Documento de seguridad

FARMACIA

Documento de Seguridad con Nivel de Seguridad Alto para ficheros automatizados de datos de carácter personal

Nº Inscripción Nombre del Fichero Fecha de Inscripción

CLIENTES

NIF/CIFPersona o Empresa responsable del

fichero Firma

Dirección

Localidad

Provincia Almería

Teléfono

Fax

Correo electrónico

Otros PropietariosNIF Firma

Almería de de 2004

Nº de inscripción NOMBRE DE FICHEROPágina 1

ÍNDICE

1. Objeto del documento 3

2. Ámbito de aplicación 3

3. Recursos protegidos 3

4. Funciones y obligaciones del personal 4

5. Normas y procedimientos de seguridad 4

6. Gestión de incidencias 8

7. Gestión de soportes 8

8. Entrada /salida Telecomunicaciones 9

9. Procedimientos de respaldo y recuperación 9

10. Controles periódicos de verificación 10

ANEXOS

A. Documentos de notificación de creación de ficheros 12

B. Descripción de la estructura del Fichero 13

C. Descripción del Sistema informático 15

D. Entorno del sistema operativo y de comunicaciones 16

E. Locales y equipamientos 17

F. Personal autorizado para acceder al fichero 19

G. Procedimientos de control de accesos, respaldo y recuperación 20

H. Funciones y obligaciones del personal 26

I. Procedimientos de notificación y gestión de incidencias 32

J. Controles periódicos 34

K. Impreso de comprobaciones periódicas 35


1. Objeto del documento

El presente documento responde a la obligación establecida en el artículo 8 del Real Decreto 994/1999 de 11 de Junio en el que se regulan las medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal.El fichero de datos: CLIENTES, en adelante el Fichero, descrito en el documento de Notificación a la Agencia de Protección de Datos, que se adjunta en el Anexo A, se encuentra oficialmente clasificado como de nivel de seguridad ALTO, atendiendo a las condiciones descritas en el artículo 4 del Real Decreto citado, siendo por tanto aplicable a él todas las medidas de seguridad de nivel ALTO que se establecen en el Capítulo IV del citado decreto.

2. Ámbito de aplicación

Este documento ha sido elaborado bajo la responsabilidad de la persona descrita en el apartado del documento adjunto en el Anexo A, quien, como responsable del Fichero, se compromete a implantar y actualizar ésta Normativa de Seguridad de obligado cumplimiento para todo el personal con acceso a los datos protegidos o a los sistemas de información que permiten al acceso a los mismos.

Todas las personas que tengan acceso a los datos del Fichero, bien a través del sistema informático habilitado para acceder al mismo, o bien a través de cualquier otro medio automatizado de acceso al Fichero, se encuentran obligadas por ley a cumplir lo establecido en este documento, y sujetas a las consecuencias que pudieran incurrir en caso de incumplimiento.

Una copia de este documento con la parte que le afecte será entregada, para su conocimiento, a cada persona autorizada a acceder a los datos del Fichero, siendo requisito obligatorio para poder acceder a esos datos el haber firmado la recepción del mismo.

3. Recursos protegidos

La protección de los datos del Fichero frente a accesos no autorizados se deberá realizar mediante el control, a su vez, de todas las vías por las que se pueda tener acceso a dicha información.

Los recursos que, por servir de medio directo o indirecto para acceder al Fichero, deberán ser controlados por esta normativa son:

Los sistemas informáticos o aplicaciones establecidos para acceder a los datos, descritos en el Anexo B y C.

Los servidores, si los hubiese, y el entorno de sistema operativo y de comunicaciones en el que se encuentra ubicado el Fichero, que está descrito en el Anexo D.

Los puestos de trabajo, bien locales o remotos, desde los que se pueda tener acceso al Fichero. La relación de esos puestos de trabajo está descrita en el Anexo E.

Los centros de tratamiento y locales donde se encuentren ubicados los ficheros o se

almacenen los soportes que los contengan, su descripción figura en el Anexo E.Nº de inscripción NOMBRE DE FICHERO

Página 3

4. Funciones y obligaciones del personalEl personal afectado por esta normativa se clasifica en dos categorías:

1. Administradores del sistema, encargados de administrar o mantener el entorno operativo del Fichero. Este personal deberá estar explícitamente relacionado en el Anexo F, ya que por sus funciones pueden utilizar herramientas de administración que permitan el acceso a los datos protegidos saltándose las barreras de acceso de la Aplicación.

2. Usuarios del Fichero: personal que usualmente utiliza el sistema informático de acceso al Fichero, y que se encuentra explícitamente relacionado en el Anexo F.

Además del personal anteriormente citado existirá un Responsable de Seguridad del Fichero cuyas funciones serán las de coordinar y controlar las medidas definidas en el documento, sirviendo al mismo tiempo de enlace con el Responsable del Fichero, sin que esto suponga en ningún caso una delegación de la responsabilidad que corresponde a éste último, de acuerdo con el R.D. 994/1999 de 11 de Junio.Este documento es de obligado cumplimiento para todos ellos. Las funciones y obligaciones del personal están descritas en el Anexo H. Sin embargo, los administradores del sistema deberán además atenerse a aquellas normas, más extensas y estrictas, que se referencian en el Anexo G, y que atañen, entre otras, al tratamiento de los respaldos de seguridad, normas para el alta de usuarios y contraseñas, así como otras normas de obligado cumplimiento en la unidad administrativa a la que pertenece el Fichero.

5. Normas y procedimientos de seguridad

5.1 Centros de tratamiento y locales

Los locales donde se ubiquen los ordenadores que contienen el Fichero deben ser objeto de especial protección que garantice la disponibilidad y confidencialidad de los datos protegidos, especialmente en el caso de que el Fichero esté ubicado en un servidor accedido a través de una red.

5.1.1. Los locales deberán contar con los medios mínimos de seguridad que eviten los riesgos de indisponibilidad del Fichero que pudieran producirse como consecuencia de incidencias fortuitas o intencionadas. La descripción de esos medios se encuentra en el Anexo E.

5.1.2. El acceso a los locales donde se encuentre el fichero deberá estar restringido exclusivamente a los administradores del sistema que deban realizar labores de mantenimiento para las que sean imprescindibles el acceso físico.

5.2 Puestos de trabajo

Son todos aquellos dispositivos desde los cuales se puede acceder a los datos del Fichero, como, por ejemplo, terminales u ordenadores personales. La descripción de estos medios se encuentran referenciados en el Anexo E.

Se consideran también puestos de trabajo aquellos terminales de administración del sistema, como, por ejemplo, las consolas de operación, donde en algunos casos también pueden aparecer los datos protegidos del Fichero.Nº de inscripción NOMBRE DE FICHERO

Página 4

5.2.1. Cada puesto de trabajo estará bajo la responsabilidad de una persona de las autorizadas en el Anexo F, que garantizará que la información que muestra no pueda ser vista por personas no autorizadas.

5.2.2. Esto implica que tanto las pantallas como las impresoras u otro tipo de dispositivos conectados al puesto de trabajo deberán estar físicamente ubicados en lugares que garanticen esa confidencialidad.

5.2.3. Cuando el responsable de un puesto de trabajo lo abandone, bien temporalmente o bien al finalizar su turno de trabajo, deberá dejarlo en un estado que impida la visualización de los datos protegidos. Esto podrá realizarse a través de un protector de pantalla que impida la visualización de los datos. La reanudación del trabajo implicará la desactivación de la pantalla protectora con la introducción de la contraseña correspondiente.

5.2.4. En el caso de las impresoras deberá asegurarse de que no quedan documentos impresos en la bandeja de salida que contengan datos protegidos. Si las impresoras son compartidas con otros usuarios no autorizados para acceder a los datos de Fichero, los responsables de cada puesto deberán retirar los documentos conforme vayan siendo impresos.

5.2.5. Queda expresamente prohibida la conexión a redes o sistemas exteriores de los puestos de trabajo desde los que se realiza el acceso al fichero. La revocación de esta prohibición será autorizada por el responsable del fichero, quedando constancia de esta modificación en el Libro de incidencias.

5.2.6. Los puestos de trabajo desde los que se tiene acceso al fichero tendrán una configuración fija en sus aplicaciones, sistemas operativos que solo podrá ser cambiada bajo al autorización del responsable de seguridad o por administradores autorizados del anexo F.

5.3 Entorno de Sistema Operativo y de Comunicaciones

Aunque el método establecido para acceder a los datos protegidos del Fichero es el sistema informático referenciado en el Anexo C, al estar el fichero ubicado en un ordenador con un sistema operativo determinado y poder contar con unas conexiones que le comunican con otro ordenadores, es posible, para las personas que conozcan estos entornos, acceder a los datos protegidos sin pasar por los procedimientos de control de acceso con los que pueda contar la aplicación.


Esta normativa debe, por tanto, regular el uso y acceso de las partes del sistema operativo, herramientas o programas de utilidad, o del entorno de comunicaciones, de forma que se impida el acceso no autorizado a los datos de Fichero.

5.3.1. El sistema operativo y de comunicaciones del Fichero deberá tener al menos un responsable, que, como administrador deberá estar relacionado en el Anexo F.

5.3.2. Ninguna herramienta o programa de utilidad que permita el acceso al Fichero deberá ser accesible a ningún usuario o administrador no autorizado en el Anexo F. Incluyendo cualquier medio de acceso en bruto, no elaborado o editado a los datos del Fichero, como editores universales, analizadores de ficheros, etc., que deberán estar bajo el control de los administradores autorizados relacionados en el Anexo F.

5.3.3. El administrador deberá responsabilizarse de guardar en lugar protegido las copias de seguridad y respaldo del Fichero, de forma que ninguna persona no autorizada tenga acceso a las mismas.

5.3.4. Si la aplicación o sistema de acceso al Fichero utilizase usualmente ficheros temporales, ficheros de "logging", o cualquier otro medio en el que pudiesen ser grabados copias de los datos protegidos, el administrador deberá asegurarse de que esos datos no son accesibles posteriormente por personal no autorizado.

5.3.5. Si el ordenador en el que está ubicado el fichero está integrado en una red de comunicaciones de forma que desde otros ordenadores conectados a la misma sea posible acceso al Fichero, el administrador responsable del sistema deberá asegurarse de que este acceso no se permite a personas no autorizadas.

5.4 Sistema Informático o aplicaciones de acceso al Fichero

Son todos aquellos sistemas informáticos, programas o aplicaciones con las que se puede acceder a los datos del Fichero, y que son usualmente utilizados por los usuarios para acceder a ellos.

Estos sistemas pueden ser aplicaciones informáticas expresamente diseñadas para acceder al Fichero, o sistemas preprogramados de uso general como aplicaciones o paquetes disponibles en el mercado informático. Todos ellos se encuentran referenciados en el Anexo C.

5.4.1. Los sistemas informáticos de acceso al Fichero deberán tener su acceso restringido mediante un código de usuario y una contraseña.

5.4.2. Todos los usuarios autorizados para acceder al Fichero, relacionados en el Anexo F, deberán tener un código de usuario que será único, y que estará asociado a la contraseña correspondiente, que sólo será conocida por el propio usuario.

5.4.3. Si la aplicación informática que permite el acceso al Fichero no cuenta con un control de acceso, deberá ser el sistema operativo, donde se ejecuta esa aplicación, el que impida el acceso no autorizado, mediante el control de los citados códigos de usuario y contraseñas.


5.4.4. En cualquier caso se controlarán los intentos de acceso fraudulento al Fichero, limitando el número máximo de intentos fallidos, y cuando sea técnicamente posible, guardando en un fichero auxiliar la fecha , hora, código y clave erróneas que se han introducido, así como otros datos relevantes que ayuden a descubrir la autoría de esos intentos de acceso fraudulentos.

5.4.5. Si durante las pruebas anteriores a la implantación o modificación de la aplicación de acceso al Fichero se utilizasen datos reales, se deberá aplicar a esos ficheros de prueba el mismo tratamiento de seguridad que se aplica al mismo Fichero, y se deberán relacionar esos ficheros de prueba en el Anexo B.

5.4.6. De cada acceso se guardarán, como mínimo, la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado. Si se trata de un acceso autorizado, se guardara la clave del registro o bien la información que permita identificar el registro accedido.

5.4.7. El período mínimo de conservación de los datos registrados será de dos años.

5.5 Salvaguarda y protección de las contraseñas personales

Las contraseñas personales constituyen uno de los componentes básicos de la seguridad de los datos, y deben por tanto estar especialmente protegidas. Como llaves de acceso al sistema, las contraseñas deberán ser estrictamente confidenciales y personales, y cualquier incidencia que comprometa su confidencialidad deberá ser inmediatamente comunicada al administrador y subsanada en el menor plazo de tiempo posible.

5.5.1. Sólo las personas relacionadas en el Anexo F podrán tener acceso a los datos del Fichero.

5.5.2. Cada usuario será responsable de la confidencialidad de su contraseña y, en caso de que la misma sea conocida fortuita o fraudulentamente por personas no autorizadas, deberá registrarlo como incidencia y proceder inmediatamente a su cambio.

5.5.3. Las contraseñas se asignarán y se cambiarán mediante el mecanismo y periodicidad que se determina en el Anexo G.

5.5.4. El archivo donde se almacenen las contraseñas deberá estar protegido y bajo la responsabilidad del administrador del sistema.


6. Gestión de incidencias

Una incidencia es cualquier evento que pueda producirse esporádicamente y que pueda suponer un peligro para la seguridad del Fichero, entendida bajo sus tres vertientes de confidencialidad, integridad y disponibilidad de los datos.

El mantener un registro de las incidencias que comprometan la seguridad de un Fichero es una herramienta imprescindible para la prevención de posibles ataques a esa seguridad, así como para persecución de los responsables de los mismos. El procedimiento de notificación y gestión de incidencias se encuentra descrito en el Anexo I.

6.1.1. El responsable de seguridad de Fichero habilitará un Libro de Incidencias a disposición de todos los usuarios y administradores del Fichero con el fin de que se registren en él cualquier incidencia que pueda suponer un peligro para la seguridad del mismo.

6.1.2. Cualquier usuario que tenga conocimiento de una incidencia es responsable del registro de la misma en el Libro de Incidencias del Fichero o en su caso de la comunicación por escrito al responsable de seguridad o al responsable del Fichero.

6.1.3. El conocimiento y la no notificación o registro de una incidencia por parte de un usuario será considerado como una falta contra la seguridad del Fichero por parte de ese usuario.

6.1.4. La notificación o registro de una incidencia deberá constar al menos de los siguientes datos: tipo de incidencia, fecha y hora en que se produjo, persona que realiza la notificación, persona a quien se comunica, efectos que puede producir, descripción detallada de la misma. El procedimiento está descrito en el Anexo I.

7. Gestión de soportes

Soportes informáticos son todos aquellos medios de grabación y recuperación de datos que se utilizan para realizar copias o pasos intermedios en los procesos de la aplicación que gestiona el Fichero.

Dado que la mayor parte de los soportes que hoy en día se utilizan, como disquetes o CD-ROMs, son fácilmente transportables, reproducibles y/o copiables, es evidente la importancia que para la seguridad de los datos del Fichero tiene el control de estos medios. El procedimiento de respaldo, recuperación y gestión de soportes se encuentra descrito en el Anexo G.

7.1.1. Los soportes que contengan datos del Fichero, bien como consecuencia de operaciones intermedias propias de la aplicación que los trata, o bien como consecuencia de procesos periódicos de respaldo o cualquier otra operación esporádica, deberán estar claramente identificados con una etiqueta externa que indique de qué fichero se trata, que tipo de datos contiene, proceso que los ha originado y fecha de creación.

7.1.2. Aquellos medios que sean reutilizables, y que hayan contenido copias de datos del Fichero, deberán ser borrados físicamente antes de su reutilización, de forma que los datos que contenían no sean recuperables.

7.1.3. Los soportes que contengan datos del Fichero deberán ser almacenados en lugares a lo que no tengan acceso personas no autorizadas para el uso del Fichero que no estén por tanto relacionadas en el Anexo F.


7.1.4. La salida de soportes informáticos que contengan datos del Fichero fuera de los locales donde está ubicado el Fichero deberá ser expresamente autorizada por el responsable del Fichero, utilizando para ello el documento adjunto en el anexo G.

7.1.5 El responsable del Fichero mantendrá un Libro de registro de entradas y salidas donde se guardarán los formularios de entradas y de salidas de soportes descritos en el anexo G, con indicación de tipo de soporte, fecha y hora, emisor, número de soportes, tipo de información que contienen, forma de envío, destinatario, o persona responsable de la recepción que deberán estar debidamente autorizadas.

7.1.6 Cuando los soportes vayan a salir fuera de los locales en que se encuentren ubicados los ficheros como consecuencia de operaciones de mantenimiento, se adoptarán las medidas necesarias para impedir cualquier recuperación indebida de la información almacenada en ellos. Esto se realizará cifrando datos o utilizando cualquier mecanismo que garantice que dicha información no sea inteligible ni manipulada durante su transporte.

8. Entrada/salida de datos por red y Telecomunicaciones

La transmisión de datos por red, ya sea por medio de correo electrónico o mediante sistemas de transferencia de ficheros, se está convirtiendo en uno de los medios más utilizados para el envío de datos, hasta el punto de que está sustituyendo a los soportes físicos. Por ello merecen un tratamiento especial ya que, por sus características, pueden ser más vulnerables que los soportes físicos tradicionales. La descripción de estos tratamientos se encuentran referenciados en el Anexo G.

8.1.1 Todas las entradas y salidas de datos del Fichero que se efectúen mediante correo electrónico se realizarán desde una única cuenta o dirección de correo controlada por un usuario especialmente autorizado por el responsable del Fichero. Igualmente si se realiza la entrada o salida de datos mediante sistemas de transferencia de ficheros por red, únicamente un usuario o administrador estará autorizado para realizar esas operaciones.

8.1.2 Se guardarán copias de todos los correos electrónicos que involucren entradas o salidas de datos del Fichero, en directorios protegidos y bajo el control del responsable citado. Se mantendrán copias de esos correos durante al menos dos años. También se guardará durante un mínimo de dos años, en directorios protegidos, una copia de los ficheros recibidos o transmitidos por sistemas de transferencia de ficheros por red, junto con un registro de la fecha y hora en que se realizó la operación y el destino del fichero enviado.

8.1.3 La transmisión de datos de carácter personal a través de redes de telecomunicaciones se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros.

9. Procedimientos de respaldo y recuperación

La seguridad de los datos personales del Fichero no sólo supone la confidencialidad de los mismos sino que también conlleva la integridad y la disponibilidad de esos datos.

Para garantizar estos dos aspectos fundamentales de la seguridad es necesario que existan unos procesos de respaldo y de recuperación que, en caso de fallo del sistema informático, permitan recuperar y en su caso reconstruir los datos del Fichero. La descripción de estos tratamientos se encuentran referenciados en el Anexo G.Nº de inscripción NOMBRE DE FICHERO

Página 9

9.1.1. Existirá una persona, bien sea el administrador o bien otro usuario expresamente designado, que será responsable de obtener periódicamente una copia de seguridad del fichero, a efectos de respaldo y posible recuperación en caso de fallo.

9.1.2. Estas copias deberán realizarse con una periodicidad, al menos, semanal, salvo en el caso de que no se haya producido ninguna actualización de los datos.

9.1.3. En caso de fallo del sistema con pérdida total o parcial de los datos del Fichero existirá un procedimiento, informático o manual, que partiendo de la última copia de respaldo y del registro de las operaciones realizadas desde el momento de la copia, reconstruya los datos del Fichero al estado en que se encontraban en el momento del fallo. Ese procedimiento está descrito en el Anexo G.

9.1.4 Será necesaria la autorización por escrito del responsable del fichero para la ejecución de los procedimientos de recuperación de los datos, y deberá dejarse constancia en el registro de incidencias de las manipulaciones que hayan debido realizarse para dichas recuperaciones, incluyendo la persona que realizó el proceso, los datos restaurados y los datos que hayan debido ser grabados manualmente en el proceso de recuperación.

9.1.5. Deberá conservarse una copia de respaldo y de los procedimientos de recuperación de los datos en un lugar diferente de aquél en que se encuentren los equipos informáticos que los tratan cumpliendo en todo caso, las medidas de seguridad exigidas en el Reglamento.

10. Controles periódicos de verificación del cumplimiento

La veracidad de los datos contenidos en los anexos de este documento, así como el cumplimiento de las normas que contiene deberán ser periódicamente comprobados, de forma que puedan detectarse y subsanarse anomalías.

Los resultados de todos estos controles periódicos, así como de las auditorias serán adjuntadas a este documento se seguridad en el Anexo J.

Periódicamente debemos comprobar:

1. El responsable de seguridad del Fichero comprobará, que la lista de usuarios autorizados del Anexo F se corresponde con la lista de los usuarios realmente autorizados en la aplicación de acceso al Fichero, para lo que recabará la lista de usuarios y sus códigos de acceso al administrador o administradores del Fichero. Además de estas comprobaciones periódicas, el administrador comunicará al responsable de seguridad, en cuanto se produzca, cualquier alta o baja de usuarios con acceso autorizado al Fichero.

2. Se comprobará también, la existencia de copias de respaldo que permitan la recuperación de Fichero según lo estipulado en el apartado 9 de este documento.


3. Los administradores del Fichero comunicaran al responsable de seguridad cualquier cambio que se haya realizado en los datos técnicos, como por ejemplo cambios en el software o hardware, base de datos o aplicación de acceso al Fichero, procediendo igualmente a la actualización de los anexos de este documento.

4. El responsable de seguridad, verificará, con periodicidad al menos trimestral, el cumplimiento de lo previsto en los apartados 7 y 8 de este documento en relación con las entradas y salidas de datos, sean por red o en soporte magnético.

5. El responsable del fichero junto con el responsable de seguridad, analizaran con periodicidad al menos trimestral las incidencias registradas en el libro correspondiente, para independientemente de las medidas particulares que se hayan adoptado en el momento que se produjeron, adoptar las medidas correctoras que limiten esas incidencias en el futuro.

6. El responsable de seguridad se encargará de revisar periódicamente la información de control registrada y elaborará un informe de las revisiones realizadas y los problemas detectados los mecanismos que permiten el registro de accesos estarán bajo el control directo del responsable de seguridad sin que se deba permitir, en ningún caso la desactivación de los mismos.

Auditoría interna o externa al menos cada dos años.

Se realizará al menos cada dos años, una auditoria, externa o interna que dictamine el correcto cumplimiento y la adecuación de las medidas del presente documento de seguridad o las exigencias del Reglamento de seguridad, identificando las deficiencias y proponiendo las media correctoras necesarias. Los informes de auditoria serán analizados por el responsable de seguridad, quien propondrá al responsable del Fichero las medidas correctoras correspondientes.


Anexo A. Documentos de Notificación y Decretos

Documento de Notificación a la Agencia de Protección de Datos de Registro del Fichero.

Nombre del Fichero Clientes

Fecha de Entrada Nº de registro

Descripción del Fichero automatizado que contiene los datos identificativos de losFichero clientes de nuestra farmacia, así como de las ventas realizadas.

Se adjuntará aquí una copia del documento de notificación de la creación, y en su caso de las posibles modificaciones del Fichero.

Nº de inscripción NOMBRE DE FICHERO

Página 12

Anexo B. Descripción detallada de la estructura del Fichero la Base de Datos.

Ubicación física del FicheroNombre del equipo, ubicación Servidor, MostradorTipo de soporte de almacenamiento El soporte de almacenamiento es el disco duroLetra de Unidad y/o directorio C:/Nombre del fichero físico

Estructura lógica del FicheroNombre de la tabla/s o fichero/s que lo Nombre base de datos:componen Nombre de la tabla1:

Nombre de tabla 2:Relación entre tablas o ficheros que locomponenCampo Nombre tabla1 Campo Nombre tabla 2

Id-Cliente ID-LibroTipo tarifa FechaXclie-idclientefact PacienteGrupo IVA DNIDescuento NssRiesgo máximo Nº colegiadoFIS-nif Nombre colegiadoFis-nombre CódigoFis-dirección DescripciónFis-código Postal PrecioFis-Población ObservacionesFis-provincia TipoFis-Teléfono Xform-idformulaFis-fax Stock actualFis-regimen fiscal Stock finalPer-nifPer-nombrePer-direcciónPer-codigo postalPer-poblaciónPer-provinciaPer-teléfonoPer-faxXvend-idvendedorObservacionesXtipo-idtipoNassNcolXcuenta-id cuenta

Características

de los ficheros de prueba


Gestor bases de datos

Nombre, versión y/o características El que corresponda según programa del Gestor de Base de Datos


Anexo C. Descripción del sistema informático de acceso al fichero.

