IEE
Informáticos Europeos Expertos

Estamos en: 

  1. Nuestros Libros >
  2. Nuevo Reglamento de Protección de datos de Carácter personal

Nuestros Libros

Nuevo Reglamento de Protección de datos de Carácter personal

Han sido ocho años de inquietud y, por qué no decirlo, de inseguridad jurídica. No es que el nuevo Reglamento sea un dechado de seguridad jurídica, pero indudablemente la situación ha mejorado y por lo menos existen unas normas que podemos recurrir en caso necesario ante los Tribunales de Justicia.

Durante esos ocho años hemos estado esperando las resoluciones de la Agencia Española de Protección de Datos para poder seguir su línea doctrinal. Parte importante del nuevo Reglamento está dedicado a las medidas de seguridad que deben implantar los responsable de todos los ficheros, tanto públicos como privados.

La inobservancia de esas medidas de seguridad en los ficheros privados puede ser objeto de cuantiosas multas que llegan a los 600.000 euros. Ahora bien, no debe ser el miedo a que nos impongan esas graves sanciones lo que nos haga implantar esas medidas de seguridad sino la convicción de que todos debemos poner lo que esté de nuestra parte para defender lo que en un principio fue derecho a la intimidad y después de la sentencia 292/2000, de 30 de noviembre, del Tribunal Constitucional, el derecho fundamental autónomo de la protección de los datos de carácter personal.

La videovigilancia, presente hoy en día en muchos momentos de nuestra existencia y que se prevé que aún lo estará más en el futuro próximo, cobra especial relevancia en este libro, dándosele el tratamiento adecuado.

En esta obra, cuatro profesionales de reconocido prestigio en el campo del Derecho de las Tecnologías de la Información, dos de ellos pioneros en la materia y otras dos de la nueva ola, han unido sus esfuerzos para lograr un libro en el que, de forma agradable y fácil de comprender se analiza el nuevo Reglamento, poniendo de relieve sus dificultades y por otro lado sus bondades.

Los autores Emilio del Peso Navarro, abogado y licenciado en Informática, Miguel Ángel Ramos González, Doctor en Informática, Margarita del Peso Ruiz, abogada y licenciada en Historia con Premio Extraordinario, Mar del Peso Ruiz abogada y licenciada en Ciencias Económicas y Empresariales, tratan de poner un poco más de luz en la complicada trayectoria de este importante Reglamento desarrollo de la Ley de Protección de Datos de Carácter Personal, que esperamos no tenga una larga vida y pronto vea la luz una nueva Ley.

Nuevo Reglamento de Protección de datos de Carácter Personal

Emilio del Peso Navarro, Miguel Ángel Ramos González, Margarita del Peso Ruiz y Mar del Peso Ruiz.

Acerca de los autores
Agradecimientos
Abreviaturas y acrónimos
Prólogo
Prefacio

PRIMERA PARTE: ASPECTOS JURÍDICOS DEL REGLAMENTO

Capítulo 1. Real Decreto 1720/2007
1.1 Preámbulo
1.2 Disposiciones Transitorias
1.2.1 Disposición transitoria primera. Adaptación de los códigos tipo inscritos en el registro general de protección de datos
1.2.2 Disposición transitoria segunda. Plazos de implantación de las medidas de seguridad
1.2.3 Disposición transitoria tercera. Régimen transitorio de las solicitudes para el ejercicio de los derechos de las personas
1.2.4 Disposición transitoria cuarta. Régimen transitorio de los procedimientos
1.2.5 Disposición transitoria quinta. Régimen transitorio de las actuaciones previas
1.3 Cuadro resumen de los plazos de adaptación para los ficheros existentes
1.4 Disposición derogatoria única
1.5 Disposición final primera
1.6 Disposición final segunda
1.7 Cuestiones

Título I. Disposiciones generales
Capítulo 2. Disposiciones generales
2.1 Objeto
2.2 Ámbito objetivo de aplicación
2.3 Ámbito territorial de aplicación
2.4 Ficheros o tratamientos excluidos
2.5 Cuestiones
Capítulo 3. Otras disposiciones generales
3.1 Definiciones
3.2 Cómputo de plazos
3.3 Fuentes accesibles al público
3.4 Cuestiones

