Documento sin título

Datos de carácter personal: Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables.
Datos de carácter personal relacionados con la salud: las informaciones concernientes a la salud pasada, presente y futura, física o mental, de un individuo. En particular, se consideran datos relacionados con la salud de las personas los referidos a su porcentaje de discapacidad y a su información genética. (REAL DECRET0 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento que desarrolla la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal)

Datos especialmente protegidos	Ideología, Afiliación sindical, Religión, Creencias
OOtros datos especialmente protegidos	Origen racial o étnico, Salud, Vida sexual
Datos relativos a la comisión de infracciones	Infracciones penales, Infracciones administrativas
Datos de carácter identificativo	DNI / NIF, Firma o Huellas, Nº SS o Mutualidad, Imagen o Voz, Nombre y Apellidos, Marcas Físicas, Dirección (postal o electrónica), Nº Registro Personal, Teléfono, Firma Electrónica, Otros
Datos de características personales	Estado civil, Edad, Datos de familia, Sexo, Fecha de nacimiento, Nacionalidad, Lugar de nacimiento, Lengua materna, Características físicas, Otros
Datos de circunstancias sociales	Alojamiento o vivienda, Aficiones y estilo de vida, Situación militar, Clubes y asociaciones, Propiedades o posesiones, Licencias o permisos..., Otros
Datos académicos y profesionales	Formación, titulaciones, Historial académico, Experiencia profesional, Colegios o asociaciones profesionales, Otros
Datos de ocupación laboral	Cuerpo, escala, Puestos de trabajo, Categoría, grado, Datos no económicos de nómina, Historial laboral, Otros
Datos de información comercial	Actividades y negocios, Licencias comerciales, Subscripciones a publicaciones, Creaciones artísticas, científicas…, Otros
Datos económico financieros y seguros	Ingresos / rentas, Inversiones / patrimonio, Créditos / préstamos / Avales, Datos bancarios, Seguros, Datos de nómina, Impuestos / deducciones, Planes de pensiones / jubilación, Hipotecas, Subsidios / beneficios, Historial / créditos, Tarjetas de crédito, Otros
Datos de transacciones	Bienes suministrados, Transacciones financieras, Bienes recibidos, Compensaciones / indemnizaciones, Otros

Los datos de carácter personal ordenados por niveles de seguridad
Las medidas de seguridad exigidas por la LOPD/Artículo 20/2/h, clasifica los datos de carácter personal en tres niveles. Los criterios para determinar cada nivel están en el Real Decreto 994/1999, Artículos 3 y 4. Según la normativa, todos los datos de carácter personal deber tener unas medidas básicas de seguridad, pero los de nivel medio y alto les corresponde un tratamiento diferenciado.
Los criterios clasificatorios son los siguientes:

Nivel Alto Datos especialmente protegidos	Ideología, Afiliación sindical, Religión, Creencias, Origen racial o étnico, Salud, Vida sexual, Dados recabados para finalidades policiales
Nivel Medio	Sobre Infracciones penales, Infracciones administrativas Datos de nivel básico que permitan obtener un perfil de la persona De Hacienda Pública De Servicios financieros De solvencia patrimonial y crédito
Nivel Básico	Identificativos, características personales, circunstancias sociales, académicas y profesionales, trabajo y carrera administrativa, información comercial, económicas financieras, transacciones. Estos datos no han de permitir obtener un perfil de la persona

¿Podemos crear nuevos ficheros para recoger datos personales en los centros o servicios educativos?

Sí, pero con condiciones… La Consejería de Educación, tal y como indica la normativa, declaró en su momento un número determinado de ficheros a la Agencia de Protección de Datos. Si pensamos crear ficheros nuevos, diferentes a los declarados aunque sea con la mismas finalidades, antes de nada deberíamos consultar con los servicios jurídicos de la Consejería. La LOPD dice que se han de declarar todos los ficheros que se creen a la Agencia de Protección de Datos.

LOPD, Ficheros de titularidad pública
Artículo 20
Creación, modificación o supresión
1. La creación, modificación o supresión de los ficheros de las Administraciones públicas sólo podrán hacerse por medio de disposición general publicada en el «Boletín Oficial del Estado» o Diario oficial correspondiente.
2. Las disposiciones de creación o de modificación de ficheros deberán indicar:
….
h) Las medidas de seguridad con indicación del nivel básico, medio o alto exigible.