Descripción del Sistema Informático de acceso al FicheroEl sistema informático o aplicación de acceso al fichero es el conjunto de programas, específicamente diseñados para el caso o de propósito general, con los que normalmente se accede para consultar o actualizar los dato del Fichero.

Descripción del Sistema InformáticoNombre de la Aplicación

UnycopWin (por ejemplo)

Tipo de aplicación ( paquete standard,

programa medida)Paquete estándar de gestión

farmacéutica

Empresa o persona que lo realiza

Versión o fecha de programaciónVersión nº

Empresa que lo mantiene

Tipo de control de acceso Contraseñas e identificación de usuarios

Tipo de procedimientos de histórico de Existe un registro de accesos a datosaccesos especialmente protegidos, en el que se

registra fecha, hora, maquina, usuario,entorno al que se accede, dato

accedido,tipo de acceso y si el acceso es

aceptado odenegado.

Tipo de procedimientos de recuperación Existe un procedimiento indicado en

aquelloscasos que exista una pérdida total o

parcialde datos, partiendo de la última copia

deseguridad válida, el propio programa en

elmenú Utilidades - restauración de datos

permite elegir, qué datos queremosrestaurar.


Anexo D. Entorno de Sistema Operativo y de Comunicaciones del Fichero

Sistema Operativo instalado en el Servidor o en el PC que contiene el ficheroNombre del Equipo ServidorTipo de Equipó, servidor, PC Multipuesto Servidor Pentium IV (por ejemplo)Nombre del Sistema Operativo Windows 2000 (por ejemplo)

Versión y FabricanteMicrosoft versión 5.00 2195 (por ejemplo)

Características generales de compartición de

Fichero de clientes compartido con acceso

ficheros, recursos, control de acceso o

permitido a través de la red a los usuarios

archivos de logging.de terminales debidamente autentificados.

Responsables del mantenimiento Informática la que sea

Entorno de Comunicaciones (si existe)

Tipo de red local Red local

Red local Ethernet

Descripción física de la red Cableado Categoría 5, con terminadores(cableado, velocidad, tarjetas, ...) RJ45 conectados a un

switch 10/100 de 8 puertos. Tarjetas dered 100 Mhz.

Conexión con otras redes (tipos deNo Existe

red, periodicidad, descripción)Tipo de control de acceso al fichero Autentificación de usuario y contraseñadesde la red No se puede acceder si no es desde el

programa central.

Características de la conexión aNo existe

Internet si existe

Transmisión de datos (si existe)Tipos de transmisiones No existe No existeSistema de cifrado (si existe)PeriodicidadDestinatarioDescripción del proceso


Anexo E. Locales y equipamiento

Locales y equipamiento de los centros de tratamiento

Ubicación y Descripción de los localesLocalidad y Provincia AlmeríaDirecciónAltura BajoPuertas de acceso DosCaracterísticas generales Farmacia y ortopedia

Medidas de seguridad

Extintores, Armarios Ignífugos Extintores en todas las dependenciasCajas Fuertes 1Verjas, cerraduras Persianas eléctricas con frenoZonas de acceso restringido (detrás

Despacho y Almacénmostrador, rebotica, despacho,...)¿Existen carteles de aviso de zona

Norestringida?Otras medidas de seguridad Alarma, cámara video

Son ejemplos cada farmacia describe los equipos que tenga

Equipo 1 Equipo 2Tipo de Equipo: PC Monopuesto,

ServidorPC

Servidor, PC Multipuesto MonopuestoLocalización del equipo Mostrador MostradorTipo de Procesador y velocidad PIII 733 PIII 650

128Mb 20GB 128Mb 10GB

Sistema OperativoWindows

2000Windows

2000Conectado en red (SI/NO) Si SiPosee acceso a Internet (SI/NO) No NoPeriféricos conectados Lector C. Barras Impresora

Impresoratickets

mostradorsamsung srp

Epson lx300250

Nombre del programa de Gestión Farmatic Farmatic

Otros programas instalados¿Dispone de Protector de Pantalla? No No¿El protector lleva contraseña? No NODispone de acumulador SAI Si SiOtras observaciones


Equipos Informáticos Equipo 4Tipo de Equipo: PC Monopuesto, PC

MonopuestoServidor, PC MultipuestoLocalización del equipo DespachoTipo de Procesador y velocidad PIII 733

128Mb 20GB


2000Conectado en red (SI/NO) SiPosee acceso a Internet (SI/NO) SiPeriféricos conectados Lector C. Barras Impresora HP

710Nombre del programa de Gestión FarmaticOtros programas instalados¿Dispone de Protector de Pantalla? No¿El protector lleva contraseña? NoDispone de acumulador SAI SiOtras observaciones


Anexo F. Personal autorizado para acceder al Fichero

Las siguientes personas declaran expresamente el conocimiento de las normas de seguridad objeto de su responsabilidad aplicadas al fichero y su compromiso de cumplirlas.

RESPONSABLE DEL FICHEROPersona física o jurídica, que decida sobre la finalidad, contenido y uso del fichero.

Nombre y apellidos/ Nombre CB Cargo/funciones Fecha Fecha Firma

Alta Baja

Indalecio Almeria Almeria Propietario/Gerente

ADMINISTRADORES DEL SISTEMAResponsables informáticos con acceso a programas, datos y herramientas del sistema necesarias para resolver problemas surgidos. Tienen máximos privilegios y riesgo de que una actuación errónea afecte al sistema.

Nombre y apellidosEmpresa/Funciones Fecha Alta Fecha Firma

BajaIndalecio Almería Almería

Propietario/Gerente 18/10/2002

Indalecio Huercal Viator Técnico Unycop 18/10/2002

USUARIOS DEL FICHEROPersonal autorizado a acceder a aquellos datos y recursos que precisen para el desarrollo de sus funciones.

Nombre y Apellidos Funciones Fecha AltaFecha

FirmaBaja

Indalecia Pechina Benahadux Farmacéutica 18/10/2002

Pepita Gádor Santafe Auxiliar Diplomada 18/10/2002

Ana Terque Alhama Farmacéutica sustituta 18/10/2002


Anexo G. Procedimientos de control de accesos, respaldo recuperación

Procedimientos de control y seguridad

Procedimientos de asignación y cambios de contraseñaDescripción del sistema de acceso por

El acceso al fichero está restringido por un

contraseñasistema de contraseñas que se verificaperiódicamente y que permite tener uncontrol de accesos actualizado.

Peridiocidad de los cambiosAnual al menos

Persona/s que realizan los cambios El responsable del fichero

Personas a las que se realizaUsuarios y administradores

Procedimientos de copia de seguridadDescripción del sistema de copia de

El último día laborable de cada semana se

seguridadrealiza la copia de seguridad sobre un nuevosoporte físico que se etiqueta y fechadebidamente. Se mantiene un registro desoportes mensual y otro anual, reutilizandoaquellos soportes sobrantes que caducan.

Peridiocidad (al menos semanal, excepto si no

Semanal. Se realizan copias de seguridad

ha habido modificaciones)inmediatas en el caso de

cambios

importantes en el fichero, bien en laestructura o en los datos por orden delresponsable del fichero.

Persona que las realizaAdministrador o Usuarios autorizados

Lugar donde se guardan las copias

Caja fuerte

Procedimiento de restauración de datosDescripción del sistema de Restauración de

En caso que exista una pérdida total o

datosparcial de

datos, partiendo de la última

copia de segurid válida, e propio

ad lprograma en el menú Utilidades -restauración de datos permite

elegir, qué

datos queremos restaurar

Persona/s que realiza/n la restauraciónAdministrador del sistema o personaautorizada por elResponsable de seguridad.

Gestión de Soportes físicosTipo de Soporte de la copia CD-ROM Grabable

Tipo de etiquetadoRotulador permanente, tipo de contenido yfecha

Lugar de almacenamiento interno

Caja fuerte

Lugar de almacenamiento externo

Domicilio del Responsable del Fichero

Medidas de Seguridad adoptadas Protección contra escritura del medio,

guardado bajo llave


Método de borrado físico de datos para su Formateado Completo irrecuperable,reutilización o eliminación destrucción física

Persona/s que inventaria/nPersonal autorizado por el

responsable deseguridad

Distribución de soportes a terceras personasDescripción del procedimiento No existeMedidas de seguridad adoptadasEncargado de la distribuciónMotivo que justifica la distribuciónTipo de sistema de cifrado de datos

Entrada o Salida de datos por redTipo de red de envío (Internet,...) No existeMotivo que justifica el envíoCuenta de correo utilizadaPersona responsablePeriodicidad de los envíosMedidas de seguridad adoptadas

Se adjuntan los siguientes impresos :- Inventario de soportes. - Salida de soportes. - Entrada de soportes.


Página 21

INVENTARIO DE COPIAS DE SEGURIDAD

ALTAS DE SOPORTE BAJAS DE SOPORTE

Fecha Copia Nº Copia

Ficheros que Medidas de Método utilizado Fecha de

contiene seguridad baja

18/10/2002 1 ClientesGuardado bajo Destrucción

18/11/2002Llave


SALIDA DE SOPORTES

Cualquier salida de soportes fuera de los locales donde esta ubicado el fichero deberá ser autorizada por el responsable del fichero de acuerdo con el documento que se adjunta.El responsable del fichero mantendrá un Libro en el que registrará las salidas de soportes, cuyos asientos estarán constituidos por los documentos de autorización de salida debidamente cumplimentados. La persona responsable de la entrega de soportes estará debidamente autorizada por el responsable del fichero.


REGISTRO Y AUTORIZACIÓN DE SALIDA DE SOPORTES

Fecha y hora de salida del soporte

SOPORTE

Tipo de soporte y número

Contenido

Ficheros de donde proceden los datos

Fecha de creación

FINALIDAD Y DESTINO

Finalidad

Destino

Destinatario

FORMA DE ENVÍO

Medio de envío

Remitente

Precauciones para el transporte

AUTORIZACIÓN

Persona responsable de la entrega

Persona que autoriza

Cargo / Puesto

Observaciones

Firma


Página 24

ENTRADA DE SOPORTES

El responsable del fichero mantendrá un Libro en el que registrará las entradas de soportes cuyos asientos estarán constituidos por los datos recogidos en el formulario que se adjunta.La persona responsable de la recepción de soportes estará debidamente autorizada por el responsable del fichero.

REGISTRO DE ENTRADA DE SOPORTES

Fecha y hora de entrada de soporte

SOPORTE

Tipo de soporte y número

Contenido

Fecha de creación

ORIGEN Y FINALIDAD

Finalidad

Origen

FORMA DE ENVÍO

Medio de envío

Remitente

Precauciones para el transporte

AUTORIZACIÓN

Persona responsable de la recepción

Cargo / Puesto

Observaciones

Firma


Anexo H. Funciones y obligaciones del personal

FUNCIONES DEL RESPONSABLE DEL FICHERO

El responsable del fichero es el encargado jurídicamente de la seguridad del fichero y de las medidas establecidas en el presente documento, implantará las medidas de seguridad establecidas en él y adoptará las medidas necesarias para que el personal afectado por este documento conozca las normas que afecten al desarrollo de sus funciones.

Sus obligaciones consisten en :

Implantar las medidas de seguridad establecidas en este documento.

Garantizar que el personal tenga conocimiento y acepte el cumplimiento de las normas de seguridad.

Mantener actualizado el documento de seguridad siempre que se produzcan cambios relevantes en el sistema de información o en la organización del mismo.

Adecuar en todo momento el contenido del mismo a las disposiciones vigentes en materia de seguridad.

Aprobar o designar al administrador que se responsabilizará del sistema operativo y de comunicaciones que deberá estar relacionado en el Anexo F.

Asegurar que solo las personas relacionadas en el Anexo F puedan tener acceso a los datos del Fichero, estableciendo un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado, limitando el número de accesos reiterados no autorizados.

Restringir el acceso de cada usuario a aquellos datos que precise para el desarrollo de sus funciones, limitando la posibilidad de conceder, alterar o anular la autorización de acceso al personal autorizado para ello.

Garantizar la existencia de un registro de accesos durante al menos dos años, que guarde la identificación del usuario, fecha

y hora, fichero accedido, tipo de acceso y si ha sido autorizado o denegado, en caso de accesos autorizados se guardarán también los registros accedidos.

Autorizar expresamente la salida o entrada de los datos del fichero fuera de los locales, bien en soporte magnético o bien por telecomunicaciones, cifrando dichos datos o estableciendo algún mecanismo de seguridad que garantice que la información no sea inteligible ni manipulada.

Verificar la definición y correcta aplicación de las copias de respaldo y recuperación de los datos. Las copias se realizarán al menos semanalmente, salvo que no se haya producido en ese periodo ninguna actualización de los datos. Se conservará una copia de respaldo en un lugar diferente al de la ubicación de los equipos informáticos.

Autorizar por escrito la ejecución de los procedimientos de recuperación de los datos, dejando constancia en el registro de incidencias de las manipulaciones que hayan debido


Página 26

realizarse para dichas recuperaciones, incluyendo la persona que realizó el proceso, los datos restaurados y los datos que hayan debido ser grabados manualmente en el proceso de recuperación.

Analizar las incidencias registradas en el libro de incidencias junto con el responsable de seguridad, para independientemente de las medidas particulares que se hayan adoptado, poner las medidas correctoras que limiten esas incidencias en el futuro.

Garantizar la realización de una auditoría, externa o interna, al menos cada dos años, que dictamine el correcto cumplimiento y adecuación de las medidas del presente documento de seguridad o las exigencias del Reglamento de seguridad, identificando deficiencias y proponiendo medidas correctoras, que serán propuestas por el responsable de seguridad al responsable del fichero, previo examen del informe de auditoría.

Adjuntar los resultados de los controles periódicos y auditorías al Anexo J de este documento de seguridad.

FUNCIONES DEL RESPONSABLE DE SEGURIDAD

Es el encargado de coordinar y controlar las medidas definidas en el presente

documento. Obligaciones Generales

Coordinar la puesta en marcha de las medidas de seguridad.

Colaborar en la difusión del Documento de seguridad con el responsable del fichero.

Cooperar controlando el cumplimiento de las medidas de seguridad con el responsable del fichero.

Habilitar un Libro de Incidencias a disposición de todos los usuarios y administradores del Fichero con el fin de que se registren en él cualquier incidencia que pueda suponer un peligro para la seguridad del mismo.

Obligaciones periódicas

Comprobar la lista de usuarios autorizados en la aplicación para acceder al fichero, para lo cual recabará la lista de usuarios y sus códigos de acceso al administrador o administradores del Fichero.Además de estas comprobaciones periódicas, el administrador comunicará al responsable de seguridad, en cuanto se produzca, cualquier alta o baja de usuarios con acceso autorizado al Fichero.

Comprobar la existencia de copias de respaldo que permitan la recuperación de Fichero.

Recibir comunicación, por parte de los administradores del Fichero, de cualquier cambio realizado en los datos técnicos de los anexos procediendo a su actualización. Por ejemplo, cambios en el software o hardware, base de datos o aplicación de acceso al Fichero.


Verificar el cumplimiento de las medidas de seguridad previstas en relación con las entradas y salidas de datos, sean por red o en soporte magnético.

Analizar junto al Responsable del Fichero, las incidencias registradas en el libro correspondiente, para independientemente de las medidas particulares que se hayan adoptado en el momento que se produjeron, poner las medidas correctoras que limiten esas incidencias en el futuro.

Controlar directamente los mecanismos que permiten el registro de accesos sin permitir, en ningún caso, la desactivación de los mismos, revisando periódicamente la información de control registrada.

Obligación cada dos años

Realizar una auditoría externa o interna que dictamine el correcto cumplimiento y adecuación de las medidas de seguridad del presente documento o las exigencias del Reglamento de seguridad, identificando las deficiencias y proponiendo las media correctoras necesarias. Los informes de auditoría serán analizados por el responsable de seguridad, quien propondrá al responsable del Fichero las medidas correctoras correspondientes.

Los resultados de todos estos controles periódicos, así como de las auditorías serán adjuntados a estedocumento de seguridad en el Anexo J.

ADMINISTRADORES DEL SISTEMA

Los administradores resuelven incidencias producidas en el sistema de tratamiento del fichero (aplicación, sistema informático, red,...). Las labores de reparación, mantenimiento y actualización se realizaran por el personal con máximos privilegios y máximo riesgo de que una actuación errónea pueda afectar al sistema.En caso de incidencias técnicas que detengan la producción y no exista un personal técnico que se pueda relacionar de forma directa con el fichero o sistema informático, podrá intervenir otro personal técnico que pueda ser identificable con posterioridad a la intervención, dejando constancia de ello en el Reglamento de Incidencias.

Obligaciones de los administradores:

AccesibilidadAsegurar que ninguna herramienta o programa de utilidad que permita el acceso al Fichero deberá ser accesible a ningún usuario o administrador no autorizado en el Anexo F. En esta norma se incluye cualquier medio de acceso en bruto, es decir no elaborado o editado, a los datos del Fichero, como editores universales, analizadores de ficheros, etc., que deberán estar bajo el control de administradores autorizados.Asegurar que los datos de la aplicación contenidos en posibles ficheros temporales, ficheros de "logging", o cualquier otro medio en el que pudiesen ser grabados copias de los datos protegidos, no sean accesibles posteriormente por personal no autorizado.


Asegurar que no accedan al Fichero personas no autorizadas a través de otros ordenadores que formen parte de una red de comunicaciones, desde la cual pueda ser accesible el ordenador donde está ubicado el Fichero.En caso de que la aplicación informática que permite el acceso al Fichero no cuente con un control de acceso, deberá ser el sistema operativo, donde se ejecuta esa aplicación el que impida el acceso no autorizado, mediante el control de códigos de usuario y contraseñas.Se controlarán los intentos de acceso fraudulento al Fichero, limitando el número máximo de intentos fallidos y, cuando sea técnicamente posible, guardando en un fichero auxiliar la fecha, hora, código y clave erróneas que se han introducido, así como otros datos relevantes que ayuden a descubrir la autoría de esos intentos de acceso fraudulentos.En caso de utilizar datos de prueba, previamente a la implantación o modificación de la aplicación de acceso al fichero, deberán de no ser datos reales y se deberán relacionar esos ficheros de prueba en el Anexo B

Autorización y AutentificaciónSe responsabilizará del mecanismo de asignación y distribución de las contraseñas, garantizando la confidencialidad de las mismas. Las contraseñas se asignarán y se cambiarán mediante el mecanismo y periodicidad que se determina en el Anexo G. El archivo donde se almacenen las contraseñas deberá estar protegido y bajo la responsabilidad del administrador del sistema.

Copias de respaldo y restauración de datosEl administrador o bien otro usuario expresamente designado, será responsable de obtener periódicamente una copia de seguridad del fichero, a efectos de respaldo y posible recuperación en caso de fallo. Estas copias deberán realizarse con una periodicidad, al menos semanal, salvo en el caso de que no se haya producido ninguna actualización de los datos en cuyo caso la periodicidad podrá ser mayor.Responsabilizarse de guardar en lugar protegido las copias de seguridad y respaldo del Fichero, de forma que ninguna persona no autorizada tenga acceso a las mismas.Asegurar que en caso de fallo del sistema con pérdida total o parcial de los datos del Fichero existirá un procedimiento, informático o manual, que partiendo de la última copia de respaldo y del registro de las operaciones realizadas desde el momento de la copia, reconstruya los datos del Fichero al estado en que se encontraban en el momento del fallo. Ese procedimiento está descrito en el Anexo G.El administrador precisará de la autorización por escrito del responsable del fichero para la ejecución de los procedimientos de recuperación de los datos, y deberá dejarse constancia en el registro de incidencias de las manipulaciones que hayan debido realizarse para dichas recuperaciones, incluyendo la persona que realizó el proceso, los datos restaurados y los datos que hayan debido ser grabados manualmente en el proceso de recuperación.VerificacionesComunicar al responsable de seguridad cualquier cambio que se haya realizado en los datos técnicos de los anexo s, como por ejemplo cambios en el software o hardware, base de datos o aplicación de acceso al Fichero, procediendo igualmente a la actualización de dichos anexos.Ofrecer la lista de usuarios del Anexo F, al responsable de seguridad del Fichero para que compruebe la integridad de la lista de usuarios autorizados para acceder al fichero. El administrador comunicará al responsable de seguridad, , cualquier alta o baja de usuarios con acceso autorizado alFichero.


OBLIGACIONES QUE AFECTAN A TODO EL PERSONAL

Puestos de trabajo

Los puestos de trabajo estarán bajo la responsabilidad de algún usuario autorizado que garantizará que la información que muestran no pueda ser visible por personas no autorizadas. Esto implica que tanto las pantallas como las impresoras u otro tipo de dispositivos conectados al puesto de trabajo deberán estar físicamente ubicados en lugares que garanticen esa confidencialidad.Cuando el responsable de un puesto de trabajo lo abandone, bien temporalmente o bien al finalizar su turno de trabajo, deberá dejarlo en un estado que impida la visualización de los datos protegidos. Esto podrá realizarse a través de un protector de pantalla que impida la visualización de los datos. La reanudación del trabajo implicará la desactivación de la pantalla protectora con la introducción de una contraseña.

Impresoras.

Asegurarse de que no quedan documentos impresos en la bandeja de salida que contengan datos protegidos. Si las impresoras son compartidas con otros usuarios no autorizados para acceder a los datos de Fichero, los responsables de cada puesto deberán retirar los documentos conforme vayan siendo impresos.

Redes de telecomunicaciones

Queda expresamente prohibida la conexión a redes o sistemas exteriores de los puestos de trabajo desde los que se realiza el acceso al fichero. La revocación de esta prohibición será autorizada por el responsable del fichero, quedando constancia de esta modificación en el Libro de incidencias.Los puestos de trabajo desde los que se tiene acceso al fichero tendrán una configuración fija en sus aplicaciones, sistemas operativos que solo podrá ser cambiada bajo al autorización del responsable de seguridad o por administradores autorizados del anexo F.

Salvaguarda y protección de las contraseñas personales

Cada usuario será responsable de la confidencialidad de su contraseña y, en caso de que la misma sea conocida fortuita o fraudulentamente por personas no autorizadas, deberá registrarlo como incidencia y proceder a su cambio.

Gestión de incidenciasCualquier usuario que tenga conocimiento de una incidencia es responsable de la comunicación de la misma al administrador del sistema, o en su caso del registro de la misma en el sistema de registro de incidencias del Fichero. El conocimiento y la no notificación de una incidencia por parte de un usuario será considerado como una falta contra la seguridad del Fichero por parte de ese usuario.

Gestión de soportesLos soportes que contengan datos del Fichero, bien como consecuencia de operaciones intermedias propias de la aplicación que los trata, o bien como consecuencia de procesos periódicos de respaldo o cualquier otra operación esporádica, deberán estar claramente


identificados con una etiqueta externa que indique de qué fichero se trata, que tipo de datos contiene, proceso que los ha originado y fecha de creación.Aquellos medios que sean reutilizables, y que hayan contenido copias de datos del Fichero, deberán ser borrados físicamente antes de su reutilización, de forma que los datos que contenían no sean recuperables.Los soportes que contengan datos del Fichero deberán ser almacenados en lugares a lo que no tengan acceso personas no autorizadas para el uso del Fichero que no estén por tanto relacionadas en el Anexo F.Se deberán registrar las salidas o entradas de datos del Fichero por medio de soportes o una red de telecomunicaciones, permitiendo identificar su origen, tipo de datos, formato, fecha y hora del envío y destinatario. Estos envíos se realizarán encriptando el fichero o estableciendo algún mecanismo que permita que la información no sea inteligible o manipulada y solo puedan ser leídos e interpretados por el destinatarios .


Anexo I. Procedimiento de Notificación y gestión de incidencias

Cuando ocurra una incidencia, el usuario o administrador deberá registrarla en el Libro de Incidencias o comunicarla al Responsable de seguridad para que a su vez proceda a su registro.

Entre las posibles incidencias a reflejar en estos documentos pueden estar aquellas producidas por:

• Virus informáticos • Errores de hadware/Sofware • Perdidas totales o parciales de información • Robos de información • Agentes externos: inundaciones, incendios, etc. • Accesos no controlados • Agujeros de seguridad • Peticiones de los afectados en materia de protección de

datos

A continuación se adjunta el impreso de notificación manual que podrá ser utilizado para la notificación de incidencias.