Título II. Principios de protección de datos
Capítulo 4. La calidad de los datos
4.1 Principios de calidad de los datos
4.2 Tratamiento con fines estadísticos, históricos y científicos
4.3 Supuestos que legitiman el tratamiento o cesión de datos
4.4 Verificación de datos en solicitudes formuladas por las Administraciones Públicas
4.5 Cuestiones
Capítulo 5. Obtención del consentimiento del afectado
5.1 Principios generales
5.2 Consentimiento para el tratamiento de datos de menores de edad
5.3 Forma de recabar el consentimiento
5.4 Solicitud del consentimiento en el marco de una relación contractual para fines no relacionados directamente con la misma
5.5 Tratamiento de datos de facturación y tráfico en servicios de comunicaciones electrónicas
5.6 Revocación del consentimiento
5.7 Cuestiones
Capítulo 6. Deber de información al interesado
6.1 Deber de información al interesado
6.2 Acreditación del cumplimiento del deber de información
6.3 Supuestos especiales
6.4 Cuestiones
Capítulo 7. Prestación de servicios
7.1 La subcontratación
7.2 El encargado del tratamiento
7.3 Relaciones entre el responsable y el encargado del tratamiento
7.4 Posibilidad de subcontratación de los servicios
7.5 Conservación de los datos por el encargado del tratamiento
7.6 Cuestiones

Título III. Derechos de acceso, rectificación, cancelación y oposición
Capítulo 8. Derechos de las personas
8.1 Los derechos de las personas en la Ley de protección de datos
8.2 Carácter personalísimo
8.3 Condiciones generales para el ejercicio de los derechos de acceso, rectificación, cancelación y oposición
8.4 Procedimiento
8.5 Ejercicio de los derechos ante un encargado del tratamiento
8.6 Cuestiones
Capítulo 9. Derecho de acceso
9.1 Derecho de acceso
9.2 Ejercicio del derecho de acceso
9.3 Otorgamiento del acceso
9.4 Denegación del acceso
9.5 Cuestiones
Capítulo 10. Derechos de rectificación y cancelación
10.1 Derechos de rectificación y cancelación
10.2 Ejercicio de los derechos de rectificación y cancelación
10.3 Denegación de los derechos de rectificación y cancelación
10.4 Cuestiones
Capítulo 11. Derecho de oposición
11.1 Derecho de oposición
11.2 Ejercicio del derecho de oposición
11.3 Derecho de oposición a las decisiones basadas únicamente en un tratamiento automatizado de datos
11.4 Denegación del derecho de oposición
11.5 Cuestiones

Título IV. Disposiciones aplicables a determinados ficheros de titularidad privada
Capítulo 12. Ficheros de información sobre solvencia patrimonial y crédito
12.1 Introducción
12.2 Régimen aplicable
12.3 Tratamiento de datos relativos al cumplimiento o incumplimiento de obligaciones dinerarias facilitados por el acreedor o por quien actúe por su cuenta o interés
12.3.1 Requisitos para la inclusión de los datos
12.3.2 Información previa a la inclusión
12.3.3 Notificación de inclusión
12.3.4 Conservación de los datos
12.3.5 Acceso a la información contenida en el fichero
12.3.6 Responsabilidad
12.3.7 Ejercicio de los derechos de acceso, rectificación, cancelación y oposición
12.4 Cuestiones
Capítulo 13. Tratamientos para actividades de publicidad y prospección comercial
13.1 Introducción
13.2 Datos susceptibles de tratamiento e información al interesado
13.3 Tratamiento de datos en campañas publicitarias
13.4 Depuración de datos personales
13.5 Ficheros de exclusión del envío de comunicaciones comerciales
13.6 Ficheros comunes de exclusión del envío de comunicaciones comerciales
13.7 Derechos de acceso, rectificación y cancelación
13.8 Derecho de oposición
13.9 Cuestiones

