedientes, curriculums, facturas, albaranes, etc.) y ficheros mixtos (que contengan ambos tratamientos).
II.- Cumplir con el deber de información y consentimiento del afectado.
Es decir, que en el mismo momento en el que alguien quiere recoger nuestros datos, nos tiene que informar de lo siguiente (entre otras cosas, como por ejemplo el principio de calidad de datos):
- De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.
- Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
- De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
- De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
- De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.
Si además recogemos datos de menores habrá que redactarlo de una manera específica. Si vamos a ceder los datos a otros terceros, habrá que habilitar una casilla para que indiquen que si quieren ceder esos datos, etc.
III.- Contratos de acceso a datos por cuenta de terceros.
En muchos casos, habrá terceros ajenos al responsable del fichero que tratarán los datos conforme a las instrucciones de este. El ejemplo más claro del mundo "off line" son las asesorías laborales, fiscal y contable, ya que hacen las nóminas de nuestros trabajadores conforme a lo que les hemos dicho, pero también las empresas de mantenimiento informático son encargados de tratamiento, o los proveedores de servicios de internet que nos hacen el hosting, housing o backup remoto.
Pues bien, con ellos hay que firmar un contrato (recogido en el artículo 12 LOPD y 20 a 22 del RDLOPD) donde se dice a que ficheros van a acceder, con que finalidad, que medidas de seguridad van a aplicar, etc. (Grosso modo es esto).
IV.- Medidas de seguridad.
En función de la tipología de datos que hayamos recogido (datos no sensibles, sensibles o de salud), vamos a tener que aplicar las medidas de seguridad de nivel básico, medio o alto en función de esa tipología que hemos comentado. Ojo, los datos no son básicos, medios o altos. Eso son las medidas de seguridad.
- Las de nivel básico se aplican a cualquier datos de carácter personal (cualquier dato que haga a una persona identificada o identificable).
- Las de nivel medio se aplican a: los relativos a la comisión de infracciones administrativas o penales, ficheros de solvencia patrimonial o crédito (morosos, rai, asnef, equifax, etc.), aquellos de los que sean responsables Administraciones tributarias y se relacionen con el ejercicio de sus potestades tributarias, aquéllos de los que sean responsables las entidades financieras para finalidades relacionadas con la prestación de servicios financieros, de los que sean responsables las Entidades Gestoras y Servicios Comunes de la Seguridad Social y se relacionen con el ejercicio de sus competencias. De igual modo, aquellos de los que sean responsables las mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social, aquéllos que contengan un conjunto de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos. (Currículums es el ejemplo más tópico, pero la tarjeta cliente del Dia o Carrefour es también de nivel medio, ya que permite que se hagan un perfil nuestro como compradores en su establecimiento).
- Las de nivel alto se aplican a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual, a datos recabados para fines policiales sin consentimiento de las personas afectadas, ficheros que contengan datos derivados de actos de violencia de género.
Ojo, que las medidas de seguridad son acumulativas, como se dice en Derecho, quien puede lo más puede lo menos. Si yo tengo un fichero de nivel medio tendré que cumplir con las medidas de seguridad de nivel básico y medio y si tengo un fichero de nivel alto, tendré que cumplir con todas las medidas de seguridad.
Todas estas medidas se recogen en un documento interno de la empresa que se llama Documento de Seguridad, que hace una foto de como está organizada la estructura de información de la empresa y donde se recogen todas las políticas de seguridad aplicables a datos de carácter personal de la empresa (usuarios, sistemas de información, criterios de archivo y custodia, política de derechos arco, copias de seguridad, política de controles de acceso, listado de encargados de tratamiento, sedes, lugares físicos de almacenamiento y un largo etcétera.)
V.- El último punto es para mi el más importante. La formación de los usuarios.
Podemos cumplir al 99,9% con los cuatro puntos anteriores, pero como se sabe. El informático siempre está intentando crear aplicaciones y sistemas más seguros y el universo siempre está creando usuarios más tontos. Y de momento gana el universo. Si no tenemos en cuenta el factor humano y que sepa que es lo que debe y no debe hacer en materia de protección de datos, podemos tener un problema. Ha de saber que cuando vamos a destruir un CV en papel no se ha de tirar tal cual a la papelera, si no que ha de pasar por la destructora de papel. O que el ordenador del trabajo es para trabajar y no para ponerse a bajar música instalando vuze o U Torrent. Si no puede que pase una infracción y como sabéis, las sanciones son bastante elevadas.
