MIGUEL PEREZ,JULIO CESAR
PRÓLOGO PARTE I. LA PROTECCIÓN DE LOS DATOS PERSONALES DE LOS CIUDADANOS Capítulo 1. LOS DERECHOS DE LOS CIUDADANOS 1.1 ¿Qué es un dato personal? 1.1.1 Sensibilidad de los datos 1.1.2 El tratamiento de datos 1.2 La protección de datos y los ciudadanos 1.2.1 Nuestros derechos como ciudadanos 1.3 La recogida de los datos personales 1.3.1 Información 1.3.2 Consentimiento 1.3.3 Excepciones al consentimiento 1.3.4 Datos especialmente protegidos y consentimiento 1.3.5 Cesión de datos y consentimiento. 1.3.6 Consentimiento en el marco de una relación contractual para fines no relacionados directamente con la misma 1.4 El tratamiento de datos personales 1.4.1 Calidad 1.4.2 Seguridad 1.4.3 Desechado de los datos personales 1.4.4 Secreto 1.5 Los derechos del titular 1.5.1 Aspectos que se deben tener en cuenta 1.5.2 Procedimiento para ejercer los derechos ARCO 1.5.3 El derecho de acceso 1.5.4 El derecho de rectificación 1.5.5 El derecho de cancelación 1.5.6 El derecho de oposición 1.5.7 Tutela de derechos y denuncia de infracciones 1.5.8 Derecho de consulta 1.5.9 Derecho a indemnización Capítulo 2. USUARIOS, INTERNET Y PROTECCIÓN DE DATOS 2.1 Introducción 2.2 Identificación y autenticación en Internet 2.2.1 Acceso a los servicios en Internet 2.2.2 Mecanismos de autenticación 2.2.3 La contraseña de acceso 2.2.4 Riesgos inherentes a la contraseña 2.2.5 Normas para construir las contraseñas 2.2.6 Normas de uso de la contraseña 2.3 El código malicioso 2.3.1 Virus 2.3.2 Spyware 2.3.3 Troyano. 2.3.4 Qué puede hacer el código malicioso 2.3.5 Recomendaciones de seguridad 2.4 La navegación 2.4.1 Recomendaciones de seguridad 2.5 El correo electrónico 2.5.1 Código malicioso 2.5.2 Spam 2.5.3 Phishing 2.6 Ingeniería socia 2.6.1 Recomendaciones de seguridad contra la ingeniería social 2.7 Las redes P2P 2.7.1 Riesgos de las redes P2P 2.7.2 Recomendaciones de seguridad 2.8 Los buscadores 2.8.1 Recomendaciones de seguridad 2.9 Las redes sociales 2.9.1 Recomendaciones de seguridad 2.10 Internet y los menores 2.10.1 Recomendaciones de seguridad 2.11 La responsabilidad de los usuarios 2.11.1 Recomendaciones para realizar publicaciones Capítulo 3. EL DERECHO AL OLVIDO 3.1 Introducción 3.2 El derecho al olvido 3.2.1 Claves para entender su funcionamiento 3.3 Ejercicio del derecho al olvido PARTE II. LAS OBLIGACIONES DE LOS RESPONSABLES Capítulo 4. LA LOPD Y LOS RESPONSABLES 4.1 Introducción 4.2 La protección de datos personales 4.2.1 A quién incumbe la LOPD 4.3 Marco legal 4.3.1 Ley Orgánica 15/1999, de 13 de diciembre 4.3.2 Real Decreto 1720/2007, de 21 de diciembre 4.3.3 Ley 25/2009, de 22 de diciembre 4.3.4 Real Decreto 3/2010, de 8 de enero 4.3.5 Sentencia de 15 de julio de 2010, de la Sala Tercera del Tribunal Supremo 4.3.6 Ley 2/2011, de 4 de marzo 4.3.7 Instrucción 1/2006, de 8 de noviembre, de la Agencia Española de Protección de Datos 4.4 Qué son datos de carácter personal 4.5 Clasificación de los datos de carácter personal 4.6 Qué son datos especialmente protegidos 4.6.1 Consideraciones a la hora de tratar datos especialmente protegidos 4.7 Qué es un fichero 4.7.1 Tipos de ficheros 4.8 El responsable del fichero 4.9 Obligaciones del responsable del fichero 4.9.1 Legalizar los ficheros 4.9.2 Legitimar el tratamiento 4.9.3 Proteger