Título V. Obligaciones previas al tratamiento de los datos
Capítulo 14. Creación, modificación o supresión de ficheros de titularidad pública
14.1 Introducción
14.2 Disposición o Acuerdo de creación, modificación o supresión del fichero
14.3 Forma de la disposición o acuerdo
14.4 Contenido de la disposición o acuerdo
14.5 Cuestiones
Capítulo 15. Notificación e inscripción de los ficheros
15.1 Notificación de ficheros
15.2 Tratamiento de datos en distintos soportes
15.3 Ficheros en los que exista más de un responsable
15.4 Notificación de la modificación o supresión de ficheros
15.5 Modelos y soportes para la notificación
15.6 Inscripción de los ficheros
15.7 Cancelación de la inscripción
15.8 Rectificación de errores
15.9 Inscripción de oficio de ficheros de titularidad pública
15.10 Colaboración con las Autoridades de control de las Comunidades Autónomas
15.11Cuestiones

Título VI. Transferencias internacionales de datos
Capítulo 16. Transferencias Internacionales de datos
16.1 Introducción
16.2 Cumplimiento de las disposiciones de la Ley Orgánica 15/1999, de 13 de diciembre
16.3 Autorización y notificación
16.4 Nivel adecuado de protección declarado por la Agencia Española de Protección de Datos
16.5 Nivel adecuado de protección declarado por Decisión de la Comisión Europea
16.6 Suspensión temporal de las transferencias
16.7 Transferencias sujetas a autorización del Director de la Agencia Española de Protección de Datos
16.8 Cuestiones

Título VII. Códigos tipo
Capítulo 17. Códigos tipo
17.1 Introducción
17.2 Objeto y naturaleza
17.3 Iniciativa y ámbito de aplicación
17.4 Contenido
17.5 Compromisos adicionales
17.6 Garantías del cumplimiento de los códigos tipo
17.7 Relación de adheridos
17.8 Depósito y publicación de los códigos tipo
17.9 Obligaciones posteriores a la inscripción del código tipo
17.10 Cuestiones

Título IX. Procedimientos tramitados por la Agencia Española de Protección de Datos
Capítulo 18. Procedimientos I. Procedimientos tramitados por la Agencia Española de Protección de Datos. Procedimiento de tutela de derechos de acceso, rectificación, cancelación y oposición
18.1 Introducción
18.2 Disposiciones generales. Régimen aplicable
18.3 Publicidad de las resoluciones
18.4 Procedimiento de tutela de los derechos de acceso, rectificación, cancelación y oposición
18.5 Instrucción del procedimiento
18.6 Duración del procedimiento y efectos de la falta de resolución expresa
18.7 Ejecución de la resolución
18.8 Resumen de los diferentes plazos en el procedimiento de tutela
18.9 Cuestiones
Capítulo 19. Procedimientos II. Procedimientos relativos al ejercicio de la potestad sancionadora
19.1 Introducción
19.2 Ámbito de aplicación
19.3 Inmovilización de ficheros en los procedimientos tramitados conforme a la Ley Orgánica 15/1999, de 13 de diciembre
19.4 Iniciación de las actuaciones previas
19.5 Personal competente para la realización de actuaciones previas
19.6 Obtención de la información
19.7 Actuaciones presenciales
19.8 Resultado de las actuaciones previas
19.9 Procedimiento sancionador
19.10 Iniciación del procedimiento
19.11 Plazo máximo para resolver
19.12 Procedimiento de declaración de infracción de la Ley Orgánica 15/1999, de 13 de diciembre, por las Administraciones Públicas
19.13 Cuestiones
Capítulo 20. Procedimientos III. Procedimientos relacionados con la inscripción o cancelación de ficheros
20.1 Procedimientos de inscripción de la creación, modificación o supresión de ficheros
20.2 Iniciación del procedimiento
20.3 Especialidades en la notificación de ficheros de titularidad pública
20.4 Acuerdo de inscripción o cancelación
20.5 Improcedencia o denegación de la inscripción
20.6 Duración del procedimiento y efectos de la falta de resolución expresa
20.7 Iniciación y fin del procedimiento de cancelación de oficio de ficheros inscritos
20.8 Cuestiones
Capítulo 21. Procedimientos IV. Procedimientos relacionados con las transferencias internacionales de datos
21.1 Introducción
21.2 Iniciación del procedimiento de autorización de transferencias internacionales de datos
21.3 Instrucción del procedimiento
21.4 Actos posteriores a la resolución
21.5 Duración del procedimiento y efectos de la falta de resolución expresa
21.6 Procedimiento de suspensión temporal de transferencias internacionales de datos
21.7 Iniciación
21.8 Instrucción y resolución
21.9 Actos posteriores a la resolución
21.10 Levantamiento de la suspensión temporal
21.11 Cuestiones
Capítulo 22. Procedimientos V. Otros procedimientos tramitados por la Agencia Española de Protección de Datos
22.1 Otros procedimientos tramitados por la Agencia Española de Protección de Datos
22.2 Procedimiento de inscripción de los códigos tipo
22.3 Iniciación del procedimiento
22.4 Análisis de los aspectos sustantivos del código tipo
22.5 Información pública
22.6 Mejora del código tipo
22.7 Trámite de audiencia
22.8 Resolución
22.9 Duración del procedimiento y efectos de la falta de resolución expresa
22.10 Publicación de los códigos tipo por la Agencia Española de Protección de Datos
22.11 Procedimiento de exención del deber de información al interesado
22.12 Propuesta de nuevas medidas compensatorias
22.13 Terminación y duración del procedimiento y efectos de la falta de resolución expresa
22.14 Procedimiento para la autorización de conservación de datos para fines históricos, estadísticos o científicos
22.15 Duración del procedimiento y efectos de la falta de resolución expresa
22.16 Cuestiones