Eso es casi todo en materia LOPD. Si bien hay un punto extra que es el mantenimiento y la auditoría. El RDLOPD obliga al responsable del fichero a mantener el Documento de Seguridad (DS) actualizado. Eso se lo puede hacer uno mismo o delegar en una consultora.
Al igual que la auditoría. El RDLOPD establece que cuando un Responsable de fichero o tratamiento tiene al menos un fichero al que se le apliquen las medidas de seguridad de nivel medio, está obligado a pasar una auditoría bienal (cada dos años) que puede ser externa o interna, para verificar el cumplimiento de todo lo que se dijo dos años atrás en la generación del documento de seguridad.
Respecto al resto de preguntas, te comento...
- ¿Tener el servidor fuera de España implica cumplir con la LOPD?
Si, ten en cuenta que aunque los datos los tengas fuera, el tratamiento lo realizas aquí. Por lo que estás obligado a cumplir con todo el tocho que te he puesto arriba. Pero ojo, cuando dices que el servidor está fuera de España, ¿te refieres en territorio europeo o fuera de la UE? Lo digo porque si es en el primer caso, no habría transferencia internacional de datos y por tanto no habría "mayor problema". Si por el contrario el servidor está fuera de las fronteras de la UE (Estados Unidos, Rusia, Argentina, etc.) habría que notificar a la Agencia Española de Protección de Datos que hay una transferencia internacional de datos para que la autorizase, realizar un contrato con ese proveedor de servicios extranjero que alberga tu información y unas cuantas movidas jurídicas más.
- ¿Que medidas se tienen que tomar en la web y en los mails?
Pues principalmente cumplir con lo que te he puesto en el punto II y todo lo relacionado con la Ley de la Sociedad de Servicios de la Información y Comercio Electrónico (LSSI-CE), por si a través de tu web haces compraventa online de bienes o servicios, cumplir con lo dispuesto en el artículo 10 de la LSSI-CE y artículos 20 a 22 de la misma (política de cookies y envío de publicidad a través de medios telemáticos)
- ¿Alguna idea del precio que suele cobrar un abogado por ello?
Pues depende, nosotros solemos hacer un presupuesto ad hoc, una vez hemos analizado al cliente. Pero vamos, lo importante es que en el presupuesto que te pasen revises que todas estas cosas las van a hacer ;).
Eso si, huye de empresas que te hagan la adecuación a la LOPD a coste cero, es decir que te hagan un curso de formación a través de la fundación tripartita y de regalo te adecuen. ¿Porque lo digo? Porque es un fraude tributario. Te dejo enlaces a la propia web de la fundación tripartita para que puedas verlo por ti mismo.
Un saludo y espero haberte ayudado! Y perdona por todo el tochazo que te he metido XD.
¿Que medidas se tienen que tomar en la web y en los mails?
¿Alguna idea del precio que suele cobrar un abogado por ello?
09/04/2013 21:49
Cito a lo que pone en el art. 2.a de la ley:
Se regirá por la presente Ley Orgánica todo tratamiento de datos de carácter personal:
a) Cuando el tratamiento sea efectuado en territorio español en el marco de las actividades de un
establecimiento del responsable del tratamiento.
La segunda pregunta es bastante mas amplia de contestar. Quiero decir, que las medidas de seguridad y cumplimiento en general de la ley no se limita sólo a "hacer algo" a la web. Si te interesa puedo ampliar mi contestación.
La última pregunta. No necesariamente tiene que ser un abogado y eso dependerá de lo que quieras hacer.
Te escribo esto, pues yo me he dedicado a asesorar sobre la LOPD durante unos siete años.
11/04/2013 21:55
puede que me equivoque no entiendo del tema pero LOPD implica poner en la web una viso legal, términos y condiciones en el registro y registrar la base de datos?
11/04/2013 23:17
Cumplir con la LOPD conlleva en registrar los ficheros en la AEPD, redactar el documento de seguridad, y cumplir con las medidas de seguridad que establece el RD 1720/2007.
Lo de la coletilla en la web es un paso, pero como puedes ver no se limita a eso.
12/04/2013 11:05
Que ficheros habría que registrar en la AEPD?
Hay que certificar de alguna forma que realmente se está cumpliendo con las medidas de seguridad del RD 1720/2007?
12/04/2013 11:11
Respuesta: los que tienes. R.D 1720/2007 art.5.K (definición de fichero).
Hay que certificar de alguna forma que realmente se está cumpliendo con las medidas de seguridad del RD 1720/2007?
Respuesta: no, sólo hay que cumplirlas.