los datos 4.10 Definiciones Capítulo 5. EL TRATAMIENTO DE LOS DATOS PERSONALES 5.1 Qué es el tratamiento de los datos 5.1.1 Momentos en el tratamiento de los datos 5.2 Tratamientos de datos incluidos en el ámbito de la ley 5.3 Tratamientos de datos excluidos del ámbito de la ley 5.4 Tratamientos de datos prohibidos 5.5 Sujetos que intervienen en el tratamiento de los datos Capítulo 6. LA INSCRIPCIÓN DE LOS FICHEROS 6.1 Introducción 6.2 El concepto de fichero a nivel de inscripción 6.2.1 Tratamiento de datos en distintos soportes 6.3 Inscripción de los ficheros 6.3.1 Notificación de inscripción 6.3.2 Notificación de modificación 6.3.3 Notificación de supresión 6.4 Otras inscripciones 6.5 Publicidad de los ficheros inscritos Capítulo 7. PRINCIPIOS DE LA PROTECCIÓN DE DATOS 7.1 Principios de la protección de datos 7.2 Calidad de los datos 7.2.1 Recogida de datos 7.2.2 Uso de los datos 7.2.3 Actualización de los datos 7.2.4 Almacenamiento 7.2.5 Cancelación 7.2.6 Tratamiento con fines estadísticos, históricos o científicos 7.2.7 Conclusiones 7.3 Derecho de información en la recogida de datos 7.3.1 Recogida del propio interesado 7.3.2 Datos procedentes de fuentes accesibles al público 7.3.3 Datos procedentes de otra entidad 7.3.4 Excepciones al deber de información 7.3.5 Supuestos especiales 7.3.6 Conclusiones 7.4 Consentimiento del afectado 7.4.1 Norma general 7.4.2 Excepciones 7.4.3 Forma de recabar el consentimiento 7.4.4 Consentimiento para la cesión de datos 7.4.5 Revocación del consentimiento 7.4.6 Tratamiento de datos de menores de edad 7.4.7 Consentimiento en el marco de una relación contractual para fines no relacionados directamente con la misma 7.4.8 Conclusiones 7.5 Datos especialmente protegidos 7.5.1 Recogida, tratamiento y cesión de datos especialmente protegidos 7.5.2 Tratamiento de datos especialmente protegidos sin consentimiento 7.5.3 Ficheros prohibidos 7.5.4 Conclusiones 7.6 Datos relativos a la salud 7.6.1 Cesión de datos relativos a la salud 7.7 Seguridad de los datos 7.7.1 Ficheros que no reúnan las condiciones de seguridad 7.7.2 Conclusiones 7.8 Deber de secreto 7.8.1 Conclusiones 7.9 Comunicación de datos 7.9.1 Norma general 7.9.2 Excepciones 7.9.3 Informar adecuadamente 7.9.4 Consentimiento revocable 7.9.5 Comunicación de la cesión de datos 7.9.6 Obligaciones del receptor de la comunicación de datos 7.9.7 Conclusiones 7.10 Acceso a los datos por cuenta de terceros 7.10.1 Regulación de la figura del encargado del tratamiento 7.10.2 Fin de la relación contractual 7.10.3 Responsabilidad 7.10.4 Conclusiones Capítulo 8. EL ENCARGADO DEL TRATAMIENTO 8.1 El encargado del tratamiento 8.1.1 Formas de prestar el servicio 8.2 El responsable del fichero y el encargado del tratamiento 8.2.1 Obligaciones 8.3 Prestaciones de servicios sin acceso a datos personales 8.4 Subcontratación de servicios 8.4.1 Excepciones 8.5 Destino de los datos una vez finalizada la relación con el encargado del tratamiento 8.5.1 Conservación de los datos por el encargado del tratamiento Capítulo 9. LOS DERECHOS DE LOS AFECTADOS 9.1 Los derechos ARCO 9.1.1 Quién puede solicitar los derechos ARCO 9.1.2 Condiciones para el ejercicio de los derechos 9.1.3 Procedimiento 9.1.4 Los derechos ante un encargado del tratamiento 9.2 Derecho de acceso 