SEGUNDA PARTE: ASPECTOS TÉCNICOS DEL REGLAMENTO

SECCIÓN PRIMERA: LA SEGURIDAD DE LA INFORMACIÓN
Capítulo 23. Avances y retrocesos hacia la implantación de la seguridad de la información
23.1 Introducción
23.2 La seguridad, elemento necesario en el avance
23.3 ¿Qué es la seguridad?
23.4 La concienciación de los usuarios, factor indispensable
23.5 La gestión de la seguridad de la información analizada desde un punto de vista global
23.6 La mejora de la seguridad de la información, pieza clave para el desarrollo de las empresas
23.7 La seguridad de la información en las Administraciones Públicas facilita una mejor atención a los ciudadanos
23.8 Cuestiones
23.9 Caso práctico
Capítulo 24. El registro de los avances experimentados: la documentación de la seguridad
24.1 Introducción
24.2 La inexistencia de documentación implica una mayor inseguridad
24.3 Mejor documentar por medio de sucesivas aproximaciones que afrontar de golpe el problema
24.4 ¿Documentación en papel o electrónica?
24.5 Necesidad de una actualización continua 24.6 ¿Qué debe incluirse en una documentación?
24.7 Cuestiones
Capítulo 25. Diferentes aspectos de la seguridad de la información
25.1 Introducción
25.2 Dimensiones
25.3 Medidas de protección
25.4 La seguridad física
25.5 La seguridad lógica
25.6 La seguridad técnica y organizativa
25.7 La seguridad jurídica
25.8 La seguridad psicológica
25.9 Cuestiones
25.10 Caso práctico
Capítulo 26. El análisis de riesgos
26.1 Introducción
26.2 ¿Qué es un análisis de riesgos?
26.3 Metodologías de análisis y gestión de riesgos de los sistemas de información
26.4 Diferentes formas de hacer frente al riesgo
26.5 Los seguros
26.6 Cuestiones
26.7 Caso práctico
Capítulo 27. La seguridad en las diferentes áreas informáticas
27.1 Introducción
27.2 La seguridad y el desarrollo de aplicaciones
27.3 La seguridad en el área de producción
27.4 La seguridad de los datos
27.5 La seguridad de las comunicaciones
27.6 El cifrado
27.7 Cuestiones
27.8 Caso práctico
Capítulo 28. La clasificación de la información, una necesidad ineludible
28.1 Introducción
28.2 Estructuras de los esquemas de clasificación
28.3 Las sensibilidades
28.4 La clasificación de la información en el Reglamento de medidas de seguridad de 1999
28.5 La clasificación de la información en el Reglamento de desarrollo de la LOPD
28.6 Cuestiones
28.7 Caso práctico
Capítulo 29. Implantación de los Planes de Seguridad
29.1 Introducción
29.2 Contenido del Plan de Seguridad
29.3 Proyectos que pueden conformar el Plan
29.4 Estructuras de los proyectos
29.5 Otras consideraciones
29.6 Cuestiones
29.7 Caso práctico
Capítulo 30. Las políticas de seguridad como principios generadores
30.1 Introducción
30.2 Justificación de las políticas
30.3 Elaboración y aprobación
30.4 Estructura y contenido
30.5 Establecimiento de controles
30.6 Cuestiones
30.7 Caso práctico
Capítulo 31. Los Planes de Continuidad, una necesidad ante los imprevistos
31.1 Introducción
31.2 Pero ¿sigue siendo necesario un Plan de Contigencia/Continuidad?
31.3 Política corporativa
31.4 Justificación
31.5 Recursos
31.6 Herramientas
31.7 Acciones para poner en marcha el Plan
31.8 Situaciones
31.9 Funciones
31.10 Contenido del Plan
31.11 ¿Qué nos impide disponer del Plan?
31.12 Fiabilidad
31.14 Contrato
31.15 Control y auditoría
31.16 Pruebas y mantenimiento
31.17 Cuestiones
31.18 Caso práctico
Capítulo 32. El control de la calidad a través de los Acuerdos de Nivel de Servicio
32.1 Introducción
32.2 Sobre los Acuerdos
32.3 Necesidad y ventajas de establecer Acuerdos
32.4 Contenidos de los Acuerdos
32.5 Tipos de servicios
32.6 La seguridad y los servicios
32.7 La medida del servicio
32.8 Cuestiones
32.9 Caso práctico
Capítulo 33. La auditoría de la seguridad
33.1 Objeto
33.2 Áreas que puede cubrir la auditoría de la seguridad
33.3 Evaluación de riesgos
33.4 Fases
33.5 Fuentes
33.6 El perfil del auditor
33.7 Técnicas, métodos y herramientas
33.8 Consideraciones respecto al informe
33.9 Contratación de auditoría externa
33.10 Relación de auditoría con administración de seguridad
33.11 Conclusión
33.12 Cuestiones
33.13 Caso práctico