Los ficheros con datos de carácter personal, por ley (LOPD Artículo 39), deben inscribirse en el Registro General de Protección de Datos.

LOPD, Artículo 39
El Registro General de Protección de Datos
1. El Registro General de Protección de Datos es un órgano integrado en la Agencia de Protección de Datos.
2. Serán objeto de inscripción en el Registro General de Protección de Datos:
a) Los ficheros de que sean titulares las Administraciones públicas.
b) Los ficheros de titularidad privada.
c) Las autorizaciones a que se refiere la presente Ley.
d) Los códigos tipo a que se refiere el artículo 32 de la presente Ley.
e) Los datos relativos a los ficheros que sean necesarios para el ejercicio de los derechos de información, acceso, rectificación, cancelación y oposición.
3. Por vía reglamentaria se regulará el procedimiento de inscripción de los ficheros, tanto de titularidad pública como de titularidad privada, en el Registro General de Protección de Datos, el contenido de la inscripción, su modificación, cancelación, reclamaciones y recursos contra las resoluciones correspondientes y demás extremos pertinentes.

Sobre el derecho de acceso del interesado:
LOPD
Artículo 4, 6. Los datos de carácter personal serán almacenados de forma que permitan el ejercicio del derecho de acceso, salvo que sean legalmente cancelados.
Artículo 5, 1. Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:
d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
Artículo 15 Derecho de acceso
1. El interesado tendrá derecho a solicitar y obtener gratuitamente información de sus datos de carácter personal sometidos a tratamiento, el origen de dichos datos, así como las comunicaciones realizadas o que se prevén hacer de los mismos.
2. La información podrá obtenerse mediante la mera consulta de los datos por medio de su visualización, o la indicación de los datos que son objeto de tratamiento mediante escrito, copia, telecopia o fotocopia, certificada o no, en forma legible e inteligible, sin utilizar claves o códigos que requieran el uso de dispositivos mecánicos específicos.
3. El derecho de acceso a que se refiere este artículo sólo podrá ser ejercitado a intervalos no inferiores a doce meses, salvo que el interesado acredite un interés legítimo al efecto, en cuyo caso podrán ejercitarlo antes.
Artículo 18 Tutela de los derechos
2. El interesado al que se deniegue, total o parcialmente, el ejercicio de los derechos de oposición, acceso, rectificación o cancelación, podrá ponerlo en conocimiento de la Agencia de Protección de Datos o, en su caso, del organismo competente de cada Comunidad Autónoma, que deberá asegurarse de la procedencia o improcedencia de la denegación.
Artículo 44
Tipos de infracciones
1. Las infracciones se calificarán como leves, graves o muy graves.
3. Son infracciones graves:
e) El impedimento o la obstaculización del ejercicio de los derechos de acceso y oposición y la negativa a facilitar la información que sea solicitada.
4. Son infracciones muy graves:
h) No atender, u obstaculizar de forma sistemática el ejercicio de los derechos de acceso, rectificación, cancelación u oposición.

Únicamente tienen derecho de acceso a los datos de carácter personal las persones autorizadas que son las que por su función deben trabajar necesariamente con ellos. Normalmente las razones por las que se crea un fichero determinan quién tendrá derecho de acceso. En los ficheros automatizados debe existir una relación actualizada de las personas autorizadas. Esta lista debe constar en el Documento de Seguridad del fichero Las medidas de seguridad de los ficheros automatizados son bastante restrictivas y requieren unos procedimientos estrictos, ver el Real Decreto 994/1999.

LOPD
Artículo 9. Seguridad de los datos
1. El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.