Impreso de notificación de incidencias

Incidencia Nº: |_______| ( Este número será rellenado por elResponsable de seguridad)

Fecha de notificación: /__/__/____/

Tipo de incidencia:

Descripción detallada de la incidencia:

Fecha y hora en que se produjo la incidencia:

Persona(s) a quien(es) se comunica:

Efectos que puede producir: (En caso de no subsanación o incluso independientemente de ella)

Recuperación de Datos :( A rellenar sólo si la incidencia es de este tipo)

Procedimiento realizado:

Datos restaurados:

Datos grabados manualmente:

Persona que ejecutó el proceso:

Firma del Responsable del fichero:

Fdo ____________________________

Persona que realiza la comunicación:Fdo.:___________________________


Anexo J. Controles periódicos y auditorias

Las normas contenidas en este documento deben ser periódicamente comprobadas con el fin de detectar y evitar posibles anomalías en el cumplimiento de las medidas de seguridad.

Estas comprobaciones consistirán :

1.El estado de actualización de la lista de personas autorizadas para acceder al fichero.

2. La existencia de copias de respaldo que permitan la recuperación del Fichero.

3. Actualización de este documento en base a los cambios técnicos (software, hardware, base de datos o aplicación de acceso al Fichero).

4. Cumplimiento de la normativa en relación con las entradas y salidas de datos, sea por red o soporte magnético.

5. Estudio de las incidencias registradas en el libro correspondiente y la idoneidad de las medidas adoptadas para su corrección.

6. Revisión de la información de control registrada y del control de accesos, elaboración del informe de los problemas detectados.

7. Adjuntar los documentos de auditorías que se realicen, tanto si se realizan internamente como si se contratan a nivel externo, comprobando las deficiencias y proponiendo las medidas correctoras oportunas.

Nº de inscripción

NOMBRE DE FICHEROPágina 34

Impreso de comprobaciones periódicas

Comprobación nº: FechaPersona(s) que realiza(n) la comprobación: (Tipo

de relación con el fichero)

Indalecio Almería Almería – Responsable del FicheroComprobaciones realizadas SI NO

La lista de personas autorizadas para acceder al fichero se encuentraactualizada.Resultados La Comprobación ha resultado satisfactoriaExisten copias de respaldo que permiten la recuperación.Resultados La Comprobación ha resultado satisfactoriaEl documento de seguridad se encuentra actualizado.Resultados La Comprobación ha resultado satisfactoriaSe cumple la normativa en relación con las entradas y salidas de datos.Resultados La Comprobación ha resultado satisfactoriaSe estudian las incidencias producidas y las medidas adoptadas son las idóneas.Resultados La Comprobación ha resultado satisfactoriaSe revisa la información de control registrada y el control de accesos.Resultados La Comprobación ha resultado satisfactoriaSe realiza auditoría bianual al menos y se adjunta el informe a este documento.Otras comprobaciones realizadas :No existen

Resultados generales :El funcionamiento de las medidas de seguridad es el idóneo

Responsable de Seguridad :Responsable del fichero :

Fdo ____________________________ Fdo ____________________________


FARMACIA

Documento de Seguridad con Nivel de Seguridad Bajo para ficheros automatizados de datos de carácter personal

Nº Inscripción Nombre del Fichero Fecha de Inscripción

PROVEEDORES 18/10/2002

NIF/CIFPersona o Empresa responsable del

fichero Firma

Dirección

Localidad

Código Postal Provincia Almería

Teléfono

Fax

Correo electrónico

Otros PropietariosNIF Firma

Almería 18 de Octubre de 2002


PROVEEDORES de la Farmacia Página 36

ÍNDICE

1. Objeto del documento 38

2. Ámbito de aplicación 38

3. Recursos protegidos 38

4. Funciones y obligaciones del personal 39

5. Normas y procedimientos de seguridad 39

6. Gestión de incidencias 42

7. Gestión de soportes 43

8. Entrada /salida Telecomunicaciones 43

9. Procedimientos de respaldo y recuperación 44

ANEXOS

A. Documentos de notificación de creación de ficheros 45

B. Descripción de la estructura del Fichero 46

C. Descripción del Sistema informático 48

D. Entorno del sistema operativo y de comunicaciones 49

E. Locales y equipamientos 50

F. Personal autorizado para acceder al fichero 52

G. Procedimientos de control de accesos, respaldo y recuperación 53

H. Funciones y obligaciones del personal 56

I. Procedimientos de notificación y gestión de incidencias 60

J. Controles periódicos 61

K. Impreso de comprobaciones periódicas 63

Nº de inscripción NOMBRE DE FICHEROPROVEEDORES de la Farmacia Página 37

1. Objeto del documento

El presente documento responde a la obligación establecida en el artículo 8 del Real Decreto 994/1999 de 11 de Junio en el que se regulan las medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal.

El fichero de datos: PROVEEDORES, en adelante el Fichero, descrito en el documento de Notificación a la Agencia de Protección de Datos, que se adjunta en el Anexo A, se encuentra oficialmente clasificado como de nivel de seguridad BÁSICO , atendiendo a las condiciones descritas en el artículo 4 del Real Decreto citado, siendo por tanto aplicable a él todas las medidas de seguridad de nivel BÁSICO que se establecen en el Capítulo II del citado decreto.

2. Ámbito de aplicación

Este documento ha sido elaborado bajo la responsabilidad de la persona descrita en el apartado del documento adjunto en el Anexo A, quien, como responsable del Fichero, se compromete a implantar y actualizar ésta Normativa de Seguridad de obligado cumplimiento para todo el personal con acceso a los datos protegidos o a los sistemas de información que permiten al acceso a los mismos.

Todas las personas que tengan acceso a los datos del Fichero, bien a través del sistema informático habilitado para acceder al mismo, o bien a través de cualquier otro medio automatizado de acceso al Fichero, se encuentran obligadas por ley a cumplir lo establecido en este documento, y sujetas a las consecuencias que pudieran incurrir en caso de incumplimiento.

Una copia de este documento con la parte que le afecte será entregada, para su conocimiento, a cada persona autorizada a acceder a los datos del Fichero, siendo requisito obligatorio para poder acceder a esos datos el haber firmado la recepción del mismo.

3. Recursos protegidos

La protección de los datos del Fichero frente a accesos no autorizados se deberá realizar mediante el control, a su vez, de todas las vías por las que se pueda tener acceso a dicha información.Los recursos que, por servir de medio directo o indirecto para acceder al Fichero, deberán ser controlados por esta normativa son:

Los sistemas informáticos o aplicaciones establecidos para acceder a los datos, descritos en el Anexo B y C.

Los servidores, si los hubiese, y el entorno de sistema operativo y de comunicaciones en el que se encuentra ubicado el Fichero, que está descrito en el Anexo D.

Los puestos de trabajo, bien locales o remotos, desde los que se pueda tener acceso al Fichero. La relación de esos puestos de trabajo está descrita en el Anexo E.

Los centros de tratamiento y locales donde se encuentren ubicados los ficheros o se

almacenen los soportes que los contengan, su descripción figura en el Anexo E.Nº de inscripción NOMBRE DE FICHERO


4. Funciones y obligaciones del personalEl personal afectado por esta normativa se clasifica en dos categorías:

2. Administradores del sistema, encargados de administrar o mantener el entorno operativo del Fichero. Este personal deberá estar explícitamente relacionado en el Anexo F, ya que por sus funciones pueden utilizar herramientas de administración que permitan el acceso a los datos protegidos saltándose las barreras de acceso de la Aplicación.

2. Usuarios del Fichero: personal que usualmente utiliza el sistema informático de acceso al Fichero, y que se encuentra explícitamente relacionado en el Anexo F.

Este documento es de obligado cumplimiento para todos ellos. Las funciones y obligaciones del personal están descritas en el Anexo H. Sin embargo, los administradores del sistema deberán además atenerse a aquellas normas, más extensas y estrictas, que se referencian en el Anexo G, y que atañen, entre otras, al tratamiento de los respaldos de seguridad, normas para el alta de usuarios y contraseñas, así como otras normas de obligado cumplimiento en la unidad administrativa a la que pertenece el Fichero.

5. Normas y procedimientos de seguridad

5.1 Centros de tratamiento y locales

Los locales donde se ubiquen los ordenadores que contienen el Fichero deben ser objeto de especial protección que garantice la disponibilidad y confidencialidad de los datos protegidos, especialmente en el caso de que el Fichero esté ubicado en un servidor accedido a través de una red.

5.1.1. Los locales deberán contar con los medios mínimos de seguridad que eviten los riesgos de indisponibilidad del Fichero que pudieran producirse como consecuencia de incidencias fortuitas o intencionadas. La descripción de esos medios se encuentra en el Anexo E.

5.1.2. El acceso a los locales donde se encuentre el fichero deberá estar restringido exclusivamente a los administradores del sistema que deban realizar labores de mantenimiento para las que sean imprescindibles el acceso físico.

5.2 Puestos de trabajo

Son todos aquellos dispositivos desde los cuales se puede acceder a los datos del Fichero, como, por ejemplo, terminales u ordenadores personales. La descripción de estos medios se encuentran referenciados en el Anexo E.

Se consideran también puestos de trabajo aquellos terminales de administración del sistema, como, por ejemplo, las consolas de operación, donde en algunos casos también pueden aparecer los datos protegidos del Fichero.

5.2.1. Cada puesto de trabajo estará bajo la responsabilidad de una persona de las autorizadas en el Anexo F, que garantizará que la información que muestra no pueda ser vista por personas no autorizadas.


5.2.2. Esto implica que tanto las pantallas como las impresoras u otro tipo de dispositivos conectados al uesto de trabajo deberán estar físicamente ubicados en lugares que garanticen esa confidencialidad.

5.2.3. Cuando el responsable de un puesto de trabajo lo abandone, bien temporalmente o bien al finalizar su turno de trabajo, deberá dejarlo en un estado que impida la visualización de los datos protegidos. Esto podrá realizarse a través de un protector de pantalla que impida la visualización de los datos. La reanudación del trabajo implicará la desactivación de la pantalla protectora con la introducción de la contraseña correspondiente.

5.2.4. En el caso de las impresoras deberá asegurarse de que no quedan documentos impresos en la bandeja de salida que contengan datos protegidos. Si las impresoras son compartidas con otros usuarios no autorizados para acceder a los datos de Fichero, los responsables de cada puesto deberán retirar los documentos conforme vayan siendo impresos.

5.2.7. Queda expresamente prohibida la conexión a redes o sistemas exteriores de los puestos de trabajo desde los que se realiza el acceso al fichero. La revocación de esta prohibición será autorizada por el responsable del fichero, quedando constancia de esta modificación en el Libro de incidencias.

5.2.8. Los puestos de trabajo desde los que se tiene acceso al fichero tendrán una configuración fija en sus aplicaciones, sistemas operativos que solo podrá ser cambiada bajo al autorización del responsable de seguridad o por administradores autorizados del anexo F.

5.3 Entorno de Sistema Operativo y de Comunicaciones

Aunque el método establecido para acceder a los datos protegidos del Fichero es el sistema informático referenciado en el Anexo C, al estar el fichero ubicado en un ordenador con un sistema operativo determinado y poder contar con unas conexiones que le comunican con otro ordenadores, es posible, para las personas que conozcan estos entornos, acceder a los datos protegidos sin pasar por los procedimientos de control de acceso con los que pueda contar la aplicación.


Esta normativa debe, por tanto, regular el uso y acceso de las partes del sistema operativo, herramientas o programas de utilidad, o del entorno de comunicaciones, de forma que se impida el acceso no autorizado a los datos de Fichero.

5.3.6. El sistema operativo y de comunicaciones del Fichero deberá tener al menos un responsable, que, como administrador deberá estar relacionado en el Anexo F.

5.3.7. Ninguna herramienta o programa de utilidad que permita el acceso al Fichero deberá ser accesible a ningún usuario o administrador no autorizado en el Anexo F. Incluyendo cualquier medio de acceso en bruto, no elaborado o editado a los datos del Fichero, como editores universales, analizadores de ficheros, etc., que deberán estar bajo el control de los administradores autorizados relacionados en el Anexo F.

5.3.8. El administrador deberá responsabilizarse de guardar en lugar protegido las copias de seguridad y respaldo del Fichero, de forma que ninguna persona no autorizada tenga acceso a las mismas.

5.3.9. Si la aplicación o sistema de acceso al Fichero utilizase usualmente ficheros temporales, ficheros de "logging", o cualquier otro medio en el que pudiesen ser grabados copias de los datos protegidos, el administrador deberá asegurarse de que esos datos no son accesibles posteriormente por personal no autorizado.

5.3.10.Si el ordenador en el que está ubicado el fichero está integrado en una red de comunicaciones de forma que desde otros ordenadores conectados a la misma sea posible acceso al Fichero, el administrador responsable del sistema deberá asegurarse de que este acceso no se permite a personas no autorizadas.

5.4 Sistema Informático o aplicaciones de acceso al Fichero

Son todos aquellos sistemas informáticos, programas o aplicaciones con las que se puede acceder a los datos del Fichero, y que son usualmente utilizados por los usuarios para acceder a ellos.

Estos sistemas pueden ser aplicaciones informáticas expresamente diseñadas para acceder al Fichero, o sistemas preprogramados de uso general como aplicaciones o paquetes disponibles en el mercado informático. Todos ellos se encuentran referenciados en el Anexo C.

5.4.1. Los sistemas informáticos de acceso al Fichero deberán tener su acceso restringido mediante un código de usuario y una contraseña.

5.4.2. Todos los usuarios autorizados para acceder al Fichero, relacionados en el Anexo F, deberán tener un código de usuario que será único, y que estará asociado a la contraseña correspondiente, que sólo será conocida por el propio usuario.

5.4.3. Si la aplicación informática que permite el acceso al Fichero no cuenta con un control de acceso, deberá ser el sistema operativo, donde se ejecuta esa aplicación, el que impida el acceso no autorizado, mediante el control de los citados códigos de usuario y contraseñas.


5.5 Salvaguarda y protección de las contraseñas personales

Las contraseñas personales constituyen uno de los componentes básicos de la seguridad de los datos, y deben por tanto estar especialmente protegidas. Como llaves de acceso al sistema, las contraseñas deberán ser estrictamente confidenciales y personales, y cualquier incidencia que comprometa su confidencialidad deberá ser inmediatamente comunicada al administrador y subsanada en el menor plazo de tiempo posible.

5.5.1. Sólo las personas relacionadas en el Anexo F podrán tener acceso a los datos del Fichero.

5.5.2. Cada usuario será responsable de la confidencialidad de su contraseña y, en caso de que la misma sea conocida fortuita o fraudulentamente por personas no autorizadas, deberá registrarlo como incidencia y proceder inmediatamente a su cambio.

5.5.3. Las contraseñas se asignarán y se cambiarán mediante el mecanismo y periodicidad que se determina en el Anexo G.

5.5.4. El archivo donde se almacenen las contraseñas deberá estar protegido y bajo la responsabilidad del administrador del sistema.

6. Gestión de incidencias

Una incidencia es cualquier evento que pueda producirse esporádicamente y que pueda suponer un peligro para la seguridad del Fichero, entendida bajo sus tres vertientes de confidencialidad, integridad y disponibilidad de los datos.

El mantener un registro de las incidencias que comprometan la seguridad de un Fichero es una herramienta imprescindible para la prevención de posibles ataques a esa seguridad, así como para persecución de los responsables de los mismos. El procedimiento de notificación y gestión de incidencias se encuentra descrito en el Anexo I.

6.1.1. El responsable de seguridad de Fichero habilitará un Libro de Incidencias a disposición de todos los usuarios y administradores del Fichero con el fin de que se registren en él cualquier incidencia que pueda suponer un peligro para la seguridad del mismo.

6.1.2. Cualquier usuario que tenga conocimiento de una incidencia es responsable del registro de la misma en el Libro de Incidencias del Fichero o en su caso de la comunicación por escrito al responsable de seguridad o al responsable del Fichero.

6.1.3. El conocimiento y la no notificación o registro de una incidencia por parte de un usuario será considerado como una falta contra la seguridad del Fichero por parte de ese usuario.

6.1.4. La notificación o registro de una incidencia deberá constar al menos de los siguientes datos: tipo de incidencia, fecha y hora en que se produjo, persona que realiza la notificación, persona a quien se comunica, efectos que puede producir, descripción detallada de la misma.


7. Gestión de soportes

Soportes informáticos son todos aquellos medios de grabación y recuperación de datos que se utilizan para realizar copias o pasos intermedios en los procesos de la aplicación que gestiona el Fichero.

Dado que la mayor parte de los soportes que hoy en día se utilizan, como disquetes o CD-ROMs, son fácilmente transportables, reproducibles y/o copiables, es evidente la importancia que para la seguridad de los datos del Fichero tiene el control de estos medios. El procedimiento de respaldo, recuperación y gestión de soportes se encuentra descrito en el Anexo G.

7.1.1. Los soportes que contengan datos del Fichero, bien como consecuencia de operaciones intermedias propias de la aplicación que los trata, o bien como consecuencia de procesos periódicos de respaldo o cualquier otra operación esporádica, deberán estar claramente identificados con una etiqueta externa que indique de qué fichero se trata, que tipo de datos contiene, proceso que los ha originado y fecha de creación.

7.1.2. Aquellos medios que sean reutilizables, y que hayan contenido copias de datos del Fichero, deberán ser borrados físicamente antes de su reutilización, de forma que los datos que contenían no sean recuperables.

7.1.3. Los soportes que contengan datos del Fichero deberán ser almacenados en lugares a lo que no tengan acceso personas no autorizadas para el uso del Fichero que no estén por tanto relacionadas en el Anexo F.

7.1.4. La salida de soportes informáticos que contengan datos del Fichero fuera de los locales donde está ubicado el Fichero deberá ser expresamente autorizada por el responsable del Fichero, utilizando para ello el documento adjunto en el anexo G.

8. Procedimientos de respaldo y recuperación

La seguridad de los datos personales del Fichero no sólo supone la confidencialidad de los mismos sino que también conlleva la integridad y la disponibilidad de esos datos.

Para garantizar estos dos aspectos fundamentales de la seguridad es necesario que existan unos procesos de respaldo y de recuperación que, en caso de fallo del sistema informático, permitan recuperar y en su caso reconstruir los datos del Fichero. La descripción de estos tratamientos se encuentran referenciados en el Anexo G.

8.1 Existirá una persona, bien sea el administrador o bien otro usuario expresamente designado, que será responsable de obtener periódicamente una copia de seguridad del fichero, a efectos de respaldo y posible recuperación en caso de fallo.

8.2 Estas copias deberán realizarse con una periodicidad, al menos, semanal, salvo en el caso de que no se haya producido ninguna actualización de los datos.

8.3 En caso de fallo del sistema con pérdida total o parcial de los datos del Fichero existirá un procedimiento, informático o manual, que partiendo de la última copia de respaldo y del registro de las operaciones realizadas desde el momento de la copia, reconstruya los datos del Fichero al estado en que se encontraban en el momento del fallo. Ese procedimiento está descrito en el Anexo G.


9. Controles periódicos de verificación del cumplimiento

La veracidad de los datos contenidos en los anexos de este documento, así como el cumplimiento de las normas que contiene deberán ser periódicamente comprobados, de forma que puedan detectarse y subsanarse anomalías.

Los resultados de todos estos controles periódicos, así como de las auditorias serán adjuntadas a este documento se seguridad en el Anexo J.

Periódicamente debemos comprobar:

7. El responsable de seguridad del Fichero comprobará, que la lista de usuarios autorizados del Anexo F se corresponde con la lista de los usuarios realmente autorizados en la aplicación de acceso al Fichero.

8. Se comprobará también, la existencia de copias de respaldo que permitan la recuperación de Fichero según lo estipulado en el apartado 9 de este documento.

9. Los administradores del Fichero comunicaran al responsable de seguridad cualquier cambio que se haya realizado en los datos técnicos, como por ejemplo cambios en el software o hardware, base de datos o aplicación de acceso al Fichero, procediendo igualmente a la actualización de los anexos de

10. El responsable del, analizaran l las incidencias registradas en el libro correspondiente, para independientemente de las medidas particulares que se hayan adoptado en el momento que se produjeron, adoptar las medidas correctoras que limiten esas incidencias en el futuro.


Anexo A. Documentos de Notificación y Decretos

Documento de Notificación a la Agencia de Protección de Datos de Registro del Fichero.

Nombre del Fichero PROVEEDORES

Fecha de Entrada 03/10/2002 Nº de registro

Descripción del Fichero automatizado que contiene los datos identificativos de losFichero clientes de nuestra farmacia, así como de las ventas realizadas.

Se adjuntará aquí una copia del documento de notificación de la creación, y en su caso de las posibles modificaciones del Fichero.


Anexo B. Descripción detallada de la estructura del Fichero la Base de Datos.

Ubicación física del FicheroNombre del equipo, ubicación Servidor, MostradorTipo de soporte de almacenamiento El soporte de almacenamiento es el disco duroLetra de Unidad y/o directorio C:/Nombre del fichero físico

Estructura lógica del FicheroNombre de la tabla/s o fichero/s que lo Nombre base de datos:componen Nombre de la tabla1:Relación entre tablas o ficheros que locomponenCampo Nombre tabla1 Campo Nombre

Id-PROVEEDORDescuentoLogo DGXproct-protocolo3DescuentoXproct-protocolo4FIS-nifFis-nombreFis-direcciónFis-código PostalFis-PoblaciónFis-provinciaFis-TeléfonoFis-faxFis-regimen fiscalPer-nifPer-nombrePer-direcciónPer-codigo postalPer-poblaciónPer-provinciaPer-teléfonoPer-faxGrupo IVAID condiciónXclienteA.protiid Protooclox-proct –prococolo2Xcuenta-id cuenta

Característic de los ficheros de

as prueba


Gestor bases de datosNombre, versión y/o características

El que correspondadel Gestor de Base de Datos


Anexo C. Descripción del sistema informático de acceso al fichero.

Descripción del Sistema Informático de acceso al Fichero

El sistema informático o aplicación de acceso al fichero es el conjunto de programas, específicamente diseñados para el caso o de propósito general, con los que normalmente se accede para consultar o actualizar los dato del Fichero.

Descripción del Sistema Informático

Nombre de la Aplicación

Tipo de aplicación ( paquete standard,programa medida) Paquete estándar de gestión

farmacéutica

Empresa o persona que lo realiza

Versión o fecha de programaciónVersión nº

Empresa que lo mantiene

Tipo de procedimientos de recuperación

Existe un procedimiento indicado en aquellos

casos que exista una pérdida total o parcial

de datos, partiendo de la última copia deseguridad válida, el propio programa en

elmenú Utilidades - restauración de datos

permite elegir, qué datos queremosrestaurar.


Anexo D. Entorno de Sistema Operativo y de Comunicaciones del Fichero

Sistema Operativo instalado en el Servidor o en el PC que contiene el ficheroNombre del Equipo ServidorTipo de Equipó, servidor, PC Multipuesto Servidor PentiumNombre del Sistema Operativo Windows 2000Versión y Fabricante Microsoft versión 5.00 2195Características generales de compartición de

Fichero de clientes compartido con acceso

ficheros, recursos, control de acceso o

permitido a través de la red a los usuarios

archivos de logging.de terminales debidamente autentificados.

Responsables del mantenimiento

Entorno de Comunicaciones (si existe)

Tipo de red local Red local

Red local Ethernet

Descripción física de la red Cableado Categoría 5, con terminadores(cableado, velocidad, tarjetas, ...) RJ45 conectados a un

switch 10/100 de 8 puertos. Tarjetas dered 100 Mhz.

Conexión con otras redes (tipos deNo Existe

red, periodicidad, descripción)Tipo de control de acceso al fichero Autentificación de usuario y contraseñadesde la red No se puede acceder si no es desde el

programa central.