20/11/2017 05:26
Te hago esta pregunta pues actualmente me encuentro realizando dichas labores y estoy con un contrato en prácticas cobrando menos del salario mínimo a 40 horas semanales. Me contrataron como teleoperador y terminé en este puesto con las responsabilidades que conlleva cobrando el mismo salario.
Un saludo
15/04/2013 10:31
A través de las alertas de google, me ha llegado este post en el que espero poder ayudarte. Como bien ha indicado Pablo, hay ciertas obligaciones que todos los responsables de fichero o tratamiento tienen que cumplir, aunque le faltan algunas respuestas para sacar un diez ;). Yo suelo ser muy "barrio sésamo" explicando esto y lo suelo dividir en cinco pasos que todos los que tratan datos tienen que cumplir. Llevo haciéndolo desde 2006 y la verdad es que casi todo el mundo lo suele entender a la primera. (Eso si, soy de Derecho y puede que a veces, hablemos lenguas distintas XD).
I.- Inscribir los ficheros en el Registro General de Protección de Datos, dependiente de la Agencia Española de Protección de Datos.
Cuando hablamos de inscribir ficheros no quiere decir que le enviemos a la AGPD copia de nuestra base de datos, si no que hablamos de una inscripción conceptual. Es decir, le vamos a indicar la tipología de datos que recogemos, quien es el responsable, a quien los va a ceder y comunicar (no es lo mismo), donde puede ejercitar los derechos arco, las medidas de seguridad que se van a aplicar, etc. Ojo. Cuando hablamos de fichero o tratamiento, no hablo de una base de datos en, por ejemplo MySQL, si no que hablo de un "conjunto organizado de datos de carácter personal, que permita el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso."
Esto quiere decir que puede que haya ficheros de tratamiento automatizado (ficheros informáticos), ficheros de tratamiento no automatizado (ficheros en papel, como expedientes, curriculums, facturas, albaranes, etc.) y ficheros mixtos (que contengan ambos tratamientos).
II.- Cumplir con el deber de información y consentimiento del afectado.
Es decir, que en el mismo momento en el que alguien quiere recoger nuestros datos, nos tiene que informar de lo siguiente (entre otras cosas, como por ejemplo el principio de calidad de datos):
- De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.
- Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
- De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
- De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
- De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.
Si además recogemos datos de menores habrá que redactarlo de una manera específica. Si vamos a ceder los datos a otros terceros, habrá que habilitar una casilla para que indiquen que si quieren ceder esos datos, etc.
III.- Contratos de acceso a datos por cuenta de terceros.
En muchos casos, habrá terceros ajenos al responsable del fichero que tratarán los datos conforme a las instrucciones de este. El ejemplo más claro del mundo "off line" son las asesorías laborales, fiscal y contable, ya que hacen las nóminas de nuestros trabajadores conforme a lo que les hemos dicho, pero también las empresas de mantenimiento informático son encargados de tratamiento, o los proveedores de servicios de internet que nos hacen el hosting, housing o backup remoto.
Pues bien, con ellos hay que firmar un contrato (recogido en el artículo 12 LOPD y 20 a 22 del RDLOPD) donde se dice a que ficheros van a acceder, con que finalidad, que medidas de seguridad van a aplicar, etc. (Grosso modo es esto).
IV.- Medidas de seguridad.
En función de la tipología de datos que hayamos recogido (datos no sensibles, sensibles o de salud), vamos a tener que aplicar las medidas de seguridad de nivel básico, medio o alto en función de esa tipología que hemos comentado. Ojo, los datos no son básicos, medios o altos. Eso son las medidas de seguridad.
- Las de nivel básico se aplican a cualquier datos de carácter personal (cualquier dato que haga a una persona identificada o identificable).
- Las de nivel medio se aplican a: los relativos a la comisión de infracciones administrativas o penales, ficheros de solvencia patrimonial o crédito (morosos, rai, asnef, equifax, etc.), aquellos de los que sean responsables Administraciones tributarias y se relacionen con el ejercicio de sus potestades tributarias, aquéllos de los que sean responsables las entidades financieras para finalidades relacionadas con la prestación de servicios financieros, de los que sean responsables las Entidades Gestoras y Servicios Comunes de la Seguridad Social y se relacionen con el ejercicio de sus competencias. De igual modo, aquellos de los que sean responsables las mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social, aquéllos que contengan un conjunto de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos. (Currículums es el ejemplo más tópico, pero la tarjeta cliente del Dia o Carrefour es también de nivel medio, ya que permite que se hagan un perfil nuestro como compradores en su establecimiento).
- Las de nivel alto se aplican a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual, a datos recabados para fines policiales sin consentimiento de las personas afectadas, ficheros que contengan datos derivados de actos de violencia de género.