SECCIÓN SEGUNDA: LA SEGURIDAD DE LOS DATOS DE CARÁCTER PERSONAL
Capítulo 34. Cómo se contempla la seguridad en las diferentes normas europeas de protección de datos
34.1 Introducción
34.2 Convenio 108 del Consejo de Europa
34.3 Directivas de la Unión Europea
34.3.1 Directiva 2006/24/CE de 15 de marzo de 2006
34.3.2 Directiva 2002/58/CE de 12 de julio de 2002
34.3.3 Directiva 2002/22/CE de 7 de marzo de 2002
34.3.4 Directiva 2002/21/CE de 7 de marzo de 2002 (Directiva Marco)
34.3.5 Directiva 2000/31/CE de 8 de junio de 2000
34.3.6 Directiva 95/46/CE de 24 de octubre de 1995
34.4 Acuerdo de Schengen
34.5 LORTAD
34.6 LOPD
34.7 Estatuto de la Agencia Española de Protección de Datos
34.8 Reglamento de desarrollo de determinados aspectos de la Ley
34.9 Instrucciones de la Agencia Española de Protección de Datos
34.10 Reglamento de desarrollo del título III de la Ley General de Telecomunicaciones
34.11 Cuestiones
Capítulo 35. La norma (UNE) ISO/IEC 17799
35.1 Introducción
35.2 Reglamento de medidas de seguridad y estándar UNE-ISO/IEC 17799:2002
35.3 El RDLOPD y el estándar ISO/IEC 27002:2005
35.4 Cuestiones
35.5 Caso práctico
Capítulo 36. Videovigilancia
36.1 Introducción
36.2 La imagen como dato de carácter personal
36.3 Legitimación
36.4 Consideración como un fichero con datos de carácter personal
36.5 Recogida de la imagen
36.6 Uso de la imagen
36.7 Ejercicio de derechos por el interesado
36.8 Cesión de la imagen del interesado
36.9 Supresión de la imagen
36.10 Conclusiones
36.11 Cuestiones
36.12 Caso práctico