Características de la conexión aNo existe

Internet si existe

Transmisión de datos (si existe)Tipos de transmisiones No existe No existeSistema de cifrado (si existe)PeriodicidadDestinatarioDescripción del proceso


Anexo E. Locales y equipamiento

Locales y equipamiento de los centros de tratamiento

Ubicación y Descripción de los localesLocalidad y ProvinciaDirecciónAlturaPuertas de accesoCaracterísticas generales Farmacia y

Medidas de seguridad

Extintores, Armarios Ignífugos Extintores en todas las dependenciasCajas Fuertes 1Verjas, cerraduras Persianas eléctricas con frenoZonas de acceso restringido (detrás

Despacho y Almacénmostrador, rebotica, despacho,...)¿Existen carteles de aviso de zona

Norestringida?Otras medidas de seguridad Alarma, cámara video

Equipos Informáticos Equipo 1 Equipo 2Tipo de Equipo: PC Monopuesto,

ServidorPC

Servidor, PC Multipuesto MonopuestoLocalización del equipo Mostrador MostradorTipo de Procesador y velocidad PIII 733 PIII 650

128Mb 20GB 128Mb 10GB


2000Windows

2000Conectado en red (SI/NO) Si SiPosee acceso a Internet (SI/NO) No NoPeriféricos conectados Lector C. Barras Impresora

Impresoratickets

mostradorsamsung srp

Epson lx300250

Nombre del programa de Gestión Farmatic Farmatic

Otros programas instalados¿Dispone de Protector de Pantalla? No No¿El protector lleva contraseña? No NODispone de acumulador SAI Si SiOtras observaciones

Nº de inscripción NOMBRE DE FICHEROPROVEEDORES de la Farmacia

Equipos Informáticos Equipo 4Tipo de Equipo: PC Monopuesto, PC

MonopuestoServidor, PC MultipuestoLocalización del equipo DespachoTipo de Procesador y velocidad PIII 733

128Mb 20GB


2000Conectado en red (SI/NO) SiPosee acceso a Internet (SI/NO) SiPeriféricos conectados Lector C. Barras Impresora HP

710Nombre del programa de Gestión FarmaticOtros programas instalados¿Dispone de Protector de Pantalla? No¿El protector lleva contraseña? NoDispone de acumulador SAI SiOtras observaciones


Anexo F. Personal autorizado para acceder al Fichero

Las siguientes personas declaran expresamente el conocimiento de las normas de seguridad objeto de su responsabilidad aplicadas al fichero y su compromiso de cumplirlas.

RESPONSABLE DEL FICHEROPersona física o jurídica, que decida sobre la finalidad, contenido y uso del fichero.

Nombre y apellidos/ Nombre CB Cargo/funciones Fecha Alta Fecha Firma

Baja

Propietario/Gerente 18/10/2002

ADMINISTRADORES DEL SISTEMAResponsables informáticos con acceso a programas, datos y herramientas del sistema necesarias para resolver problemas surgidos. Tienen máximos privilegios y riesgo de que una actuación errónea afecte al sistema.

Nombre y apellidosEmpresa/

Funciones Fecha Alta Fec

ha FirmaBaj

aPropietario/

Gerente 18/10/2002

Técnico 18/10/2002

USUARIOS DEL FICHEROPersonal autorizado a acceder a aquellos datos y recursos que precisen para el desarrollo de sus funciones.

Nombre y Apellidos Funciones Fecha Alta

Fech

FirmaaBaja

Farmacéutica 18/10/2002

Auxiliar Diplomada 18/10/2002

Farmacéutica sustituta 18/10/2002



Anexo G. Procedimientos de control de accesos, respaldo recuperación

Procedimientos de control y seguridad

Procedimientos de asignación y cambios de contraseña

Descripción del sistema de acceso por

El acceso al fichero está restringido por un

contraseñasistema de contraseñas que se verificaperiódicamente y que permite tener uncontrol de accesos actualizado.

Peridiocidad de los cambiosAnual al menos

Persona/s que realizan los cambios El responsable del ficheroPersonas a las que se realiza Usuarios y administradores

Procedimientos de copia de seguridadDescripción del sistema de copia de

El último día laborable de cada semana se

seguridadrealiza la copia de seguridad sobre un nuevosoporte físico que se etiqueta y fechadebidamente. Se mantiene un registro desoportes mensual y otro anual, reutilizandoaquellos soportes sobrantes que caducan.

Peridiocidad (al menos semanal, excepto si no

Semanal. Se realizan copias de seguridad

ha habido modificaciones)inmediatas en el caso de

cambios

importantes en el fichero, bien en laestructura o en los datos por orden delresponsable del fichero.

Persona que las realizaAdministrador o Usuarios autorizados

Lugar donde se guardan las copias

Caja fuerte

Procedimiento de restauración de datosDescripción del sistema de Restauración de

En caso que exista una pérdida total o

datosparcial de

datos, partiendo de la última

copia deseguridad válida,

el propio

programa en el menú Utilidades -restauración de datos permite

elegir, qué

datos queremos restaurar

Persona/s que realiza/n la restauraciónAdministrador del sistema o personaautorizada por elResponsable de seguridad.

Gestión de Soportes físicosTipo de Soporte de la copia CD-ROM Grabable

Tipo de etiquetadoRotulador permanente, tipo de contenido yfecha

Lugar de almacenamiento interno

Caja fuerte

Lugar de almacenamiento externo

Domicilio del Responsable del Fichero


Medidas de Seguridad adoptadas Protección contra escritura del medio,guardado bajo llave

Método de borrado físico de datos para su Formateado Completo irrecuperable,reutilización o eliminación destrucción física

Persona/s que inventaria/nPersonal autorizado por el

responsable deseguridad

Distribución de soportes a terceras personasDescripción del procedimiento No existeMedidas de seguridad adoptadasEncargado de la distribuciónMotivo que justifica la distribuciónTipo de sistema de cifrado de datos

Entrada o Salida de datos por redTipo de red de envío (Internet,...) No existeMotivo que justifica el envíoCuenta de correo utilizadaPersona responsablePeriodicidad de los envíosMedidas de seguridad adoptadas

Se adjuntan los siguientes impresos :- Inventario de soportes.



INVENTARIO DE COPIAS DE SEGURIDAD

ALTAS DE SOPORTE BAJAS DE SOPORTE

Fecha Copia Nº Copia

Ficheros que Medidas de Método utilizado Fecha de

contiene seguridad baja

18/10/2002 1Proveedore

sGuardado bajo Destrucción

18/11/2002Llave



Anexo H. Funciones y obligaciones del personal

FUNCIONES DEL RESPONSABLE DEL FICHERO

El responsable del fichero es el encargado jurídicamente de la seguridad del fichero y de las medidas establecidas en el presente documento, implantará las medidas de seguridad establecidas en él y adoptará las medidas necesarias para que el personal afectado por este documento conozca las normas que afecten al desarrollo de sus funciones.

Sus obligaciones consisten en :

Implantar las medidas de seguridad establecidas en este documento.

Garantizar que el personal tenga conocimiento y acepte el cumplimiento de las normas de seguridad.

Mantener actualizado el documento de seguridad siempre que se produzcan cambios relevantes en el sistema de información o en la organización del mismo.

Adecuar en todo momento el contenido del mismo a las disposiciones vigentes en materia de seguridad.



Asegurar el acceso restringido a los sistemas informáticos de acceso al Fichero, estableciendoprocedimientos de identificación y autentificación.

Asegurar que solo las personas relacionadas en el Anexo F puedan tener acceso a los datos del Fichero, restringiendo el acceso de cada usuario a aquellos datos que precise para el desarrollo de sus funciones, limitando la posibilidad de conceder, alterar o anular la autorización de acceso al personal autorizado para ello.

Autorizar expresamente la salida o entrada de los datos del fichero fuera de los locales, bien en soporte magnético o bien mediante telecomunicaciones.

Verificar la definición y correcta aplicación de las copias de respaldo y recuperación de los datos. Las copias se realizarán al menos semanalmente, salvo que no se haya producido en ese periodo ninguna actualización de los datos. Estos procedimientos deben garantizar la reconstrucción de los datos.

Analizar las incidencias registradas en el libro de incidencias para independientemente de las medidas particulares que se hayan adoptado, poner las medidas correctoras que limiten esas incidencias en el futuro.


Adjuntar los resultados de los controles periódicos al Anexo J de este documento de seguridad.

ADMINISTRADORES DEL SISTEMA

Los administradores resuelven incidencias producidas en el sistema de tratamiento del fichero (aplicación, sistema informático, red,...). Las labores de reparación, mantenimiento y actualización se realizaran por el personal con máximos privilegios y máximo riesgo de que una actuación errónea pueda afectar al sistema.En caso de incidencias técnicas que detengan la producción y no exista un personal técnico que se pueda relacionar de forma directa con el fichero o sistema informático, podrá intervenir otro personal técnico que pueda ser identificable con posterioridad a la intervención, dejando constancia de ello en el Reglamento de Incidencias.

Obligaciones de los administradores:

Accesibilidad

Asegurar que ninguna herramienta o programa de utilidad que permita el acceso al Fichero deberá ser accesible a ningún usuario o administrador no autorizado en el Anexo F. En esta norma se incluye cualquier medio de acceso en bruto, es decir no elaborado o editado, a los datos del Fichero, como editores universales, analizadores de ficheros, etc., que deberán estar bajo el control de administradores autorizados.

Asegurar que no puedan acceder personas sin autorización al Fichero a través de otros ordenadores que formen parte de una red de comunicaciones, así como a datos de la aplicación contenidos en posibles ficheros temporales, ficheros de "logging", o cualquier otro medio que contenga datos protegidos.

En caso de que la aplicación informática que permite el acceso al Fichero no cuente con un control de acceso, deberá ser el sistema operativo, donde se ejecuta esa aplicación el que impida el acceso no autorizado, mediante el control de códigos de usuario y contraseñas.

En caso de utilizar datos de prueba, previamente a la implantación o modificación de la aplicación de acceso al fichero, deberán de no ser datos reales y se deberán relacionar esos ficheros de prueba en el Anexo B

Autorización y Autentificación

Se responsabilizará del mecanismo de asignación y distribución de las contraseñas, garantizando la confidencialidad de las mismas. Las contraseñas se asignarán y se cambiarán mediante el mecanismo y periodicidad que se determina en el Anexo G. El archivo donde se almacenen las contraseñas deberá estar protegido y bajo la responsabilidad del administrador del sistema.


Copias de respaldo y restauración de datos

El administrador o bien otro usuario expresamente designado, será responsable de obtener periódicamente una copia de seguridad del fichero, a efectos de respaldo y posible recuperación en caso de fallo. Estas copias deberán realizarse con una periodicidad, al menos semanal, salvo en el caso de que no se haya producido ninguna actualización de los datos en cuyo caso la periodicidad podrá ser mayor.Responsabilizarse de guardar en lugar protegido las copias de seguridad y respaldo del Fichero, de forma que ninguna persona no autorizada tenga acceso a las mismas.Asegurar que en caso de fallo del sistema con pérdida total o parcial de los datos del Fichero existirá un procedimiento, informático o manual, que partiendo de la última copia de respaldo y del registro de las operaciones realizadas desde el momento de la copia, reconstruya los datos del Fichero al estado en que se encontraban en el momento del fallo. Ese procedimiento está descrito en el Anexo G.El administrador precisará de la autorización por escrito del responsable del fichero para la ejecución de los procedimientos de recuperación de los datos, y deberá dejarse constancia en el registro de incidencias de las manipulaciones que hayan debido realizarse para dichas recuperaciones, incluyendo la persona que realizó el proceso, los datos restaurados y los datos que hayan debido ser grabados manualmente en el proceso de recuperación.

VerificacionesComunicar al responsable de seguridad cualquier cambio que se haya realizado en los datos técnicos de los anexo s, como por ejemplo cambios en el software o hardware, base de datos o aplicación de acceso al Fichero, procediendo igualmente a la actualización de dichos anexos.

Ofrecer la lista de usuarios del Anexo F, al responsable de seguridad del Fichero para que compruebe la integridad de la lista de usuarios autorizados para acceder al fichero. El administrador comunicará al responsable de seguridad, , cualquier alta o baja de usuarios con acceso autorizado alFichero.

OBLIGACIONES QUE AFECTAN A TODO EL PERSONALLos usuarios del fichero se obligan a guardar secreto profesional de todos los datos de carácter personal que conozca o a los que tenga acceso durante el ejercicio de su labor. Igualmente se obliga a custodiar e impedir el acceso a los datos de carácter personal a cualquier tercero no autorizado.

Puestos de trabajo

Los puestos de trabajo estarán bajo la responsabilidad de algún usuario autorizado que garantizará que la información que muestran no pueda ser visible por personas no autorizadas. Esto implica que tanto las pantallas como las impresoras u otro tipo de dispositivos conectados al puesto de trabajo deberán estar físicamente ubicados en lugares que garanticen esa confidencialidad.

Cuando el responsable de un puesto de trabajo lo abandone, bien temporalmente o bien al finalizar su turno de trabajo, deberá dejarlo en un estado que impida la visualización de los datos protegidos. Esto podrá realizarse a través de un protector de pantalla que impida la


visualización de los datos. La reanudación del trabajo implicará la desactivación de la pantalla protectora con la introducción de una contraseña.

Impresoras.

Asegurarse de que no quedan documentos impresos en la bandeja de salida que contengan datos protegidos. Si las impresoras son compartidas con otros usuarios no autorizados para acceder a los datos de Fichero, los responsables de cada puesto deberán retirar los documentos conforme vayan siendo impresos.

Redes de telecomunicaciones

Queda expresamente prohibida la conexión a redes o sistemas exteriores de los puestos de trabajo desde los que se realiza el acceso al fichero. La revocación de esta prohibición será autorizada por el responsable del fichero, quedando constancia de esta modificación en el Libro de incidencias.

Los puestos de trabajo desde los que se tiene acceso al fichero tendrán una configuración fija en sus aplicaciones, sistemas operativos que solo podrá ser cambiada bajo al autorización del responsable de seguridad o por administradores autorizados del anexo F.

Salvaguarda y protección de las contraseñas personales

Cada usuario será responsable de la confidencialidad de su contraseña y, en caso de que la misma sea conocida fortuita o fraudulentamente por personas no autorizadas, deberá registrarlo como incidencia y proceder a su cambio.

Gestión de incidencias

Cualquier usuario que tenga conocimiento de una incidencia es responsable de la comunicación de la misma al administrador del sistema, o en su caso del registro de la misma en el sistema de registro de incidencias del Fichero. El conocimiento y la no notificación de una incidencia por parte de un usuario será considerado como una falta contra la seguridad del Fichero por parte de ese usuario.

Gestión de soportes

Los soportes que contengan datos del Fichero deberán ser almacenados en lugares a lo que no tengan acceso personas no autorizadas para el uso del Fichero que no estén relacionadas en el Anexo F.

Los soportes que contengan datos del Fichero, como consecuencia de procesos periódicos de respaldo o cualquier otra operación esporádica, deberán estar claramente identificados con una etiqueta externa que indique de qué fichero se trata, que tipo de datos contiene, proceso que los ha originado y fecha de creación


Anexo I. Procedimiento de Notificación y gestión de incidencias

Cuando ocurra una incidencia, el usuario o administrador deberá registrarla en el Libro de Incidencias o comunicarla al Responsable de seguridad para que a su vez proceda a su registro.

Entre las posibles incidencias a reflejar en estos documentos pueden estar aquellas producidas por:

• Virus informáticos • Errores de hadware/Sofware • Perdidas totales o parciales de información • Robos de información • Agentes externos: inundaciones, incendios, etc. • Accesos no controlados • Agujeros de seguridad • Peticiones de los afectados en materia de protección de

datos

A continuación se adjunta el impreso de notificación manual que podrá ser utilizado para la notificación de incidencias.


Impreso de notificación de incidencias

Incidencia Nº: |_______| ( Este número será rellenado por elResponsable de seguridad)

Fecha de notificación: /__/__/____/

Tipo de incidencia:

Descripción detallada de la incidencia:

Fecha y hora en que se produjo la incidencia:

Persona(s) a quien(es) se comunica:

Efectos que puede producir: (En caso de no subsanación o incluso independientemente de ella)

Recuperación de Datos :( A rellenar sólo si la incidencia es de este tipo)

Procedimiento realizado:

Datos restaurados:

Datos grabados manualmente:

Persona que ejecutó el proceso:

Firma del Responsable del fichero:

Fdo ____________________________

Persona que realiza la comunicación:

Fdo.:___________________________

Nº de inscripción NOMBRE DE FICHERO2022910064 PROVEEDORES de la Farmacia Posadas-Ortega Página 61

Anexo J. Controles periódicos y auditorias

Las normas contenidas en este documento deben ser periódicamente comprobadas con el fin de detectar y evitar posibles anomalías en el cumplimiento de las medidas de seguridad.

Estas comprobaciones consistirán :

1.El estado de actualización de la lista de personas autorizadas para acceder al fichero.

2. La existencia de copias de respaldo que permitan la recuperación del Fichero.

3. Actualización de este documento en base a los cambios técnicos (software, hardware, base de datos o aplicación de acceso al Fichero).

4. Cumplimiento de la normativa en relación con las entradas y salidas de datos, sea por red o soporte magnético.

5. Estudio de las incidencias registradas en el libro correspondiente y la idoneidad de las medidas adoptadas para su corrección.


Impreso de comprobaciones periódicas

Comprobación nº: FechaPersona(s) que realiza(n) la comprobación: (Tipo

de relación con el fichero)

Constantino Herrera – Responsable del FicheroComprobaciones realizadas SI NO

La lista de personas autorizadas para acceder al fichero se encuentraactualizada.Resultados La Comprobación ha resultado satisfactoriaExisten copias de respaldo que permiten la recuperación.Resultados La Comprobación ha resultado satisfactoriaEl documento de seguridad se encuentra actualizado.Resultados La Comprobación ha resultado satisfactoria

Resultados La Comprobación ha resultado satisfactoriaSe estudian las incidencias producidas y las medidas adoptadas son las idóneas.Resultados La Comprobación ha resultado satisfactoria

Resultados La Comprobación ha resultado satisfactoria

Otras comprobaciones realizadas :No existen

Resultados generales :El funcionamiento de las medidas de seguridad es el idóneoResponsable del fichero :

Fdo ____________________________


DOCUMENTOS PARA EL CUMPLIMIENTO DE

LA NORMATIVA

Modelo tipo de consentimiento del interesado.

Plantillas documentos más utilizados.

Modelos de Contrato.

Documentos Necesarios Página 64

Consentimiento sobre tratamiento de datos de carácter personal

D/Dª _________________________________________________________, mayor de edad, vecino/a de la localidad de _______________________________, y con NIF________________________

Autorizo al farmacéutico D______________________________________________titular de la Oficina de Farmacia con NIF_________________ sita en_______________________ (_________), C/ ______________________________nº ____ a tratar los datos referentes a su salud con el único fin de_______________________________________________________________________________________________________________________________.

Esta autorización se realiza de conformidad a lo dispuesto en la Ley Orgánica 15/1999 de 13 de Diciembre, sobre Protección de Datos de Carácter Personal, declarando conocer que sus datos serán incorporados a un fichero informático denominado___________________________________ , sobre el cual podrá ejercitar en cualquier momento los derechos de acceso, rectificación y cancelación. El farmacéutico autorizado se obliga, a observar las debidas garantías de confidencialidad, estando amparado por el secreto profesional, comprometiéndose a no ceder los datos personales obtenidos, salvo en el supuesto contemplado en el artículo 11.2,f) de la citada Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal.

En ......................................... , a ........... de .............................. de .........

Fdo.


I NFORMACIÓN DE RECOGIDA DE DATOS DE C ARÁCTER P ERSONAL

(Seleccionar el tipo de fichero y finalidad de éste a la hora de informar sobre él)

Le informo que sus datos serán incorporados a un fichero informático denominado :

Clientes / Pacientes / Proveedores / Médicos / Empleados

destinado a la gestión de :

Ventas / Tratamiento farmacológico / Atención Farmacéutica / Pedidos / Nóminas / ..

Sobre el cual podrá ejercitar en cualquier momento los derechos de acceso, rectificación y cancelación en este mismo lugar.

De conformidad a lo dispuesto en la Ley Orgánica 15/1999 de 13 de Diciembre, sobre Protección de Datos de Carácter Personal.

El farmacéutico autorizado se obliga, a observar las debidas garantías de confidencialidad, estando amparado por el secreto profesional, comprometiéndose a no ceder los datos personales obtenidos.

NOTA: Cuando los datos de carácter personal no hayan sido recabados del interesado, éste deberá ser informado de forma expresa, precisa e inequívoca, por el responsable del fichero o su representante, dentro de los tres meses siguientes al momento del registro de los datos, salvo que ya hubiera sido informado con anterioridad.


E JEMPLO DE M AILING A ENVIAR A LOS CLIENTES YA EXISTENTES EN NUESTRO

FICHERO

Farmacia

Estimado cliente/a:

Le informamos que sus datos personales que constan como cliente, son tratados en nuestra farmacia mediante un fichero informático llamado CLIENTES, cuya finalidad consiste en realizar el tratamiento de las ventas y el seguimiento farmacológico del paciente.

Los datos personales recabados gozarán de la protección adecuada conforme a lo establecido en el Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de Medidas de Seguridad que desarrolla el artículo 9 de la LOPD. El farmacéutico autorizado garantiza observar las debidas medidas de seguridad de nivel ALTO y confidencialidad sobre sus datos, comprometiéndose a no ceder a terceros sus datos personales.

Esta farmacia, como responsable del fichero, garantiza el ejercicio de los derechos de acceso, rectificación, oposición y cancelación de los datos aportados, si desea ejercitar estos derechos puede ponerse en contacto con nosotros a través de correo, teléfono o personalmente.

Le rogamos que para garantizar la correcta prestación del servicio farmacéutico, mantenga actualizados y exactos sus datos personales, comunicando cualquier variación de los mismos en esta dirección.

Aprovechamos la ocasión para agradecerle, una vez más, la confianza que deposita en nuestra Farmacia. Reciba mi más atento y cordial saludo.


En ......... , a .......... de ............ de .........

Fdo.

MODELO DE CONTRATO ENTRE LA EMPRESA Y EL PROVEEDOR DE SERVICIOS INFORMÁTICOS APLICADO

A LA LEY DE PROTECCIÓN DE DATOS

En ___________________, a ____ de __________ de 2.0___

REUNIDOS

De una parte,D. ________________________________con D.N.I.______________con domicilio en_________________ y como ___________________ de la Empresa____________________________, en adelante la empresa,CIF ___________________ y sede social en_________________________________________.

De otra,D. _________________________________con D.N.I.______________con domicilio en ________________y como__________________ de la Empresa _________________ , en adelante el proveedor informático,con CIF ___________________ y sede social en_________________________________________.

EXPONEN

1º. Que la empresa está interesada en los servicios del proveedor informático para el mantenimiento del sistema informático con el fin de asegurar su funcionamiento, resolver los problemas informáticos surgidos y actualizar la aplicación de gestión.

2º. El proveedor informático, para la ejecución de los servicios objeto del presente contrato, tendrá acceso a datos personales que están en los equipos informáticos de la empresa, a estos efectos el proveedor informático debe observar las siguientes normas de seguridad:

- No aplicar o utilizar los datos personales a los que tenga acceso con fin distinto al previsto en el contrato de servicios, ni comunicarlos a otras personas, ni siquiera para su conservación.

- El proveedor informático queda obligado a adoptar las medidas de índole técnico y organizativo necesarias para garantizar la seguridad de los datos de carácter personal, evitando su alteración, perdida, tratamiento o acceso no autorizado.

- En cualquier caso, el proveedor informático debe cumplir las medidas de seguridad que correspondan en función de los datos a tratar de conformidad con lo previsto en el Real


Decreto 994/1999, de 11 de junio, así como los principios y garantías establecidos en la Ley Orgánica 15/1999 de 13 de diciembre.

- El proveedor informático esta obligado a guardar el secreto profesional de todos los datos de carácter personal que conozca o a los que tenga acceso durante la ejecución del contrato. Igualmente se obliga a custodiar e impedir el acceso a los datos de carácter personal a cualquier tercero.

- Al termino del contrato, el proveedor informático debe destruir los datos personales a los que haya tenido acceso para sus tareas, así como los resultados derivados del tratamiento, al igual que cualquier soporte o documentos en los que conste algún dato de carácter personal objeto del contrato.

Las anteriores obligaciones se extienden a toda persona que pudiera intervenir en cualquier fase del contrato de parte o por cuenta del proveedor informático. También queda obligado a comunicar y hacer cumplir a sus empleados las obligaciones establecidas en los apartados anteriores y en particular las relativas al deber de secreto o medidas de seguridad.

Por todo lo expuesto las partes, de común acuerdo, y reconociéndose plena capacidad para llevar a cabo el presente contrato

ACUERDANEl proveedor informático, en los términos que se expresan en el presente contrato, se obliga a realizar para la empresa este servicio, en los términos que se expresan en el presente documento. Para que conste a los efectos oportunos, en prueba de conformidad, las partes firman el presente documento, por duplicado, y a un solo efecto, en el sitio y fecha antes indicados.

POR LA EMPRESA. POR ELPROVEEDOR

INFORMÁTICO

Fdo:______________________ Fdo: Dr.______________________


MODELO DE CONTRATO ENTRE LA EMPRESA Y LA GESTORÍA

APLICADO A LA LEY DE PROTECCIÓN DE DATOS

En ___________________, a ____ de __________ de 2.0___

REUNIDOSDe una parte,D. _________________________________con D.N.I.______________con domicilio en ________________y como _________________ de la Empresa _____________________________, en adelante la empresa,CIF ___________________ y sede social en

______________________________________________.

De otra,D. _________________________________con D.N.I.______________con domicilio en ________________y como_________________ de la Empresa ______________________________ , en adelante la gestoría,con CIF ___________________ y sede social en__________________________________________.