9.2.1 Ejercicio del derecho de acceso 9.2.2 Atención a la solicitud de acceso 9.2.3 Denegación del acceso 9.3 Derecho de rectificación 9.3.1 Ejercicio del derecho de rectificación 9.3.2 Atención a la rectificación 9.3.3 Denegación de la rectificación 9.4 Derecho de cancelación 9.4.1 Ejercicio del derecho de cancelación 9.4.2 Atención a la cancelación 9.4.3 Denegación de la cancelación 9.5 Derecho de oposición 9.5.1 Ejercicio del derecho de oposición 9.5.2 Atención al derecho de oposición 9.5.3 Denegación del derecho de oposición 9.6 Derecho de consulta 9.7 Derecho de impugnación de valoraciones 9.7.1 Excepciones 9.8 Derecho a indemnización 9.9 La tutela de los derechos 9.9.1 Ejecución de la resolución Capítulo 10. LAS MEDIDAS DE SEGURIDAD 10.1 Disposiciones generales 10.1.1 Niveles de seguridad 10.1.2 Encargado del tratamiento 10.1.3 Prestaciones de servicios sin acceso a datos personales. 10.1.4 Delegación de autorizaciones 10.1.5 Acceso a datos a través de redes de comunicaciones 10.1.6 Trabajo fuera de los locales del responsable del fichero o encargado del tratamiento 10.1.7 Ficheros temporales o copias de trabajo de documentos 10.2 El Documento de Seguridad 10.2.1 Contenido del Documento de Seguridad 10.2.2 Contenido en el caso de ficheros de nivel medio y alto 10.2.3 Existencia de un encargado del tratamiento 10.2.4 Actualización 10.2.5 Otra información que se debe incluir en el Documento de Seguridad 10.2.6 Conclusiones 10.3 Medidas de seguridad aplicables a ficheros y tratamientos automatizados 10.3.1 Medidas de seguridad de nivel básico. 10.3.2 Medidas de seguridad de nivel medio 10.3.3 Medidas de seguridad de nivel alto 10.4 Medidas de seguridad aplicables a ficheros y tratamientos no automatizados 10.4.1 Medidas de seguridad de nivel básico 10.4.2 Medidas de seguridad de nivel medio 10.4.3 Medidas de seguridad de nivel alto Capítulo 11. LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS 11.1 Agencia Española de Protección De Datos 11.1.1 Misión 11.1.2 Medios 11.1.3 Estructura 11.1.4 El director 11.1.5 El Consejo Consultivo 11.2 Funciones de la AEPD 11.3 El Registro General de Protección de Datos 11.4 Subdirección General de Inspección de Datos 11.4.1 La inspección 11.4.2 La instrucción 11.5 Infracciones y sanciones 11.5.1 Infracciones leves 11.5.2 Infracciones graves 11.5.3 Infracciones muy graves 11.5.4 Graduación de la cuantía de la sanción 11.5.5 Disminución del grado de la infracción 11.5.6 Apercibimiento 11.5.7 Prescripción de las infracciones 11.5.8 Prescripción de las sanciones 11.5.9 Duración del procedimiento sancionador 11.5.10 Inmovilización de ficheros Capítulo 12. MISCELÁNEA 12.1 Videovigilancia 12.1.1 Aplicación de la LOPD a los tratamientos de imágenes 12.1.2 Legitimación requerida 12.1.3 Captación y tratamiento de las imágenes 12.1.4 Videovigilancia con fines de seguridad 12.1.5 Medidas de seguridad 12.1.6 Conclusiones 12.2 Tratamientos para actividades de publicidad y prospección comercial 12.2.1 Fuentes accesibles al público 12.2.2 Información al afectado 12.2.3 Ficheros de exclusión del envío de comunicaciones comerciales 12.2.4 Ficheros comunes de exclusión 12.3 Los Códigos Tipo 12.3.1 Objetivo 12.3.2 Contenido 12.4 Transferencia Internacional de Datos 12.4.1 Norma general 12.4.2 Excepciones 12.4.3 Notificación 12.4.4 Conclusiones Capítulo 13. SEGURIDAD DE LA INFORMACIÓN 13.1 Fundamentos de la seguridad de la información 13.1.1 Introducción 13.1.2 ¿Contra qué se debe proteger la información? 