994/1999 Reglamento de Medidas de Seguridad de los ficheros automatizados que contengan datos de carácter personal
Artículo 5
Acceso a datos a través de redes de comunicaciones
Las medidas de seguridad exigibles a los accesos a datos de carácter personal a través de redes de comunicaciones deberán garantizar un nivel de seguridad equivalente al correspondiente a los accesos en modo local.
Artículo 11
Identificación y autenticación
1. El responsable del fichero se encargará de que exista una relación actualizada de usuarios que tengan acceso autorizado al sistema de información y de establecer procedimientos de identificación y autenticación para dicho acceso.
Artículo 12
Control de acceso
1. Los usuarios tendrán acceso autorizado únicamente a aquellos datos y recursos que precisen para el desarrollo de sus funciones.
2. El responsable del fichero establecerá mecanismos para evitar que un usuario pueda acceder a datos o recursos con derechos distintos de los autorizados.
3. La relación de usuarios a la que se refiere el artículo 11.1 de este Reglamento contendrá el acceso autorizado para cada uno de ellos.
4. Exclusivamente el personal autorizado para ello en el documento de seguridad podrá conceder, alterar o anular el acceso autorizado sobre los datos y recursos, conforme a los criterios establecidos por el responsable del fichero.
Artículo 18
Identificación y autenticación
1. El responsable del fichero establecerá un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado.
2. Se limitará la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de información.
Artículo 19
Control de acceso físico
Exclusivamente el personal autorizado en el documento de seguridad podrá tener acceso a los locales donde se encuentren ubicados los sistemas de información con datos de carácter personal.

(Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal)
Capítulo III
Medidas de seguridad aplicables a ficheros y tratamientos automatizados
Artículo 91. Control de acceso.
1. Los usuarios tendrán acceso únicamente a aquellos recursos que precisen para el desarrollo de sus funciones.
2. El responsable del fichero se encargará de que exista una relación actualizada de usuarios y perfiles de usuarios, y los accesos autorizados para cada uno de ellos.
3. El responsable del fichero establecerá mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados.
4. Exclusivamente el personal autorizado para ello en el documento de seguridad podrá conceder, alterar o anular el acceso autorizado sobre los recursos, conforme a los criterios establecidos por el responsable del fichero.
5. En caso de que exista personal ajeno al responsable del fichero que tenga acceso a los recursos deberá estar sometido a las mismas condiciones y obligaciones de seguridad que el personal propio.

Artículo 93. Identificación y autenticación.
1. El responsable del fichero o tratamiento deberá adoptar las medidas que garanticen la correcta identificación y autenticación de los usuarios.
2. El responsable del fichero o tratamiento establecerá un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado.
3. Cuando el mecanismo de autenticación se base en la existencia de contraseñas existirá un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad.
4. El documento de seguridad establecerá la periodicidad, que en ningún caso será superior a un año, con la que tienen que ser cambiadas las contraseñas que, mientras estén vigentes, se almacenarán de forma ininteligible.

Artículo 98. Identificación y autenticación.
El responsable del fichero o tratamiento establecerá un mecanismo que limite la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de información.

Artículo 103. Registro de accesos.
1. De cada intento de acceso se guardarán, como mínimo, la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado.
2. En el caso de que el acceso haya sido autorizado, será preciso guardar la información que permita identificar el registro accedido.
3. Los mecanismos que permiten el registro de accesos estarán bajo el control directo del responsable de seguridad competente sin que deban permitir la desactivación ni la manipulación de los mismos.
4. El período mínimo de conservación de los datos registrados será de dos años.
5. El responsable de seguridad se encargará de revisar al menos una vez al mes la información de control registrada y elaborará un informe de las revisiones realizadas y los problemas detectados.
6. No será necesario el registro de accesos definido en este artículo en caso de que concurran las siguientes circunstancias:
a) Que el responsable del fichero o del tratamiento sea una persona física.
b) Que el responsable del fichero o del tratamiento garantice que únicamente él tiene acceso y trata los datos personales.
La concurrencia de las dos circunstancias a las que se refiere el apartado anterior deberá hacerse constar expresamente en el documento de seguridad.

Tratamiento de datos que supone su revelación a una persona diferente de la interesada.