EXPONEN

1º.- Que la empresa está interesada en los servicios de la gestoría para el tratamiento de los datos que la empresa le suministre y que esta incorporará sobre un fichero llamado____________________________ con el fin de____________________________________________________________________________.

2º. La gestoría, para la ejecución de los servicios objeto del presente contrato, tendrá acceso a datos sobre personas físicas sobre los que debe observar las siguientes normas de seguridad:

- La gestoría queda obligada a adoptar las medidas de índole técnico y organizativo necesarias para garantizar la seguridad de los datos de carácter personal, evitando su alteración, perdida, tratamiento o acceso no autorizado.

- En cualquier caso, la gestoría debe cumplir las medidas de seguridad que correspondan en función de los datos a tratar de conformidad con lo previsto en el Real Decreto 994/1999, de 11 de junio, así como los principios y garantía establecidos en la Ley Orgánica 15/1999 de 13 de diciembre.

- La gestoría esta obligada a guardar el secreto profesional de todos los datos de carácter personal que conozca o a los que tenga acceso durante la ejecución del contrato. Igualmente se obliga a custodiar e impedir el acceso a los datos de carácter personal a cualquier tercero.

- Al termino del contrato, la gestoría debe destruir los datos personales a los que haya tenido acceso para sus tareas, así como los resultados derivados del tratamiento, al igual


que cualquier soporte o documentos en los que conste algún dato de carácter personal objeto del contrato.

Las anteriores obligaciones se extienden a toda persona que pudiera intervenir en cualquier fase del contrato de parte o por cuenta de la gestoría. También queda obligado a comunicar y hacer cumplir a sus empleados las obligaciones establecidas en los apartados anteriores y en particular las relativas al deber de secreto o medidas de seguridad.

Por todo lo expuesto las partes, de común acuerdo, y reconociéndose plena capacidad para llevar a cabo el presente contrato

ACUERDAN

La gestoría, en los términos que se expresan en el presente contrato, se obliga a realizar para la empresa un trabajo, en los términos que se expresan en el presente documento. Para que conste a los efectos oportunos, en prueba de conformidad, las partes firman el presente documento, por duplicado, y a un solo efecto, en el sitio y fecha antes indicados.

POR LA EMPRESA. POR LA GESTORÍA

Fdo:______________________ Fdo: Dr.______________________


MODELO DE CLÁUSULAS A AÑADIR EN CONTRATOS

REFERENTES A LA LEY DE PROTECCIÓN DE DATOS

La empresa __________________, en adelante la empresa, para la ejecución de los servicios objeto del presente contrato, tendrá acceso a datos sobre personas físicas sobre los que debe observar las siguientes normas de seguridad:

- La empresa queda obligada a adoptar las medidas de índole técnico y organizativo necesarias para garantizar la seguridad de los datos de carácter personal, evitando su alteración, perdida, tratamiento o acceso no autorizado.

- En cualquier caso, la empresa debe cumplir las medidas de seguridad que correspondan en función de los datos a tratar de conformidad con lo previsto en el Real Decreto 994/1999, de 11 de junio, así como los principios y garantía establecidos en la Ley Orgánica 15/1999 de 13 de diciembre.

- La empresa esta obligada a guardar el secreto profesional de todos los datos de carácter personal que conozca o a los que tenga acceso durante la ejecución del contrato. Igualmente se obliga a custodiar e impedir el acceso a los datos de carácter personal a cualquier tercero.

- Al termino del contrato, la empresa debe destruir los datos personales a los que haya tenido acceso para sus tareas, así como los resultados derivados del tratamiento, al igual que cualquier soporte o documentos en los que conste algún dato de carácter personal objeto del contrato.

Las anteriores obligaciones se extienden a toda persona que pudiera intervenir en cualquier fase del contrato de parte o por cuenta de la empresa. También queda obligado a comunicar y hacer cumplir a sus empleados las obligaciones establecidas en los apartados anteriores y en particular las relativas al deber de secreto o medidas de seguridad.


LEYES RELATIVAS A LA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL

FARMACIA

1. Ley Orgánica 15/99 de 13 de Diciembre, de Protección de Datos de Carácter Personal.

2. Real Decreto 994/1999 de 11 de Junio por el que se aprueba el Reglamento de Medidas de Seguridad de los Ficheros Automatizados que contengan Datos de Carácter Personal.

3. Real Decreto 1332/94 de 20 de Junio por el que se desarrollan algunos preceptos de la Ley Orgánica.

IV. Ley Orgánica 15/99 de 13 de Diciembre de Protección de Datos de Carácter Personal.

Legislación Página 73

A. LEY ORGÁNICA 15/1999, de 13 de diciembre de Protección de Datos de Carácter Personal. ("B.O.E." núm. 298, de 14 de diciembre de 1999).JUAN CARLOS IREY DE ESPAÑA

TÍTULO I. Disposiciones Generales.

Artículo 1. Objeto.La presente Ley Orgánica tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar.

Artículo 2. Ámbito de aplicación.1. La presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado.Se regirá por la presente Ley Orgánica todo tratamiento de datos de carácter personal:a) Cuando el tratamiento sea efectuado en territorio español en el marco de las actividades de un establecimiento del responsable del tratamiento. b) Cuando al responsable del tratamiento no establecido en territorio español, le sea de aplicación la legislación española en aplicación de normas de Derecho Internacional público. c) Cuando el responsable del tratamiento no esté establecido en territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, salvo que tales medios se utilicen únicamente con fines de tránsito. 2. El régimen de protección de los datos de carácter personal que se establece en la presente Ley Orgánica no será de aplicación: a) A los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas. b) A los ficheros sometidos a la normativa sobre protección de materias clasificadas. c) A los ficheros establecidos para la investigación del terrorismo y de formas graves de delincuencia organizada. No obstante, en estos supuestos el responsable del fichero comunicará previamente la existencia del mismo, sus características generales y su finalidad a la Agencia de Protección de Datos. 3. Se regirán por sus disposiciones específicas, y por lo especialmente previsto, en su caso, por esta Ley Orgánica los siguientes tratamientos de datos personales: a) Los ficheros regulados por la legislación de régimen electoral. b) Los que sirvan a fines exclusivamente estadísticos, y estén amparados por la legislación estatal o autonómica sobre la función estadística pública. c) Los que tengan por objeto el almacenamiento de los datos contenidos en los informes personales de calificación a que se refiere la legislación del Régimen del personal de las Fuerzas Armadas. d) Los derivados del Registro Civil y del Registro Central de penados y rebeldes. e) Los procedentes de imágenes y sonidos obtenidos mediante la utilización de videocámaras por las Fuerzas y Cuerpos de Seguridad, de conformidad con la legislación sobre la materia.

Artículo 3. DefinicionesA los efectos de la presente Ley Orgánica se entenderá por


a) Datos de carácter personal: Cualquier información concerniente a personas físicas identificadas o identificables. b) Fichero: Todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso. c) Tratamiento de datos: Operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias. d) Responsable del fichero o tratamiento: Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento. e) Afectado o interesado: Persona física titular de los datos que sean objeto del tratamiento a que se refiere el apartado c) del presente artículo. f) Procedimiento de disociación: Todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable. g) Encargado del tratamiento: La persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento. h) Consentimiento del interesado: Toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen. i) Cesión o comunicación de datos: Toda revelación de datos realizada a una persona distinta del interesado. j) Fuentes accesibles al público: Aquellos ficheros cuya consulta puede ser realizada por cualquier persona, no impedida por una norma limitativa, o sin más exigencia que, en su caso, el abono de una contraprestación. Tienen la consideración de fuentes de acceso público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público, los Diarios y Boletines oficiales y los medios de comunicación.

TÍTULO II. Principios de la protección de datos

Artículo 4. Calidad de los datos1.- Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.2. Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos. No se considerará incompatible el tratamiento posterior de éstos con fines históricos, estadísticos o científicos.3. Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado.4. Si los datos de carácter personal registrados resultaran ser inexactos, en todo o en parte, o incompletos, serán cancelados y sustituidos de oficio por los correspondientes datos rectificados o completados, sin perjuicio de las facultades que a los afectados reconoce el artículo 16.


5 . Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados. No serán conservados en forma que permita la identificación del interesado durante un período superior al necesario para los fines en base a los cuales hubieran sido recabados o registrados. Reglamentariamente se determinará el procedimiento por el que, por excepción, atendidos los valores históricos, estadísticos o científicos de acuerdo con la legislación específica, se decida el mantenimiento íntegro de determinados datos.6. Los datos de carácter personal serán almacenados de forma que permitan el ejercicio del derecho de acceso, salvo que sean legalmente cancelados.7. Se prohibe la recogida de datos por medios fraudulentos, desleales o ilícitos.

Artículo 5. Derecho de información en la recogida de datos1. Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco: a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información. b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas. c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos. d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición. e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante. Cuando el responsable del tratamiento no esté establecido en el territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, deberá designar, salvo que tales medios se utilicen con fines de tránsito, un representante en España, sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable del tratamiento. 2. Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, en forma claramente legible, las advertencias a que se refiere el apartado anterior. 3.No será necesaria la información a que se refieren las letras b), c) y d) del apartado 1 si el contenido de ella se deduce claramente de la naturaleza de los datos personales que se solicitan o de las circunstancias en que se recaban. 4. Cuando los datos de carácter personal no hayan sido recabados del interesado, éste deberá ser informado de forma expresa, precisa e inequívoca, por el responsable del fichero o su representante, dentro de los tres meses siguientes al momento del registro de los datos, salvo que ya hubiera sido informado con anterioridad, del contenido del tratamiento, de la procedencia de los datos, así como de lo previsto en las letras a), d) y e) del apartado 1 del presente artículo. 5. No será de aplicación lo dispuesto en el apartado anterior cuando expresamente una Ley lo prevea, cuando el tratamiento tenga fines históricos, estadísticos o científicos, o cuando la información al interesado resulte imposible o exija esfuerzos desproporcionados, a criterio de la Agencia de Protección de Datos o del organismo autonómico equivalente, en consideración al número de interesados, a la antigüedad de los datos y a las posibles medidas compensatorias. Asimismo, tampoco regirá lo dispuesto en el apartado anterior cuando los datos procedan de fuentes accesibles al público y se destinen a la actividad de publicidad o prospección comercial, en cuyo caso, en cada comunicación que se dirija al interesado se le informará


del origen de los datos y de la identidad del responsable del tratamiento así como de los derechos que le asisten.

Artículo 6. Consentimiento del afectado.1.-. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa.2. No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 7, apartado 6, de la presente Ley, o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado.3. El consentimiento a que se refiere el artículo podrá ser revocado cuando exista causa justificada para ello y no se le atribuyan efectos retroactivos.4. En los casos en los que no sea necesario el consentimiento del afectado para el tratamiento de los datos de carácter personal, y siempre que una Ley no disponga lo contrario, éste podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal. En tal supuesto, el responsable del fichero excluirá del tratamiento los datos relativos al afectado.

Artículo 7. Datos especialmente protegidos1. De acuerdo con lo establecido en el apartado 2 del artículo 16 de la Constitución, nadie podrá ser obligado a declarar sobre su ideología, religión o creencias. Cuando en relación con estos datos se proceda a recabar el consentimiento a que se refiere el apartado siguiente, se advertirá al interesado acerca de su derecho a no prestarlo. 2. Sólo con el consentimiento expreso y por escrito del afectado podrán ser objeto de tratamiento los datos de carácter personal que revelen la ideología, afiliación sindical, religión y creencias. Se exceptúan los ficheros mantenidos por los partidos políticos, sindicatos, iglesias, confesiones o comunidades religiosas y asociaciones, fundaciones y otras entidades sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, en cuanto a los datos relativos a sus asociados o miembros, sin perjuicio de que la cesión de dichos datos precisará siempre el previo consentimiento del afectado. 3.Los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una Ley o el afectado consienta expresamente. 4.Quedan prohibidos los ficheros creados con la finalidad exclusiva de almacenar datos de carácter personal que revelen la ideología, afiliación sindical, religión, creencias, origen racial o étnico, o vida sexual. 5. Los datos de carácter personal relativos a la comisión de infracciones penales o administrativas sólo podrán ser incluidos en ficheros de las Administraciones Públicas competentes en los supuestos previstos en las respectivas normas reguladoras. 6.No obstante lo dispuesto en los apartados anteriores podrán ser objeto de tratamiento los datos de carácter personal a que se refieren los apartados 2 y 3 de este artículo, cuando dicho tratamiento resulte necesario para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios, siempre que dicho tratamiento de datos se realice por un profesional


sanitario sujeto al secreto profesional o por otra persona sujeta asimismo a una obligación equivalente de secreto.También podrán ser objeto de tratamiento los datos a que se refiere el párrafo anterior cuando el tratamiento sea necesario para salvaguardar el interés vital del afectado o de otra persona, en el supuesto de que el afectado esté física o jurídicamente incapacitado para dar su consentimiento.

Artículo 8. Datos relativos a la salud .Sin perjuicio de lo que se dispone en el artículo 11 respecto de la cesión, las instituciones y los centros sanitarios públicos y privados y los profesionales correspondientes podrán proceder al tratamiento de los datos de carácter personal relativos a la salud de las personas que a ellos acudan o hayan de ser tratados en los mismos, de acuerdo con lo dispuesto en la legislación estatal o autonómica sobre sanidad .

Artículo 9. Seguridad de los datos.1. El responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.2. No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas.3. Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los ficheros y las personas que intervengan en el tratamiento de los datos a que se refiere el artículo 7 de esta Ley.

Artículo 10. Deber de secreto.El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.

Artículo 11. Comunicación de datos.1.- Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.2. El consentimiento exigido en el apartado anterior no será preciso:a) Cuando la cesión está autorizada en una Ley. b) Cuando se trate de datos recogidos de fuentes accesibles al público. c) Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique. d) Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco será preciso el consentimiento cuando la comunicación tenga como destinatario a instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas.


e) Cuando la cesión se produzca entre Administraciones Públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos. f) Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica. 3. Será nulo el consentimiento para la comunicación de los datos de carácter personal a un tercero cuando la información que se facilite al interesado no le permita conocer la finalidad a que destinarán los datos cuya comunicación se autoriza o el tipo de actividad de aquél a quien se pretenden comunicar. 4. El consentimiento para la comunicación de los datos de carácter personal tiene también un carácter de revocable. 5. Aquél a quien se comuniquen los datos de carácter personal se obliga, por el solo hecho de la comunicación, a la observancia de las disposiciones de la presente Ley. 6. Si la comunicación se efectúa previo procedimiento de disociación, no será aplicable lo establecido en los apartados anteriores.

Artículo 12. Acceso a los datos por cuenta de terceros.1. No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento. 2. La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el artículo 9 de esta Ley que el encargado del tratamiento está obligado a implementar.3. Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento. 4. En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado, también, responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente.

TÍTULO III. Derechos de las personas.

Artículo 13. Impugnación de valoraciones1. Los ciudadanos tienen derecho a no verse sometidos a una decisión con efectos jurídicos, sobre ellos o que les afecte de manera significativa, que se base únicamente en un tratamiento de datos destinados a evaluar determinados aspectos de su personalidad.2. El afectado podrá impugnar los actos administrativos o decisiones privadas que impliquen una valoración de su comportamiento, cuyo único fundamento sea un tratamiento de datos de carácter personal que ofrezca una definición de sus características o personalidad.3. En este caso, el afectado tendrá derecho a obtener información del responsable del fichero sobre los criterios de valoración y el programa utilizados en el tratamiento que sirvió para adoptar la decisión en que consistió el acto.4. La valoración sobre el comportamiento de los ciudadanos basada en un tratamiento de datos, únicamente podrá tener valor probatorio a petición del afectado.


Artículo 14. Derecho de Consulta al Registro General de Protección de Datos.Cualquier persona podrá conocer, recabando a tal fin la información oportuna del Registro General de Protección de Datos, la existencia de tratamientos de datos de carácter personal, sus finalidades y la identidad del responsable del tratamiento. El Registro General será de consulta pública y gratuita.

Artículo 15. Derecho de acceso.1. El interesado tendrá derecho a solicitar y obtener gratuitamente información de sus datos de carácter personal sometidos a tratamiento, el origen de dichos datos así como las comunicaciones realizadas o que se prevén hacer de los mismos. 2. La información podrá obtenerse mediante la mera consulta de los datos por medio de su visualización, o la indicación de los datos que son objeto de tratamiento mediante escrito, copia, telecopia o fotocopia, certificada o no, en forma legible e inteligible, sin utilizar claves o códigos que requieran el uso de dispositivos mecánicos específicos. 3. El derecho de acceso a que se refiere este artículo sólo podrá ser ejercitado a intervalos no inferiores a doce meses, salvo que el interesado acredite un interés legítimo al efecto, en cuyo caso podrá ejercitarlo antes.

Artículo 16. Derecho de rectificación y cancelación.1. El responsable del tratamiento tendrá la obligación de hacer efectivo el derecho de rectificación o cancelación del interesado en el plazo de diez días. 2. Serán rectificados o cancelados, en su caso, los datos de carácter personal cuyo tratamiento no se ajuste a lo dispuesto en la presente Ley y, en particular, cuando tales datos resulten inexactos o incompletos. 3. La cancelación dará lugar al bloqueo de los datos, conservándose únicamente a disposición de las Administraciones Públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de éstas. Cumplido el citado plazo deberá procederse a la supresión. 4. Si los datos rectificados o cancelados hubieran sido comunicados previamente, el responsable del tratamiento deberá notificar la rectificación o cancelación efectuada a quien se hayan comunicado, en el caso de que se mantenga el tratamiento por este último, que deberá también proceder a la cancelación . 5. Los datos de carácter personal deberán ser conservados durante los plazos previstos en las disposiciones aplicables o, en su caso, en las relaciones contractuales entre la persona o entidad responsable del tratamiento y el interesado. .

Artículo 17. Procedimiento de oposición, acceso, rectificación o cancelación.1. Los procedimientos para ejercitar el derecho de oposición, acceso, así como los de rectificación y cancelación serán establecidos reglamentariamente. 2. No se exigirá contraprestación alguna por el ejercicio de los derechos de oposición, acceso, rectificación o cancelación.

Artículo 18. Tutela de los derechos.1. Las actuaciones contrarias a lo dispuesto en la presente Ley pueden ser objeto de reclamación por los interesados ante la Agencia de Protección de Datos, en la forma que reglamentariamente se determine. 2. El interesado al que se deniegue, total o parcialmente, el ejercicio de los derechos de oposición, acceso, rectificación o cancelación, podrá ponerlo en conocimiento de la Agencia


de Protección de Datos o, en su caso, del Organismo competente de cada Comunidad Autónoma, que deberá asegurarse de la procedencia o improcedencia de la denegación.3. El plazo máximo en que debe dictarse la resolución expresa de tutela de derechos será de seis meses. 4. Contra las resoluciones de la Agencia de Protección de Datos procederá recurso contencioso-administrativo.

Artículo 19. Derecho a indemnización1. Los interesados que, como consecuencia del incumplimiento de lo dispuesto en la presente Ley por el responsable o el encargado del tratamiento, sufran daño o lesión en sus bienes o derechos tendrán derecho a ser indemnizados. 2. Cuando se trate de ficheros de titularidad pública, la responsabilidad se exigirá de acuerdo con la legislación reguladora del régimen de responsabilidad de las Administraciones Públicas. 3. En el caso de los ficheros de titularidad privada, la acción se ejercitará ante los órganos de la jurisdicción ordinaria.

TÍTULO IV. Disposiciones sectoriales

Capítulo I: Ficheros de titularidad pública

Artículo 20. Creación, modificación o supresión.1. La creación, modificación o supresión de los ficheros de las Administraciones Públicas sólo podrán hacerse por medio de disposición general publicada en el "Boletín Oficial del Estado" o diario oficial correspondiente. 2. Las disposiciones de creación o de modificación de ficheros deberán indicar: a) La finalidad del fichero y los usos previstos para el mismo. b) Las personas o colectivos sobre los que se pretenda obtener datos de carácter personal o que resulten obligados a suministrarlos. c) El procedimiento de recogida de los datos de carácter personal. d) La estructura básica del fichero y la descripción de los tipos de datos de carácter personal incluidos en el mismo. e) Las cesiones de datos de carácter personal y, en su caso, las transferencias de datos que se prevean a países terceros. f) Los órganos de las Administraciones responsables del fichero. g) Los servicios o unidades ante los que pudiesen ejercitarse los derechos de acceso, rectificación, cancelación y oposición. h) Las medidas de seguridad con indicación del nivel básico, medio o alto exigible. 3. En las disposiciones que se dicten para la supresión de los ficheros se establecerá el destino de los mismos o, en su caso, las previsiones que se adopten para su destrucción.

Artículo 21.Comunicación de datos entre Administraciones Públicas.1. Los datos de carácter personal recogidos o elaborados por las Administraciones Públicas para el desempeño de sus atribuciones no serán comunicados a otras Administraciones Públicas para el ejercicio de competencias diferentes o de competencias que versen sobre materias distintas, salvo cuando la comunicación hubiere sido prevista por las disposiciones de creación del fichero o por disposición de superior rango que regule su uso, o cuando la comunicación tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos.


2. Podrán, en todo caso, ser objeto de comunicación los datos de carácter personal que una Administración Pública obtenga o elabore con destino a otra. 3. No obstante lo establecido en el artículo 11.2 b), la comunicación de datos recogidos de fuentes accesibles al público no podrá efectuarse a ficheros de titularidad privada, sino con el consentimiento del interesado o cuando una Ley prevea otra cosa. 4. En los supuestos previstos en los apartados 1 y 2 del presente artículo no será necesario el consentimiento del afectado a que se refiere el artículo 11 de la presente Ley.

Artículo 22. Ficheros de las Fuerzas y Cuerpos de Seguridad1. Los ficheros creados por las Fuerzas y Cuerpos de Seguridad que contengan datos de carácter personal que, por haberse recogido para fines administrativos, deban ser objeto de registro permanente, estarán sujetos al régimen general de la presente Ley. 2. La recogida y tratamiento para fines policiales de datos de carácter personal por las Fuerzas y Cuerpos de Seguridad sin consentimiento de las personas afectadas están limitados a aquellos supuestos y categorías de datos que resulten necesarios para la prevención de un peligro real para la seguridad pública o para la represión de infracciones penales, debiendo ser almacenados en ficheros específicos establecidos al efecto, que deberán clasificarse por categorías en función de su grado de fiabilidad. 3. La recogida y tratamiento por las Fuerzas y Cuerpos de Seguridad de los datos a que hacen referencia los apartados 2 y 3 del artículo 7, podrán realizarse exclusivamente en los supuestos en que sea absolutamente necesario para los fines de una investigación concreta, sin perjuicio del control de legalidad de la actuación administrativa o de la obligación de resolver las pretensiones formuladas en su caso por los interesados que corresponden a los órganos jurisdiccionales. 4. Los datos personales registrados con fines policiales se cancelarán cuando no sean necesarios para las averiguaciones que motivaron su almacenamiento. A estos efectos, se considerará especialmente la edad del afectado y el carácter de los datos almacenados, la necesidad de mantener los datos hasta la conclusión de una investigación o procedimiento concreto, la resolución judicial firme, en especial la absolutoria, el indulto, la rehabilitación y la prescripción de responsabilidad.

Artículo 23. Excepciones a los derechos de acceso, rectificación y cancelación.1. Los responsables de los ficheros que contengan los datos a que se refieren los apartados 2, 3 y 4 del artículo anterior podrán denegar el acceso, la rectificación o cancelación en función de los peligros que pudieran derivarse para la defensa del Estado o la seguridad pública, la protección de los derechos y libertades de terceros o las necesidades de las investigaciones que se estén realizando. 2. Los responsables de los ficheros de la Hacienda Pública podrán, igualmente, denegar el ejercicio de los derechos a que se refiere el apartado anterior cuando el mismo obstaculice las actuaciones administrativas tendentes a asegurar el cumplimiento de las obligaciones tributarias y, en todo caso, cuando el afectado esté siendo objeto de actuaciones inspectoras. 3. El afectado al que se deniegue, total o parcialmente, el ejercicio de los derechos mencionados en los apartados anteriores podrá ponerlo en conocimiento del Director de la Agencia de Protección de Datos o del Organismo competente de cada Comunidad Autónoma en el caso de ficheros mantenidos por Cuerpos de Policía propios de éstas, o por las Administraciones Tributarias Autonómicas, quienes deberán asegurarse de la procedencia o improcedencia de la denegación.