SECCIÓN TERCERA: EL NUEVO REGLAMENTO DE MEDIDAS DE SEGURIDAD
Capítulo 37. Disposiciones generales de las medidas de seguridad
37.1 Introducción
37.2 Alcance
37.3 Niveles de seguridad
37.4 Aplicación de los niveles de seguridad
37.5 Obligación del encargado del tratamiento de implantar las medidas de seguridad
37.6 Prestaciones de servicios sin acceso a datos personales
37.7 Delegación de autorizaciones
37.8 Acceso a datos a través de redes de comunicaciones
37.9 Régimen de trabajo fuera de los locales del responsable del fichero o encargado del tratamiento
37.10 Ficheros temporales o copias de trabajo de documentos
37.11 Cuestiones
37.12 Caso práctico
Capítulo 38. Documento de Seguridad
38.1 Introducción
38.2 Elaboración
38.3 Contenido
38.4 Contenido en el caso de ficheros de nivel medio y alto
38.5 Existencia de un encargado del tratamiento
38.6 Actualización
38.7 Otra información que se debe incluir en el documento de seguridad
38.7.1 Otros procedimientos y medidas
38.7.2 Relaciones de personal
38.7.3 Registros
38.7.4 Otras circunstancias que deben quedar debidamente motivadas en el documento de seguridad
38.8 Conclusiones
38.9 Cuestiones
38.10 Caso práctico
Capítulo 39. Ficheros automatizados. Nivel básico
39.1 Introducción
39.2 Funciones y obligaciones del personal
39.3 Registro de incidencias
39.4 Control de accesos
39.5 Gestión de soportes y documentos
39.5.1 Identificación en general
39.5.2 Salida y traslado
39.5.3 Desecho de soportes o documentos
39.5.4 Identificación de soportes con datos sensibles
39.6 Identificación y autenticación
39.7 Copias de respaldo y recuperación
39.8 Cuestiones
39.9 Caso práctico
Capítulo 40. Ficheros automatizados. Nivel medio
40.1 Introducción
40.2 El responsable de seguridad
40.3 Auditoría
40.3.1 El informe de auditoría
40.3.2 El auditor
40.4 Gestión de soportes y documentos
40.4.1 Registro de entrada y salida
40.5 Identificación y autenticación
40.6 Control de acceso físico
40.7 Registro de incidencias
40.8 Cuestiones
40.9 Caso práctico
Capítulo 41. Ficheros automatizados. Nivel alto
41.1 Introducción
41.2 Gestión y distribución de soportes
41.2.1 Cifrado
41.3 Copias de respaldo y recuperación
41.4 Registro de accesos
41.4.1 Información que se debe almacenar
41.4.2 Revisión del responsable de seguridad
41.4.3 ¿Cuándo no será necesario el registro de accesos?
41.5 Telecomunicaciones
41.6 Cuestiones
41.7 Caso práctico
Capítulo 42. Ficheros no automatizados
42.1 Introducción
42.2 Obligaciones comunes
42.3 Criterios de archivo
42.4 Dispositivos de almacenamiento
42.5 Custodia de los soportes
42.6 Nivel medio
42.6.1 Responsable de seguridad
42.6.2 Auditoría
42.7 Nivel alto
42.7.1 Almacenamiento de la información
42.7.2 Copia o reproducción
42.7.3 Acceso a la documentación
42.7.4 Traslado de documentación
42.8 Cuestiones
42.9 Caso práctico
Capítulo 43. Conclusiones

TERCERA PARTE: ANEXOS

Anexos:
Anexo I. Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal
Anexo II. Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (BOE núm. 17, de 19 de enero de 2008)
Anexo III. Instrucción 1/2000, de 1 de diciembre, de la Agencia Española de Protección de Datos, relativa a las normas por las que se rigen los movimientos internacionales de datos
Anexo IV. Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos, sobre publicación de sus resoluciones
Anexo V. Instrucción 1/2006, de 8 de noviembre, de la Agencia Española de Protección de Datos, sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras
Anexo VI. Vocabulario jurídico tecnológico
Bibliografía

Editorial Díaz de Santos. Tel: (34) 91 743 48 90. Albasanz 2 28037 Madrid