Ojo, que las medidas de seguridad son acumulativas, como se dice en Derecho, quien puede lo más puede lo menos. Si yo tengo un fichero de nivel medio tendré que cumplir con las medidas de seguridad de nivel básico y medio y si tengo un fichero de nivel alto, tendré que cumplir con todas las medidas de seguridad.
Todas estas medidas se recogen en un documento interno de la empresa que se llama Documento de Seguridad, que hace una foto de como está organizada la estructura de información de la empresa y donde se recogen todas las políticas de seguridad aplicables a datos de carácter personal de la empresa (usuarios, sistemas de información, criterios de archivo y custodia, política de derechos arco, copias de seguridad, política de controles de acceso, listado de encargados de tratamiento, sedes, lugares físicos de almacenamiento y un largo etcétera.)
V.- El último punto es para mi el más importante. La formación de los usuarios.
Podemos cumplir al 99,9% con los cuatro puntos anteriores, pero como se sabe. El informático siempre está intentando crear aplicaciones y sistemas más seguros y el universo siempre está creando usuarios más tontos. Y de momento gana el universo. Si no tenemos en cuenta el factor humano y que sepa que es lo que debe y no debe hacer en materia de protección de datos, podemos tener un problema. Ha de saber que cuando vamos a destruir un CV en papel no se ha de tirar tal cual a la papelera, si no que ha de pasar por la destructora de papel. O que el ordenador del trabajo es para trabajar y no para ponerse a bajar música instalando vuze o U Torrent. Si no puede que pase una infracción y como sabéis, las sanciones son bastante elevadas.
Eso es casi todo en materia LOPD. Si bien hay un punto extra que es el mantenimiento y la auditoría. El RDLOPD obliga al responsable del fichero a mantener el Documento de Seguridad (DS) actualizado. Eso se lo puede hacer uno mismo o delegar en una consultora.
Al igual que la auditoría. El RDLOPD establece que cuando un Responsable de fichero o tratamiento tiene al menos un fichero al que se le apliquen las medidas de seguridad de nivel medio, está obligado a pasar una auditoría bienal (cada dos años) que puede ser externa o interna, para verificar el cumplimiento de todo lo que se dijo dos años atrás en la generación del documento de seguridad.
Respecto al resto de preguntas, te comento...
- ¿Tener el servidor fuera de España implica cumplir con la LOPD?
Si, ten en cuenta que aunque los datos los tengas fuera, el tratamiento lo realizas aquí. Por lo que estás obligado a cumplir con todo el tocho que te he puesto arriba. Pero ojo, cuando dices que el servidor está fuera de España, ¿te refieres en territorio europeo o fuera de la UE? Lo digo porque si es en el primer caso, no habría transferencia internacional de datos y por tanto no habría "mayor problema". Si por el contrario el servidor está fuera de las fronteras de la UE (Estados Unidos, Rusia, Argentina, etc.) habría que notificar a la Agencia Española de Protección de Datos que hay una transferencia internacional de datos para que la autorizase, realizar un contrato con ese proveedor de servicios extranjero que alberga tu información y unas cuantas movidas jurídicas más.
- ¿Que medidas se tienen que tomar en la web y en los mails?
Pues principalmente cumplir con lo que te he puesto en el punto II y todo lo relacionado con la Ley de la Sociedad de Servicios de la Información y Comercio Electrónico (LSSI-CE), por si a través de tu web haces compraventa online de bienes o servicios, cumplir con lo dispuesto en el artículo 10 de la LSSI-CE y artículos 20 a 22 de la misma (política de cookies y envío de publicidad a través de medios telemáticos)
- ¿Alguna idea del precio que suele cobrar un abogado por ello?
Pues depende, nosotros solemos hacer un presupuesto ad hoc, una vez hemos analizado al cliente. Pero vamos, lo importante es que en el presupuesto que te pasen revises que todas estas cosas las van a hacer ;).
Eso si, huye de empresas que te hagan la adecuación a la LOPD a coste cero, es decir que te hagan un curso de formación a través de la fundación tripartita y de regalo te adecuen. ¿Porque lo digo? Porque es un fraude tributario. Te dejo enlaces a la propia web de la fundación tripartita para que puedas verlo por ti mismo.
Un saludo y espero haberte ayudado! Y perdona por todo el tochazo que te he metido XD.
http://www.fundaciontripartita.org/index.asp?MP=4&MS=105&TR=A&IDR=11&id=458
http://www.fundaciontripartita.org/index.asp?MP=4&MS=105&TR=A&IDR=11&id=576