Artículo 24. Otras excepciones a los derechos de los afectados.


1. Lo dispuesto en los apartados 1 y 2 del artículo 5 no será aplicable a la recogida de datos cuando la información al afectado impida o dificulte gravemente el cumplimiento de las funciones de control y verificación de las Administraciones Públicas o cuando afecte a la Defensa Nacional, a la seguridad pública o a la persecución de infracciones penales o administrativas. 2. Lo dispuesto en el artículo 15 y en el apartado 1 del artículo 16 no será de aplicación si, ponderados los intereses en presencia, resultase que los derechos que dichos preceptos conceden al afectado hubieran de ceder ante razones de interés público o ante intereses de terceros más dignos de protección. Si el órgano administrativo responsable del fichero invocase lo dispuesto en este apartado, dictará resolución motivada e instruirá al afectado del derecho que le asiste a poner la negativa en conocimiento del Director de la Agencia de Protección de Datos o, en su caso, del órgano equivalente de las Comunidades Autónomas.

Capítulo II: Ficheros de titularidad privada

Artículo 25. Creación.1. Podrán crearse ficheros de titularidad privada que contengan datos de carácter personal cuando resulte necesario para el logro de la actividad u objeto legítimos de la persona, empresa o entidad titular y se respeten las garantías que esta Ley establece para la protección de las personas.

Artículo 26. Notificación e inscripción registral.1. Toda persona o entidad que proceda a la creación de ficheros de datos de carácter personal lo notificará previamente a la Agencia de Protección de Datos. 2. Por vía reglamentaria se procederá a la regulación detallada de los distintos extremos que debe contener la notificación, entre los cuales figurarán necesariamente el responsable del fichero, la finalidad del mismo, su ubicación, el tipo de datos de carácter personal que contiene, las medidas de seguridad, con indicación del nivel básico, medio o alto exigible y las cesiones de datos de carácter personal que se prevean realizar y, en su caso, las transferencias de datos que se prevean a países terceros. 3. Deberán comunicarse a la Agencia de Protección de Datos los cambios que se produzcan en la finalidad del fichero automatizado, en su responsable y en la dirección de su ubicación. 4. El Registro General de Protección de Datos inscribirá el fichero si la notificación se ajusta a los requisitos exigibles. En caso contrario podrá pedir que se completen los datos que falten o se proceda a su subsanación. 5. Transcurrido un mes desde la presentación de la solicitud de inscripción sin que la Agencia de Protección de Datos hubiera resuelto sobre la misma, se entenderá inscrito el fichero automatizado a todos los efectos. .

Artículo 27. Comunicación de la cesión de datos1. El responsable del fichero, en el momento en que se efectúe la primera cesión de datos, deberá informar de ello a los afectados, indicando, asimismo, la finalidad del fichero, la naturaleza de los datos que han sido cedidos y el nombre y dirección del cesionario. 2. La obligación establecida en el apartado anterior no existirá en el supuesto previsto en los apartados 2, letras c), d), e) y 6 del artículo 11, ni cuando la cesión venga impuesta por Ley.

Artículo 28. Datos incluidos en las fuentes de acceso público.


1. Los datos personales que figuren en el censo promocional o las listas de personas pertenecientes a grupos de profesionales a que se refiere el artículo 3 j) de esta Ley deberán limitarse a los que sean estrictamente necesarios para cumplir la finalidad a que se destina cada listado. La inclusión de datos adicionales por las entidades responsables del mantenimiento de dichas fuentes requerirá el consentimiento del interesado, que podrá ser revocado en cualquier momento. 2. Los interesados tendrán derecho a que la entidad responsable del mantenimiento de los listados de los Colegios profesionales indique gratuitamente que sus datos personales no pueden utilizarse para fines de publicidad o prospección comercial. Los interesados tendrán derecho a exigir gratuitamente la exclusión de la totalidad de sus datos personales que consten en el censo promocional por las entidades encargadas del mantenimiento de dichas fuentes. La atención a la solicitud de exclusión de la información innecesaria o de inclusión de la objeción al uso de los datos para fines de publicidad o venta a distancia deberá realizarse en el plazo de diez días respecto de las informaciones que se realicen mediante consulta o comunicación telemática y en la siguiente edición del listado cualquiera que sea el soporte en que se edite. 3. Las fuentes de acceso público que se editen en forma de libro o algún otro soporte físico, perderán el carácter de fuente accesible con la nueva edición que se publique. En el caso de que se obtenga telemáticamente una copia de la lista en formato electrónico, ésta perderá el carácter de fuente de acceso público en el plazo de un año, contado desde el momento de su obtención. 4. Los datos que figuren en las guías de servicios de telecomunicaciones disponibles al público se regirán por su normativa específica.

Artículo 29. Prestación de servicios de información sobre solvencia patrimonial y crédito.1. Quienes se dediquen a la prestación de servicios de información sobre la solvencia patrimonial y el crédito sólo podrán tratar datos de carácter personal obtenidos de los registros y las fuentes accesibles al público establecidos al efecto o procedentes de informaciones facilitadas por el interesado o con su consentimiento. 2. Podrán tratarse también datos de carácter personal relativos al cumplimiento o incumplimiento de obligaciones dinerarias facilitados por el creedor o por quien actúe por su cuenta o interés. En estos casos se notificará a los interesados respecto de los que hayan registrado datos de carácter personal en ficheros, en el plazo de treinta días desde dicho registro, una referencia de los que hubiesen sido incluidos y se les informará de su derecho a recabar información de la totalidad de ellos, en los términos establecidos por la presente Ley. 3. En los supuestos a que se refieren los dos apartados anteriores cuando el interesado lo solicite, el responsable del tratamiento le comunicará los datos, así como las evaluaciones y apreciaciones que sobre el mismo hayan sido comunicadas durante los últimos seis meses y el nombre y dirección de la persona o entidad a quien se hayan revelado los datos. 4. Sólo se podrán registrar y ceder los datos de carácter personal que sean determinantes para enjuiciar la solvencia económica de los interesados y que no se refieran, cuando sean adversos, a más de seis años, siempre que respondan con veracidad a la situación actual de aquellos.

Artículo 30. Tratamientos con fines de publicidad y de prospección comercial.1. Quienes se dediquen a la recopilación de direcciones, reparto de documentos, publicidad, venta a distancia, prospección comercial y otras actividades análogas, utilizarán nombres y direcciones u otros datos de carácter personal cuando los mismos figuren en


fuentes accesibles al público o cuando hayan sido facilitados por los propios interesados u obtenidos con su consentimiento.2. Cuando los datos procedan de fuentes accesibles al público, de conformidad con lo establecido en el párrafo segundo del artículo 5.5 de esta Ley, en cada comunicación que se dirija al interesado se informará del origen de los datos y de la identidad del responsable del tratamiento, así como de los derechos que le asisten. 3. En el ejercicio del derecho de acceso los interesados tendrán derecho a conocer el origen de sus datos de carácter personal, así como del resto de información a que se refiere el artículo 15. 4. Los interesados tendrán derecho a oponerse, previa petición y sin gastos, al tratamiento de los datos que les conciernan, en cuyo caso serán dados de baja del tratamiento, cancelándose las informaciones que sobre ellos figuren en aquél, a su simple solicitud.

Artículo 31. Censo Patrimonial.1. Quienes pretendan realizar permanente o esporádicamente la actividad de recopilación de direcciones, reparto de documentos, publicidad, venta a distancia, prospección comercial u otras actividades análogas, podrán solicitar del Instituto Nacional de Estadística o de los órganos equivalentes de las Comunidades Autónomas una copia del censo promocional, formado con los datos de nombre, apellidos y domicilio que constan en el censo electoral. 2. El uso de cada lista de censo promocional tendrá un plazo de vigencia de un año. Transcurrido el plazo citado, la lista perderá su carácter de fuente de acceso público. 3. Los procedimientos mediante los que los interesados podrán solicitar no aparecer en el censo promocional se regularán reglamentariamente. Entre estos procedimientos, que serán gratuitos para los interesados, se incluirá el documento de empadronamiento. Trimestralmente se editará una lista actualizada del censo promocional, excluyendo los nombres y domicilios de los que así lo hayan solicitado. 4. Se podrá exigir una contraprestación por la facilitación de la citada lista en soporte informático.

Artículo 32. Códigos Tipo.1. Mediante acuerdos sectoriales, convenios administrativos o decisiones de empresa, los responsables de tratamientos de titularidad pública y privada así como las organizaciones en que se agrupen, podrán formular códigos tipo que establezcan las condiciones de organización, régimen de funcionamiento, procedimientos aplicables, normas de seguridad del entorno, programas o equipos, obligaciones de los implicados en el tratamiento y uso de la información personal, así como las garantías, en su ámbito, para el ejercicio de los derechos de las personas con pleno respeto a los principios y disposiciones de la presente Ley y sus normas de desarrollo. 2. Los citados códigos podrán contener o no reglas operacionales detalladas de cada sistema particular y estándares técnicos de aplicación. En el supuesto de que tales reglas o estándares no se incorporen directamente al código, las instrucciones u órdenes que los establecieran deberán respetar los principios fijados en aquél. 3. Los códigos tipo tendrán el carácter de códigos deontológicos o de buena práctica profesional, debiendo ser depositados o inscritos en el Registro General de Protección de Datos y, cuando corresponda, en los creados a estos efectos por las Comunidades Autónomas, de acuerdo con el artículo 41. El Registro General de Protección de Datos podrá denegar la inscripción cuando considere que no se ajusta a las disposiciones legales y reglamentarias sobre la materia, debiendo, en este caso, el Director de la Agencia de Protección de Datos requerir a los solicitantes para que efectúen las correcciones oportunas.


TÍTULO V. Movimiento internacional de datos.

Artículo 33. Norma general.1. No podrán realizarse transferencias temporales ni definitivas de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento con destino a países que no proporcionen un nivel de protección equiparable al que presta la presente Ley, salvo que, además de haberse observado lo dispuesto en ésta, se obtenga autorización previa del Director de la Agencia de Protección de Datos, que sólo podrá otorgarla si se obtienen garantías adecuadas. 2. El carácter adecuado del nivel de protección que ofrece el país de destino se evaluará por la Agencia de Protección de Datos atendiendo a todas las circunstancias que concurran en la transferencia o categoría de transferencia de datos. En particular, se tomará en consideración la naturaleza de los datos de finalidad y la duración del tratamiento o de los tratamientos previstos, el país de origen y el país de destino final, las normas de Derecho, generales o sectoriales, vigentes en el país tercero de que se trate, el contenido de los informes de la Comisión de la Unión Europea, así como las normas profesionales y las medidas de seguridad en vigor en dichos países.

Artículo 34. Excepciones.Lo dispuesto en el artículo anterior no será de aplicación:a) Cuando la transferencia internacional de datos de carácter personal resulte de la aplicación de tratados o convenios en los que sea parte España. b) Cuando la transferencia se haga a efectos de prestar o solicitar auxilio judicial internacional. c) Cuando la transferencia sea necesaria para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamiento médicos o la gestión de servicios sanitarios. d) Cuando se refiera a transferencias dinerarias conforme a su legislación

específica. e) Cuando el afectado haya dado su consentimiento inequívoco a la transferencia

prevista. f) Cuando la transferencia sea necesaria para la ejecución de un contrato entre el afectado y el responsable del fichero o para la adopción de medidas precontractuales adoptadas a petición del afectado. g) Cuando la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar, en interés del afectado, por el responsable del fichero y un tercero. h) Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público. Tendrá esta consideración la transferencia solicitada por una Administración fiscal o aduanera para el cumplimiento de sus competencias. i) Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial. j) Cuando la transferencia se efectúe, a petición de persona con interés legítimo, desde un Registro Público y aquélla sea acorde con la finalidad del mismo. k) Cuando la transferencia tenga como destino un Estado miembro de la Unión Europea, o un Estado respecto del cual la Comisión de las Comunidades Europeas, en el ejercicio de sus competencias, haya declarado que garantiza un nivel de protección adecuado.

TÍTULO VI. Agencia de Protección de Datos

Artículo 35. Naturaleza y régimen jurídico.


1. La Agencia de Protección de Datos es un Ente de Derecho público, con personalidad jurídica propia y plena capacidad pública y privada, que actúa con plena independencia de las Administraciones Públicas en el ejercicio de sus funciones. Se regirá por lo dispuesto en la presente Ley y en un Estatuto propio, que será aprobado por el Gobierno. 2. En el ejercicio de sus funciones públicas, y en defecto de lo que disponga la presente Ley y sus disposiciones de desarrollo, la Agencia de Protección de Datos actuará de conformidad con la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común. En sus adquisiciones patrimoniales y contratación estará sujeta al Derecho privado. 3. Los puestos de trabajo de los órganos y servicios que integren la Agencia de Protección de Datos serán desempeñados por funcionarios de las Administraciones Públicas y por personal contratado al efecto, según la naturaleza de las funciones asignadas a cada puesto de trabajo. Este personal está obligado a guardar secreto de los datos de carácter personal de que conozca en el desarrollo de su función. 4. La Agencia de Protección de Datos contará, para el cumplimiento de sus fines, con los siguientes bienes y medios económicos: a) Las asignaciones que se establezcan anualmente con cargo a los Presupuestos Generales del Estado. b) Los bienes y valores que constituyan su patrimonio, así como los productos y rentas del mismo. c) Cualesquiera otros que legalmente puedan serle atribuidos. 5. La Agencia de Protección de Datos elaborará y aprobará con carácter anual el correspondiente anteproyecto de presupuesto y lo remitirá al Gobierno para que sea integrado, con la debida independencia, en los Presupuestos Generales del Estado.

Artículo 36. El Director.1. El Director de la Agencia de Protección de Datos dirige la Agencia y ostenta su representación. Será nombrado, de entre quienes componen el Consejo Consultivo, mediante Real Decreto, por un período de cuatro años. 2. Ejercerá sus funciones con plena independencia y objetividad, y no estará sujeto a instrucción alguna en el desempeño de aquéllas. En todo caso, el Director deberá oír al Consejo Consultivo en aquéllas propuestas que éste le realice en el ejercicio de sus funciones. 3. El Director de la Agencia de Protección de Datos sólo cesará antes de la expiración del período a que se refiere el apartado 1 a petición propia o por separación acordada por el Gobierno, previa instrucción de expediente, en el que necesariamente serán oídos los restantes miembros del Consejo Consultivo, por incumplimiento grave de sus obligaciones, incapacidad sobrevenida para el ejercicio de su función, incompatibilidad o condena por delito doloso. 4. El Director de la Agencia de Protección de Datos tendrá la consideración de alto cargo y quedará en la situación de servicios especiales si con anterioridad estuviera desempeñando una función pública. En el supuesto de que sea nombrado para el cargo algún miembro de la carrera judicial o fiscal, pasará asimismo a la situación administrativa de servicios especiales.

Artículo 37. Funciones.1. Son funciones de la Agencia de Protección de Datos:


a) Velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación, en especial en lo relativo a los derechos de información, acceso, rectificación, oposición y cancelación de datos. b) Emitir las autorizaciones previstas en la Ley o en sus disposiciones

reglamentarias. c) Dictar, en su caso y sin perjuicio de las competencias de otros órganos, las instrucciones precisas para adecuar los tratamientos a los principios de la presente Ley. d) Atender las peticiones y reclamaciones formuladas por las personas afectadas. e) Proporcionar información a las personas acerca de sus derechos en materia de tratamiento de los datos de carácter personal. f) Requerir a los responsables y los encargados de los tratamientos, previa audiencia de éstos, la adopción de las medidas necesarias para la adecuación del tratamiento de datos a las disposiciones de esta Ley y, en su caso, ordenar la cesación de los tratamientos y la cancelación de los ficheros, cuando no se ajuste a sus disposiciones. g) Ejercer la potestad sancionadora en los términos previstos por el Título VII de la presente Ley. h) Informar, con carácter preceptivo, los proyectos de disposiciones generales que desarrollen esta Ley. i) Recabar de los responsables de los ficheros cuanta ayuda e información estime necesaria para el desempeño de sus funciones. j) Velar por la publicidad de la existencia de los ficheros de datos con carácter personal, a cuyo efecto publicará periódicamente una relación de dichos ficheros con la información adicional que el Director de la Agencia determine. k) Redactar una memoria anual y remitirla al Ministerio de Justicia. l) Ejercer el control y adoptar las autorizaciones que procedan en relación con los movimientos internacionales de datos, así como desempeñar las funciones de cooperación internacional en materia de protección de datos personales. m) Velar por el cumplimiento de las disposiciones que la Ley de la Función Estadística Pública establece respecto a la recogida de datos estadísticos y al secreto estadístico, así como dictar las instrucciones precisas, dictaminar sobre las condiciones de seguridad de los ficheros constituidos con fines exclusivamente estadísticos y ejercer la potestad a la que se refiere el artículo 46. n) Cuantas otras le sean atribuidas por normas legales o reglamentarias.

Artículo 38. Consejo Consultivo.1.-El Director de la Agencia de Protección de Datos estará asesorado por un Consejo Consultivo compuesto por los siguientes miembros:Un Diputado, propuesto por el Congreso de los Diputados. Un Senador, propuesto por el Senado.Un representante de la Administración Central, designado por el Gobierno.Un representante de la Administración Local, propuesto por la Federación Española de Municipios y Provincias.Un miembro de la Real Academia de la Historia, propuesto por la misma.Un experto en la materia, propuesto por el Consejo Superior de Universidades.Un representante de los usuarios y consumidores, seleccionado del modo que se prevea reglamentariamente.Un representante de cada Comunidad Autónoma que haya creado una agencia de protección de datos en su ámbito territorial, propuesto de acuerdo con el procedimiento que establezca la respectiva Comunidad Autónoma.Un representante del sector de ficheros privados, para cuya propuesta se seguirá el procedimiento que se regule reglamentariamente.


El funcionamiento del Consejo Consultivo se regirá por las normas reglamentarias que al efecto se establezcan. .

Artículo 39. El Registro General de Protección de Datos.1. El Registro General de Protección de Datos es un órgano integrado en la Agencia de Protección de Datos. 2. Serán objeto de inscripción en el Registro General de Protección de Datos a) Los ficheros de que sean titulares las Administraciones Públicas. b) Los ficheros de titularidad privada. c) Las autorizaciones a que se refiere la presente Ley. d) Los códigos tipo a que se refiere el artículo 32 de la presente Ley. e) Los datos relativos a los ficheros que sean necesarios para el ejercicio de los derechos de información, acceso, rectificación, cancelación y oposición. 3. Por vía reglamentaria se regulará el procedimiento de inscripción de los ficheros, tanto de titularidad pública como de titularidad privada, en el Registro General de Protección de Datos, el contenido de la inscripción , su modificación, cancelación, reclamaciones y recursos contra las resoluciones correspondientes y demás extremos pertinentes. .

Artículo 40. Potestad de inspección.1. Las autoridades de control podrán inspeccionar los ficheros a que hace referencia la presente Ley, recabando cuantas informaciones precisen para el cumplimiento de sus cometidos. A tal efecto, podrán solicitar la exhibición o el envío de documentos y datos y examinarlos en el lugar en que se encuentren depositados, así como inspeccionar los equipos físicos y lógicos utilizados para el tratamiento de los datos, accediendo a los locales donde se hallen instalados. 2. Los funcionarios que ejerzan la inspección a que se refiere el apartado anterior tendrán la consideración de autoridad pública en el desempeño de sus cometidos. Estarán obligados a guardar secreto sobre las informaciones que conozcan en el ejercicio de las mencionadas funciones, incluso después de haber cesado en las mismas.

Artículo 41. Órganos correspondientes de las Comunidades Autónomas1. Las funciones de la Agencia de Protección de Datos reguladas en el artículo 37, a excepción de las mencionadas en los apartados j), k) y l), y en los apartados f) y g) en lo que se refiere a las transferencias internacionales de datos, así como en los artículos 46 y 49, en relación con sus específicas competencias serán ejercidas, cuando afecten a ficheros de datos de carácter personal creados o gestionados por las Comunidades Autónomas y por la Administración local de su ámbito territorial, por los órganos correspondientes de cada Comunidad, que tendrán la consideración de autoridades de control, a los que garantizarán plena independencia y objetividad en el ejercicio de su cometido. 2. Las Comunidades Autónomas podrán crear y mantener sus propios registros de ficheros para el ejercicio de las competencias que se les reconoce sobre los mismos. 3. El Director de la Agencia de Protección de Datos podrá convocar regularmente a los órganos correspondientes de las Comunidades Autónomas a efectos de cooperación institucional y coordinación de criterios o procedimientos de actuación. El Director de la Agencia de Protección de Datos y los órganos correspondientes de las Comunidades Autónomas podrán solicitarse mutuamente la información necesaria para el cumplimiento de sus funciones.

Artículo 42. Ficheros de las Comunidades Autónomas en materia de su exclusiva competencia.


1. Cuando el Director de la Agencia de Protección de Datos constate que el mantenimiento o uso de un determinado fichero de las Comunidades Autónomas contraviene algún precepto de esta Ley en materia de su exclusiva competencia podrá requerir a la Administración correspondiente que se adopten las medidas correctoras que determine en el plazo que expresamente se fije en el requerimiento. 2. Si la Administración Pública correspondiente no cumpliera el requerimiento formulado, el Director de la Agencia de Protección de Datos podrá impugnar la resolución adoptada por aquella Administración. .

TÍTULO VII. Infracciones y sanciones.

Artículo 43. Responsables.1. Los responsables de los ficheros y los encargados de los tratamientos estarán sujetos al régimen sancionador establecido en la presente Ley. 2. Cuando se trate de ficheros de los que sean responsables las Administraciones Públicas se estará, en cuanto al procedimiento y a las sanciones, a lo dispuesto en el artículo 46, apartado 2.

Artículo 44. Tipos de infracciones.1. Las infracciones se calificarán como leves, graves o muy graves. 2. Son infracciones leves: a) No atender, por motivos formales, la solicitud del interesado de rectificación o cancelación de los datos personales objeto de tratamiento cuando legalmente proceda. b) No proporcionar la información que solicite la Agencia de Protección de Datos en el ejercicio de las competencias que tiene legalmente atribuidas, en relación con aspectos no sustantivos de la protección de datos. c) No solicitar la inscripción del fichero de datos de carácter personal en el Registro General de Protección de Datos, cuando no sea constitutivo de infracción grave. d) Proceder a la recogida de datos de carácter personal de los propios afectados sin proporcionarles la información que señala el artículo 5 de la presente Ley. e) Incumplir el deber de secreto establecido en el artículo 10 de esta Ley, salvo que constituya infracción grave. 3. Son infracciones graves: a) Proceder a la creación de ficheros de titularidad pública o iniciar la recogida de datos de carácter personal para los mismos, sin autorización de disposición general, publicada en el "Boletín Oficial del Estado" o diario oficial correspondiente. b) Proceder a la creación de ficheros de titularidad privada o iniciar la recogida de datos de carácter personal para los mismos con finalidades distintas de las que constituyen el objeto legítimo de la empresa o entidad. c) Proceder a la recogida de datos de carácter personal sin recabar el consentimiento expreso de las personas afectadas, en los casos en que éste sea exigible. d) Tratar los datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en la presente Ley o con incumplimiento de los preceptos de protección que impongan las disposiciones reglamentarias de desarrollo, cuando no constituya infracción muy grave. e) El impedimento o la obstaculización del ejercicio de los derechos de acceso y oposición y la negativa a facilitar la información que sea solicitada. f) Mantener datos de carácter personal inexactos o no efectuar las rectificaciones o cancelaciones de los mismos que legalmente procedan cuando resulten afectados los derechos de las personas que la presente Ley ampara.


g) La vulneración del deber de guardar secreto sobre los datos de carácter personal incorporados a ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros, prestación de servicios de solvencia patrimonial y crédito, así como aquellos otros ficheros que contengan un conjunto de datos de carácter personal suficientes para obtener una evaluación de la personalidad del individuo. h) Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen. i) No remitir a la Agencia de Protección de Datos las notificaciones previstas en esta Ley o en sus disposiciones de desarrollo, así como no proporcionar en plazo a la misma cuantos documentos e informaciones deba recibir o sean requeridos por aquél a tales efectos. j) La obstrucción al ejercicio de la función inspectora. k) No inscribir el fichero de datos de carácter personal en el Registro General de Protección de Datos, cuando haya sido requerido para ello por el Director de la Agencia de Protección de Datos. l) Incumplir el deber de información que se establece en los artículos 5, 28 y 29 de esta Ley, cuando los datos hayan sido recabados de persona distinta del afectado. 4. Son infracciones muy graves: a) La recogida de datos en forma engañosa y fraudulenta. b) La comunicación o cesión de los datos de carácter personal, fuera de los casos en que estén permitidas. c) Recabar y tratar los datos de carácter personal a los que se refiere el apartado 2 del artículo 7 cuando no medie el consentimiento expreso del afectado; recabar y tratar los datos referidos en el apartado 3 del artículo 7 cuando no lo disponga una Ley o el afectado no haya consentido expresamente, o violentar la prohibición contenida en el apartado 4 del artículo 7. d) No cesar en el uso ilegítimo de los tratamientos de datos de carácter personal cuando sea requerido para ello por el Director de la Agencia de Protección de Datos o por las personas titulares del derecho de acceso. e) La transferencia temporal o definitiva de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento, con destino a países que no proporcionen un nivel de protección equiparable sin autorización del Director de la Agencia de Protección de Datos. f) Tratar los datos de carácter personal de forma ilegítima o con menosprecio de los principios y garantías que les sean de aplicación, cuando con ello se impida o se atente contra el ejercicio de los derechos fundamentales. g) La vulneración del deber de guardar secreto sobre los datos de carácter personal a que hacen referencia los apartados 2 y 3 del artículo 7, así como los que hayan sido recabados para fines policiales sin consentimiento de las personas afectadas. h) No atender, u obstaculizar de forma sistemática el ejercicio de los derechos de acceso, rectificación, cancelación u oposición. i) No atender de forma sistemática el deber legal de notificación de la inclusión de datos de carácter personal en un fichero.