13.1.3 La seguridad de la información 13.1.4 Amenazas, vulnerabilidades y riesgos 13.2 Sistema de Gestión de la Seguridad de la Información (SGSI) 13.2.1 Ventajas de gestionar la seguridad de la información 13.2.2 Qué es un Sistema de Gestión de Seguridad de la Información (SGSI) 13.2.3 Cómo se implanta un SGSI 13.2.4 Fases en la implantación de un SGSI 13.2.5 Planificación del SGSI (Plan) 13.2.6 Implantar los controles y el SGSI (Do-Hacer) 13.2.7 Revisar los controles y el SGSI (Check-Revisar) 13.2.8 Mejorar el SGSI (Act-Actuar) 13.2.9 Conclusiones 13.3 Plan de contingencias y continuidad de negocio 13.3.1 Objetivos del plan 13.3.2 Contenido 13.3.3 Análisis de impacto en el negocio 13.3.4 El impacto en el tiempo 13.3.5 Revisión del plan 13.3.6 Prueba del plan 13.3.7 Conclusiones en cuanto a la continuidad de negocio 13.4 SGSI y la Norma ISO 27001 13.4.1 La norma ISO 27002 13.4.2 La certificación del SGSI 13.4.3 Conclusiones Capítulo 14. IMPLANTACIÓN DE LA LOPD 14.1 Identificación y notificación de ficheros 14.1.1 Identificación de los ficheros 14.1.2 ¿Qué es un fichero a nivel de inscripción? 14.1.3 Notificación de los ficheros al RGPD 14.1.4 Registro de los ficheros en el RGPD 14.2 El Documento de Seguridad 14.2.1 Mantenimiento del Documento de Seguridad 14.3 Cláusulas legales 14.3.1 Cláusula informativa para recabar datos 14.4 Contratos 14.4.1 Contratos de acceso a datos 14.4.2 Prestaciones sin acceso a datos 14.4.3 Compromisos de confidencialidad con los trabajadores 14.4.4 La LOPD y los trabajadores 14.5 Protocolos ARCO Conclusiones finales Índice alfabético
Casi la totalidad de las empresas necesitan manejar datos personales para desarrollar su actividad (realizar la facturación, pagar las nóminas y seguros sociales, gestionar los clientes, lanzar campañas de marketing, etc.). Estos datos están protegidos por la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD), de obligado cumplimiento para todas ellas.
Sin embargo, la mayoría de los ciudadanos desconocen los derechos que les asisten en este ámbito, los riesgos a los que se exponen sus datos personales en Internet o el modo de retirar una información personal que les perjudica.
¿Qué debo conocer cuando introduzco mis datos en un formulario?,¿pueden ceder mis datos a otra empresa sin mi consentimiento?, ¿cómo puedo cancelar todos los datos que tiene una entidad sobre mí?, ¿cuáles son los riesgos cuando facilito datos en Internet?, ¿qué es el derecho al olvido?
Estas y otras muchas cuestiones que nos suscitan a todos los ciudadanos son respondidas en esta obra de forma clara y sencilla.
Pero no podemos olvidar que un derecho para unos lleva parejo unas obligaciones para otros. En este caso, las obligaciones son para las entidades que recogen, almacenan y utilizan los datos (profesionales, empresas, asociaciones, administraciones, comunidades de propietarios, etc.).
En estas páginas también hemos dado respuesta a sus inquietudes: qué hay que hacer y cómo hay que hacerlo para cumplir perfectamente la normativa de protección de datos y tener segura la información que manejan.