Cuando nos coordinamos o reunimos y hablamos de un alumno en concreto lo que hacemos normalmente es intercambiar las informaciones que tenemos sobre él los profesionales que participamos de la coordinación. Este intercambio de informaciones comporta una cesión de datos ya que se revelan datos a una persona diferente al interesado.
Lo mismo sucede en las entrevista con diversos profesionales de cualquier servicio, siempre que se hable de un alumno en concreto.
Las reuniones, entrevistas con profesionales y padres, coordinaciones con servicios sanitarios, sociales, etc..., normalmente comportan cesiones de datos.
También se debe considerar cesión la entrega de información por escrito, en papel o en formato electrónico: email, grabaciones, filmaciones, fax, fotocopias, etc…

Una vez recogidos desde un organismo oficial, como son las escuelas, el ayuntamiento.., ¿de quién son los datos de carácter personal?

Aparentemente sí, pero hemos de pensar que nadie regala nada... Todo en mundo obtiene alguna cosa cuando regala programas o viajes o coches… Muchas veces son los datos personales, pero también cosas más sutiles, como saber las cosas que nos gustan o que nos interesan, dónde viajamos, con quién, o como es nuestra familia, dónde vivimos, a que horas hacemos muchas cosas, etc. Estos datos son muy importantes para muchas personas: pueden ofrecernos a partir de ellas productos, servicios, etc., en el momento adecuado y con la seguridad de que nos gustaran.

Ley orgánica de Protección de Datos, 15/1999, de 15 de diciembre, (BOE núm. 298, de 14.12.1999), norma básica.

Real Decreto 994/1999, de11 de junio, por el que se aprueba el Reglamento de Medidas de Seguridad de los ficheros automatizados que contengan dados de carácter personal (BOE núm. 151, de 25.6.1999).
Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

Artículo 29- Es un grupo de trabajo sobre protección de datos del Parlamento de la Comunidad Europea. Se creó en virtud del artículo 29 de la Directiva 95/46/CE. Se trata del órgano consultivo independiente de la UE sobre protección de los datos y la vida privada. Sus tareas se definen en el artículo 30 de la Directiva 95/46/CE y en el artículo 15 de la Directiva 2002/58/CE.
La secretaria pertenece a la Dirección C (Justicia Civil, Derechos fundamentales y Ciudadanía) de la Comisión Europea, Dirección General de Justicia, Libertad y Seguridad, B-1049, Bruselas, Bélgica, Oficina nº LX-46 06/80.

Es un documento que recoge tota la normativa de seguridad elaborada para proteger los datos recogidos en los ficheros electrónicos y/o manuales.

El contenido principal de este Documento queda estructurado como sigue:
I. Ámbito de aplicación del documento
II. Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar los niveles de seguridad exigidos en este documento.
III. Procedimiento general de información al personal.
IV. Funciones y obligaciones del personal.
V. Procedimiento de notificación, gestión y respuestas ante las incidencias.
VI. Procedimientos de revisión.
VII. Consecuencias del incumplimiento del Documento de Seguridad.
Anexo I. Aspectos específicos relativos a los diferentes ficheros.
Anexo I a. Aspectos relativos al fichero ..XXX
Anexo I b. Aspectos relativos al fichero ..XXY
Anexo II. Nombramientos.
Anexo III. Autorizaciones firmadas para la salida o recuperación de datos.
Anexo IV. Inventario de soportes .
Anexo V. Registro de Incidencias .
Anexo VI Registro de entrada y salida de soportes
Etc.
Este Documento deberá mantenerse permanente actualizado. Cualquier modificación relevante en los sistemas de información automatizados o no, en la organización de los mismos, o en las disposiciones vigentes en materia de seguridad de los datos de carácter personal conllevará la revisión de la normativa incluida y, si procede, su modificación total o parcial

Real Decreto 994/1999
Artículo 4
Aplicación de los niveles de seguridad
1. Todos los ficheros que contengan datos de carácter personal deberán adoptar las medidas de seguridad calificadas como de nivel básico.
Capítulo II.- Medidas de seguridad de nivel básico
Artículo 8.Documento de seguridad
1. El responsable del fichero elaborará e implantará la normativa de seguridad mediante un documento de obligado cumplimiento para el personal con acceso a los datos automatizados de carácter personal y a los sistemas de información

Entre las medidas de seguridad en el tractamiento de datos de carácter personal del Real Decreto 1720/2007, está la elaboración e implementación del documento de seguridad:

Real Decreto 1720/2007
Capítulo II
Artículo 88. El documento de seguridad.
1. El responsable del fichero o tratamiento elaborará un documento de seguridad que recogerá las medidas de índole técnica y organizativa acordes a la normativa de seguridad vigente que será de obligado cumplimiento para el personal con acceso a los sistemas de información.
2. El documento de seguridad podrá ser único y comprensivo de todos los ficheros o tratamientos, o bien individualizado para cada fichero o tratamiento. También podrán elaborarse distintos documentos de seguridad agrupando ficheros o tratamientos según el sistema de tratamiento utilizado para su organización, o bien atendiendo a criterios organizativos del responsable. En todo caso, tendrá el carácter de documento interno de la organización.
3. El documento deberá contener, como mínimo, los siguientes aspectos:
a) Ámbito de aplicación del documento con especificación detallada de los recursos protegidos.
b) Medidas, normas, procedimientos de actuación, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en este reglamento.
c) Funciones y obligaciones del personal en relación con el tratamiento de los datos de carácter personal incluidos en los ficheros.
d) Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan.
e) Procedimiento de notificación, gestión y respuesta ante las incidencias.
f) Los procedimientos de realización de copias de respaldo y de recuperación de los datos en los ficheros o tratamientos automatizados.
g) Las medidas que sea necesario adoptar para el transporte de soportes y documentos, así como para la destrucción de los documentos y soportes, o en su caso, la reutilización de estos últimos.
4. En caso de que fueran de aplicación a los ficheros las medidas de seguridad de nivel medio o las medidas de seguridad de nivel alto, previstas en este título, el documento de seguridad deberá contener además:
a) La identificación del responsable o responsables de seguridad.
b) Los controles periódicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento.
5. Cuando exista un tratamiento de datos por cuenta de terceros, el documento de seguridad deberá contener la identificación de los ficheros o tratamientos que se traten
en concepto de encargado con referencia expresa al contrato o documento que regule las condiciones del encargo, así como de la identificación del responsable y del período de vigencia del encargo.
6. En aquellos casos en los que datos personales de un fichero o tratamiento se incorporen y traten de modo exclusivo en los sistemas del encargado, el responsable deberá anotarlo en su documento de seguridad. Cuando tal circunstancia afectase a parte o a la totalidad de los ficheros o tratamientos del responsable, podrá delegarse en el encargado la llevanza del documento de seguridad, salvo en lo relativo a aquellos datos contenidos en recursos propios. Este hecho se indicará de modo expreso en el contrato celebrado al amparo del artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, con especificación de los ficheros o tratamientos afectados. En tal caso, se atenderá al documento de seguridad del encargado al efecto del cumplimiento de lo dispuesto por este reglamento.
7. El documento de seguridad deberá mantenerse en todo momento actualizado y será revisado siempre que se produzcan cambios relevantes en el sistema de información, en el sistema de tratamiento empleado, en su organización, en el contenido de la información incluida en los ficheros o tratamientos o, en su caso, como consecuencia de los controles periódicos realizados. En todo caso, se entenderá que un cambio es relevante cuando pueda repercutir en el cumplimiento de las medidas de seguridad implantadas.
8. El contenido del documento de seguridad deberá adecuarse, en todo momento, a las disposiciones vigentes en materia de seguridad de los datos de carácter personal.

Este nuevo reglamento, Real Decreto 1720/2007, hace extensivo el uso del documento de seguridad a los ficheros manuales, no automatizados, como recoge el Capítulo IV, Medidas de seguridad aplicables a los ficheros y tratamientos no automatizados:

Capítulo IV
Medidas de seguridad aplicables a los ficheros y tratamientos no automatizados
Sección 1.ª medidas de seguridad de nivel básico
Artículo 105. Obligaciones comunes.
1. Además de lo dispuesto en el presente capítulo, a los ficheros no automatizados les será de aplicación lo dispuesto en los capítulos I y II del presente título en lo relativo a:
a) Alcance.
b) Niveles de seguridad.
c) Encargado del tratamiento.
d) Prestaciones de servicios sin acceso a datos personales.
e) Delegación de autorizaciones.
f) Régimen de trabajo fuera de los locales del responsable
del fichero o encargado del tratamiento.
g) Copias de trabajo de documentos.
h) Documento de seguridad.