Artículo 45. Tipos de sanciones.1. Las infracciones leves serán sancionadas con multa de 100.000 a 10.000.000 de

pesetas. 2. Las infracciones graves serán sancionadas con multa de 10.000.000 a 50.000.000 de pesetas. 3. Las infracciones muy graves serán sancionadas con multa de 50.000.000 a 100.000.000 de pesetas.


4. La cuantía de las sanciones se graduará atendiendo a la naturaleza de los derechos personales afectados, al volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de intencionalidad, a la reincidencia, a los daños y perjuicios causados a las personas interesadas y a terceras personas, y a cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora. 5. Si, en razón de las circunstancias concurrentes, se apreciara una cualificada disminución de la culpabilidad del imputado o de la antijuridicidad del hecho, el órgano sancionador establecerá la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediantamente en gravedad a aquella en que se integra la considerada en el caso de que se trate. 6. En ningún caso podrá imponerse una sanción más grave que la fijada en la Ley para la clase de infracción en la que se integre la que se pretenda sancionar. 7. El Gobierno actualizará periódicamente la cuantía de las sanciones de acuerdo con las variaciones que experimenten los índices de precios.

Artículo 46. Infracciones de las Administraciones Públicas.1. Cuando las infracciones a que se refiere el artículo 44 fuesen cometidas en ficheros de los que sean responsables las Administraciones Públicas, el Director de la Agencia de Protección de Datos dictará una resolución estableciendo las medidas que procede adoptar para que cesen o se corrijan los efectos de la infracción. Esta resolución se notificará al responsable del fichero, al órgano del que dependa jerárquicamente y a los afectados si los hubiera.2. El Director de la Agencia podrá proponer también la iniciación de actuaciones disciplinarias, si procedieran. El procedimiento y las sanciones a aplicar serán las establecidas en la legislación sobre régimen disciplinario de las Administraciones Públicas.3. Se deberán comunicar a la Agencia las resoluciones que recaigan en relación con las medidas y actuaciones a que se refieren los apartados anteriores. 4. El Director de la Agencia comunicará al Defensor del Pueblo las actuaciones que efectúe y las resoluciones que dicte al amparo de los apartados anteriores.

Artículo 47. Prescripción.1.-Las infracciones muy graves prescribirán a los tres años, las graves a los dos años y las leves al año.2.-El plazo de prescripción comenzará a contarse desde el día en que la infracción se hubiera cometido.3.-Interrumpirá la prescripción la iniciación, con conocimiento del interesado, del procedimiento sancionador, reanudándose el plazo de prescripción si el expediente sancionador estuviere paralizado durante más de seis meses por causa no imputable al presunto infractor.4.-Las sanciones impuestas por faltas muy graves prescribirán a los tres años, las impuestas por faltas graves a los dos años, y las impuestas por faltas leves al año.5.-El plazo de prescripción de las sanciones, comenzará a contarse desde el día siguiente a aquél en que adquiera firmeza la resolución por la que se impone la sanción.6.-La prescripción se interrumpirá por la iniciación, con conocimiento del interesado, del procedimiento de ejecución, volviendo a transcurrir el plazo si el mismo está paralizado durante más de seis meses por causa no imputable al infractor.

Artículo 48. Procedimiento sancionador.


1 Por vía reglamentaria se establecerá el procedimiento a seguir para la determinación de las infracciones y la imposición de las sanciones a que hace referencia el presente Título. 2. Las resoluciones de la Agencia de Protección de Datos u órgano correspondiente de la Comunidad Autónoma agotan la vía administrativa.

Artículo 49. Potestad de inmovilización de ficheros.En los supuestos, constitutivos de infracción muy grave, de utilización o cesión ilícita de los datos de carácter personal en que se impida gravemente o se atente de igual modo contra el ejercicio de los derechos de los ciudadanos y el libre desarrollo de la personalidad que la Constitución y las leyes garantizan, el Director de la Agencia de Protección de Datos podrá, además de ejercer la potestad sancionadora, requerir a los responsables de ficheros de datos de carácter personal, tanto de titularidad pública como privada, la cesación en la utilización o cesión ilícita de los datos. Si el requerimiento fuera desatendido, la Agencia de Protección de Datos podrá, mediante resolución motivada, inmovilizar tales ficheros a los solos efectos de restaurar los derechos de las personas afectadas.

DISPOSICIONES ADICIONALES

Primera. Ficheros preexistentes.Los ficheros y tratamientos automatizados, inscritos o no en el Registro General de Protección de Datos deberán adecuarse a la presente Ley Orgánica dentro del plazo de tres años, a contar desde su entrada en vigor. En dicho plazo, los ficheros de titularidad privada deberán ser comunicados a la Agencia de Protección de Datos y las Administraciones Públicas, responsables de ficheros de titularidad pública, deberán aprobar la pertinente disposición de regulación del fichero o adaptar la existente.En el supuesto de ficheros y tratamientos no automatizados, su adecuación a la presente Ley Orgánica y la obligación prevista en el párrafo anterior deberá cumplimentarse en el plazo de doce años a contar desde el 24 de octubre de 1995, sin perjuicio del ejercicio de los derechos de acceso, rectificación y cancelación por parte de los afectados. .

Segunda: Ficheros y Registro de Población de las Administraciones Públicas.1. La Administración General del Estado y las Administraciones de las Comunidades Autónomas podrán solicitar al Instituto Nacional de Estadística, sin consentimiento del interesado, una copia actualizada del fichero formado con los datos del nombre, apellidos, domicilio, sexo y fecha de nacimiento que constan en los padrones municipales de habitantes y en el censo electoral correspondientes a los territorios donde ejerzan sus competencias, para la creación de ficheros o registros de población. 2. Los ficheros o registros de población tendrán como finalidad la comunicación de los distintos órganos de cada administración pública con los interesados residentes en los respectivos territorios, respecto a las relaciones jurídico administrativas derivadas de las competencias respectivas de las Administraciones Públicas. Tercera:Tratamiento de los expedientes de las derogadas Leyes de Vagos y Maleantes y de Peligrosidad y Rehabilitación Social. Los expedientes específicamente instruidos al amparo de las derogadas Leyes de Vagos y Maleantes, y de Peligrosidad y Rehabilitación Social, que contengan datos de cualquier índole susceptibles de afectar a la seguridad, al honor, a la intimidad o a la imagen de las personas, no podrán ser consultados sin que medie consentimiento expreso de los afectados, o hayan transcurrido 50 años desde la fecha de aquéllos. En este último supuesto, la Administración General del Estado, salvo que haya constancia expresa del fallecimiento de los afectados, pondrá a disposición del solicitante la documentación,


suprimiendo de la misma los datos aludidos en el párrafo anterior, mediante la utilización de los procedimientos técnicos pertinentes en cada caso.

Cuarta: Modificación del artículo 112.4 de la General Tributaria.El apartado cuarto del artículo 112 de la Ley General Tributaria pasa a tener la siguiente redacción:4. La cesión de aquellos datos de carácter personal, objeto de tratamiento que se debe efectuar a la Administración tributaria conforme a lo dispuesto en el artículo 111, en los apartados anteriores de este artículo o en otra norma de rango legal, no requerirá el consentimiento del afectado. En este ámbito tampoco será de aplicación lo que respecto a las Administraciones Públicas establece el apartado 1 del artículo 21 de la Ley Orgánica de Protección de Datos de carácter personal.

Quinta: Competencias del Defensor del Pueblo y órganos autonómicos semejantes.Lo dispuesto en la presente Ley Orgánica se entiende sin perjuicio de las competencias del Defensor del Pueblo y de los órganos análogos de las Comunidades Autónomas.

Sexta: Modificación del artículo 24.3 de la Ley de Ordenación y Supervisión de los Seguros Privados.Se modifica el artículo 24.3, párrafo 2º de la Ley 30/1995, de 8 de noviembre, de Ordenación y Supervisión de los Seguros Privados con la siguiente redacción:"Las entidades aseguradoras podrán establecer ficheros comunes que contengan datos de carácter personal para la liquidación de siniestros y la colaboración estadístico actuarial con la finalidad de permitir la tarificación y selección de riesgos y la elaboración de estudios de técnica aseguradora. La cesión de datos a los citados ficheros no requerirá el consentimiento previo del afectado, pero sí la comunicación al mismo de la posible cesión de sus datos personales a ficheros comunes para los fines señalados con expresa indicación del responsable para que se puedan ejercitar los derechos de acceso, rectificación y cancelación previstos en la Ley. También podrán establecerse ficheros comunes cuya finalidad sea prevenir el fraude en el seguro sin que sea necesario el consentimiento del afectado. No obstante, será necesaria en estos casos la comunicación al afectado, en la primera introducción de sus datos, de quién sea el responsable del fichero y de las formas de ejercicio de los derechos de acceso, rectificación y cancelación. En todo caso, los datos relativos a la salud sólo podrán ser objeto de tratamiento con el consentimiento expreso del afectado".

DISPOSICIONES TRANSITORIAS

Primera. Tratamientos creador por Convenios Internacionales.La Agencia de Protección de Datos será el organismo competente para la protección de las personas físicas en lo que respecta al tratamiento de datos de carácter personal respecto de los tratamientos establecidos en cualquier Convenio Internacional del que sea parte España que atribuya a una autoridad nacional de control esta competencia, mientras no se cree una autoridad diferente para este cometido en desarrollo del Convenio. .

Segunda: Utilización del Censo Promocional.Reglamentariamente se desarrollarán los procedimientos de formación del Censo Promocional, de oposición a aparecer en el mismo, de puesta a disposición de sus solicitantes, y de control de las listas difundidas. El Reglamento establecerá los plazos para la puesta en operación del Censo Promocional.


Tercera: Subsistencia de normas preexistentesHasta tanto se lleven a efecto las previsiones de la Disposición Final Primera de esta Ley, continuarán en vigor, con su propio rango, las normas reglamentarias existentes y, en especial, los Reales Decretos 428/1993, de 26 de marzo, 1332/1994, de 20 de junio y 994/1999, de 11 de junio, en cuanto no se opongan a la presente Ley.

DISPOSICIONES DEROGATORIAÚnica.Queda derogada la Ley Orgánica 5/1992, de 29 de octubre, de regulación del tratamiento automatizado de los datos de carácter personal.DISPOSICIONES FINALESPrimera. Habilitación para el desarrollo reglamentarioEl Gobierno aprobará, o modificará, las disposiciones reglamentarias necesarias para la aplicación y desarrollo de la presente Ley.Segunda: Preceptos con carácter de Ley OrdinarioLos títulos IV, VI excepto el último inciso del párrafo 4 del artículo 36 y VII de la presente Ley, la Disposición Adicional Cuarta, la Disposición Transitoria Primera y la Final Primera, tienen el carácter de Ley Ordinaria.Tercera: Entrada en vigorLa presente Ley entrará en vigor en el plazo de un mes, contado desde su publicación en el Boletín Oficial del Estado.REAL DECRETO 994/1999 de 11 de junio por el que se aprueba el REGLAMENTO DE MEDIDAS DE SEGURIDAD DE LOS FICHEROS AUTOMATIZADOS QUE CONTENGAN DATOS DE CARÁCTER PERSONAL

CAPÍTULO I. Disposiciones Generales.

Artículo 1.- Ámbito de aplicación y fines.El presente Reglamento tiene por objeto establecer las medidas de índole técnica y organizativas necesarias para garantizar la seguridad que deben reunir los ficheros automatizados, los centros de tratamiento, locales, equipos, sistemas, programas y las personas que intervengan en el tratamiento automatizado de los datos de carácter personal sujetos al régimen de la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de carácter personal.

Artículo 2.- Definiciones.A efectos de este Reglamento, se entenderá por:1.- Sistema de información: Conjunto de ficheros automatizados, programas, soportes y equipos empleados para el almacenamiento y tratamiento de datos de carácter personal. 2.- Usuario: Sujeto o proceso autorizado para acceder a datos o recursos.3.- Recurso: Cualquier parte componente de un sistema de información.4.- Accesos autorizados: Autorizaciones concedidas a un usuario para la utilización de los diversos recursos.5.- Identificación: Procedimiento de reconocimiento de la identidad de un usuario. 6.- Autenticación: Procedimiento de comprobación de la identidad de un usuario.7.- Control de acceso: Mecanismo que en función de la identificación ya autenticada permite acceder a datos o recursos.


8.- Contraseña: Información confidencial, frecuentemente constituida por una cadena de caracteres, que puede ser usada en la autenticación de un usuario.9.- Incidencia: Cualquier anomalía que afecte o pudiera afectar a la seguridad de los datos. 10.- Soporte: Objeto físico susceptible de ser tratado en un sistema de información y sobre el cual se pueden grabar o recuperar datos.11.- Responsable de seguridad: Persona o personas a las que el responsable del fichero ha asignado formalmente la función de coordinar y controlar las medidas de seguridad aplicables.12.- Copia del respaldo: Copia de los datos de un fichero automatizado en un soporte que posibilite su recuperación.

Artículo 3.- Niveles de seguridad.1.- Las medidas de seguridad exigibles se clasifican en tres niveles: básico, medio y alto. 2.- Dichos niveles se establecen atendiendo a la naturaleza de la información tratada, en relación con la mayor o menor necesidad de garantizar la confidencialidad y la integridad de la información.Artículo 4.- Aplicación de los niveles de seguridad.1.- Todos los ficheros que contengan datos de carácter personal deberán adoptar las medidas de seguridad calificadas de nivel básico.2.- Los ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros y aquellos ficheros cuyo funcionamiento se rija por el articulo 28 de la Ley Orgánica 5/1992, deberán reunir, además de las medidas de nivel básico, las calificadas como de nivel medio.3.- Los ficheros que contengan datos de ideología, religión, creencias, origen racial, salud o vida sexual así como los que contengan datos recabados para fines policiales sin consentimiento de las personas afectadas deberán reunir, además de las medidas de nivel básico y medio, las calificadas como de nivel alto.4.- Cuando los ficheros contengan un conjunto de datos de carácter personal suficientes que permitan obtener una evaluación de la personalidad del individuo deberán garantizar las medidas de nivel medio establecidas en los artículos 17, 18, 19 y 20.5.- Cada uno de los niveles descritos anteriormente tienen la condición de mínimos exigibles, sin perjuicio de las disposiciones legales o reglamentarias específicas vigentes.

Artículo 5.- Acceso a datos a través de redes de comunicaciones.Las medidas de seguridad exigibles a los accesos a datos de carácter personal a través de redes de comunicaciones deberán garantizar un nivel de seguridad equivalente al correspondiente a los accesos en modo local.

Artículo 6.- Régimen de trabajo fuera de los locales de la ubicación del fichero.La ejecución de tratamiento de datos de carácter personal fuera de los locales de la ubicación del fichero deberá ser autorizada expresamente por el responsable del fichero y, en todo caso, deberá garantizarse el nivel de seguridad correspondiente al tipo de fichero tratado.Artículo 7.- Ficheros temporales.1.- Los ficheros temporales deberán cumplir el nivel de seguridad que les corresponda con arreglo a los criterios establecidos en el presente Reglamento.2.- Todo fichero temporal será borrado una vez que haya dejado de ser necesario para los fines que motivaron su creación.

CAPÍTULO II. Medidas de Seguridad de Nivel Básico


Artículo 8.- Documento de seguridad.1.- El responsable del fichero elaborará e implantará la normativa de seguridad mediante un documento de obligado cumplimiento para el personal con acceso a los datos automatizados de carácter personal y a los sistemas de información.2.- El documento deberá contener, como mínimo, los siguientes aspectos:a.- Ámbito de aplicación del documento con especificación detallada de los recursos protegidos.b.- Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en este Reglamento.c.- Funciones y obligaciones del personal.d.- Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan.e.- Procedimiento de notificación, gestión y respuesta ante las incidencias.f.- Los procedimientos de realización de copias de respaldo y de recuperación de los datos. 3.- El documento deberá mantenerse en todo momento actualizado y deberá ser revisado siempre que se produzcan cambios relevantes en el sistema de información o en la organización del mismo.4.- El contenido del documento deberá adecuarse, en todo momento, a las disposiciones vigentes en materia de seguridad de los datos de carácter personal.

Artículo 9.- Funciones y obligaciones del personal.1.- Las funciones y obligaciones de cada una de las personas con acceso a los datos de carácter personal y a los sistemas de información estarán claramente definidas y documentadas, de acuerdo con lo previsto en el artículo 8.2.c)2.- El responsable del fichero adoptará las medidas necesarias para que el personal conozca las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento.

Artículo 10.- Registro de incidencias.El procedimiento de notificación y gestión de incidencias contendrá necesariamente un registro en el que se haga constar el tipo de incidencia, el momento en que se ha producido, la persona que realiza la notificación, a quién se le comunica y los efectos que se hubieran derivado de la misma.

Artículo 11.- Identificación y autenticación.1.- El responsable del fichero se encargará de que exista una relación actualizada de usuarios que tengan acceso autorizado al sistema de información y de establecer procedimientos de identificación y autenticación para dicho acceso.2.- Cuando el mecanismo de autenticación se base en la existencia de contraseñas existirá un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad.3.- Las contraseñas se cambiarán con la periodicidad que se determine en el documento de seguridad y mientras estén vigentes se almacenarán de forma ininteligible.

Artículo 12.- Control de acceso.1.- Los usuarios tendrán acceso autorizado únicamente a aquellos datos y recursos que precisen para el desarrollo de sus funciones.2.- El responsable del fichero establecerá mecanismos para evitar que un usuario pueda acceder a datos o recursos con derechos distintos de los autorizados.


3. - La relación de usuarios a la que se refiere el artículo 11.1 de este Reglamento contendrá el acceso autorizado para cada uno de ellos.4.- Exclusivamente el personal autorizado para ello en el documento de seguridad podrá conceder, alterar o anular el acceso autorizado sobre los datos y recursos, conforme a los criterios establecidos por el responsable del fichero.

Artículo 13.- Gestión de soportes.1.- Los soportes informáticos que contengan datos de carácter personal deberán permitir identificar el tipo de información que contienen, ser inventariados y almacenarse en un lugar con acceso restringido al personal autorizado para ello en el documento de seguridad. 2.- La salida de soportes informáticos que contengan datos de carácter personal, fuera de los locales en los que esté ubicado el fichero, únicamente podrá ser autorizada, por el responsable del fichero.

Artículo 14. - Copias de respaldo y recuperación.1.- El responsable de fichero se encargará de verificar la definición y correcta aplicación de los procedimientos de realización de copias de respaldo y de recuperación de los datos. 2.- Los procedimientos establecidos para la realización de copias de respaldo y para la recuperación de los datos deberán garantizar su reconstrucción en el estado en que se encontraban al tiempo de producirse la pérdida o destrucción.

3.- Deberán realizarse copias de respaldo, al menos semanalmente, salvo que en dicho periodo no se hubiera producido ninguna actualización de los datos.

CAPÍTULO III. Medidas de Seguridad de Nivel Medio

Artículo 15.- Documento de seguridad.El documento de seguridad deberá contener, además de lo dispuesto en el artículo 8 del presente Reglamento, la identificación del responsable o responsables de seguridad, los controles periódicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento y las medidas que sea necesario adoptar cuando un soporte vaya a ser desechado o reutilizado.

Artículo 16.- Responsable de seguridad.El responsable del fichero designará uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en el documento de seguridad. En ningún caso esta designación supone una delegación de la responsabilidad que corresponde al responsable del fichero de acuerdo con este Reglamento.

Artículo 17.- Auditoría.1.- Los sistemas de información e instalaciones de tratamiento de datos se someterán a una auditoría interna o externa, que verifique el cumplimiento del presente Reglamento, de los procedimientos e instrucciones vigentes en materia de seguridad de datos, al menos, cada dos años.2.- El informe de auditoría deberá dictaminar sobre la adecuación de las medidas y controles al presente Reglamento, identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias. Deberá, igualmente, incluir los datos, hechos y observaciones en que se basen los dictámenes alcanzados y recomendaciones propuestas.


3.- Los informes de auditoría serán analizados por el responsable de seguridad competente, que elevará las conclusiones al responsable del fichero para que adopte las medidas correctoras adecuadas y quedarán a disposición de la Agencia de Protección de Datos.

Artículo 18.- Identificación y autenticación.1. El responsable del fichero establecerá un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado. 2. Se limitará la posibilidad de intentar reiteradamente el acceso no autorizado al

sistema de

información.

Artículo 19.- Control de acceso físico.

Exclusivamente el personal autorizado en el documento de seguridad podrá tener acceso a los locales donde se encuentren ubicados los sistemas de información con datos de carácter personal.

Artículo 20.- Gestión de soportes.

1.- Deberá establecerse un sistema de registro de entrada de soportes informáticos que permita, directa o indirectamente, conocer el tipo de soporte, la fecha y hora, el emisor, el número de soportes, el tipo de información que contienen, la forma de envío y la persona responsable de la recepción que deberá estar debidamente autorizada.2.- Igualmente, se dispondrá de un sistema de registro de salida de soportes informáticos que permita, directa o indirectamente, conocer el tipo de soporte, la fecha y hora, el destinatario, el número de soportes, el tipo de información que contienen, la forma de envío y la persona responsable de la entrega que deberá estar debidamente autorizada.3.- Cuando un soporte vaya a ser desechado o reutilizado, se adoptarán las medidas necesarias para impedir cualquier recuperación posterior de la información almacenada en él, previamente a que se proceda a su baja en el inventario.4.- Cuando los soportes vayan a salir fuera de los locales en que se encuentren ubicados los ficheros como consecuencia de operaciones de mantenimiento, se adoptarán las medidas necesarias para impedir cualquier recuperación indebida de la información almacenada en ellos.Artículo 21.- Registro de incidencias.1.- En el registro regulado en el artículo 10 deberán consignarse, además, los procedimientos realizados de recuperación de los datos, indicando la persona que ejecutó el proceso, los datos restaurados y , en su caso, qué datos ha sido necesario grabar manualmente en el proceso de recuperación.2.- Será necesaria la autorización por escrito del responsable del fichero para la ejecución de los procedimientos de recuperación de los datos.

Artículo 22.- Pruebas con datos reales.Las pruebas anteriores a la implantación o modificación de los sistemas de información que traten ficheros con datos de carácter personal no se realizarán con datos reales, salvo que se asegure el nivel de seguridad correspondiente al tipo de fichero tratado.

CAPÍTULO IV. Medidas de Seguridad de Nivel Alto

Artículo 23.- Distribución de soportes.


La distribución de los soportes que contengan datos de carácter personal se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que dicha información no sea inteligible ni manipulada durante su transporte.

Artículo 24.- Registro de accesos.1.- De cada acceso se guardarán, como mínimo, la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado. 2.- En el caso de que el acceso haya sido autorizado, será preciso guardar la información que permita identificar el registro accedido.3.- Los mecanismos que permiten el registro de los datos detallados en los párrafos anteriores estarán bajo el control directo del responsable de seguridad competente sin que se deba permitir, en ningún caso, la desactivación de los mismos.4.- El período mínimo de conservación de los datos registrados será de dos años.5.- El responsable de seguridad competente se encargará de revisar periódicamente la información de control registrada y elaborará un informe de las revisiones realizadas y los problemas detectados al menos una vez al mes.

Artículo 25.- Copias de respaldo y recuperación.Deberá conservarse una copia de respaldo y de los procedimientos de recuperación de los datos en un lugar diferente de aquél en que se encuentren los equipos informáticos que los tratan cumpliendo en todo caso, las medidas de seguridad exigidas en este Reglamento.

Artículo 26.- Telecomunicaciones.La transmisión de datos de carácter personal a través de redes de telecomunicaciones se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros.

CAPÍTULO V. Infracciones y SancionesArtículo 27.- Infracciones y sanciones.

1.- El incumplimiento de las medidas de seguridad descritas en el presente Reglamento será sancionado de acuerdo con lo establecido en los artículos 43 y 44 de la Ley Orgánica 5/1992, cuando se trate de ficheros de titularidad privada.El procedimiento a seguir para la imposición de la sanción a la que se refiere el párrafo anterior será el establecido en el Real Decreto 1332/1994, de 20 de junio, por el que se desarrollan determinados aspectos de la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal.2.- Cuando se trate de ficheros de los que sean responsables las Administraciones Públicas se estará, en cuanto al procedimiento y a las sanciones, a lo dispuesto en el artículo 45 de la Ley Orgánica 5/1992.

Artículo 28.- Responsables.Los responsables de los ficheros, sujetos al régimen sancionador de la Ley Orgánica 5/1992, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal en los términos establecidos en el presente Reglamento.

CAPÍTULO VI. Competencias del Director de la Agencia de Protección de Datos


Artículo 29.- Competencias del Director de la Agencia de Protección de Datos.El Director de la Agencia de Protección de Datos podrá, de conformidad con lo establecido en el artículo 36 de la Ley Orgánica 5/1992:1.- Dictar, en su caso y sin perjuicio de las competencias de otros órganos, las instrucciones precisas para adecuar los tratamientos automatizados a los principios de la Ley Orgánica 5/1992.2.- Ordenar la cesación de los tratamientos de datos de carácter personal y la cancelación de los ficheros cuando no se cumplan las medidas de seguridad previstas en el presente Reglamento.

DISPOSICIÓN TRANSITORIA ÚNICA . Plazos de Implantación de las MedidasEn el caso de sistemas de información que se encuentren en funcionamiento a la entrada en vigor del presente Reglamento, las medidas de seguridad de nivel básico previstas en el presente Reglamento deberán implantarse en el plazo de seis meses desde su entrada en vigor, las de nivel medio en el plazo de un año y las de nivel alto en el plazo de dos años.Cuando los sistemas de información que se encuentren en funcionamiento no permitan tecnológicamente la implantación de alguna de las medidas de seguridad previstas en el presente Reglamento, la adecuación de dichos sistemas y la implantación de las medidas de seguridad deberán realizarse en el plazo máximo de tres años a contar desde la entrada en vigor del presente Reglamento.

REAL DECRETO 1332/94 de 20 de junio por el que se desarrollan algunos preceptos de la Ley Orgánica.

MINISTERIO DE JUSTICIA E INTERIOR.-

REAL DECRETO 1332/1994, de 20 de junio, por el que se desarrolla determinados


aspectos de la Ley Orgánica 5/1992, de 29 de octubre, de regulación del tratamiento automatizado de los datos de carácter personal.

La Ley Orgánica 5/1992, de 29 de octubre, de regulación del tratamiento automatizado de los datos de carácter personal, habilita al Gobierno, en su disposición final primera, para dictar las disposiciones necesarias para la aplicación y desarrollo de la referida Ley, a la par que contiene en diferentes preceptos unos concretos mandatos al Gobierno para que por vía reglamentaria regule determinados aspectos, en su mayoría de orden procedimental, referentes al ejercicio de los derechos de acceso, rectificación y cancelación, a la forma de reclamar ante la Agencia de Protección de Datos por actuaciones contrarias a la Ley, a la notificación e inscripción de los ficheros automatizados de datos y al procedimiento para la determinación de las infracciones y la imposición de las sanciones.

En uso de dicha habilitación, y cumplimentando el mandato conferido en los artículos 15.1, 16.1, 17.1, 24.2, 38.3, y 47.1 de la citada Ley Orgánica, se dicta la presente disposición.

En su virtud, a propuesta del Ministro de Justicia e Interior, con la aprobación del Ministro para las Administraciones Públicas, previo informe de la Agencia de Protección de Datos, de acuerdo con el Consejo de Estado y previa deliberación del Consejo de Ministros en su reunión del día 17 de junio de 1994,

DISPONGO

CAPITULO I.Disposiciones Generales

Artículo 1.Definiciones.A efectos de lo dispuesto en el presente Real Decreto se entenderá por:Bloqueo de datos: la identificación y reserva de datos con el fin de impedir su tratamiento.Cesión de datos: toda obtención de datos resultante de la consulta de un fichero, su interconexión con otros ficheros y la comunicación de datos realizada por una persona distinta de la afectada.Datos accesibles al público: los datos que se encuentran a disposición del público en general, no impedida por cualquier norma limitativa, y están recogidos en medios tales como censos, anuarios, bases de datos públicas, repertorios de jurisprudencia, archivos de prensa, repertorios telefónicos o análogos, así como los datos publicados en forma de listas de personas pertenecientes a grupos profesionales que contengan únicamente los nombres, títulos, profesión, actividad, grados académicos, dirección e indicación de su pertenencia al grupo.Datos de carácter personal: toda información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo, susceptible de recogida, registro, tratamiento o transmisión concerniente a una persona física identificada o identificable.Identificación del afectado: cualquier elemento que permita determinar directa o indirectamente la identidad física, fisiológica, psíquica, económica, cultural o social de la persona física afectada. Transferencia de datos: el transporte de datos entre sistemas informáticos por cualquier medio de transmisión, así como el transporte de soportes de datos por correo o por cualquier otro medio convencional.

Artículo 2.Regímenes especiales.


De conformidad con lo dispuesto en el artículo 2.3 de la Ley Orgánica 5/1992 se regirán por las disposiciones que, en materia de protección de datos, contienen las leyes y reglamentos respectivos, los ficheros siguientes:El censo electoral, el fichero de electores y ficheros complementarios, regulados por la legislación de régimen electoral.Los ficheros automatizados creados con fines exclusivamente estadísticos y amparados en cuanto a protección de datos por la normativa reguladora de la función estadística pública, sin perjuicio de lo prevenido en el artículo 36, m) de la Ley Orgánica 5/1992.Los ficheros automatizados de estado civil, amparados por la Ley del Registro Civil y su Reglamento.Los ficheros automatizados de antecedentes penales.Los ficheros automatizados creados o gestionados al amparo de la normativa sobre protección de materias clasificadas.Los ficheros automatizados cuyo objeto sea el almacenamiento de los datos contenidos en los informes personales regulados en el artículo 68 de la Ley 17/1989, de 19 de julio, reguladora del Régimen del personal militar profesional.La remisión al Derecho nacional, contenida en los Títulos IV y VI del Convenio de 19 de junio de 1990, de aplicación del Acuerdo de Schengen de 14 de junio de 1985, así como cualquier otra remisión hecha a disposiciones nacionales de protección de datos personales contenida en convenios internacionales, se entenderá referida a la Ley Orgánica 5/1992, de 29 de octubre, de regulación del tratamiento automatizado de los datos de carácter personal, y a las disposiciones reglamentarias de desarrollo.

CAPITULO II. Transferencia internacional de datos

Artículo 3.Régimen de las transferencias.Si la transferencia de los datos de carácter personal tuviera como destinatario un país que no proporciona un nivel de protección equiparable al que presta la Ley Orgánica 5/1992, el Director de la Agencia de Protección de Datos autorizará la transferencia de los mismos, siempre que el cedente de los datos acredite haber cumplido lo dispuesto en los preceptos de la referida Ley y otorgue las garantías que al efecto le sean exigidas. A tal fin, la autorización deberá ser sometida al cumplimiento de las condiciones o cargas modales que se consideren necesarias para que de la transferencia no se deriven perjuicios a los derechos de los afectados y se respeten los principios contenidos en el Título II de la Ley Orgánica 5/1992.En caso de incumplimiento de los términos de la autorización el cedente y el cesionario de los datos responderán solidariamente a efectos de lo previsto en el artículo 17.3 de la Ley Orgánica 5/1992.

Artículo 4.Excepciones.Se exceptúan, en todo caso, de la autorización previa del Director de la Agencia de Protección de Datos las transferencias de datos de carácter personal que resulten de la aplicación de tratados o convenios de los que sea parte España y, en particular:Las transmisiones de datos registrados en ficheros creados por las Fuerzas y Cuerpos de Seguridad en función de una investigación concreta, hechas por conducto Interpola u otras vías previstas en convenios en los que España sea parte, cuando las necesidades de la investigación en curso exijan la transmisión a servicios policiales de otros Estados.Las transmisiones de datos registrados en la parte nacional española del Sistema de Información Schengen, con destino a la unidad de apoyo del sistema, a los solos efectos de una investigación policial en curso que requiera la utilización de datos del sistema.


Las transmisiones de datos previstas en el sistema de intercambios de información contemplado en el Título VI del Tratado de la Unión Europea.

Las transmisiones de los datos registrados en los ficheros creados por las Administraciones tributarias, en favor de los demás Estados miembros de la Unión Europea o en favor de otros Estados terceros, en virtud de lo dispuesto en los convenios internacionales de asistencia mutua en materia tributaria.Se exceptúan, asimismo, de la autorización previa del Director de la Agencia de Protección de Datos, cualquiera que sea el Estado destinatario de los datos, las transmisiones de datos que se efectúen para cumplimentar exhortas, cartas órdenes, comisiones rotatorias u otras peticiones de auxilio judicial internacional, y los demás supuestos previstos en el artículo 33 de la Ley Orgánica 5/1992.

CAPITULO III. Notificación e inscripción de ficheros

Artículo 5.Notificación de ficheros de titularidad pública.Todo fichero de datos de carácter personal, de titularidad pública, será notificado a la Agencia de Protección de Datos por el órgano competente de la Administración responsable del fichero para su inscripción en el Registro General de Protección de Datos, mediante el traslado, a través del modelo normalizado que al efecto elabore la Agencia, de una copia de la disposición de creación del fichero.Artículo 6.Notificación de ficheros de titularidad privada.La persona o entidad que pretenda crear un fichero de datos de carácter personal lo notificará previamente a la Agencia de Protección de Datos mediante escrito o soporte informático en modelo normalizado que al efecto elabore la Agencia, en el que se especificarán los siguientes extremos:1.- Nombre, denominación o razón social, documento nacional de identidad o código de identificación fiscal, dirección y actividad u objeto social del responsable del fichero.2.- Ubicación del fichero.3.- Identificación de los datos que se pretendan tratar, individualizando los supuestos de datos especialmente protegidos.4.- Dirección de la oficina o dependencia en la cual puedan ejercerse los derechos de acceso, rectificación y cancelación.5.- Origen o procedencia de los datos.6.- Finalidad del fichero.7.- Cesiones de datos previstas.8.- Transferencias temporales o definitivas que se prevean realizar a otros países, con expresión de los mismos.9.- Destinatarios o usuarios previstos para las cesiones o transferencias. 10.- Sistemas de tratamiento automatizado que se vayan a utilizar. 11.- Medidas de seguridad.

Artículo 7.Inscripción de los ficheros.1.-Los ficheros de titularidad pública serán inscritos de oficio por la Agencia de Protección de Datos, una vez haya recibido la copia de la disposición de creación del fichero.2.-El Director de la Agencia de Protección de Datos, a propuesta del Registro General de Protección de Datos, acordará la inscripción de los ficheros de titularidad privada si la notificación contuviera la información preceptiva y se cumplen las restantes exigencias legales, requiriendo, en caso contrario, al responsable del fichero para que la complete o


subsane en el plazo de diez días, con indicación de que, si así no lo hiciera, se le tendrá por desistido de su petición, archivándose sin más trámite.3.-La inscripción contendrá, en el supuesto de ficheros de titularidad pública, las indicaciones previstas en el artículo 18.2 de la Ley Orgánica 5/1992, con especificación de la disposición general de creación y del diario oficial de su publicación, y, en el supuesto de ficheros de titularidad privada, los extremos relacionados en el artículo 6 del presente Real Decreto, con excepción de las medidas de seguridad.4.-La inscripción será notificada al responsable del fichero por el Registro General de Protección de Datos.

Artículo 8.Modificación y cancelación de la inscripción.1.-La modificación o, en su caso, cancelación de la inscripción de los ficheros de titularidad pública se producirá de oficio por la Agencia de Protección de Datos, previo traslado por el órgano de la Administración responsable del fichero de una copia de la disposición general que modifique o suprima aquél.

2.-Cuando se trata de ficheros de titularidad privada, cualquier modificación posterior en el contenido de los extremos a que se refiere el artículo 6 del presente Real Decreto se comunicará, a efectos de inscripción, en su caso, a la Agencia de Protección de Datos dentro del mes siguiente a la fecha en que aquélla se hubiera producido. En igual plazo se comunicará la decisión de supresión del fichero a efectos de la cancelación del correspondiente asiento de inscripción.

Artículo 9.Inscripción y publicidad de los códigos tipo.1.-Los códigos tipo se depositarán, para su inscripción, en el Registro General de Protección de Datos.2.-El Director de la Agencia de Protección de Datos podrá denegar la inscripción si el código tipo no se ajusta a las disposiciones de la Ley Orgánica 5/1992 y del presente Real Decreto, sin perjuicio de requerir a los solicitantes para que subsanen las deficiencias.3.-Los particulares podrán obtener copias de los códigos tipo depositados e inscritos en el Registro General de Protección de Datos.4.En caso de incumplimiento de las normas contenidas en los códigos tipo se estará a lo dispuesto al efecto en los acuerdos o decisiones que los formulen.

Artículo 10.Recursos.Contra las resoluciones del Director de la Agencia de Protección de Datos relativas a la inscripción o, en su caso, a la modificación o cancelación de la inscripción de un fichero o código tipo, procederá el recurso contencioso-administrativo.

CAPITULO IV. Ejercicio y tutela de los derechos del afectado

Artículo 11.Carácter personal de los derechos.Los derechos de acceso a los ficheros automatizados, así como los de rectificación y cancelación de datos son personalísimos y serán ejercidos por el afectado frente al responsable del fichero, sin otras limitaciones que las que prevén la Ley Orgánica 5/1992 y el presente Real Decreto.Podrá, no obstante, actuar el representante legal del afectado cuando éste se encuentre en situación de incapacidad o minoría de edad que le imposibilite el ejercicio personal de los mismos.


Artículo 12.Derecho de acceso.El derecho de acceso se ejercerá mediante petición o solicitud dirigida al responsable del fichero, formulada por cualquier medio que garantice la identificación del afectado y en la que conste el fichero o ficheros a consultar.El afectado podrá optar por uno o varios de los siguientes sistemas de consulta del fichero, siempre que la configuración e implantación material del fichero lo permita:Visualización en pantalla.Escrito, copia o fotocopia remitida por correo. Telecopia.Cualquier otro procedimiento que sea adecuado a la configuración e implantación material del fichero, ofrecido por el responsable del mismo.El responsable del fichero resolverá entre la petición de acceso en el plazo máximo de un mes, a contar de la recepción de la solicitud. Transcurrido este plazo sin que de forma expresa se responda a la petición de acceso, éste podrá entenderse desestimada a los efectos de la interposición de la reclamación prevista en el artículo 17.1 de la Ley Orgánica 5/1992.Si la resolución fuera estimatoria, el acceso se hará efectivo en el plazo de los diez días siguientes a la notificación de aquélla.

Artículo 13.Contenido de la información.La información, cualquiera que sea el soporte en que fuere facilitada, se dará en forma legible e inteligible, previa transcripción en claro de los datos del fichero, en su caso.La información comprenderá los datos de base del afectado y los resultantes de cualquier elaboración o proceso informático, así como el origen de los datos, los cesionarios de los mismos y la especificación de los concretos usos y finalidades para los que se almacenaron los datos.

Artículo 14.Denegación del acceso.Se denegará el acceso a los datos de carácter personal registrados en ficheros de titularidad pública cuando se dé alguno de los supuestos contemplados e los artículos 14.3, 21.1 y 2 y 22.2 de la Ley Orgánica 5/1992.Tratándose de datos de carácter personal registrados en ficheros de titularidad privada, únicamente se denegará el acceso cuando la solicitud sea formulada por persona distinta del afectado.

Artículo 15.Denegación del acceso.Cuando el acceso a los ficheros revelare que los datos del afectado son inexactos o incompletos, inadecuados o excesivos, podrá éste solicitar del responsable del fichero la rectificación o, en su caso, cancelación de los mismos.No obstante, cuando se trate de datos que reflejen hechos constatados en un procedimiento administrativo, aquéllos se considerarán exactos siempre que coincidan con éste.La rectificación o cancelación se hará efectiva por el responsable del fichero dentro de los cinco días siguientes al de la recepción de la solicitud. En idéntico plazo se efectuará la notificación a que se refiere el artículo 15.3 de la Ley Orgánica 5/1992.En el supuesto de que el responsable del fichero considere que no procede acceder a lo solicitado por el afectado, se lo comunicará motivadamente y dentro del plazo señalado en el apartado anterior, a fin de que por éste se pueda hacer uso de la reclamación prevista en el artículo 17.1 de la Ley Orgánica 5/1992.


Transcurrido el plazo previsto en el apartado 2 sin que de forma expresa se responda a la solicitud de rectificación o cancelación, ésta podrá entenderse desestimada a los efectos de la interposición de la reclamación que corresponda.

Artículo 16.Bloqueo de los datos.En los casos en que, siendo procedente la cancelación de los datos, no sea posible su extinción física, tanto por razones técnicas como por causa del procedimiento o soporte utilizado, el responsable del fichero procederá al bloqueo de los datos, con el fin de impedir su ulterior proceso o utilización.Se exceptúa, no obstante, el supuesto de que se demuestre que los datos han sido recogidos o registrados por medios fraudulentos, desleales o ilícitos, en cuyo caso la cancelación de los mismos comportará siempre la destrucción del soporte en el que aquéllos figuren.Contra la resolución por la que el responsable del fichero acuerde el bloqueo de los datos procederá reclamación ante el Director de la Agencia de Protección de Datos.

Artículo 17.Tutela de los derechos.Las reclamaciones de los afectados ante la Agencia de Protección de Datos, a que se refiere el artículo 17.1 de la Ley Orgánica 5/1992, se sustanciarán en la forma prevista en el presente artículo.El procedimiento se iniciará a instancia del afectado o afectados, expresando con claridad el contenido de su reclamación y de los preceptos de la Ley Orgánica 5/1992 que se consideran vulnerados.Recibida la reclamación en la Agencia de Protección de Datos, se dará traslado de la misma al responsable del fichero, para que, en el plazo de quince días, formule las alegaciones que estime pertinentes.Recibidas las alegaciones o transcurrido el plazo previsto en el apartado anterior, la Agencia de Protección de Datos, previos los informes, pruebas y otros actos de instrucción pertinentes, incluida la audiencia del afectado y nuevamente del responsable del fichero, resolverá sobre la reclamación formulada, dando traslado de la misma a los interesados.Contra la resolución del Director procederá recurso contencioso-administrativo.

CAPITULO V Procedimiento sancionador

Artículo 18.Iniciación e instrucción.El procedimiento sancionador previsto en el artículo 47 de la Ley Orgánica 5/1992, se iniciará siempre de oficio, bien por propia iniciativa o en virtud de denuncia de un afectado o afectados, por acuerdo del Director de la Agencia de Protección de Datos, en el cual se designará instructor y, en su caso, secretario, con expresa indicación del régimen de recusación de los mismos.En el referido acuerdo se identificará a la persona o personas presuntamente responsables y se concretarán los hechos imputados, con expresión de la infracción presuntamente cometida y de la sanción o sanciones que pudieran imponerse, así como de las medidas provisionales que, en su caso, se adopten.El acuerdo de incoación del expediente se notificará al presunto responsable y en el mismo se informará a éste de su derecho a formular alegaciones y utilizar los medios de defensa procedentes y que la autoridad competente para imponer, en su caso, la sanción es el Director de la Agencia de Protección de Datos, con cita expresa del presente artículo y del artículo 36, g) en relación con el artículo 35, ambos de la Ley Orgánica 5/1992.


Dentro de los quince días siguientes a la notificación del acuerdo de incoación, el instructor ordenará, de oficio, la práctica de cuantas pruebas y actos de instrucción sean adecuados para esclarecer los hechos y determinar las responsabilidades susceptibles de sanción. En idéntico plazo, el presunto responsable podrá formular las alegaciones y proponer las pruebas que considere convenientes.Transcurrido el plazo previsto en el apartado anterior, el instructor acordará la práctica de las pruebas que estime pertinentes, a cuyo efecto concederá un plazo de treinta días, transcurrido el cual el expediente se pondrá de manifiesto al presunto responsable para que, en el plazo de quince días, formule alegaciones y aporte cuantos documentos estime de interés.

Artículo 19.Resolución.Cumplimentados los trámites previstos en el artículo anterior, el instructor formulará propuesta de resolución motivada en la cual se fijarán de modo claro y preciso los hechos, se razonará, en su caso, la denegación y de la práctica probatoria propuesta por el presunto responsable, se valorarán jurídicamente aquéllos a fin de determinar la infracción cometida y se señalará la sanción a imponer, determinando su cuantía con arreglo a los criterios establecidos en el artículo 44.4 de la Ley Orgánica 5/1992, o bien, se propondrá la declaración de no existencia de responsabilidad.La propuesta de resolución se notificará al presunto responsable para que, en el plazo de quince días, pueda formular nuevas alegaciones si lo considera oportuno. Notificada la propuesta de resolución o expirado el plazo de alegaciones previsto en el apartado anterior, el instructor elevará el expediente completo al Director de la Agencia de Protección de Datos.El Director podrá, antes de dictar resolución, ordenar al instructor la práctica de cuantas actuaciones considere necesarias, lo que se llevará a efecto en un plazo máximo de quince días.La resolución, que se dictará dentro de los diez días siguientes, determinará con la necesaria precisión los hechos imputados, la infracción cometida, con expresión del precepto que la tipifique, el responsable de la misma y la sanción impuesta; o bien, la declaración de no existencia de responsabilidad. Contendrá, asimismo, la declaración pertinente en orden a las medidas provisionales adoptadas durante la tramitación del procedimiento.La resolución se notificará al responsable con expresión de su derecho a interponer recurso contencioso-administrativo, el plazo de interposición, y el órgano ante el cual deba ser presentado.Si el procedimiento se hubiera iniciado como consecuencia de denuncia de un afectado, la resolución deberá ser notificada al firmante de la misma.

DISPOSICIONES.-

Disposición adicional primera:Comunicación de ficheros preexistentesLos ficheros automatizados de datos de carácter personal que se hubiesen creado con posterioridad a la entrada en vigor de la Ley Orgánica 5/1992 y antes de la vigencia del presente Real Decreto se deberán comunicar a la Agencia de Protección de Datos antes del 31 de julio de 1994.


Disposición adicional segunda:Ficheros de las Comunidades Autónomas.Corresponde a las Comunidades Autónomas, respecto de sus propios ficheros, la regulación del ejercicio y tutela de los derechos del afectado y del procedimiento sancionador en los términos y con los límites establecidos en la Ley Orgánica 5/1992 y de acuerdo con las normas del procedimiento administrador común.

Disposición adicional tercera:Ficheros de las Administraciones Tributarias.Los ficheros creados por las Administraciones Tributarias para la gestión de los tributos que se les encomienden, se regirán por las disposiciones del presente Real Decreto y por las demás disposiciones reglamentarias que, en desarrollo y con sujeción a lo dispuesto en la Ley Orgánica 5/1992, específicamente se aprueben para los mismos.

Disposición final primera:Lista de países con equiparable protección.Se faculta al Ministro de Justicia e Interior para que, previo informe del Director de la Agencia de Protección de Datos, apruebe la relación de países que, a efectos de lo dispuesto en el artículo 32 de la Ley Orgánica 5/1992, se entiende que proporcionan un nivel de protección equiparable al de dicha Ley.

Disposición final segunda:Entrada en vigor.El presente Real Decreto entrará en vigor el día siguiente al de su publicación en el "Boletín Oficial del Estado".

Dado en Madrid a 20 de junio de 1994.JUAN CARLOS R.El Ministro de Justicia e Interior, JUAN ALBERTO BELLOCH JULBE


Documents

Documento de seguridad